[发明专利]一种敏感信息泄露主动监控与责任认定方法与装置

说明书

本发明公开了一种敏感信息泄露主动监控与责任认定方法：定义敏感信息及确定其所存储的设备；根据所述定义的敏感数据，制定和管理敏感信息访问/外访策略；对敏感数据所存储的设备进行网络流量数据采集及预处理；根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定，确定非法访问帐户和相关人员信息。还公开了一种敏感信息泄露主动监控与责任认定装置。通过敏感数据访问流量的分析，从可能造成数据泄露的过程进行主动分析和控制，可实现对任何未知攻击产生的客户敏感信息泄露进行识别控制和责任认定。

技术领域

本发明涉及敏感信息安全管理领域，尤其涉及一种敏感信息访问/泄露主动监控与责任认定方法与装置。

背景技术

现有的企业敏感信息都普遍存放于数据库服务器、主机服务器、采集服务器等设备，目前采用的敏感信息防泄露的方法主要都是针对某种特定场景，比如DLP信息防泄露是通过被动地对外发邮件过程进行识别控制、DRM文档加密是对下载到终端机器的数据传输过程进行识别控制等，这些技术都是基于对生成的敏感信息实体和敏感信息特征码(例如某人姓名、电话号码)进行的一种监控，容易出现漏判和误判，而且对于侵入企业服务器的各种病毒和木马、甚至未知攻击造成的持续性敏感信息泄露则无法进行监控，更加无法进行信息泄露人员的责任追溯和认定。如图1所示的一个典型现有技术框架，左边是一个典型通信企业计费系统的服务器群，其中敏感信息大部分存在于数据库服务器，中间为各种访问计费系统服务器群的路径，右边为访问这些服务器群的终端或者第三方企业的接口服务器。

分析现有技术反映出的缺点如下：

1.目前很多企业都建立集中化的账号、认证、授权和审计系统(4A平台)，对于企业敏感信息(例如客户信息等)的人工访问已经实现了较好的访问控制和审计。但是对于企业敏感信息的访问有很大一部分来自于自动化程序或者脚本，对于此类自动化程序或者脚本的访问目前业界还是缺乏很好的控制手段。

2.目前很多企业都建立了终端管理平台，但是终端管理平台主要针对终端上的客户信息和敏感信息能够实现传输和访问的控制，但是对于不通过终端流转的敏感信息目前没有响应的机制进行监控和防护。

3.目前企业普遍重视IT支撑设备的合规检查和安全加固，但是还有大量的漏洞由于应用需要等原因造成无法加固，这都给各种黑客、病毒、木马、蠕虫等非法程序以可乘之机。这些非法程序利用自身特有的攻击手段建立非法的数据访问通道，对企业敏感信息进行非法获取；部分非法程序甚至通过长期的潜伏，针对特定对象实施长期、有计划性和组织性地数据窃取。

4.实际面临的客户敏感信息访问和业务需求经过多年变更，无法精确的控制、记录和管理，导致防不胜防，出现一个问题堵上一个访问渠道，整个泄露防护技术和管理工作被动。

5.目前企业的敏感数据防护，大多是基于敏感数据的特征码进行识别，基于特征码的敏感数据识别很容易出现误判和漏判等情况，导致信息泄露防护不到位。

发明内容

本发明的目的是提供一种敏感信息泄露主动监控与责任认定方法与装置，解决现有技术中敏感信息由于一些自动化程序或者脚本与其所在设备建立隐蔽的数据通道造成的信息泄露问题。

本发明提案通过对敏感数据被访问时或者对敏感数据向外发送外访数据时产生的访问流量数据进行实时分析，主动发现异常的数据访问行为，同时对于访问行为发起的可疑程序或者脚本(包括程序/脚本名称、启动端口、所在主机IP)进行追溯；锁定非法程序或者脚本后，对于非法程序或者脚本的上传运行时间、上传人员、启动人员等信息进行确认。以此来识别发现异常程序或脚本、僵木蠕等信息并进行责任人的身份认定。