中国海关总署

一、行业背景

海关总署与国家紧密联系，所涉及信息带有机密性，所以其信息安全问题，如敏感信息的泄露、网络资源的非法使用以及勒索病毒等，都将对其信息安全构成威胁。尽管已经采用了安全防护措施等方式来提高信息安全等级，但在数据防泄露部分，大多还是以明文存储在服务器、终端及各种存储介质中，数据泄露的风险时刻存在，另外也无法做到对数据在内部使用权限和范围的管控。 

二、需求分析

海关总署于2007年成立安全组织机构，2008年制定海关等保标准，各直属海关完成系统定级。经过调研，海关的风险主要对于网络中传输的数据没有监控和审计；对于邮箱应主动或无意外发敏感文件没有必要的防护措施。因此有必要加强对海关信息系统，电子信息数据的安全防护。特别是对敏感信息资源进行保护。双方沟通后，具体数据安全需求分为两部分：信息中心和业务部门的系统安全，这部分更侧重于整体系统安全防护；以及主要针对保密办和办公厅两部门的内容安全，两部门由于涉密专人专岗，涉密系统定级整改，所以更侧重涉密信息系统。

三、解决方案

针对海关总署问题痛点，亿赛通在其内网区域旁路部署数据泄露防护系统，通过数据识别策略，对内网中传输的各种通讯协议及服务传输的内容进行分析、检测和响应；并且事项能够根据关键字、正则等丰富的数据识别手段，识别敏感标识内容；根据敏感内容以及用户身份检测敏感属性；最后根据策略进行日志记录、事件告警，邮件告警等相应动作。同时能够向海关现有的安管中心、认证系统、邮件系统提供接口，根据海关数据制定适合海关情况的数据识别策略，与海关三统一平台整合并配合海关大数据云建设提供相关数据。

其中终端数据泄露防护系统采用分散部署模式，以镜像模式部署于海关管理网用户接入与业务核心区域安全边界以及管理网对外接入的外部边界，获取核心交换机上所有流量的镜像数据，对从用户接入域到应用服务域的流量进行识别审计，对通讯协议及传输的内容进行分析和检测。旁路监听方式对用户无感知，不会影响原有网络架构，也不会影响海关正常业务。

1、主动泄漏防御，分级精准控制

通过部署在内部网络和外部网络连接的出口处的网络DLP系统，对进出单位内部网络的所有网络敏感数据进行扫描防护，对敏感数据泄露事件可根据策略进行阻断。

系统能在事件发生时及时响应，包括：阻断、警告、日志记录、邮件通知。

系统能对用户角色和管理员角色进行划分和权限设置，并将权限控制在最小范围内。

支持旁路镜像流量部署。

支持物理串联部署。

支持多层级部署架构，支持横向扩展能力。

流量捕获设备与内容检查设备为一台设备，支持高可用及扩展。

管理平台及数据库高可用，支持使用多台管理平台构建管理群集，防止单点故障。

2、明确定位数据，全通道控制

对海关总署内部邮件进行敏感内容防控，并进行增删收件人，邮件正文替换，剥离敏感附件、邮件告警、邮件审批、邮件阻断等操作。

支持按用户、规则、全局设置白名单、审计策略。

可根据IP、IP段、域名、URL、关键字、文件类型、文件大小、发送者、接受者的检测等进行多维度灵活组合策略配置。

每条策略可单独设置风险响应办法，包括邮件告警和邮件处理等。

支持策略自定义，策略能够定义不同算法、算法的组合逻辑，如与、或关系。

3、识别敏感内容，标记敏感级别

对海关总署通过网络协议的还原和对数据的检测分析，获取此协议承载的数据情况，对违规内容进行安全防泄露处理，并进行违规数据统计和态势分析，

在设备部署过程中，网络数据泄露防护系统部署在核心交换机取旁路镜像数据流，对终端访问业务系统和外发时下载的数据进行内容识别和敏感信息审计，数据泄露防护系统只取镜像数据，不影响网络数据的正常传输。

四、项目成果

亿赛通为海关总署建设科学先进、自主可信、可扩展又满足央企商密保护合规要求的全方位数据防泄密体系。具体实现了与海关与建设或正在建设的第三方平台对接，特别是与海关的安管中心。以SNMP或SYSLOG方式上传系统运行状态和安全事件；整合后，可共用组织机构、人员、岗位等信息，把用户、组织同步到DLP系统。现有的内网邮件系统也进行了整合，从而实现所有通知信息均可通过邮件的方式进行通知；设置了数据识别策略后，保证了系统对报关单仓单的敏感数据库文件的数据保护业务；并且定期调整数据识别策略，以降低误报率和漏报率，是之符合实际工作和事件处置需要。本次系统部署可有效降低业务运营中的IT风险，提升海关敏感数据防护能力，降低多重安全合规管理成本。