SANGFOR_NGAF_敏感信息防泄漏技术详解.docxVIP

敏感信息防泄漏技术详解 文档密级：产品线内公开 PAGE 2 深信服科技版权所有 敏感信息防泄漏 技术详解 深信服科技股份有限公司 20XX年XX月XX日 目录 TOC \o 1-3 \h \z \u 第一章 概述 3 第二章 功能需求 3 第三章 技术详解 4 3.2功能实现模块 4 3.2分离平面设计 4 3.3深度内容检测技术 5 3.4检测流程 6  第一章 概述 为了避免internet上用户，获取银联服务器上的机密信息。需实现如下几点： 1、重点关注服务器外出数据是否含有机密信息，只对HTTP GET请求的恢复包进行检测。 2、关注明文传输过程，SSL及其他加解密过程，不需考虑; 3、支持识别银行账号、手机号、身份证号等对象；且要可配置，同时出现1个对象或多个对象时，则认为有风险。 4、支持短信告警功能 第二章 功能需求 深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。 用户信息 邮箱账户信息 MD5加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 …… 第三章 技术详解 3.2功能实现模块 1、镜像流量单元 抓取经过深信服AF的数据包，对符合条件的数据包进行抓取。 2、检测单元 对抓到的数据包进行策略匹配。 3、告警单元 根据匹配的结果进行告警；告警方式有三种：记录日志，短信告警，邮件告警。 3.2分离平面设计 深信服NGAF采用OS分离平面设计，数据流平面上分为控制平面、网络数据转发平面与内容检测平面。网络层数据转发平面主要作用在于使数据包快速缓存并转发；内容检测平面主要用户数据流应用识别与安全分析，结合应用识别、漏洞特征识别、web攻击流量识别等模块完成应用层安全分析与防护。 使用数据转发平面与内容检测平面相分离的技术设计，能够优化处理流程，有效保障网络数据的可用性。正常情况下，数据流由数据转发平面复制到内容检测平面进行深度内容检测，当有威胁内容时，通过控制平面阻断数据转发平面有威胁数据的外发，保证内容的安全性。当内容检测模块出现故障时，通过控制平面数据转发层面会将数据正常转发，保证网络畅通保障业务正常运行。 3.3深度内容检测技术 相比传统的L2-L7层应用处理技术，深信服深度内容检测技术在基于流识别、应用识别的基础上对包头和包内容进行深度的解析。许多协议都不采用标准的协议，有些采用了可协商的TCP/UDP端口来建立，因此传统的L2-L7包分类机制无法实现基于应用内容的识别。 深信服结合6年对应用的研究，将深度内容检测技术融合到了深信服下一代防火墙中。通过该技术的应用，深信服下一代防火墙具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息，如186、139等有特征的11位的手机号码、18位身份证号，有标准特征的@邮箱等有特征数据进行识别。并通过分离平面设计的软件构架，实现控制平面与内容平面检测联动，通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。 3.4检测流程 敏感信息防泄漏解决方案的检测流程如下： 一、数据包镜像复制：数据包经过网络转发层面时，由控制平面执行操作指令将网络层面数据镜像到应用层面； 二、网络转发平面缓存：镜像数据复制到内容检测平面可进行应用识别—内容威胁检测的流程。 三、应用识别：内容检测平面通过应用识别技术，对数据包进行重组并识别出各类应用； 四、内容检测：通过对协议及应用的识别将相应的数据流引入到与之对应的检测模块中进行内容威胁特征匹配； 五、控制平面执行：特征匹配结果告知控制平面，并执行缓存转发策略将合法数据通过转发平面正常转发。