A Review on Distribution Model for Mobile Agent-Based Information Leakage Prevention

With the continuous use of cloud and distributed computing, the threats associated with data and information technology (IT) in such an environment have also increased. Thus, data security and data leakage prevention have become important in a distributed environment. In this aspect, mobile agent-based systems are one of the latest mechanisms to identify and prevent the intrusion and leakage of the data across the network. Thus, to tackle one or more of the several challenges on Mobile Agent-Based Information Leakage Prevention, this paper aim at providing a comprehensive, detailed, and systematic study of the Distribution Model for Mobile Agent-Based Information Leakage Prevention. This paper involves the review of papers selected from the journals which are published in 2009 and 2019. The critical review is presented for the distributed mobile agent-based intrusion detection systems in terms of their design analysis, techniques, and shortcomings. Initially, eighty-five papers were identified, but a paper selection process reduced the number of papers to thirteen important reviews.

A Trustworthiness-Based Distribution Model for Data Leakage Prevention

Under the global circumstances where data leakage gets more and more severe, we present a trustworthiness-based distribution model that aims at data leakage prevention （DLP）. In our model, first, the distributor calculates the user＇s trustworthiness based on his historical behaviors; second, according to the user＇s trustworthiness and his obtained file set overlapping leaked file set, the distributor accesses the probability of the user＇s intentional leak behavior as the subjective risk assessment; third, the distributor evaluates the user＇s platform vulnerability as an objective element; last, the distributor makes decisions whether to distribute the file based on the integrated risk assessment. The experiments indicate that the model can distinguish users of different types and make the probability of malicious users＇ requirements being denied much higher than that of honest users＇ requirements being denied, so that the model is capable of preventing data leakage validly.

基于数据加密技术的计算机软件安全防护技术

为避免因安全防护不到位而出现数据泄露抗攻击性低等情况,该研究提出基于数据加密技术的计算机软件安全防护技术。在计算机软件运行过程中,为防止数据信息在传输和储存时被篡改,需要在生成数据信息密钥的基础上,构建数据加密模型。然后,将单授权中心改为多授权中心,在启动适当的安全启动功能后,为防止计算机软件数据信息在传输过程中发生泄露,对初始化函数进行防泄漏编码处理,以此来实现对计算机软件安全防护的整体设计。实验表明:相比于传统技术,基于数据加密技术的计算机软件安全防护技术的防泄漏功能更有优势。

基于同态加密的营业厅自助终端数据防泄露系统

为了解决传输数据量相对较多时,电力营业厅自助终端传输数据加密能力有限造成信息泄露的问题,设计基于同态加密的营业厅自助终端数据防泄露系统。构建自助终端控制台的数据层、输入层、执行层、输出层结构,完成防泄露系统的多层结构和硬件设计。确定同态密文的扩展形式,并以此为基础求解同态加密函数表达式,制定营业厅自助终端数据的同态加密方案;确定具体的数据防泄露处理流程,联合相关硬件应用结构,完成基于同态加密的营业厅自助终端数据防泄露系统的设计。实验结果表明,该系统的应用可以实现对传输数据的准确加密,加密后数据对象的编码长度与标准编码长度差值不超过0.5 bit,能够解决电力营业厅自助终端加密能力有限导致信息泄露的问题。

调控云架构下的长短期电网运维行为大数据防泄露分布式存储仿真

为了实现大数据安全体系,对边界安全、访问控制和授权、数据保护、审计和监控提供支持,增强大数据存储的稳定性与安全性,提出调控云架构下的长短期电网运维行为大数据防泄露分布式存储仿真。构建长短期电网运维行为大数据防泄露分布式存储的调控云架构,采用网格技术构建大数据的分布式存储结构,对网格信息进行分级与调度,通过分类并处理冗余数据降低冗余数据对分布式存储的影响,并采用密度演化结合数据特征压缩的存储方法,实现长短期电网运维行为的数据分布式存储;调控云架构的云安全加密部分通过调控云架构初始化、密钥产生、明文信息加密、密文分布式存储,防止分布式存储大数据泄露。实验结果表明:该方法存储性能好,数据上传速度快,存储过程稳定,能够保证存储数据安全性及计算机系统负载均衡。

分布式政务数据中心安全共享关键技术研究

政务信息资源共享交换的技术发展及推广应用已久,但其可信性、隐私计算与保护、数据治理等方面仍然有待提升。分布式政务数据中心安全共享模式,可实现政务数据跨部门安全共享。案例验证表明其可以在一定程度上对现有不足进行弥补,推动了政务领域数据共享技术进步。

混合办公数据安全保护研究与实践

在政策支持、业务驱动及关键技术快速发展等背景下,数字化建设成为金融行业业务增长与效率提升的重要引擎。在金融机构持续优化科技创新、加速科技成果转化、践行数字化转型、提升核心竞争力的同时,碎片化的办公终端、跨网接入访问及混合多云架构带来了多重风险,导致安全事件频繁发生,使金融机构的数字化转型进程受到严重制约。通过研究政策法规、技术标准和行业指导规范,依托沙箱技术与零信任技术,文章构建了数字安全工作空间。该空间可对用户身份实现可信认证及持续评估,兼容混合办公业务场景的各类终端设备和应用,能闭环控制办公数据风险,旨在为数智业务推广、效能提升等提供有力保障,从而助推行业数字化转型。

基于文本内容的敏感数据识别方法研究与实现

为了防止敏感数据的泄露,为数据的访问控制提供依据,提出并实现了一种基于中文文本内容的敏感数据识别方法。通过对敏感数据库和已知分类文档库的学习,完成对文本中敏感数据识别的阙值的确定和未知文档是否敏感数据的判断过程。描述了预处理、文本识别、阙值确定的详细设计和实现过程。通过对搜狗语料库中教育相关部分文本的识别,验证该方法的敏感数据识别过程简单实用并且具有较高的正确率。

DIFS:基于临时文件隔离实现数据泄漏防护

很多第三方文档处理软件在编辑处理文档的过程中都会产生一些必要的临时文件.这些临时文件通常位于系统临时目录或者软件安装目录等非保护域中,因此可能成为数据泄漏的重要通道.为解决这一问题,研究实现了一种动态隔离文件系统DIFS.DIFS动态监控临时文件的访问操作,并通过动态隔离机制将临时文件重定向到与对应源文件相同的保护域中.给出了在Windows系统平台下的实现框架和关键技术,并对系统的空间和时间开销进行了测试分析.实验结果说明,DIFS的空间和时间开销对系统性能影响不大.

基于软件定义网络的非集中式信息流控制系统——S-DIFC

针对当前非集中式信息流控制(DIFC)系统无法对主机与网络敏感数据进行一体化有效监控的问题,提出一种基于软件定义网络(SDN)的DIFC系统设计框架——S-DIFC。首先,在主机平面利用DIFC模块对主机中文件及进程进行细粒度的监控;然后,利用标签信息转换模块拦截网络通信,将敏感数据标签添加到网络流中;其次,在网络平面的SDN控制器中,对带有机密信息的流进行多级别的访问控制;最后,在目标主机DIFC系统上,恢复敏感数据所携带的敏感信息标记。实验结果表明,该系统对主机CPU负载影响在10%以内,对内存影响在0.3%以内,与依赖加解密处理的Dstar系统大于15 s的额外时延相比,有效地减轻了分布式网络控制系统对通信的负担。该框架能够适应下一代网络对敏感数据安全的需求,同时分布式的方法能够有效增强监控系统的灵活性。

基于分类分级的数据资产安全管控平台设计与实现

针对企业大数据环境下散乱、粗放的数据安全防护问题,提出一种基于分类分级的数据全生命周期安全防护体系,设计实现了数据资产安全管控平台。首先,基于数据资产分类分级模型对数据资产进行细粒度的划分,有效界定了数据资产之间的价值差异,为企业制定精确、恰当的安全防护策略奠定了基础;其次,通过将加解密、防泄漏、跟踪取证等不同安全工具集成联动、统一配置,实现了对数据资产全生命周期的无缝保护;最后,基于分布式数据库HBase对海量审计日志进行分析处理,为管理员提供了快速告警取证和全方位的安全视图。分级加密实验中,数据量相同时,Speck算法的加密效率是AES-128的2.7倍,且随着数据量的快速增加,Speck的加密效率优势更加明显。平台的实际应用表明,分级防护策略、告警事件取证和数据资产的统一安全监控视图能够有效提高数据资产的安全防护能力。

一种实现数据主动泄漏防护的扩展中国墙模型

中国墙模型具有能够同时提供自主控制和强制控制的特性,因而被广泛应用于商业领域中,以防止有竞争关系的企业之间的信息流动而导致利益冲突.但是由于对读写约束过于严格,因而应用范围有限,特别是在数据泄漏防护的应用中未能发挥其优越性.针对数据泄漏防护对信息流动的控制需求,从数据客体的角度出发,考虑中国墙模型中的利益冲突问题,提出了主动冲突关系的概念,将原来对信息双向流动的约束转换为对单向流动的约束.在此基础上,提出了一种可以实现数据主动泄漏防护的扩展中国墙模型ACWM(aggressive Chinese wall model),并给出了模型的形式化描述和相关定理的证明.分析表明,ACWM模型可以实现传统中国墙模型的安全目标,而约束条件更加灵活,可以实现数据泄漏防护的需求.

应对新型网络威胁下的数据保护技术研究

近来,网络安全事件频发,高级持续性威胁(APT)攻击与斯诺登事件持续升温,而每起安全事件都离不开数据泄露的威胁。为了应对新型网络威胁下的敏感数据泄露,文章通过研究当前数据防泄漏技术,提出一种数据保护深度防御技术,融合数据内容深度检测、未知威胁检测、入侵检测防御系统、网络行为管控形成基于大数据的数据保护防御体系,从而有效地降低了数据泄露的风险。

基于透明加密的移动终端数据防泄露系统

企业关键数据向移动终端设备延伸,使移动终端数据泄露成为企业面临的一个新的问题。针对移动终端数据泄露问题,提出了基于预解密的透明加密技术,有效解决移动终端传统透明加密技术只能保证应用层安全的缺陷,并提升了透明加密性能。同时,利用瘦客户端与移动终端数据防泄露相融合的思想,进一步设计面向移动终端的虚拟远程桌面技术,彻底屏蔽数据流传输的弊端,保证了移动终端数据的安全传输。在此基础上,设计与实现了一套面向移动智能终端的数据防泄露系统。

数据泄漏防御算法的研究

以保证企业信息资产的安全为目标,基于Karp-Rabin算法,提出了一种新的数据泄漏防御算法。该算法对被防御的数据和欲送出系统的数据进行矩阵求解,生成各自的指纹,并将两者的指纹进行匹配,如果两者的相似度达到预定值则对数据流进行拦截。仿真实验结果表明,这种以指纹模式来匹配文件的数据泄漏防御方法能以较少的资源消耗完成对资源的监控过程,比全文匹配方法具有更高的效率。可以预见,把该算法嵌入相应的监视系统中将能有效地防止企业数据的泄漏。

针对APT攻击中恶意USB存储设备的防护方案研究

文章针对APT攻击中的恶意USB存储设备设计了一套安全防护方案。该方案构造USB存储设备的白名单,只允许白名单中的USB存储设备与计算机系统进行交互,从而防止APT攻击中定制的恶意USB存储设备对主机的非授权访问;将USB存储设备与单位各级员工绑定,在特定主机对特定的USB存储设备写保护,有效阻止了APT攻击者利用社会工程学的方法诱导内部人员对系统中数据进行越权访问;通过监控向USB存储设备复制数据的进程行为,防止隐藏的恶意程序暗中窃取系统中的数据。文章方案可以很好地防止系统中的数据遭到窃取和泄露,具有良好的实用性。文章方案进行了相关的功能测试,测试结果表明该方案可行。

电信运营商数据防泄露体系研究

随着系统的逐步开放和数据的不断集中,电信运营商面临的数据安全风险正在急剧增加。通过对电信运营商数据泄漏各种场景的分析,结合国内外各大组织的研究成果、标准规范及最佳实践,梳理出一套适合电信运营商的数据安全防护方法,提出电信运营商数据防泄漏体系模型,并进一步给出未来云化环境下的演进建议,供电信运营商及同类企业在实施数据安全防护时参考。

企业数据泄露预警平台的研究和设计

由于信息技术的不断发展,各行业的信息化程度越来越高,数据的交互越来越快捷、方便,但是信息化在带来效率同时,也带来了数据安全的隐患。现在的数据泄露防护系统重在数据保护,而文中设计的一种数据泄露预警平台,是将数据进行的统一分类、识别,从数据创建开始,监测数据活动、采集活动信息、分析活动规律,经过比对发现活动异常并发出警报,从而做到提前预防,降低数据泄露的可能性,更全面地保护数据安全。

基于Windows平台的数据安全的研究与实现

随着计算机应用的普及,越来越多的文档和数据电子化.计算机在带给人们高效快捷办公的同时,使得信息泄露和数据盗窃变得越发容易.比如:学生几秒钟就可将老师电脑中的试题复制到U盘或通过网络发到自己的邮箱;领导不在办公室时,电脑中重要信息可能被他人浏览或窃取,由此可能带来某麻烦甚至是不可估量的损失.数据安全是计算机安全中最重要的内容.本文基于Windows平台,对如何保护计算机中用户的数据安全提出了切实有效的措施,对于保护计算机的重要数据和信息具有非常实用的价值.

基于标记和策略管理的数据防泄漏系统设计

随着智能电网的建设不断深入,互动化智能终端设备的大量使用增加了用户侧数据泄漏的风险,同时由于网络通信方式的复杂化和现场操作环境的不可控,使得各类业务数据在传输过程中易造成数据外泄。因此文章结合智能电网数据防泄漏的实际需求,提出了面向智能电网的统一数据防泄漏系统,阐述了该系统的组成、工作流程和部署方式,并借鉴标记的思想,结合策略管理,提出一种基于标记和策略管理的智能电网敏感数据过滤算法,从而为智能电网业务系统敏感数据防护奠定基础。