股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
【典型案例】亚信安全助力某运营商行业业务应用数据防泄漏落地实践
发布时间 :2025年12月26日
类型 :公司新闻
分享:
以下文章来源于数世咨询,作者数世咨询
国内某大型运营商企业,核心业务已全面 Web 化运行,CRM、经分、OA 等 20 余套核心业务系统均通过浏览器访问,日常处理大量客户隐私信息与经营敏感数据。 在多年安全建设过程中,该运营商已部署覆盖终端、网络、邮件等场景的传统数据防泄漏(DLP)体系,但在实际运行中发现,Web 业务应用场景下的数据泄露事件仍频繁发生,成为整体数据安全体系中的突出短板。 一方面,业务侧违规操作高度“日常化”。员工在业务系统中违规检索客户身份证号等隐私信息,通过复制粘贴外发至微信,或使用手机拍屏方式留存数据;部分敏感业务报表在导出后被直接上传至个人网盘;甚至存在通过浏览器插件或爬虫脚本批量抓取业务系统数据并外传的情况。这些行为多发生在业务系统内部操作层面,传统 DLP 产品难以感知和管控。 另一方面,技术层面的防护能力存在明显不足。传统终端 DLP 主要聚焦文件落盘后的外发行为,无法识别业务系统内的复制、截图、点击、查询等碎片化操作;HTTPS 加密流量普及后,旁路式网络 DLP 对内容“不可见”;串联式网关部署又成为业务性能瓶颈。同时,业务系统自身日志粒度有限,难以回答“谁在什么时间查了什么数据、做了什么操作”的核心审计问题。 在此基础上,黑灰产威胁进一步加剧。黑灰产通过自动化爬虫、浏览器插件批量抓取数据倒卖,或与内部人员勾结,租用合法账号实施大规模数据窃取,甚至通过篡改请求参数、模拟点击绕过传统防护机制,直接非法篡改业务结果。 “业务系统 → 浏览器”这最后一公里,成为该运营商业务应用数据防护中最突出的空白区域,亟需一套面向 Web 场景的专业数据防泄漏方案。 针对Web 业务应用场景下的数据泄露风险,该运营商携手亚信安全,基于信界企业浏览器构建 Web DLP 防护体系,将浏览器作为业务系统的统一访问入口和安全控制载体,形成覆盖“准入—操作—数据—审计”的全链路防护闭环。 整体方案以“客户端防护 + 策略中心 + 日志中枢”三层架构为核心: 统一入口层:信界企业浏览器作为 Web 应用唯一访问入口,实现“一点接入、全程管控”,从源头收缩风险暴露面。 客户端防护层:在浏览器内核层内置安全引擎,对页面数据、用户操作进行实时脱敏、管控与审计,避免传统网关串联带来的性能瓶颈。 策略与审计层:通过策略中心进行统一策略配置,日志中枢集中采集页面访问、操作行为、接口调用等全链路数据,形成完整审计证据链。 在能力建设上,方案重点围绕四大核心能力展开: 第一:业务操作全追溯 第二:敏感数据精细化管控 第三:机密文件不落地 第四:异常行为前置防御 整体方案在业务系统免改造、策略配置灵活、性能影响可控的前提下,实现了 Web 业务数据防护能力的快速落地。 项目整体按照“基础部署—策略配置—自动化响应—全面推广”四个阶段实施。 第一阶段:基础部署(1–2 周)在客户 A 网络环境中部署信界管理平台,完成与 20 余套业务系统的网络连通;为 5000 余名员工终端安装信界浏览器,替代原有浏览器访问业务系统;通过应用准入策略,限制仅信界浏览器可访问核心系统,实现应用级、账号级准入控制。 第二阶段:策略配置(2–3 周)自动识别 CRM、财务、人力等系统中的敏感数据分布场景,配置分级分类管控策略;核心敏感系统启用动态脱敏与截图管控,一般业务系统以操作审计为主;同时根据角色设置差异化权限,如销售经理与普通销售、财务总监与财务专员的导出权限区分。 第三阶段:自动化响应(1–2 周)配置异常行为自动化响应策略,包括异常批量查询触发人机校验、外网下载自动拦截、爬虫特征识别后封禁账号、AI 识别拍照行为自动锁屏取证等。 第四阶段:全面上线与持续优化方案从试点部门逐步推广至全公司,根据运营数据持续优化策略。 在实际运行中,方案在多个典型业务场景中取得显著效果: 销售 CRM 场景:客户信息默认脱敏,复制超过阈值触发校验,复制类泄密下降 90%。 财务报表场景:敏感文件不落地,水印溯源与审批联动,文件违规外发减少 80%。 异地办公场景:动态权限控制,实现“公司内正常办公、公司外只读模式”。 爬虫攻击防御场景:30 分钟内异常查询 3000 余条记录被 10 秒内自动拦截。 内外勾结溯源场景:完整还原离职人员操作链路,形成可用于司法取证的证据链。 项目最终覆盖 20 余个核心业务应用、5000+ 员工,日均审计操作 5 万余条,日均拦截风险行为 100 余次。 安全能力层面,该项目补齐了“业务系统—浏览器”这一关键防护盲区,实现从传统端点 DLP 向业务级 DLP 的能力升级;业务操作可见性由“不可见”提升至“全覆盖”,异常行为响应时间由数小时缩短至 10 秒以内,Web 端数据泄露事件同比下降 75%。 业务价值层面,通过动态权限与差异化管控,在保障数据安全的同时不影响远程办公与业务连续性;业务系统免改造,6 周内完成从试点到全面上线,实施与运营成本显著降低。 合规与治理层面,方案满足《数据安全法》《个人信息保护法》对数据全流程管控与审计要求,支撑等保 2.0 三级合规,并通过操作日志、水印溯源与取证机制,为责任认定和法律追责提供可靠依据。 该案例作为运营商行业领域首个Web DLP标杆案例,验证了"基于浏览器实现Web业务数据防护"的技术路线,为行业从"端点防护"向"业务防护"范式转变提供最佳实践参考。
通过元素级操作日志,记录用户在业务页面中的搜索关键词、表单修改、按钮点击等行为,弥补业务系统原生日志不足;同步追踪接口调用参数与返回结果,结合操作序列、时间与频次特征,识别爬虫脚本等异常行为并实时拦截。
在浏览器内实现动态脱敏显示,敏感字段默认模糊化,仅支持单条点击查看;源代码层同步加密,防止通过 F12 等方式绕过;同时联动截图管控、远程会议投屏限制,并通过端侧 AI 识别拍照、多人围观、离席未锁屏等物理泄密行为,自动告警或取证。
通过差异化权限控制,低权限用户下载行为自动转为在线预览,高权限用户下载文件则自动脱敏并添加溯源水印;结合网络环境与设备可信度动态调整权限,实现“公司内可导出、公司外自动禁止”;文件落盘后联动终端 DLP 自动加密,外发需审批。
采用双向证书校验机制,仅允许信界浏览器访问核心业务系统,阻断抓包工具与外挂攻击;结合防注入、防调试机制,在攻击发生时自动截图取证;通过人机校验与动态风险评分,实现对异常请求和高风险行为的自动收紧。
分享到微信
X