近年來，數字化轉型成為各行業創新的關鍵詞。作為數字化轉型的前提和核心，數據在其中扮演著越來越重要的角色。如何保證數據安全是企業制定數字化轉型戰略時不可避免需要回答的問題。

數據防泄漏（DLP）技術的日臻成熟為數據安全提供了基礎保障。在DLP項目實施之前，企業需要根據行業和自身企業特征做好從人員和團隊管理到審查模式、技術等各方面的準備工作。

在數字化時代，數據，成為一個企業創新與發展的核心，已無法通過枷鎖式的方式來進行管控。數據在整個行業生態中的流轉以及在新興業務場景下的使用，促使企業需要采用更靈活的方式來對數據進行管控。數據防泄漏(DLP,Data Loss Prevention)技術應運而生并且日臻成熟，已在不同的行業，尤其是具備敏感的研發或客戶數據的企業中廣泛應用。

2018年Gartner首次將數據防泄漏技術由“魔力象限報告”調整為《企業級數據泄漏防護市場指南報告》，這跟DLP技術日趨成熟、越來越多的安全產品包含了DLP功能，比如云訪問安全代理（Cloud Access Security Broker,CASB）不無關系。

然而，全球企業數據泄露安全事件仍層出不窮。我國的《網絡安全法》、美國針對健康保險行業的HIPPA、歐盟的GDPR等法規對數據安全也提出了更嚴格的要求。目前，我們看到很多企業選擇較為傳統的DLP工具，也看到市場上的一些技術創新，如利用人工智能進行內容識別。雖然很多企業部署了DLP，卻無法很好地發揮其效用，要么事件積累擱置不管，要么花費大量人力進行運維，這都與DLP實施的每一個環節息息相關。今天就簡單聊聊企業部署推廣DLP的一些方法和注意點。

數據防泄漏技術能實現什么？

數據防泄漏保護是通過一定的技術手段，防止企業的特定數據或信息資產以違反安全策略規定的形式流出企業的一種策略。

對很多新興科技企業，研發部門往往是企業的核心部門，掌握著大量敏感數據。關于企業內部泄密有很多大家耳熟能詳的場景：

研發工程師在離職前，將核心技術源代碼下載至個人電腦，并加入競爭對手公司或創立自己的公司

自主設計的產品信息被發現在黑市交易，例如，源代碼、設計圖紙、技術規范等

企業員工將高敏感度的公司信息（如企業戰略、營銷計劃、科研產品信息等）上傳至公共論壇或社交網站上

以上場景只是數據泄露場景的冰山一角，數據防泄漏對于很多企業來說是至關重要，且能夠直接為企業進行止損。

而傳統的DLP系統可以在數據存儲和傳輸過程中進行實時掃描，識別這些數據是否違反現有策略規則，進而對數據外發事件進行靜默審計，隔離可疑文件，加密數據或直接阻攔傳輸。

DLP實施前要提前做好什么工作？

為了更精準地保護企業的敏感數據，提升后期DLP運維的效率，在實施DLP項目之前，有幾件需要提前做好的工作：

數據分類分級：

企業需要針對自身所持有的數據進行分級分類，而后對特定等級的數據進行DLP策略的實施。如：企業將數據分級為絕密、機密、內部、公開四個等級，并僅針對絕密和機密數據實施數據防泄漏保護。部分行業有專門針對數據分級分類的國家政策規定或指導，如證券期貨行業的《證券期貨類數據分級分類指引》，企業可根據國家規定、行業實踐進行相應的數據分級分類工作。

人員角色和崗位權限定義：

一般情況下DLP產品會讀取企業的AD（Active Directory）域信息來進行管控。如果企業實施精細化管理，AD域的準確性將會是一個影響DLP管理效果的重要因素，否則企業人工維護人員信息需要投入的人力成本將會非常高。

內部溝通：

由于有很多企業會部署終端DLP，這將需要在員工電腦上安裝軟件并且可能會影響到員工的日常操作流程，管理層的重視與支持，自上而下進行推廣，對于一個DLP項目的成功實施至關重要。同時實施過程的數據識別、運維階段的事件處理，都離不開業務部門的支持，這都需要在實施前進行充分的溝通。

DLP實施應從哪些技術層面進行考量？

目前市場上使用比較多的DLP類型有終端DLP，網絡DLP以及郵件DLP。

終端DLP會針對所安裝的終端的數據使用行為做監控，這也是目前應用范圍最廣的DLP類型。即使設備在離線的狀態，只要策略已經在終端生效，也會實施相應的管控措施。

網絡DLP一般是放在企業內網出口位置，可以對發送的信息做第二道審核。同時有些產品為了減輕終端壓力，圖像識別功能（如掃描的圖片，截圖或非文字轉換為PDF的文檔）也是放在網絡DLP中。

郵件DLP一般是部署在郵件服務器上，對于郵件發放進行審核。有的企業郵箱是在外網可以登陸的，此種方式可以減少這種在外網通過企業郵箱發送數據而產生數據泄露的風險。

DLP策略是整個實施過程的核心，策略的準確性和覆蓋性會直接影響到DLP項目的成敗。可以分為四個維度來進行考慮，分別為：數據的識別規則，策略生效的范圍，安全應對策略和數據傳輸方式。

數據的識別規則：

此維度是指針對特定密級文檔的識別，也就是需要保護的對象。一般類型的文檔可以使用關鍵字，建立字典或者使用正則表達式等方法來識別。一些特殊的文件需要針對文件類型來做相應的識別方法，如CAD等圖紙類文件。還有一些其他的方式如針對單個文件打指紋等等。大部分DLP產品中會自帶一些可一鍵使用的識別方式，如身份證號、個人簡歷、源代碼等等，由于這些通用性的策略沒有根據企業實際情況進行定制化，因此必須在調優過程中逐步進行優化。

策略生效的范圍：

此維度是指本條策略生效的終端（人員）。理論上來說，所有策略都是需要針對企業內部所有終端進行下發，但某些更加嚴格的策略會需要針對特定群組的員工實施。亦或是有些企業的研發環境與辦公網絡環境是隔離的，某些機密文件的策略只需要針對該部門的員工終端實施。

安全應對策略：

此維度是指針對這條策略實施怎樣的應對方式，如靜默審計、阻攔等等。一般在策略生效之初的優化階段，只會對事件做靜默審計以免影響合理的業務往來。當策略優化到誤報量達到可接受的范圍內時，企業會根據自身需要調整策略，進行發送確認或者阻攔等方式。

數據傳輸方式：

此維度是指該類型文件所允許的傳輸渠道。如郵件、U盤、網絡云盤等。企業需要針對每個類型的文件有清晰的傳輸渠道定義，如某機密文件只可以通過內部郵箱發送，其余渠道都需要阻攔等。

當然還有其他一些維度，如針對時間段進行設置，企業可根據自身要求和產品功能進行相關策略的配置。

從人員及管理方面，應當進行哪些工作來保證DLP的有效性？

一、當DLP投入正式運維后，需要有一定的組織和人員來保障持續運營，方能及時發現和處理數據泄露事件。

一般情況下，除了安全團隊，企業內部還需要以下幾個團隊：

DLP運維團隊：

DLP運維團隊的所屬部門一般由于企業實際情況而有所不同。DLP系統后臺管理會由基礎架構團隊或者信息安全團隊負責，部分企業可能由合規團隊負責。此團隊主要負責DLP后臺的運維，諸如后臺賬號創建、事件、日志審閱等。

應急響應團隊：

此團隊主要工作是在發生信息安全事件時，進行相關的數據泄露事件響應和處理。團隊成員可包括信息安全團隊相關負責人，各業務部門相關負責人，合規團隊負責人，人力資源團隊負責人等等。

基礎架構支撐團隊：

從終端DLP軟件的推送、網絡DLP的部署，到服務器資源配置等，都需要基礎架構團隊的參與，方能從技術上保障DLP工具的落地和運維。

審計團隊：

防范DLP管理過程中可能發生的二次泄露。

二、事件審查模式的有效建立方能保障數據防泄漏的持續性效果

目前有三種事件審查模式比較常見：

1.信息安全團隊審查：

完全由信息安全團隊來審查DLP后臺事件。這種模式優點是由信息安全團隊專人進行事件處理，效率會比較高。但由于安全團隊人員對于業務理解度不高，可能無法判斷該業務需求是否合理，還需多次與業務部門溝通，或存在事件處理結果不恰當的情況。

2.業務部門審查模式：

完全由業務部門來審查DLP后臺事件。這種模式優點是各業務部門出于對自身業務的了解，能更加有效地判斷事件是否為真實的信息安全事件。但是這種模式存在以下幾種缺點：

業務部門調查人員可能存在包庇行為，或業務部門內部解決而不報告安全部門的情況

由于DLP實施前期誤報可能比較多，造成業務部門調查人員積極性不高，并且當大量誤報形成時會導致潛在信息安全事件被淹沒

對調查人員本身及其上司的信息泄露事件可能有所缺失

3.混合團隊審查模式：

由信息安全團隊和業務部門混合調查。這種模式主要可以理解為，信息安全團隊對后臺事件先進行篩選，剔除掉重復或者明顯是誤報的事件，隨后將各業務部門的潛在安全事件分配給業務部門調查人員進行確認。當然，這種混合型審查模式也是有缺點的，過于依賴信息安全團隊人員的篩選，分配事件的時間較長，事件調查的時效性會比較差。

三、相關數據防泄漏流程的建立：

相對DLP技術產品或設備的落地實施而言，企業建立相關流程無疑可以保證各個控制節點的協作運行。數據防泄漏的流程，需要與其他很多流程和規范相結合方能更好地執行，如數據分級分類、數據外發流程、安全事件響應流程等。在數據防泄漏的流程中，可以包括但不限于：各部門及團隊的職責與權限、數據防泄漏策略變更、數據安全事件響應與處罰、數據外發申請等。

如何從技術方面提升DLP運營的效率？

圍繞特定敏感數據資產的全生命周期進行管理，而不僅僅是DLP產品所覆蓋的環節，將帶給數據安全管理員更具前瞻性、全局性的視野。

在企業DLP實施完成之后，對于策略以及流程的優化至關重要，能夠極大降低人力的花費。然而，由于傳統的DLP系統的局限性，在諸如大量事件分析及用戶操作可見性方面，仍會顯得有些不足。這是可以使用某些安全信息和事件管理（SIEM）產品，將DLP后臺的事件信息導入，并制定相關規則進行分析。

此外，企業可以使用UEBA（用戶實體行為分析）的方法對海量數據進行分析，對內部用戶訪問數據的數量、關系、序列進行多維度計算，形成用戶行為正常行為基線，并檢測出偏離正常基線的異常行為。這樣可以更加有效地減少誤報，發現真正可疑的信息安全事件。

總結

雖然傳統DLP工具有一定的局限性，也有不少亟待解決的數據安全管理困境，但有效的策略配置、優化的管理流程和人員意識教育，在很大程度上能夠幫助企業降低員工有意無意的核心數據泄露風險，在識別、處理和響應安全事件上贏得先機。