在數(shù)據(jù)時(shí)代，通過(guò)漏洞利用、防護(hù)繞過(guò)等手段侵入企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)竊取或破壞的安全事件仍常有發(fā)生，但隨著網(wǎng)絡(luò)安全防護(hù)設(shè)施的普及和加強(qiáng)，明顯增加了侵入內(nèi)部網(wǎng)絡(luò)的難度。伴生而來(lái)的新的攻擊和外部數(shù)據(jù)安全威脅層出不窮，導(dǎo)致數(shù)據(jù)的竊取、篡改和非法使用等威脅。同時(shí)內(nèi)部數(shù)據(jù)安全威脅也非常嚴(yán)重，內(nèi)部人員有意或無(wú)意行為引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)、敏感個(gè)人信息非法利用嚴(yán)重侵害個(gè)人權(quán)益、業(yè)務(wù)頻繁變化引起的數(shù)據(jù)誤用、濫用。

基礎(chǔ)定義

數(shù)據(jù)防泄露（DLP）指的是使用先進(jìn)的內(nèi)容分析技術(shù)，在統(tǒng)一的管理控制臺(tái)內(nèi)對(duì)靜止的、流轉(zhuǎn)的、使用的敏感數(shù)據(jù)進(jìn)行保護(hù)的系統(tǒng)，是當(dāng)前支撐數(shù)據(jù)資產(chǎn)保護(hù)的重要技術(shù)之一。

OCR（Optical Character Recognition），光學(xué)字符識(shí)別：是指電子設(shè)備檢查圖片上的字符，用字符識(shí)別方法將形狀翻譯成計(jì)算機(jī)文字的過(guò)程。

DLP（Data Loss Prevention，數(shù)據(jù)防泄露）：是通過(guò)一定的技術(shù)手段，防止組織內(nèi)敏感數(shù)據(jù)或信息資產(chǎn)， 以違反安全策略規(guī)定的形式流出組織的一種策略。

SMTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸?shù)膮f(xié)議）：主要用于系統(tǒng)之間的郵件信息傳遞，并提供有關(guān)來(lái)信的通知。

HTTP/HTTPS（Hyper Text Transfer Protocol，超文本傳輸協(xié)議）：是一個(gè)簡(jiǎn)單的請(qǐng)求 - 響應(yīng)協(xié)議。HTTPS 在 HTTP 的基礎(chǔ)上通過(guò)傳輸加密和身份認(rèn)證保證了傳輸過(guò)程的安全性。

Hadoop：利用集群進(jìn)行高速運(yùn)算和存儲(chǔ)的分布式數(shù)據(jù)庫(kù)。

IP（Internet Protocol，網(wǎng)際互連協(xié)議）：是 TCP/IP 體系中的網(wǎng)絡(luò)層協(xié)議，為主機(jī)提供數(shù)據(jù)包傳輸服務(wù)。

HTTP Post：HTTP 請(qǐng)求方法之一，向指定資源提交數(shù)據(jù)進(jìn)行處理請(qǐng)求，數(shù)據(jù)被包含在請(qǐng)求體中。

HTTP Response：HTTP 響應(yīng)方法，在接收 HTTP 請(qǐng)求消息后，服務(wù)器會(huì)返回一個(gè) HTTP 響應(yīng)消息。

LDAP（Lightweight Directory Access Protocol，輕型目錄訪問(wèn)協(xié)議）：輕量級(jí)的目錄存儲(chǔ)協(xié)議，通過(guò) IP 協(xié)議提供訪問(wèn)控制和維護(hù)分布式信息的目錄信息。

SIEM( Security Information Event Management，安全信息與事件管理）：收集網(wǎng)絡(luò)內(nèi)的主機(jī)系統(tǒng)，安全設(shè)備和應(yīng)用程序生成的日志以及事件數(shù)據(jù)，并在集中平臺(tái)上進(jìn)行整理分析。

SOC（Security Operations Center，安全管理平臺(tái)）：收集網(wǎng)絡(luò)內(nèi)資產(chǎn)的安全信息，通過(guò)對(duì)收集到的各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián)，及時(shí)反映被管理資產(chǎn)的安全情況。

DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）：局域網(wǎng)的網(wǎng)絡(luò)協(xié)議。使網(wǎng)絡(luò) 環(huán)境中的主機(jī)動(dòng)態(tài)的獲得 IP 地址、Gateway 地址、DNS 服務(wù)器地址等信息。

ICAP（Internet Content Adaptation Protocol，圖像采集接口）：用來(lái)從一個(gè)傳感器捕捉圖像數(shù)據(jù)。

USB（Universal Serial Bus，通用串行總線）：計(jì)算機(jī)或其他智能設(shè)備與外部設(shè)備連接的接口技術(shù)。

CDROM（Compact Disc Read-Only Memory，緊湊型光盤(pán)只讀儲(chǔ)存器）：只讀光盤(pán)。

DLP的應(yīng)用

數(shù)據(jù)防泄露（DLP）為實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)保護(hù)提供技術(shù)支撐；

2、數(shù)據(jù)防泄露（DLP）在數(shù)據(jù)生命周期提供安全防護(hù)；

數(shù)據(jù)防泄露貫穿于數(shù)據(jù)生命周期的全過(guò)程。從數(shù)據(jù)的生成開(kāi)始，到數(shù)據(jù)的存儲(chǔ)、應(yīng)用、傳輸、備份歸檔到數(shù)據(jù)的銷毀，每一個(gè)步驟都有相應(yīng)的數(shù)據(jù)防泄露技術(shù)作為支撐。

3、對(duì)使用中的數(shù)據(jù)進(jìn)行權(quán)限細(xì)分，并進(jìn)行相應(yīng)的控制。

DLP核心技術(shù)

1、方案部署

a）分布式部署架構(gòu)（分層管理）：DLP 系統(tǒng)應(yīng)支持在多個(gè)監(jiān)控位置部署，這些監(jiān)控節(jié)點(diǎn)應(yīng)該能夠?qū)⑺?DLP 事件發(fā)送回中央管理服務(wù)器以便形成工作流、報(bào)告、調(diào)查和歸檔，應(yīng)支持分層部署，支持在不同區(qū)域的管理服務(wù)器上運(yùn)行不同區(qū)域的策略。

b）策略分級(jí)部署：DLP 系統(tǒng)應(yīng)支持對(duì)下屬機(jī)構(gòu)設(shè)置獨(dú)立的管理員，對(duì)所管理的區(qū)域?qū)ο穹砰_(kāi)策略設(shè)置、事件查看、報(bào)告查看等功能；管理員的功能模塊不可以超出上級(jí)管理員；為了滿足統(tǒng)一策略集中管理的需求，總管理員可以向下屬機(jī)構(gòu)進(jìn)行策略推送，子管理員可以對(duì)總管理員推送的策略進(jìn)行查看，但無(wú)法進(jìn)行編輯和刪除的動(dòng)作。

c）證據(jù)文件外置部署：DLP 系統(tǒng)應(yīng)能夠?qū)?shù)據(jù)泄露事件提供證據(jù)文件外部保存能力，可采用外置文件存儲(chǔ)（NFS/SMB）的方式進(jìn)行集中存儲(chǔ)。

d）管理服務(wù)器高可用 ：DLP 系統(tǒng)應(yīng)支持使用兩臺(tái)管理服務(wù)器進(jìn)行主備模式部署，如果主服務(wù)器關(guān)閉或服務(wù)不可用，備用服務(wù)器將自動(dòng)接替行使管理功能。

e）數(shù)據(jù)庫(kù)高可用 ：DLP 系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)庫(kù)服務(wù)集群部署，通過(guò)虛擬 IP 技術(shù)使數(shù)據(jù)庫(kù)節(jié)點(diǎn)保持高可用狀態(tài)，如果主數(shù)據(jù)庫(kù)活動(dòng)節(jié)點(diǎn)關(guān)閉或不可用時(shí)，備用節(jié)點(diǎn)將接管活動(dòng)角色，入庫(kù)日志、事件、證據(jù)、配置等保持同步且不丟失。

2、策略定制

a）內(nèi)容檢測(cè)的組合檢測(cè)：由于 DLP 系統(tǒng)中存在眾多內(nèi)容識(shí)別分類器，每個(gè)分類器均可以獨(dú)立配置作為內(nèi)容識(shí)別的手段。

b）檢測(cè)對(duì)象的鎖定與過(guò)濾：通常，DLP 的檢測(cè)對(duì)象可以涵蓋兩類對(duì)象，分別是檢測(cè)對(duì)象和檢測(cè)通道。檢測(cè)對(duì)象一般指發(fā)送數(shù)據(jù)來(lái)源 / 目的、郵件地址、組織架構(gòu)等，而檢測(cè)通道則泛指網(wǎng)絡(luò)通道和終端通道這兩種通道類型。利用 DLP 的檢測(cè)對(duì)象過(guò)濾功能，應(yīng)更加精準(zhǔn)地鎖定檢測(cè)的范圍和目標(biāo)，使得檢測(cè)結(jié)果更加準(zhǔn)確。

c） 策略響應(yīng)動(dòng)作 ：策略的響應(yīng)動(dòng)作是指當(dāng)流量或執(zhí)行的動(dòng)作命中了預(yù)設(shè)的檢測(cè)策略后，針對(duì)不同的通道在網(wǎng)絡(luò)側(cè)或終端側(cè)執(zhí)行的動(dòng)作，通常情況下的動(dòng)作執(zhí)行包括但不限于放行、阻止、隔離、確認(rèn)、個(gè)人密鑰加密等。

d） 策略觸發(fā)通知 ：在運(yùn)維工作中，當(dāng)最終用戶的動(dòng)作命中了檢測(cè)策略，管理員應(yīng)可以在不登陸 DLP 系統(tǒng)的情況下及時(shí)獲知觸發(fā)策略的事件行為。DLP 系統(tǒng)可以通過(guò)執(zhí)行發(fā)送郵件通知，提醒特定人員等相關(guān)事件的發(fā)生。通知的內(nèi)容應(yīng)該支持定制和常見(jiàn)的變量引用，如：企業(yè)特定的 Logo、公司名稱、郵件主題、正文內(nèi)容等。

3、數(shù)據(jù)識(shí)別

數(shù)據(jù)識(shí)別技術(shù)是 DLP 解決方案中使用各種技術(shù)分析深層內(nèi)容的能力。當(dāng)前全球主流 DLP 產(chǎn)品所支持的數(shù)據(jù)識(shí)別技術(shù)根據(jù)其匹配敏感信息的精準(zhǔn)程度，至下而上依次為：關(guān)鍵字識(shí)別、字典權(quán)重識(shí)別、正則表達(dá)式識(shí)別、文件屬性識(shí)別、圖像內(nèi)容識(shí)別、自然語(yǔ)言分析處理、標(biāo)簽識(shí)別、機(jī)器學(xué)習(xí)識(shí)別 和 指紋識(shí)別 共計(jì) 9 種。檢驗(yàn) DLP 產(chǎn)品是否具有完備及可用的數(shù)據(jù)識(shí)別技術(shù)是檢驗(yàn) DLP 產(chǎn)品最核心的功能指標(biāo)。

4、管理與控制

a）統(tǒng)一管理控制臺(tái)：全套 DLP 解決方案的一個(gè)獨(dú)特而關(guān)鍵的功能是完善的中央管理控制能力，應(yīng)可以管理覆蓋包括“發(fā)現(xiàn)、網(wǎng)絡(luò)、 郵件、終端、應(yīng)用、移動(dòng)”等所有 DLP 技術(shù)架構(gòu)下的安全組件，從而實(shí)現(xiàn)對(duì)移動(dòng)數(shù)據(jù)、靜止數(shù)據(jù)和使用中數(shù)據(jù)的覆蓋范圍、創(chuàng)建和管理策略、報(bào)告和事件工作流進(jìn)行相應(yīng)的管控。

b）策略多模塊分發(fā)：策略多模塊分發(fā)是指最終用戶不需要為各 DLP 模塊設(shè)置不同的檢測(cè)策略，通過(guò)控制臺(tái)即可集中為 DLP 產(chǎn)品各模塊下發(fā)統(tǒng)一的檢測(cè)策略 , 也可以單獨(dú)為某個(gè) DLP 產(chǎn)品模塊或模塊組合下發(fā)獨(dú)立策略。

c）預(yù)置策略：預(yù)置模板是指為了方便 DLP 用戶更加便捷的使用數(shù)據(jù)防泄露產(chǎn)品，DLP 系統(tǒng)在內(nèi)部提前給使用者定制好檢測(cè)內(nèi)容的檢測(cè)模板。預(yù)置策略模板應(yīng)該是開(kāi)箱即用并能對(duì)外發(fā)的數(shù)據(jù)進(jìn)行有效且精確的識(shí)別。

d）角色管理：DLP 系統(tǒng)應(yīng)該允許基于角色的內(nèi)部管理來(lái)進(jìn)行內(nèi)部管理任務(wù)以及監(jiān)視和執(zhí)行。在內(nèi)部可以將用戶分配到管理和策略組以分離職責(zé)，為監(jiān)視和執(zhí)行提供靈活的支持，使之能投入到不同的策略管理工作中。

e）多權(quán)分立 系統(tǒng)應(yīng)支持多權(quán)分立方式登陸管理平臺(tái)，包括：系統(tǒng)管理員（負(fù)責(zé)系統(tǒng)管理），安全管理員（負(fù)責(zé)審批管理）， 審計(jì)管理員（負(fù)責(zé)審計(jì)管理），事件管理員（負(fù)責(zé)事件審計(jì)）

f）策略審批部署：在實(shí)現(xiàn)分權(quán)管理后，DLP 系統(tǒng)應(yīng)支持使用特定角色對(duì)發(fā)布的檢測(cè)策略進(jìn)行有效性稽核及審批生效的工作，滿足了大型機(jī)構(gòu)對(duì) DLP 管理權(quán)限分離的需求，降低了因錯(cuò)誤 DLP 策略對(duì)生產(chǎn)或辦公業(yè)務(wù)產(chǎn)生影響的可能性。

g）接口集成：DLP 系統(tǒng)應(yīng)支持在組織內(nèi)對(duì)接特定的集成產(chǎn)品，包括并不局限于 SIEM、SOC、甚至是安全自動(dòng)化運(yùn)維平臺(tái)等，具備細(xì)顆粒度的事件外發(fā)能力。同時(shí) DLP 系統(tǒng)應(yīng)支持與運(yùn)維系統(tǒng)進(jìn)行對(duì)接，通過(guò) API 對(duì)策略中的來(lái)源和目標(biāo)進(jìn)行增加、刪除和修改的動(dòng)作。

h）用戶識(shí)別：事件管理需要合理利用組織內(nèi)的用戶信息，將所有違規(guī)者與用戶身份數(shù)據(jù)關(guān)聯(lián)起來(lái)，DLP 系統(tǒng)應(yīng)可以支持基于用戶的認(rèn)證（Active Directory）登錄，從而使 DHCP 租約信息與企業(yè)登陸用戶聯(lián)系起來(lái)，將身份信息的上下文關(guān)聯(lián)添加到每個(gè)事件告警中，避免將策略違規(guī)與正常用戶聯(lián)系在一起。

5、分析與報(bào)告

DLP 系統(tǒng)應(yīng)具備提供實(shí)時(shí)告警及對(duì)受保護(hù)數(shù)據(jù)實(shí)時(shí)分析的能力，及時(shí)通知組織內(nèi)安全人員有關(guān)泄露或違規(guī)事件的信息，并根據(jù)需要采取手動(dòng)操作。這對(duì)于涉及到核心數(shù)據(jù)資產(chǎn)外泄或嚴(yán)重的違規(guī)事件的及時(shí)處理特別有用。

其次，分析和報(bào)告功能可幫助 DLP 管理員密切關(guān)注數(shù)據(jù)的整體安全性以及解決方案的效能，應(yīng)能提供相應(yīng)的 合規(guī)報(bào)告，以確保組織滿足相應(yīng)的合規(guī)要求。

a）事件處理：事件處理隊(duì)列，是指分配給 DLP 管理員進(jìn)行事件處理程序但事件仍處在處理階段的事件摘要。每一個(gè)事件可以對(duì)任何字段進(jìn)行排序或過(guò)濾，包括通道，違反策略，用戶，事件狀態(tài)和處理流程。

b）事件日志：DLP 系統(tǒng)應(yīng)具備記錄單個(gè)事件的詳細(xì)信息能力，包括但不限于事件類型、發(fā)生時(shí)間、上報(bào)時(shí)間、發(fā)送者、接收者、違反策略、告警級(jí)別等內(nèi)容。

c）事件工作流：DLP 系統(tǒng)應(yīng)具備多種工作流程，所有工作流記錄都必須包含：發(fā)送者、接收者、傳輸方式、所涉及內(nèi)容的類型、內(nèi)容的安全等級(jí)以及實(shí)際內(nèi)容本身。這將為安全團(tuán)隊(duì)提供調(diào)整策略，糾正數(shù)據(jù)濫用和跟蹤潛在高風(fēng)險(xiǎn)用戶所需的相關(guān)信息。

d）格式化顯示：DLP 系統(tǒng)應(yīng)支持對(duì)使用 Webmail 外發(fā)敏感數(shù)據(jù)時(shí)，能夠在事件詳情內(nèi)智能格式化展現(xiàn)郵件發(fā)送人、郵件接送者、郵件抄送者、郵件密送者、郵件主題等相關(guān)信息。

e）事件關(guān)聯(lián)合并：DLP 系統(tǒng)應(yīng)支持對(duì)短期內(nèi)同一來(lái)源及同一目標(biāo)和同一外泄方式的相似事件進(jìn)行合并展示 ，降低管理員處理事件的復(fù)雜性，減少問(wèn)題處理時(shí)間。

f）日志查詢功能：DLP 系統(tǒng)應(yīng)具備完善的日志查詢功能，支持按不同參數(shù)進(jìn)行查詢、過(guò)濾和排序報(bào)告?？梢酝ㄟ^(guò)相應(yīng)的過(guò)濾器，對(duì)所有的日志進(jìn)行精確查詢和報(bào)告，例如：用戶組、策略組、策略規(guī)則、嚴(yán)重性、用戶名等。

g）基于用戶的報(bào)告 DLP 系統(tǒng)應(yīng)可以針對(duì)個(gè)人風(fēng)險(xiǎn)值、個(gè)人風(fēng)險(xiǎn)排名、個(gè)人事件數(shù)據(jù)統(tǒng)計(jì)等生成以人為中心的報(bào)告。

h）數(shù)據(jù)分類查詢：DLP 系統(tǒng)應(yīng)提供基于“數(shù)據(jù)分類”并且以數(shù)據(jù)分類的形式來(lái)呈現(xiàn)數(shù)據(jù)安全報(bào)告。

DLP應(yīng)用場(chǎng)景

DLP 解決方案既能保護(hù)敏感數(shù)據(jù)，又能深入了解組織內(nèi)數(shù)據(jù)的使用情況。DLP 幫助安全人員更好地理解數(shù)據(jù)，并提高其分類和管理內(nèi)容的能力。

如下圖所示：全套 DLP 解決方案需要提供對(duì)整個(gè)組織的網(wǎng)絡(luò)、郵件、數(shù)據(jù)庫(kù)、移動(dòng)應(yīng)用、端點(diǎn)、內(nèi)部業(yè)務(wù)應(yīng)用的全面覆蓋。

1、發(fā)現(xiàn)DLP

2、網(wǎng)絡(luò)DLP

3、郵件DLP

4、終端DLP

5、應(yīng)用DLP

6、移動(dòng)DLP