數(shù)據(jù)泄露預(yù)防最佳方法

確定需要保護(hù)的數(shù)據(jù)類型

首先，企業(yè)需要理解哪些類型的數(shù)據(jù)需要保護(hù)。在數(shù)據(jù)泄露預(yù)防中，數(shù)據(jù)可分為三類：

動(dòng)態(tài)數(shù)據(jù)，即在傳輸時(shí)需要保護(hù)的數(shù)據(jù)，其傳輸通道包括HTTP、HTTPS、FTP、即時(shí)通信、P2P、SMTP等。

在用數(shù)據(jù)：位于終端用戶工作站上，并且應(yīng)當(dāng)防止經(jīng)由可移動(dòng)介質(zhì)和設(shè)備（如USB、DVD、CD等）泄露的數(shù)據(jù)。

靜態(tài)數(shù)據(jù)：位于文件服務(wù)器和數(shù)據(jù)庫上的數(shù)據(jù)。企業(yè)也需要監(jiān)視這類數(shù)據(jù)，防止其泄露。

所有的數(shù)據(jù)泄露預(yù)防產(chǎn)品都內(nèi)建了一些符合規(guī)范、標(biāo)準(zhǔn)（如付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCI DSS）的策略。企業(yè)需要根據(jù)其業(yè)務(wù)情況調(diào)整這些策略。當(dāng)然，在數(shù)據(jù)泄露預(yù)防策略中，最重要的問題是確認(rèn)需要保護(hù)的數(shù)據(jù)，因?yàn)槿绻髽I(yè)只是簡(jiǎn)單地安裝了數(shù)據(jù)泄露預(yù)防產(chǎn)品DLP，它就很有可能報(bào)告許多似是而非的情況。

圖1 一般實(shí)施方案

確認(rèn)敏感數(shù)據(jù)和定義策略

在整個(gè)企業(yè)的所有三種通道（數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用）中，企業(yè)首先要做的是確認(rèn)所有的機(jī)密數(shù)據(jù)或受限制的數(shù)據(jù)。在受保護(hù)的機(jī)密數(shù)據(jù)通過邊界時(shí)，DLP就會(huì)借助于簽名來工作。在確認(rèn)關(guān)鍵數(shù)據(jù)并制定其簽名時(shí)，DLP需要使用 “指紋識(shí)別”。數(shù)據(jù)以各種形式存放在企業(yè)的各個(gè)地方。所有的數(shù)據(jù)泄露預(yù)防產(chǎn)品都有一個(gè)檢查和索引全部數(shù)據(jù)的引擎，并通過一個(gè)直觀的界面來使其可以被DLP訪問，還可以通過對(duì)數(shù)據(jù)的快速搜索發(fā)現(xiàn)其敏感性和數(shù)據(jù)所有權(quán)的細(xì)節(jié)。

在發(fā)現(xiàn)敏感數(shù)據(jù)后，企業(yè)應(yīng)當(dāng)構(gòu)建由規(guī)則構(gòu)成的保護(hù)策略。如果DLP產(chǎn)品并不支持企業(yè)的規(guī)則，企業(yè)就應(yīng)使用正則表達(dá)式來構(gòu)建規(guī)則。必須指出，在此階段只是定義DLP策略而非真正實(shí)施。

決定信息流和確認(rèn)數(shù)據(jù)的所有者

企業(yè)應(yīng)當(dāng)準(zhǔn)備好一份調(diào)查問卷來確認(rèn)和提取所有的有用信息。例如，調(diào)查問卷中可涉及如下問題：企業(yè)已經(jīng)確認(rèn)的數(shù)據(jù)源頭和目的地分別是哪里？網(wǎng)絡(luò)中所有的數(shù)據(jù)出口點(diǎn)分別是什么？企業(yè)有哪些過程可以監(jiān)控信息流？

在DLP的規(guī)劃策略中，確認(rèn)業(yè)務(wù)數(shù)據(jù)的所有者也很重要，所以企業(yè)應(yīng)準(zhǔn)備一份數(shù)據(jù)所有人的清單，以便在敏感數(shù)據(jù)丟失后向其發(fā)送通知。

決定部署方案

1.動(dòng)態(tài)數(shù)據(jù)的DLP部署。

對(duì)于在傳輸時(shí)需要保護(hù)的數(shù)據(jù)，其一般的實(shí)施方案如圖1所示。

圖1清楚地顯示出DLP并不是以內(nèi)聯(lián)模式部署，而是部署在SPAN端口。不將DLP產(chǎn)品內(nèi)聯(lián)到數(shù)據(jù)流是很重要的，因?yàn)槊總€(gè)企業(yè)都應(yīng)當(dāng)從最基本的開始部署，而如果以內(nèi)聯(lián)方式開始，有可能會(huì)導(dǎo)致許多似是而非的情況。此外，如果DLP設(shè)備被內(nèi)聯(lián)到網(wǎng)絡(luò)中，在內(nèi)聯(lián)設(shè)備失效時(shí)，企業(yè)就會(huì)擔(dān)心網(wǎng)絡(luò)故障。最佳方法是先部署在SPAN端口，在DLP策略成熟時(shí)，再以內(nèi)聯(lián)模式部署。

要減輕第二種風(fēng)險(xiǎn)，企業(yè)有兩種選擇。第一，以高可用模式部署DLP，第二，以旁路模式配置內(nèi)聯(lián)的DLP產(chǎn)品，這可以使DLP產(chǎn)品發(fā)生故障時(shí)，通信能夠繞過內(nèi)聯(lián)的DLP產(chǎn)品。

2.在用數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的DLP部署。

對(duì)于終端用戶工作站上的數(shù)據(jù)和需要防止由可移動(dòng)設(shè)備（如USB、DVD等）泄露的數(shù)據(jù)，企業(yè)要在每個(gè)終端設(shè)備（桌面、筆記本電腦、平板電腦等）上安裝由策略加載的代理，并由集中化的DLP管理服務(wù)器管理。企業(yè)可通過推式策略（如SMS、GPO等）將代理發(fā)布到終端上。為了報(bào)告事件和得到可更新的策略，終端上的DLP代理需要與集中化的DLP管理服務(wù)器交互，因而，在本地防火墻中，應(yīng)增加一個(gè)例外的通信端口。對(duì)于存儲(chǔ)數(shù)據(jù)的保護(hù)：存放在存儲(chǔ)器或設(shè)備上的所有數(shù)據(jù)都是通過DLP搜索代理來搜索。在搜索后，DLP對(duì)數(shù)據(jù)進(jìn)行指紋識(shí)別，看看是否存在非結(jié)構(gòu)化數(shù)據(jù)。

圖2 DLP運(yùn)營各階段

DLP運(yùn)營

如果企業(yè)不能監(jiān)視安全組件，其部署就沒有什么用處，DLP產(chǎn)品也不例外。圖2大體展示了DLP在企業(yè)中的運(yùn)行情況。首先，企業(yè)需要通過對(duì)所確認(rèn)的數(shù)據(jù)（上述三類數(shù)據(jù)）運(yùn)用正確的策略集來部署DLP產(chǎn)品。我們不妨將DLP的運(yùn)營分為三個(gè)階段，即：診斷分類階段、報(bào)告和提高階段、調(diào)整階段，具體如圖2所示。

診斷分類階段：在此階段中，安全運(yùn)營團(tuán)隊(duì)要監(jiān)視DLP產(chǎn)品中建立的策略所發(fā)出的警告。如前所述，企業(yè)應(yīng)先以觀察模式部署DLP，觀察并清除那些虛假的或似是而非的數(shù)據(jù)泄露情況。所以在安全團(tuán)隊(duì)收到警告時(shí)，要結(jié)合多個(gè)條件（如哪類數(shù)據(jù)被泄露、誰泄露的、通過什么通道泄露的、有無策略的錯(cuò)誤配置，等等）來檢查事件。在執(zhí)行這種診斷時(shí)，安全團(tuán)隊(duì)要將警告作為一個(gè)事件，并開始事件分類階段，通過風(fēng)險(xiǎn)狀況表來處理事件。所謂風(fēng)險(xiǎn)狀況表是一個(gè)基于文本的表，其中包括關(guān)于策略類型、數(shù)據(jù)類型、通道類型、安全類型（低風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)）的重要信息。在處理和更新了風(fēng)險(xiǎn)狀況表后，安全團(tuán)隊(duì)要將事件分配給不同的分隊(duì)。

事件的報(bào)告和強(qiáng)化階段：在此階段，安全團(tuán)隊(duì)將事件分配給各分隊(duì)。首先，安全團(tuán)隊(duì)將會(huì)咨詢各分隊(duì)，檢查這種數(shù)據(jù)泄露是否是可接受的業(yè)務(wù)風(fēng)險(xiǎn)。這種泄露可能是由于在后臺(tái)進(jìn)行策略的改變?cè)斐傻摹Ｈ绻髽I(yè)認(rèn)為可以接受這種風(fēng)險(xiǎn)，那么該事件將被認(rèn)為是“虛假的”或“似是而非”的，從而進(jìn)入調(diào)整階段。否則，安全團(tuán)隊(duì)將會(huì)用證據(jù)向各分隊(duì)強(qiáng)化事件。在強(qiáng)化后，安全團(tuán)隊(duì)將會(huì)準(zhǔn)備一份報(bào)告，作為每月交付或用于審計(jì)的一部分，此后，安全團(tuán)隊(duì)將關(guān)閉并歸檔事件。歸檔很重要，因?yàn)樵谌∽C調(diào)查期間有一些規(guī)范要求歸檔。

調(diào)整階段：在此階段，所有被認(rèn)為是“虛假”或“似是而非”的事件都被傳送過來。安全團(tuán)隊(duì)的責(zé)任是根據(jù)以前的錯(cuò)誤配置或根據(jù)一些業(yè)務(wù)變更而精細(xì)地調(diào)整策略，將這些變化作為一個(gè)“草稿”運(yùn)用到DLP產(chǎn)品中。為驗(yàn)證所應(yīng)用的變化是否精確，要對(duì)事件進(jìn)行復(fù)制，然后再檢查看是否產(chǎn)生了警告。如果沒有警告產(chǎn)生，這些變化就作為最后的變更而被應(yīng)用；但是，如果有警告產(chǎn)生，就需要在DLP產(chǎn)品所設(shè)置的策略中進(jìn)行精細(xì)調(diào)整。

應(yīng)當(dāng)指出，在DLP中，并不存在事件的解決階段，因?yàn)槿魏螆?bào)告的事件都是一種數(shù)據(jù)泄露或損失（如果不是虛假泄露的話），必須要求強(qiáng)化和采取相應(yīng)的行動(dòng)。

總結(jié)

在選擇DLP產(chǎn)品之前，企業(yè)應(yīng)當(dāng)確認(rèn)對(duì)DLP的需要，要檢查該產(chǎn)品是否支持?jǐn)?shù)據(jù)存儲(chǔ)在企業(yè)環(huán)境中的格式。在部署DLP之前，企業(yè)應(yīng)當(dāng)確認(rèn)敏感數(shù)據(jù)。在選擇一種DLP產(chǎn)品后，DLP的部署應(yīng)當(dāng)從最基礎(chǔ)的方式開始，并在此基礎(chǔ)上不斷增加DLP能夠識(shí)別的敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)。DLP的運(yùn)營應(yīng)當(dāng)進(jìn)行有效地診斷和分類，以便于清除虛假的泄露情況并精細(xì)地調(diào)整DLP策略。企業(yè)要建立RACI責(zé)任矩陣，規(guī)定DLP策略的責(zé)任和實(shí)施等。還要經(jīng)常更新風(fēng)險(xiǎn)狀況，完整記錄DLP事件。

如果企業(yè)能夠正確實(shí)施DLP的話，它就能夠成為一種有效地保護(hù)企業(yè)和客戶數(shù)據(jù)的防御技術(shù)。