終端數據防泄漏系統在企業中的應用實踐

張晶姝

摘要：隨著大數據、云計算機等信息技術的快速發展和廣泛應用，辦公管理、生產運行、工藝技術、安全環保、財務銷售等生產經營數據成為企業數據整合、分析和利用的重要資產，同時也是企業兩化融合后邁向數字化企業、智能化工廠的重要資源。作為能源關鍵基礎設施的石油企業，防止重要數據資產、敏感信息通過終端、網絡泄漏成為企業擔負的責任和依法必須完成的重要工作。本文介紹了終端數據防泄漏系統在企業中的應用實踐，總結了一些經驗與大家分享。

關鍵詞：數據防泄漏系統；終端數據防泄漏；數據安全；數據防泄漏技術

中圖分類號：TP309.2 文獻標識碼：A 文章編號：1007-9416（2018）05-0191-02

通過企業互聯網出口內容審計系統監測的數據顯示，敏感信息外發事件時有發生。員工對敏感信息的定義掌握不清，只懂公開，不懂保密，對敏感數據的重要性、嚴肅性認識不足，網絡安全和保密意識淡薄，仍然存在著“無密可保”的錯誤觀念。員工通過企業內部主頁、郵箱、即時通信軟件、網盤云盤、智能手機無意識的外發成了敏感信息外泄的重要渠道，而大型跨地域企業由于網絡結構、帶寬、吞吐量、敏感信息不同等多種因素的限制，網絡數據防泄漏系統對敏感數據的攔截存在一定的限制，因此各地區公司建設符合本單位攔截需求的終端數據防泄漏系統能夠更有效的實現敏感數據的防泄漏。

1 國家法律和制度對企業網絡安全管理方面的要求

2016年11月，國家發布首部全面規范網絡空間安全管理方面問題的基礎性法律《網絡安全法》，為企業網絡安全管理工作提供了法律依據和標準。法律將能源等行業領域以及一旦遭受破壞、數據泄漏可能危害國家安全、國計民生、公共利益的重要行業定義為關鍵基礎設施，同時也定義了網絡的所有者、管理者和網絡服務提供者為網絡運營者，而網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

2 終端數據防泄漏系統的實施經驗

2.1 系統選型要素兼容性問題

企業的終端計算機一般部署了三大類系統和軟件，一是包含防病毒軟件、終端安全、系統加固的桌面安全管理系統；二是包含ERP、OA辦公管理、生產運行系統、財務系統、經營決策等業務應用系統；三是日常辦公查詢交流的office辦公軟件、QQ等即時通信軟件、WEB郵件、客戶端郵件、IE應用等。由于終端數據防泄漏需要部署在桌面計算機上，因此兼容性問題是終端數據防泄漏系統選型的重要問題，應考慮與桌面安全防護軟件、信息化應用系統、辦公輔助應用軟件的兼容性，做好兼容性測試會很大程度上減少系統上線后的運維和故障處理工作量。

2.2 終端數據防泄漏系統項目管理

結合PMP項目管理的理念，將終端數據防泄漏系統作為一個信息化專業的網絡安全項目來管理，包括產品的調研、系統功能的全面測試、立項、談判、部署過程的進度控制、系統上線后的兼容性測試、策略調整、項目驗收各個階段要做全方位的把控，并與實施廠商簽訂網絡安全和保密協議，確保項目實施過程和后續運維及故障處理全過程的安全可控。

2.3 制定符合企業需求的系統管控策略

終端數據防泄漏系統的策略一般分為3種，阻止策略、警告策略和不提醒直接記錄。根據企業對敏感信息關鍵點和層級的不同，分類別分HTTP、郵件、即時通信軟件、打印拷貝輸出等通道進行管控策略的制定（見圖1）。由于涉及敏感信息，因此要求廠商的產品在系統平臺不能提取敏感信息的全部內容，僅可以顯示敏感信息前后少量字節范圍的信息以作為企業內部檢查和考核依據。

2.4 與準入系統的配合應用

終端數據防泄漏產品通過配合準入系統的使用，制定相應的管理員策略，要求終端用戶部署了桌面安全管理系統和準入系統方可入網，保證終端用戶安裝部署數據防泄漏模塊達到100%，從而做到審計無遺漏。

2.5 系統實施及運維人員管理要求

由于終端防泄漏系統策略的制定和敏感信息要分審計員和策略管理員角色，以防止集中提取的敏感信息成為數據外泄的又一渠道。同時對管理員的背景、資質等都要進行審查，要求管理員要持網絡安全管理專業認證資質上崗，并定期進行審核。

3 終端數據防泄漏系統的問題及提升

3.1 終端數據防泄漏產品的識別準確性有待提高

目前終端數據防泄漏技術（DLP）主要是通過關鍵字、正則表達式和數據指紋等對存儲、傳輸和使用過程中的數據進行內容匹配發現違規數據泄漏，因此就會產生兩個詞語中前詞的后字和后詞的前字中了關鍵字的情況發生，并不能智能的識別出違規文件，對廠商在技術和檢測機制的研發上也提出了新的需求以滿足企業的需要，同時提高管理員的檢查、管理效率。

3.2 終端數據防泄漏產品需要擴大檢測范圍

各個企業都在加快投入大數據、云計算機、物聯網、移動應用的建設，而新技術的應用成為了敏感信息監管的空白區。企業應該遵循同步建設、同步規劃網絡安全的基本原則出發，擴大系統對新系統、新技術的檢測能力，保障網絡安全管理不留死角。

4 結語

本文結合企業部署數據防泄漏系統的應用情況從實施管理、策略制定等多維度總結了終端數據防泄漏系統的實施經驗，可作為建設部署數據防泄漏系統的參考。

參考文獻

[1]楊合慶.中華人民共和國網絡安全法解讀[M].中國法制出版社，2017.

[2]信息安全技術.政府聯網終端安全管理基本要求[M].工業和信息化部，2016.

[3]范睿.企業數據防泄漏架構分析[J].網絡空間安全，2017，8（z4）：77-82.

[4]白國靖.終端準入控制與數據防泄漏技術在企業中的應用[J].中國新通信，2015，（20）：121.

[5]潘明惠.網絡信息安全工程原理與應用[M].清華大學出版社，2011.