數(shù)據(jù)防泄漏技術(shù)模型的發(fā)展方向分析*

萬 淼

(北京啟明星辰信息安全技術(shù)有限公司，北京 100193)

0 引言

信息系統(tǒng)中最核心的資產(chǎn)是數(shù)據(jù)，數(shù)據(jù)資產(chǎn)需要具備機(jī)密性、完整性和可用性，以保證數(shù)據(jù)不會(huì)被非法外泄，不會(huì)被非法篡改，同時(shí)不影響數(shù)據(jù)使用者的使用方式和習(xí)慣。同時(shí)隨著互聯(lián)網(wǎng)、大數(shù)據(jù)應(yīng)用的爆發(fā)，人們?cè)絹碓蕉嗟叵硎艿綌?shù)據(jù)帶來的紅利和價(jià)值，數(shù)據(jù)的屬性也同時(shí)開始變化，成為可以產(chǎn)生價(jià)值的資源。數(shù)據(jù)的高價(jià)值資源屬性使數(shù)據(jù)泄漏帶來的損失升級(jí)，同時(shí)也帶來了惡性的社會(huì)影響，數(shù)據(jù)丟失和個(gè)人信息泄漏事件頻發(fā)，地下數(shù)據(jù)交易(黑灰產(chǎn))造成內(nèi)部惡意數(shù)據(jù)泄漏事件頻出，社會(huì)熱點(diǎn)事件層出不窮，甚至危害國(guó)家安全。

企業(yè)在數(shù)據(jù)泄漏防護(hù)方面，往往認(rèn)為內(nèi)網(wǎng)相對(duì)安全，而將重點(diǎn)都落在了對(duì)黑客和外部攻擊的威脅防護(hù)上，殊不知內(nèi)部威脅已經(jīng)成為數(shù)據(jù)泄漏的主要元兇。據(jù)《財(cái)經(jīng)》雜志報(bào)道顯示[1]，有80%的數(shù)據(jù)泄漏是企業(yè)內(nèi)鬼所為，黑客和其他方式僅占20%。如何有效地防范內(nèi)部人員威脅，降低機(jī)密數(shù)據(jù)、知識(shí)產(chǎn)權(quán)、個(gè)人信息的泄漏風(fēng)險(xiǎn)，已經(jīng)成為政府、企業(yè)和大眾共同關(guān)注的問題。

1 現(xiàn)有技術(shù)路線分析

1.1 主流技術(shù)路線介紹

當(dāng)前可以實(shí)現(xiàn)數(shù)據(jù)防泄漏的技術(shù)路線主要有三種：

(1)數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是過去十年國(guó)內(nèi)數(shù)據(jù)泄漏防護(hù)的基本技術(shù)之一，包含磁盤加密、文件加密、透明文檔加解密等技術(shù)路線，目前以透明文檔加解密最為常見。透明文檔加解密技術(shù)通過過濾驅(qū)動(dòng)對(duì)受保護(hù)的敏感數(shù)據(jù)內(nèi)容進(jìn)行相應(yīng)參數(shù)的設(shè)置，從而對(duì)特定進(jìn)程產(chǎn)生的特定文件進(jìn)行選擇性保護(hù)，寫入時(shí)加密存儲(chǔ)，讀取文件時(shí)自動(dòng)解密，整個(gè)過程不影響其他受保護(hù)的內(nèi)容[2]。

加密技術(shù)從數(shù)據(jù)泄漏的源頭對(duì)數(shù)據(jù)進(jìn)行保護(hù)，在數(shù)據(jù)離開企業(yè)內(nèi)部之后也能防止數(shù)據(jù)泄漏。但加密技術(shù)的秘鑰管理十分復(fù)雜，一旦秘鑰丟失或加密后的數(shù)據(jù)損壞將造成原始數(shù)據(jù)無法恢復(fù)的后果。對(duì)于透明文檔加解密來說，如果數(shù)據(jù)不是以文檔形式出現(xiàn)，將無法進(jìn)行管控。

(2)權(quán)限管控技術(shù)

數(shù)字權(quán)限管理(Digital Right Management,DRM)是通過設(shè)置特定的安全策略，在敏感數(shù)據(jù)文件生成、存儲(chǔ)、傳輸?shù)乃矐B(tài)實(shí)現(xiàn)自動(dòng)化保護(hù)，以及通過條件訪問控制策略防止敏感數(shù)據(jù)非法復(fù)制、泄漏和擴(kuò)散等操作[2]。

DRM技術(shù)通常不對(duì)數(shù)據(jù)進(jìn)行加解密操作，只是通過細(xì)粒度的操作控制和身份控制策略來實(shí)現(xiàn)數(shù)據(jù)的權(quán)限控制。權(quán)限管控策略與業(yè)務(wù)結(jié)合較緊密，對(duì)用戶現(xiàn)有業(yè)務(wù)流程有影響。

(3)基于內(nèi)容深度識(shí)別的通道防護(hù)技術(shù)

基于內(nèi)容的數(shù)據(jù)防泄漏(Data Loss Prevention,DLP)概念最早源自國(guó)外，是一種以不影響用戶正常業(yè)務(wù)為目的，對(duì)企業(yè)內(nèi)部敏感數(shù)據(jù)外發(fā)進(jìn)行綜合防護(hù)的技術(shù)手段。DLP以深層內(nèi)容識(shí)別為核心，基于敏感數(shù)據(jù)內(nèi)容策略定義，監(jiān)控?cái)?shù)據(jù)的外傳通道，對(duì)敏感數(shù)據(jù)外傳進(jìn)行審計(jì)或控制。DLP不改變正常的業(yè)務(wù)流程，具備豐富的審計(jì)能力，便于對(duì)數(shù)據(jù)泄漏事件進(jìn)行事后定位和及時(shí)溯源。

1.2 現(xiàn)有技術(shù)路線對(duì)比分析

前文所述的三種技術(shù)路線各有優(yōu)劣勢(shì)，對(duì)比分析結(jié)果如表1所示。

表1

2 困難與挑戰(zhàn)

數(shù)據(jù)防泄漏產(chǎn)品在國(guó)外屬于合規(guī)產(chǎn)品，主要面向企業(yè)用戶，經(jīng)過多年的發(fā)展，數(shù)據(jù)防泄漏的合規(guī)性技術(shù)已經(jīng)發(fā)展十分完善，較好地解決了合規(guī)數(shù)據(jù)的識(shí)別和泄漏行為的實(shí)時(shí)監(jiān)控問題。但隨著數(shù)據(jù)泄漏事件的不斷出現(xiàn)，DLP產(chǎn)品在解決降低實(shí)際數(shù)據(jù)泄漏風(fēng)險(xiǎn)方面仍有盲區(qū)，其實(shí)施和落地的一些問題也逐漸暴露出來。同時(shí)由于國(guó)內(nèi)外企業(yè)管理和技術(shù)水平趨于成熟，用戶的真實(shí)需求和應(yīng)用場(chǎng)景開始驅(qū)動(dòng)數(shù)據(jù)防泄漏產(chǎn)品在脫離合規(guī)的基礎(chǔ)上向更完善更有效的解決方案發(fā)展。新的監(jiān)控要求和實(shí)際的用戶場(chǎng)景都對(duì)數(shù)據(jù)防泄漏提出了更高、更實(shí)際的需求，也使現(xiàn)有數(shù)據(jù)泄漏防護(hù)技術(shù)面臨著新的困難與挑戰(zhàn)。

(1)合規(guī)監(jiān)管

數(shù)據(jù)安全已經(jīng)不僅僅是企業(yè)自身所面臨的風(fēng)險(xiǎn)，個(gè)人信息泄漏事件同樣需要行之有效的技術(shù)手段進(jìn)行防護(hù)。在國(guó)家層面的法律法規(guī)中同樣也有明確規(guī)定，近幾年，《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范》、《歐盟通用數(shù)據(jù)保護(hù)規(guī)范(GDPR)》陸續(xù)出臺(tái)，從法律法規(guī)層面對(duì)數(shù)據(jù)防泄漏產(chǎn)品提出了更多的合規(guī)監(jiān)管要求，也為數(shù)據(jù)防泄漏技術(shù)發(fā)展提供了更可靠的參考和依據(jù)。

(2)策略定義困難

數(shù)據(jù)防泄漏產(chǎn)品嚴(yán)格依賴策略定義來執(zhí)行工作流程，DLP策略的制定需要有數(shù)據(jù)擁有者(業(yè)務(wù)人員)參與，而往往實(shí)施DLP產(chǎn)品的技術(shù)部門對(duì)敏感數(shù)據(jù)接觸較少，不清楚哪些是敏感信息，對(duì)其泄漏產(chǎn)生的后果也無法評(píng)估，因此不容易定義出有效的策略。

(3)誤報(bào)率高

DLP產(chǎn)品由于策略定義困難的原因，經(jīng)常會(huì)在上線初期通過定義寬松的策略，運(yùn)行一段時(shí)間觀察效果，并根據(jù)檢測(cè)結(jié)果對(duì)策略進(jìn)行調(diào)優(yōu)，以達(dá)到比較好的效果。但由于缺少業(yè)務(wù)部門對(duì)數(shù)據(jù)風(fēng)險(xiǎn)類型和等級(jí)的輸入，策略定義寬松會(huì)造成大量的誤報(bào)告警事件，尤其是在關(guān)鍵詞策略定義過于簡(jiǎn)單或正則表達(dá)式策略的命中次數(shù)限定過少時(shí)。

(4)預(yù)警滯后

DLP產(chǎn)品要保護(hù)的對(duì)象是在企業(yè)內(nèi)部以非結(jié)構(gòu)化形式存儲(chǔ)或流動(dòng)的數(shù)據(jù)，其使用場(chǎng)景是防止內(nèi)部人員有意或無意識(shí)地造成數(shù)據(jù)泄漏，希望達(dá)到的效果是發(fā)現(xiàn)泄漏能夠快速響應(yīng)和追責(zé)，更好的效果是能夠?qū)崟r(shí)阻止甚至提前防止此類事件的發(fā)生。傳統(tǒng)的DLP產(chǎn)品解決了快速響應(yīng)和實(shí)時(shí)阻止的問題，卻沒有能夠很好地達(dá)到準(zhǔn)確溯源和提前預(yù)防的效果。

3 發(fā)展方向分析

為解決DLP面臨的實(shí)際困難和問題，并更好地應(yīng)對(duì)國(guó)家、行業(yè)的監(jiān)管要求，數(shù)據(jù)防泄漏產(chǎn)品開始跳出固有框架，尋找新的技術(shù)路線。通過對(duì)國(guó)內(nèi)外主流DLP和數(shù)據(jù)安全廠商的調(diào)研，本文總結(jié)了目前數(shù)據(jù)防泄漏技術(shù)模型的兩個(gè)最主要的發(fā)展方向。

3.1 數(shù)據(jù)安全治理

3.1.1 數(shù)據(jù)安全治理框架

Gartner在2017年提出“持續(xù)自適應(yīng)安全風(fēng)險(xiǎn)和信任評(píng)估”(Continuous Adaptive Risk and Trust Assessment,CARTA)的安全理念，是一種全新的戰(zhàn)略架構(gòu)。在數(shù)據(jù)安全領(lǐng)域?qū)嵤┰摷軜?gòu)時(shí)，將該架構(gòu)分為發(fā)現(xiàn)、監(jiān)測(cè)、分析和防護(hù)四個(gè)象限，對(duì)用戶、設(shè)備、應(yīng)用、行為和數(shù)據(jù)進(jìn)行持續(xù)可視化和評(píng)估[3]。該架構(gòu)很容易和DLP的實(shí)施過程對(duì)應(yīng)起來，可以發(fā)現(xiàn)持續(xù)的可視性和評(píng)估對(duì)于此架構(gòu)應(yīng)用于數(shù)據(jù)保護(hù)至關(guān)重要。

對(duì)于DLP產(chǎn)品來說，一般從CARTA架構(gòu)的Monitor象限開始，先使用審計(jì)方式，采用比較寬松的策略，且只檢測(cè)一小部分非結(jié)構(gòu)化數(shù)據(jù)，然后陸續(xù)進(jìn)行Analyze和Protect象限。但由于一開始跳過了Discover象限，DLP產(chǎn)品往往很難進(jìn)入到Protect象限，或更好地發(fā)揮作用，需要對(duì)數(shù)據(jù)(內(nèi)容、途通道)有更直觀、系統(tǒng)的了解。由此引出“數(shù)據(jù)安全治理(Data Security Governance)”的概念[4]，如圖1所示。從架構(gòu)圖中可以看出，數(shù)據(jù)安全治理框架是自上而下的。在部署具體安全產(chǎn)品之前，需要企業(yè)對(duì)內(nèi)部的數(shù)據(jù)資產(chǎn)進(jìn)行一個(gè)系統(tǒng)的梳理，解決如下問題：

①數(shù)據(jù)在哪里

②敏感數(shù)據(jù)是什么，敏感程度如何

③誰(shuí)擁有敏感數(shù)據(jù)、誰(shuí)使用敏感數(shù)據(jù)

④敏感數(shù)據(jù)將被發(fā)送給誰(shuí)

⑤數(shù)據(jù)通過什么方式流轉(zhuǎn)、共享、傳輸

從而對(duì)企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行整體和系統(tǒng)的評(píng)估，為選擇合適的安全防護(hù)技術(shù)和產(chǎn)品提供有力依據(jù)。

3.1.2 數(shù)據(jù)發(fā)現(xiàn)與分類

數(shù)據(jù)安全治理的第一步就是數(shù)據(jù)發(fā)現(xiàn)與分類，基于數(shù)據(jù)分類的結(jié)果，可以解決很多實(shí)際數(shù)據(jù)安全問題，并對(duì)現(xiàn)有數(shù)據(jù)安全產(chǎn)品形成有效補(bǔ)充。

(1)數(shù)據(jù)發(fā)現(xiàn)

要確定數(shù)據(jù)安全防護(hù)的目標(biāo)，首先要了解要保護(hù)的數(shù)據(jù)有哪些，分布在什么位置。Gartner在2017年提出暗數(shù)據(jù)(dark data)[5]的概念，指出企業(yè)內(nèi)部存在大量位置未知、未合理利用的非結(jié)構(gòu)化數(shù)據(jù)，使企業(yè)存在潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)發(fā)現(xiàn)技術(shù)可以很好地解決這個(gè)問題，能夠?qū)Ω鱾€(gè)數(shù)據(jù)存儲(chǔ)倉(cāng)庫(kù)中的數(shù)據(jù)進(jìn)行自動(dòng)遍歷，發(fā)現(xiàn)敏感數(shù)據(jù)的存儲(chǔ)位置，檢查敏感數(shù)據(jù)的用戶者和使用者是否符合安全制度要求，并可以監(jiān)控敏感數(shù)據(jù)的用戶權(quán)限和流轉(zhuǎn)過程。

圖1 數(shù)據(jù)安全治理框架[4]

(2)數(shù)據(jù)分類

為了便于制定數(shù)據(jù)安全保護(hù)策略，在發(fā)現(xiàn)了全部敏感數(shù)據(jù)分布位置之后，需要對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分級(jí)分類，并根據(jù)分類結(jié)果，篩選出重點(diǎn)要保護(hù)的數(shù)據(jù)資產(chǎn)，進(jìn)而進(jìn)行數(shù)據(jù)敏感性標(biāo)識(shí)。

數(shù)據(jù)分類主要分為兩類：基于內(nèi)容的分類和基于用戶的分類。

(1) 基于內(nèi)容的分類

一般利用DLP的內(nèi)容匹配策略和算法，依據(jù)行業(yè)標(biāo)準(zhǔn)、企業(yè)內(nèi)部規(guī)范等將數(shù)據(jù)劃分為公開數(shù)據(jù)、用戶信息、知識(shí)產(chǎn)權(quán)、商業(yè)機(jī)密、內(nèi)部核心數(shù)據(jù)等。

(2) 基于用戶的分類

在沒有明確合規(guī)性依據(jù)指導(dǎo)時(shí)，可以為用戶提供分類工具，讓用戶根據(jù)實(shí)際情況對(duì)數(shù)據(jù)做單獨(dú)分類，如分為公開數(shù)據(jù)和僅限內(nèi)部使用數(shù)據(jù)，或分為源代碼、技術(shù)文檔、財(cái)務(wù)數(shù)據(jù)等。

3.1.3 數(shù)據(jù)標(biāo)記

分類結(jié)果需要標(biāo)記到對(duì)應(yīng)的數(shù)據(jù)中，基于分類標(biāo)記可以實(shí)現(xiàn)對(duì)數(shù)據(jù)生命周期的流轉(zhuǎn)追蹤和數(shù)據(jù)資產(chǎn)的可視化展示，如圖2所示。

圖2 數(shù)據(jù)標(biāo)記-鼠標(biāo)右鍵選擇標(biāo)記

根據(jù)不同的數(shù)據(jù)標(biāo)記，可以為不同安全級(jí)別的數(shù)據(jù)制定有針對(duì)性的安全保護(hù)策略，如對(duì)數(shù)據(jù)進(jìn)行權(quán)限分配或修改，或執(zhí)行對(duì)應(yīng)的防護(hù)動(dòng)作(加密、脫敏、移動(dòng)、隔離、刪除)，從而提煉出可實(shí)施的策略方案。

3.1.4 數(shù)據(jù)生命周期安全防護(hù)

傳統(tǒng)的DLP技術(shù)路線主要覆蓋數(shù)據(jù)生命周期中的存儲(chǔ)、使用、傳輸、共享幾個(gè)部分，通過數(shù)據(jù)安全治理框架，解決了數(shù)據(jù)發(fā)現(xiàn)與分類標(biāo)記之后，配合不同部署方式和技術(shù)路線，DLP可以覆蓋整個(gè)數(shù)據(jù)生命周期的全部環(huán)節(jié)，如圖3所示。

圖3 數(shù)據(jù)生命周期安全防護(hù)

國(guó)外已經(jīng)出現(xiàn)一批做數(shù)據(jù)分類和數(shù)據(jù)標(biāo)記的廠商[6-8]，這些廠商只提供獨(dú)立的數(shù)據(jù)發(fā)現(xiàn)和分類標(biāo)記功能，可以通過模塊或API形式與DLP產(chǎn)品進(jìn)行結(jié)合。一些DLP企業(yè)也已經(jīng)在自己的產(chǎn)品中引入了數(shù)據(jù)發(fā)現(xiàn)與分類技術(shù)，形成完整的數(shù)據(jù)安全治理技術(shù)模型[9-11]，從而對(duì)數(shù)據(jù)生命周期安全進(jìn)行整體防護(hù)。

3.2 以人為中心的內(nèi)部威脅檢測(cè)

現(xiàn)有的威脅防護(hù)手段主要針對(duì)抵抗外部攻擊，但卻忽略了內(nèi)部人員的潛在威脅。內(nèi)部員工已成為保護(hù)企業(yè)重要數(shù)據(jù)的薄弱環(huán)節(jié)，尤其是對(duì)內(nèi)部員工的社交攻擊往往無法被安全網(wǎng)關(guān)檢測(cè)到。Gartner[6]認(rèn)為要改變安全現(xiàn)狀，需要以人為中心的安全策略，將企業(yè)的安全防護(hù)重心傾向于強(qiáng)化人的責(zé)任和信任，弱化控制型、阻止型防護(hù)手段。

內(nèi)部威脅防護(hù)是一種新的安全防護(hù)模型，它以“人”為中心，以數(shù)據(jù)為目標(biāo)，通過數(shù)據(jù)內(nèi)容分類和用戶行為分析，很好地解決了傳統(tǒng)DLP技術(shù)誤報(bào)率高，預(yù)警滯后的問題。

3.2.1 用戶行為建模

傳統(tǒng)的DLP只關(guān)注數(shù)據(jù)內(nèi)容和數(shù)據(jù)外傳的通道，而數(shù)據(jù)本身是不會(huì)自己移動(dòng)的，是人移動(dòng)的數(shù)據(jù)，因此更應(yīng)該關(guān)注人的行為，特別是人對(duì)數(shù)據(jù)的操作行為。近兩年來，傳統(tǒng)DLP開始于用戶實(shí)體行為分析(UEBA)技術(shù)相結(jié)合，在敏感數(shù)據(jù)內(nèi)容監(jiān)控的基礎(chǔ)上，對(duì)內(nèi)部用戶的操作行為進(jìn)行基線建模，并根據(jù)異常行為分析和風(fēng)險(xiǎn)變化動(dòng)態(tài)調(diào)整數(shù)據(jù)安全策略，達(dá)到用戶、數(shù)據(jù)之間綜合分析，發(fā)現(xiàn)未知數(shù)據(jù)泄漏渠道，提前感知數(shù)據(jù)泄漏風(fēng)險(xiǎn)的效果。

以數(shù)據(jù)為中心的用戶行為分析模型實(shí)現(xiàn)流程如下：

(1)利用DLP技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行追蹤。

(2)為用戶建立行為基線，采集用戶行為信息，并依據(jù)策略對(duì)用戶行為進(jìn)行加權(quán)打分，給出行為基線。用戶行為信息采集目前主要分為終端側(cè)采集和網(wǎng)絡(luò)側(cè)采集：

①終端側(cè)：在終端上部署agent，進(jìn)行行為監(jiān)控和信息收集，以用戶為中心建模，記錄用戶的數(shù)據(jù)下載、修改文件后綴、U盤拷貝敏感內(nèi)容、大量外發(fā)或打印文件等行為信息。

②網(wǎng)絡(luò)側(cè)：多以旁路鏡像方式部署網(wǎng)絡(luò)設(shè)備解析網(wǎng)絡(luò)流量，以IP為中心建模，記錄點(diǎn)滴式泄漏、修改文件后綴、加密外發(fā)、嵌套文件、多層壓縮、密送、大量外發(fā)未知類型文件、外發(fā)超大文件等行為信息。

(3)異常行為檢測(cè)：分析引擎對(duì)用戶行為僅限上下文關(guān)聯(lián)分析，對(duì)用戶風(fēng)險(xiǎn)等級(jí)進(jìn)行打分。

(4)威脅預(yù)警：結(jié)合數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)，利用機(jī)器學(xué)習(xí)等算法對(duì)威脅等級(jí)進(jìn)行綜合計(jì)算。

3.2.2 數(shù)據(jù)檢測(cè)與響應(yīng)DDR

對(duì)內(nèi)容的理解和對(duì)通道的覆蓋決定了DLP仍然是解決內(nèi)部威脅、數(shù)據(jù)泄漏風(fēng)險(xiǎn)管控的主要技術(shù)。傳統(tǒng)的企業(yè)DLP技術(shù)在結(jié)合了用戶行為建模與分析后，由于缺少對(duì)內(nèi)部威脅行為的快速響應(yīng)，仍不足以防止內(nèi)部威脅，數(shù)據(jù)檢測(cè)與響應(yīng)(Data Detection and Response，DDR)技術(shù)應(yīng)運(yùn)而生。

DDR只關(guān)注與數(shù)據(jù)相關(guān)的檢測(cè)與響應(yīng)，通過網(wǎng)絡(luò)和終端兩個(gè)層面對(duì)數(shù)據(jù)內(nèi)容和數(shù)據(jù)操作行為的信息收集和建模，對(duì)異常用戶行為進(jìn)行自動(dòng)感知并按照策略執(zhí)行對(duì)應(yīng)的防護(hù)動(dòng)作，可以提前阻止數(shù)據(jù)泄漏行為的發(fā)生。同樣的操作，由于人員風(fēng)險(xiǎn)等級(jí)不同，執(zhí)行的管控策略也可能不同，并在終端執(zhí)行自動(dòng)響應(yīng)動(dòng)作[12]。DDR的整體流程如圖4所示。

圖4 基于內(nèi)部威脅防護(hù)的DDR模型

DDR技術(shù)將傳統(tǒng)DLP的防護(hù)范圍向內(nèi)推進(jìn)，起到了提前預(yù)警的作用，同時(shí)降低誤報(bào)率，便于溯源取證。與傳統(tǒng)DLP模型相比，DDR模型綜合了數(shù)據(jù)風(fēng)險(xiǎn)和行為分析，并具有很好的終端感知與聯(lián)動(dòng)能力，可以有效防止特權(quán)賬戶濫用、被盜賬戶等帶來的數(shù)據(jù)泄漏風(fēng)險(xiǎn)，防護(hù)效果更佳。

4 結(jié)論

數(shù)據(jù)根據(jù)其用途、存放位置、歸屬關(guān)系的不同，種類也不同，其安全防護(hù)的場(chǎng)景和技術(shù)路線也有所不同，本文分析的數(shù)據(jù)防泄漏技術(shù)只是數(shù)據(jù)安全中一個(gè)細(xì)分領(lǐng)域，從技術(shù)發(fā)展角度討論如何更有效地解決內(nèi)部人員有意或無意識(shí)的數(shù)據(jù)泄漏問題。

國(guó)外的產(chǎn)業(yè)界已經(jīng)對(duì)數(shù)據(jù)防泄漏技術(shù)進(jìn)行了很多的創(chuàng)新和探索，主要包括提出數(shù)據(jù)安全治理框架和以人為中心的內(nèi)部威脅檢測(cè)模型。在國(guó)內(nèi)，基于深度內(nèi)容識(shí)別的數(shù)據(jù)防泄漏技術(shù)已經(jīng)日漸成熟，并發(fā)展出一些適應(yīng)國(guó)內(nèi)市場(chǎng)的特色方向(如DLP與加密的整合，防竊照技術(shù)等)，但與國(guó)外產(chǎn)品在概念和模型設(shè)計(jì)還存在一定差距，并需要加強(qiáng)在終端側(cè)的安全防護(hù)投入。