關于數據防泄露(DLP)的論述

徐建國

摘 要：隨著計算機系統在各行各業的普遍應用，辦公文件、設計圖紙、財務報表等各類數據都以電子文件的形態，在不同的設備（終端、服務器、網絡、移動端、云端）上存儲、傳輸、應用，數據安全已經成為政府、軍隊、企業及個人最為關注的問題。

關鍵詞：敏感數據;內容識別;數據治理

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2019）21-0014-02

0 引言

隨著社會信息化建設快速推進，政府、企業保密工作面臨著非常嚴峻的形勢，尤其是隨著信息技術的發展和通信手段的更新換代，計算機網絡泄密、移動通信泄密和技術竊密時有發生，特別是智能手機和4G技術的普及，微博、QQ、微信等即時通信軟件的應用推廣，致泄密渠道越來越寬，竊密的技術越來越高，稍有疏忽，就有泄密可能。

在政府、企業內部，失泄密隱患也存在，主要表現在計算機終端安全管理、信息外發、移動存儲介質頻繁使用，聊天工作發送資料等。有些部門對保密工作重視度不夠，對相關保密工作要求落實不到位，對保密管理制度執行不力，以及個別員工缺乏應有的保密責任和意識造成的。更重要的是數據的價值促成安全威脅的驟然上升，因為幕后的利益成為敏感數據的泄漏最大驅動力，數據價值越高，面臨的安全威脅越大。

1 什么是數據防泄露

DLP（Data Leakage Provention），被譯為“數據泄露防護”，DLP技術是指在計算機終端、網絡邊界部署專用檢查軟件，對客戶端本地硬盤、U盤、DVD盤等外設、互聯網和外單位網絡訪問的內容，以及網絡存儲、網絡出口流量中的內容進行識別檢查、告警阻斷和記錄審計，以檢測控制企業內部重要敏感信息的未授權使用和傳送。

從技術上分析國內外兩種DLP產品，可以發現這兩種產品源于不同的技術，從本質上是完全不同的兩種產品。國外由于法律嚴格（主動泄密行為少）DLP產品的目標主要是防止信息的無意泄漏，因此在實現手段上多以“檢測”“審計”為主。而國內DLP產品的目標是對“有意”、“無意”泄密行為都進行防護，多采取以“內容識別+透明加解密”手段，配合權限控制、審計、端點管理、行為管理等功能，形成整套DLP解決方案的方式。

所以，從本質上看，國內數據防泄漏是基于數據的主動防泄漏，以人為控制為主;而國外數據防泄漏是基于內容的審計，以審計為主。

2 為什么要做數據防泄露

數據防泄漏系統能夠幫助解答三個根本的問題：

（1）我都有那些敏感信息？分布在什么地方？

（2）誰在使用這些數據？流轉情況怎樣？

（3）我如何能夠更好的保護這些數據防止其丟失？

為了解決上述問題，數據防泄漏系統需要做到以下三點：

（1）深入文件內容識別與檢查;

（2）跨終端、網絡和存儲系統自動保護敏感數據;

（3）提供事件響應工作流程及審計報表，實現糾正違規行為。

企業信息化目的是為了信息和數據的共享，而數據的生命周期中包括存儲（生成數據的服務器和存儲設備）、使用（數據的使用者對數據進行操作）和傳輸（數據從一個地點傳送到到另外一個地點）、銷毀四個基本的生命過程。

憑借數據防泄漏系統，企業管理者能夠看到有哪些數據庫、文件服務器、筆記本電腦和移動存儲設備存有敏感數據;能夠了解誰在通過電子郵件、IM即時通訊、網盤或是USB存儲介質傳輸使用敏感數據;還可阻斷包含敏感數據的邊界等通道傳輸執行，防止企業的敏感信息不被非法的存儲、使用和傳輸。

3 DLP遵循原則

防止數據泄漏并非僅靠信息中心/科技/IT部門便可解決，事實上，數據防泄漏從根本而言是業務問題，它需要不同部門給予不同方面的支持與協作，包括設備負責人、法務遵從負責人、企業風險負責人、人力資源部門、市場營銷部門以及銷售部門。企業需要在安全層面從傳統的安全域、網絡安全視角轉變為以數據為核心的視角，必然需要彌補很多的空缺和不足。為了保持防護效果，最好的方式是通過績效考核的方式督促各部門加強數據泄露防護工作，也對員工加強數據防泄露的教育和震撼效果。在具體落地實施，考慮技術手段時，必須結合自身實際情況，選擇最容易落地，對現有環境和人員改變最小，影響最小的方式，最大程度體現自動化，對現有工作流程影響最小，最全面的覆蓋敏感數據的發現、流轉、泄露監控、阻斷以及審計，實現數據泄露防護的安全管理閉環。

4 DLP業務邏輯

要達到保護敏感數據的目的首先需要定義和甄別敏感數據。定義與甄別敏感數據是整個DLP業務流程中最開始的環節也是最重要的環節，如果敏感數據的甄別與定義沒有做好，DLP系統無法分辨出對于用戶業務來說最有價值的數據，那么DLP系統的其他監控與防護功能都將失去準確的目標。做好敏感數據的甄別與定義也是實現對敏感數據差別管控，找到數據使用安全與效率最好平衡點的基礎。

但是，對于不同用戶來說，敏感數據的定義不同，即便是同行業的不同用戶，敏感的定義也可能存在差異。所以要做好敏感數據的甄別與定義，需要同時依靠經驗豐富的安全服務團隊和技術工具，并按照：數據梳理、分類分級、策略制定的方法論來完成，具體流程見（圖1）。

4.1 數據梳理

如果用戶敏感數據難以定義，或對自身持有的敏感數據沒有清晰界限，那么定義敏感數據則需要一套完整的方法論，我們稱其為“數據梳理”，其目的之一就是幫助用戶認識和定義敏感數據，進而對敏感數據進行分類分級。數據梳理既是實現敏感數據差別管控方案的核心，也是制定DLP策略的有力輔助。

4.2 分類分級

根據聚類結果得到的用戶數據類別，以及類別的語義特征，對用戶真實數據進行內容分類，安全服務團隊和用戶還可以進一步的對已分類的數據根據其他的特征維度（文件類型、大小、位置、流轉渠道等）進行進一步的細化分類;在分類的基礎上，可以針對數據的不同類別劃分不同密級，當同一大類數據需要根據其內容再劃分細致級別時，需要將同類數據再進行更細致的分類，以便將某一大類數據再分為更小的類別，再對小類別進行密級劃分。

4.3 策略制定

通過對真實數據中同類數據的特征提取（關鍵字詞典、語義特征、數據指紋、文件屬性、保存及流轉條件等），制定數據識別策略，結合安全服務團隊對數據使用行為的分析調研結果，制定最終的數據保護策略，導入DLP，以達到準確識別敏感數據與針對敏感數據不當使用行為的目的;另外用戶也可以直觀定義敏感數據及保護策略：在定義敏感數據的過程中，如果用戶對需要保護的敏感數據定義非常清晰，則可以直接針對此類數據提取特征，比如通過數據相關應用、數據保存格式、數據典型內容（詞典、數據標識符、數據指紋）等，制定識別及保護策略。

其次，通過已定義的敏感數據識別策略，對分布在用戶機構內部的數據進行全面掃描，發現定位敏感數據。其中包括用戶內網中的數據庫、文檔服務器、郵件服務器、Web服務器、存儲、終端辦公設備等，以達到對全局敏感數據分布可視的目的，同時對于發現的不當存儲敏感信息進行合規整理。

再次，通過已定義的策略，對用戶機構內部向內部、內部向外部、終端與外接設備之間的不合規敏感數據流轉進行監控，以識別策略為依據，根據使用者的身份、數據內容、使用方式進行自適應響應管控，例如：審計、審批、加密、阻斷、移動等。而其中保護動作可以分為自動響應與手動響應兩種，自動響應是根據預先制定好的策略自動執行保護動作;而手動響應則是在發現違規情況后由管理員手動審批，執行保護動作。

最后，把敏感數據的發現、監控和保護所產生的事件直觀并且系統的展示給用戶，以便用戶處理與分析，整體邏輯流程見（圖2）。

5 結語

數據泄漏防護作為一項長期的工程，需考慮其自身的復雜性和系統性，為避免總體實施風險過大，結合信息安全建設規劃階段需求，應采取“總體規劃，分步實施，先試點，后推廣”的總體思路，協助逐步提升企業數據治理能力。