關于數(shù)據防泄露(DLP)的論述

徐建國

摘 要：隨著計算機系統(tǒng)在各行各業(yè)的普遍應用，辦公文件、設計圖紙、財務報表等各類數(shù)據都以電子文件的形態(tài)，在不同的設備（終端、服務器、網絡、移動端、云端）上存儲、傳輸、應用，數(shù)據安全已經成為政府、軍隊、企業(yè)及個人最為關注的問題。

關鍵詞：敏感數(shù)據;內容識別;數(shù)據治理

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2019）21-0014-02

0 引言

隨著社會信息化建設快速推進，政府、企業(yè)保密工作面臨著非常嚴峻的形勢，尤其是隨著信息技術的發(fā)展和通信手段的更新?lián)Q代，計算機網絡泄密、移動通信泄密和技術竊密時有發(fā)生，特別是智能手機和4G技術的普及，微博、QQ、微信等即時通信軟件的應用推廣，致泄密渠道越來越寬，竊密的技術越來越高，稍有疏忽，就有泄密可能。

在政府、企業(yè)內部，失泄密隱患也存在，主要表現(xiàn)在計算機終端安全管理、信息外發(fā)、移動存儲介質頻繁使用，聊天工作發(fā)送資料等。有些部門對保密工作重視度不夠，對相關保密工作要求落實不到位，對保密管理制度執(zhí)行不力，以及個別員工缺乏應有的保密責任和意識造成的。更重要的是數(shù)據的價值促成安全威脅的驟然上升，因為幕后的利益成為敏感數(shù)據的泄漏最大驅動力，數(shù)據價值越高，面臨的安全威脅越大。

1 什么是數(shù)據防泄露

DLP（Data Leakage Provention），被譯為“數(shù)據泄露防護”，DLP技術是指在計算機終端、網絡邊界部署專用檢查軟件，對客戶端本地硬盤、U盤、DVD盤等外設、互聯(lián)網和外單位網絡訪問的內容，以及網絡存儲、網絡出口流量中的內容進行識別檢查、告警阻斷和記錄審計，以檢測控制企業(yè)內部重要敏感信息的未授權使用和傳送。

從技術上分析國內外兩種DLP產品，可以發(fā)現(xiàn)這兩種產品源于不同的技術，從本質上是完全不同的兩種產品。國外由于法律嚴格（主動泄密行為少）DLP產品的目標主要是防止信息的無意泄漏，因此在實現(xiàn)手段上多以“檢測”“審計”為主。而國內DLP產品的目標是對“有意”、“無意”泄密行為都進行防護，多采取以“內容識別+透明加解密”手段，配合權限控制、審計、端點管理、行為管理等功能，形成整套DLP解決方案的方式。

所以，從本質上看，國內數(shù)據防泄漏是基于數(shù)據的主動防泄漏，以人為控制為主;而國外數(shù)據防泄漏是基于內容的審計，以審計為主。

2 為什么要做數(shù)據防泄露

數(shù)據防泄漏系統(tǒng)能夠幫助解答三個根本的問題：

（1）我都有那些敏感信息？分布在什么地方？

（2）誰在使用這些數(shù)據？流轉情況怎樣？

（3）我如何能夠更好的保護這些數(shù)據防止其丟失？

為了解決上述問題，數(shù)據防泄漏系統(tǒng)需要做到以下三點：

（1）深入文件內容識別與檢查;

（2）跨終端、網絡和存儲系統(tǒng)自動保護敏感數(shù)據;

（3）提供事件響應工作流程及審計報表，實現(xiàn)糾正違規(guī)行為。

企業(yè)信息化目的是為了信息和數(shù)據的共享，而數(shù)據的生命周期中包括存儲（生成數(shù)據的服務器和存儲設備）、使用（數(shù)據的使用者對數(shù)據進行操作）和傳輸（數(shù)據從一個地點傳送到到另外一個地點）、銷毀四個基本的生命過程。

憑借數(shù)據防泄漏系統(tǒng)，企業(yè)管理者能夠看到有哪些數(shù)據庫、文件服務器、筆記本電腦和移動存儲設備存有敏感數(shù)據;能夠了解誰在通過電子郵件、IM即時通訊、網盤或是USB存儲介質傳輸使用敏感數(shù)據;還可阻斷包含敏感數(shù)據的邊界等通道傳輸執(zhí)行，防止企業(yè)的敏感信息不被非法的存儲、使用和傳輸。

3 DLP遵循原則

防止數(shù)據泄漏并非僅靠信息中心/科技/IT部門便可解決，事實上，數(shù)據防泄漏從根本而言是業(yè)務問題，它需要不同部門給予不同方面的支持與協(xié)作，包括設備負責人、法務遵從負責人、企業(yè)風險負責人、人力資源部門、市場營銷部門以及銷售部門。企業(yè)需要在安全層面從傳統(tǒng)的安全域、網絡安全視角轉變?yōu)橐詳?shù)據為核心的視角，必然需要彌補很多的空缺和不足。為了保持防護效果，最好的方式是通過績效考核的方式督促各部門加強數(shù)據泄露防護工作，也對員工加強數(shù)據防泄露的教育和震撼效果。在具體落地實施，考慮技術手段時，必須結合自身實際情況，選擇最容易落地，對現(xiàn)有環(huán)境和人員改變最小，影響最小的方式，最大程度體現(xiàn)自動化，對現(xiàn)有工作流程影響最小，最全面的覆蓋敏感數(shù)據的發(fā)現(xiàn)、流轉、泄露監(jiān)控、阻斷以及審計，實現(xiàn)數(shù)據泄露防護的安全管理閉環(huán)。

4 DLP業(yè)務邏輯

要達到保護敏感數(shù)據的目的首先需要定義和甄別敏感數(shù)據。定義與甄別敏感數(shù)據是整個DLP業(yè)務流程中最開始的環(huán)節(jié)也是最重要的環(huán)節(jié)，如果敏感數(shù)據的甄別與定義沒有做好，DLP系統(tǒng)無法分辨出對于用戶業(yè)務來說最有價值的數(shù)據，那么DLP系統(tǒng)的其他監(jiān)控與防護功能都將失去準確的目標。做好敏感數(shù)據的甄別與定義也是實現(xiàn)對敏感數(shù)據差別管控，找到數(shù)據使用安全與效率最好平衡點的基礎。

但是，對于不同用戶來說，敏感數(shù)據的定義不同，即便是同行業(yè)的不同用戶，敏感的定義也可能存在差異。所以要做好敏感數(shù)據的甄別與定義，需要同時依靠經驗豐富的安全服務團隊和技術工具，并按照：數(shù)據梳理、分類分級、策略制定的方法論來完成，具體流程見（圖1）。

4.1 數(shù)據梳理

如果用戶敏感數(shù)據難以定義，或對自身持有的敏感數(shù)據沒有清晰界限，那么定義敏感數(shù)據則需要一套完整的方法論，我們稱其為“數(shù)據梳理”，其目的之一就是幫助用戶認識和定義敏感數(shù)據，進而對敏感數(shù)據進行分類分級。數(shù)據梳理既是實現(xiàn)敏感數(shù)據差別管控方案的核心，也是制定DLP策略的有力輔助。

4.2 分類分級

根據聚類結果得到的用戶數(shù)據類別，以及類別的語義特征，對用戶真實數(shù)據進行內容分類，安全服務團隊和用戶還可以進一步的對已分類的數(shù)據根據其他的特征維度（文件類型、大小、位置、流轉渠道等）進行進一步的細化分類;在分類的基礎上，可以針對數(shù)據的不同類別劃分不同密級，當同一大類數(shù)據需要根據其內容再劃分細致級別時，需要將同類數(shù)據再進行更細致的分類，以便將某一大類數(shù)據再分為更小的類別，再對小類別進行密級劃分。

4.3 策略制定

通過對真實數(shù)據中同類數(shù)據的特征提?。P鍵字詞典、語義特征、數(shù)據指紋、文件屬性、保存及流轉條件等），制定數(shù)據識別策略，結合安全服務團隊對數(shù)據使用行為的分析調研結果，制定最終的數(shù)據保護策略，導入DLP，以達到準確識別敏感數(shù)據與針對敏感數(shù)據不當使用行為的目的;另外用戶也可以直觀定義敏感數(shù)據及保護策略：在定義敏感數(shù)據的過程中，如果用戶對需要保護的敏感數(shù)據定義非常清晰，則可以直接針對此類數(shù)據提取特征，比如通過數(shù)據相關應用、數(shù)據保存格式、數(shù)據典型內容（詞典、數(shù)據標識符、數(shù)據指紋）等，制定識別及保護策略。

其次，通過已定義的敏感數(shù)據識別策略，對分布在用戶機構內部的數(shù)據進行全面掃描，發(fā)現(xiàn)定位敏感數(shù)據。其中包括用戶內網中的數(shù)據庫、文檔服務器、郵件服務器、Web服務器、存儲、終端辦公設備等，以達到對全局敏感數(shù)據分布可視的目的，同時對于發(fā)現(xiàn)的不當存儲敏感信息進行合規(guī)整理。

再次，通過已定義的策略，對用戶機構內部向內部、內部向外部、終端與外接設備之間的不合規(guī)敏感數(shù)據流轉進行監(jiān)控，以識別策略為依據，根據使用者的身份、數(shù)據內容、使用方式進行自適應響應管控，例如：審計、審批、加密、阻斷、移動等。而其中保護動作可以分為自動響應與手動響應兩種，自動響應是根據預先制定好的策略自動執(zhí)行保護動作;而手動響應則是在發(fā)現(xiàn)違規(guī)情況后由管理員手動審批，執(zhí)行保護動作。

最后，把敏感數(shù)據的發(fā)現(xiàn)、監(jiān)控和保護所產生的事件直觀并且系統(tǒng)的展示給用戶，以便用戶處理與分析，整體邏輯流程見（圖2）。

5 結語

數(shù)據泄漏防護作為一項長期的工程，需考慮其自身的復雜性和系統(tǒng)性，為避免總體實施風險過大，結合信息安全建設規(guī)劃階段需求，應采取“總體規(guī)劃，分步實施，先試點，后推廣”的總體思路，協(xié)助逐步提升企業(yè)數(shù)據治理能力。