近年來(lái)，數(shù)字化轉(zhuǎn)型成為各行業(yè)創(chuàng)新的關(guān)鍵詞。作為數(shù)字化轉(zhuǎn)型的前提和核心，數(shù)據(jù)在其中扮演著越來(lái)越重要的角色。如何保證數(shù)據(jù)安全是企業(yè)制定數(shù)字化轉(zhuǎn)型戰(zhàn)略時(shí)不可避免需要回答的問(wèn)題。

數(shù)據(jù)防泄漏（DLP）技術(shù)的日臻成熟為數(shù)據(jù)安全提供了基礎(chǔ)保障。在DLP項(xiàng)目實(shí)施之前，企業(yè)需要根據(jù)行業(yè)和自身企業(yè)特征做好從人員和團(tuán)隊(duì)管理到審查模式、技術(shù)等各方面的準(zhǔn)備工作。

在數(shù)字化時(shí)代，數(shù)據(jù)，成為一個(gè)企業(yè)創(chuàng)新與發(fā)展的核心，已無(wú)法通過(guò)枷鎖式的方式來(lái)進(jìn)行管控。數(shù)據(jù)在整個(gè)行業(yè)生態(tài)中的流轉(zhuǎn)以及在新興業(yè)務(wù)場(chǎng)景下的使用，促使企業(yè)需要采用更靈活的方式來(lái)對(duì)數(shù)據(jù)進(jìn)行管控。數(shù)據(jù)防泄漏(DLP,Data Loss Prevention)技術(shù)應(yīng)運(yùn)而生并且日臻成熟，已在不同的行業(yè)，尤其是具備敏感的研發(fā)或客戶(hù)數(shù)據(jù)的企業(yè)中廣泛應(yīng)用。

2018年Gartner首次將數(shù)據(jù)防泄漏技術(shù)由“魔力象限報(bào)告”調(diào)整為《企業(yè)級(jí)數(shù)據(jù)泄漏防護(hù)市場(chǎng)指南報(bào)告》，這跟DLP技術(shù)日趨成熟、越來(lái)越多的安全產(chǎn)品包含了DLP功能，比如云訪(fǎng)問(wèn)安全代理（Cloud Access Security Broker,CASB）不無(wú)關(guān)系。

然而，全球企業(yè)數(shù)據(jù)泄露安全事件仍層出不窮。我國(guó)的《網(wǎng)絡(luò)安全法》、美國(guó)針對(duì)健康保險(xiǎn)行業(yè)的HIPPA、歐盟的GDPR等法規(guī)對(duì)數(shù)據(jù)安全也提出了更嚴(yán)格的要求。目前，我們看到很多企業(yè)選擇較為傳統(tǒng)的DLP工具，也看到市場(chǎng)上的一些技術(shù)創(chuàng)新，如利用人工智能進(jìn)行內(nèi)容識(shí)別。雖然很多企業(yè)部署了DLP，卻無(wú)法很好地發(fā)揮其效用，要么事件積累擱置不管，要么花費(fèi)大量人力進(jìn)行運(yùn)維，這都與DLP實(shí)施的每一個(gè)環(huán)節(jié)息息相關(guān)。今天就簡(jiǎn)單聊聊企業(yè)部署推廣DLP的一些方法和注意點(diǎn)。

數(shù)據(jù)防泄漏技術(shù)能實(shí)現(xiàn)什么？

數(shù)據(jù)防泄漏保護(hù)是通過(guò)一定的技術(shù)手段，防止企業(yè)的特定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

對(duì)很多新興科技企業(yè)，研發(fā)部門(mén)往往是企業(yè)的核心部門(mén)，掌握著大量敏感數(shù)據(jù)。關(guān)于企業(yè)內(nèi)部泄密有很多大家耳熟能詳?shù)膱?chǎng)景：

研發(fā)工程師在離職前，將核心技術(shù)源代碼下載至個(gè)人電腦，并加入競(jìng)爭(zhēng)對(duì)手公司或創(chuàng)立自己的公司

自主設(shè)計(jì)的產(chǎn)品信息被發(fā)現(xiàn)在黑市交易，例如，源代碼、設(shè)計(jì)圖紙、技術(shù)規(guī)范等

企業(yè)員工將高敏感度的公司信息（如企業(yè)戰(zhàn)略、營(yíng)銷(xiāo)計(jì)劃、科研產(chǎn)品信息等）上傳至公共論壇或社交網(wǎng)站上

以上場(chǎng)景只是數(shù)據(jù)泄露場(chǎng)景的冰山一角，數(shù)據(jù)防泄漏對(duì)于很多企業(yè)來(lái)說(shuō)是至關(guān)重要，且能夠直接為企業(yè)進(jìn)行止損。

而傳統(tǒng)的DLP系統(tǒng)可以在數(shù)據(jù)存儲(chǔ)和傳輸過(guò)程中進(jìn)行實(shí)時(shí)掃描，識(shí)別這些數(shù)據(jù)是否違反現(xiàn)有策略規(guī)則，進(jìn)而對(duì)數(shù)據(jù)外發(fā)事件進(jìn)行靜默審計(jì)，隔離可疑文件，加密數(shù)據(jù)或直接阻攔傳輸。

DLP實(shí)施前要提前做好什么工作？

為了更精準(zhǔn)地保護(hù)企業(yè)的敏感數(shù)據(jù)，提升后期DLP運(yùn)維的效率，在實(shí)施DLP項(xiàng)目之前，有幾件需要提前做好的工作：

數(shù)據(jù)分類(lèi)分級(jí)：

企業(yè)需要針對(duì)自身所持有的數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)，而后對(duì)特定等級(jí)的數(shù)據(jù)進(jìn)行DLP策略的實(shí)施。如：企業(yè)將數(shù)據(jù)分級(jí)為絕密、機(jī)密、內(nèi)部、公開(kāi)四個(gè)等級(jí)，并僅針對(duì)絕密和機(jī)密數(shù)據(jù)實(shí)施數(shù)據(jù)防泄漏保護(hù)。部分行業(yè)有專(zhuān)門(mén)針對(duì)數(shù)據(jù)分級(jí)分類(lèi)的國(guó)家政策規(guī)定或指導(dǎo)，如證券期貨行業(yè)的《證券期貨類(lèi)數(shù)據(jù)分級(jí)分類(lèi)指引》，企業(yè)可根據(jù)國(guó)家規(guī)定、行業(yè)實(shí)踐進(jìn)行相應(yīng)的數(shù)據(jù)分級(jí)分類(lèi)工作。

人員角色和崗位權(quán)限定義：

一般情況下DLP產(chǎn)品會(huì)讀取企業(yè)的AD（Active Directory）域信息來(lái)進(jìn)行管控。如果企業(yè)實(shí)施精細(xì)化管理，AD域的準(zhǔn)確性將會(huì)是一個(gè)影響DLP管理效果的重要因素，否則企業(yè)人工維護(hù)人員信息需要投入的人力成本將會(huì)非常高。

內(nèi)部溝通：

由于有很多企業(yè)會(huì)部署終端DLP，這將需要在員工電腦上安裝軟件并且可能會(huì)影響到員工的日常操作流程，管理層的重視與支持，自上而下進(jìn)行推廣，對(duì)于一個(gè)DLP項(xiàng)目的成功實(shí)施至關(guān)重要。同時(shí)實(shí)施過(guò)程的數(shù)據(jù)識(shí)別、運(yùn)維階段的事件處理，都離不開(kāi)業(yè)務(wù)部門(mén)的支持，這都需要在實(shí)施前進(jìn)行充分的溝通。

DLP實(shí)施應(yīng)從哪些技術(shù)層面進(jìn)行考量？

目前市場(chǎng)上使用比較多的DLP類(lèi)型有終端DLP，網(wǎng)絡(luò)DLP以及郵件DLP。

終端DLP會(huì)針對(duì)所安裝的終端的數(shù)據(jù)使用行為做監(jiān)控，這也是目前應(yīng)用范圍最廣的DLP類(lèi)型。即使設(shè)備在離線(xiàn)的狀態(tài)，只要策略已經(jīng)在終端生效，也會(huì)實(shí)施相應(yīng)的管控措施。

網(wǎng)絡(luò)DLP一般是放在企業(yè)內(nèi)網(wǎng)出口位置，可以對(duì)發(fā)送的信息做第二道審核。同時(shí)有些產(chǎn)品為了減輕終端壓力，圖像識(shí)別功能（如掃描的圖片，截圖或非文字轉(zhuǎn)換為PDF的文檔）也是放在網(wǎng)絡(luò)DLP中。

郵件DLP一般是部署在郵件服務(wù)器上，對(duì)于郵件發(fā)放進(jìn)行審核。有的企業(yè)郵箱是在外網(wǎng)可以登陸的，此種方式可以減少這種在外網(wǎng)通過(guò)企業(yè)郵箱發(fā)送數(shù)據(jù)而產(chǎn)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

DLP策略是整個(gè)實(shí)施過(guò)程的核心，策略的準(zhǔn)確性和覆蓋性會(huì)直接影響到DLP項(xiàng)目的成敗。可以分為四個(gè)維度來(lái)進(jìn)行考慮，分別為：數(shù)據(jù)的識(shí)別規(guī)則，策略生效的范圍，安全應(yīng)對(duì)策略和數(shù)據(jù)傳輸方式。

數(shù)據(jù)的識(shí)別規(guī)則：

此維度是指針對(duì)特定密級(jí)文檔的識(shí)別，也就是需要保護(hù)的對(duì)象。一般類(lèi)型的文檔可以使用關(guān)鍵字，建立字典或者使用正則表達(dá)式等方法來(lái)識(shí)別。一些特殊的文件需要針對(duì)文件類(lèi)型來(lái)做相應(yīng)的識(shí)別方法，如CAD等圖紙類(lèi)文件。還有一些其他的方式如針對(duì)單個(gè)文件打指紋等等。大部分DLP產(chǎn)品中會(huì)自帶一些可一鍵使用的識(shí)別方式，如身份證號(hào)、個(gè)人簡(jiǎn)歷、源代碼等等，由于這些通用性的策略沒(méi)有根據(jù)企業(yè)實(shí)際情況進(jìn)行定制化，因此必須在調(diào)優(yōu)過(guò)程中逐步進(jìn)行優(yōu)化。

策略生效的范圍：

此維度是指本條策略生效的終端（人員）。理論上來(lái)說(shuō)，所有策略都是需要針對(duì)企業(yè)內(nèi)部所有終端進(jìn)行下發(fā)，但某些更加嚴(yán)格的策略會(huì)需要針對(duì)特定群組的員工實(shí)施。亦或是有些企業(yè)的研發(fā)環(huán)境與辦公網(wǎng)絡(luò)環(huán)境是隔離的，某些機(jī)密文件的策略只需要針對(duì)該部門(mén)的員工終端實(shí)施。

安全應(yīng)對(duì)策略：

此維度是指針對(duì)這條策略實(shí)施怎樣的應(yīng)對(duì)方式，如靜默審計(jì)、阻攔等等。一般在策略生效之初的優(yōu)化階段，只會(huì)對(duì)事件做靜默審計(jì)以免影響合理的業(yè)務(wù)往來(lái)。當(dāng)策略?xún)?yōu)化到誤報(bào)量達(dá)到可接受的范圍內(nèi)時(shí)，企業(yè)會(huì)根據(jù)自身需要調(diào)整策略，進(jìn)行發(fā)送確認(rèn)或者阻攔等方式。

數(shù)據(jù)傳輸方式：

此維度是指該類(lèi)型文件所允許的傳輸渠道。如郵件、U盤(pán)、網(wǎng)絡(luò)云盤(pán)等。企業(yè)需要針對(duì)每個(gè)類(lèi)型的文件有清晰的傳輸渠道定義，如某機(jī)密文件只可以通過(guò)內(nèi)部郵箱發(fā)送，其余渠道都需要阻攔等。

當(dāng)然還有其他一些維度，如針對(duì)時(shí)間段進(jìn)行設(shè)置，企業(yè)可根據(jù)自身要求和產(chǎn)品功能進(jìn)行相關(guān)策略的配置。

從人員及管理方面，應(yīng)當(dāng)進(jìn)行哪些工作來(lái)保證DLP的有效性？

一、當(dāng)DLP投入正式運(yùn)維后，需要有一定的組織和人員來(lái)保障持續(xù)運(yùn)營(yíng)，方能及時(shí)發(fā)現(xiàn)和處理數(shù)據(jù)泄露事件。

一般情況下，除了安全團(tuán)隊(duì)，企業(yè)內(nèi)部還需要以下幾個(gè)團(tuán)隊(duì)：

DLP運(yùn)維團(tuán)隊(duì)：

DLP運(yùn)維團(tuán)隊(duì)的所屬部門(mén)一般由于企業(yè)實(shí)際情況而有所不同。DLP系統(tǒng)后臺(tái)管理會(huì)由基礎(chǔ)架構(gòu)團(tuán)隊(duì)或者信息安全團(tuán)隊(duì)負(fù)責(zé)，部分企業(yè)可能由合規(guī)團(tuán)隊(duì)負(fù)責(zé)。此團(tuán)隊(duì)主要負(fù)責(zé)DLP后臺(tái)的運(yùn)維，諸如后臺(tái)賬號(hào)創(chuàng)建、事件、日志審閱等。

應(yīng)急響應(yīng)團(tuán)隊(duì)：

此團(tuán)隊(duì)主要工作是在發(fā)生信息安全事件時(shí)，進(jìn)行相關(guān)的數(shù)據(jù)泄露事件響應(yīng)和處理。團(tuán)隊(duì)成員可包括信息安全團(tuán)隊(duì)相關(guān)負(fù)責(zé)人，各業(yè)務(wù)部門(mén)相關(guān)負(fù)責(zé)人，合規(guī)團(tuán)隊(duì)負(fù)責(zé)人，人力資源團(tuán)隊(duì)負(fù)責(zé)人等等。

基礎(chǔ)架構(gòu)支撐團(tuán)隊(duì)：

從終端DLP軟件的推送、網(wǎng)絡(luò)DLP的部署，到服務(wù)器資源配置等，都需要基礎(chǔ)架構(gòu)團(tuán)隊(duì)的參與，方能從技術(shù)上保障DLP工具的落地和運(yùn)維。

審計(jì)團(tuán)隊(duì)：

防范DLP管理過(guò)程中可能發(fā)生的二次泄露。

二、事件審查模式的有效建立方能保障數(shù)據(jù)防泄漏的持續(xù)性效果

目前有三種事件審查模式比較常見(jiàn)：

1.信息安全團(tuán)隊(duì)審查：

完全由信息安全團(tuán)隊(duì)來(lái)審查DLP后臺(tái)事件。這種模式優(yōu)點(diǎn)是由信息安全團(tuán)隊(duì)專(zhuān)人進(jìn)行事件處理，效率會(huì)比較高。但由于安全團(tuán)隊(duì)人員對(duì)于業(yè)務(wù)理解度不高，可能無(wú)法判斷該業(yè)務(wù)需求是否合理，還需多次與業(yè)務(wù)部門(mén)溝通，或存在事件處理結(jié)果不恰當(dāng)?shù)那闆r。

2.業(yè)務(wù)部門(mén)審查模式：

完全由業(yè)務(wù)部門(mén)來(lái)審查DLP后臺(tái)事件。這種模式優(yōu)點(diǎn)是各業(yè)務(wù)部門(mén)出于對(duì)自身業(yè)務(wù)的了解，能更加有效地判斷事件是否為真實(shí)的信息安全事件。但是這種模式存在以下幾種缺點(diǎn)：

業(yè)務(wù)部門(mén)調(diào)查人員可能存在包庇行為，或業(yè)務(wù)部門(mén)內(nèi)部解決而不報(bào)告安全部門(mén)的情況

由于DLP實(shí)施前期誤報(bào)可能比較多，造成業(yè)務(wù)部門(mén)調(diào)查人員積極性不高，并且當(dāng)大量誤報(bào)形成時(shí)會(huì)導(dǎo)致潛在信息安全事件被淹沒(méi)

對(duì)調(diào)查人員本身及其上司的信息泄露事件可能有所缺失

3.混合團(tuán)隊(duì)審查模式：

由信息安全團(tuán)隊(duì)和業(yè)務(wù)部門(mén)混合調(diào)查。這種模式主要可以理解為，信息安全團(tuán)隊(duì)對(duì)后臺(tái)事件先進(jìn)行篩選，剔除掉重復(fù)或者明顯是誤報(bào)的事件，隨后將各業(yè)務(wù)部門(mén)的潛在安全事件分配給業(yè)務(wù)部門(mén)調(diào)查人員進(jìn)行確認(rèn)。當(dāng)然，這種混合型審查模式也是有缺點(diǎn)的，過(guò)于依賴(lài)信息安全團(tuán)隊(duì)人員的篩選，分配事件的時(shí)間較長(zhǎng)，事件調(diào)查的時(shí)效性會(huì)比較差。

三、相關(guān)數(shù)據(jù)防泄漏流程的建立：

相對(duì)DLP技術(shù)產(chǎn)品或設(shè)備的落地實(shí)施而言，企業(yè)建立相關(guān)流程無(wú)疑可以保證各個(gè)控制節(jié)點(diǎn)的協(xié)作運(yùn)行。數(shù)據(jù)防泄漏的流程，需要與其他很多流程和規(guī)范相結(jié)合方能更好地執(zhí)行，如數(shù)據(jù)分級(jí)分類(lèi)、數(shù)據(jù)外發(fā)流程、安全事件響應(yīng)流程等。在數(shù)據(jù)防泄漏的流程中，可以包括但不限于：各部門(mén)及團(tuán)隊(duì)的職責(zé)與權(quán)限、數(shù)據(jù)防泄漏策略變更、數(shù)據(jù)安全事件響應(yīng)與處罰、數(shù)據(jù)外發(fā)申請(qǐng)等。

如何從技術(shù)方面提升DLP運(yùn)營(yíng)的效率？

圍繞特定敏感數(shù)據(jù)資產(chǎn)的全生命周期進(jìn)行管理，而不僅僅是DLP產(chǎn)品所覆蓋的環(huán)節(jié)，將帶給數(shù)據(jù)安全管理員更具前瞻性、全局性的視野。

在企業(yè)DLP實(shí)施完成之后，對(duì)于策略以及流程的優(yōu)化至關(guān)重要，能夠極大降低人力的花費(fèi)。然而，由于傳統(tǒng)的DLP系統(tǒng)的局限性，在諸如大量事件分析及用戶(hù)操作可見(jiàn)性方面，仍會(huì)顯得有些不足。這是可以使用某些安全信息和事件管理（SIEM）產(chǎn)品，將DLP后臺(tái)的事件信息導(dǎo)入，并制定相關(guān)規(guī)則進(jìn)行分析。

此外，企業(yè)可以使用UEBA（用戶(hù)實(shí)體行為分析）的方法對(duì)海量數(shù)據(jù)進(jìn)行分析，對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)的數(shù)量、關(guān)系、序列進(jìn)行多維度計(jì)算，形成用戶(hù)行為正常行為基線(xiàn)，并檢測(cè)出偏離正常基線(xiàn)的異常行為。這樣可以更加有效地減少誤報(bào)，發(fā)現(xiàn)真正可疑的信息安全事件。

總結(jié)

雖然傳統(tǒng)DLP工具有一定的局限性，也有不少亟待解決的數(shù)據(jù)安全管理困境，但有效的策略配置、優(yōu)化的管理流程和人員意識(shí)教育，在很大程度上能夠幫助企業(yè)降低員工有意無(wú)意的核心數(shù)據(jù)泄露風(fēng)險(xiǎn)，在識(shí)別、處理和響應(yīng)安全事件上贏得先機(jī)。