近年來，數(shù)字化轉(zhuǎn)型成為各行業(yè)創(chuàng)新的關(guān)鍵詞。作為數(shù)字化轉(zhuǎn)型的前提和核心，數(shù)據(jù)在其中扮演著越來越重要的角色。如何保證數(shù)據(jù)安全是企業(yè)制定數(shù)字化轉(zhuǎn)型戰(zhàn)略時不可避免需要回答的問題。

數(shù)據(jù)防泄漏（DLP）技術(shù)的日臻成熟為數(shù)據(jù)安全提供了基礎(chǔ)保障。在DLP項目實施之前，企業(yè)需要根據(jù)行業(yè)和自身企業(yè)特征做好從人員和團隊管理到審查模式、技術(shù)等各方面的準(zhǔn)備工作。

在數(shù)字化時代，數(shù)據(jù)，成為一個企業(yè)創(chuàng)新與發(fā)展的核心，已無法通過枷鎖式的方式來進行管控。數(shù)據(jù)在整個行業(yè)生態(tài)中的流轉(zhuǎn)以及在新興業(yè)務(wù)場景下的使用，促使企業(yè)需要采用更靈活的方式來對數(shù)據(jù)進行管控。數(shù)據(jù)防泄漏(DLP,Data Loss Prevention)技術(shù)應(yīng)運而生并且日臻成熟，已在不同的行業(yè)，尤其是具備敏感的研發(fā)或客戶數(shù)據(jù)的企業(yè)中廣泛應(yīng)用。

2018年Gartner首次將數(shù)據(jù)防泄漏技術(shù)由“魔力象限報告”調(diào)整為《企業(yè)級數(shù)據(jù)泄漏防護市場指南報告》，這跟DLP技術(shù)日趨成熟、越來越多的安全產(chǎn)品包含了DLP功能，比如云訪問安全代理（Cloud Access Security Broker,CASB）不無關(guān)系。

然而，全球企業(yè)數(shù)據(jù)泄露安全事件仍層出不窮。我國的《網(wǎng)絡(luò)安全法》、美國針對健康保險行業(yè)的HIPPA、歐盟的GDPR等法規(guī)對數(shù)據(jù)安全也提出了更嚴(yán)格的要求。目前，我們看到很多企業(yè)選擇較為傳統(tǒng)的DLP工具，也看到市場上的一些技術(shù)創(chuàng)新，如利用人工智能進行內(nèi)容識別。雖然很多企業(yè)部署了DLP，卻無法很好地發(fā)揮其效用，要么事件積累擱置不管，要么花費大量人力進行運維，這都與DLP實施的每一個環(huán)節(jié)息息相關(guān)。今天就簡單聊聊企業(yè)部署推廣DLP的一些方法和注意點。

數(shù)據(jù)防泄漏技術(shù)能實現(xiàn)什么？

數(shù)據(jù)防泄漏保護是通過一定的技術(shù)手段，防止企業(yè)的特定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

對很多新興科技企業(yè)，研發(fā)部門往往是企業(yè)的核心部門，掌握著大量敏感數(shù)據(jù)。關(guān)于企業(yè)內(nèi)部泄密有很多大家耳熟能詳?shù)膱鼍埃?/p>

研發(fā)工程師在離職前，將核心技術(shù)源代碼下載至個人電腦，并加入競爭對手公司或創(chuàng)立自己的公司

自主設(shè)計的產(chǎn)品信息被發(fā)現(xiàn)在黑市交易，例如，源代碼、設(shè)計圖紙、技術(shù)規(guī)范等

企業(yè)員工將高敏感度的公司信息（如企業(yè)戰(zhàn)略、營銷計劃、科研產(chǎn)品信息等）上傳至公共論壇或社交網(wǎng)站上

以上場景只是數(shù)據(jù)泄露場景的冰山一角，數(shù)據(jù)防泄漏對于很多企業(yè)來說是至關(guān)重要，且能夠直接為企業(yè)進行止損。

而傳統(tǒng)的DLP系統(tǒng)可以在數(shù)據(jù)存儲和傳輸過程中進行實時掃描，識別這些數(shù)據(jù)是否違反現(xiàn)有策略規(guī)則，進而對數(shù)據(jù)外發(fā)事件進行靜默審計，隔離可疑文件，加密數(shù)據(jù)或直接阻攔傳輸。

DLP實施前要提前做好什么工作？

為了更精準(zhǔn)地保護企業(yè)的敏感數(shù)據(jù)，提升后期DLP運維的效率，在實施DLP項目之前，有幾件需要提前做好的工作：

數(shù)據(jù)分類分級：

企業(yè)需要針對自身所持有的數(shù)據(jù)進行分級分類，而后對特定等級的數(shù)據(jù)進行DLP策略的實施。如：企業(yè)將數(shù)據(jù)分級為絕密、機密、內(nèi)部、公開四個等級，并僅針對絕密和機密數(shù)據(jù)實施數(shù)據(jù)防泄漏保護。部分行業(yè)有專門針對數(shù)據(jù)分級分類的國家政策規(guī)定或指導(dǎo)，如證券期貨行業(yè)的《證券期貨類數(shù)據(jù)分級分類指引》，企業(yè)可根據(jù)國家規(guī)定、行業(yè)實踐進行相應(yīng)的數(shù)據(jù)分級分類工作。

人員角色和崗位權(quán)限定義：

一般情況下DLP產(chǎn)品會讀取企業(yè)的AD（Active Directory）域信息來進行管控。如果企業(yè)實施精細(xì)化管理，AD域的準(zhǔn)確性將會是一個影響DLP管理效果的重要因素，否則企業(yè)人工維護人員信息需要投入的人力成本將會非常高。

內(nèi)部溝通：

由于有很多企業(yè)會部署終端DLP，這將需要在員工電腦上安裝軟件并且可能會影響到員工的日常操作流程，管理層的重視與支持，自上而下進行推廣，對于一個DLP項目的成功實施至關(guān)重要。同時實施過程的數(shù)據(jù)識別、運維階段的事件處理，都離不開業(yè)務(wù)部門的支持，這都需要在實施前進行充分的溝通。

DLP實施應(yīng)從哪些技術(shù)層面進行考量？

目前市場上使用比較多的DLP類型有終端DLP，網(wǎng)絡(luò)DLP以及郵件DLP。

終端DLP會針對所安裝的終端的數(shù)據(jù)使用行為做監(jiān)控，這也是目前應(yīng)用范圍最廣的DLP類型。即使設(shè)備在離線的狀態(tài)，只要策略已經(jīng)在終端生效，也會實施相應(yīng)的管控措施。

網(wǎng)絡(luò)DLP一般是放在企業(yè)內(nèi)網(wǎng)出口位置，可以對發(fā)送的信息做第二道審核。同時有些產(chǎn)品為了減輕終端壓力，圖像識別功能（如掃描的圖片，截圖或非文字轉(zhuǎn)換為PDF的文檔）也是放在網(wǎng)絡(luò)DLP中。

郵件DLP一般是部署在郵件服務(wù)器上，對于郵件發(fā)放進行審核。有的企業(yè)郵箱是在外網(wǎng)可以登陸的，此種方式可以減少這種在外網(wǎng)通過企業(yè)郵箱發(fā)送數(shù)據(jù)而產(chǎn)生數(shù)據(jù)泄露的風(fēng)險。

DLP策略是整個實施過程的核心，策略的準(zhǔn)確性和覆蓋性會直接影響到DLP項目的成敗?？梢苑譃樗膫€維度來進行考慮，分別為：數(shù)據(jù)的識別規(guī)則，策略生效的范圍，安全應(yīng)對策略和數(shù)據(jù)傳輸方式。

數(shù)據(jù)的識別規(guī)則：

此維度是指針對特定密級文檔的識別，也就是需要保護的對象。一般類型的文檔可以使用關(guān)鍵字，建立字典或者使用正則表達(dá)式等方法來識別。一些特殊的文件需要針對文件類型來做相應(yīng)的識別方法，如CAD等圖紙類文件。還有一些其他的方式如針對單個文件打指紋等等。大部分DLP產(chǎn)品中會自帶一些可一鍵使用的識別方式，如身份證號、個人簡歷、源代碼等等，由于這些通用性的策略沒有根據(jù)企業(yè)實際情況進行定制化，因此必須在調(diào)優(yōu)過程中逐步進行優(yōu)化。

策略生效的范圍：

此維度是指本條策略生效的終端（人員）。理論上來說，所有策略都是需要針對企業(yè)內(nèi)部所有終端進行下發(fā)，但某些更加嚴(yán)格的策略會需要針對特定群組的員工實施。亦或是有些企業(yè)的研發(fā)環(huán)境與辦公網(wǎng)絡(luò)環(huán)境是隔離的，某些機密文件的策略只需要針對該部門的員工終端實施。

安全應(yīng)對策略：

此維度是指針對這條策略實施怎樣的應(yīng)對方式，如靜默審計、阻攔等等。一般在策略生效之初的優(yōu)化階段，只會對事件做靜默審計以免影響合理的業(yè)務(wù)往來。當(dāng)策略優(yōu)化到誤報量達(dá)到可接受的范圍內(nèi)時，企業(yè)會根據(jù)自身需要調(diào)整策略，進行發(fā)送確認(rèn)或者阻攔等方式。

數(shù)據(jù)傳輸方式：

此維度是指該類型文件所允許的傳輸渠道。如郵件、U盤、網(wǎng)絡(luò)云盤等。企業(yè)需要針對每個類型的文件有清晰的傳輸渠道定義，如某機密文件只可以通過內(nèi)部郵箱發(fā)送，其余渠道都需要阻攔等。

當(dāng)然還有其他一些維度，如針對時間段進行設(shè)置，企業(yè)可根據(jù)自身要求和產(chǎn)品功能進行相關(guān)策略的配置。

從人員及管理方面，應(yīng)當(dāng)進行哪些工作來保證DLP的有效性？

一、當(dāng)DLP投入正式運維后，需要有一定的組織和人員來保障持續(xù)運營，方能及時發(fā)現(xiàn)和處理數(shù)據(jù)泄露事件。

一般情況下，除了安全團隊，企業(yè)內(nèi)部還需要以下幾個團隊：

DLP運維團隊：

DLP運維團隊的所屬部門一般由于企業(yè)實際情況而有所不同。DLP系統(tǒng)后臺管理會由基礎(chǔ)架構(gòu)團隊或者信息安全團隊負(fù)責(zé)，部分企業(yè)可能由合規(guī)團隊負(fù)責(zé)。此團隊主要負(fù)責(zé)DLP后臺的運維，諸如后臺賬號創(chuàng)建、事件、日志審閱等。

應(yīng)急響應(yīng)團隊：

此團隊主要工作是在發(fā)生信息安全事件時，進行相關(guān)的數(shù)據(jù)泄露事件響應(yīng)和處理。團隊成員可包括信息安全團隊相關(guān)負(fù)責(zé)人，各業(yè)務(wù)部門相關(guān)負(fù)責(zé)人，合規(guī)團隊負(fù)責(zé)人，人力資源團隊負(fù)責(zé)人等等。

基礎(chǔ)架構(gòu)支撐團隊：

從終端DLP軟件的推送、網(wǎng)絡(luò)DLP的部署，到服務(wù)器資源配置等，都需要基礎(chǔ)架構(gòu)團隊的參與，方能從技術(shù)上保障DLP工具的落地和運維。

審計團隊：

防范DLP管理過程中可能發(fā)生的二次泄露。

二、事件審查模式的有效建立方能保障數(shù)據(jù)防泄漏的持續(xù)性效果

目前有三種事件審查模式比較常見：

1.信息安全團隊審查：

完全由信息安全團隊來審查DLP后臺事件。這種模式優(yōu)點是由信息安全團隊專人進行事件處理，效率會比較高。但由于安全團隊人員對于業(yè)務(wù)理解度不高，可能無法判斷該業(yè)務(wù)需求是否合理，還需多次與業(yè)務(wù)部門溝通，或存在事件處理結(jié)果不恰當(dāng)?shù)那闆r。

2.業(yè)務(wù)部門審查模式：

完全由業(yè)務(wù)部門來審查DLP后臺事件。這種模式優(yōu)點是各業(yè)務(wù)部門出于對自身業(yè)務(wù)的了解，能更加有效地判斷事件是否為真實的信息安全事件。但是這種模式存在以下幾種缺點：

業(yè)務(wù)部門調(diào)查人員可能存在包庇行為，或業(yè)務(wù)部門內(nèi)部解決而不報告安全部門的情況

由于DLP實施前期誤報可能比較多，造成業(yè)務(wù)部門調(diào)查人員積極性不高，并且當(dāng)大量誤報形成時會導(dǎo)致潛在信息安全事件被淹沒

對調(diào)查人員本身及其上司的信息泄露事件可能有所缺失

3.混合團隊審查模式：

由信息安全團隊和業(yè)務(wù)部門混合調(diào)查。這種模式主要可以理解為，信息安全團隊對后臺事件先進行篩選，剔除掉重復(fù)或者明顯是誤報的事件，隨后將各業(yè)務(wù)部門的潛在安全事件分配給業(yè)務(wù)部門調(diào)查人員進行確認(rèn)。當(dāng)然，這種混合型審查模式也是有缺點的，過于依賴信息安全團隊人員的篩選，分配事件的時間較長，事件調(diào)查的時效性會比較差。

三、相關(guān)數(shù)據(jù)防泄漏流程的建立：

相對DLP技術(shù)產(chǎn)品或設(shè)備的落地實施而言，企業(yè)建立相關(guān)流程無疑可以保證各個控制節(jié)點的協(xié)作運行。數(shù)據(jù)防泄漏的流程，需要與其他很多流程和規(guī)范相結(jié)合方能更好地執(zhí)行，如數(shù)據(jù)分級分類、數(shù)據(jù)外發(fā)流程、安全事件響應(yīng)流程等。在數(shù)據(jù)防泄漏的流程中，可以包括但不限于：各部門及團隊的職責(zé)與權(quán)限、數(shù)據(jù)防泄漏策略變更、數(shù)據(jù)安全事件響應(yīng)與處罰、數(shù)據(jù)外發(fā)申請等。

如何從技術(shù)方面提升DLP運營的效率？

圍繞特定敏感數(shù)據(jù)資產(chǎn)的全生命周期進行管理，而不僅僅是DLP產(chǎn)品所覆蓋的環(huán)節(jié)，將帶給數(shù)據(jù)安全管理員更具前瞻性、全局性的視野。

在企業(yè)DLP實施完成之后，對于策略以及流程的優(yōu)化至關(guān)重要，能夠極大降低人力的花費。然而，由于傳統(tǒng)的DLP系統(tǒng)的局限性，在諸如大量事件分析及用戶操作可見性方面，仍會顯得有些不足。這是可以使用某些安全信息和事件管理（SIEM）產(chǎn)品，將DLP后臺的事件信息導(dǎo)入，并制定相關(guān)規(guī)則進行分析。

此外，企業(yè)可以使用UEBA（用戶實體行為分析）的方法對海量數(shù)據(jù)進行分析，對內(nèi)部用戶訪問數(shù)據(jù)的數(shù)量、關(guān)系、序列進行多維度計算，形成用戶行為正常行為基線，并檢測出偏離正常基線的異常行為。這樣可以更加有效地減少誤報，發(fā)現(xiàn)真正可疑的信息安全事件。

總結(jié)

雖然傳統(tǒng)DLP工具有一定的局限性，也有不少亟待解決的數(shù)據(jù)安全管理困境，但有效的策略配置、優(yōu)化的管理流程和人員意識教育，在很大程度上能夠幫助企業(yè)降低員工有意無意的核心數(shù)據(jù)泄露風(fēng)險，在識別、處理和響應(yīng)安全事件上贏得先機。