关于数据防泄露(DLP)的论述

徐建国

摘 要：随着计算机系统在各行各业的普遍应用，办公文件、设计图纸、财务报表等各类数据都以电子文件的形态，在不同的设备（终端、服务器、网络、移动端、云端）上存储、传输、应用，数据安全已经成为政府、军队、企业及个人最为关注的问题。

关键词：敏感数据;内容识别;数据治理

中图分类号：TP309 文献标识码：A 文章编号：1671-2064（2019）21-0014-02

0 引言

随着社会信息化建设快速推进，政府、企业保密工作面临着非常严峻的形势，尤其是随着信息技术的发展和通信手段的更新换代，计算机网络泄密、移动通信泄密和技术窃密时有发生，特别是智能手机和4G技术的普及，微博、QQ、微信等即时通信软件的应用推广，致泄密渠道越来越宽，窃密的技术越来越高，稍有疏忽，就有泄密可能。

在政府、企业内部，失泄密隐患也存在，主要表现在计算机终端安全管理、信息外发、移动存储介质频繁使用，聊天工作发送资料等。有些部门对保密工作重视度不够，对相关保密工作要求落实不到位，对保密管理制度执行不力，以及个别员工缺乏应有的保密责任和意识造成的。更重要的是数据的价值促成安全威胁的骤然上升，因为幕后的利益成为敏感数据的泄漏最大驱动力，数据价值越高，面临的安全威胁越大。

1 什么是数据防泄露

DLP（Data Leakage Provention），被译为“数据泄露防护”，DLP技术是指在计算机终端、网络边界部署专用检查软件，对客户端本地硬盘、U盘、DVD盘等外设、互联网和外单位网络访问的内容，以及网络存储、网络出口流量中的内容进行识别检查、告警阻断和记录审计，以检测控制企业内部重要敏感信息的未授权使用和传送。

从技术上分析国内外两种DLP产品，可以发现这两种产品源于不同的技术，从本质上是完全不同的两种产品。国外由于法律严格（主动泄密行为少）DLP产品的目标主要是防止信息的无意泄漏，因此在实现手段上多以“检测”“审计”为主。而国内DLP产品的目标是对“有意”、“无意”泄密行为都进行防护，多采取以“内容识别+透明加解密”手段，配合权限控制、审计、端点管理、行为管理等功能，形成整套DLP解决方案的方式。

所以，从本质上看，国内数据防泄漏是基于数据的主动防泄漏，以人为控制为主;而国外数据防泄漏是基于内容的审计，以审计为主。

2 为什么要做数据防泄露

数据防泄漏系统能够帮助解答三个根本的问题：

（1）我都有那些敏感信息？分布在什么地方？

（2）谁在使用这些数据？流转情况怎样？

（3）我如何能够更好的保护这些数据防止其丢失？

为了解决上述问题，数据防泄漏系统需要做到以下三点：

（1）深入文件内容识别与检查;

（2）跨终端、网络和存储系统自动保护敏感数据;

（3）提供事件响应工作流程及审计报表，实现纠正违规行为。

企业信息化目的是为了信息和数据的共享，而数据的生命周期中包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）、销毁四个基本的生命过程。

凭借数据防泄漏系统，企业管理者能够看到有哪些数据库、文件服务器、笔记本电脑和移动存储设备存有敏感数据;能够了解谁在通过电子邮件、IM即时通讯、网盘或是USB存储介质传输使用敏感数据;还可阻断包含敏感数据的边界等通道传输执行，防止企业的敏感信息不被非法的存储、使用和传输。

3 DLP遵循原则

防止数据泄漏并非仅靠信息中心/科技/IT部门便可解决，事实上，数据防泄漏从根本而言是业务问题，它需要不同部门给予不同方面的支持与协作，包括设备负责人、法务遵从负责人、企业风险负责人、人力资源部门、市场营销部门以及销售部门。企业需要在安全层面从传统的安全域、网络安全视角转变为以数据为核心的视角，必然需要弥补很多的空缺和不足。为了保持防护效果，最好的方式是通过绩效考核的方式督促各部门加强数据泄露防护工作，也对员工加强数据防泄露的教育和震撼效果。在具体落地实施，考虑技术手段时，必须结合自身实际情况，选择最容易落地，对现有环境和人员改变最小，影响最小的方式，最大程度体现自动化，对现有工作流程影响最小，最全面的覆盖敏感数据的发现、流转、泄露监控、阻断以及审计，实现数据泄露防护的安全管理闭环。

4 DLP业务逻辑

要达到保护敏感数据的目的首先需要定义和甄别敏感数据。定义与甄别敏感数据是整个DLP业务流程中最开始的环节也是最重要的环节，如果敏感数据的甄别与定义没有做好，DLP系统无法分辨出对于用户业务来说最有价值的数据，那么DLP系统的其他监控与防护功能都将失去准确的目标。做好敏感数据的甄别与定义也是实现对敏感数据差别管控，找到数据使用安全与效率最好平衡点的基础。

但是，对于不同用户来说，敏感数据的定义不同，即便是同行业的不同用户，敏感的定义也可能存在差异。所以要做好敏感数据的甄别与定义，需要同时依靠经验丰富的安全服务团队和技术工具，并按照：数据梳理、分类分级、策略制定的方法论来完成，具体流程见（图1）。

4.1 数据梳理

如果用户敏感数据难以定义，或对自身持有的敏感数据没有清晰界限，那么定義敏感数据则需要一套完整的方法论，我们称其为“数据梳理”，其目的之一就是帮助用户认识和定义敏感数据，进而对敏感数据进行分类分级。数据梳理既是实现敏感数据差别管控方案的核心，也是制定DLP策略的有力辅助。

4.2 分类分级

根据聚类结果得到的用户数据类别，以及类别的语义特征，对用户真实数据进行内容分类，安全服务团队和用户还可以进一步的对已分类的数据根据其他的特征维度（文件类型、大小、位置、流转渠道等）进行进一步的细化分类;在分类的基础上，可以针对数据的不同类别划分不同密级，当同一大类数据需要根据其内容再划分细致级别时，需要将同类数据再进行更细致的分类，以便将某一大类数据再分为更小的类别，再对小类别进行密级划分。

4.3 策略制定

通过对真实数据中同类数据的特征提取（关键字词典、语义特征、数据指纹、文件属性、保存及流转条件等），制定数据识别策略，结合安全服务团队对数据使用行为的分析调研结果，制定最终的数据保护策略，导入DLP，以达到准确识别敏感数据与针对敏感数据不当使用行为的目的;另外用户也可以直观定义敏感数据及保护策略：在定义敏感数据的过程中，如果用户对需要保护的敏感数据定义非常清晰，则可以直接针对此类数据提取特征，比如通过数据相关应用、数据保存格式、数据典型内容（词典、数据标识符、数据指纹）等，制定识别及保护策略。

其次，通过已定义的敏感数据识别策略，对分布在用户机构内部的数据进行全面扫描，发现定位敏感数据。其中包括用户内网中的数据库、文档服务器、邮件服务器、Web服务器、存储、终端办公设备等，以达到对全局敏感数据分布可视的目的，同时对于发现的不当存储敏感信息进行合规整理。

再次，通过已定义的策略，对用户机构内部向内部、内部向外部、终端与外接设备之间的不合规敏感数据流转进行监控，以识别策略为依据，根据使用者的身份、数据内容、使用方式进行自适应响应管控，例如：审计、审批、加密、阻断、移动等。而其中保护动作可以分为自动响应与手动响应两种，自动响应是根据预先制定好的策略自动执行保护动作;而手动响应则是在发现违规情况后由管理员手动审批，执行保护动作。

最后，把敏感数据的发现、监控和保护所产生的事件直观并且系统的展示给用户，以便用户处理与分析，整体逻辑流程见（图2）。

5 结语

数据泄漏防护作为一项长期的工程，需考虑其自身的复杂性和系统性，为避免总体实施风险过大，结合信息安全建设规划阶段需求，应采取“总体规划，分步实施，先试点，后推广”的总体思路，协助逐步提升企业数据治理能力。