数据防泄露DLP

DLP（Data leakage prevention，数据防泄漏）技术一般分为终端DLP、网络DLP、邮件DLP、数传DLP和存储DLP。与传统的基于边界的防护方式不同，DLP注重数据内容的安全。

文件硬盘数据销毁

技术方法

DLP采用深度内容识别技术，如自然语言、数字指纹、智能学习、图像识别等，通过统一的安全策略，对静态数据、动态数据及使用中的数据进行全方位多层次的分析和保护，对各种违规行为执行监控、阻断等措施，并对数据的全生命周期进行审计，防止企业核心数据以违反安全策略规定的方式流出而泄密，实现对企业最宝贵核心机密数据的保护和管理。DLP识别内容发现风险的根本原则是，将不同的数据类型或内容制定不同的管控策略，一般有如下几个方式定义数据规则：

1、关键字匹配，常用于我们固定的文档模板，如包括“机密”等；

2、正则表达式，常用于个人敏感信息，包括身份证、薪资等敏感信息时；

3、文件指纹信息，用于保护已知的机密文档（如财务报告、战略文件）；

4、数据类型规则，如代码、设计图纸等机密文件。

DLP部署

1 终端DLP

终端DLP安装在企业的终端上，是通过内容识别技术，防止企业敏感文件通过终端泄露的一种数据安全防护技术。DLP能够实现使用的数据和外发的数据进行保护，一般是结合数据标识、数据权限管理或者数据关键字识别等方法，当终端通过网络上传、邮件外发、终端拷贝、聊天软件发送等方式，DLP软件会检测操作的文件，对于有风险的文件进行违规告警或拦截，在风险发生前阻断，从而提高了数据安全性。

2 网络DLP

网络DLP部署在网络出口，或者作为Proxy代理，终端浏览器以网络DLP为网络通道访问互联网。一般来说，网络DLP支持的协议包括电子邮件（SMTP）、web（HTTP）、文件传输（FTP）、文件共享（SMB）和其它自定义的非加密的TCP 会话流量。通过深度内容识别技术对网络传输中的数据进行监控，并根据安全策略产生相关的动作（如阻止、审计、提示），及时阻断敏感数据的外发，同时生成预警日志和审计日志。

3 邮件DLP

邮件DLP的策略通常部署在邮件网关的出口处，这些策略会对所有外发的邮件及其附件进行全面的内容识别和审查，防止其未经授权或意外地发送到外部。与终端DLP类似，这包括但不限于关键字匹配、文件指纹比对、文件类型检测等技术。通过这种方式，系统能够识别出包含敏感信息的邮件——例如，涉及个人身份信息、财务数据、研发代码或设计图纸等机密资料的内容。当邮件正文或附件中检测到违反企业数据保护政策的内容，系统可以自动采取一系列可配置的应对措施：阻止邮件发送、将邮件转发至其主管审核，或记录相关日志由安全团队事后审查等。

4 数传DLP

数传DLP是针对不同区域之间的数据传递时，对敏感数据的一种防护能力。当数据在不同区域之间传递时，往往是通过公司的数传系统，或者是由专人拷贝至专属FTP来完成。对此，如何保证用户传递的数据是业务授权的数据，如何保证专人拷贝的数据不会出错，此时，可以借助数传DLP自动检查传递的数据是否包括机密数据，如果有类似的数据，可以及时通知更高层的主管进行审核确认。

5 存储DLP

存储DLP不同于上述任何一种DLP技术，它专注于静态数据的保护，是对存储在企业内部系统和设备上的敏感信息进行防护，即对在硬盘、文件服务器、云存储等存储介质上的数据提供安全防护。存储DLP会不断监控存储系统中的数据活动，记录所有访问和修改行为。在检测到用户对机密数据的异常行为时，存储DLP系统可以自动执行一系列预定义的响应措施：阻止访问、将文件移动到隔离区、通知安全团队等，并且会提供详细的审计日志以供信息安全团队审查。

DLP引入和使用

根据上面的网络安全分区来说，DLP对应分布如下（存储DLP根据自行需要选择，建议部署在红区）：

1 需要业务与IT配合才能用好DLP

尽管DLP有这么多的防护功能，但如何用好DLP，更取决于业务团队的配合，以及信息安全团队的长期运营。一般来说，信息安全策略越严苛，业务效率影响越大。对于DLP来说，业务部门是否支持事前阻断，或者例行配合安全团队将机密信息梳理，以及信息安全团队能否对这些安全策略维护及时，这些都会影响DLP实际的防护效果，甚至也会影响到业务部门的工作效率。

2 引入DLP的准备条件

是否要引入DLP，这取决于很多方面，通常在如下条件具备的情况下，才建议部署DLP系统：

1、网络区域是否划分得清晰，不同区域之间的数据传递出口是否有相关的数传系统？如果有，则可以考虑数传DLP；

2、外网出口是否已经管控？是否禁止了终端和服务器的上网权限？从严格意义上来说，终端和服务器默认是禁止访问互联网的。对于需要上网的终端和服务器，则通过Proxy上网。此时可以考虑网络DLP；

3、外网发布的系统是否得到管控？从安全角度来说，所有系统都不应该从外网直接访问，只可以通过VPN、零信任或者专属的移动办公App来访问。移动App也需要有沙箱管理能力来确保数据不可落地。在此之外，仍有一些需要在外部访问的系统时，确保不可以直接从外网下载文件，或者下载大量文件时可考虑应用DLP（限于篇幅，应用DLP需要应用系统对接，可监控应用系统的文件下载等活动）；

4、是否有使用SaaS系统？如果有，则需要考虑对SaaS系统的安全提出要求——可与公司建立VPN隧道，只需要在公司内网访问；

5、对于邮件的访问，除了在公司电脑上之外，是否只允许通过具备沙箱能力的专属App来访问？如果是，那么邮件DLP是可以大幅提升安全防护能力，并且对用户来说是无感的；

在上述环境都不太具备的情况下，业务部门又提出了机密文件的防护需求，而这些文件往往都是在个人终端上存放的，比如软件开发代码，项目相关文档等，此时可以考虑终端DLP来监控甚至是防护。

3 DLP运营

除了上述的种种情况，或许DLP的运营才是信息安全团队比较苦恼的事情，因为这次是让DLP发挥作用的根本，也就是说，在启动DLP之前，我们还需要确认业务部门是否可以配合安全团队梳理相关资产、配置相关策略、配合相关审计等等工作。

数据传递

数据传递（Data Transmission）是数据管控中的一个关键环节，因其涉及在不同网络区域、不同设备或不同系统之间的数据流动和交换，需要确保数据在传递过程中的数据安全。

数据传递需要在传递过程中保密、完整可用的前提下，还需要考虑传递的数据就是业务授权的最小数据范围。

一般来说，在网络区域隔离或者服务器之间有隔离的情况下，公司考虑到业务部门的工作效率，需要搭建相关的数传系统，由业务人员申请并上传数据至系统，然后经相关主管审核后，由系统将本区域的数据拷贝至目的区域，然后再通知对方下载数据。

在这个过程中，然后保证数据传递的机密性、完整性和最小授权原则，往往需要考虑数据传递的加密隧道（如HTTPS、SFTP、FTPS等）、数据文件的校验算法（文件的MD5、HASH校验等）、主管易于审核等，还可能需要借助数传DLP来协助业务部门自动审核及预警。

常见的数传系统示意图：

世上本无两全法，对于任何的安全管控，都会带来相应的影响。我们应该如何去管控安全，需要因地制宜，通过不断的磨合调整，逐渐摸索出符合自己的安全管理方法。