数据防泄露技术小结

在数据时代，通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生，但随着网络安全防护设施的普及和加强，明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷，导致数据的窃取、篡改和非法使用等威胁。同时内部数据安全威胁也非常严重，内部人员有意或无意行为引发的数据安全风险、敏感个人信息非法利用严重侵害个人权益、业务频繁变化引起的数据误用、滥用。

基础定义

数据防泄露（DLP）指的是使用先进的内容分析技术，在统一的管理控制台内对静止的、流转的、使用的敏感数据进行保护的系统，是当前支撑数据资产保护的重要技术之一。

OCR （Optical Character Recognition），光学字符识别：是指电子设备检查图片上的字符，用字符识别方法将形状翻译成计算机文字的过程。

DLP（Data Loss Prevention，数据防泄露）：是通过一定的技术手段，防止组织内敏感数据或信息资产， 以违反安全策略规定的形式流出组织的一种策略。

SMTP（Simple Mail Transfer Protocol，简单邮件传输的协议）：主要用于系统之间的邮件信息传递，并提供有关来信的通知。

HTTP/HTTPS（Hyper Text Transfer Protocol，超文本传输协议）：是一个简单的请求 - 响应协议。HTTPS 在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。

Hadoop：利用集群进行高速运算和存储的分布式数据库。

IP（Internet Protocol，网际互连协议）：是 TCP/IP 体系中的网络层协议，为主机提供数据包传输服务。

HTTP Post：HTTP 请求方法之一，向指定资源提交数据进行处理请求，数据被包含在请求体中。

HTTP Response：HTTP 响应方法，在接收 HTTP 请求消息后，服务器会返回一个 HTTP 响应消息。

LDAP（Lightweight Directory Access Protocol，轻型目录访问协议）：轻量级的目录存储协议，通过 IP 协议提供访问控制和维护分布式信息的目录信息。

SIEM ( Security Information Event Management，安全信息与事件管理）：收集网络内的主机系统，安全设备和应用程序生成的日志以及事件数据，并在集中平台上进行整理分析。

SOC（Security Operations Center，安全管理平台）：收集网络内资产的安全信息，通过对收集到的各种安全事件进行深层的分析、统计和关联，及时反映被管理资产的安全情况。

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）：局域网的网络协议。使网络 环境中的主机动态的获得 IP 地址、Gateway 地址、DNS 服务器地址等信息。

ICAP（Internet Content Adaptation Protocol，图像采集接口）：用来从一个传感器捕捉图像数据。

USB（Universal Serial Bus，通用串行总线）：计算机或其他智能设备与外部设备连接的接口技术。

CDROM（Compact Disc Read-Only Memory，紧凑型光盘只读储存器）：只读光盘。

DLP的应用

数据防泄露（DLP）为实现数据分类分级保护提供技术支撑；

2、数据防泄露（DLP）在数据生命周期提供安全防护；

数据防泄露贯穿于数据生命周期的全过程。从数据的生成开始，到数据的存储、应用、传输、备份归档到数据的销毁，每一个步骤都有相应的数据防泄露技术作为支撑。

3、对使用中的数据进行权限细分，并进行相应的控制。

DLP核心技术

1、方案部署

a）分布式部署架构（分层管理）：DLP 系统应支持在多个监控位置部署，这些监控节点应该能够将所有 DLP 事件发送回中央管理服务器以便形成工作流、报告、调查和归档，应支持分层部署，支持在不同区域的管理服务器上运行不同区域的策略。

b）策略分级部署：DLP 系统应支持对下属机构设置独立的管理员，对所管理的区域对像放开策略设置、事件查看、报告查看等功能；管理员的功能模块不可以超出上级管理员；为了满足统一策略集中管理的需求，总管理员可以向下属机构进行策略推送，子管理员可以对总管理员推送的策略进行查看，但无法进行编辑和删除的动作。

c）证据文件外置部署：DLP 系统应能够对数据泄露事件提供证据文件外部保存能力，可采用外置文件存储（NFS/SMB）的方式进行集中存储。

d）管理服务器高可用 ：DLP 系统应支持使用两台管理服务器进行主备模式部署，如果主服务器关闭或服务不可用，备用服务器将自动接替行使管理功能。

e）数据库高可用 ：DLP 系统应支持数据库服务集群部署，通过虚拟 IP 技术使数据库节点保持高可用状态，如果主数据库活动节点关闭或不可用时，备用节点将接管活动角色，入库日志、事件、证据、配置等保持同步且不丢失。

2、策略定制

a）内容检测的组合检测：由于 DLP 系统中存在众多内容识别分类器，每个分类器均可以独立配置作为内容识别的手段。

b）检测对象的锁定与过滤：通常，DLP 的检测对象可以涵盖两类对象，分别是检测对象和检测通道。检测对象一般指发送数据来源 / 目的、邮件地址、组织架构等，而检测通道则泛指网络通道和终端通道这两种通道类型。利用 DLP 的检测对象过滤功能，应更加精准地锁定检测的范围和目标，使得检测结果更加准确。

c） 策略响应动作 ：策略的响应动作是指当流量或执行的动作命中了预设的检测策略后，针对不同的通道在网络侧或终端侧执行的动作，通常情况下的动作执行包括但不限于放行、阻止、隔离、确认、个人密钥加密等。

d） 策略触发通知 ：在运维工作中，当最终用户的动作命中了检测策略，管理员应可以在不登陆 DLP 系统的情况下及时获知触发策略的事件行为。DLP 系统可以通过执行发送邮件通知，提醒特定人员等相关事件的发生。通知的内容应该支持定制和常见的变量引用，如：企业特定的 Logo、公司名称、邮件主题、正文内容等。

3、数据识别

数据识别技术是 DLP 解决方案中使用各种技术分析深层内容的能力。当前全球主流 DLP 产品所支持的数据识别技术根据其匹配敏感信息的精准程度，至下而上依次为：关键字识别、字典权重识别、正则表达式识别、文件属性识别、图像内容识别、自然语言分析处理、标签识别、机器学习识别 和 指纹识别 共计 9 种。检验 DLP 产品是否具有完备及可用的数据识别技术是检验 DLP 产品最核心的功能指标。

4、管理与控制

a）统一管理控制台：全套 DLP 解决方案的一个独特而关键的功能是完善的中央管理控制能力，应可以管理覆盖包括“发现、网络、 邮件、终端、应用、移动”等所有 DLP 技术架构下的安全组件，从而实现对移动数据、静止数据和使用中数据的覆盖范围、创建和管理策略、报告和事件工作流进行相应的管控。

b）策略多模块分发：策略多模块分发是指最终用户不需要为各 DLP 模块设置不同的检测策略，通过控制台即可集中为 DLP 产品各模块下发统一的检测策略 , 也可以单独为某个 DLP 产品模块或模块组合下发独立策略。

c）预置策略：预置模板是指为了方便 DLP 用户更加便捷的使用数据防泄露产品，DLP 系统在内部提前给使用者定制好检测内容的检测模板。预置策略模板应该是开箱即用并能对外发的数据进行有效且精确的识别。

d）角色管理：DLP 系统应该允许基于角色的内部管理来进行内部管理任务以及监视和执行。在内部可以将用户分配到管理和策略组以分离职责，为监视和执行提供灵活的支持，使之能投入到不同的策略管理工作中。

e）多权分立 系统应支持多权分立方式登陆管理平台，包括：系统管理员（负责系统管理），安全管理员（负责审批管理）， 审计管理员（负责审计管理），事件管理员（负责事件审计）

f）策略审批部署：在实现分权管理后，DLP 系统应支持使用特定角色对发布的检测策略进行有效性稽核及审批生效的工作，满足了大型机构对 DLP 管理权限分离的需求，降低了因错误 DLP 策略对生产或办公业务产生影响的可能性。

g）接口集成：DLP 系统应支持在组织内对接特定的集成产品，包括并不局限于 SIEM、SOC、甚至是安全自动化运维平台等，具备细颗粒度的事件外发能力。同时 DLP 系统应支持与运维系统进行对接，通过 API 对策略中的来源和目标进行增加、删除和修改的动作。

h）用户识别：事件管理需要合理利用组织内的用户信息，将所有违规者与用户身份数据关联起来，DLP 系统应可以支持基于用户的认证（Active Directory）登录，从而使 DHCP 租约信息与企业登陆用户联系起来，将身份信息的上下文关联添加到每个事件告警中，避免将策略违规与正常用户联系在一起。

5、分析与报告

DLP 系统应具备提供实时告警及对受保护数据实时分析的能力，及时通知组织内安全人员有关泄露或违规事件的信息，并根据需要采取手动操作。这对于涉及到核心数据资产外泄或严重的违规事件的及时处理特别有用。

其次，分析和报告功能可帮助 DLP 管理员密切关注数据的整体安全性以及解决方案的效能，应能提供相应的 合规报告，以确保组织满足相应的合规要求。

a）事件处理：事件处理队列，是指分配给 DLP 管理员进行事件处理程序但事件仍处在处理阶段的事件摘要。每一个事件可以对任何字段进行排序或过滤，包括通道，违反策略，用户，事件状态和处理流程。

b）事件日志：DLP 系统应具备记录单个事件的详细信息能力，包括但不限于事件类型、发生时间、上报时间、发送者、接收者、违反策略、告警级别等内容。

c）事件工作流：DLP 系统应具备多种工作流程，所有工作流记录都必须包含：发送者、接收者、传输方式、所涉及内容的类型、内容的安全等级以及实际内容本身。这将为安全团队提供调整策略，纠正数据滥用和跟踪潜在高风险用户所需的相关信息。

d）格式化显示：DLP 系统应支持对使用 Webmail 外发敏感数据时，能够在事件详情内智能格式化展现邮件发送人、邮件接送者、邮件抄送者、邮件密送者、邮件主题等相关信息。

e）事件关联合并：DLP 系统应支持对短期内同一来源及同一目标和同一外泄方式的相似事件进行合并展示 ，降低管理员处理事件的复杂性，减少问题处理时间。

f）日志查询功能：DLP 系统应具备完善的日志查询功能，支持按不同参数进行查询、过滤和排序报告。可以通过相应的过滤器，对所有的日志进行精确查询和报告，例如：用户组、策略组、策略规则、严重性、用户名等。

g）基于用户的报告 DLP 系统应可以针对个人风险值、个人风险排名、个人事件数据统计等生成以人为中心的报告。

h）数据分类查询：DLP 系统应提供基于“数据分类”并且以数据分类的形式来呈现数据安全报告。

DLP应用场景

DLP 解决方案既能保护敏感数据，又能深入了解组织内数据的使用情况。DLP 帮助安全人员更好地理解数据，并提高其分类和管理内容的能力。

如下图所示：全套 DLP 解决方案需要提供对整个组织的网络、邮件、数据库、移动应用、端点、内部业务应用的全面覆盖。

1、发现DLP

2、网络DLP

3、邮件DLP

4、终端DLP

5、应用DLP

6、移动DLP