數(shù)據(jù)防泄露技術(shù)小結(jié)

在數(shù)據(jù)時代，通過漏洞利用、防護繞過等手段侵入企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)竊取或破壞的安全事件仍常有發(fā)生，但隨著網(wǎng)絡(luò)安全防護設(shè)施的普及和加強，明顯增加了侵入內(nèi)部網(wǎng)絡(luò)的難度。伴生而來的新的攻擊和外部數(shù)據(jù)安全威脅層出不窮，導(dǎo)致數(shù)據(jù)的竊取、篡改和非法使用等威脅。同時內(nèi)部數(shù)據(jù)安全威脅也非常嚴(yán)重，內(nèi)部人員有意或無意行為引發(fā)的數(shù)據(jù)安全風(fēng)險、敏感個人信息非法利用嚴(yán)重侵害個人權(quán)益、業(yè)務(wù)頻繁變化引起的數(shù)據(jù)誤用、濫用。

基礎(chǔ)定義

數(shù)據(jù)防泄露（DLP）指的是使用先進的內(nèi)容分析技術(shù)，在統(tǒng)一的管理控制臺內(nèi)對靜止的、流轉(zhuǎn)的、使用的敏感數(shù)據(jù)進行保護的系統(tǒng)，是當(dāng)前支撐數(shù)據(jù)資產(chǎn)保護的重要技術(shù)之一。

OCR（Optical Character Recognition），光學(xué)字符識別：是指電子設(shè)備檢查圖片上的字符，用字符識別方法將形狀翻譯成計算機文字的過程。

DLP（Data Loss Prevention，數(shù)據(jù)防泄露）：是通過一定的技術(shù)手段，防止組織內(nèi)敏感數(shù)據(jù)或信息資產(chǎn)， 以違反安全策略規(guī)定的形式流出組織的一種策略。

SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸?shù)膮f(xié)議）：主要用于系統(tǒng)之間的郵件信息傳遞，并提供有關(guān)來信的通知。

HTTP/HTTPS（Hyper Text Transfer Protocol，超文本傳輸協(xié)議）：是一個簡單的請求 - 響應(yīng)協(xié)議。HTTPS 在 HTTP 的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性。

Hadoop：利用集群進行高速運算和存儲的分布式數(shù)據(jù)庫。

IP（Internet Protocol，網(wǎng)際互連協(xié)議）：是 TCP/IP 體系中的網(wǎng)絡(luò)層協(xié)議，為主機提供數(shù)據(jù)包傳輸服務(wù)。

HTTP Post：HTTP 請求方法之一，向指定資源提交數(shù)據(jù)進行處理請求，數(shù)據(jù)被包含在請求體中。

HTTP Response：HTTP 響應(yīng)方法，在接收 HTTP 請求消息后，服務(wù)器會返回一個 HTTP 響應(yīng)消息。

LDAP（Lightweight Directory Access Protocol，輕型目錄訪問協(xié)議）：輕量級的目錄存儲協(xié)議，通過 IP 協(xié)議提供訪問控制和維護分布式信息的目錄信息。

SIEM( Security Information Event Management，安全信息與事件管理）：收集網(wǎng)絡(luò)內(nèi)的主機系統(tǒng)，安全設(shè)備和應(yīng)用程序生成的日志以及事件數(shù)據(jù)，并在集中平臺上進行整理分析。

SOC（Security Operations Center，安全管理平臺）：收集網(wǎng)絡(luò)內(nèi)資產(chǎn)的安全信息，通過對收集到的各種安全事件進行深層的分析、統(tǒng)計和關(guān)聯(lián)，及時反映被管理資產(chǎn)的安全情況。

DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）：局域網(wǎng)的網(wǎng)絡(luò)協(xié)議。使網(wǎng)絡(luò) 環(huán)境中的主機動態(tài)的獲得 IP 地址、Gateway 地址、DNS 服務(wù)器地址等信息。

ICAP（Internet Content Adaptation Protocol，圖像采集接口）：用來從一個傳感器捕捉圖像數(shù)據(jù)。

USB（Universal Serial Bus，通用串行總線）：計算機或其他智能設(shè)備與外部設(shè)備連接的接口技術(shù)。

CDROM（Compact Disc Read-Only Memory，緊湊型光盤只讀儲存器）：只讀光盤。

DLP的應(yīng)用

數(shù)據(jù)防泄露（DLP）為實現(xiàn)數(shù)據(jù)分類分級保護提供技術(shù)支撐；

2、數(shù)據(jù)防泄露（DLP）在數(shù)據(jù)生命周期提供安全防護；

數(shù)據(jù)防泄露貫穿于數(shù)據(jù)生命周期的全過程。從數(shù)據(jù)的生成開始，到數(shù)據(jù)的存儲、應(yīng)用、傳輸、備份歸檔到數(shù)據(jù)的銷毀，每一個步驟都有相應(yīng)的數(shù)據(jù)防泄露技術(shù)作為支撐。

3、對使用中的數(shù)據(jù)進行權(quán)限細分，并進行相應(yīng)的控制。

DLP核心技術(shù)

1、方案部署

a）分布式部署架構(gòu)（分層管理）：DLP 系統(tǒng)應(yīng)支持在多個監(jiān)控位置部署，這些監(jiān)控節(jié)點應(yīng)該能夠?qū)⑺?DLP 事件發(fā)送回中央管理服務(wù)器以便形成工作流、報告、調(diào)查和歸檔，應(yīng)支持分層部署，支持在不同區(qū)域的管理服務(wù)器上運行不同區(qū)域的策略。

b）策略分級部署：DLP 系統(tǒng)應(yīng)支持對下屬機構(gòu)設(shè)置獨立的管理員，對所管理的區(qū)域?qū)ο穹砰_策略設(shè)置、事件查看、報告查看等功能；管理員的功能模塊不可以超出上級管理員；為了滿足統(tǒng)一策略集中管理的需求，總管理員可以向下屬機構(gòu)進行策略推送，子管理員可以對總管理員推送的策略進行查看，但無法進行編輯和刪除的動作。

c）證據(jù)文件外置部署：DLP 系統(tǒng)應(yīng)能夠?qū)?shù)據(jù)泄露事件提供證據(jù)文件外部保存能力，可采用外置文件存儲（NFS/SMB）的方式進行集中存儲。

d）管理服務(wù)器高可用 ：DLP 系統(tǒng)應(yīng)支持使用兩臺管理服務(wù)器進行主備模式部署，如果主服務(wù)器關(guān)閉或服務(wù)不可用，備用服務(wù)器將自動接替行使管理功能。

e）數(shù)據(jù)庫高可用 ：DLP 系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)庫服務(wù)集群部署，通過虛擬 IP 技術(shù)使數(shù)據(jù)庫節(jié)點保持高可用狀態(tài)，如果主數(shù)據(jù)庫活動節(jié)點關(guān)閉或不可用時，備用節(jié)點將接管活動角色，入庫日志、事件、證據(jù)、配置等保持同步且不丟失。

2、策略定制

a）內(nèi)容檢測的組合檢測：由于 DLP 系統(tǒng)中存在眾多內(nèi)容識別分類器，每個分類器均可以獨立配置作為內(nèi)容識別的手段。

b）檢測對象的鎖定與過濾：通常，DLP 的檢測對象可以涵蓋兩類對象，分別是檢測對象和檢測通道。檢測對象一般指發(fā)送數(shù)據(jù)來源 / 目的、郵件地址、組織架構(gòu)等，而檢測通道則泛指網(wǎng)絡(luò)通道和終端通道這兩種通道類型。利用 DLP 的檢測對象過濾功能，應(yīng)更加精準(zhǔn)地鎖定檢測的范圍和目標(biāo)，使得檢測結(jié)果更加準(zhǔn)確。

c） 策略響應(yīng)動作 ：策略的響應(yīng)動作是指當(dāng)流量或執(zhí)行的動作命中了預(yù)設(shè)的檢測策略后，針對不同的通道在網(wǎng)絡(luò)側(cè)或終端側(cè)執(zhí)行的動作，通常情況下的動作執(zhí)行包括但不限于放行、阻止、隔離、確認(rèn)、個人密鑰加密等。

d） 策略觸發(fā)通知 ：在運維工作中，當(dāng)最終用戶的動作命中了檢測策略，管理員應(yīng)可以在不登陸 DLP 系統(tǒng)的情況下及時獲知觸發(fā)策略的事件行為。DLP 系統(tǒng)可以通過執(zhí)行發(fā)送郵件通知，提醒特定人員等相關(guān)事件的發(fā)生。通知的內(nèi)容應(yīng)該支持定制和常見的變量引用，如：企業(yè)特定的 Logo、公司名稱、郵件主題、正文內(nèi)容等。

3、數(shù)據(jù)識別

數(shù)據(jù)識別技術(shù)是 DLP 解決方案中使用各種技術(shù)分析深層內(nèi)容的能力。當(dāng)前全球主流 DLP 產(chǎn)品所支持的數(shù)據(jù)識別技術(shù)根據(jù)其匹配敏感信息的精準(zhǔn)程度，至下而上依次為：關(guān)鍵字識別、字典權(quán)重識別、正則表達式識別、文件屬性識別、圖像內(nèi)容識別、自然語言分析處理、標(biāo)簽識別、機器學(xué)習(xí)識別 和 指紋識別 共計 9 種。檢驗 DLP 產(chǎn)品是否具有完備及可用的數(shù)據(jù)識別技術(shù)是檢驗 DLP 產(chǎn)品最核心的功能指標(biāo)。

4、管理與控制

a）統(tǒng)一管理控制臺：全套 DLP 解決方案的一個獨特而關(guān)鍵的功能是完善的中央管理控制能力，應(yīng)可以管理覆蓋包括“發(fā)現(xiàn)、網(wǎng)絡(luò)、 郵件、終端、應(yīng)用、移動”等所有 DLP 技術(shù)架構(gòu)下的安全組件，從而實現(xiàn)對移動數(shù)據(jù)、靜止數(shù)據(jù)和使用中數(shù)據(jù)的覆蓋范圍、創(chuàng)建和管理策略、報告和事件工作流進行相應(yīng)的管控。

b）策略多模塊分發(fā)：策略多模塊分發(fā)是指最終用戶不需要為各 DLP 模塊設(shè)置不同的檢測策略，通過控制臺即可集中為 DLP 產(chǎn)品各模塊下發(fā)統(tǒng)一的檢測策略 , 也可以單獨為某個 DLP 產(chǎn)品模塊或模塊組合下發(fā)獨立策略。

c）預(yù)置策略：預(yù)置模板是指為了方便 DLP 用戶更加便捷的使用數(shù)據(jù)防泄露產(chǎn)品，DLP 系統(tǒng)在內(nèi)部提前給使用者定制好檢測內(nèi)容的檢測模板。預(yù)置策略模板應(yīng)該是開箱即用并能對外發(fā)的數(shù)據(jù)進行有效且精確的識別。

d）角色管理：DLP 系統(tǒng)應(yīng)該允許基于角色的內(nèi)部管理來進行內(nèi)部管理任務(wù)以及監(jiān)視和執(zhí)行。在內(nèi)部可以將用戶分配到管理和策略組以分離職責(zé)，為監(jiān)視和執(zhí)行提供靈活的支持，使之能投入到不同的策略管理工作中。

e）多權(quán)分立 系統(tǒng)應(yīng)支持多權(quán)分立方式登陸管理平臺，包括：系統(tǒng)管理員（負責(zé)系統(tǒng)管理），安全管理員（負責(zé)審批管理）， 審計管理員（負責(zé)審計管理），事件管理員（負責(zé)事件審計）

f）策略審批部署：在實現(xiàn)分權(quán)管理后，DLP 系統(tǒng)應(yīng)支持使用特定角色對發(fā)布的檢測策略進行有效性稽核及審批生效的工作，滿足了大型機構(gòu)對 DLP 管理權(quán)限分離的需求，降低了因錯誤 DLP 策略對生產(chǎn)或辦公業(yè)務(wù)產(chǎn)生影響的可能性。

g）接口集成：DLP 系統(tǒng)應(yīng)支持在組織內(nèi)對接特定的集成產(chǎn)品，包括并不局限于 SIEM、SOC、甚至是安全自動化運維平臺等，具備細顆粒度的事件外發(fā)能力。同時 DLP 系統(tǒng)應(yīng)支持與運維系統(tǒng)進行對接，通過 API 對策略中的來源和目標(biāo)進行增加、刪除和修改的動作。

h）用戶識別：事件管理需要合理利用組織內(nèi)的用戶信息，將所有違規(guī)者與用戶身份數(shù)據(jù)關(guān)聯(lián)起來，DLP 系統(tǒng)應(yīng)可以支持基于用戶的認(rèn)證（Active Directory）登錄，從而使 DHCP 租約信息與企業(yè)登陸用戶聯(lián)系起來，將身份信息的上下文關(guān)聯(lián)添加到每個事件告警中，避免將策略違規(guī)與正常用戶聯(lián)系在一起。

5、分析與報告

DLP 系統(tǒng)應(yīng)具備提供實時告警及對受保護數(shù)據(jù)實時分析的能力，及時通知組織內(nèi)安全人員有關(guān)泄露或違規(guī)事件的信息，并根據(jù)需要采取手動操作。這對于涉及到核心數(shù)據(jù)資產(chǎn)外泄或嚴(yán)重的違規(guī)事件的及時處理特別有用。

其次，分析和報告功能可幫助 DLP 管理員密切關(guān)注數(shù)據(jù)的整體安全性以及解決方案的效能，應(yīng)能提供相應(yīng)的 合規(guī)報告，以確保組織滿足相應(yīng)的合規(guī)要求。

a）事件處理：事件處理隊列，是指分配給 DLP 管理員進行事件處理程序但事件仍處在處理階段的事件摘要。每一個事件可以對任何字段進行排序或過濾，包括通道，違反策略，用戶，事件狀態(tài)和處理流程。

b）事件日志：DLP 系統(tǒng)應(yīng)具備記錄單個事件的詳細信息能力，包括但不限于事件類型、發(fā)生時間、上報時間、發(fā)送者、接收者、違反策略、告警級別等內(nèi)容。

c）事件工作流：DLP 系統(tǒng)應(yīng)具備多種工作流程，所有工作流記錄都必須包含：發(fā)送者、接收者、傳輸方式、所涉及內(nèi)容的類型、內(nèi)容的安全等級以及實際內(nèi)容本身。這將為安全團隊提供調(diào)整策略，糾正數(shù)據(jù)濫用和跟蹤潛在高風(fēng)險用戶所需的相關(guān)信息。

d）格式化顯示：DLP 系統(tǒng)應(yīng)支持對使用 Webmail 外發(fā)敏感數(shù)據(jù)時，能夠在事件詳情內(nèi)智能格式化展現(xiàn)郵件發(fā)送人、郵件接送者、郵件抄送者、郵件密送者、郵件主題等相關(guān)信息。

e）事件關(guān)聯(lián)合并：DLP 系統(tǒng)應(yīng)支持對短期內(nèi)同一來源及同一目標(biāo)和同一外泄方式的相似事件進行合并展示 ，降低管理員處理事件的復(fù)雜性，減少問題處理時間。

f）日志查詢功能：DLP 系統(tǒng)應(yīng)具備完善的日志查詢功能，支持按不同參數(shù)進行查詢、過濾和排序報告。可以通過相應(yīng)的過濾器，對所有的日志進行精確查詢和報告，例如：用戶組、策略組、策略規(guī)則、嚴(yán)重性、用戶名等。

g）基于用戶的報告 DLP 系統(tǒng)應(yīng)可以針對個人風(fēng)險值、個人風(fēng)險排名、個人事件數(shù)據(jù)統(tǒng)計等生成以人為中心的報告。

h）數(shù)據(jù)分類查詢：DLP 系統(tǒng)應(yīng)提供基于“數(shù)據(jù)分類”并且以數(shù)據(jù)分類的形式來呈現(xiàn)數(shù)據(jù)安全報告。

DLP應(yīng)用場景

DLP 解決方案既能保護敏感數(shù)據(jù)，又能深入了解組織內(nèi)數(shù)據(jù)的使用情況。DLP 幫助安全人員更好地理解數(shù)據(jù)，并提高其分類和管理內(nèi)容的能力。

如下圖所示：全套 DLP 解決方案需要提供對整個組織的網(wǎng)絡(luò)、郵件、數(shù)據(jù)庫、移動應(yīng)用、端點、內(nèi)部業(yè)務(wù)應(yīng)用的全面覆蓋。

1、發(fā)現(xiàn)DLP

2、網(wǎng)絡(luò)DLP

3、郵件DLP

4、終端DLP

5、應(yīng)用DLP

6、移動DLP