韦德体育注册

梦舞清愁 1个月前 (11-25) 阅读数 0 #科技

数据防泄露DLP

DLP(Data leakage prevention,数据防泄漏)技术一般分为终端DLP、网络DLP、邮件DLP、数传DLP和存储DLP。与传统的基于边界的防护方式不同,DLP注重数据内容的安全。

文件硬盘数据销毁

技术方法

DLP采用深度内容识别技术,如自然语言、数字指纹、智能学习、图像识别等,通过统一的安全策略,对静态数据、动态数据及使用中的数据进行全方位多层次的分析和保护,对各种违规行为执行监控、阻断等措施,并对数据的全生命周期进行审计,防止企业核心数据以违反安全策略规定的方式流出而泄密,实现对企业最宝贵核心机密数据的保护和管理。DLP识别内容发现风险的根本原则是,将不同的数据类型或内容制定不同的管控策略,一般有如下几个方式定义数据规则:

1、关键字匹配,常用于我们固定的文档模板,如包括“机密”等;

2、正则表达式,常用于个人敏感信息,包括身份证、薪资等敏感信息时;

3、文件指纹信息,用于保护已知的机密文档(如财务报告、战略文件);

4、数据类型规则,如代码、设计图纸等机密文件。

DLP部署

1 终端DLP

终端DLP安装在企业的终端上,是通过内容识别技术,防止企业敏感文件通过终端泄露的一种数据安全防护技术。DLP能够实现使用的数据和外发的数据进行保护,一般是结合数据标识、数据权限管理或者数据关键字识别等方法,当终端通过网络上传、邮件外发、终端拷贝、聊天软件发送等方式,DLP软件会检测操作的文件,对于有风险的文件进行违规告警或拦截,在风险发生前阻断,从而提高了数据安全性。

2 网络DLP

网络DLP部署在网络出口,或者作为Proxy代理,终端浏览器以网络DLP为网络通道访问互联网。一般来说,网络DLP支持的协议包括电子邮件(SMTP)、web(HTTP)、文件传输(FTP)、文件共享(SMB)和其它自定义的非加密的TCP 会话流量。通过深度内容识别技术对网络传输中的数据进行监控,并根据安全策略产生相关的动作(如阻止、审计、提示),及时阻断敏感数据的外发,同时生成预警日志和审计日志。

3 邮件DLP

邮件DLP的策略通常部署在邮件网关的出口处,这些策略会对所有外发的邮件及其附件进行全面的内容识别和审查,防止其未经授权或意外地发送到外部。与终端DLP类似,这包括但不限于关键字匹配、文件指纹比对、文件类型检测等技术。通过这种方式,系统能够识别出包含敏感信息的邮件——例如,涉及个人身份信息、财务数据、研发代码或设计图纸等机密资料的内容。当邮件正文或附件中检测到违反企业数据保护政策的内容,系统可以自动采取一系列可配置的应对措施:阻止邮件发送、将邮件转发至其主管审核,或记录相关日志由安全团队事后审查等。

文件硬盘数据销毁

4 数传DLP

数传DLP是针对不同区域之间的数据传递时,对敏感数据的一种防护能力。当数据在不同区域之间传递时,往往是通过公司的数传系统,或者是由专人拷贝至专属FTP来完成。对此,如何保证用户传递的数据是业务授权的数据,如何保证专人拷贝的数据不会出错,此时,可以借助数传DLP自动检查传递的数据是否包括机密数据,如果有类似的数据,可以及时通知更高层的主管进行审核确认。

5 存储DLP

存储DLP不同于上述任何一种DLP技术,它专注于静态数据的保护,是对存储在企业内部系统和设备上的敏感信息进行防护,即对在硬盘、文件服务器、云存储等存储介质上的数据提供安全防护。存储DLP会不断监控存储系统中的数据活动,记录所有访问和修改行为。在检测到用户对机密数据的异常行为时,存储DLP系统可以自动执行一系列预定义的响应措施:阻止访问、将文件移动到隔离区、通知安全团队等,并且会提供详细的审计日志以供信息安全团队审查。

DLP引入和使用

根据上面的网络安全分区来说,DLP对应分布如下(存储DLP根据自行需要选择,建议部署在红区):

文件硬盘数据销毁

1 需要业务与IT配合才能用好DLP

尽管DLP有这么多的防护功能,但如何用好DLP,更取决于业务团队的配合,以及信息安全团队的长期运营。一般来说,信息安全策略越严苛,业务效率影响越大。对于DLP来说,业务部门是否支持事前阻断,或者例行配合安全团队将机密信息梳理,以及信息安全团队能否对这些安全策略维护及时,这些都会影响DLP实际的防护效果,甚至也会影响到业务部门的工作效率。

2 引入DLP的准备条件

是否要引入DLP,这取决于很多方面,通常在如下条件具备的情况下,才建议部署DLP系统:

1、网络区域是否划分得清晰,不同区域之间的数据传递出口是否有相关的数传系统?如果有,则可以考虑数传DLP;

2、外网出口是否已经管控?是否禁止了终端和服务器的上网权限?从严格意义上来说,终端和服务器默认是禁止访问互联网的。对于需要上网的终端和服务器,则通过Proxy上网。此时可以考虑网络DLP;

3、外网发布的系统是否得到管控?从安全角度来说,所有系统都不应该从外网直接访问,只可以通过VPN、零信任或者专属的移动办公App来访问。移动App也需要有沙箱管理能力来确保数据不可落地。在此之外,仍有一些需要在外部访问的系统时,确保不可以直接从外网下载文件,或者下载大量文件时可考虑应用DLP(限于篇幅,应用DLP需要应用系统对接,可监控应用系统的文件下载等活动);

4、是否有使用SaaS系统?如果有,则需要考虑对SaaS系统的安全提出要求——可与公司建立VPN隧道,只需要在公司内网访问;

5、对于邮件的访问,除了在公司电脑上之外,是否只允许通过具备沙箱能力的专属App来访问?如果是,那么邮件DLP是可以大幅提升安全防护能力,并且对用户来说是无感的;

在上述环境都不太具备的情况下,业务部门又提出了机密文件的防护需求,而这些文件往往都是在个人终端上存放的,比如软件开发代码,项目相关文档等,此时可以考虑终端DLP来监控甚至是防护。

3 DLP运营

除了上述的种种情况,或许DLP的运营才是信息安全团队比较苦恼的事情,因为这次是让DLP发挥作用的根本,也就是说,在启动DLP之前,我们还需要确认业务部门是否可以配合安全团队梳理相关资产、配置相关策略、配合相关审计等等工作。

数据传递

数据传递(Data Transmission)是数据管控中的一个关键环节,因其涉及在不同网络区域、不同设备或不同系统之间的数据流动和交换,需要确保数据在传递过程中的数据安全。

数据传递需要在传递过程中保密、完整可用的前提下,还需要考虑传递的数据就是业务授权的最小数据范围。

一般来说,在网络区域隔离或者服务器之间有隔离的情况下,公司考虑到业务部门的工作效率,需要搭建相关的数传系统,由业务人员申请并上传数据至系统,然后经相关主管审核后,由系统将本区域的数据拷贝至目的区域,然后再通知对方下载数据。

在这个过程中,然后保证数据传递的机密性、完整性和最小授权原则,往往需要考虑数据传递的加密隧道(如HTTPS、SFTP、FTPS等)、数据文件的校验算法(文件的MD5、HASH校验等)、主管易于审核等,还可能需要借助数传DLP来协助业务部门自动审核及预警。

常见的数传系统示意图:

文件硬盘数据销毁

世上本无两全法,对于任何的安全管控,都会带来相应的影响。我们应该如何去管控安全,需要因地制宜,通过不断的磨合调整,逐渐摸索出符合自己的安全管理方法。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

梦舞清愁

梦舞清愁

提供销毁和处置,为IT圈服务,伴CIO成长