数据泄露预防最佳方法

确定需要保护的数据类型

首先，企业需要理解哪些类型的数据需要保护。在数据泄露预防中，数据可分为三类：

动态数据，即在传输时需要保护的数据，其传输通道包括HTTP、HTTPS、FTP、即时通信、P2P、SMTP等。

在用数据：位于终端用户工作站上，并且应当防止经由可移动介质和设备（如USB、DVD、CD等）泄露的数据。

静态数据：位于文件服务器和数据库上的数据。企业也需要监视这类数据，防止其泄露。

所有的数据泄露预防产品都内建了一些符合规范、标准（如付款卡行业数据安全标准PCI DSS）的策略。企业需要根据其业务情况调整这些策略。当然，在数据泄露预防策略中，最重要的问题是确认需要保护的数据，因为如果企业只是简单地安装了数据泄露预防产品DLP，它就很有可能报告许多似是而非的情况。

图1 一般实施方案

确认敏感数据和定义策略

在整个企业的所有三种通道（数据传输、数据存储、数据使用）中，企业首先要做的是确认所有的机密数据或受限制的数据。在受保护的机密数据通过边界时，DLP就会借助于签名来工作。在确认关键数据并制定其签名时，DLP需要使用 “指纹识别”。数据以各种形式存放在企业的各个地方。所有的数据泄露预防产品都有一个检查和索引全部数据的引擎，并通过一个直观的界面来使其可以被DLP访问，还可以通过对数据的快速搜索发现其敏感性和数据所有权的细节。

在发现敏感数据后，企业应当构建由规则构成的保护策略。如果DLP产品并不支持企业的规则，企业就应使用正则表达式来构建规则。必须指出，在此阶段只是定义DLP策略而非真正实施。

决定信息流和确认数据的所有者

企业应当准备好一份调查问卷来确认和提取所有的有用信息。例如，调查问卷中可涉及如下问题：企业已经确认的数据源头和目的地分别是哪里？网络中所有的数据出口点分别是什么？企业有哪些过程可以监控信息流？

在DLP的规划策略中，确认业务数据的所有者也很重要，所以企业应准备一份数据所有人的清单，以便在敏感数据丢失后向其发送通知。

决定部署方案

1.动态数据的DLP部署。

对于在传输时需要保护的数据，其一般的实施方案如图1所示。

图1清楚地显示出DLP并不是以内联模式部署，而是部署在SPAN端口。不将DLP产品内联到数据流是很重要的，因为每个企业都应当从最基本的开始部署，而如果以内联方式开始，有可能会导致许多似是而非的情况。此外，如果DLP设备被内联到网络中，在内联设备失效时，企业就会担心网络故障。最佳方法是先部署在SPAN端口，在DLP策略成熟时，再以内联模式部署。

要减轻第二种风险，企业有两种选择。第一，以高可用模式部署DLP，第二，以旁路模式配置内联的DLP产品，这可以使DLP产品发生故障时，通信能够绕过内联的DLP产品。

2.在用数据和存储数据的DLP部署。

对于终端用户工作站上的数据和需要防止由可移动设备（如USB、DVD等）泄露的数据，企业要在每个终端设备（桌面、笔记本电脑、平板电脑等）上安装由策略加载的代理，并由集中化的DLP管理服务器管理。企业可通过推式策略（如SMS、GPO等）将代理发布到终端上。为了报告事件和得到可更新的策略，终端上的DLP代理需要与集中化的DLP管理服务器交互，因而，在本地防火墙中，应增加一个例外的通信端口。对于存储数据的保护：存放在存储器或设备上的所有数据都是通过DLP搜索代理来搜索。在搜索后，DLP对数据进行指纹识别，看看是否存在非结构化数据。

图2 DLP运营各阶段

DLP运营

如果企业不能监视安全组件，其部署就没有什么用处，DLP产品也不例外。图2大体展示了DLP在企业中的运行情况。首先，企业需要通过对所确认的数据（上述三类数据）运用正确的策略集来部署DLP产品。我们不妨将DLP的运营分为三个阶段，即：诊断分类阶段、报告和提高阶段、调整阶段，具体如图2所示。

诊断分类阶段：在此阶段中，安全运营团队要监视DLP产品中建立的策略所发出的警告。如前所述，企业应先以观察模式部署DLP，观察并清除那些虚假的或似是而非的数据泄露情况。所以在安全团队收到警告时，要结合多个条件（如哪类数据被泄露、谁泄露的、通过什么通道泄露的、有无策略的错误配置，等等）来检查事件。在执行这种诊断时，安全团队要将警告作为一个事件，并开始事件分类阶段，通过风险状况表来处理事件。所谓风险状况表是一个基于文本的表，其中包括关于策略类型、数据类型、通道类型、安全类型（低风险、中等风险、高风险）的重要信息。在处理和更新了风险状况表后，安全团队要将事件分配给不同的分队。

事件的报告和强化阶段：在此阶段，安全团队将事件分配给各分队。首先，安全团队将会咨询各分队，检查这种数据泄露是否是可接受的业务风险。这种泄露可能是由于在后台进行策略的改变造成的。如果企业认为可以接受这种风险，那么该事件将被认为是“虚假的”或“似是而非”的，从而进入调整阶段。否则，安全团队将会用证据向各分队强化事件。在强化后，安全团队将会准备一份报告，作为每月交付或用于审计的一部分，此后，安全团队将关闭并归档事件。归档很重要，因为在取证调查期间有一些规范要求归档。

调整阶段：在此阶段，所有被认为是“虚假”或“似是而非”的事件都被传送过来。安全团队的责任是根据以前的错误配置或根据一些业务变更而精细地调整策略，将这些变化作为一个“草稿”运用到DLP产品中。为验证所应用的变化是否精确，要对事件进行复制，然后再检查看是否产生了警告。如果没有警告产生，这些变化就作为最后的变更而被应用；但是，如果有警告产生，就需要在DLP产品所设置的策略中进行精细调整。

应当指出，在DLP中，并不存在事件的解决阶段，因为任何报告的事件都是一种数据泄露或损失（如果不是虚假泄露的话），必须要求强化和采取相应的行动。

总结

在选择DLP产品之前，企业应当确认对DLP的需要，要检查该产品是否支持数据存储在企业环境中的格式。在部署DLP之前，企业应当确认敏感数据。在选择一种DLP产品后，DLP的部署应当从最基础的方式开始，并在此基础上不断增加DLP能够识别的敏感数据或关键数据。DLP的运营应当进行有效地诊断和分类，以便于清除虚假的泄露情况并精细地调整DLP策略。企业要建立RACI责任矩阵，规定DLP策略的责任和实施等。还要经常更新风险状况，完整记录DLP事件。

如果企业能够正确实施DLP的话，它就能够成为一种有效地保护企业和客户数据的防御技术。