1、 Securosis 公司 了解和選擇數(shù)據(jù)泄露防護(hù)(DLP解決方案 作者備注：本報(bào)告內(nèi)容由各贊助商獨(dú)立開(kāi)發(fā)。本報(bào)告以最初發(fā)表于Securosis blog上材料為基礎(chǔ)但在此基礎(chǔ)上進(jìn)行了深入探討，由美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS進(jìn)行了評(píng)估，也進(jìn)行了專業(yè)編輯。本報(bào)告由Websense 公司贊助，與SANS 協(xié)會(huì)聯(lián)合發(fā)行。特別感謝Chris Pepper提供了編輯和內(nèi)容支持。贊助商：WebsenseWebsense® Content Protection Suite（內(nèi)容防護(hù)套件）是一款集成化數(shù)據(jù)丟失防護(hù)解決方案，通過(guò)發(fā)現(xiàn)數(shù)據(jù)所在位置、監(jiān)控?cái)?shù)據(jù)、保護(hù)數(shù)據(jù)、作好“哪些人和哪些數(shù)據(jù)可以哪種方式

2、到哪里”的安全防護(hù)工作，從而防止內(nèi)外部數(shù)據(jù)泄漏、改善業(yè)務(wù)流程并管理法規(guī)遵從性和風(fēng)險(xiǎn)性。欲知有關(guān)Websense Content Protection Suite的更多信息，請(qǐng)?jiān)L問(wèn)版權(quán)本報(bào)告采用創(chuàng)作共用的署名-非商業(yè)用途-禁止演繹3.0的授權(quán)。目錄DLP 介紹混亂不堪的市場(chǎng)定義DLP作為功能的DLP vs. DLP解決方案 內(nèi)容感知 內(nèi)容 vs. 上下文 內(nèi)容分析 內(nèi)容分析技術(shù) 技術(shù)架構(gòu)動(dòng)態(tài)、靜態(tài)和使用中數(shù)據(jù)的保護(hù) 動(dòng)態(tài)數(shù)據(jù) 靜態(tài)數(shù)據(jù) 使用中數(shù)據(jù)集中管理、策略管理和工作流程 用戶界面層次化管理、目錄集成和基于角色的管理策略創(chuàng)建和管理5 5 5 6 7 7 7 7 11 11 11 14 15 1

3、8 18 19 19事件工作流程和案例管理 系統(tǒng)管理、報(bào)告和其它功能DLP 選擇流程定義需求并作好您的企業(yè)準(zhǔn)備工作 形式化需求 評(píng)估產(chǎn)品 內(nèi)部測(cè)試 總結(jié) 走出迷宮 關(guān)于作者 關(guān)于Securosis 關(guān)于SANS 協(xié)會(huì)20 21 22 22 23 23 24 25 25 26 26 26DLP 介紹混亂不堪的市場(chǎng)數(shù)據(jù)丟失防護(hù)（Data Loss Prevention，DLP ）是安全市場(chǎng)上炒得最熱卻了解最少的工具之一。它擁有至少六種不同名稱以及更多的技術(shù)方案，從而使得想要了解這些工具的最終價(jià)值以及哪種產(chǎn)品最適用于哪類環(huán)境并不容易。本報(bào)告將提供DLP 必要背景來(lái)幫助您了解這項(xiàng)技術(shù)、知道在產(chǎn)品中尋找

4、的目標(biāo)、找到與您企業(yè)最匹配的產(chǎn)品。DLP 是一項(xiàng)正處于成長(zhǎng)階段的技術(shù)，盡管產(chǎn)品可能不如IT 其它領(lǐng)域產(chǎn)品那樣成熟，但卻為那些有這方面需要的企業(yè)提供了重大價(jià)值。這一市場(chǎng)目前仍是由新創(chuàng)企業(yè)占主導(dǎo)地位，不過(guò)已有大型供應(yīng)商開(kāi)始涉足，一般是通過(guò)收購(gòu)的方式。了解DLP 第一個(gè)難題是要曉得我們實(shí)際討論到底是什么。下列名稱全曾被用于描述同一市場(chǎng)： 數(shù)據(jù)丟失防護(hù)/保護(hù) 數(shù)據(jù)泄漏防護(hù)/保護(hù) 信息丟失防護(hù)/保護(hù) 信息泄漏防護(hù)/保護(hù) 侵出防護(hù) 內(nèi)容監(jiān)控和過(guò)濾 內(nèi)容監(jiān)控和保護(hù)DLP 看起來(lái)似乎是最通用的名稱，雖然其使用壽命可能很有限，但為簡(jiǎn)便起見(jiàn)，本報(bào)告中我們將采用此稱呼。定義DLP究竟什么會(huì)真正損害到DLP 解決方案

5、？目前仍沒(méi)有定論。有些人考慮通過(guò)加密或USB 端口來(lái)實(shí)現(xiàn)DLP ，而其它人則采取自我限制的方式來(lái)完成產(chǎn)品套件。Securosis 將DLP 定義為：基于中央策略、通過(guò)深層內(nèi)容分析來(lái)識(shí)別、監(jiān)控和保護(hù)靜態(tài)、動(dòng)態(tài)和使用中數(shù)據(jù)的產(chǎn)品于是，DLP 主要定義性特征為： 深層內(nèi)容分析 中央策略管理 橫跨多個(gè)平臺(tái)和地點(diǎn)的廣泛內(nèi)容范圍DLP 解決方案可保護(hù)敏感數(shù)據(jù)并加深對(duì)企業(yè)內(nèi)容使用的了解。大多數(shù)企業(yè)除了知曉哪些是公用數(shù)據(jù)以及公用數(shù)據(jù)以外的其他所有數(shù)據(jù)，就不會(huì)再去劃分其他的數(shù)據(jù)類型了。DLP 可幫助企業(yè)更好了解企業(yè)中的數(shù)據(jù)并改善其內(nèi)容分類和管理能力單點(diǎn)產(chǎn)品可以提供一些DLP 功能，但常在覆蓋范圍（僅網(wǎng)絡(luò)或僅終端

6、）或是內(nèi)容分析功能方面更為有限。本報(bào)告將重點(diǎn)關(guān)注全面DLP 套件，但有些企業(yè)可能發(fā)現(xiàn)單點(diǎn)解決方案也能夠滿足其需要。DLP 功能 vs. DLP解決方案DLP 市場(chǎng)還可分為作為功能的DLP 以及作為解決方案的DLP 。有大量產(chǎn)品都提供了基本DLP 功能，特別是電子郵件安全解決方案，但它們都不是完整的DLP 解決方案。二者不同之處在于： DLP 產(chǎn)品，包括集中化管理、策略創(chuàng)建和執(zhí)行工作流程，致力于內(nèi)容和數(shù)據(jù)的監(jiān)控及保護(hù)。其用戶界面和功能旨在通過(guò)內(nèi)容感知來(lái)解決內(nèi)容保護(hù)的業(yè)務(wù)和技術(shù)難題。 DLP 功能，包括DLP 產(chǎn)品的一些檢測(cè)和執(zhí)行功能，但并不致力于內(nèi)容和數(shù)據(jù)保護(hù)任務(wù)。這種不同之處至為重要，原因在于

7、DLP 產(chǎn)品可解決“可不可以接受相同業(yè)務(wù)單元或負(fù)責(zé)其它安全職能的管理員的管理”這一特定業(yè)務(wù)難題。我們常常會(huì)看到有法務(wù)人員、稽核人員等非技術(shù)型用戶負(fù)責(zé)內(nèi)容的保護(hù)工作，有時(shí)甚至人力資源（HR ）部也常在DLP 報(bào)警處理方面有所介入。一些企業(yè)發(fā)現(xiàn)其DLP 策略本身或是高度敏感，或是需得到安全部門(mén)以外的業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)的管理，同時(shí)這些策略還可以支持專用解決方案。由于DLP 主要致力于明確的業(yè)務(wù)問(wèn)題（保護(hù)我的內(nèi)容），完全不同于其它的安全問(wèn)題（保護(hù)我的PC 或保護(hù)我的網(wǎng)絡(luò)），因此您多半應(yīng)尋找專用DLP 解決方案。當(dāng)然這并不意味著，作為功能的DLP 不是適合您的解決方案，特別在較小型企業(yè)中更是如此；同時(shí)，它也并

8、不意味著你將再也不會(huì)購(gòu)買(mǎi)包含有DLP 的套件，這里的重點(diǎn)是，只要DLP 的管理是獨(dú)立的且主要致力于DLP 即可。隨著大型廠商的涉足，我們將會(huì)看到越來(lái)越多的套件產(chǎn)品，在其它產(chǎn)品里進(jìn)行DLP 分析或執(zhí)行功能還說(shuō)得過(guò)去，但DLP 的中央策略創(chuàng)建、管理和工作流程應(yīng)專門(mén)用于解決DLP 問(wèn)題、要獨(dú)立于其它安全職能之外。有關(guān)DLP 需記住的最后一點(diǎn)是，我們要高度有效地反對(duì)糟糕的業(yè)務(wù)流程（例如，通過(guò)FTP 方式傳輸未加密的醫(yī)療記錄給您的保險(xiǎn)公司）和錯(cuò)誤。雖然DLP 能夠提供一些惡意行為的防護(hù)，但我們要想這些工具達(dá)到防護(hù)知識(shí)型攻擊者的水平至少還有幾年時(shí)間。內(nèi)容感知內(nèi)容 vs. 上下文我們需將內(nèi)容和上下文區(qū)分開(kāi)來(lái)

9、。內(nèi)容感知（content awareness）是DLP 解決方案的定義性特征之一，這是DLP 產(chǎn)品通過(guò)各種各樣技術(shù)分析深層內(nèi)容的能力，完全不同于上下文分析。若是將內(nèi)容比作為“信”、上下文比作為“信封”及其周期環(huán)境，這樣理解起來(lái)可能最為容易。上下文包括了源、目的地、大小、收件方、發(fā)送方、頭信息、元數(shù)據(jù)、時(shí)間、格式以及除信本身內(nèi)容以外的所有其它部分；上下文的用處很大，DLP 解決方案應(yīng)包含進(jìn)上下文分析（contextual analysis）來(lái)作為整體解決方案的一部分。更高級(jí)版的上下文分析是業(yè)務(wù)上下文分析（business context analysis），它涉及到更深層的內(nèi)容分析、分析時(shí)環(huán)境

10、以及當(dāng)時(shí)內(nèi)容的使用。內(nèi)容感知包括了容器內(nèi)的內(nèi)容及內(nèi)容本身的分析工作。內(nèi)容感知的優(yōu)勢(shì)在于：當(dāng)我們使用上下文時(shí)，我們不會(huì)被其所限制。如果我想要保護(hù)一份敏感數(shù)據(jù)，那么我是想讓它在任何地方都受到保護(hù)，而不只是在明顯敏感的容器內(nèi)。由于我正在保護(hù)是的數(shù)據(jù)，而不是“信封”，因此打開(kāi)信件、讀信并決定如何處理要更有意義得多。比起基本的上下文分析，這實(shí)施起來(lái)要更為困難、需花更多時(shí)間，同時(shí)這也正是DLP 解決方案的定義性特征所在。內(nèi)容分析內(nèi)容分析的第一步是拿到信封并找開(kāi)它。第二步，分析引擎需從語(yǔ)法上分析上下文（我們會(huì)需要其來(lái)進(jìn)行分析）并深入探究。對(duì)于純文本郵件，做到這一點(diǎn)很容易，但當(dāng)您想要查看的二進(jìn)制文件內(nèi)部時(shí)，這

11、項(xiàng)工作將要更復(fù)雜些。所有DLP 解決方案均是通過(guò)文件破解（file cracking）來(lái)解決這個(gè)問(wèn)題。文件破解是用以讀取和了解文件的一項(xiàng)技術(shù)，即便深埋在好幾層以下的內(nèi)容，通過(guò)它也能挖掘出來(lái)。例如：對(duì)于破解工具來(lái)說(shuō)，讀取一份壓縮過(guò)的Word 文件中Excel 數(shù)據(jù)表是件再平常不過(guò)的事。此產(chǎn)品需做的是：解壓文件、讀取Word 文檔、分析Word 文檔、找到Excel 數(shù)據(jù)、讀取并分析這些數(shù)據(jù)。其它情況則要更復(fù)雜得多，如：內(nèi)嵌于CAD 文件的pdf 文件。今天市場(chǎng)上許多這類產(chǎn)品可支持約300種文件類型、內(nèi)嵌內(nèi)容、多種語(yǔ)言、亞洲語(yǔ)言的雙字節(jié)字符集，并且還可從無(wú)法識(shí)別文件類型中提取純文本。有相當(dāng)多的產(chǎn)品

12、使用Autonomy 或Verity 內(nèi)容引擎來(lái)幫助進(jìn)行文件破解，但除了內(nèi)嵌的內(nèi)容引擎以外，所有這些主要的工具都有相當(dāng)多的專屬功能。如果企業(yè)采用恢復(fù)密鑰進(jìn)行加密，那么有些工具還提供加密數(shù)據(jù)分析支持，而且多數(shù)工具均可識(shí)別標(biāo)準(zhǔn)加密并將其作為上下文規(guī)則來(lái)攔截/隔離內(nèi)容。內(nèi)容分析技術(shù)一旦進(jìn)行內(nèi)容訪問(wèn)，就有7種主流分析技術(shù)可用于發(fā)現(xiàn)策略違規(guī)，均各有所長(zhǎng)、各有所短。 Securosis 公司1. 基于規(guī)則的/正規(guī)表示法（Rule-Based/Regular Expressions）：這是可在DLP 產(chǎn)品和其它帶有DLP 功能的產(chǎn)品使用的最通用的分析技術(shù)。它針對(duì)特定規(guī)則來(lái)分析內(nèi)容，如：可滿足信用卡號(hào)、醫(yī)療賬

13、單編碼以及其它文本 分析的16位數(shù)。多數(shù)DLP 解決方案擁有其自己額外的分析規(guī)則（如，接近信用卡號(hào)附近地址的名稱）來(lái)增強(qiáng)基本的正規(guī)表達(dá)法。最適用于：作為第一重的過(guò)濾工具，或用于檢測(cè)可輕易識(shí)別的結(jié)構(gòu)化數(shù)據(jù)片，如：信用卡號(hào)、社會(huì)保障號(hào)碼以及醫(yī)療編碼/記錄。 優(yōu)點(diǎn)：規(guī)則處理速度快，配置簡(jiǎn)單。多數(shù)產(chǎn)品出廠時(shí)都帶有初始規(guī)則集。這項(xiàng)技術(shù)很好了解，也易于合并進(jìn)各類產(chǎn)品中。缺點(diǎn)：常出現(xiàn)高誤判率；為敏感知識(shí)產(chǎn)權(quán)等非結(jié)構(gòu)化內(nèi)容所提供保護(hù)極少。2. 數(shù)據(jù)庫(kù)指紋法（Database Fingerprinting）：有時(shí)也稱為確切數(shù)據(jù)匹配法（Exact Data Matching）。這項(xiàng)技術(shù)采用的是數(shù)據(jù)庫(kù)轉(zhuǎn)儲(chǔ)文件或是來(lái)

14、自數(shù)據(jù)庫(kù)的實(shí)時(shí)數(shù)據(jù)（經(jīng)由ODBC 連接），僅尋找確切的匹配。例如：您可能生成一個(gè)策略僅用于在您的客戶群中尋找信用卡號(hào)，這樣一來(lái)您公司自己?jiǎn)T工的上網(wǎng)購(gòu)買(mǎi)情況就被完全忽略了。更為高級(jí)工具是尋找信息組合，如：名字或首名與姓氏、信用卡號(hào)或是社會(huì)保障號(hào)的神奇組合，這可能觸發(fā)加州SB1386法案（資料隱私法案）泄露事件。請(qǐng)確保您了解每晚提取信息vs. 實(shí)時(shí)數(shù)據(jù)庫(kù)連接的性能和安全問(wèn)題。最適用于：來(lái)自數(shù)據(jù)庫(kù)的結(jié)構(gòu)化數(shù)據(jù)。優(yōu)點(diǎn)：誤判率很低(接近于0 。允許您保護(hù)客戶/敏感數(shù)據(jù)，同時(shí)忽視員工所使用的其它類似數(shù)據(jù)（如他們用于網(wǎng)上訂購(gòu)的個(gè)人信用卡信息）。缺點(diǎn)：每晚轉(zhuǎn)儲(chǔ)并不包含從最后一次提取以后的事務(wù)數(shù)據(jù)；實(shí)時(shí)連接可能

15、影響數(shù)據(jù)庫(kù)性能；大型數(shù)據(jù)庫(kù)會(huì)影響到產(chǎn)品性能。3. 確切文件匹配法（Exact File Matching）：采用這項(xiàng)技術(shù)，您可選取文件中一個(gè)散列，并對(duì)所有與確切指紋相匹配的文件進(jìn)行監(jiān)控。有些人認(rèn)為這是一種上下文分析技術(shù)，因?yàn)樗⑽磳?duì)文件內(nèi)容本身進(jìn)行分析。最適用于：媒體文件和其它基本不可能進(jìn)行文本分析的二進(jìn)制文件.優(yōu)點(diǎn)：對(duì)所有文件類型都起作用，擁有足夠大的散列值，誤判率低（不會(huì)有任何誤判）。缺點(diǎn)：微小的改動(dòng)就可以繞過(guò)匹配。如果待檢測(cè)的內(nèi)容是經(jīng)常修改的，則這項(xiàng)技術(shù)就沒(méi)什么價(jià)值了，如：標(biāo)準(zhǔn)辦公文檔和已編輯的媒體文件。4. 局部文檔匹配法（Partial Document Matching）：這項(xiàng)技術(shù)

16、可在受保護(hù)內(nèi)容上尋找全部或局部匹配。如此，您能創(chuàng)建策略來(lái)保護(hù)敏感文檔，且DLP 解決方案所匹配的或是文檔的整個(gè)文本，或甚至是短至幾個(gè)句子的摘錄。例如：您可對(duì)一份新產(chǎn)品商業(yè)計(jì)劃進(jìn)行局部文檔匹配，如有員工將其中整段話粘貼到即時(shí)消息工具（IM ）中，那么DLP 解決方案將會(huì)發(fā)出警報(bào)。多數(shù)解決方案是以眾所周知的循環(huán)散列（cyclical hashing）技術(shù)為基礎(chǔ)，在這里您可對(duì)整個(gè)文檔的一部分內(nèi)容進(jìn)行一個(gè)散列的提取，然后偏離若干個(gè)預(yù)先決定的字符數(shù)量，再進(jìn)行下一個(gè)散列的提取，重復(fù)上述操作直到整個(gè)文件提取完成，我們將獲得一系列互為重疊的散列值序列。了解和選擇DLP 解決方案 8出站內(nèi)容通過(guò)同樣散列技術(shù)進(jìn)行

17、處理，比對(duì)散列值來(lái)確定是否命中。許多產(chǎn)品均使用循環(huán)散列技術(shù)作為基礎(chǔ)，然后再增加更高級(jí)的語(yǔ)言學(xué)分析。最適用于：保護(hù)敏感文檔，或是類似于CAD 文件（帶有文本標(biāo)簽）等文本和源代碼的內(nèi)容。被認(rèn)為敏感的非結(jié)構(gòu)化內(nèi)容。優(yōu)點(diǎn)：具有保護(hù)非結(jié)構(gòu)化數(shù)據(jù)的能力。一般低的誤判率（有些供應(yīng)商會(huì)說(shuō)為零誤判率，但受保護(hù)文檔中任一普通句子/文本均可能觸發(fā)警報(bào)）。并不依賴于大型文檔的完全匹配法；能夠發(fā)現(xiàn)只局部匹配的策略違規(guī)。缺點(diǎn)：在能保護(hù)的內(nèi)容總量上性能有限。受保護(hù)文檔中常見(jiàn)短語(yǔ)/冗詞可能觸發(fā)誤判。必須確切知道您想要保護(hù)的文檔是哪些。微小的修改就可以避開(kāi)識(shí)別。（ROT 1換位加密的方法就已經(jīng)可以輕易的進(jìn)行識(shí)別規(guī)避了）。5.

18、統(tǒng)計(jì)分析法（Statistical Analysis）：通過(guò)使用機(jī)器學(xué)習(xí)、貝葉斯分析（Bayesian analysis）以及其它技術(shù)來(lái)分析語(yǔ)料庫(kù)的內(nèi)容，尋找內(nèi)容中類似受保護(hù)內(nèi)容的策略違規(guī)。此類分析包括了廣泛的統(tǒng)計(jì)技術(shù)，這些技術(shù)在實(shí)施和有效性方面各有千秋；有些技術(shù)與那些用于攔截垃圾郵件的技術(shù)極為類似。最適用于：如局部文檔匹配法等確定性技術(shù)不起作用的非結(jié)構(gòu)化數(shù)據(jù)。例如：工程計(jì)劃存儲(chǔ)庫(kù)由于具有高度波動(dòng)性及大容量而使得局部文檔匹配法并不能起到實(shí)際作用。優(yōu)點(diǎn)：可作用于那些您可能不能通過(guò)確切匹配文檔進(jìn)行匹配的更為模糊內(nèi)容。可執(zhí)行如“發(fā)現(xiàn)出站內(nèi)容中有類似此目錄中文檔內(nèi)容時(shí)發(fā)出警報(bào)”等策略。缺點(diǎn)：常出現(xiàn)誤判

19、和錯(cuò)判情況。需要一個(gè)大的源內(nèi)容語(yǔ)料庫(kù) 越大越好。6. 概念/字典法（Conceptual/Lexicon）：這項(xiàng)技術(shù)使用了字典、規(guī)則和其它分析技術(shù)的組合來(lái)保護(hù)類似于“想法”的模糊內(nèi)容。舉個(gè)例子更為容易理解：一個(gè)可在發(fā)現(xiàn)類似于內(nèi)幕交易的流量時(shí)發(fā)出警報(bào)的策略，它是通過(guò)使用關(guān)鍵短語(yǔ)、字?jǐn)?shù)和字位來(lái)發(fā)現(xiàn)策略違規(guī)。其它例子還有：性騷擾、通過(guò)工作賬號(hào)進(jìn)行私人交易以及求職。最適用于：無(wú)法基于已知文檔、數(shù)據(jù)庫(kù)或其它注冊(cè)數(shù)據(jù)來(lái)源的匹配進(jìn)行簡(jiǎn)單分類的完全非結(jié)構(gòu)化思想。優(yōu)點(diǎn)：并非所有企業(yè)策略或內(nèi)容都通過(guò)舉例來(lái)說(shuō)明；概念分析可發(fā)現(xiàn)定義松散的策略違規(guī)，這是其它技術(shù)甚至可能未想過(guò)要監(jiān)控的地方。缺點(diǎn)：在多數(shù)情況下，這些并不是

20、可由用戶定義的，其規(guī)則集必須由DLP 供應(yīng)商花大力氣（成本更高）來(lái)制定。由于規(guī)則的松散屬性，因此這項(xiàng)技術(shù)非常易于出現(xiàn)誤判和錯(cuò)判情況。7. 類別法（Categories ）：通過(guò)常見(jiàn)敏感數(shù)據(jù)的規(guī)則和字典來(lái)預(yù)先制定類別，如信用卡號(hào)/PCI保護(hù)法、HIPAA 法案等。最適用于：與所提供類別完全符合的內(nèi)容。一般易于描述隱私權(quán)、法規(guī)或行業(yè)特定方針相關(guān)的內(nèi)容。了解和選擇DLP 解決方案 9優(yōu)點(diǎn)：配置極為簡(jiǎn)單。節(jié)省了大量策略生成時(shí)間。類別法策略可形成更為高級(jí)企業(yè)特定策略的基礎(chǔ)。對(duì)于許多企業(yè)來(lái)說(shuō)，類別法可滿足其大部分的數(shù)據(jù)保護(hù)需要。缺點(diǎn)：一刀切（One size fits all）作法可能不起作用。只適用于易

21、于分類的規(guī)則和內(nèi)容。這7種技術(shù)形成了市場(chǎng)多數(shù)DLP 產(chǎn)品的基礎(chǔ)，但并非所有產(chǎn)品都包含有這7種技術(shù)，而且各產(chǎn)品在實(shí)施中也存在重大不同。多數(shù)產(chǎn)品可能還結(jié)合使用多種技術(shù)通過(guò)內(nèi)容分析和上下文分析技術(shù)組合來(lái)創(chuàng)建復(fù)雜策略。技術(shù)架構(gòu)動(dòng)態(tài)數(shù)據(jù)、靜態(tài)數(shù)據(jù)和使用中數(shù)據(jù)的保護(hù)DLP 的目標(biāo)是貫穿保護(hù)內(nèi)容的整個(gè)生命周期。就DLP 而言，這包括三大方面： 靜態(tài)數(shù)據(jù)（Data At Rest），包括通過(guò)掃描存儲(chǔ)器和其它內(nèi)容存儲(chǔ)庫(kù)識(shí)別敏感內(nèi)容位置。我們稱此為內(nèi)容發(fā)現(xiàn)（content discovery）。例如：您可使用DLP 產(chǎn)品來(lái)掃描您的服務(wù)器并識(shí)別帶有信用卡號(hào)的文檔。如果該服務(wù)器未得到這類數(shù)據(jù)授權(quán)，那么文件將被加密或移

22、除，或向文檔所有者發(fā)送警告。 動(dòng)態(tài)數(shù)據(jù)（Data In Motion），通過(guò)網(wǎng)絡(luò)流量嗅探（通過(guò)代理被動(dòng)地或在線進(jìn)行）識(shí)別在特定通信信道進(jìn)行傳輸?shù)膬?nèi)容。例如：這包括嗅探電子郵件、即時(shí)消息以及web 流量以找出敏感源代碼片段。動(dòng)態(tài)數(shù)據(jù)工具常可基于中央策略、依據(jù)流量類型進(jìn)行攔截。 使用中數(shù)據(jù)（Data In Use），一般由可在用戶與數(shù)據(jù)交互時(shí)監(jiān)控?cái)?shù)據(jù)的端點(diǎn)解決方案來(lái)解決。例如：在您試圖傳輸敏感文檔到USB 驅(qū)動(dòng)時(shí)，它們會(huì)及時(shí)識(shí)別并加以攔截（而不是完全禁止U 盤(pán)的使用）。使用中數(shù)據(jù)工具還可檢測(cè)類似復(fù)制和粘貼等動(dòng)作、或是未經(jīng)許可的應(yīng)用中敏感數(shù)據(jù)的使用（如，有人試圖加密數(shù)據(jù)以悄悄避過(guò)探測(cè)器）。動(dòng)態(tài)數(shù)據(jù)許

23、多企業(yè)是通過(guò)基于網(wǎng)絡(luò)的產(chǎn)品從而首次涉足DLP 世界，這類產(chǎn)品可為受管理和未受管理系統(tǒng)提供廣泛保護(hù)。一般來(lái)說(shuō)，采用網(wǎng)絡(luò)產(chǎn)品來(lái)開(kāi)始部署以迅速擴(kuò)展至大范圍要更為容易。早期產(chǎn)品往往自我局限于基本監(jiān)控和警報(bào)功能，但現(xiàn)在所有產(chǎn)品均包括了各種先進(jìn)的功能，不僅可與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施相集成，而且可提供保護(hù)功能，而不僅只是檢測(cè)、控制功能。網(wǎng)絡(luò)監(jiān)控位于在多數(shù)DLP 解決方案的核心通常是被動(dòng)網(wǎng)絡(luò)監(jiān)控工具。網(wǎng)絡(luò)監(jiān)控組件一般是部署于SPAN 端口（或類似端口處）網(wǎng)關(guān)處或其附近；它可執(zhí)行完全的包捕捉、會(huì)話重建和實(shí)時(shí)內(nèi)容分析。性能問(wèn)題與廠商平常討論的一些問(wèn)題相比更為復(fù)雜微妙。首先，在客戶期望值方面，多數(shù)客戶表示他們需要完全的千

24、兆以太網(wǎng)性能，但由于只有少數(shù)企業(yè)有真正運(yùn)行到那樣高的通信流量水平，因此除非在極異常情況下否則完全沒(méi)有必要要求那種水平的性能。DLP 是一款可監(jiān)控員工通信流量、而不是web 應(yīng)用流量的工具。實(shí)際上，我們發(fā)現(xiàn)小企業(yè)正常運(yùn)行相關(guān)流量為50 MB/s（兆字節(jié)/秒），中型企業(yè)接近于50-200 MB/s，而大型企業(yè)在300 MB/s左右（在少數(shù)情況下也許可達(dá)到500MB/s）。出于內(nèi)容分析成本的考慮，并非每款產(chǎn)品都對(duì)所有的數(shù)據(jù)包進(jìn)行分析。您可能必須在預(yù)先過(guò)濾（這樣會(huì)漏過(guò)非標(biāo)準(zhǔn)流量）或購(gòu)買(mǎi)更多產(chǎn)品來(lái)實(shí)現(xiàn)負(fù)載平衡間進(jìn)行選擇。此外，有些產(chǎn)品會(huì)鎖定監(jiān)控預(yù)先定義的端口和協(xié)議組合，而不是使用基于數(shù)據(jù)包內(nèi)容的服務(wù)/信

25、道識(shí)別。即便是包含進(jìn)完全的應(yīng)用信道識(shí)別，您還會(huì)想要確保其能夠?qū)崿F(xiàn)。否則，您可能漏過(guò) 有些供應(yīng)商部署有真正的專用設(shè)備。雖然一些產(chǎn)品在其網(wǎng)絡(luò)監(jiān)控工具中內(nèi)嵌有管理、工作流程以及報(bào)告功能，但這項(xiàng)工作常被分擔(dān)給單獨(dú)服務(wù)器或設(shè)備來(lái)進(jìn)行。 被動(dòng)監(jiān)控非標(biāo)準(zhǔn)通信，如：通過(guò)異常端口的連接。多數(shù)這類網(wǎng)絡(luò)監(jiān)控工具都是指安裝有DLP 軟件的專屬的通用服務(wù)器硬件。電子郵件集成接下來(lái)的一個(gè)主要組件是電子郵件集成。因?yàn)殡娮余]件的工作機(jī)制是存儲(chǔ)再轉(zhuǎn)發(fā)，因此您就可獲得包括隔離、加密集成和過(guò)濾在內(nèi)的大量功能，完全沒(méi)有在攔截實(shí)時(shí)流量時(shí)的障礙。多數(shù)產(chǎn)品本 身內(nèi)嵌有MTA （郵件傳輸代理），從而使您只需將DLP 加入作為郵件發(fā)送鏈的另一

26、個(gè)下一跳傳輸點(diǎn)。相當(dāng)多產(chǎn)品還可直接與一些現(xiàn)有主流MTA/電子郵件安全解決方案相集成，實(shí)現(xiàn)更好性能。通過(guò)MTA 下一跳部署方法的一個(gè)缺點(diǎn)是它并不能為您提供對(duì)內(nèi)部電子郵件的監(jiān)控。如果您正使用的是Exchange 服務(wù)器，那么內(nèi)部消息永不可能讓其通過(guò)外部MTA ，因?yàn)闆](méi)理由向外發(fā)送這類流量。 為了監(jiān)控內(nèi)部郵件，您需要直接的與Exchange/ Lotus集成，這在市場(chǎng)上相當(dāng)少見(jiàn)。完全集成不同于只在事后的日志/庫(kù)掃描，某些公司將此稱之為內(nèi)部郵件支持。如果您曾想要進(jìn)行過(guò)濾，而不是只監(jiān)控，那么好的電子郵件集成至關(guān)重要。 MTA DLP電子郵件 服務(wù)器 電子郵件過(guò)濾/攔截和代理集成幾乎每個(gè)部署有DLP 解決

27、方案的人到最后都想要開(kāi)始攔截流量。在您開(kāi)始采取行動(dòng)前，您能監(jiān)視所有敏感數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)的時(shí)間是很短的。在實(shí)際環(huán)境中攔截并不是件簡(jiǎn)單的事情，特別是我們正嘗試允許好流量通過(guò)、只攔截壞流量并通過(guò)實(shí)時(shí)內(nèi)容分析來(lái)作出決策。如我們剛提到的，電子郵件往往是相當(dāng)直接的可進(jìn)行過(guò)濾。因?yàn)樗⒉缓軐?shí)時(shí)而且是由其與眾不同的協(xié)議特點(diǎn)決定的。即便在最復(fù)雜環(huán)境中，添加另一個(gè)郵件分析的下一跳點(diǎn)也不是什么難事。除電子郵件以外，我們的多數(shù)通信流量都是同步的 所有流量都是實(shí)時(shí)運(yùn)行。這樣一來(lái)，如果我們想要過(guò)濾這些內(nèi)容，我們需橋接這些流量、代理這些流量、或都從外部抑制它。 橋接器使用橋接模式，我們只需有附帶兩個(gè)網(wǎng)卡的系統(tǒng)串聯(lián)在網(wǎng)絡(luò)上即

28、可在網(wǎng)絡(luò)中間執(zhí)行內(nèi)容分析。如果我們發(fā)現(xiàn)了一些有害信息，那么這個(gè)橋接器就可斷開(kāi)此會(huì)話的連接。橋接并不是最好的DLP 方案，因?yàn)樗鼰o(wú)法在有害流量泄漏前就加以阻止。它就象是坐在門(mén)邊用放大鏡觀察通過(guò)的所有東西；當(dāng)你獲得足夠以作出準(zhǔn)確判斷的流量時(shí)，您可能已經(jīng)把真正有用的信息放過(guò)了。盡管這款方案具有與協(xié)議無(wú)關(guān)的這一優(yōu)勢(shì)，但極少產(chǎn)品采用這種方案。 代理簡(jiǎn)而言之，代理（proxy ）是可針對(duì)特定的協(xié)議/應(yīng)用、可在流量通過(guò)它時(shí)將流量進(jìn)行隊(duì)列方式傳輸?shù)脑O(shè)備，同時(shí)允許更深層分析。我們所看到幾乎都是面向HTTP 、FTP 和IM 協(xié)議的網(wǎng)關(guān)代理。少數(shù)DLP 解決方案本身就包含代理；由于多數(shù)客戶更喜歡 與現(xiàn)有工具集成使

29、用，因此它們常與這些現(xiàn)有網(wǎng)關(guān)/代理供應(yīng)商相集成。Web 網(wǎng)關(guān)的集成一般是通過(guò)iCAP 協(xié)議進(jìn)行，允許代理獲取流量、將其發(fā)送給DLP 產(chǎn)品進(jìn)行 分析，如發(fā)現(xiàn)違規(guī)則切斷通信。這意味著您不必在您網(wǎng)絡(luò)流量前添加任何硬件，而 DLP 供應(yīng)商也可避免創(chuàng)建在線分析專屬網(wǎng)絡(luò)硬件的這一難題。如果網(wǎng)關(guān)包括了反向 SSL 代理，那么您還可嗅探所有SSL 連接。雖然您會(huì)需要對(duì)您的終端作出改動(dòng)以應(yīng)對(duì)所有證書(shū)報(bào)警，但您現(xiàn)在可以監(jiān)視加密流量了。對(duì)于即時(shí)消息（IM ），您會(huì)需要IM 代理或DLP 產(chǎn)品來(lái)專門(mén)支持您正使用的IM 協(xié)議。TCP 抑制TCP 抑制（TCP poisoning）是最后一種過(guò)濾方法。您可監(jiān)控流量，在發(fā)現(xiàn)

30、有害流量時(shí)注入一個(gè)TCP 重置包來(lái)去阻斷此連接。雖然這種方式對(duì)每個(gè)TCP 協(xié)議都起作用，但效果并不大。一方面，有些協(xié)議將持續(xù)嘗試讓流量通過(guò)。如果您的TCP 抑制 代理 /網(wǎng)關(guān) 一個(gè)單一電子郵件消息，那么其服務(wù)器接下來(lái)3天內(nèi)將持續(xù)嘗試發(fā)送這份消息，經(jīng)常每隔15分鐘一次。另一方面，該技術(shù)擁有與橋接相同難題 由于您并不能控制流量以隊(duì)列方式傳輸，因此當(dāng)您注意到有害流量時(shí)可能已經(jīng)太遲了。雖然它是個(gè)覆蓋非標(biāo)準(zhǔn)協(xié)議的不錯(cuò)填補(bǔ)方案（stop-gap ），但您會(huì)想要盡可能多的使用代理的模式。內(nèi)部網(wǎng)絡(luò)盡管從在技術(shù)上來(lái)說(shuō)是DLP 是能夠監(jiān)控內(nèi)部網(wǎng)絡(luò)，但除了用于電子郵件以外，DLP 相當(dāng)少用于內(nèi)部流量上。網(wǎng)關(guān)提供了便

31、捷的阻塞點(diǎn)；內(nèi)部監(jiān)控不論是是從成本、性能角度來(lái)看，還是從策略管理/誤判角度來(lái)看，其前景都不容樂(lè)觀。有些DLP 供應(yīng)商擁有內(nèi)部監(jiān)控合伙伙伴關(guān)系，但這對(duì)于多數(shù)企業(yè)來(lái)說(shuō)都是項(xiàng)優(yōu)先級(jí)較低的功能。分布式、層次化部署所有大中型企業(yè)，甚至許多較小型企業(yè)，一般都有多處辦公地點(diǎn)以及web 網(wǎng)關(guān)。DLP 解決方案應(yīng)支持多個(gè)監(jiān)控點(diǎn)，包括：被動(dòng)式網(wǎng)絡(luò)監(jiān)控、代理點(diǎn)、電子郵件服務(wù)器和遠(yuǎn)程地點(diǎn)的組合。當(dāng)處理/分析工作可被分擔(dān)到遠(yuǎn)程執(zhí)行點(diǎn)進(jìn)行時(shí)，它們應(yīng)將所有事件發(fā)回到中央管理服務(wù)器進(jìn)行工作流程、報(bào)告、調(diào)查和歸檔。遠(yuǎn)程辦公室的部署通常要求易于支持，因?yàn)槟荒芟蛳路职l(fā)策略并回傳相關(guān)報(bào)告到總部，但并不是每款產(chǎn)品都有這樣的功能。更為

32、先進(jìn)的產(chǎn)品可為想在多個(gè)地理位置或由不同業(yè)務(wù)單元進(jìn)行不同DLP 管理的企業(yè)提供層次化部署支持。國(guó)際企業(yè)通常需要這種功能以滿足隨著國(guó)家不同而不同的法律監(jiān)控需求。層次化管理支持不同地區(qū)的合作本地策略和執(zhí)行，先在其各自的管理服務(wù)器上運(yùn)行，然后將其傳達(dá)回中央管理服務(wù)器。早期產(chǎn)品僅支持一臺(tái)管理服務(wù)器，但現(xiàn)在我們 通過(guò)采用企業(yè)/地區(qū)/業(yè)務(wù)單元策略、報(bào)告和工作流程組合，在處理這些分布式環(huán)境方面我們可有所選擇。靜態(tài)數(shù)據(jù)雖然現(xiàn)在我們捕捉網(wǎng)絡(luò)泄漏做得已相當(dāng)不錯(cuò)了，但網(wǎng)絡(luò)泄露只是問(wèn)題的冰山一角。許多客戶正發(fā)現(xiàn)“發(fā)現(xiàn)數(shù)據(jù)現(xiàn)在的存儲(chǔ)位置”其價(jià)值并不低于“找出所有數(shù)據(jù)的最初保存位置”。我們稱此動(dòng)作為內(nèi)容發(fā)現(xiàn)。企業(yè)搜索工具可

33、起到一定幫助作用，但并不能真的對(duì)其進(jìn)行調(diào)整來(lái)解決這個(gè)特定問(wèn)題；企業(yè)數(shù)據(jù)分類工具也可能起到一定幫助作用，但基于與大量客戶的討論結(jié)果來(lái)看，它們看起來(lái)并不能在尋找特定策略違規(guī)時(shí)起到很好作用。于是，我們就看到許多客戶選擇使用其DLP 產(chǎn)品中內(nèi)容發(fā)現(xiàn)功能。DLP 產(chǎn)品中內(nèi)容發(fā)現(xiàn)功能的最大優(yōu)勢(shì)在于：它允許您采用單一策略并將其貫穿應(yīng)用于所有數(shù)據(jù)中，而不管這些數(shù)據(jù)存儲(chǔ)在哪里、不管這些數(shù)據(jù)是通過(guò)哪種方式共享、這些數(shù)據(jù)以哪種方式使用。例如：您可定義一個(gè)策略，要求信用卡號(hào)只在加密時(shí)才可通過(guò)郵件發(fā)送、永不通過(guò)HTTP 或HTTPS 共享、僅存儲(chǔ)在經(jīng)過(guò)許可的服務(wù)器、僅被存儲(chǔ)工作站和會(huì)計(jì)團(tuán)隊(duì)員工筆記本電腦上。所有這些都可

34、在DLP 管理服務(wù)器通過(guò)單一策略指定。內(nèi)容發(fā)現(xiàn)由三大組件組成：1. 端點(diǎn)發(fā)現(xiàn)（Endpoint Discovery）：對(duì)工作站和筆記本電腦進(jìn)行內(nèi)容掃描。2. 存儲(chǔ)器發(fā)現(xiàn)（Storage Discovery）：對(duì)大量存儲(chǔ)器進(jìn)行，包括文件服務(wù)器、SAN 和NAS 。3. 服務(wù)器發(fā)現(xiàn)（Server Discovery）：對(duì)電子郵件服務(wù)器、文檔管理系統(tǒng)以及數(shù)據(jù)庫(kù)上所存儲(chǔ)的數(shù)據(jù)進(jìn)行應(yīng)用特定掃描（目前還不是多數(shù)DLP 產(chǎn)品的功能，但已開(kāi)始出現(xiàn)在一些數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控（DAM ）產(chǎn)品中）。內(nèi)容發(fā)現(xiàn)技術(shù)有三種基本的內(nèi)容發(fā)現(xiàn)技術(shù)：1. 遠(yuǎn)程掃描（Remote Scanning）：通過(guò)使用文件共享或應(yīng)用協(xié)議創(chuàng)建到服務(wù)

35、器或設(shè)備的連接，掃描工作是遠(yuǎn)程執(zhí)行。這首先要求安裝遠(yuǎn)程驅(qū)動(dòng)程序，接著從服務(wù)器進(jìn)行掃描，服務(wù)器可從中央策略服務(wù)器獲得策略并將結(jié)果發(fā)送回中央策略服務(wù)器。對(duì)于有些供應(yīng)商來(lái)說(shuō)，這是一款設(shè)備；而對(duì)于其它供應(yīng)商來(lái)說(shuō)，它是一臺(tái)日用服務(wù)器；且用于較小型部署時(shí)，它還可被集成進(jìn)中央管理服務(wù)器中。2. 基于代理的掃描（Agent-Based Scanning）：代理一般安裝在將被掃描的系統(tǒng)（服務(wù)器）上，掃描工作是在本地執(zhí)行。代理是針對(duì)特定平臺(tái)的，雖然這會(huì)占用本地CPU 資源，但其潛在執(zhí)行速度要比遠(yuǎn)程掃描快很多，特別用于掃描大型存儲(chǔ)庫(kù)時(shí)更是如此。對(duì)于端點(diǎn)來(lái)說(shuō)，這應(yīng)是用于執(zhí)行使用中數(shù)據(jù)控制的相同代理的一項(xiàng)功能。3. 內(nèi)

36、存駐留代理掃描（Memory-Resident Agent Scanning）：不是永久代理，而是安裝內(nèi)存駐留代理；代理會(huì)先執(zhí)行一次掃描，然后退出，完全無(wú)需在本地系統(tǒng)存儲(chǔ)或運(yùn)行任何內(nèi)容。當(dāng)您不想要一臺(tái)全時(shí)運(yùn)行的代理時(shí)，這種方式可為你提供基于代理的掃描的性能。所有這些技術(shù)適用于任何模式，企業(yè)一般依據(jù)策略和基礎(chǔ)設(shè)施需求混和部署這些技術(shù)。我們目前可看出每款方案的技術(shù)限制，這對(duì)部署有指導(dǎo)作用： 遠(yuǎn)程掃描會(huì)大大增加網(wǎng)絡(luò)流量，而且其性能會(huì)受到網(wǎng)絡(luò)帶寬、目標(biāo)以及掃描工具網(wǎng)絡(luò)性能的限制。基于這些實(shí)際限制，有些解決方案每臺(tái)服務(wù)器每天只能掃描千兆字節(jié)流量（有時(shí)是數(shù)百字節(jié)/天，但達(dá)不到百萬(wàn)兆字節(jié)/天），這對(duì)于極大型

37、存儲(chǔ)器來(lái)說(shuō)可能并不足夠。 臨時(shí)或永久代理都會(huì)受到目標(biāo)服務(wù)器處理能力及內(nèi)存的限制，而這常會(huì)轉(zhuǎn)化為對(duì)可執(zhí)行策略數(shù)量以及可使用內(nèi)容分析類型的限制。例如：多數(shù)端點(diǎn)代理并不能對(duì)大型數(shù)據(jù)集進(jìn)行局部文檔匹配法或數(shù)據(jù)庫(kù)指紋法分析，這點(diǎn)在具有更多限制的端點(diǎn)代理上尤為明顯。 代理并不支持所有平臺(tái)。靜態(tài)數(shù)據(jù)執(zhí)行一旦發(fā)現(xiàn)策略違規(guī)，DLP 工具就可采取各種動(dòng)作： 報(bào)警/報(bào)告：只像網(wǎng)絡(luò)違規(guī)一樣在集中管理服務(wù)器上創(chuàng)建一個(gè)事件，。 警告：通過(guò)電子郵件通知用戶他們可能出現(xiàn)策略違規(guī)。 隔離/通知：將文件移到中央管理服務(wù)器，并留下一份帶有如何請(qǐng)求文件恢復(fù)相關(guān)指令的文本文件。 隔離/加密：當(dāng)場(chǎng)加密文件，通常留下一份描述如何請(qǐng)求加密的

38、純文本文件。 隔離/訪問(wèn)控制：變更訪問(wèn)控制以限制文件訪問(wèn)。 移除/刪除：不通知而直接將文件傳輸?shù)街醒敕?wù)器，或只刪除文件。不同部署架構(gòu)、發(fā)現(xiàn)技術(shù)和執(zhí)行選項(xiàng)的結(jié)合使用可創(chuàng)建一個(gè)功能強(qiáng)大的靜態(tài)數(shù)據(jù)保護(hù)與法規(guī)遵從方案支持組合。例如：我們將開(kāi)始看到CMF （Content Management Framework內(nèi)容管理框架）部署日益增加以支持PCI 法規(guī)遵從與其說(shuō)是保護(hù)電子郵件和web 流量，其實(shí)更多是為了能夠確保（報(bào)告）所有持卡人數(shù)據(jù)的保存都沒(méi)有違反PCI 法案。使用中數(shù)據(jù)DLP 通常以網(wǎng)絡(luò)為起點(diǎn)，原因在于這是獲得最大覆蓋范圍的最經(jīng)濟(jì)有效方式。網(wǎng)絡(luò)監(jiān)控是非侵入式（除非您必須破解SSL ）且提供了對(duì)

39、網(wǎng)絡(luò)上受管理及不受管理、服務(wù)器及工作站等系統(tǒng)的可視性。雖然要進(jìn)行過(guò)濾還是比較困難的，但在網(wǎng)絡(luò)上還是可以相當(dāng)直接進(jìn)行（特別對(duì)于電子郵件來(lái)說(shuō)更是如此）過(guò)濾，并且可以覆蓋了所有與網(wǎng)絡(luò)相連接的系統(tǒng)。不過(guò)，顯然這并不是一個(gè)完整的解決方案；當(dāng)有人帶著筆記本離開(kāi)辦公室，這些筆記本電腦中數(shù)據(jù)就不再在其保護(hù)范圍內(nèi)了，它甚至不能防止人們數(shù)據(jù)到如USB 驅(qū)動(dòng)等便捷式存儲(chǔ)器上。要想從“泄漏防護(hù)”解決方案發(fā)展為“內(nèi)容保護(hù)”解決方案，DLP 產(chǎn)品不僅需將保護(hù)范圍擴(kuò)展到所存儲(chǔ)的數(shù)據(jù)上，而且要擴(kuò)展到使用數(shù)據(jù)的端點(diǎn)上。注：盡管在端點(diǎn)DLP 領(lǐng)域已取得了長(zhǎng)足進(jìn)步，但并不推薦多數(shù)用戶使用endpoint-only 解決方案。正如我

40、們下面會(huì)討論的，單一的斷點(diǎn)保護(hù)方案通常需要在可執(zhí)行策略類型和數(shù)量上有一定讓步，僅提供有限的電子郵件集成功能，且不能提供對(duì)不受管理系統(tǒng)的保護(hù)。很長(zhǎng)時(shí)間內(nèi)，您將同時(shí)需要網(wǎng)絡(luò)和端點(diǎn)的解決方案，且多數(shù)領(lǐng)先的網(wǎng)絡(luò)解決方案正添加或已提供至少一些端點(diǎn)保護(hù)功能。添加端點(diǎn)代理到DLP 解決方案中，不僅為您提供了發(fā)現(xiàn)所存儲(chǔ)內(nèi)容的能力，而且也可為不再位于網(wǎng)絡(luò)上系統(tǒng)提供保護(hù)，甚至可為正被一直使用中數(shù)據(jù)提供了保護(hù)。雖然它的功能極強(qiáng)，但其實(shí)施卻一直很有難度。代理必需在標(biāo)準(zhǔn)配置的筆記本電腦資源限制內(nèi)執(zhí)行，同時(shí)還要實(shí)現(xiàn)內(nèi)容感知。如果您所擁有的都是如“保護(hù)我們數(shù)據(jù)庫(kù)中所有1000萬(wàn)個(gè)信用卡號(hào)”等復(fù)雜策略，而不是某些如“保護(hù)所有

41、信用卡號(hào)”等較為簡(jiǎn)單的策略，那么這點(diǎn)可能并不容易做到，這將使得每次員工訪問(wèn)A 都產(chǎn)生誤判情況。關(guān)鍵功能現(xiàn)有產(chǎn)品在功能上各具千秋，但其中有三項(xiàng)關(guān)鍵功能是我們所熟知的：1. 網(wǎng)絡(luò)堆棧內(nèi)的監(jiān)控和執(zhí)行：這允許無(wú)網(wǎng)絡(luò)設(shè)備前提下執(zhí)行網(wǎng)絡(luò)規(guī)則。產(chǎn)品可好像系統(tǒng)就在受管理網(wǎng)絡(luò)上一樣執(zhí)行相同規(guī)則，并可分離出只在未受管理網(wǎng)絡(luò)上使用的規(guī)則。2. 系統(tǒng)內(nèi)核內(nèi)的監(jiān)控和執(zhí)行：通過(guò)直接插入操作系統(tǒng)內(nèi)核，您可監(jiān)控用戶行為，比如：復(fù)制和粘貼敏感內(nèi)容。這也使得產(chǎn)品能夠檢測(cè)（并攔截）用戶獲取敏感內(nèi)容并試圖通過(guò)加密或修改源文檔等方式避過(guò)檢測(cè)時(shí)的策略違規(guī)。3. 文件系統(tǒng)內(nèi)的監(jiān)控和執(zhí)行：這允許基于數(shù)據(jù)存儲(chǔ)地點(diǎn)的監(jiān)控和執(zhí)行。例如：您可執(zhí)行本

42、地發(fā)現(xiàn)和/或限制到未加密USB 設(shè)備的敏感數(shù)據(jù)傳輸。這三個(gè)選項(xiàng)都已被簡(jiǎn)化，多數(shù)早期產(chǎn)品主要致力于1和3功能來(lái)解決便捷式存儲(chǔ)器問(wèn)題并保護(hù)不受管理網(wǎng)絡(luò)上設(shè)備。系統(tǒng)/內(nèi)核集成要更為復(fù)雜得多，有各種各樣方案可用以獲得這項(xiàng)功能。用例端點(diǎn)DLP 正不斷發(fā)展演變，可支持幾種關(guān)鍵用例： 在受管理網(wǎng)絡(luò)以外執(zhí)行網(wǎng)絡(luò)規(guī)則，或針對(duì)更多敵對(duì)網(wǎng)絡(luò)來(lái)修改規(guī)則。 限制來(lái)自便捷式存儲(chǔ)器的敏感內(nèi)容，包括USB 驅(qū)動(dòng)、CD/DVD驅(qū)動(dòng)、家用存儲(chǔ)器以及如智能手機(jī)和PDA 等設(shè)備。 限制敏感內(nèi)容的復(fù)制和粘貼。 限制允許使用敏感內(nèi)容的應(yīng)用程序 比如，加密工作僅允許采用已許可企業(yè)解決方案來(lái)進(jìn)行，而不是那些在線下載的不允許企業(yè)數(shù)據(jù)還原的那些

43、工具來(lái)進(jìn)行。 可與企業(yè)數(shù)字版權(quán)管理（Enterprise Digital Rights Management，E-DRM ）相集成以基于文檔所包含內(nèi)容將訪問(wèn)控制應(yīng)用到文檔中。 審核面向法規(guī)遵從報(bào)告的敏感數(shù)據(jù)使用。其它的端點(diǎn)功能下列是在端點(diǎn)部署DLP 時(shí)呼聲很高的功能： 端點(diǎn)代理和規(guī)則應(yīng)由控制動(dòng)態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)（網(wǎng)絡(luò)和發(fā)現(xiàn)）的同一臺(tái)DLP 管理服務(wù)器進(jìn)行集中管理。 策略創(chuàng)建和管理應(yīng)與單一界面中其它DLP 策略完全集成。 事件應(yīng)報(bào)告給中央管理服務(wù)器并由其進(jìn)行管理。 端點(diǎn)代理應(yīng)使用與網(wǎng)絡(luò)服務(wù)器/設(shè)備相同的內(nèi)容分析技術(shù)和規(guī)則。 規(guī)則（策略）應(yīng)基于端點(diǎn)所處位置（在線或離線）進(jìn)行調(diào)整。當(dāng)端點(diǎn)位于帶有網(wǎng)關(guān)D

44、LP 的受管理網(wǎng)絡(luò)上時(shí)，應(yīng)跳過(guò)多余的本地規(guī)則以改善性能。 代理部署應(yīng)與現(xiàn)有企業(yè)軟件部署工具相集成。 策略更新應(yīng)通過(guò)DLP 管理服務(wù)器或現(xiàn)有企業(yè)軟件更新工具提供安全管理選項(xiàng)。端點(diǎn)局限性實(shí)際上，端點(diǎn)的性能和存儲(chǔ)局限性都將會(huì)對(duì)所支持的內(nèi)容分析類型以及可在本地執(zhí)行的策略數(shù)量和類型造成限制。對(duì)于有些企業(yè)來(lái)說(shuō)，這可能沒(méi)關(guān)系，他們依賴的是所執(zhí)行策略的種類，但在許多情況下，端點(diǎn)在使用策略方面在數(shù)據(jù)上強(qiáng)加了諸多限制。集中管理、策略管理和工作流程 就如我們整篇報(bào)告中所討論的，所有當(dāng)前DLP 解決方案均包括有一臺(tái)中央管理服務(wù)器，該服務(wù)器用來(lái)管理執(zhí)行和檢測(cè)點(diǎn)、創(chuàng)建和管理策略、事件工作流程和生成報(bào)告。這些功能在選擇流程

45、中通常都是至關(guān)重要的。市場(chǎng)上各類產(chǎn)品間有大量不同點(diǎn)；我們將重點(diǎn)關(guān)注最為重要的基本功能，而不是試圖涉及每項(xiàng)可能的功能。用戶界面不同于其它安全工具，DLP 工具常為HR 、行政管理、企業(yè)法律和業(yè)務(wù)部領(lǐng)導(dǎo)等非技術(shù)型員工所使用。就這點(diǎn)而言，用戶界面就需考慮到這種技術(shù)和非技術(shù)人員的組合，必須可輕松定制以滿足所有特殊用戶群體的需要。出于DLP 解決方案可以處理的信息容量和復(fù)雜性考慮，用戶界面能夠成就一款DLP 產(chǎn)品，也能夠毀掉一款DLP 產(chǎn)品。例如：在顯示事件時(shí)，僅僅在策略違規(guī)界面中標(biāo)亮電子郵件的部分就能夠節(jié)省管理人員好幾分鐘的處理時(shí)間并避免錯(cuò)誤分析。DLP 用戶界面應(yīng)包括下列要素： 儀表板：好的儀表板將

46、擁有用戶可選擇的元素，默認(rèn)可同時(shí)面向技術(shù)和非技術(shù)用戶。各個(gè)元素可能僅可用于授權(quán)用戶或組，通常是在企業(yè)目錄上所保存的組。儀表板應(yīng)重點(diǎn)關(guān)注對(duì)用戶有價(jià)值的信息，而不只是一個(gè)全系統(tǒng)范圍通用視圖。顯而易見(jiàn)的元素包括基于嚴(yán)重性和各通訊通道的違規(guī)數(shù)量和分布以及其它決策層信息，可總結(jié)出企業(yè)整體風(fēng)險(xiǎn)性。 事件管理隊(duì)列：事件管理隊(duì)列是用戶界面的最為重要一個(gè)組件。通過(guò)這樣的屏幕事件處理工具我們可以監(jiān)控和管理策略違規(guī)。這種隊(duì)列不僅應(yīng)簡(jiǎn)單明了且可定制，而且要求一眼就可輕松讀取。出于對(duì)這種功能的重要性考慮，我們將在本報(bào)告的下文中詳細(xì)描述推薦的功能。 單一的事件顯示：當(dāng)處理程序探究單個(gè)事件時(shí)，顯示內(nèi)容應(yīng)清晰明了地總結(jié)出違規(guī)

47、原因、所涉及用戶、危險(xiǎn)性、嚴(yán)重性（危險(xiǎn)性是基于所違反的策略，而嚴(yán)重性則是基于所涉及的數(shù)據(jù)量）、相關(guān)事件以及所有其它所需信息以在事件處理時(shí)作出明智決定。 系統(tǒng)管理：標(biāo)準(zhǔn)系統(tǒng)狀態(tài)和管理界面，包括用戶和組的管理。 層次化管理：如執(zhí)行點(diǎn)、遠(yuǎn)程辦公室、端點(diǎn)等DLP 解決方案遠(yuǎn)程組件的狀態(tài)和管理，包括“哪些規(guī)則在哪里處于活躍狀態(tài)”的比較。 報(bào)告：可使用預(yù)定義的報(bào)告模板和報(bào)告工具組合，生成特定報(bào)告功能。 策略創(chuàng)建和管理：除了事件隊(duì)列外，這是中央管理服務(wù)器最重要的組件。它包括了策略的創(chuàng)建和管理。因?yàn)樗侨绱酥匾虼宋覀冊(cè)陔S后會(huì)對(duì)其有更詳細(xì)敘述。DLP 界面應(yīng)是清晰明了且易于瀏覽的。這要求聽(tīng)起來(lái)可能不高，但我

48、們都很清楚，要讓設(shè)計(jì)糟糕的安全工具能正常的工作起來(lái)完全需要管理員的技術(shù)來(lái)彌補(bǔ)。由于DLP 是在安全部門(mén)以外使用，甚至是在IT 部門(mén)以外使用，因此其用戶界面需適用于大范圍用戶。層次化管理、目錄集成和基于角色的管理層次化管理DLP 策略和執(zhí)行常需進(jìn)行設(shè)計(jì)以滿足單獨(dú)業(yè)務(wù)部門(mén)或地理位置的需要。層次化管理允許您采用多層的管理和策略，在整個(gè)企業(yè)中建立多臺(tái)策略服務(wù)器。例如：一個(gè)地區(qū)可以擁有自己的策略服務(wù)器，然后這臺(tái)策略服務(wù)器再隸屬于中央策略服務(wù)器。這一區(qū)域可創(chuàng)建自己的特定策略、經(jīng)許可忽略中央策略，然后處理本地事件。所有違規(guī)情況將被集中到中央服務(wù)器上，同時(shí)某些策略也將總是集中執(zhí)行。DLP 工具將支持全局和局部

49、策略創(chuàng)建，分配策略進(jìn)行局部或全局執(zhí)行，跨地點(diǎn)地管理工作流程和報(bào)告。目錄集成DLP 解決方案還可與企業(yè)目錄（一般的是Microsoft 活動(dòng)目錄）相集成，因此違規(guī)情況可與用戶相關(guān)聯(lián)，而不是與IP 地址相關(guān)聯(lián)。這很復(fù)雜，因?yàn)樗鼈儽仨毻瑫r(shí)處理受管理用戶以及未分配有地址的不受管理（客人/臨時(shí)用戶）用戶。這種集成應(yīng)將DHCP 分配的地址和網(wǎng)絡(luò)登錄的用戶名進(jìn)行綁定，并不斷更新以避免意外的將策略違規(guī)事件與無(wú)辜用戶連系到一起。例如：客戶目前使用產(chǎn)品的老版本會(huì)將一個(gè)用戶與一個(gè)IP 地址相關(guān)聯(lián)直到這個(gè)地址被重新分配給另一個(gè)用戶。這樣的設(shè)置，造成一份參考資料差點(diǎn)導(dǎo)致一個(gè)工員被辭退，因?yàn)橐粋€(gè)公司的合約工（不在活動(dòng)目錄

50、中）且他做了策略違規(guī)的操作，而這款工具將這次違規(guī)事件與那個(gè)無(wú)辜員工聯(lián)系到了一起。此外，目錄集成通過(guò)去除對(duì)參考外部用戶身份和企業(yè)結(jié)構(gòu)數(shù)據(jù)源的需要，還可優(yōu)化事件管理。基于角色的管理系統(tǒng)還應(yīng)允許基于角色的內(nèi)部管理以進(jìn)行內(nèi)部管理任務(wù)和監(jiān)控&執(zhí)行。在企業(yè)內(nèi)部，用戶可被分配到管理和策略組以實(shí)現(xiàn)職責(zé)分離。例如：某人可能被賦予執(zhí)行會(huì)計(jì)組策略的角色，它沒(méi)有管理系統(tǒng)、創(chuàng)建策略、查看其它組違規(guī)情況以及改變策略等訪問(wèn)權(quán)。由于您的活動(dòng)目錄（AD ）可能反映不出監(jiān)控和執(zhí)行所需的用戶類型，因此DLP 系統(tǒng)應(yīng)基于DLP 產(chǎn)品特定的組和角色提供靈活的監(jiān)控和執(zhí)行支持。策略創(chuàng)建和管理策略創(chuàng)建和管理是DLP 核心的一項(xiàng)關(guān)鍵功

51、能，它也是（可能）最難的DLP 管理部分。盡管大量定制策略的創(chuàng)建幾乎總是有技術(shù)技能要求，但策略創(chuàng)建界面應(yīng)兼顧被技術(shù)型和非技術(shù)型用戶訪問(wèn)。對(duì)于策略創(chuàng)建，系統(tǒng)應(yīng)讓您可識(shí)別所保護(hù)數(shù)據(jù)種類、（如適當(dāng)?shù)脑挘?shù)據(jù)來(lái)源、目的地、哪些信道需進(jìn)行監(jiān)控和保護(hù)、可對(duì)違規(guī)情況可采取哪些行動(dòng)、可應(yīng)用策略到哪個(gè)用戶、哪些處理程序和管理員可訪問(wèn)策略和違規(guī)情況。由于并非所有策略都是同等創(chuàng)建的，因此每個(gè)策略還應(yīng)基于違規(guī)數(shù)量被分配以敏感度、嚴(yán)重性閾值。這些策略應(yīng)可作為新策略模板，如果系統(tǒng)包括進(jìn)類別分析（您真正想要的），那些與特定類別相關(guān)的策略還應(yīng)可作為定制策略模板進(jìn)行編輯和使用。策略向?qū)б矐?yīng)是一項(xiàng)有用的功能，特別對(duì)于類似單一文檔

52、保護(hù)的策略來(lái)說(shuō)更是如此。多數(shù)用戶常更喜歡清晰的圖形策略布局的用戶界面，最好采用易于讀取的網(wǎng)格方式來(lái)顯示所監(jiān)控信道以及信道上違規(guī)的處理情況。越是復(fù)雜的策略，越容易造成內(nèi)部差異或是意外的給錯(cuò)誤信道和違規(guī)分配以錯(cuò)誤的處理動(dòng)作。基本上，每個(gè)策略都需要進(jìn)行一定的調(diào)整；一款好的工具將允許您以測(cè)試模式創(chuàng)建策略，顯示其可能在生產(chǎn)環(huán)境中的反應(yīng)，完全無(wú)需真實(shí)的填充事件處理程序的隊(duì)列或采用執(zhí)行動(dòng)作。有些工具能夠依據(jù)之前記錄的流量來(lái)測(cè)試草擬版策略。由于策略涉及到了極為敏感的信息，因此它們應(yīng)可被散列、加密或者在系統(tǒng)內(nèi)受到保護(hù)。有些業(yè)務(wù)單元可能擁有極為敏感策略，需防止未得到明確許可的系統(tǒng)管理員查看極為敏感策略。所有策略違

53、規(guī)也應(yīng)受到保護(hù)。事件工作流程和案例管理事件工作流程會(huì)是DLP 系統(tǒng)中被使用最多的部分，報(bào)告違規(guī)、管理事件和執(zhí)行調(diào)查工作都是在這里完成。第一站是事件處理隊(duì)列，這是所有事件的一份摘要，有已分配給處理程序的事件，有未分配但已在處理程序執(zhí)行域中的事件。事件狀態(tài)應(yīng)以色標(biāo)的敏感度（基于違反的策略）和嚴(yán)重性（違規(guī)數(shù)量以及策略中定義的其它因素）來(lái)明確顯 示。每個(gè)事件應(yīng)在單行上顯示，且在任何場(chǎng)合皆是可選且過(guò)濾的。同時(shí)，信道、違反的策略、用戶、事件狀態(tài)（打開(kāi)、關(guān)閉、分配、未分配、調(diào)查）以及處理程序應(yīng)可顯示出來(lái)并可針對(duì)即時(shí)處理方式進(jìn)行輕松改動(dòng)。默認(rèn)情況下，關(guān)閉的事件不應(yīng)讓界面更為混亂 基本上象對(duì)電子郵件收件箱來(lái)處理

54、它。每個(gè)用戶應(yīng)能夠?qū)ζ溥M(jìn)行定制以更好適應(yīng)自己的工作風(fēng)格。違反多個(gè)策略或多次違反一個(gè)策略的事件應(yīng)只在事件隊(duì)列中出現(xiàn)一次。一封有10個(gè)附件的電子郵件，它不應(yīng)作為10個(gè)不同事件顯示，除非每個(gè)附件違反的策略都不同。當(dāng)打開(kāi)單個(gè)事件時(shí)，它應(yīng)列出所有事件詳細(xì)信息，包括（除非受到不同限制）強(qiáng)調(diào)流量或文檔中哪些數(shù)據(jù)違反了哪項(xiàng)策略。用戶近期的其它違規(guī)以及數(shù)據(jù)的其它違規(guī)（可顯示更大型事件）的總結(jié)是項(xiàng)寶貴功能。工具應(yīng)可讓處理程序可進(jìn)行注釋、分配其它處理程序、通知管理層并上傳所有支持文檔。 更為高級(jí)的工具包含了詳細(xì)追蹤事件及所有支持文檔的案例管理，包括數(shù)據(jù)時(shí)戮和散列。這在采用法律行動(dòng)的案例中很有價(jià)值，案例管理中證據(jù)應(yīng)加

55、以管理以讓其可更多地為法庭所采納。系統(tǒng)管理、報(bào)告和其它功能與所有安全工具一樣，DLP 解決方案應(yīng)包含所有基本系統(tǒng)管理功能，包括： 備份和還原 整個(gè)系統(tǒng)或僅系統(tǒng)配置，僅備份和還原系統(tǒng)配置適用于平臺(tái)遷移。 導(dǎo)入/導(dǎo)出 策略和違規(guī)的導(dǎo)入/導(dǎo)出。應(yīng)有準(zhǔn)備地提取已關(guān)閉的違規(guī)時(shí)間以確保有足夠的可用空間。 負(fù)載均衡/集群 性能監(jiān)控和調(diào)整 數(shù)據(jù)庫(kù)管理工具通常會(huì)把這些功能混合在工具本身和其依賴的平臺(tái)之間。有些企業(yè)更喜歡僅僅只是對(duì)工具進(jìn)行管理，完全無(wú)需管理員去了解或管理其平臺(tái)。您應(yīng)盡可能多地尋找讓您通過(guò)DLP 管理界面即可管理所有事情的DLP 工具。不同解決方案中所擁有的報(bào)告功能也各有不同；有些使用內(nèi)部報(bào)告界面，

56、而其它則倚賴于如Crystal Reports等第三方工具。所有工具出廠時(shí)帶有一些默認(rèn)報(bào)告，但并非所有工具都允許您創(chuàng)建自己的報(bào)告。您應(yīng)尋找技術(shù)和非技術(shù)型報(bào)告組合，且如果您的企業(yè)要考慮法規(guī)遵從問(wèn)題，那么應(yīng)考慮那些綁定了法規(guī)遵從報(bào)告的工具。當(dāng)您使用靜態(tài)數(shù)據(jù)或使用中數(shù)據(jù)（端點(diǎn)）功能時(shí)，您將需要管理界面以讓您可對(duì)服務(wù)器、存儲(chǔ)器和端點(diǎn)進(jìn)行策略管理。工具應(yīng)支持大量設(shè)備管理所需的設(shè)備分組、運(yùn)行特征碼更新以及其它所需功能。除了這些基本功能以外，產(chǎn)品開(kāi)始附帶其它高級(jí)功能來(lái)讓自已與眾不同，從而幫助滿足特殊企業(yè)的需要，包括： 第三方集成能力，從web 網(wǎng)關(guān)到取證工具。 語(yǔ)言支持，包括亞洲的雙字節(jié)字符集。 策略違規(guī)匿

57、名化，支持國(guó)際工作場(chǎng)所隱私權(quán)要求。 全面捕捉以記錄所有流量，而不只是策略違規(guī)流量。DLP 選擇流程定義需要并讓您的企業(yè)作好準(zhǔn)備在您開(kāi)始關(guān)注任何工具前，您需先了解為什么您可能需要DLP 、對(duì)于產(chǎn)品使用您有何計(jì)劃以及圍繞策略創(chuàng)建和事件管理的業(yè)務(wù)流程。1. 確定需涉及到的業(yè)務(wù)單元并創(chuàng)建一個(gè)選擇委員會(huì)：我們常在DLP 選擇流程中包含進(jìn)兩種業(yè)務(wù)單元有敏感數(shù)據(jù)需加以保護(hù)的內(nèi)容擁有者與負(fù)有數(shù)據(jù)控制執(zhí)行責(zé)任的內(nèi)容保護(hù)者。內(nèi)容擁有者包括那些擁有和使用數(shù)據(jù)的業(yè)務(wù)單元。內(nèi)容保護(hù)者常包括如人力資源（HR ）、IT 安全以及企業(yè)法律、法規(guī)遵從和風(fēng)險(xiǎn)管理（Legal, Compliance, and Risk Management）等部門(mén)。一旦您確定主要利益相關(guān)者，您會(huì)想讓他們共同進(jìn)行接下來(lái)的幾個(gè)步驟。 2. 定義您想要保護(hù)的內(nèi)容：先盡可能明確地列出您計(jì)劃使用DLP 進(jìn)行保護(hù)的各類數(shù)據(jù)。我們一般將內(nèi)容分為三類 個(gè)人可識(shí)別信息（包括醫(yī)療、財(cái)務(wù)和其它數(shù)據(jù)在內(nèi)的PII 信息），企業(yè)財(cái)務(wù)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。前兩類數(shù)據(jù)結(jié)構(gòu)性較強(qiáng)，將推動(dòng)您選擇某些解決方案，而知識(shí)產(chǎn)權(quán)擁有不同內(nèi)容分析需求，結(jié)構(gòu)性較弱。即便您想要保護(hù)所有類型的內(nèi)容，也可使用這種流程來(lái)指定并分配優(yōu)先級(jí)，最好“以書(shū)面形式”。3. 決定您想要如何保護(hù)數(shù)據(jù)并設(shè)置期望值