近年來，數(shù)字化轉(zhuǎn)型成為各行業(yè)創(chuàng)新的關(guān)鍵詞。作為數(shù)字化轉(zhuǎn)型的前提和核心，數(shù)據(jù)在其中扮演著越來越重要的角色。如何保證數(shù)據(jù)安全是企業(yè)制定數(shù)字化轉(zhuǎn)型戰(zhàn)略時不可避免需要回答的問題。

　　數(shù)據(jù)防泄漏(DLP)技術(shù)的日臻成熟為數(shù)據(jù)安全提供了基礎保障。在DLP項目實施之前，企業(yè)需要根據(jù)行業(yè)和自身企業(yè)特征做好從人員和團隊管理到審查模式、技術(shù)等各方面的準備工作。

　　在數(shù)字化時代，數(shù)據(jù)，成為一個企業(yè)創(chuàng)新與發(fā)展的核心，已無法通過枷鎖式的方式來進行管控。數(shù)據(jù)在整個行業(yè)生態(tài)中的流轉(zhuǎn)以及在新興業(yè)務場景下的使用，促使企業(yè)需要采用更靈活的方式來對數(shù)據(jù)進行管控。數(shù)據(jù)防泄漏(DLP, Data Loss Prevention)技術(shù)應運而生并且日臻成熟，已在不同的行業(yè)，尤其是具備敏感的研發(fā)或客戶數(shù)據(jù)的企業(yè)中廣泛應用。

　　然而，全球企業(yè)數(shù)據(jù)泄露安全事件仍層出不窮。我國的《網(wǎng)絡安全法》、美國針對健康保險行業(yè)的HIPPA、歐盟的GDPR等法規(guī)對數(shù)據(jù)安全也提出了更嚴格的要求。目前，我們看到很多企業(yè)選擇較為傳統(tǒng)的DLP工具，也看到市場上的一些技術(shù)創(chuàng)新，如利用人工智能進行內(nèi)容識別。雖然很多企業(yè)部署了DLP，卻無法很好地發(fā)揮其效用，要么事件積累擱置不管，要么花費大量人力進行運維，這都與DLP實施的每一個環(huán)節(jié)息息相關(guān)。今天就簡單聊聊企業(yè)部署推廣DLP的一些方法和注意點。

　　數(shù)據(jù)防泄漏技術(shù)能實現(xiàn)什么?

　　數(shù)據(jù)防泄漏保護是通過一定的技術(shù)手段，防止企業(yè)的特定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

　　數(shù)據(jù)的識別規(guī)則：

　　此維度是指針對特定密級文檔的識別，也就是需要保護的對象。一般類型的文檔可以使用關(guān)鍵字，建立字典或者使用正則表達式等方法來識別。一些特殊的文件需要針對文件類型來做相應的識別方法，如CAD等圖紙類文件。還有一些其他的方式如針對單個文件打指紋等等。大部分DLP產(chǎn)品中會自帶一些可一鍵使用的識別方式，如身份證號、個人簡歷、源代碼等等，由于這些通用性的策略沒有根據(jù)企業(yè)實際情況進行定制化，因此必須在調(diào)優(yōu)過程中逐步進行優(yōu)化。

　　策略生效的范圍：

　　此維度是指本條策略生效的終端(人員)。理論上來說，所有策略都是需要針對企業(yè)內(nèi)部所有終端進行下發(fā)，但某些更加嚴格的策略會需要針對特定群組的員工實施。亦或是有些企業(yè)的研發(fā)環(huán)境與辦公網(wǎng)絡環(huán)境是隔離的，某些機密文件的策略只需要針對該部門的員工終端實施。

　　安全應對策略：

　　此維度是指針對這條策略實施怎樣的應對方式，如靜默審計、阻攔等等。一般在策略生效之初的優(yōu)化階段，只會對事件做靜默審計以免影響合理的業(yè)務往來。當策略優(yōu)化到誤報量達到可接受的范圍內(nèi)時，企業(yè)會根據(jù)自身需要調(diào)整策略，進行發(fā)送確認或者阻攔等方式。

　　數(shù)據(jù)傳輸方式：

　　此維度是指該類型文件所允許的傳輸渠道。如郵件、U盤、網(wǎng)絡云盤等。企業(yè)需要針對每個類型的文件有清晰的傳輸渠道定義，如某機密文件只可以通過內(nèi)部郵箱發(fā)送，其余渠道都需要阻攔等。

　　從人員及管理方面，應當進行哪些工作來保證DLP的有效性?

　　1 信息安全團隊審查：

　　完全由信息安全團隊來審查DLP后臺事件。這種模式優(yōu)點是由信息安全團隊專人進行事件處理，效率會比較高。但由于安全團隊人員對于業(yè)務理解度不高，可能無法判斷該業(yè)務需求是否合理，還需多次與業(yè)務部門溝通，或存在事件處理結(jié)果不恰當?shù)那闆r。

　　2 業(yè)務部門審查模式：

　　完全由業(yè)務部門來審查DLP后臺事件。這種模式優(yōu)點是各業(yè)務部門出于對自身業(yè)務的了解，能更加有效地判斷事件是否為真實的信息安全事件。但是這種模式存在以下幾種缺點：

　　業(yè)務部門調(diào)查人員可能存在包庇行為，或業(yè)務部門內(nèi)部解決而不報告安全部門的情況

　　由于DLP實施前期誤報可能比較多，造成業(yè)務部門調(diào)查人員積極性不高，并且當大量誤報形成時會導致潛在信息安全事件被淹沒

　　對調(diào)查人員本身及其上司的信息泄露事件可能有所缺失

　　3 混合團隊審查模式：

　　由信息安全團隊和業(yè)務部門混合調(diào)查。這種模式主要可以理解為，信息安全團隊對后臺事件先進行篩選，剔除掉重復或者明顯是誤報的事件，隨后將各業(yè)務部門的潛在安全事件分配給業(yè)務部門調(diào)查人員進行確認。當然，這種混合型審查模式也是有缺點的，過于依賴信息安全團隊人員的篩選，分配事件的時間較長，事件調(diào)查的時效性會比較差。