* 2007年，美國零售巨頭TJX公司的網絡被入侵。黑客進入了TJX的中心數據庫并竊取了大量敏感的客戶數據，據統計至少有4570萬張信用卡和借記卡的信息被盜。后來，TJX至少花費了2.56億美元來處理該安全事件。

* 2008年，美國負責全國家庭貸款的機構Countrywide的文檔被竊。一名員工在超過兩年的時間里一共竊取了大約200萬份客戶記錄，并將它們出售給第三方。

* 2009年，IDC和EMC的安全子公司RSA聯手對大約400位企業主管級官員進行了調查。調查結果顯示，這400人在過去的12個月中碰到了大約5.8萬起內部風險事件，平均每個企業每年將遇到近150起內部風險事故。

以上事實表明，企業的關鍵數據并不像通常所想象的那么安全，采取常規的安全防御措施也很可能無法阻止數據的泄露。那么，我們該用什么方法保護數據的安全呢?為了保護企業的關鍵數據不被有意或無意泄露，一種新的安全技術出現了，這就是數據泄露防護(Data Leakage Prevention，DLP)。

為保護數據而生

DLP也被稱為數據泄露預防。它是版權管理的一種變體，且常被企業用來進行更大范圍的數據防護。版權管理傾向于將一些文檔和文件類型進行打包，以便對其進行保護;而DLP更注重對企業的網關進行保護和監控。

DLP技術是通過一定的技術或管理手段，防止企業的指定數據或信息資產以違反安全策略規定的形式流出企業。DLP關注的焦點在于，防止敏感信息經電子郵件、文件傳輸、即時消息、網頁發布、便攜式存儲設備或介質等途徑泄露出去。

McAfee公司高級系統工程師王昊說：“最早的數據泄露防護概念在2004年出現，這個概念的出現和整個信息安全技術的發展趨勢有關，業界普遍的觀點認為，信息安全(IT Security)已經從邊界安全向內容安全進行延伸，傳統的邊界安全設備如防火墻，VPN等根本無法對進出互聯網的內容(數據)進行識別，同時伴隨出現的各種法律法規如塞班斯法案、GLBA、HIPPA等對數據資產(公司專利、財務報告、員工信息、信用卡持卡人信息等)的安全性提出了明確的安全要求，這一系列的因素促使數據泄露防護產品的誕生。”

DLP是從數據丟失防護(Data Loss Prevention)概念演變而來。從2005年開始，Gartner針對內容監控、過濾和數據丟失防護的主題進行產品調查。在2007，Gartner將主題更名為數據泄露防護并對產品與技術進行區隔來調查與評比，評比重點放在網絡網關防護與主機端點防護二項。

Gartner認為，作為一種重要的信息安全控制解決方案，DLP的發展正處于迅猛上升階段。DLP幫助企業進行異常業務流程的識別和和矯正，監控并阻止突發性敏感數據泄露，同時還提供支持、遵從協議和審計等。

大多數信息泄露防護解決方案都提供了一些缺省模板，以便識別常見的敏感信息。企業可以對模板進行定制，以滿足其特定的需求。

安全你的關鍵數據

DLP能做很多事情，概括起來就是防止數據資產通過所有可能的方式泄漏。具體來說，首先是從公司海量的文件中迅速定位到需要受到保護的數據資產，這種自動發現數據資產的方式包括文件存放路徑、包含的關鍵字、生成文件的應用程序、正則表達式或者文件“指紋”等，被發現的數據資產通過各種行為如USB存儲設備、剪貼板、郵件、Web發布、截屏、打印、網絡共享、即時消息等多種方式傳播到公司外部環境(如員工私人電腦、外部郵箱、私人USB存儲設備等)時DLP產品能夠實施阻止、監視、存儲證據、通知用戶、強制加密等多種可選的反應規則，達到防止數據泄漏的目的。

趨勢科技技術顧問林義軒向記者介紹，DLP的功能主要包括：感知數據并有效防護數據的泄露，對于數據外泄的可能發生要能有相對的智慧，能主動告知使用者與管理者此事件的分級與行為;能在不干擾使用者正常行為的操作下進行傳出與寫出數據的偵測，對于敏感數據或數據的描述與比對要精確與精準;對事件的追查與日常的管理要便于使用。

Websense中國區技術經理陳綱說：“Websense強調針對內容的數據泄露防護。因此DLP至少應能從內容上對敏感數據進行判斷，并能從終端和網絡兩個層面對敏感數據進行檢測與分析。能對各類主流的文檔格式進行判斷與識別，并正確地還原這些文檔中的數據，對數據泄露進行監測與防護。”

要想在一個復雜的企業網絡環境中成功部署好DLP解決方案，并不是一件很容易的事情。這是因為在部署DLP方案的同時必須考慮它與網絡中已經部署好了的安全解決方案的共存及相互協作的問題，確保實施的DLP解決方案不能與現有的安全措施相互沖突。還要解決如何將它無縫地集成到現有的網絡結構當中去，又不影響企業正常的網絡業務的問題。目前已經存在一些成功部署DLP解決方案的最佳做法。

這些部署DLP解決方案的最佳做法由5個步驟構成，它們是：部署DLP解決方案的總體策略、指定部署人員、DLP產品選型、部署處理流程和DLP部署檢驗。這5個步驟之間首尾相連構成一個不斷往復的部署過程。

第一步：制定部署DLP解決方案的總體策略。總體策略應當包括預期要達到的目標和具體的部署計劃，以及如何監督它的實施。在決定部署DLP解決方案之前，企業必須先來了解企業中的哪些數據屬于機密數據。企業還必須制定一個評估DLP實施效果的績效指標，用來確定使用DLP后到底取得了什么樣的效果。這個績效指標可以是實施DLP解決方案后機密數據泄漏事件的月下降率，以及員工違反安全操作的發生率等來評定。

同時，企業還應當考慮部署DLP解決方案時可能對現有網絡業務和工作方式，以及員工的操作習慣帶來的影響，并以此來決定要不要對員工進行培訓，以便他們能遵從DLP解決方案的要求。而且，企業還應當考慮部署DLP解決方案是否會牽扯到員工個人隱私的法律問題。

企業還應當明確每種機密數據的屬主。這樣做是很重要的，企業應當將每個員工可以接觸到什么樣的機密數據做一個具體的了解，并以此建立一個員工與所屬機密數據的對應表。這樣做有利于明確員工對機密數據的權限范圍，以及出現數據丟失事件后明確責任承擔人。

另外，據一些調查機構統計分析得知，企業中大部分的機密數據都是在一些經常發生違規行為的區域丟失也去的，因此，企業可以按數據丟失的嚴重程度將企業網絡劃分出多個保護級別，然后在部署DLP解決方案時，先重點防范數據丟失程度最嚴重的區域，再由此從高到低的方式按級分別部署。這樣能讓企業在部署DLP解決方案時有主有次，條理清晰。

第二步：為部署需安排人員和明確責任。DLP解決方案的總體策略制定好以后，接下來就是為實施此策略配備相關的人員、給他們分配好角色和明確人員具體承擔的責任。這些人員將是部署DLP解決方案的規劃、設計和實施的執行主體。

第三步：DLP產品選擇。DLP產品按適用范圍來分有兩種主要類型：基于主機的DLP和基于網絡的DLP。最好的DLP部署方式就是綜合使用基于主機型DLP軟件和基于網絡的DLP產品，這樣才能夠對企業網絡中的所有需要的位置都能進行防范。

第四步：DLP解決方案的具體部署處理流程。在部署DLP解決方案之前，企業應當已經建立一個可以用來正確部署DLP解決方案的業務處理流程。這個流程中規范了部署時應該按什么步驟、方式來進行，什么人負責什么位置，以及事件的管理、調試、報告機制和系統操作等各個方面。還應當規范人員、物質和設備的管理、保管和使用及調配，以及相互之間如何協作和上下交流等各個方面。但有一條，DLP解決方案的具體部署處理流程應當盡量精簡和規范化。

企業往往需要模塊化部署DLP數據保護解決方案。這種部署方式能夠將企業所有的DLP部署面分割成幾個模塊來一步步地實現，能夠將部署DLP時對業務的影響降到最低，也讓DLP部署更加清晰明了，能夠讓人掌握部署的進度，發現問題并及時解決。

另外，在部署DLP解決方案之前，為了能夠讓方案實施人員了解企業當前的網絡結構及DLP產品應用的具體位置和對象，我們有必要為此先繪制一個企業部署DLP解決方案的網絡拓撲圖。

還有，在部署DLP解決方案之時，企業還要確保實施的DLP解決方案完全遵從當地的數據保護法規和員工的隱私保護條例。任何違反這些法規的操作都必需嚴格禁止，以防止以后出現不必要的麻煩。

同時，在部署DLP解決方案時，應當根據進度，對已經實施了DLP解決方案的區域進行相應的檢驗，以確定部署部署DLP解決方案后能達到什么樣的效果，以及還有什么需要調整和改進的。但這樣的分步檢驗不能影響總的項目完成進度。

第五步：檢驗DLP解決方案的部署效果。當完成DLP解決方案的具體部署工作后，雖然在部署的過程中可能對某個段的部署結果進行的檢測，但是，這樣的檢測并不能了解到整體的部署效果。因此，在完成DLP解決方案的部署后，還應當檢測整個DLP 解決方案的部署效果。

可以通過向企業外部發送非受權的機密數據的方式來檢驗網絡型DLP產品的監控和控制效果，以及通過在主機上應用非授權U盤地設備復制數據來檢測主機型DLP軟件對可移動設備在主機上的控制能力等等。至于具體的檢測方式和檢測的細粒度，可以由企業自己來自行決定。當然是越細越好，越嚴格越好。

在這里，需要明確的一點是：DLP解決方案的部署是一個長期的過程，它應當與數據的整個生命周期相對應，并不是一次部署以后就不需要去管理和維護了。因此，企業在部署完DLP解決方案后，還應當不斷地檢驗它的執行效果，然后根據檢測結果來調整DLP策略，以便它在數據整個生命周期中的各個階段都有能到企業的要求。

術業有專攻

一些安全產品，例如：端點安全產品、上網行為管理產品也能實現一些防數據泄露的功能，澄清它們和DLP方案的區別將有助于用戶選擇適合自己的產品。

陳綱認為，端點(終端)安全產品的數據泄露防護功能往往采用設備管控等手段，而做不到對內容的控制。以U盤的使用為例，端點安全產品通過限制使用U盤來進行，而DLP產品能做到如果往U盤拷貝敏感數據則被禁止，拷貝其他非敏感數據則允許。這就像是有拍照功能的手機，雖然能起到一定的拍照作用，但與真正的相機相比還是有差距的。XX補充了一些看法。他說：“端點安全管理產品主要針對客戶端的應用程序及外圍管控進行管理與限制停用，但較缺乏彈性，而DLP不但擁有端點安全產品所有的功能，更可對外傳的信息進行管理并限制，相較于傳統的端點安全管理產品更可在不影響使用者行為與操作的情況下，對所傳出的數據進行搜集與記錄/阻攔。”

DLP廠商通常可以提供主機(端點)DLP產品和網關DLP產品兩種解決方案，兩者是互補的關系，網關DLP產品對于通過Web、郵件或者即時消息方式的數據泄露能夠實時反應，但對于通過USB存儲設備、抓屏、打印等方式的實時數據泄露防護，必須要通過主機DLP方式實現。據王昊介紹，網關DLP的優勢在于處理圖形文件的防護，通過網關的人工智能分析能夠有效地防止更改過的任何圖形文件泄露;主機DLP的優勢在于對加密的數據文件也能夠有效防護。

和上網行為管理產品相對比，DLP方案的功能明顯強大許多。

上網行為管理產品可以阻止簡單的基于關鍵字的數據外泄，但它如何實現對上傳的某個Word文檔中是否包含某些敏感內容來進行判斷和阻斷呢?這明顯是上網行為管理產品做不到的。

上網行為管理產品可以防止一些簡單的數據外泄，比如阻斷Web或者即時消息傳送的文件，但是這種防護的手段是非常粗放的，只能針對文件的后綴名、文件名等，會造成大量的誤報，如果更改文件名或者后綴即可繞過上網行為管理產品的控制，因此對于數據泄露防護還是需要專業的產品。專業的DLP產品從設計之初就已經考慮了各種數據泄露的途徑，包括Web、打印機、USB存儲設備、郵件和即時消息等，實現了真正的數據外泄防護。

DLP方案在審計方面也與傳統安全審計產品有很大區別。林義軒說：“傳統安全審計產品主要是依據使用者的操作方式來進行審計的動作，而對DLP來說數據才是所要保護的重點。不論數據是以檔案方式存在還是一小段數據的片段，都存在可能造成泄密的風險，因此主要審計的動作是對數據的內容本身進行檢查后放行與審計。”

王昊說：“DLP也包括一些審計功能，不過DLP的審計與安全審計產品有所區別。”與其他安全審計產品一樣，DLP產品必須保證審計的完整性，比如被審計的安全事件的發生時間、地點、身份識別、證據的完整性等，但DLP的安全審計只會關注與數據資產安全事件相關的證據，通過設置相應的策略，任何數據泄露的事件都會觸發DLP產品的安全審計功能，把數據泄露事件發生的時間、地點、用戶身份、證據、觸發規則等全部集中存放，為事后審計提供完整的證據鏈。

編看編想

融合讓DLP變得更好

在國內市場上，存在兩種DLP解決方案。一種DLP解決方案以信息分類為基礎，結合外設及網絡協議控制、信息過濾等技術來防止敏感數據泄露，其代表廠商大多是國外安全廠商，例如McAfee、趨勢科技、Websense、RSA等。這類;另一種解決方案由國內安全廠商提供，以文檔透明加密和權限管理為核心，結合了文檔備份、文檔外發控制、網絡邊界控制、終端管理等功能。這一類以北京億賽通為代表。

鑒于國內用戶的信息化狀況和數據防泄露的需求特點，國外DLP解決方案需要集成加密功能。但是國外DLP廠商不具備在國內銷售密碼產品的資質，這是一個讓國外DLP廠商無法跨越的門檻。對國外DLP廠商而言，最好的辦法就是與國內DLP廠商合作，將產品互相集成，連接成為一個完整的DLP產品線，才能滿足國內用戶的需求。