數(shù)據(jù)防泄漏大部分企業(yè)的痛點(diǎn)，數(shù)據(jù)的保密性這也是解決信息安全最根本的三要素CIA原始驅(qū)動(dòng)力。絕大多數(shù)企業(yè)決定彌補(bǔ)信息安全功能，成立信息安全團(tuán)隊(duì)，投資信息安全的初衷就是防止企業(yè)核心數(shù)據(jù)外泄。數(shù)據(jù)安全是一個(gè)永恒的領(lǐng)域，從最原始的網(wǎng)站防篡改，到如今五花八門(mén)的各種數(shù)據(jù)安全產(chǎn)品和咨詢(xún)方案，每個(gè)產(chǎn)品和服務(wù)都有自身適用場(chǎng)景，任何企業(yè)的數(shù)據(jù)防泄漏都不能割裂處理看，就像CISSP中經(jīng)常講到的沒(méi)有One Size Fits All的通用解決方案，只能根據(jù)企業(yè)的實(shí)際情況適配不同的場(chǎng)景，不同的場(chǎng)景選擇不同的解決方案。

       由于安全攻防（攻擊防護(hù)、監(jiān)測(cè)和響應(yīng)）是數(shù)據(jù)防泄漏的基礎(chǔ)，沒(méi)有了防火墻、威脅情報(bào)、APT攻擊發(fā)現(xiàn)、IDS、大數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)控系統(tǒng)等通用的安全基礎(chǔ)設(shè)施，沒(méi)有強(qiáng)有力的安全運(yùn)營(yíng)團(tuán)隊(duì)，光靠買(mǎi)幾套數(shù)據(jù)防泄漏軟件（防水墻、終端/網(wǎng)絡(luò)DLP軟件、數(shù)據(jù)庫(kù)防火墻、桌面管理軟件等）和服務(wù)（數(shù)據(jù)安全咨詢(xún)服務(wù)）是無(wú)法達(dá)到預(yù)期效果的。
 

       從技術(shù)角度來(lái)看數(shù)據(jù)防泄漏就是要保障核心數(shù)據(jù)存儲(chǔ)、使用、傳輸三個(gè)過(guò)程的安全，防止信息泄露成為企業(yè)數(shù)據(jù)安全保護(hù)建設(shè)工作的關(guān)鍵和核心，通過(guò)事前、事中、事后的整體策略對(duì)敏感數(shù)據(jù)采取全過(guò)程保護(hù)。事前預(yù)防應(yīng)做到避免安全事件的發(fā)生或降低安全事件發(fā)生的概率，事中監(jiān)控應(yīng)盡可能發(fā)現(xiàn)安全風(fēng)險(xiǎn)，盡可能較少誤報(bào)，減少安全事件造成的影響，事后審計(jì)應(yīng)做到在安全事件發(fā)生后根據(jù)數(shù)據(jù)標(biāo)簽或指紋可進(jìn)行全程追溯。下面將從存儲(chǔ)、使用和傳輸?shù)娜齻€(gè)過(guò)程進(jìn)行闡述。

       存儲(chǔ)中數(shù)據(jù)：存放在數(shù)據(jù)庫(kù)、文件服務(wù)器、存儲(chǔ)于備份設(shè)備上的數(shù)據(jù)等，存儲(chǔ)中的數(shù)據(jù)通常包括企業(yè)全部核心商秘信息，因此對(duì)企業(yè)的核心數(shù)據(jù)庫(kù)、文檔管理系統(tǒng)等進(jìn)行安全防護(hù)成為重中之中。如果數(shù)據(jù)比較集中，而且分類(lèi)明晰，如很多企業(yè)有文檔管理系統(tǒng)，可以通過(guò)數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)透明加密、以及敏感數(shù)據(jù)發(fā)現(xiàn)系統(tǒng)進(jìn)行掃描，做指紋，然后指紋分發(fā)到各出口安全設(shè)備進(jìn)行阻攔。除此以外：文件服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)應(yīng)采取基于用戶(hù)角色的授權(quán)訪問(wèn)控制，并且賦予用戶(hù)所需最小權(quán)限，如進(jìn)行“三員管理”：系統(tǒng)管理員、安全管理員、審計(jì)員相互獨(dú)立相互制約。對(duì)處理核心商秘上產(chǎn)生的工作文檔和通過(guò)各種方式從數(shù)據(jù)庫(kù)或網(wǎng)絡(luò)應(yīng)用中獲取的核心商秘?cái)?shù)據(jù)，均應(yīng)采取技術(shù)措施防泄漏，核心商秘?cái)?shù)據(jù)的外發(fā)，需經(jīng)過(guò)審批授權(quán)，并對(duì)數(shù)據(jù)做集中式留檔審計(jì); 對(duì)于如何防止脫褲、撞庫(kù)、注入、虛假注冊(cè)、地下交易的技術(shù)措施由于主要涉及到攻擊防護(hù)技術(shù)，本章不做詳細(xì)闡述。

       傳輸中數(shù)據(jù)：通過(guò)網(wǎng)絡(luò)應(yīng)用程序傳輸?shù)臄?shù)據(jù)，對(duì)商業(yè)秘密數(shù)據(jù)的存儲(chǔ)、傳輸、使用行為進(jìn)行審計(jì)，審計(jì)記錄集中保存。目前主要是微信、QQ、郵件等。因此上網(wǎng)行為管理、NAC、網(wǎng)絡(luò)DLP、防水墻等均能派上用場(chǎng)。通過(guò)SIEM或大數(shù)據(jù)數(shù)據(jù)防泄漏系統(tǒng)將審計(jì)內(nèi)容（部分日志記錄需要業(yè)務(wù)系統(tǒng)進(jìn)行定制開(kāi)發(fā)）：訪問(wèn)者、訪問(wèn)目標(biāo)、訪問(wèn)方式、訪問(wèn)結(jié)果（下載、上傳、刪除、查詢(xún)、更新等）、訪問(wèn)時(shí)間、訪問(wèn)所在服務(wù)器或終端的主機(jī)名、IP地址、MAC等進(jìn)行記錄和審計(jì)，基于源目IP，端口、協(xié)議、賬戶(hù)、訪問(wèn)行為、時(shí)間等作出異常模型（如特殊時(shí)間段的訪問(wèn)、超過(guò)平均值的單IP或單賬戶(hù)的流量等），進(jìn)行用戶(hù)畫(huà)像和告警?；谛畔⒌拿舾卸?、企業(yè)資源成本、信息安全團(tuán)隊(duì)能力、滿(mǎn)足《網(wǎng)絡(luò)安全法》的前提下建議審計(jì)記錄至少保存六個(gè)月，核心商秘審計(jì)記錄至少保存十二個(gè)月，當(dāng)然有個(gè)前提是企業(yè)的安全團(tuán)隊(duì)（風(fēng)險(xiǎn)/審計(jì)/IT）能基于企業(yè)實(shí)際情況建立數(shù)據(jù)風(fēng)控模型，能基于人物畫(huà)像和行為畫(huà)像在六個(gè)月內(nèi)發(fā)現(xiàn)異常情況，不然審計(jì)記錄保存再長(zhǎng)的時(shí)間也只是沒(méi)有價(jià)值的“沉睡數(shù)據(jù)”。

       使用中的數(shù)據(jù)：通過(guò)終端訪問(wèn)的數(shù)據(jù)，包括保存在終端磁盤(pán)上的數(shù)據(jù)、終端內(nèi)存中的數(shù)據(jù)、屏幕顯示中的數(shù)據(jù)等。終端防護(hù)歷來(lái)是重點(diǎn)同時(shí)也是難點(diǎn)，之所以說(shuō)是重點(diǎn)，因?yàn)樗蟹?wù)器上的數(shù)據(jù)均能在廣泛的終端存在，服務(wù)器可以重重防護(hù)，但終端上可能很容易就出去了。之所以說(shuō)是難點(diǎn)，因?yàn)榻K端分布廣，100%覆蓋率基本不現(xiàn)實(shí)（終端多樣性、不兼容性、網(wǎng)絡(luò)穩(wěn)定性、用戶(hù)水平和接受性、推廣成本、業(yè)務(wù)多樣、用戶(hù)易用性）、終端軟件安裝覆蓋率、失聯(lián)率、攔截率等是考核的重點(diǎn)。對(duì)于終端追求的是“突出重點(diǎn)”，對(duì)重點(diǎn)信息和重點(diǎn)崗位力求百發(fā)百中，對(duì)低敏感內(nèi)容終端盡可能的覆蓋，覆蓋不到的通過(guò)網(wǎng)絡(luò)等其他風(fēng)控系統(tǒng)做風(fēng)險(xiǎn)補(bǔ)償。

     通常情況下，大型企業(yè)均面臨以下幾個(gè)比較通用的幾個(gè)典型場(chǎng)景：

       普通辦公場(chǎng)所：特點(diǎn)是保密級(jí)別不高，人員分散，但需求固定：主要是網(wǎng)絡(luò)需求或內(nèi)外部溝通，比較適合侵入度較小的解決方案：如網(wǎng)絡(luò)準(zhǔn)入控制NAC、無(wú)線(xiàn)控制器WLC、上網(wǎng)行為管理、網(wǎng)絡(luò)DLP、NGFW、安全郵件網(wǎng)關(guān)、移動(dòng)終端管理MDM/MAM/MCM等多種方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

       分布式網(wǎng)點(diǎn)、店鋪、辦事處：特點(diǎn)是操作單一，標(biāo)準(zhǔn)化成本低，網(wǎng)點(diǎn)分散，管理成本和維護(hù)成本較高，終端數(shù)據(jù)相對(duì)不多，日常主要使用企業(yè)通用的內(nèi)部系統(tǒng)，員工IT需求不高。比較適合使用虛擬桌面來(lái)解決數(shù)據(jù)防泄漏問(wèn)題，將敏感核心數(shù)據(jù)留在總部的終端服務(wù)器上，服務(wù)器的數(shù)據(jù)通過(guò)企業(yè)數(shù)據(jù)中心或總部集中的專(zhuān)業(yè)安全能力，如防火墻、網(wǎng)絡(luò)DLP（防水墻）、終端DLP、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、漏洞和補(bǔ)丁管理系統(tǒng)、敏感數(shù)據(jù)掃描系統(tǒng)、敏感數(shù)據(jù)簽名過(guò)濾系統(tǒng)、大數(shù)據(jù)安全風(fēng)險(xiǎn)感知系統(tǒng)等來(lái)實(shí)現(xiàn)數(shù)據(jù)安全。

       制造工廠生產(chǎn)環(huán)境：主要數(shù)據(jù)是包含基礎(chǔ)技術(shù)開(kāi)發(fā)和加工工序、工藝圖紙、工程文檔、機(jī)加工程序等，由于工廠的生產(chǎn)實(shí)際限制情況，很多DLP產(chǎn)品無(wú)法安裝，如數(shù)控機(jī)床系統(tǒng)不支持外來(lái)程序，改造成本很高，USB口無(wú)法有效管理，造成開(kāi)發(fā)程序泄漏等。 

       適合通過(guò)DNC系統(tǒng)，MES系統(tǒng)和ERP系統(tǒng)先將零散的數(shù)據(jù)IT化，再將非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行系統(tǒng)化，將原來(lái)的通過(guò)USB拷貝變成系統(tǒng)下發(fā)程序直接到機(jī)床，減少中間過(guò)程環(huán)節(jié)，有效的降低工廠機(jī)加工程序外泄風(fēng)險(xiǎn)，使得原來(lái)的生產(chǎn)過(guò)程文檔從編制到歸檔整個(gè)過(guò)程，通過(guò)流程化的管理方式，規(guī)范整個(gè)操作過(guò)程，對(duì)文檔通過(guò)產(chǎn)品制造方案的形式進(jìn)行打包管理，保證數(shù)據(jù)的安全性及唯一性；將程序文檔進(jìn)行流程管理、版本控制、操作追溯、程序說(shuō)明文檔與聯(lián)網(wǎng)通信系統(tǒng)集成，通過(guò)將生產(chǎn)過(guò)程文檔遠(yuǎn)程推送到操作終端，實(shí)現(xiàn)自動(dòng)化推送及無(wú)紙化辦公，將零散文檔和程序先IT化，然后再納入信息安全管理范圍，實(shí)現(xiàn)數(shù)據(jù)程序從編制到定型歸檔整個(gè)流程均可控。避免原有的程序從編輯人員、審核人員、分發(fā)人員、程序調(diào)試/試切、批產(chǎn)和管理等流程中通過(guò)U盤(pán)拷貝的各種風(fēng)險(xiǎn)。

       小規(guī)模普通生產(chǎn)研發(fā)機(jī)構(gòu)：對(duì)互聯(lián)網(wǎng)的依賴(lài)和對(duì)共享平等的文化氛圍要求沒(méi)有互聯(lián)網(wǎng)公司創(chuàng)新機(jī)制下的高，但對(duì)生產(chǎn)、質(zhì)量、技術(shù)和流程要求較高，能容忍一定程度的控制，比較適合終端DLP監(jiān)控，打印監(jiān)控，桌面USB管控，核心數(shù)據(jù)通過(guò)微軟的RMS授權(quán)，并配合一定程度的網(wǎng)絡(luò)DLP，移動(dòng)終端管理MDM/MAM/MCM這種對(duì)安全和效率的折中方案。

       核心研究機(jī)構(gòu)：雙網(wǎng)隔離，所有的協(xié)作均在內(nèi)網(wǎng)完成，內(nèi)外交互通過(guò)網(wǎng)閘或中轉(zhuǎn)設(shè)備進(jìn)行擺渡。內(nèi)部使用安全U盤(pán)（僅僅內(nèi)部機(jī)器能識(shí)別），對(duì)外交流使用可控U盤(pán)（授權(quán)的U盤(pán)可以拷貝低密度的數(shù)據(jù)到外部機(jī)器），所有行為均受到監(jiān)控，重點(diǎn)崗位對(duì)外人員執(zhí)行硬盤(pán)全盤(pán)加密策略，要求高的系統(tǒng)配置二線(xiàn)防泄密崗，手機(jī)等設(shè)備嚴(yán)禁帶入研究場(chǎng)所，對(duì)應(yīng)的物理安全也相應(yīng)提升，所有系統(tǒng)嚴(yán)格執(zhí)行“涉密機(jī)不上網(wǎng)，上網(wǎng)機(jī)不涉密”。

       從管理角度來(lái)看，數(shù)據(jù)防泄密工作貫穿企業(yè)信息安全工作全生命周期，一般數(shù)據(jù)保護(hù)項(xiàng)目流程就是：敏感數(shù)據(jù)識(shí)別，定級(jí)，分場(chǎng)景保護(hù)，監(jiān)控?cái)?shù)據(jù)流向（數(shù)據(jù)溯源），優(yōu)化安全策略。但最難的不是后面的保護(hù)措施，而是數(shù)據(jù)的識(shí)別和定級(jí)必須依靠各業(yè)務(wù)部門(mén)的大力配合，沒(méi)有業(yè)務(wù)部門(mén)高級(jí)管理者參與的話(huà)，失敗的概率很高。數(shù)據(jù)安全項(xiàng)目一般從上而下，管理為主，建議采用集團(tuán)辦公室、各業(yè)務(wù)部門(mén)、安全團(tuán)隊(duì)三方組成聯(lián)合戰(zhàn)隊(duì)的形式推進(jìn)，安全團(tuán)隊(duì)可以借此建立一個(gè)二層/三層的組織架構(gòu)，把項(xiàng)目做成長(zhǎng)效機(jī)制，信息安全工作才能長(zhǎng)久落地。組織架構(gòu)可以分成三層：第一層信息安全委員會(huì)（由相關(guān)部門(mén)負(fù)責(zé)人組成）、第二層執(zhí)行層（由跨部門(mén)的數(shù)據(jù)安全項(xiàng)目組成員組成）、第三層推廣層（由各業(yè)務(wù)部門(mén)關(guān)鍵員工組成）。這個(gè)過(guò)程安全團(tuán)隊(duì)可采用透明的方式配合業(yè)務(wù)部門(mén)做好數(shù)據(jù)防泄密的技術(shù)支持工作，協(xié)助他們做好數(shù)據(jù)防范工作，而不是強(qiáng)制他們要做，低姿態(tài)進(jìn)入業(yè)務(wù)系統(tǒng)，盡可能的擴(kuò)大最廣泛的信息安全統(tǒng)一戰(zhàn)線(xiàn)是企業(yè)信息安全工作的最長(zhǎng)久的保障。

       對(duì)于企業(yè)而言可以參考《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》和《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》，該法規(guī)最核心的內(nèi)容是數(shù)據(jù)安全保護(hù)，還包括網(wǎng)絡(luò)安全、服務(wù)器與應(yīng)用安全、終端安全、移動(dòng)介質(zhì)安全以及制度的安全，以期建立一個(gè)相對(duì)完善的防護(hù)體系。

您可能需要了解的產(chǎn)品：數(shù)據(jù)庫(kù)審計(jì)，第二代防火墻，上網(wǎng)行為管理