確定需要保護的數(shù)據(jù)類型

首先，企業(yè)需要理解哪些類型的數(shù)據(jù)需要保護。在數(shù)據(jù)泄露預(yù)防中，數(shù)據(jù)可分為三類：

動態(tài)數(shù)據(jù)，即在傳輸時需要保護的數(shù)據(jù)，其傳輸通道包括HTTP、HTTPS、FTP、即時通信、P2P、SMTP等。

在用數(shù)據(jù)：位于終端用戶工作站上，并且應(yīng)當防止經(jīng)由可移動介質(zhì)和設(shè)備（如USB、DVD、CD等）泄露的數(shù)據(jù)。

靜態(tài)數(shù)據(jù)：位于文件服務(wù)器和數(shù)據(jù)庫上的數(shù)據(jù)。企業(yè)也需要監(jiān)視這類數(shù)據(jù)，防止其泄露。

所有的數(shù)據(jù)泄露預(yù)防產(chǎn)品都內(nèi)建了一些符合規(guī)范、標準（如付款卡行業(yè)數(shù)據(jù)安全標準PCI DSS）的策略。企業(yè)需要根據(jù)其業(yè)務(wù)情況調(diào)整這些策略。當然，在數(shù)據(jù)泄露預(yù)防策略中，最重要的問題是確認需要保護的數(shù)據(jù)，因為如果企業(yè)只是簡單地安裝了數(shù)據(jù)泄露預(yù)防產(chǎn)品DLP，它就很有可能報告許多似是而非的情況。

圖1 一般實施方案

確認敏感數(shù)據(jù)和定義策略

在整個企業(yè)的所有三種通道（數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用）中，企業(yè)首先要做的是確認所有的機密數(shù)據(jù)或受限制的數(shù)據(jù)。在受保護的機密數(shù)據(jù)通過邊界時，DLP就會借助于簽名來工作。在確認關(guān)鍵數(shù)據(jù)并制定其簽名時，DLP需要使用 “指紋識別”。數(shù)據(jù)以各種形式存放在企業(yè)的各個地方。所有的數(shù)據(jù)泄露預(yù)防產(chǎn)品都有一個檢查和索引全部數(shù)據(jù)的引擎，并通過一個直觀的界面來使其可以被DLP訪問，還可以通過對數(shù)據(jù)的快速搜索發(fā)現(xiàn)其敏感性和數(shù)據(jù)所有權(quán)的細節(jié)。

在發(fā)現(xiàn)敏感數(shù)據(jù)后，企業(yè)應(yīng)當構(gòu)建由規(guī)則構(gòu)成的保護策略。如果DLP產(chǎn)品并不支持企業(yè)的規(guī)則，企業(yè)就應(yīng)使用正則表達式來構(gòu)建規(guī)則。必須指出，在此階段只是定義DLP策略而非真正實施。

決定信息流和確認數(shù)據(jù)的所有者

企業(yè)應(yīng)當準備好一份調(diào)查問卷來確認和提取所有的有用信息。例如，調(diào)查問卷中可涉及如下問題：企業(yè)已經(jīng)確認的數(shù)據(jù)源頭和目的地分別是哪里？網(wǎng)絡(luò)中所有的數(shù)據(jù)出口點分別是什么？企業(yè)有哪些過程可以監(jiān)控信息流？

在DLP的規(guī)劃策略中，確認業(yè)務(wù)數(shù)據(jù)的所有者也很重要，所以企業(yè)應(yīng)準備一份數(shù)據(jù)所有人的清單，以便在敏感數(shù)據(jù)丟失后向其發(fā)送通知。

決定部署方案

1.動態(tài)數(shù)據(jù)的DLP部署。

對于在傳輸時需要保護的數(shù)據(jù)，其一般的實施方案如圖1所示。

圖1清楚地顯示出DLP并不是以內(nèi)聯(lián)模式部署，而是部署在SPAN端口。不將DLP產(chǎn)品內(nèi)聯(lián)到數(shù)據(jù)流是很重要的，因為每個企業(yè)都應(yīng)當從最基本的開始部署，而如果以內(nèi)聯(lián)方式開始，有可能會導(dǎo)致許多似是而非的情況。此外，如果DLP設(shè)備被內(nèi)聯(lián)到網(wǎng)絡(luò)中，在內(nèi)聯(lián)設(shè)備失效時，企業(yè)就會擔心網(wǎng)絡(luò)故障。最佳方法是先部署在SPAN端口，在DLP策略成熟時，再以內(nèi)聯(lián)模式部署。

要減輕第二種風險，企業(yè)有兩種選擇。第一，以高可用模式部署DLP，第二，以旁路模式配置內(nèi)聯(lián)的DLP產(chǎn)品，這可以使DLP產(chǎn)品發(fā)生故障時，通信能夠繞過內(nèi)聯(lián)的DLP產(chǎn)品。

2.在用數(shù)據(jù)和存儲數(shù)據(jù)的DLP部署。

對于終端用戶工作站上的數(shù)據(jù)和需要防止由可移動設(shè)備（如USB、DVD等）泄露的數(shù)據(jù)，企業(yè)要在每個終端設(shè)備（桌面、筆記本電腦、平板電腦等）上安裝由策略加載的代理，并由集中化的DLP管理服務(wù)器管理。企業(yè)可通過推式策略（如SMS、GPO等）將代理發(fā)布到終端上。為了報告事件和得到可更新的策略，終端上的DLP代理需要與集中化的DLP管理服務(wù)器交互，因而，在本地防火墻中，應(yīng)增加一個例外的通信端口。對于存儲數(shù)據(jù)的保護：存放在存儲器或設(shè)備上的所有數(shù)據(jù)都是通過DLP搜索代理來搜索。在搜索后，DLP對數(shù)據(jù)進行指紋識別，看看是否存在非結(jié)構(gòu)化數(shù)據(jù)。

圖2 DLP運營各階段

DLP運營

如果企業(yè)不能監(jiān)視安全組件，其部署就沒有什么用處，DLP產(chǎn)品也不例外。圖2大體展示了DLP在企業(yè)中的運行情況。首先，企業(yè)需要通過對所確認的數(shù)據(jù)（上述三類數(shù)據(jù)）運用正確的策略集來部署DLP產(chǎn)品。我們不妨將DLP的運營分為三個階段，即：診斷分類階段、報告和提高階段、調(diào)整階段，具體如圖2所示。

診斷分類階段：在此階段中，安全運營團隊要監(jiān)視DLP產(chǎn)品中建立的策略所發(fā)出的警告。如前所述，企業(yè)應(yīng)先以觀察模式部署DLP，觀察并清除那些虛假的或似是而非的數(shù)據(jù)泄露情況。所以在安全團隊收到警告時，要結(jié)合多個條件（如哪類數(shù)據(jù)被泄露、誰泄露的、通過什么通道泄露的、有無策略的錯誤配置，等等）來檢查事件。在執(zhí)行這種診斷時，安全團隊要將警告作為一個事件，并開始事件分類階段，通過風險狀況表來處理事件。所謂風險狀況表是一個基于文本的表，其中包括關(guān)于策略類型、數(shù)據(jù)類型、通道類型、安全類型（低風險、中等風險、高風險）的重要信息。在處理和更新了風險狀況表后，安全團隊要將事件分配給不同的分隊。

事件的報告和強化階段：在此階段，安全團隊將事件分配給各分隊。首先，安全團隊將會咨詢各分隊，檢查這種數(shù)據(jù)泄露是否是可接受的業(yè)務(wù)風險。這種泄露可能是由于在后臺進行策略的改變造成的。如果企業(yè)認為可以接受這種風險，那么該事件將被認為是“虛假的”或“似是而非”的，從而進入調(diào)整階段。否則，安全團隊將會用證據(jù)向各分隊強化事件。在強化后，安全團隊將會準備一份報告，作為每月交付或用于審計的一部分，此后，安全團隊將關(guān)閉并歸檔事件。歸檔很重要，因為在取證調(diào)查期間有一些規(guī)范要求歸檔。

調(diào)整階段：在此階段，所有被認為是“虛假”或“似是而非”的事件都被傳送過來。安全團隊的責任是根據(jù)以前的錯誤配置或根據(jù)一些業(yè)務(wù)變更而精細地調(diào)整策略，將這些變化作為一個“草稿”運用到DLP產(chǎn)品中。為驗證所應(yīng)用的變化是否精確，要對事件進行復(fù)制，然后再檢查看是否產(chǎn)生了警告。如果沒有警告產(chǎn)生，這些變化就作為最后的變更而被應(yīng)用；但是，如果有警告產(chǎn)生，就需要在DLP產(chǎn)品所設(shè)置的策略中進行精細調(diào)整。

應(yīng)當指出，在DLP中，并不存在事件的解決階段，因為任何報告的事件都是一種數(shù)據(jù)泄露或損失（如果不是虛假泄露的話），必須要求強化和采取相應(yīng)的行動。

總結(jié)

在選擇DLP產(chǎn)品之前，企業(yè)應(yīng)當確認對DLP的需要，要檢查該產(chǎn)品是否支持數(shù)據(jù)存儲在企業(yè)環(huán)境中的格式。在部署DLP之前，企業(yè)應(yīng)當確認敏感數(shù)據(jù)。在選擇一種DLP產(chǎn)品后，DLP的部署應(yīng)當從最基礎(chǔ)的方式開始，并在此基礎(chǔ)上不斷增加DLP能夠識別的敏感數(shù)據(jù)或關(guān)鍵數(shù)據(jù)。DLP的運營應(yīng)當進行有效地診斷和分類，以便于清除虛假的泄露情況并精細地調(diào)整DLP策略。企業(yè)要建立RACI責任矩陣，規(guī)定DLP策略的責任和實施等。還要經(jīng)常更新風險狀況，完整記錄DLP事件。

如果企業(yè)能夠正確實施DLP的話，它就能夠成為一種有效地保護企業(yè)和客戶數(shù)據(jù)的防御技術(shù)。