信息安全数据防泄漏DLP策略建设指南

不懂技术的小哥哥

已于 2024-10-29 10:44:10 修改

阅读量1.7k

点赞数 29

分类专栏：信息安全文章标签：网络安全网络安全 nlp 运维

于 2024-10-29 10:39:01 首次发布

本文链接：https://blog.csdn.net/m0_49351255/article/details/143320145

版权

信息安全专栏收录该内容

2 篇文章

订阅专栏

一、DLP新数据防泄漏简介

数据泄密（泄露）防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss prevention, DLP)，有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是国际上最主流的信息安全和数据防护手段。

二、DLP的主要功能

DLP主要针对员工的办公设备来进行监控，包括办公设备上进行的所有操作，如上传、下载、发送、截图、拷贝、打印等敏感欣慰，并且根据关键词策略可以在触发关键字的同时来进行电脑设备的截屏，以保存证据。

‌敏感数据识别‌：DLP系统通过预定义和自定义规则，能够识别信用卡号、个人身份信息、专有技术等敏感内容‌。
‌实时监控与阻止‌：系统实时监控所有数据流动路径，阻止敏感信息通过邮件、即时消息、USB设备等渠道外泄‌。
‌政策制定与执行‌：企业可以灵活制定数据保护策略，系统自动执行，确保合规性‌。
‌用户教育与警示‌：在用户尝试违规操作时，系统提供即时反馈和教育，增强员工的数据安全意识‌。
‌报告与审计‌：生成详细的审计报告，帮助管理者了解数据使用情况，评估风险并满足监管要求‌。
‌文档加密‌：支持多种加密算法，对文件进行透明加密，确保数据在创建、存储及传输过程中的安全性‌。
‌权限管理‌：提供精细的权限控制体系，根据员工的角色、部门和工作需要分配不同的访问权限‌。
‌外发控制‌：对文件的外发行为进行严格监控和管理，设置文件外发前的审批流程，防止未授权的数据流出‌。
‌上网行为审计‌：实时记录并审计员工的上网行为，包括网页浏览、邮件发送、即时通讯等‌3。
‌终端安全管理‌：监控和管理终端设备的运行状态，限制员工的电脑程序使用，防止恶意软件入侵导致的数据泄露‌。
‌实时报警与事件响应‌：自定义设置敏感关键词，当遇到违规操作时，系统会发出警报并提供详细的违规记录‌。

三、DLP相关体系要求

1. ISO 27001 信息安全管理体系

在信息安全管理体系中，明确要求提到企业应当建立相关的措施来防止企业的信息泄露，对设备中的敏感操作进行管控，ISO27001强调进行安全审计，定期检查和记录数据的访问和使用情况，以便及时发现和防止数据泄露。

2. ISO 27701 数据安全管理体系

在数据安全管理体系中，DLP技术被广泛提及和应用。例如，中国信息协会信息安全专业委员会发布的《数据防泄露(DLP)技术指南》旨在提升数据安全管理能力，加快构建数字经济全方位安全保障体系，促进数据合理、合法、合规使用和流通‌。该指南强调了通过技术手段推动法律落地，建立完善的数据防泄露技术方法和解决方案，降低数据泄露风险。

3. ISO 29151 个人信息保护管理体系

在个人信息保护管理体系中，DLP技术也占据重要地位。随着云计算、大数据、区块链等技术的发展，数据逐渐成为数字经济发展中的核心生产要素。保障数据安全不仅涉及公民个人隐私，还关乎企业发展和国家安全。因此，《数据安全法》和《个人信息保护法》的实施进一步推动了数据安全体系建设和发展‌。

四、DLP的部署

1. 服务器的部署

一般情况下购买和使用DLP设备的企业，会将DLP直接私有化部署（也就是部署在自有机房，以便于管理，防止信息泄露）

2. 软件的部署

一般情况下以电脑APP的方式静默安装在员工设备中，或者在员工领取电脑前完成预安装。

3. 系统环境的准备

使用DLP的场景下，大部分公司IT人员会通过回收管理员权限的方式来限制员工安装软件，以便于更好的进行管控。

P.S.私有化部署是一种将服务器和软件部署在自己的数据中心或内部网络中的方式。与将数据和应用程序托管给第三方服务提供商相比，私有化部署给了企业更多的控制权和数据安全性。它可以包括物理私有化和虚拟化私有化两种方式，具体取决于企业的需求和技术能力。

五、DLP的主要管控策略

DLP的管控策略主要是基于关键词与正则规则。

1. 关键词分级策略

DLP系统中有预置了通用性规则，按照关键词字段的敏感程度进行划分，常规情况是4级，1、2、3、4，如识别到文件名、文件内容、文件后缀，涉及关键词库中的关键词，则判定为对应层级的敏感文件。

这就需要业务人员不断的收集业务关键词，完善关键词管理，并结合DLP 的机器学习功能来提升关键词命中的准确度。

2. 正则识别策略

制定相应的规则，用来识别满足一定规则的文本，如11位的数据，识别为手机号，如三个字的文本，识别为姓名，等规则，如判定相应规则命中次数符合某条策略要求，判定命中了对应层级的敏感文件。

核心来看，正则规则也是基于关键词库的一种策略，不过有更大的灵活性。

3. 行为策略

基于敏感行为来识别的策略，包括用户上传敏感文件至网盘，发送敏感文件、下载敏感文件、打印敏感文件等行为，来进行检测，不过，检测的内容也是基于内容是否敏感。

六、DLP管控策略可能存在的问题

1. 关键词识别不准确

由于DLP的策略主要都是基于文件文档的关键词，所以需要安全人员开展前期的关键词收集，并整理成表，导入DLP的策略中，从而对文件进行识别，而仅依靠关键词字段，识别出文件，并判定出级别的准确性极低，除叠加敏感字段“姓名、身份证、手机号、地址...”等个人敏感信息关键词外，其他相关信息需业务人员与安全人员配合，在长期PDCA下进行完善。

2. 外发识别不准确

由于IM即时通讯厂商不提供组织架构接口的主要限制，导致外发行为的识别存在至少90%的无用信息，对于外发策略的管控存在干扰。

七、DLP的权宜之计

基于公司需要开展DLP部署使用，来管控公司信息安全，虽不能100%的防止信息泄露，但总要有一些权宜之计给到领导层，满足领导的需求。

毕竟风险是不可能100%消除的。

1.启动通用管控策略

在DLP完成部署并在所有的设备中完成安装以后，首先启用DLP的通用管控策略，在正式的环境中进行数据的收集，为第二阶段难度关键词和后台数据梳理做准备。

2. 关键词清单梳理

安全人员可以针对公司所有部门开展业务方向（必须）、业务模块（必须）、敏感文件名（必须）、敏感关键词/字段、敏感文件级别（必须）、文件类型的收集，要求业务部门提供文件样本，形成各个业务部门的关键词清单，作为二阶段交付物。

3. 后台数据梳理

安全人员可以梳理DLP后台抓取到的文件文档，通过机器学习筛选的方式筛选出高频内容关键词，并梳理内容关键词清单，作为第二阶段交付物。

4. 关键词策略制定

基于二阶段的文件关键词与内容关键词，结合业务方向和业务模块，以关键词叠加识别的方式，进行第三阶段的策略制定，（如同一文件中同时出现了“姓名、身份证、手机号”，则认定为高敏感文件，对其实施管控，发送需经过审批）

5. 策略运作、审计与优化

基于二三阶段的工作，初步管控策略得到制定，开始完善管控流程，包括制定离职审计策略，员工离职转岗安全审查、专项策略优化审查，通过安全审计工作的开展进行PDCA，（此阶段需要拉通HR\法务\内控内审\业务部门提供支持）。

6. 常态化运作

完善人员离职流程，包括权限管控、保密审查、数据防泄漏审查、离职流程优化、审计流程优化、管理规范制度制定，拓宽DLP的管控范围，实现安全的价值。

以上，是笔者对于DLP当前阶段的运行实践认知，如诸位有其他更优化方案，也欢迎讨论。

七、DLP存在的问题

本部分涉及的主要是DLP在实际使用过程中可能存在的问题，仅列举了部分，后续将会持续补充。

1. 操作系统的限制

DLP对于windows的系统适配较为完善，但对macbook设备系统的限制不大友好，大部分的DLP厂商对于macbook 的适配会存在问题，如管理后台无法查看设备状态，或显示部分设备DLP应用下线，亦或者用户设备DLP正常运作，但操作记录无法同步等问题。

2. 策略制定的复杂

由于DLP大部分的监测是基于关键词与一些正则规则，而关键词与规则的制定又大限度的基于公司的业务情况开展，除人力资源、行政、财务、IT等通用智能部门外，其余业务部门均需根据各个公司现状不同一一制定，给于安全运维人员前期调研，策略配置，策略调整以及安全审计人员审计极大难度。

3. 功能的限制

DLP的主要检测行为是基于外发、下载、打印等敏感操作，也就是从电脑设备中将文件文档传输至外部的行为，而大部分企业的即时通讯软件多是企业微信、飞书、钉钉，如该部分公司未对DLP厂商开启相关组织架构端口，那么对于DLP监测外发等行为，会存在影响（如工作内部与工时共享文档，也将被视为一次外发），将极大影响DLP 的使用效率，对审计人员审计离职人员的信息安全违规行为产生影响。

（反过来思考，是否BAT这些厂商的DLP数据防泄漏是否就做的很好呢？笔者认为不是的，笔者曾有幸在腾讯安全部门任职，BAT的安全管理更多是自由放任型式，截止目前笔者尚未了解到相关行业有准确具体的DLP解决方案，更多是基于事后审计的方式来开展DLP 的安全工作，如诸位有相关成功案例，欢迎共享。）

八、国内信息安全法律法规

随着经济的发展，各大企业越来越重视信息安全的管理，国家也发布了相应的法律法规要求，主要包括

‌《‌中华人民共和国网络安全法》‌
- 立法目的是保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。该法自2017年6月1日起施行；
- ‌国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进数字经济发展。
‌《‌中华人民共和国数据安全法》‌
- 该法规定了数据处理活动的安全要求，包括数据处理者的责任和义务，确保数据安全，防止数据泄露、篡改和毁损。该法于2021年9月1日起施行。
‌《中华人民共和国个人信息保护法》‌
- 该法旨在保护个人信息权益，规范个人信息处理活动，保护个人信息主体的合法权益。该法于2021年11月1日起施行。
‌《中华人民共和国计算机信息系统安全保护条例》‌
- 该条例为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行。该条例自1994年2月18日发布实施，2011年1月8日修订。
‌《全国人民代表大会常务委员会关于加强网络信息保护的决定》‌
- 该决定旨在加强网络信息保护，维护国家安全和社会稳定，促进经济社会健康发展。

九、国外信息安全法律法规

国外的信息安全法律法规主要以欧盟、美国、东南亚新新加坡为首，相关的信息安全法律法规要求，更多基于对于个人用户信息的安全保护，以及相关信息跨境的管理。

1. 欧盟GDPR

欧盟《通用数据保护条例》（GDPR）‌于2018年5月生效，是欧盟首部专门针对个人数据保护的法律。该条例规定了个人数据处理的基本要求、责任和义务，包括数据安全、透明度和用户控制等方面。对于违反该法规的企业，将面临高额罚款和处罚‌。

2. 美国CCPA

美国《加州消费者隐私法案》（CCPA）‌于2020年生效，是加州首部专门针对消费者隐私保护的法律。该法案规定了消费者个人数据处理的基本要求、责任和义务，以及消费者隐私保护、数据泄露通知等方面的内容‌。

3. 美国CSA

美国《计算机信息安全法》（CSA）‌于2002年制定，旨在确保国家网络安全和隐私保护。该法规规定了对于计算机信息系统的审计、检查和监控要求，以及网络安全事件的报告和处理。违反该法规的企业将面临罚款和刑事处罚‌。

4. 美国HIPAA

美国《健康保险可携性和责任法》（HIPAA）‌要求医疗机构和医疗保险公司保护患者的医疗信息，不得在未经患者同意的情况下披露患者的医疗信息。违反该法规的企业将面临罚款和其他法律责任‌。

5.新加坡PDPA

新加坡的《个人数据保护法》（PDPA）于2012年颁布实施，并在2020年和2021年进行了修订。该法律的主要目的是保护个人数据的隐私和安全，特别是在数字经济迅速发展的背景下。PDPA要求企业在收集、使用、披露个人数据时遵循“告知-同意”原则，并对数据跨境传输和数据安全保护提出了严格的要求。此外，PDPA还规定了数据泄露通知和数据可携性权利等新规定，以确保个人隐私在国际标准接轨的同时，提升新加坡在全球数据保护合规环境中的竞争‌力。