1、 Securosis 公司 了解和選擇數(shù)據(jù)泄露防護(hù)(DLP解決方案 作者備注：本報(bào)告內(nèi)容由各贊助商獨(dú)立開發(fā)。本報(bào)告以最初發(fā)表于Securosis blog上材料為基礎(chǔ)但在此基礎(chǔ)上進(jìn)行了深入探討，由美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS進(jìn)行了評估，也進(jìn)行了專業(yè)編輯。本報(bào)告由Websense 公司贊助，與SANS 協(xié)會聯(lián)合發(fā)行。特別感謝Chris Pepper提供了編輯和內(nèi)容支持。贊助商：WebsenseWebsense® Content Protection Suite（內(nèi)容防護(hù)套件）是一款集成化數(shù)據(jù)丟失防護(hù)解決方案，通過發(fā)現(xiàn)數(shù)據(jù)所在位置、監(jiān)控?cái)?shù)據(jù)、保護(hù)數(shù)據(jù)、作好“哪些人和哪些數(shù)據(jù)可以哪種方式

2、到哪里”的安全防護(hù)工作，從而防止內(nèi)外部數(shù)據(jù)泄漏、改善業(yè)務(wù)流程并管理法規(guī)遵從性和風(fēng)險(xiǎn)性。欲知有關(guān)Websense Content Protection Suite的更多信息，請?jiān)L問版權(quán)本報(bào)告采用創(chuàng)作共用的署名-非商業(yè)用途-禁止演繹3.0的授權(quán)。目錄DLP 介紹混亂不堪的市場定義DLP作為功能的DLP vs. DLP解決方案 內(nèi)容感知 內(nèi)容 vs. 上下文 內(nèi)容分析 內(nèi)容分析技術(shù) 技術(shù)架構(gòu)動態(tài)、靜態(tài)和使用中數(shù)據(jù)的保護(hù) 動態(tài)數(shù)據(jù) 靜態(tài)數(shù)據(jù) 使用中數(shù)據(jù)集中管理、策略管理和工作流程 用戶界面層次化管理、目錄集成和基于角色的管理策略創(chuàng)建和管理5 5 5 6 7 7 7 7 11 11 11 14 15 1

3、8 18 19 19事件工作流程和案例管理 系統(tǒng)管理、報(bào)告和其它功能DLP 選擇流程定義需求并作好您的企業(yè)準(zhǔn)備工作 形式化需求 評估產(chǎn)品 內(nèi)部測試 總結(jié) 走出迷宮 關(guān)于作者 關(guān)于Securosis 關(guān)于SANS 協(xié)會20 21 22 22 23 23 24 25 25 26 26 26DLP 介紹混亂不堪的市場數(shù)據(jù)丟失防護(hù)（Data Loss Prevention，DLP ）是安全市場上炒得最熱卻了解最少的工具之一。它擁有至少六種不同名稱以及更多的技術(shù)方案，從而使得想要了解這些工具的最終價(jià)值以及哪種產(chǎn)品最適用于哪類環(huán)境并不容易。本報(bào)告將提供DLP 必要背景來幫助您了解這項(xiàng)技術(shù)、知道在產(chǎn)品中尋找

4、的目標(biāo)、找到與您企業(yè)最匹配的產(chǎn)品。DLP 是一項(xiàng)正處于成長階段的技術(shù)，盡管產(chǎn)品可能不如IT 其它領(lǐng)域產(chǎn)品那樣成熟，但卻為那些有這方面需要的企業(yè)提供了重大價(jià)值。這一市場目前仍是由新創(chuàng)企業(yè)占主導(dǎo)地位，不過已有大型供應(yīng)商開始涉足，一般是通過收購的方式。了解DLP 第一個(gè)難題是要曉得我們實(shí)際討論到底是什么。下列名稱全曾被用于描述同一市場： 數(shù)據(jù)丟失防護(hù)/保護(hù) 數(shù)據(jù)泄漏防護(hù)/保護(hù) 信息丟失防護(hù)/保護(hù) 信息泄漏防護(hù)/保護(hù) 侵出防護(hù) 內(nèi)容監(jiān)控和過濾 內(nèi)容監(jiān)控和保護(hù)DLP 看起來似乎是最通用的名稱，雖然其使用壽命可能很有限，但為簡便起見，本報(bào)告中我們將采用此稱呼。定義DLP究竟什么會真正損害到DLP 解決方案

5、？目前仍沒有定論。有些人考慮通過加密或USB 端口來實(shí)現(xiàn)DLP ，而其它人則采取自我限制的方式來完成產(chǎn)品套件。Securosis 將DLP 定義為：基于中央策略、通過深層內(nèi)容分析來識別、監(jiān)控和保護(hù)靜態(tài)、動態(tài)和使用中數(shù)據(jù)的產(chǎn)品于是，DLP 主要定義性特征為： 深層內(nèi)容分析 中央策略管理 橫跨多個(gè)平臺和地點(diǎn)的廣泛內(nèi)容范圍DLP 解決方案可保護(hù)敏感數(shù)據(jù)并加深對企業(yè)內(nèi)容使用的了解。大多數(shù)企業(yè)除了知曉哪些是公用數(shù)據(jù)以及公用數(shù)據(jù)以外的其他所有數(shù)據(jù)，就不會再去劃分其他的數(shù)據(jù)類型了。DLP 可幫助企業(yè)更好了解企業(yè)中的數(shù)據(jù)并改善其內(nèi)容分類和管理能力單點(diǎn)產(chǎn)品可以提供一些DLP 功能，但常在覆蓋范圍（僅網(wǎng)絡(luò)或僅終端

6、）或是內(nèi)容分析功能方面更為有限。本報(bào)告將重點(diǎn)關(guān)注全面DLP 套件，但有些企業(yè)可能發(fā)現(xiàn)單點(diǎn)解決方案也能夠滿足其需要。DLP 功能 vs. DLP解決方案DLP 市場還可分為作為功能的DLP 以及作為解決方案的DLP 。有大量產(chǎn)品都提供了基本DLP 功能，特別是電子郵件安全解決方案，但它們都不是完整的DLP 解決方案。二者不同之處在于： DLP 產(chǎn)品，包括集中化管理、策略創(chuàng)建和執(zhí)行工作流程，致力于內(nèi)容和數(shù)據(jù)的監(jiān)控及保護(hù)。其用戶界面和功能旨在通過內(nèi)容感知來解決內(nèi)容保護(hù)的業(yè)務(wù)和技術(shù)難題。 DLP 功能，包括DLP 產(chǎn)品的一些檢測和執(zhí)行功能，但并不致力于內(nèi)容和數(shù)據(jù)保護(hù)任務(wù)。這種不同之處至為重要，原因在于

7、DLP 產(chǎn)品可解決“可不可以接受相同業(yè)務(wù)單元或負(fù)責(zé)其它安全職能的管理員的管理”這一特定業(yè)務(wù)難題。我們常常會看到有法務(wù)人員、稽核人員等非技術(shù)型用戶負(fù)責(zé)內(nèi)容的保護(hù)工作，有時(shí)甚至人力資源（HR ）部也常在DLP 報(bào)警處理方面有所介入。一些企業(yè)發(fā)現(xiàn)其DLP 策略本身或是高度敏感，或是需得到安全部門以外的業(yè)務(wù)部門領(lǐng)導(dǎo)的管理，同時(shí)這些策略還可以支持專用解決方案。由于DLP 主要致力于明確的業(yè)務(wù)問題（保護(hù)我的內(nèi)容），完全不同于其它的安全問題（保護(hù)我的PC 或保護(hù)我的網(wǎng)絡(luò)），因此您多半應(yīng)尋找專用DLP 解決方案。當(dāng)然這并不意味著，作為功能的DLP 不是適合您的解決方案，特別在較小型企業(yè)中更是如此；同時(shí)，它也并

8、不意味著你將再也不會購買包含有DLP 的套件，這里的重點(diǎn)是，只要DLP 的管理是獨(dú)立的且主要致力于DLP 即可。隨著大型廠商的涉足，我們將會看到越來越多的套件產(chǎn)品，在其它產(chǎn)品里進(jìn)行DLP 分析或執(zhí)行功能還說得過去，但DLP 的中央策略創(chuàng)建、管理和工作流程應(yīng)專門用于解決DLP 問題、要獨(dú)立于其它安全職能之外。有關(guān)DLP 需記住的最后一點(diǎn)是，我們要高度有效地反對糟糕的業(yè)務(wù)流程（例如，通過FTP 方式傳輸未加密的醫(yī)療記錄給您的保險(xiǎn)公司）和錯(cuò)誤。雖然DLP 能夠提供一些惡意行為的防護(hù)，但我們要想這些工具達(dá)到防護(hù)知識型攻擊者的水平至少還有幾年時(shí)間。內(nèi)容感知內(nèi)容 vs. 上下文我們需將內(nèi)容和上下文區(qū)分開來

9、。內(nèi)容感知（content awareness）是DLP 解決方案的定義性特征之一，這是DLP 產(chǎn)品通過各種各樣技術(shù)分析深層內(nèi)容的能力，完全不同于上下文分析。若是將內(nèi)容比作為“信”、上下文比作為“信封”及其周期環(huán)境，這樣理解起來可能最為容易。上下文包括了源、目的地、大小、收件方、發(fā)送方、頭信息、元數(shù)據(jù)、時(shí)間、格式以及除信本身內(nèi)容以外的所有其它部分；上下文的用處很大，DLP 解決方案應(yīng)包含進(jìn)上下文分析（contextual analysis）來作為整體解決方案的一部分。更高級版的上下文分析是業(yè)務(wù)上下文分析（business context analysis），它涉及到更深層的內(nèi)容分析、分析時(shí)環(huán)境

10、以及當(dāng)時(shí)內(nèi)容的使用。內(nèi)容感知包括了容器內(nèi)的內(nèi)容及內(nèi)容本身的分析工作。內(nèi)容感知的優(yōu)勢在于：當(dāng)我們使用上下文時(shí)，我們不會被其所限制。如果我想要保護(hù)一份敏感數(shù)據(jù)，那么我是想讓它在任何地方都受到保護(hù)，而不只是在明顯敏感的容器內(nèi)。由于我正在保護(hù)是的數(shù)據(jù)，而不是“信封”，因此打開信件、讀信并決定如何處理要更有意義得多。比起基本的上下文分析，這實(shí)施起來要更為困難、需花更多時(shí)間，同時(shí)這也正是DLP 解決方案的定義性特征所在。內(nèi)容分析內(nèi)容分析的第一步是拿到信封并找開它。第二步，分析引擎需從語法上分析上下文（我們會需要其來進(jìn)行分析）并深入探究。對于純文本郵件，做到這一點(diǎn)很容易，但當(dāng)您想要查看的二進(jìn)制文件內(nèi)部時(shí)，這

11、項(xiàng)工作將要更復(fù)雜些。所有DLP 解決方案均是通過文件破解（file cracking）來解決這個(gè)問題。文件破解是用以讀取和了解文件的一項(xiàng)技術(shù)，即便深埋在好幾層以下的內(nèi)容，通過它也能挖掘出來。例如：對于破解工具來說，讀取一份壓縮過的Word 文件中Excel 數(shù)據(jù)表是件再平常不過的事。此產(chǎn)品需做的是：解壓文件、讀取Word 文檔、分析Word 文檔、找到Excel 數(shù)據(jù)、讀取并分析這些數(shù)據(jù)。其它情況則要更復(fù)雜得多，如：內(nèi)嵌于CAD 文件的pdf 文件。今天市場上許多這類產(chǎn)品可支持約300種文件類型、內(nèi)嵌內(nèi)容、多種語言、亞洲語言的雙字節(jié)字符集，并且還可從無法識別文件類型中提取純文本。有相當(dāng)多的產(chǎn)品

12、使用Autonomy 或Verity 內(nèi)容引擎來幫助進(jìn)行文件破解，但除了內(nèi)嵌的內(nèi)容引擎以外，所有這些主要的工具都有相當(dāng)多的專屬功能。如果企業(yè)采用恢復(fù)密鑰進(jìn)行加密，那么有些工具還提供加密數(shù)據(jù)分析支持，而且多數(shù)工具均可識別標(biāo)準(zhǔn)加密并將其作為上下文規(guī)則來攔截/隔離內(nèi)容。內(nèi)容分析技術(shù)一旦進(jìn)行內(nèi)容訪問，就有7種主流分析技術(shù)可用于發(fā)現(xiàn)策略違規(guī)，均各有所長、各有所短。 Securosis 公司1. 基于規(guī)則的/正規(guī)表示法（Rule-Based/Regular Expressions）：這是可在DLP 產(chǎn)品和其它帶有DLP 功能的產(chǎn)品使用的最通用的分析技術(shù)。它針對特定規(guī)則來分析內(nèi)容，如：可滿足信用卡號、醫(yī)療賬

13、單編碼以及其它文本 分析的16位數(shù)。多數(shù)DLP 解決方案擁有其自己額外的分析規(guī)則（如，接近信用卡號附近地址的名稱）來增強(qiáng)基本的正規(guī)表達(dá)法。最適用于：作為第一重的過濾工具，或用于檢測可輕易識別的結(jié)構(gòu)化數(shù)據(jù)片，如：信用卡號、社會保障號碼以及醫(yī)療編碼/記錄。 優(yōu)點(diǎn)：規(guī)則處理速度快，配置簡單。多數(shù)產(chǎn)品出廠時(shí)都帶有初始規(guī)則集。這項(xiàng)技術(shù)很好了解，也易于合并進(jìn)各類產(chǎn)品中。缺點(diǎn)：常出現(xiàn)高誤判率；為敏感知識產(chǎn)權(quán)等非結(jié)構(gòu)化內(nèi)容所提供保護(hù)極少。2. 數(shù)據(jù)庫指紋法（Database Fingerprinting）：有時(shí)也稱為確切數(shù)據(jù)匹配法（Exact Data Matching）。這項(xiàng)技術(shù)采用的是數(shù)據(jù)庫轉(zhuǎn)儲文件或是來

14、自數(shù)據(jù)庫的實(shí)時(shí)數(shù)據(jù)（經(jīng)由ODBC 連接），僅尋找確切的匹配。例如：您可能生成一個(gè)策略僅用于在您的客戶群中尋找信用卡號，這樣一來您公司自己員工的上網(wǎng)購買情況就被完全忽略了。更為高級工具是尋找信息組合，如：名字或首名與姓氏、信用卡號或是社會保障號的神奇組合，這可能觸發(fā)加州SB1386法案（資料隱私法案）泄露事件。請確保您了解每晚提取信息vs. 實(shí)時(shí)數(shù)據(jù)庫連接的性能和安全問題。最適用于：來自數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)。優(yōu)點(diǎn)：誤判率很低(接近于0 。允許您保護(hù)客戶/敏感數(shù)據(jù)，同時(shí)忽視員工所使用的其它類似數(shù)據(jù)（如他們用于網(wǎng)上訂購的個(gè)人信用卡信息）。缺點(diǎn)：每晚轉(zhuǎn)儲并不包含從最后一次提取以后的事務(wù)數(shù)據(jù)；實(shí)時(shí)連接可能

15、影響數(shù)據(jù)庫性能；大型數(shù)據(jù)庫會影響到產(chǎn)品性能。3. 確切文件匹配法（Exact File Matching）：采用這項(xiàng)技術(shù)，您可選取文件中一個(gè)散列，并對所有與確切指紋相匹配的文件進(jìn)行監(jiān)控。有些人認(rèn)為這是一種上下文分析技術(shù)，因?yàn)樗⑽磳ξ募?nèi)容本身進(jìn)行分析。最適用于：媒體文件和其它基本不可能進(jìn)行文本分析的二進(jìn)制文件.優(yōu)點(diǎn)：對所有文件類型都起作用，擁有足夠大的散列值，誤判率低（不會有任何誤判）。缺點(diǎn)：微小的改動就可以繞過匹配。如果待檢測的內(nèi)容是經(jīng)常修改的，則這項(xiàng)技術(shù)就沒什么價(jià)值了，如：標(biāo)準(zhǔn)辦公文檔和已編輯的媒體文件。4. 局部文檔匹配法（Partial Document Matching）：這項(xiàng)技術(shù)

16、可在受保護(hù)內(nèi)容上尋找全部或局部匹配。如此，您能創(chuàng)建策略來保護(hù)敏感文檔，且DLP 解決方案所匹配的或是文檔的整個(gè)文本，或甚至是短至幾個(gè)句子的摘錄。例如：您可對一份新產(chǎn)品商業(yè)計(jì)劃進(jìn)行局部文檔匹配，如有員工將其中整段話粘貼到即時(shí)消息工具（IM ）中，那么DLP 解決方案將會發(fā)出警報(bào)。多數(shù)解決方案是以眾所周知的循環(huán)散列（cyclical hashing）技術(shù)為基礎(chǔ)，在這里您可對整個(gè)文檔的一部分內(nèi)容進(jìn)行一個(gè)散列的提取，然后偏離若干個(gè)預(yù)先決定的字符數(shù)量，再進(jìn)行下一個(gè)散列的提取，重復(fù)上述操作直到整個(gè)文件提取完成，我們將獲得一系列互為重疊的散列值序列。了解和選擇DLP 解決方案 8出站內(nèi)容通過同樣散列技術(shù)進(jìn)行

17、處理，比對散列值來確定是否命中。許多產(chǎn)品均使用循環(huán)散列技術(shù)作為基礎(chǔ)，然后再增加更高級的語言學(xué)分析。最適用于：保護(hù)敏感文檔，或是類似于CAD 文件（帶有文本標(biāo)簽）等文本和源代碼的內(nèi)容。被認(rèn)為敏感的非結(jié)構(gòu)化內(nèi)容。優(yōu)點(diǎn)：具有保護(hù)非結(jié)構(gòu)化數(shù)據(jù)的能力。一般低的誤判率（有些供應(yīng)商會說為零誤判率，但受保護(hù)文檔中任一普通句子/文本均可能觸發(fā)警報(bào)）。并不依賴于大型文檔的完全匹配法；能夠發(fā)現(xiàn)只局部匹配的策略違規(guī)。缺點(diǎn)：在能保護(hù)的內(nèi)容總量上性能有限。受保護(hù)文檔中常見短語/冗詞可能觸發(fā)誤判。必須確切知道您想要保護(hù)的文檔是哪些。微小的修改就可以避開識別。（ROT 1換位加密的方法就已經(jīng)可以輕易的進(jìn)行識別規(guī)避了）。5.

18、統(tǒng)計(jì)分析法（Statistical Analysis）：通過使用機(jī)器學(xué)習(xí)、貝葉斯分析（Bayesian analysis）以及其它技術(shù)來分析語料庫的內(nèi)容，尋找內(nèi)容中類似受保護(hù)內(nèi)容的策略違規(guī)。此類分析包括了廣泛的統(tǒng)計(jì)技術(shù)，這些技術(shù)在實(shí)施和有效性方面各有千秋；有些技術(shù)與那些用于攔截垃圾郵件的技術(shù)極為類似。最適用于：如局部文檔匹配法等確定性技術(shù)不起作用的非結(jié)構(gòu)化數(shù)據(jù)。例如：工程計(jì)劃存儲庫由于具有高度波動性及大容量而使得局部文檔匹配法并不能起到實(shí)際作用。優(yōu)點(diǎn)：可作用于那些您可能不能通過確切匹配文檔進(jìn)行匹配的更為模糊內(nèi)容?？蓤?zhí)行如“發(fā)現(xiàn)出站內(nèi)容中有類似此目錄中文檔內(nèi)容時(shí)發(fā)出警報(bào)”等策略。缺點(diǎn)：常出現(xiàn)誤判

19、和錯(cuò)判情況。需要一個(gè)大的源內(nèi)容語料庫 越大越好。6. 概念/字典法（Conceptual/Lexicon）：這項(xiàng)技術(shù)使用了字典、規(guī)則和其它分析技術(shù)的組合來保護(hù)類似于“想法”的模糊內(nèi)容。舉個(gè)例子更為容易理解：一個(gè)可在發(fā)現(xiàn)類似于內(nèi)幕交易的流量時(shí)發(fā)出警報(bào)的策略，它是通過使用關(guān)鍵短語、字?jǐn)?shù)和字位來發(fā)現(xiàn)策略違規(guī)。其它例子還有：性騷擾、通過工作賬號進(jìn)行私人交易以及求職。最適用于：無法基于已知文檔、數(shù)據(jù)庫或其它注冊數(shù)據(jù)來源的匹配進(jìn)行簡單分類的完全非結(jié)構(gòu)化思想。優(yōu)點(diǎn)：并非所有企業(yè)策略或內(nèi)容都通過舉例來說明；概念分析可發(fā)現(xiàn)定義松散的策略違規(guī)，這是其它技術(shù)甚至可能未想過要監(jiān)控的地方。缺點(diǎn)：在多數(shù)情況下，這些并不是

20、可由用戶定義的，其規(guī)則集必須由DLP 供應(yīng)商花大力氣（成本更高）來制定。由于規(guī)則的松散屬性，因此這項(xiàng)技術(shù)非常易于出現(xiàn)誤判和錯(cuò)判情況。7. 類別法（Categories ）：通過常見敏感數(shù)據(jù)的規(guī)則和字典來預(yù)先制定類別，如信用卡號/PCI保護(hù)法、HIPAA 法案等。最適用于：與所提供類別完全符合的內(nèi)容。一般易于描述隱私權(quán)、法規(guī)或行業(yè)特定方針相關(guān)的內(nèi)容。了解和選擇DLP 解決方案 9優(yōu)點(diǎn)：配置極為簡單。節(jié)省了大量策略生成時(shí)間。類別法策略可形成更為高級企業(yè)特定策略的基礎(chǔ)。對于許多企業(yè)來說，類別法可滿足其大部分的數(shù)據(jù)保護(hù)需要。缺點(diǎn)：一刀切（One size fits all）作法可能不起作用。只適用于易

21、于分類的規(guī)則和內(nèi)容。這7種技術(shù)形成了市場多數(shù)DLP 產(chǎn)品的基礎(chǔ)，但并非所有產(chǎn)品都包含有這7種技術(shù)，而且各產(chǎn)品在實(shí)施中也存在重大不同。多數(shù)產(chǎn)品可能還結(jié)合使用多種技術(shù)通過內(nèi)容分析和上下文分析技術(shù)組合來創(chuàng)建復(fù)雜策略。技術(shù)架構(gòu)動態(tài)數(shù)據(jù)、靜態(tài)數(shù)據(jù)和使用中數(shù)據(jù)的保護(hù)DLP 的目標(biāo)是貫穿保護(hù)內(nèi)容的整個(gè)生命周期。就DLP 而言，這包括三大方面： 靜態(tài)數(shù)據(jù)（Data At Rest），包括通過掃描存儲器和其它內(nèi)容存儲庫識別敏感內(nèi)容位置。我們稱此為內(nèi)容發(fā)現(xiàn)（content discovery）。例如：您可使用DLP 產(chǎn)品來掃描您的服務(wù)器并識別帶有信用卡號的文檔。如果該服務(wù)器未得到這類數(shù)據(jù)授權(quán)，那么文件將被加密或移

22、除，或向文檔所有者發(fā)送警告。 動態(tài)數(shù)據(jù)（Data In Motion），通過網(wǎng)絡(luò)流量嗅探（通過代理被動地或在線進(jìn)行）識別在特定通信信道進(jìn)行傳輸?shù)膬?nèi)容。例如：這包括嗅探電子郵件、即時(shí)消息以及web 流量以找出敏感源代碼片段。動態(tài)數(shù)據(jù)工具?？苫谥醒氩呗浴⒁罁?jù)流量類型進(jìn)行攔截。 使用中數(shù)據(jù)（Data In Use），一般由可在用戶與數(shù)據(jù)交互時(shí)監(jiān)控?cái)?shù)據(jù)的端點(diǎn)解決方案來解決。例如：在您試圖傳輸敏感文檔到USB 驅(qū)動時(shí)，它們會及時(shí)識別并加以攔截（而不是完全禁止U 盤的使用）。使用中數(shù)據(jù)工具還可檢測類似復(fù)制和粘貼等動作、或是未經(jīng)許可的應(yīng)用中敏感數(shù)據(jù)的使用（如，有人試圖加密數(shù)據(jù)以悄悄避過探測器）。動態(tài)數(shù)據(jù)許

23、多企業(yè)是通過基于網(wǎng)絡(luò)的產(chǎn)品從而首次涉足DLP 世界，這類產(chǎn)品可為受管理和未受管理系統(tǒng)提供廣泛保護(hù)。一般來說，采用網(wǎng)絡(luò)產(chǎn)品來開始部署以迅速擴(kuò)展至大范圍要更為容易。早期產(chǎn)品往往自我局限于基本監(jiān)控和警報(bào)功能，但現(xiàn)在所有產(chǎn)品均包括了各種先進(jìn)的功能，不僅可與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施相集成，而且可提供保護(hù)功能，而不僅只是檢測、控制功能。網(wǎng)絡(luò)監(jiān)控位于在多數(shù)DLP 解決方案的核心通常是被動網(wǎng)絡(luò)監(jiān)控工具。網(wǎng)絡(luò)監(jiān)控組件一般是部署于SPAN 端口（或類似端口處）網(wǎng)關(guān)處或其附近；它可執(zhí)行完全的包捕捉、會話重建和實(shí)時(shí)內(nèi)容分析。性能問題與廠商平常討論的一些問題相比更為復(fù)雜微妙。首先，在客戶期望值方面，多數(shù)客戶表示他們需要完全的千

24、兆以太網(wǎng)性能，但由于只有少數(shù)企業(yè)有真正運(yùn)行到那樣高的通信流量水平，因此除非在極異常情況下否則完全沒有必要要求那種水平的性能。DLP 是一款可監(jiān)控員工通信流量、而不是web 應(yīng)用流量的工具。實(shí)際上，我們發(fā)現(xiàn)小企業(yè)正常運(yùn)行相關(guān)流量為50 MB/s（兆字節(jié)/秒），中型企業(yè)接近于50-200 MB/s，而大型企業(yè)在300 MB/s左右（在少數(shù)情況下也許可達(dá)到500MB/s）。出于內(nèi)容分析成本的考慮，并非每款產(chǎn)品都對所有的數(shù)據(jù)包進(jìn)行分析。您可能必須在預(yù)先過濾（這樣會漏過非標(biāo)準(zhǔn)流量）或購買更多產(chǎn)品來實(shí)現(xiàn)負(fù)載平衡間進(jìn)行選擇。此外，有些產(chǎn)品會鎖定監(jiān)控預(yù)先定義的端口和協(xié)議組合，而不是使用基于數(shù)據(jù)包內(nèi)容的服務(wù)/信

25、道識別。即便是包含進(jìn)完全的應(yīng)用信道識別，您還會想要確保其能夠?qū)崿F(xiàn)。否則，您可能漏過 有些供應(yīng)商部署有真正的專用設(shè)備。雖然一些產(chǎn)品在其網(wǎng)絡(luò)監(jiān)控工具中內(nèi)嵌有管理、工作流程以及報(bào)告功能，但這項(xiàng)工作常被分擔(dān)給單獨(dú)服務(wù)器或設(shè)備來進(jìn)行。 被動監(jiān)控非標(biāo)準(zhǔn)通信，如：通過異常端口的連接。多數(shù)這類網(wǎng)絡(luò)監(jiān)控工具都是指安裝有DLP 軟件的專屬的通用服務(wù)器硬件。電子郵件集成接下來的一個(gè)主要組件是電子郵件集成。因?yàn)殡娮余]件的工作機(jī)制是存儲再轉(zhuǎn)發(fā)，因此您就可獲得包括隔離、加密集成和過濾在內(nèi)的大量功能，完全沒有在攔截實(shí)時(shí)流量時(shí)的障礙。多數(shù)產(chǎn)品本 身內(nèi)嵌有MTA （郵件傳輸代理），從而使您只需將DLP 加入作為郵件發(fā)送鏈的另一

26、個(gè)下一跳傳輸點(diǎn)。相當(dāng)多產(chǎn)品還可直接與一些現(xiàn)有主流MTA/電子郵件安全解決方案相集成，實(shí)現(xiàn)更好性能。通過MTA 下一跳部署方法的一個(gè)缺點(diǎn)是它并不能為您提供對內(nèi)部電子郵件的監(jiān)控。如果您正使用的是Exchange 服務(wù)器，那么內(nèi)部消息永不可能讓其通過外部MTA ，因?yàn)闆]理由向外發(fā)送這類流量。 為了監(jiān)控內(nèi)部郵件，您需要直接的與Exchange/ Lotus集成，這在市場上相當(dāng)少見。完全集成不同于只在事后的日志/庫掃描，某些公司將此稱之為內(nèi)部郵件支持。如果您曾想要進(jìn)行過濾，而不是只監(jiān)控，那么好的電子郵件集成至關(guān)重要。 MTA DLP電子郵件 服務(wù)器 電子郵件過濾/攔截和代理集成幾乎每個(gè)部署有DLP 解決

27、方案的人到最后都想要開始攔截流量。在您開始采取行動前，您能監(jiān)視所有敏感數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)的時(shí)間是很短的。在實(shí)際環(huán)境中攔截并不是件簡單的事情，特別是我們正嘗試允許好流量通過、只攔截壞流量并通過實(shí)時(shí)內(nèi)容分析來作出決策。如我們剛提到的，電子郵件往往是相當(dāng)直接的可進(jìn)行過濾。因?yàn)樗⒉缓軐?shí)時(shí)而且是由其與眾不同的協(xié)議特點(diǎn)決定的。即便在最復(fù)雜環(huán)境中，添加另一個(gè)郵件分析的下一跳點(diǎn)也不是什么難事。除電子郵件以外，我們的多數(shù)通信流量都是同步的 所有流量都是實(shí)時(shí)運(yùn)行。這樣一來，如果我們想要過濾這些內(nèi)容，我們需橋接這些流量、代理這些流量、或都從外部抑制它。 橋接器使用橋接模式，我們只需有附帶兩個(gè)網(wǎng)卡的系統(tǒng)串聯(lián)在網(wǎng)絡(luò)上即

28、可在網(wǎng)絡(luò)中間執(zhí)行內(nèi)容分析。如果我們發(fā)現(xiàn)了一些有害信息，那么這個(gè)橋接器就可斷開此會話的連接。橋接并不是最好的DLP 方案，因?yàn)樗鼰o法在有害流量泄漏前就加以阻止。它就象是坐在門邊用放大鏡觀察通過的所有東西；當(dāng)你獲得足夠以作出準(zhǔn)確判斷的流量時(shí)，您可能已經(jīng)把真正有用的信息放過了。盡管這款方案具有與協(xié)議無關(guān)的這一優(yōu)勢，但極少產(chǎn)品采用這種方案。 代理簡而言之，代理（proxy ）是可針對特定的協(xié)議/應(yīng)用、可在流量通過它時(shí)將流量進(jìn)行隊(duì)列方式傳輸?shù)脑O(shè)備，同時(shí)允許更深層分析。我們所看到幾乎都是面向HTTP 、FTP 和IM 協(xié)議的網(wǎng)關(guān)代理。少數(shù)DLP 解決方案本身就包含代理；由于多數(shù)客戶更喜歡 與現(xiàn)有工具集成使

29、用，因此它們常與這些現(xiàn)有網(wǎng)關(guān)/代理供應(yīng)商相集成。Web 網(wǎng)關(guān)的集成一般是通過iCAP 協(xié)議進(jìn)行，允許代理獲取流量、將其發(fā)送給DLP 產(chǎn)品進(jìn)行 分析，如發(fā)現(xiàn)違規(guī)則切斷通信。這意味著您不必在您網(wǎng)絡(luò)流量前添加任何硬件，而 DLP 供應(yīng)商也可避免創(chuàng)建在線分析專屬網(wǎng)絡(luò)硬件的這一難題。如果網(wǎng)關(guān)包括了反向 SSL 代理，那么您還可嗅探所有SSL 連接。雖然您會需要對您的終端作出改動以應(yīng)對所有證書報(bào)警，但您現(xiàn)在可以監(jiān)視加密流量了。對于即時(shí)消息（IM ），您會需要IM 代理或DLP 產(chǎn)品來專門支持您正使用的IM 協(xié)議。TCP 抑制TCP 抑制（TCP poisoning）是最后一種過濾方法。您可監(jiān)控流量，在發(fā)現(xiàn)

30、有害流量時(shí)注入一個(gè)TCP 重置包來去阻斷此連接。雖然這種方式對每個(gè)TCP 協(xié)議都起作用，但效果并不大。一方面，有些協(xié)議將持續(xù)嘗試讓流量通過。如果您的TCP 抑制 代理 /網(wǎng)關(guān) 一個(gè)單一電子郵件消息，那么其服務(wù)器接下來3天內(nèi)將持續(xù)嘗試發(fā)送這份消息，經(jīng)常每隔15分鐘一次。另一方面，該技術(shù)擁有與橋接相同難題 由于您并不能控制流量以隊(duì)列方式傳輸，因此當(dāng)您注意到有害流量時(shí)可能已經(jīng)太遲了。雖然它是個(gè)覆蓋非標(biāo)準(zhǔn)協(xié)議的不錯(cuò)填補(bǔ)方案（stop-gap ），但您會想要盡可能多的使用代理的模式。內(nèi)部網(wǎng)絡(luò)盡管從在技術(shù)上來說是DLP 是能夠監(jiān)控內(nèi)部網(wǎng)絡(luò)，但除了用于電子郵件以外，DLP 相當(dāng)少用于內(nèi)部流量上。網(wǎng)關(guān)提供了便

31、捷的阻塞點(diǎn)；內(nèi)部監(jiān)控不論是是從成本、性能角度來看，還是從策略管理/誤判角度來看，其前景都不容樂觀。有些DLP 供應(yīng)商擁有內(nèi)部監(jiān)控合伙伙伴關(guān)系，但這對于多數(shù)企業(yè)來說都是項(xiàng)優(yōu)先級較低的功能。分布式、層次化部署所有大中型企業(yè)，甚至許多較小型企業(yè)，一般都有多處辦公地點(diǎn)以及web 網(wǎng)關(guān)。DLP 解決方案應(yīng)支持多個(gè)監(jiān)控點(diǎn)，包括：被動式網(wǎng)絡(luò)監(jiān)控、代理點(diǎn)、電子郵件服務(wù)器和遠(yuǎn)程地點(diǎn)的組合。當(dāng)處理/分析工作可被分擔(dān)到遠(yuǎn)程執(zhí)行點(diǎn)進(jìn)行時(shí)，它們應(yīng)將所有事件發(fā)回到中央管理服務(wù)器進(jìn)行工作流程、報(bào)告、調(diào)查和歸檔。遠(yuǎn)程辦公室的部署通常要求易于支持，因?yàn)槟荒芟蛳路职l(fā)策略并回傳相關(guān)報(bào)告到總部，但并不是每款產(chǎn)品都有這樣的功能。更為

32、先進(jìn)的產(chǎn)品可為想在多個(gè)地理位置或由不同業(yè)務(wù)單元進(jìn)行不同DLP 管理的企業(yè)提供層次化部署支持。國際企業(yè)通常需要這種功能以滿足隨著國家不同而不同的法律監(jiān)控需求。層次化管理支持不同地區(qū)的合作本地策略和執(zhí)行，先在其各自的管理服務(wù)器上運(yùn)行，然后將其傳達(dá)回中央管理服務(wù)器。早期產(chǎn)品僅支持一臺管理服務(wù)器，但現(xiàn)在我們 通過采用企業(yè)/地區(qū)/業(yè)務(wù)單元策略、報(bào)告和工作流程組合，在處理這些分布式環(huán)境方面我們可有所選擇。靜態(tài)數(shù)據(jù)雖然現(xiàn)在我們捕捉網(wǎng)絡(luò)泄漏做得已相當(dāng)不錯(cuò)了，但網(wǎng)絡(luò)泄露只是問題的冰山一角。許多客戶正發(fā)現(xiàn)“發(fā)現(xiàn)數(shù)據(jù)現(xiàn)在的存儲位置”其價(jià)值并不低于“找出所有數(shù)據(jù)的最初保存位置”。我們稱此動作為內(nèi)容發(fā)現(xiàn)。企業(yè)搜索工具可

33、起到一定幫助作用，但并不能真的對其進(jìn)行調(diào)整來解決這個(gè)特定問題；企業(yè)數(shù)據(jù)分類工具也可能起到一定幫助作用，但基于與大量客戶的討論結(jié)果來看，它們看起來并不能在尋找特定策略違規(guī)時(shí)起到很好作用。于是，我們就看到許多客戶選擇使用其DLP 產(chǎn)品中內(nèi)容發(fā)現(xiàn)功能。DLP 產(chǎn)品中內(nèi)容發(fā)現(xiàn)功能的最大優(yōu)勢在于：它允許您采用單一策略并將其貫穿應(yīng)用于所有數(shù)據(jù)中，而不管這些數(shù)據(jù)存儲在哪里、不管這些數(shù)據(jù)是通過哪種方式共享、這些數(shù)據(jù)以哪種方式使用。例如：您可定義一個(gè)策略，要求信用卡號只在加密時(shí)才可通過郵件發(fā)送、永不通過HTTP 或HTTPS 共享、僅存儲在經(jīng)過許可的服務(wù)器、僅被存儲工作站和會計(jì)團(tuán)隊(duì)員工筆記本電腦上。所有這些都可

34、在DLP 管理服務(wù)器通過單一策略指定。內(nèi)容發(fā)現(xiàn)由三大組件組成：1. 端點(diǎn)發(fā)現(xiàn)（Endpoint Discovery）：對工作站和筆記本電腦進(jìn)行內(nèi)容掃描。2. 存儲器發(fā)現(xiàn)（Storage Discovery）：對大量存儲器進(jìn)行，包括文件服務(wù)器、SAN 和NAS 。3. 服務(wù)器發(fā)現(xiàn)（Server Discovery）：對電子郵件服務(wù)器、文檔管理系統(tǒng)以及數(shù)據(jù)庫上所存儲的數(shù)據(jù)進(jìn)行應(yīng)用特定掃描（目前還不是多數(shù)DLP 產(chǎn)品的功能，但已開始出現(xiàn)在一些數(shù)據(jù)庫活動監(jiān)控（DAM ）產(chǎn)品中）。內(nèi)容發(fā)現(xiàn)技術(shù)有三種基本的內(nèi)容發(fā)現(xiàn)技術(shù)：1. 遠(yuǎn)程掃描（Remote Scanning）：通過使用文件共享或應(yīng)用協(xié)議創(chuàng)建到服務(wù)

35、器或設(shè)備的連接，掃描工作是遠(yuǎn)程執(zhí)行。這首先要求安裝遠(yuǎn)程驅(qū)動程序，接著從服務(wù)器進(jìn)行掃描，服務(wù)器可從中央策略服務(wù)器獲得策略并將結(jié)果發(fā)送回中央策略服務(wù)器。對于有些供應(yīng)商來說，這是一款設(shè)備；而對于其它供應(yīng)商來說，它是一臺日用服務(wù)器；且用于較小型部署時(shí)，它還可被集成進(jìn)中央管理服務(wù)器中。2. 基于代理的掃描（Agent-Based Scanning）：代理一般安裝在將被掃描的系統(tǒng)（服務(wù)器）上，掃描工作是在本地執(zhí)行。代理是針對特定平臺的，雖然這會占用本地CPU 資源，但其潛在執(zhí)行速度要比遠(yuǎn)程掃描快很多，特別用于掃描大型存儲庫時(shí)更是如此。對于端點(diǎn)來說，這應(yīng)是用于執(zhí)行使用中數(shù)據(jù)控制的相同代理的一項(xiàng)功能。3. 內(nèi)

36、存駐留代理掃描（Memory-Resident Agent Scanning）：不是永久代理，而是安裝內(nèi)存駐留代理；代理會先執(zhí)行一次掃描，然后退出，完全無需在本地系統(tǒng)存儲或運(yùn)行任何內(nèi)容。當(dāng)您不想要一臺全時(shí)運(yùn)行的代理時(shí)，這種方式可為你提供基于代理的掃描的性能。所有這些技術(shù)適用于任何模式，企業(yè)一般依據(jù)策略和基礎(chǔ)設(shè)施需求混和部署這些技術(shù)。我們目前可看出每款方案的技術(shù)限制，這對部署有指導(dǎo)作用： 遠(yuǎn)程掃描會大大增加網(wǎng)絡(luò)流量，而且其性能會受到網(wǎng)絡(luò)帶寬、目標(biāo)以及掃描工具網(wǎng)絡(luò)性能的限制?；谶@些實(shí)際限制，有些解決方案每臺服務(wù)器每天只能掃描千兆字節(jié)流量（有時(shí)是數(shù)百字節(jié)/天，但達(dá)不到百萬兆字節(jié)/天），這對于極大型

37、存儲器來說可能并不足夠。 臨時(shí)或永久代理都會受到目標(biāo)服務(wù)器處理能力及內(nèi)存的限制，而這常會轉(zhuǎn)化為對可執(zhí)行策略數(shù)量以及可使用內(nèi)容分析類型的限制。例如：多數(shù)端點(diǎn)代理并不能對大型數(shù)據(jù)集進(jìn)行局部文檔匹配法或數(shù)據(jù)庫指紋法分析，這點(diǎn)在具有更多限制的端點(diǎn)代理上尤為明顯。 代理并不支持所有平臺。靜態(tài)數(shù)據(jù)執(zhí)行一旦發(fā)現(xiàn)策略違規(guī)，DLP 工具就可采取各種動作： 報(bào)警/報(bào)告：只像網(wǎng)絡(luò)違規(guī)一樣在集中管理服務(wù)器上創(chuàng)建一個(gè)事件，。 警告：通過電子郵件通知用戶他們可能出現(xiàn)策略違規(guī)。 隔離/通知：將文件移到中央管理服務(wù)器，并留下一份帶有如何請求文件恢復(fù)相關(guān)指令的文本文件。 隔離/加密：當(dāng)場加密文件，通常留下一份描述如何請求加密的

38、純文本文件。 隔離/訪問控制：變更訪問控制以限制文件訪問。 移除/刪除：不通知而直接將文件傳輸?shù)街醒敕?wù)器，或只刪除文件。不同部署架構(gòu)、發(fā)現(xiàn)技術(shù)和執(zhí)行選項(xiàng)的結(jié)合使用可創(chuàng)建一個(gè)功能強(qiáng)大的靜態(tài)數(shù)據(jù)保護(hù)與法規(guī)遵從方案支持組合。例如：我們將開始看到CMF （Content Management Framework內(nèi)容管理框架）部署日益增加以支持PCI 法規(guī)遵從與其說是保護(hù)電子郵件和web 流量，其實(shí)更多是為了能夠確保（報(bào)告）所有持卡人數(shù)據(jù)的保存都沒有違反PCI 法案。使用中數(shù)據(jù)DLP 通常以網(wǎng)絡(luò)為起點(diǎn)，原因在于這是獲得最大覆蓋范圍的最經(jīng)濟(jì)有效方式。網(wǎng)絡(luò)監(jiān)控是非侵入式（除非您必須破解SSL ）且提供了對

39、網(wǎng)絡(luò)上受管理及不受管理、服務(wù)器及工作站等系統(tǒng)的可視性。雖然要進(jìn)行過濾還是比較困難的，但在網(wǎng)絡(luò)上還是可以相當(dāng)直接進(jìn)行（特別對于電子郵件來說更是如此）過濾，并且可以覆蓋了所有與網(wǎng)絡(luò)相連接的系統(tǒng)。不過，顯然這并不是一個(gè)完整的解決方案；當(dāng)有人帶著筆記本離開辦公室，這些筆記本電腦中數(shù)據(jù)就不再在其保護(hù)范圍內(nèi)了，它甚至不能防止人們數(shù)據(jù)到如USB 驅(qū)動等便捷式存儲器上。要想從“泄漏防護(hù)”解決方案發(fā)展為“內(nèi)容保護(hù)”解決方案，DLP 產(chǎn)品不僅需將保護(hù)范圍擴(kuò)展到所存儲的數(shù)據(jù)上，而且要擴(kuò)展到使用數(shù)據(jù)的端點(diǎn)上。注：盡管在端點(diǎn)DLP 領(lǐng)域已取得了長足進(jìn)步，但并不推薦多數(shù)用戶使用endpoint-only 解決方案。正如我

40、們下面會討論的，單一的斷點(diǎn)保護(hù)方案通常需要在可執(zhí)行策略類型和數(shù)量上有一定讓步，僅提供有限的電子郵件集成功能，且不能提供對不受管理系統(tǒng)的保護(hù)。很長時(shí)間內(nèi)，您將同時(shí)需要網(wǎng)絡(luò)和端點(diǎn)的解決方案，且多數(shù)領(lǐng)先的網(wǎng)絡(luò)解決方案正添加或已提供至少一些端點(diǎn)保護(hù)功能。添加端點(diǎn)代理到DLP 解決方案中，不僅為您提供了發(fā)現(xiàn)所存儲內(nèi)容的能力，而且也可為不再位于網(wǎng)絡(luò)上系統(tǒng)提供保護(hù)，甚至可為正被一直使用中數(shù)據(jù)提供了保護(hù)。雖然它的功能極強(qiáng)，但其實(shí)施卻一直很有難度。代理必需在標(biāo)準(zhǔn)配置的筆記本電腦資源限制內(nèi)執(zhí)行，同時(shí)還要實(shí)現(xiàn)內(nèi)容感知。如果您所擁有的都是如“保護(hù)我們數(shù)據(jù)庫中所有1000萬個(gè)信用卡號”等復(fù)雜策略，而不是某些如“保護(hù)所有

41、信用卡號”等較為簡單的策略，那么這點(diǎn)可能并不容易做到，這將使得每次員工訪問A 都產(chǎn)生誤判情況。關(guān)鍵功能現(xiàn)有產(chǎn)品在功能上各具千秋，但其中有三項(xiàng)關(guān)鍵功能是我們所熟知的：1. 網(wǎng)絡(luò)堆棧內(nèi)的監(jiān)控和執(zhí)行：這允許無網(wǎng)絡(luò)設(shè)備前提下執(zhí)行網(wǎng)絡(luò)規(guī)則。產(chǎn)品可好像系統(tǒng)就在受管理網(wǎng)絡(luò)上一樣執(zhí)行相同規(guī)則，并可分離出只在未受管理網(wǎng)絡(luò)上使用的規(guī)則。2. 系統(tǒng)內(nèi)核內(nèi)的監(jiān)控和執(zhí)行：通過直接插入操作系統(tǒng)內(nèi)核，您可監(jiān)控用戶行為，比如：復(fù)制和粘貼敏感內(nèi)容。這也使得產(chǎn)品能夠檢測（并攔截）用戶獲取敏感內(nèi)容并試圖通過加密或修改源文檔等方式避過檢測時(shí)的策略違規(guī)。3. 文件系統(tǒng)內(nèi)的監(jiān)控和執(zhí)行：這允許基于數(shù)據(jù)存儲地點(diǎn)的監(jiān)控和執(zhí)行。例如：您可執(zhí)行本

42、地發(fā)現(xiàn)和/或限制到未加密USB 設(shè)備的敏感數(shù)據(jù)傳輸。這三個(gè)選項(xiàng)都已被簡化，多數(shù)早期產(chǎn)品主要致力于1和3功能來解決便捷式存儲器問題并保護(hù)不受管理網(wǎng)絡(luò)上設(shè)備。系統(tǒng)/內(nèi)核集成要更為復(fù)雜得多，有各種各樣方案可用以獲得這項(xiàng)功能。用例端點(diǎn)DLP 正不斷發(fā)展演變，可支持幾種關(guān)鍵用例： 在受管理網(wǎng)絡(luò)以外執(zhí)行網(wǎng)絡(luò)規(guī)則，或針對更多敵對網(wǎng)絡(luò)來修改規(guī)則。 限制來自便捷式存儲器的敏感內(nèi)容，包括USB 驅(qū)動、CD/DVD驅(qū)動、家用存儲器以及如智能手機(jī)和PDA 等設(shè)備。 限制敏感內(nèi)容的復(fù)制和粘貼。 限制允許使用敏感內(nèi)容的應(yīng)用程序 比如，加密工作僅允許采用已許可企業(yè)解決方案來進(jìn)行，而不是那些在線下載的不允許企業(yè)數(shù)據(jù)還原的那些

43、工具來進(jìn)行。 可與企業(yè)數(shù)字版權(quán)管理（Enterprise Digital Rights Management，E-DRM ）相集成以基于文檔所包含內(nèi)容將訪問控制應(yīng)用到文檔中。 審核面向法規(guī)遵從報(bào)告的敏感數(shù)據(jù)使用。其它的端點(diǎn)功能下列是在端點(diǎn)部署DLP 時(shí)呼聲很高的功能： 端點(diǎn)代理和規(guī)則應(yīng)由控制動態(tài)數(shù)據(jù)和靜態(tài)數(shù)據(jù)（網(wǎng)絡(luò)和發(fā)現(xiàn)）的同一臺DLP 管理服務(wù)器進(jìn)行集中管理。 策略創(chuàng)建和管理應(yīng)與單一界面中其它DLP 策略完全集成。 事件應(yīng)報(bào)告給中央管理服務(wù)器并由其進(jìn)行管理。 端點(diǎn)代理應(yīng)使用與網(wǎng)絡(luò)服務(wù)器/設(shè)備相同的內(nèi)容分析技術(shù)和規(guī)則。 規(guī)則（策略）應(yīng)基于端點(diǎn)所處位置（在線或離線）進(jìn)行調(diào)整。當(dāng)端點(diǎn)位于帶有網(wǎng)關(guān)D

44、LP 的受管理網(wǎng)絡(luò)上時(shí)，應(yīng)跳過多余的本地規(guī)則以改善性能。 代理部署應(yīng)與現(xiàn)有企業(yè)軟件部署工具相集成。 策略更新應(yīng)通過DLP 管理服務(wù)器或現(xiàn)有企業(yè)軟件更新工具提供安全管理選項(xiàng)。端點(diǎn)局限性實(shí)際上，端點(diǎn)的性能和存儲局限性都將會對所支持的內(nèi)容分析類型以及可在本地執(zhí)行的策略數(shù)量和類型造成限制。對于有些企業(yè)來說，這可能沒關(guān)系，他們依賴的是所執(zhí)行策略的種類，但在許多情況下，端點(diǎn)在使用策略方面在數(shù)據(jù)上強(qiáng)加了諸多限制。集中管理、策略管理和工作流程 就如我們整篇報(bào)告中所討論的，所有當(dāng)前DLP 解決方案均包括有一臺中央管理服務(wù)器，該服務(wù)器用來管理執(zhí)行和檢測點(diǎn)、創(chuàng)建和管理策略、事件工作流程和生成報(bào)告。這些功能在選擇流程

45、中通常都是至關(guān)重要的。市場上各類產(chǎn)品間有大量不同點(diǎn)；我們將重點(diǎn)關(guān)注最為重要的基本功能，而不是試圖涉及每項(xiàng)可能的功能。用戶界面不同于其它安全工具，DLP 工具常為HR 、行政管理、企業(yè)法律和業(yè)務(wù)部領(lǐng)導(dǎo)等非技術(shù)型員工所使用。就這點(diǎn)而言，用戶界面就需考慮到這種技術(shù)和非技術(shù)人員的組合，必須可輕松定制以滿足所有特殊用戶群體的需要。出于DLP 解決方案可以處理的信息容量和復(fù)雜性考慮，用戶界面能夠成就一款DLP 產(chǎn)品，也能夠毀掉一款DLP 產(chǎn)品。例如：在顯示事件時(shí)，僅僅在策略違規(guī)界面中標(biāo)亮電子郵件的部分就能夠節(jié)省管理人員好幾分鐘的處理時(shí)間并避免錯(cuò)誤分析。DLP 用戶界面應(yīng)包括下列要素： 儀表板：好的儀表板將

46、擁有用戶可選擇的元素，默認(rèn)可同時(shí)面向技術(shù)和非技術(shù)用戶。各個(gè)元素可能僅可用于授權(quán)用戶或組，通常是在企業(yè)目錄上所保存的組。儀表板應(yīng)重點(diǎn)關(guān)注對用戶有價(jià)值的信息，而不只是一個(gè)全系統(tǒng)范圍通用視圖。顯而易見的元素包括基于嚴(yán)重性和各通訊通道的違規(guī)數(shù)量和分布以及其它決策層信息，可總結(jié)出企業(yè)整體風(fēng)險(xiǎn)性。 事件管理隊(duì)列：事件管理隊(duì)列是用戶界面的最為重要一個(gè)組件。通過這樣的屏幕事件處理工具我們可以監(jiān)控和管理策略違規(guī)。這種隊(duì)列不僅應(yīng)簡單明了且可定制，而且要求一眼就可輕松讀取。出于對這種功能的重要性考慮，我們將在本報(bào)告的下文中詳細(xì)描述推薦的功能。 單一的事件顯示：當(dāng)處理程序探究單個(gè)事件時(shí)，顯示內(nèi)容應(yīng)清晰明了地總結(jié)出違規(guī)

47、原因、所涉及用戶、危險(xiǎn)性、嚴(yán)重性（危險(xiǎn)性是基于所違反的策略，而嚴(yán)重性則是基于所涉及的數(shù)據(jù)量）、相關(guān)事件以及所有其它所需信息以在事件處理時(shí)作出明智決定。 系統(tǒng)管理：標(biāo)準(zhǔn)系統(tǒng)狀態(tài)和管理界面，包括用戶和組的管理。 層次化管理：如執(zhí)行點(diǎn)、遠(yuǎn)程辦公室、端點(diǎn)等DLP 解決方案遠(yuǎn)程組件的狀態(tài)和管理，包括“哪些規(guī)則在哪里處于活躍狀態(tài)”的比較。 報(bào)告：可使用預(yù)定義的報(bào)告模板和報(bào)告工具組合，生成特定報(bào)告功能。 策略創(chuàng)建和管理：除了事件隊(duì)列外，這是中央管理服務(wù)器最重要的組件。它包括了策略的創(chuàng)建和管理。因?yàn)樗侨绱酥匾?，因此我們在隨后會對其有更詳細(xì)敘述。DLP 界面應(yīng)是清晰明了且易于瀏覽的。這要求聽起來可能不高，但我

48、們都很清楚，要讓設(shè)計(jì)糟糕的安全工具能正常的工作起來完全需要管理員的技術(shù)來彌補(bǔ)。由于DLP 是在安全部門以外使用，甚至是在IT 部門以外使用，因此其用戶界面需適用于大范圍用戶。層次化管理、目錄集成和基于角色的管理層次化管理DLP 策略和執(zhí)行常需進(jìn)行設(shè)計(jì)以滿足單獨(dú)業(yè)務(wù)部門或地理位置的需要。層次化管理允許您采用多層的管理和策略，在整個(gè)企業(yè)中建立多臺策略服務(wù)器。例如：一個(gè)地區(qū)可以擁有自己的策略服務(wù)器，然后這臺策略服務(wù)器再隸屬于中央策略服務(wù)器。這一區(qū)域可創(chuàng)建自己的特定策略、經(jīng)許可忽略中央策略，然后處理本地事件。所有違規(guī)情況將被集中到中央服務(wù)器上，同時(shí)某些策略也將總是集中執(zhí)行。DLP 工具將支持全局和局部

49、策略創(chuàng)建，分配策略進(jìn)行局部或全局執(zhí)行，跨地點(diǎn)地管理工作流程和報(bào)告。目錄集成DLP 解決方案還可與企業(yè)目錄（一般的是Microsoft 活動目錄）相集成，因此違規(guī)情況可與用戶相關(guān)聯(lián)，而不是與IP 地址相關(guān)聯(lián)。這很復(fù)雜，因?yàn)樗鼈儽仨毻瑫r(shí)處理受管理用戶以及未分配有地址的不受管理（客人/臨時(shí)用戶）用戶。這種集成應(yīng)將DHCP 分配的地址和網(wǎng)絡(luò)登錄的用戶名進(jìn)行綁定，并不斷更新以避免意外的將策略違規(guī)事件與無辜用戶連系到一起。例如：客戶目前使用產(chǎn)品的老版本會將一個(gè)用戶與一個(gè)IP 地址相關(guān)聯(lián)直到這個(gè)地址被重新分配給另一個(gè)用戶。這樣的設(shè)置，造成一份參考資料差點(diǎn)導(dǎo)致一個(gè)工員被辭退，因?yàn)橐粋€(gè)公司的合約工（不在活動目錄

50、中）且他做了策略違規(guī)的操作，而這款工具將這次違規(guī)事件與那個(gè)無辜員工聯(lián)系到了一起。此外，目錄集成通過去除對參考外部用戶身份和企業(yè)結(jié)構(gòu)數(shù)據(jù)源的需要，還可優(yōu)化事件管理?；诮巧墓芾硐到y(tǒng)還應(yīng)允許基于角色的內(nèi)部管理以進(jìn)行內(nèi)部管理任務(wù)和監(jiān)控&執(zhí)行。在企業(yè)內(nèi)部，用戶可被分配到管理和策略組以實(shí)現(xiàn)職責(zé)分離。例如：某人可能被賦予執(zhí)行會計(jì)組策略的角色，它沒有管理系統(tǒng)、創(chuàng)建策略、查看其它組違規(guī)情況以及改變策略等訪問權(quán)。由于您的活動目錄（AD ）可能反映不出監(jiān)控和執(zhí)行所需的用戶類型，因此DLP 系統(tǒng)應(yīng)基于DLP 產(chǎn)品特定的組和角色提供靈活的監(jiān)控和執(zhí)行支持。策略創(chuàng)建和管理策略創(chuàng)建和管理是DLP 核心的一項(xiàng)關(guān)鍵功

51、能，它也是（可能）最難的DLP 管理部分。盡管大量定制策略的創(chuàng)建幾乎總是有技術(shù)技能要求，但策略創(chuàng)建界面應(yīng)兼顧被技術(shù)型和非技術(shù)型用戶訪問。對于策略創(chuàng)建，系統(tǒng)應(yīng)讓您可識別所保護(hù)數(shù)據(jù)種類、（如適當(dāng)?shù)脑挘?shù)據(jù)來源、目的地、哪些信道需進(jìn)行監(jiān)控和保護(hù)、可對違規(guī)情況可采取哪些行動、可應(yīng)用策略到哪個(gè)用戶、哪些處理程序和管理員可訪問策略和違規(guī)情況。由于并非所有策略都是同等創(chuàng)建的，因此每個(gè)策略還應(yīng)基于違規(guī)數(shù)量被分配以敏感度、嚴(yán)重性閾值。這些策略應(yīng)可作為新策略模板，如果系統(tǒng)包括進(jìn)類別分析（您真正想要的），那些與特定類別相關(guān)的策略還應(yīng)可作為定制策略模板進(jìn)行編輯和使用。策略向?qū)б矐?yīng)是一項(xiàng)有用的功能，特別對于類似單一文檔

52、保護(hù)的策略來說更是如此。多數(shù)用戶常更喜歡清晰的圖形策略布局的用戶界面，最好采用易于讀取的網(wǎng)格方式來顯示所監(jiān)控信道以及信道上違規(guī)的處理情況。越是復(fù)雜的策略，越容易造成內(nèi)部差異或是意外的給錯(cuò)誤信道和違規(guī)分配以錯(cuò)誤的處理動作。基本上，每個(gè)策略都需要進(jìn)行一定的調(diào)整；一款好的工具將允許您以測試模式創(chuàng)建策略，顯示其可能在生產(chǎn)環(huán)境中的反應(yīng)，完全無需真實(shí)的填充事件處理程序的隊(duì)列或采用執(zhí)行動作。有些工具能夠依據(jù)之前記錄的流量來測試草擬版策略。由于策略涉及到了極為敏感的信息，因此它們應(yīng)可被散列、加密或者在系統(tǒng)內(nèi)受到保護(hù)。有些業(yè)務(wù)單元可能擁有極為敏感策略，需防止未得到明確許可的系統(tǒng)管理員查看極為敏感策略。所有策略違

53、規(guī)也應(yīng)受到保護(hù)。事件工作流程和案例管理事件工作流程會是DLP 系統(tǒng)中被使用最多的部分，報(bào)告違規(guī)、管理事件和執(zhí)行調(diào)查工作都是在這里完成。第一站是事件處理隊(duì)列，這是所有事件的一份摘要，有已分配給處理程序的事件，有未分配但已在處理程序執(zhí)行域中的事件。事件狀態(tài)應(yīng)以色標(biāo)的敏感度（基于違反的策略）和嚴(yán)重性（違規(guī)數(shù)量以及策略中定義的其它因素）來明確顯 示。每個(gè)事件應(yīng)在單行上顯示，且在任何場合皆是可選且過濾的。同時(shí)，信道、違反的策略、用戶、事件狀態(tài)（打開、關(guān)閉、分配、未分配、調(diào)查）以及處理程序應(yīng)可顯示出來并可針對即時(shí)處理方式進(jìn)行輕松改動。默認(rèn)情況下，關(guān)閉的事件不應(yīng)讓界面更為混亂 基本上象對電子郵件收件箱來處理

54、它。每個(gè)用戶應(yīng)能夠?qū)ζ溥M(jìn)行定制以更好適應(yīng)自己的工作風(fēng)格。違反多個(gè)策略或多次違反一個(gè)策略的事件應(yīng)只在事件隊(duì)列中出現(xiàn)一次。一封有10個(gè)附件的電子郵件，它不應(yīng)作為10個(gè)不同事件顯示，除非每個(gè)附件違反的策略都不同。當(dāng)打開單個(gè)事件時(shí)，它應(yīng)列出所有事件詳細(xì)信息，包括（除非受到不同限制）強(qiáng)調(diào)流量或文檔中哪些數(shù)據(jù)違反了哪項(xiàng)策略。用戶近期的其它違規(guī)以及數(shù)據(jù)的其它違規(guī)（可顯示更大型事件）的總結(jié)是項(xiàng)寶貴功能。工具應(yīng)可讓處理程序可進(jìn)行注釋、分配其它處理程序、通知管理層并上傳所有支持文檔。 更為高級的工具包含了詳細(xì)追蹤事件及所有支持文檔的案例管理，包括數(shù)據(jù)時(shí)戮和散列。這在采用法律行動的案例中很有價(jià)值，案例管理中證據(jù)應(yīng)加

55、以管理以讓其可更多地為法庭所采納。系統(tǒng)管理、報(bào)告和其它功能與所有安全工具一樣，DLP 解決方案應(yīng)包含所有基本系統(tǒng)管理功能，包括： 備份和還原 整個(gè)系統(tǒng)或僅系統(tǒng)配置，僅備份和還原系統(tǒng)配置適用于平臺遷移。 導(dǎo)入/導(dǎo)出 策略和違規(guī)的導(dǎo)入/導(dǎo)出。應(yīng)有準(zhǔn)備地提取已關(guān)閉的違規(guī)時(shí)間以確保有足夠的可用空間。 負(fù)載均衡/集群 性能監(jiān)控和調(diào)整 數(shù)據(jù)庫管理工具通常會把這些功能混合在工具本身和其依賴的平臺之間。有些企業(yè)更喜歡僅僅只是對工具進(jìn)行管理，完全無需管理員去了解或管理其平臺。您應(yīng)盡可能多地尋找讓您通過DLP 管理界面即可管理所有事情的DLP 工具。不同解決方案中所擁有的報(bào)告功能也各有不同；有些使用內(nèi)部報(bào)告界面，

56、而其它則倚賴于如Crystal Reports等第三方工具。所有工具出廠時(shí)帶有一些默認(rèn)報(bào)告，但并非所有工具都允許您創(chuàng)建自己的報(bào)告。您應(yīng)尋找技術(shù)和非技術(shù)型報(bào)告組合，且如果您的企業(yè)要考慮法規(guī)遵從問題，那么應(yīng)考慮那些綁定了法規(guī)遵從報(bào)告的工具。當(dāng)您使用靜態(tài)數(shù)據(jù)或使用中數(shù)據(jù)（端點(diǎn)）功能時(shí)，您將需要管理界面以讓您可對服務(wù)器、存儲器和端點(diǎn)進(jìn)行策略管理。工具應(yīng)支持大量設(shè)備管理所需的設(shè)備分組、運(yùn)行特征碼更新以及其它所需功能。除了這些基本功能以外，產(chǎn)品開始附帶其它高級功能來讓自已與眾不同，從而幫助滿足特殊企業(yè)的需要，包括： 第三方集成能力，從web 網(wǎng)關(guān)到取證工具。 語言支持，包括亞洲的雙字節(jié)字符集。 策略違規(guī)匿

57、名化，支持國際工作場所隱私權(quán)要求。 全面捕捉以記錄所有流量，而不只是策略違規(guī)流量。DLP 選擇流程定義需要并讓您的企業(yè)作好準(zhǔn)備在您開始關(guān)注任何工具前，您需先了解為什么您可能需要DLP 、對于產(chǎn)品使用您有何計(jì)劃以及圍繞策略創(chuàng)建和事件管理的業(yè)務(wù)流程。1. 確定需涉及到的業(yè)務(wù)單元并創(chuàng)建一個(gè)選擇委員會：我們常在DLP 選擇流程中包含進(jìn)兩種業(yè)務(wù)單元有敏感數(shù)據(jù)需加以保護(hù)的內(nèi)容擁有者與負(fù)有數(shù)據(jù)控制執(zhí)行責(zé)任的內(nèi)容保護(hù)者。內(nèi)容擁有者包括那些擁有和使用數(shù)據(jù)的業(yè)務(wù)單元。內(nèi)容保護(hù)者常包括如人力資源（HR ）、IT 安全以及企業(yè)法律、法規(guī)遵從和風(fēng)險(xiǎn)管理（Legal, Compliance, and Risk Management）等部門。一旦您確定主要利益相關(guān)者，您會想讓他們共同進(jìn)行接下來的幾個(gè)步驟。 2. 定義您想要保護(hù)的內(nèi)容：先盡可能明確地列出您計(jì)劃使用DLP 進(jìn)行保護(hù)的各類數(shù)據(jù)。我們一般將內(nèi)容分為三類 個(gè)人可識別信息（包括醫(yī)療、財(cái)務(wù)和其它數(shù)據(jù)在內(nèi)的PII 信息），企業(yè)財(cái)務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)。前兩類數(shù)據(jù)結(jié)構(gòu)性較強(qiáng)，將推動您選擇某些解決方案，而知識產(chǎn)權(quán)擁有不同內(nèi)容分析需求，結(jié)構(gòu)性較弱。即便您想要保護(hù)所有類型的內(nèi)容，也可使用這種流程來指定并分配優(yōu)先級，最好“以書面形式”。3. 決定您想要如何保護(hù)數(shù)據(jù)并設(shè)置期望值