【VK 技术分享】数据安全怎么做——数据防泄漏

前言

上一篇跟大家分享了数据的分类分级，今天承接分享下数据分类分级的一个落地实现，也是数据安全在端层管控的关键一环：数据防泄漏平台落地。

个人认为：防止数据丢失主要包含两个大的维度管控层面，一个是业务系统层面，一个是端的访问层面；端的访问层面又区分移动端和PC端，今天主要分享下PC端的数据防泄漏管控，移动端的可以参考另一篇文章《甲方数据安全：业务场景中BYOD安全的应用》。

什么是数据防泄漏

个人理解：数据防泄漏平台是基于定制的策略或规范，针对文件级别的数据进行自动发现、操作审计和分析管控的工具。产品形态：终端层、网关代理层、邮箱代理层。

为什么要做数据防泄漏

简单说就是合规上有要求，业务上有价值！概述如下：

1、合规性要求

国内外相继出台了网络安全法、GDPR、CCPA、数据安全法草案等，将数据安全上升至法律层面，组织有保证自身收集使用数据不被泄露的责任和义务。以国内现状举例，企业如果出现了数据泄漏并造成一定的影响，相关监管部门怎么来评定企业责任的大小呢？个人经验：是主要看企业对数据泄漏防范工作作为的多少，有哪些管控措施，是否对组织所存储的数据负了责，这直接关系到相应的惩罚尺度和力度。

2、业务价值

在当前的数据时代，越来越多的企业开始真正重视自身所持数据的价值，之前看逻辑思维罗胖子的一个视频里，节选一部分内容跟大家做个分享，他这样描述阿里：“早在2015年左右，马云开始在各种舆论场合呼吁公众重新认识阿里巴巴，马云说：阿里的本质是一家扩大数据价值的公司。带着这个定义我们可以看下阿里近几年在资本市场上的行为，我们会发现阿里旗下产业或入股的公司包含了我们的衣食住行的方方面面，数据方面之多，如果阿里愿意，他可以知道我们每个人每天都在干些什么，聊到这里我们才发现马云没有说谎！阿里确实是一家扩大数据价值的公司，且通过扩大数据价值成为了中国乃至全球的头部公司。”

阿里的成功绝非偶然，数据的价值显而易见。数据带来价值的同时，也带来了风险，据IBM《2019年全球数据泄露成本报告》显示，恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。

解决数据泄露需要一个整体数据安全解决方案，其中，端上数据防泄漏产品是端层访问数据管控和保障数据价值的相对可行方案。

数据泄漏的原因

• 内部人员威胁：一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据proofpoint公司统计，43％的数据泄露是内部的；恶意内部人员或攻击特权用户帐户的攻击者滥用其权限并尝试将数据移出组织。

• 攻击者的入侵：许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼，恶意软件或代码注入之类的技术渗透安全边界，并获得对敏感数据的访问权限。

• 意外或疏忽的数据泄露：由于员工在公共场所丢失敏感数据，提供对数据的开放Internet访问或无法限制每个组织策略的访问而导致的许多数据泄漏。

如何落地数据防泄漏

1

明确场景

安全是基于业务的，业务中有需要落地的场景，明确和了解场景，我们才能制定与之匹配的数据防泄漏方案和策略，端层场景举例如下：

• 笔记本电脑和移动设备的丢失或失窃

• 未经授权将数据传输到USB设备

• 敏感数据越权访问和存储

• 员工或外部方盗窃数据

• 员工外发、打印和复制敏感数据

• 意外传输敏感数据

• 员工对文件进行造假

• ......

2

明确影响

不同事件场景的发生，势必带来不同的影响，很多影响是组织不可接受，亦或愿意增加投入进行降低或规避的影响， 举例如下：

• 品牌受损和声誉损失

• 失去竞争优势

• 失去客户

• 失去市场份额

• 损伤股东价值

• 罚款和民事处罚

• 诉讼/法律诉讼

• 监管罚款/制裁

• 大量的成本和精力

• ......

  
  

3

明确目标

知道场景，确定影响，制定解决方案的目标，即为：防止敏感数据出现被未经授权的用户访问、滥用和丢失等。

4

明确方案

明确目标后，制定对应的落地方案，如下：

组织：组织是基础，数据防泄漏方案是一个用户级别的项目，我们需要贴合业务，增加与业务人员的沟通和协调，提升整个项目落地的有效性和影响力。

技术：技术是手段，通过数据防泄漏平台的数据识别和分析能力，将端上存储和使用的文件数据梳理清晰，制定相应的检测、保护和审计规则，实现事前的发现阻断和事后的审计溯源。

管理：管理是手段，将“接触到公司敏感数据的人员必须安装公司统一的数据防泄漏工具”诸如此类的话术，加入到公司《数据安全管理制度》《员工手册》《安全红线》等，使内部有文可依。

合规：合规是要求，数据安全的法律日渐健全，推动组织加大数据安全能力建设，保护组织数据不被泄漏。

运营：运营是主线，实施完成只是整个项目成功前的一小步，是否可以在项目运营中持续产生价值才是定义项目成功与否的核心所在。

数据：数据是目标，我们要保证端上设备静态数据和动态数据的出现未经授权的访问、滥用和丢失等。

5

项目详细落地

基于上述框架，我把整个项目划分三个阶段，具体如下。

【一阶段：前期准备阶段】

前期准备主要包含两部分内容，一是搞定老板，得到老板的重视和授权，自上而下的推广是本项目成功落地的关键；二是通过详细测试，选择一款切实可落地的产品方案。

搞定老板这块省略不讲，主要分享下自己选择厂商和产品的关注点，个人观点，仅供参考：

dlp的推广覆盖个人建议一定是上到下的，且多数是事件推动，比如：老板通过各个渠道进场会听说，公司C端用户可能存在内部数据泄漏行为，这个时候就是上dlp的时候；

我们需要的就是找几家国内外的厂商进行现场部署测试，那部署测试的时候我们关注哪些呢？

1）公司的选择

选择专业深耕做dlp的公司，在国内外有相对较好的口碑和丰富的案例，虽然有dlp产品的公司很多，但是彼此的差距还是比较大的。

2）团队能力

在整个测试过程中，乙方团队的技术支持能力和服务响应的水平。

3）产品的稳定性

无论是客户端还是网关代理的产品形态，实际部署上线后，作为TO C的项目，对业务和员工影响越少越好。反面教材举例：电脑安装客户端后，客户端对电脑的cpu和内存占比过高，涉及到文件级别的使用电脑卡顿，严重影响员工日常工作。

4）产品功能

功能上没有比较大的缺陷，正常的文件级别移动都可以发现。除此之外，至少支持ocr功能，能支持机械学习和ai就更佳。反面教材举例：有些公司不支持对微信外发文件的识别。

【二阶段：实施阶段前期】

通过技术手段和管理手段保证覆盖率，并上线常规的数据分析和审计策略。

此阶段保证覆盖率是关键，可以从以下几个方向入手：

1）人工方式

基于公司组织结构和数据防泄漏平台的定期比对统计，梳理未安装人员，人工进行推进安装；

基于终端层工具统计，如上网认证管理、防病毒等工具，统计数据防泄漏平台的安装率，梳理未安装人员，进行推进安装；

2）域控推送

windows基于域控自动推送安装，保证windows机器的安装覆盖率；

3）终端管理平台推送

基于公司统一的终端管理平台，进行绑定推送安装，保证全员覆盖率；

【三阶段：实施阶段后期】

通过与业务线的深入了解沟通和平台层审计报告的不断梳理，精细化制定和优化现有策略。

1）策略设置

策略可以从以下五个层面进行设置（注：此策略设置思路的部分内容是基于与Forepoint技术总监探讨中产生）：

a）例外策略不希望监控的内容，如隐私文件或特殊要求类文件；

b）通用策略抓取明确事件，也是日志量最大的部分；基于公司内的数据分类分级要求（注：具体可以参考《数据安全怎么做——数据分类分级》），明确哪些是公司敏感数据，如G3级别以上数据，逐一在平台上详细设置，这是平台审计告警重点。

c）特殊策略针对性的审计策略，如加密文件外发、网盘上传、非工作时间发送文件、特殊类邮箱等等；

此处更多的是基于业务特性决定，比如通过了解业务线员工的正常工作时间，并制定非工作时间操作公司敏感数据的告警策略，我们就可以把这个当成一个风险点。

除此之外，基于数据防泄漏产品的特性，我们还可以额外解决一些业务线存在的潜在合规问题，比如经跟公司质检人员沟通，发现业务人员有人利用刻章软件或ps软件作假，我们就可以基于进程识别设置一些策略，发现对应的合规风险。

d）兜底审计用于捕捉遗漏事件，保证审计的完整。比如word的文件级别外发全部记录。

e）其他策略全盘加密、只允许固定可信的U盘接入使用。

2)技术支撑

a）机械学习和AI数据防泄漏平台主流是通过正则表达式对数据进行识别，这种方式其实误报率特别高；为了解决这个问题，很多平台支持了机械学习和AI（也可自研），我们需要做的就是获取足够的样本数据去跑模型，可以一定程度上优化误报率。

b）日志分析数据防泄漏平台日常的日志量可能非常庞大，导致平台自身日志分析展示一段时间日志的时候，功能的可用性较差，建议可以通过第三方日志分析平台进行集中灵活分析，如splunk、elk等。

【四阶段：运营期】

就像前文提到的，运营期是整个项目成功的关键，那怎么样做好数据防泄漏产品的运营工作呢，以下内容供参考：

1）专人负责

dlp是一个需要专人深度运营的产品，专人深入分析，持续与业务保持高度沟通，持续不断优化策略，持续保持影响力。比如：每天出日报，每周出周报，基于分析统计内容与其他团队沟通，优化策略，持续保持影响力。

2）定标准

dlp的效果好坏，源于策略的设置，策略的设置源于公司对违规标准的制定，标准的制定再反向推动策略的调整，逐步使策略变得更严格，比如增加很多的拦截阻断策略等；但是其实很多公司对此都是没有清晰的定义，这块就需要我们协调各团队共同挖掘和创建，比如与业务运营、业务质检、业务合规等团队协同。

3）定流程

将dlp融入到公司日常相关工作中，制定统一的流程，比如：dlp变成关键岗位员工电脑初始必装软件，敏感权限开通必须在安装dlp的基础上，发现人员违规操作后的响应流程等等。

4）定职责

dlp其实是一个多团队复合联动型工作，每个团队有不同的职业，比如安全负责技术支持，合规负责事件定性，运营负责覆盖率等等。

总结

整个方案的重点：覆盖率、策略持续优化、其他部门的协同联动和安全的定期发声。总的来说，dlp部署的前期是一个相对容易发现问题的阶段，经过一段时间的使用治理后，会越来越难发现比较大的数据安全问题了，我们要思考如何让dlp持续产生价值，比如之前提到的帮助合规质检团队发现员工的违规操作等。

数据安全是通过一系列技术或管理手段，规避、降低或转移数据因暴露面而产生的风险。随着对《数据安全怎么做》系列内容的更新，大家会发现其实每一块内容都是有相关性的，相互承接和支持，以整体的视角看问题，实现事半功倍。

这是【vk技术分享】的第九期

后续我们将持续输出优秀的技术文章

如果您有任何希望交流讨论问题

欢迎在文末或后台进行留言

我们期待与您的技术交流和思想碰撞

关于VIPKID SRC

VIPKID安全响应中心（VIPKID Security Response Center）--简称VKSRC，隶属于VIPKID信息安全部，于2017年10月25日正式上线。VKSRC的上线，旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁，主动收集、发现潜在的安全威胁，全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全，共建互联网安全生态。

本文始发于微信公众号（VIPKID安全响应中心）：【VK 技术分享】数据安全怎么做——数据防泄漏