在數(shù)據(jù)時(shí)代,通過漏洞利用、防護(hù)繞過等手段侵入企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)竊取或破壞的安全事件仍常有發(fā)生,但隨著網(wǎng)絡(luò)安全防護(hù)設(shè)施的普及和加強(qiáng),明顯增加了侵入內(nèi)部網(wǎng)絡(luò)的難度。伴生而來(lái)的新的攻擊和外部數(shù)據(jù)安全威脅層出不窮,導(dǎo)致數(shù)據(jù)的竊取、篡改和非法使用等威脅。同時(shí)內(nèi)部數(shù)據(jù)安全威脅也非常嚴(yán)重,內(nèi)部人員有意或無(wú)意行為引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)、敏感個(gè)人信息非法利用嚴(yán)重侵害個(gè)人權(quán)益、業(yè)務(wù)頻繁變化引起的數(shù)據(jù)誤用、濫用。
基礎(chǔ)定義
數(shù)據(jù)防泄露(DLP)指的是使用先進(jìn)的內(nèi)容分析技術(shù),在統(tǒng)一的管理控制臺(tái)內(nèi)對(duì)靜止的、流轉(zhuǎn)的、使用的敏感數(shù)據(jù)進(jìn)行保護(hù)的系統(tǒng),是當(dāng)前支撐數(shù)據(jù)資產(chǎn)保護(hù)的重要技術(shù)之一。
OCR(Optical Character Recognition),光學(xué)字符識(shí)別:是指電子設(shè)備檢查圖片上的字符,用字符識(shí)別方法將形狀翻譯成計(jì)算機(jī)文字的過程。
DLP(Data Loss Prevention,數(shù)據(jù)防泄露):是通過一定的技術(shù)手段,防止組織內(nèi)敏感數(shù)據(jù)或信息資產(chǎn), 以違反安全策略規(guī)定的形式流出組織的一種策略。
SMTP(Simple Mail Transfer Protocol,簡(jiǎn)單郵件傳輸?shù)膮f(xié)議):主要用于系統(tǒng)之間的郵件信息傳遞,并提供有關(guān)來(lái)信的通知。
HTTP/HTTPS(Hyper Text Transfer Protocol,超文本傳輸協(xié)議):是一個(gè)簡(jiǎn)單的請(qǐng)求 - 響應(yīng)協(xié)議。HTTPS 在 HTTP 的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性。
Hadoop:利用集群進(jìn)行高速運(yùn)算和存儲(chǔ)的分布式數(shù)據(jù)庫(kù)。
IP(Internet Protocol,網(wǎng)際互連協(xié)議):是 TCP/IP 體系中的網(wǎng)絡(luò)層協(xié)議,為主機(jī)提供數(shù)據(jù)包傳輸服務(wù)。
HTTP Post:HTTP 請(qǐng)求方法之一,向指定資源提交數(shù)據(jù)進(jìn)行處理請(qǐng)求,數(shù)據(jù)被包含在請(qǐng)求體中。
HTTP Response:HTTP 響應(yīng)方法,在接收 HTTP 請(qǐng)求消息后,服務(wù)器會(huì)返回一個(gè) HTTP 響應(yīng)消息。
LDAP(Lightweight Directory Access Protocol,輕型目錄訪問協(xié)議):輕量級(jí)的目錄存儲(chǔ)協(xié)議,通過 IP 協(xié)議提供訪問控制和維護(hù)分布式信息的目錄信息。
SIEM( Security Information Event Management,安全信息與事件管理):收集網(wǎng)絡(luò)內(nèi)的主機(jī)系統(tǒng),安全設(shè)備和應(yīng)用程序生成的日志以及事件數(shù)據(jù),并在集中平臺(tái)上進(jìn)行整理分析。
SOC(Security Operations Center,安全管理平臺(tái)):收集網(wǎng)絡(luò)內(nèi)資產(chǎn)的安全信息,通過對(duì)收集到的各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián),及時(shí)反映被管理資產(chǎn)的安全情況。
DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議):局域網(wǎng)的網(wǎng)絡(luò)協(xié)議。使網(wǎng)絡(luò) 環(huán)境中的主機(jī)動(dòng)態(tài)的獲得 IP 地址、Gateway 地址、DNS 服務(wù)器地址等信息。
ICAP(Internet Content Adaptation Protocol,圖像采集接口):用來(lái)從一個(gè)傳感器捕捉圖像數(shù)據(jù)。
USB(Universal Serial Bus,通用串行總線):計(jì)算機(jī)或其他智能設(shè)備與外部設(shè)備連接的接口技術(shù)。
CDROM(Compact Disc Read-Only Memory,緊湊型光盤只讀儲(chǔ)存器):只讀光盤。
DLP的應(yīng)用
數(shù)據(jù)防泄露(DLP)為實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)保護(hù)提供技術(shù)支撐;
2、數(shù)據(jù)防泄露(DLP)在數(shù)據(jù)生命周期提供安全防護(hù);
數(shù)據(jù)防泄露貫穿于數(shù)據(jù)生命周期的全過程。從數(shù)據(jù)的生成開始,到數(shù)據(jù)的存儲(chǔ)、應(yīng)用、傳輸、備份歸檔到數(shù)據(jù)的銷毀,每一個(gè)步驟都有相應(yīng)的數(shù)據(jù)防泄露技術(shù)作為支撐。
3、對(duì)使用中的數(shù)據(jù)進(jìn)行權(quán)限細(xì)分,并進(jìn)行相應(yīng)的控制。
DLP核心技術(shù)
1、方案部署
a)分布式部署架構(gòu)(分層管理):DLP 系統(tǒng)應(yīng)支持在多個(gè)監(jiān)控位置部署,這些監(jiān)控節(jié)點(diǎn)應(yīng)該能夠?qū)⑺?DLP 事件發(fā)送回中央管理服務(wù)器以便形成工作流、報(bào)告、調(diào)查和歸檔,應(yīng)支持分層部署,支持在不同區(qū)域的管理服務(wù)器上運(yùn)行不同區(qū)域的策略。
b)策略分級(jí)部署:DLP 系統(tǒng)應(yīng)支持對(duì)下屬機(jī)構(gòu)設(shè)置獨(dú)立的管理員,對(duì)所管理的區(qū)域?qū)ο穹砰_策略設(shè)置、事件查看、報(bào)告查看等功能;管理員的功能模塊不可以超出上級(jí)管理員;為了滿足統(tǒng)一策略集中管理的需求,總管理員可以向下屬機(jī)構(gòu)進(jìn)行策略推送,子管理員可以對(duì)總管理員推送的策略進(jìn)行查看,但無(wú)法進(jìn)行編輯和刪除的動(dòng)作。
c)證據(jù)文件外置部署:DLP 系統(tǒng)應(yīng)能夠?qū)?shù)據(jù)泄露事件提供證據(jù)文件外部保存能力,可采用外置文件存儲(chǔ)(NFS/SMB)的方式進(jìn)行集中存儲(chǔ)。
d)管理服務(wù)器高可用 :DLP 系統(tǒng)應(yīng)支持使用兩臺(tái)管理服務(wù)器進(jìn)行主備模式部署,如果主服務(wù)器關(guān)閉或服務(wù)不可用,備用服務(wù)器將自動(dòng)接替行使管理功能。
e)數(shù)據(jù)庫(kù)高可用 :DLP 系統(tǒng)應(yīng)支持?jǐn)?shù)據(jù)庫(kù)服務(wù)集群部署,通過虛擬 IP 技術(shù)使數(shù)據(jù)庫(kù)節(jié)點(diǎn)保持高可用狀態(tài),如果主數(shù)據(jù)庫(kù)活動(dòng)節(jié)點(diǎn)關(guān)閉或不可用時(shí),備用節(jié)點(diǎn)將接管活動(dòng)角色,入庫(kù)日志、事件、證據(jù)、配置等保持同步且不丟失。
2、策略定制
a)內(nèi)容檢測(cè)的組合檢測(cè):由于 DLP 系統(tǒng)中存在眾多內(nèi)容識(shí)別分類器,每個(gè)分類器均可以獨(dú)立配置作為內(nèi)容識(shí)別的手段。
b)檢測(cè)對(duì)象的鎖定與過濾:通常,DLP 的檢測(cè)對(duì)象可以涵蓋兩類對(duì)象,分別是檢測(cè)對(duì)象和檢測(cè)通道。檢測(cè)對(duì)象一般指發(fā)送數(shù)據(jù)來(lái)源 / 目的、郵件地址、組織架構(gòu)等,而檢測(cè)通道則泛指網(wǎng)絡(luò)通道和終端通道這兩種通道類型。利用 DLP 的檢測(cè)對(duì)象過濾功能,應(yīng)更加精準(zhǔn)地鎖定檢測(cè)的范圍和目標(biāo),使得檢測(cè)結(jié)果更加準(zhǔn)確。
c) 策略響應(yīng)動(dòng)作 :策略的響應(yīng)動(dòng)作是指當(dāng)流量或執(zhí)行的動(dòng)作命中了預(yù)設(shè)的檢測(cè)策略后,針對(duì)不同的通道在網(wǎng)絡(luò)側(cè)或終端側(cè)執(zhí)行的動(dòng)作,通常情況下的動(dòng)作執(zhí)行包括但不限于放行、阻止、隔離、確認(rèn)、個(gè)人密鑰加密等。
d) 策略觸發(fā)通知 :在運(yùn)維工作中,當(dāng)最終用戶的動(dòng)作命中了檢測(cè)策略,管理員應(yīng)可以在不登陸 DLP 系統(tǒng)的情況下及時(shí)獲知觸發(fā)策略的事件行為。DLP 系統(tǒng)可以通過執(zhí)行發(fā)送郵件通知,提醒特定人員等相關(guān)事件的發(fā)生。通知的內(nèi)容應(yīng)該支持定制和常見的變量引用,如:企業(yè)特定的 Logo、公司名稱、郵件主題、正文內(nèi)容等。
3、數(shù)據(jù)識(shí)別
數(shù)據(jù)識(shí)別技術(shù)是 DLP 解決方案中使用各種技術(shù)分析深層內(nèi)容的能力。當(dāng)前全球主流 DLP 產(chǎn)品所支持的數(shù)據(jù)識(shí)別技術(shù)根據(jù)其匹配敏感信息的精準(zhǔn)程度,至下而上依次為:關(guān)鍵字識(shí)別、字典權(quán)重識(shí)別、正則表達(dá)式識(shí)別、文件屬性識(shí)別、圖像內(nèi)容識(shí)別、自然語(yǔ)言分析處理、標(biāo)簽識(shí)別、機(jī)器學(xué)習(xí)識(shí)別 和 指紋識(shí)別 共計(jì) 9 種。檢驗(yàn) DLP 產(chǎn)品是否具有完備及可用的數(shù)據(jù)識(shí)別技術(shù)是檢驗(yàn) DLP 產(chǎn)品最核心的功能指標(biāo)。
4、管理與控制
a)統(tǒng)一管理控制臺(tái):全套 DLP 解決方案的一個(gè)獨(dú)特而關(guān)鍵的功能是完善的中央管理控制能力,應(yīng)可以管理覆蓋包括“發(fā)現(xiàn)、網(wǎng)絡(luò)、 郵件、終端、應(yīng)用、移動(dòng)”等所有 DLP 技術(shù)架構(gòu)下的安全組件,從而實(shí)現(xiàn)對(duì)移動(dòng)數(shù)據(jù)、靜止數(shù)據(jù)和使用中數(shù)據(jù)的覆蓋范圍、創(chuàng)建和管理策略、報(bào)告和事件工作流進(jìn)行相應(yīng)的管控。
b)策略多模塊分發(fā):策略多模塊分發(fā)是指最終用戶不需要為各 DLP 模塊設(shè)置不同的檢測(cè)策略,通過控制臺(tái)即可集中為 DLP 產(chǎn)品各模塊下發(fā)統(tǒng)一的檢測(cè)策略 , 也可以單獨(dú)為某個(gè) DLP 產(chǎn)品模塊或模塊組合下發(fā)獨(dú)立策略。
c)預(yù)置策略:預(yù)置模板是指為了方便 DLP 用戶更加便捷的使用數(shù)據(jù)防泄露產(chǎn)品,DLP 系統(tǒng)在內(nèi)部提前給使用者定制好檢測(cè)內(nèi)容的檢測(cè)模板。預(yù)置策略模板應(yīng)該是開箱即用并能對(duì)外發(fā)的數(shù)據(jù)進(jìn)行有效且精確的識(shí)別。
d)角色管理:DLP 系統(tǒng)應(yīng)該允許基于角色的內(nèi)部管理來(lái)進(jìn)行內(nèi)部管理任務(wù)以及監(jiān)視和執(zhí)行。在內(nèi)部可以將用戶分配到管理和策略組以分離職責(zé),為監(jiān)視和執(zhí)行提供靈活的支持,使之能投入到不同的策略管理工作中。
e)多權(quán)分立 系統(tǒng)應(yīng)支持多權(quán)分立方式登陸管理平臺(tái),包括:系統(tǒng)管理員(負(fù)責(zé)系統(tǒng)管理),安全管理員(負(fù)責(zé)審批管理), 審計(jì)管理員(負(fù)責(zé)審計(jì)管理),事件管理員(負(fù)責(zé)事件審計(jì))
f)策略審批部署:在實(shí)現(xiàn)分權(quán)管理后,DLP 系統(tǒng)應(yīng)支持使用特定角色對(duì)發(fā)布的檢測(cè)策略進(jìn)行有效性稽核及審批生效的工作,滿足了大型機(jī)構(gòu)對(duì) DLP 管理權(quán)限分離的需求,降低了因錯(cuò)誤 DLP 策略對(duì)生產(chǎn)或辦公業(yè)務(wù)產(chǎn)生影響的可能性。
g)接口集成:DLP 系統(tǒng)應(yīng)支持在組織內(nèi)對(duì)接特定的集成產(chǎn)品,包括并不局限于 SIEM、SOC、甚至是安全自動(dòng)化運(yùn)維平臺(tái)等,具備細(xì)顆粒度的事件外發(fā)能力。同時(shí) DLP 系統(tǒng)應(yīng)支持與運(yùn)維系統(tǒng)進(jìn)行對(duì)接,通過 API 對(duì)策略中的來(lái)源和目標(biāo)進(jìn)行增加、刪除和修改的動(dòng)作。
h)用戶識(shí)別:事件管理需要合理利用組織內(nèi)的用戶信息,將所有違規(guī)者與用戶身份數(shù)據(jù)關(guān)聯(lián)起來(lái),DLP 系統(tǒng)應(yīng)可以支持基于用戶的認(rèn)證(Active Directory)登錄,從而使 DHCP 租約信息與企業(yè)登陸用戶聯(lián)系起來(lái),將身份信息的上下文關(guān)聯(lián)添加到每個(gè)事件告警中,避免將策略違規(guī)與正常用戶聯(lián)系在一起。
5、分析與報(bào)告
DLP 系統(tǒng)應(yīng)具備提供實(shí)時(shí)告警及對(duì)受保護(hù)數(shù)據(jù)實(shí)時(shí)分析的能力,及時(shí)通知組織內(nèi)安全人員有關(guān)泄露或違規(guī)事件的信息,并根據(jù)需要采取手動(dòng)操作。這對(duì)于涉及到核心數(shù)據(jù)資產(chǎn)外泄或嚴(yán)重的違規(guī)事件的及時(shí)處理特別有用。
其次,分析和報(bào)告功能可幫助 DLP 管理員密切關(guān)注數(shù)據(jù)的整體安全性以及解決方案的效能,應(yīng)能提供相應(yīng)的 合規(guī)報(bào)告,以確保組織滿足相應(yīng)的合規(guī)要求。
a)事件處理:事件處理隊(duì)列,是指分配給 DLP 管理員進(jìn)行事件處理程序但事件仍處在處理階段的事件摘要。每一個(gè)事件可以對(duì)任何字段進(jìn)行排序或過濾,包括通道,違反策略,用戶,事件狀態(tài)和處理流程。
b)事件日志:DLP 系統(tǒng)應(yīng)具備記錄單個(gè)事件的詳細(xì)信息能力,包括但不限于事件類型、發(fā)生時(shí)間、上報(bào)時(shí)間、發(fā)送者、接收者、違反策略、告警級(jí)別等內(nèi)容。
c)事件工作流:DLP 系統(tǒng)應(yīng)具備多種工作流程,所有工作流記錄都必須包含:發(fā)送者、接收者、傳輸方式、所涉及內(nèi)容的類型、內(nèi)容的安全等級(jí)以及實(shí)際內(nèi)容本身。這將為安全團(tuán)隊(duì)提供調(diào)整策略,糾正數(shù)據(jù)濫用和跟蹤潛在高風(fēng)險(xiǎn)用戶所需的相關(guān)信息。
d)格式化顯示:DLP 系統(tǒng)應(yīng)支持對(duì)使用 Webmail 外發(fā)敏感數(shù)據(jù)時(shí),能夠在事件詳情內(nèi)智能格式化展現(xiàn)郵件發(fā)送人、郵件接送者、郵件抄送者、郵件密送者、郵件主題等相關(guān)信息。
e)事件關(guān)聯(lián)合并:DLP 系統(tǒng)應(yīng)支持對(duì)短期內(nèi)同一來(lái)源及同一目標(biāo)和同一外泄方式的相似事件進(jìn)行合并展示 ,降低管理員處理事件的復(fù)雜性,減少問題處理時(shí)間。
f)日志查詢功能:DLP 系統(tǒng)應(yīng)具備完善的日志查詢功能,支持按不同參數(shù)進(jìn)行查詢、過濾和排序報(bào)告。可以通過相應(yīng)的過濾器,對(duì)所有的日志進(jìn)行精確查詢和報(bào)告,例如:用戶組、策略組、策略規(guī)則、嚴(yán)重性、用戶名等。
g)基于用戶的報(bào)告 DLP 系統(tǒng)應(yīng)可以針對(duì)個(gè)人風(fēng)險(xiǎn)值、個(gè)人風(fēng)險(xiǎn)排名、個(gè)人事件數(shù)據(jù)統(tǒng)計(jì)等生成以人為中心的報(bào)告。
h)數(shù)據(jù)分類查詢:DLP 系統(tǒng)應(yīng)提供基于“數(shù)據(jù)分類”并且以數(shù)據(jù)分類的形式來(lái)呈現(xiàn)數(shù)據(jù)安全報(bào)告。
DLP應(yīng)用場(chǎng)景
DLP 解決方案既能保護(hù)敏感數(shù)據(jù),又能深入了解組織內(nèi)數(shù)據(jù)的使用情況。DLP 幫助安全人員更好地理解數(shù)據(jù),并提高其分類和管理內(nèi)容的能力。
如下圖所示:全套 DLP 解決方案需要提供對(duì)整個(gè)組織的網(wǎng)絡(luò)、郵件、數(shù)據(jù)庫(kù)、移動(dòng)應(yīng)用、端點(diǎn)、內(nèi)部業(yè)務(wù)應(yīng)用的全面覆蓋。
1、發(fā)現(xiàn)DLP
2、網(wǎng)絡(luò)DLP
3、郵件DLP
4、終端DLP
5、應(yīng)用DLP
6、移動(dòng)DLP
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9123瀏覽量
85328 -
網(wǎng)絡(luò)協(xié)議
+關(guān)注
關(guān)注
3文章
267瀏覽量
21534 -
儲(chǔ)存器
+關(guān)注
關(guān)注
1文章
93瀏覽量
17470
原文標(biāo)題:數(shù)據(jù)防泄露技術(shù)小結(jié)
文章出處:【微信號(hào):談思實(shí)驗(yàn)室,微信公眾號(hào):談思實(shí)驗(yàn)室】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論