了解和选择数据泄漏防护解决方案白皮书

1、 Securosis 公司 了解和选择数据泄露防护(DLP解决方案 作者备注：本报告内容由各赞助商独立开发。本报告以最初发表于Securosis blog上材料为基础但在此基础上进行了深入探讨，由美国系统网络安全协会(SANS进行了评估，也进行了专业编辑。本报告由Websense 公司赞助，与SANS 协会联合发行。特别感谢Chris Pepper提供了编辑和内容支持。赞助商：WebsenseWebsense® Content Protection Suite（内容防护套件）是一款集成化数据丢失防护解决方案，通过发现数据所在位置、监控数据、保护数据、作好“哪些人和哪些数据可以哪种方式

2、到哪里”的安全防护工作，从而防止内外部数据泄漏、改善业务流程并管理法规遵从性和风险性。欲知有关Websense Content Protection Suite的更多信息，请访问版权本报告采用创作共用的署名-非商业用途-禁止演绎3.0的授权。目录DLP 介绍混乱不堪的市场定义DLP作为功能的DLP vs. DLP解决方案 内容感知 内容 vs. 上下文 内容分析 内容分析技术 技术架构动态、静态和使用中数据的保护 动态数据 静态数据 使用中数据集中管理、策略管理和工作流程 用户界面层次化管理、目录集成和基于角色的管理策略创建和管理5 5 5 6 7 7 7 7 11 11 11 14 15 1

3、8 18 19 19事件工作流程和案例管理 系统管理、报告和其它功能DLP 选择流程定义需求并作好您的企业准备工作 形式化需求 评估产品 内部测试 总结 走出迷宫 关于作者 关于Securosis 关于SANS 协会20 21 22 22 23 23 24 25 25 26 26 26DLP 介绍混乱不堪的市场数据丢失防护（Data Loss Prevention，DLP ）是安全市场上炒得最热却了解最少的工具之一。它拥有至少六种不同名称以及更多的技术方案，从而使得想要了解这些工具的最终价值以及哪种产品最适用于哪类环境并不容易。本报告将提供DLP 必要背景来帮助您了解这项技术、知道在产品中寻找

4、的目标、找到与您企业最匹配的产品。DLP 是一项正处于成长阶段的技术，尽管产品可能不如IT 其它领域产品那样成熟，但却为那些有这方面需要的企业提供了重大价值。这一市场目前仍是由新创企业占主导地位，不过已有大型供应商开始涉足，一般是通过收购的方式。了解DLP 第一个难题是要晓得我们实际讨论到底是什么。下列名称全曾被用于描述同一市场： 数据丢失防护/保护 数据泄漏防护/保护 信息丢失防护/保护 信息泄漏防护/保护 侵出防护 内容监控和过滤 内容监控和保护DLP 看起来似乎是最通用的名称，虽然其使用寿命可能很有限，但为简便起见，本报告中我们将采用此称呼。定义DLP究竟什么会真正损害到DLP 解决方案

5、？目前仍没有定论。有些人考虑通过加密或USB 端口来实现DLP ，而其它人则采取自我限制的方式来完成产品套件。Securosis 将DLP 定义为：基于中央策略、通过深层内容分析来识别、监控和保护静态、动态和使用中数据的产品于是，DLP 主要定义性特征为： 深层内容分析 中央策略管理 横跨多个平台和地点的广泛内容范围DLP 解决方案可保护敏感数据并加深对企业内容使用的了解。大多数企业除了知晓哪些是公用数据以及公用数据以外的其他所有数据，就不会再去划分其他的数据类型了。DLP 可帮助企业更好了解企业中的数据并改善其内容分类和管理能力单点产品可以提供一些DLP 功能，但常在覆盖范围（仅网络或仅终端

6、）或是内容分析功能方面更为有限。本报告将重点关注全面DLP 套件，但有些企业可能发现单点解决方案也能够满足其需要。DLP 功能 vs. DLP解决方案DLP 市场还可分为作为功能的DLP 以及作为解决方案的DLP 。有大量产品都提供了基本DLP 功能，特别是电子邮件安全解决方案，但它们都不是完整的DLP 解决方案。二者不同之处在于： DLP 产品，包括集中化管理、策略创建和执行工作流程，致力于内容和数据的监控及保护。其用户界面和功能旨在通过内容感知来解决内容保护的业务和技术难题。 DLP 功能，包括DLP 产品的一些检测和执行功能，但并不致力于内容和数据保护任务。这种不同之处至为重要，原因在于

7、DLP 产品可解决“可不可以接受相同业务单元或负责其它安全职能的管理员的管理”这一特定业务难题。我们常常会看到有法务人员、稽核人员等非技术型用户负责内容的保护工作，有时甚至人力资源（HR ）部也常在DLP 报警处理方面有所介入。一些企业发现其DLP 策略本身或是高度敏感，或是需得到安全部门以外的业务部门领导的管理，同时这些策略还可以支持专用解决方案。由于DLP 主要致力于明确的业务问题（保护我的内容），完全不同于其它的安全问题（保护我的PC 或保护我的网络），因此您多半应寻找专用DLP 解决方案。当然这并不意味着，作为功能的DLP 不是适合您的解决方案，特别在较小型企业中更是如此；同时，它也并

8、不意味着你将再也不会购买包含有DLP 的套件，这里的重点是，只要DLP 的管理是独立的且主要致力于DLP 即可。随着大型厂商的涉足，我们将会看到越来越多的套件产品，在其它产品里进行DLP 分析或执行功能还说得过去，但DLP 的中央策略创建、管理和工作流程应专门用于解决DLP 问题、要独立于其它安全职能之外。有关DLP 需记住的最后一点是，我们要高度有效地反对糟糕的业务流程（例如，通过FTP 方式传输未加密的医疗记录给您的保险公司）和错误。虽然DLP 能够提供一些恶意行为的防护，但我们要想这些工具达到防护知识型攻击者的水平至少还有几年时间。内容感知内容 vs. 上下文我们需将内容和上下文区分开来

9、。内容感知（content awareness）是DLP 解决方案的定义性特征之一，这是DLP 产品通过各种各样技术分析深层内容的能力，完全不同于上下文分析。若是将内容比作为“信”、上下文比作为“信封”及其周期环境，这样理解起来可能最为容易。上下文包括了源、目的地、大小、收件方、发送方、头信息、元数据、时间、格式以及除信本身内容以外的所有其它部分；上下文的用处很大，DLP 解决方案应包含进上下文分析（contextual analysis）来作为整体解决方案的一部分。更高级版的上下文分析是业务上下文分析（business context analysis），它涉及到更深层的内容分析、分析时环境

10、以及当时内容的使用。内容感知包括了容器内的内容及内容本身的分析工作。内容感知的优势在于：当我们使用上下文时，我们不会被其所限制。如果我想要保护一份敏感数据，那么我是想让它在任何地方都受到保护，而不只是在明显敏感的容器内。由于我正在保护是的数据，而不是“信封”，因此打开信件、读信并决定如何处理要更有意义得多。比起基本的上下文分析，这实施起来要更为困难、需花更多时间，同时这也正是DLP 解决方案的定义性特征所在。内容分析内容分析的第一步是拿到信封并找开它。第二步，分析引擎需从语法上分析上下文（我们会需要其来进行分析）并深入探究。对于纯文本邮件，做到这一点很容易，但当您想要查看的二进制文件内部时，这

11、项工作将要更复杂些。所有DLP 解决方案均是通过文件破解（file cracking）来解决这个问题。文件破解是用以读取和了解文件的一项技术，即便深埋在好几层以下的内容，通过它也能挖掘出来。例如：对于破解工具来说，读取一份压缩过的Word 文件中Excel 数据表是件再平常不过的事。此产品需做的是：解压文件、读取Word 文档、分析Word 文档、找到Excel 数据、读取并分析这些数据。其它情况则要更复杂得多，如：内嵌于CAD 文件的pdf 文件。今天市场上许多这类产品可支持约300种文件类型、内嵌内容、多种语言、亚洲语言的双字节字符集，并且还可从无法识别文件类型中提取纯文本。有相当多的产品

12、使用Autonomy 或Verity 内容引擎来帮助进行文件破解，但除了内嵌的内容引擎以外，所有这些主要的工具都有相当多的专属功能。如果企业采用恢复密钥进行加密，那么有些工具还提供加密数据分析支持，而且多数工具均可识别标准加密并将其作为上下文规则来拦截/隔离内容。内容分析技术一旦进行内容访问，就有7种主流分析技术可用于发现策略违规，均各有所长、各有所短。 Securosis 公司1. 基于规则的/正规表示法（Rule-Based/Regular Expressions）：这是可在DLP 产品和其它带有DLP 功能的产品使用的最通用的分析技术。它针对特定规则来分析内容，如：可满足信用卡号、医疗账

13、单编码以及其它文本 分析的16位数。多数DLP 解决方案拥有其自己额外的分析规则（如，接近信用卡号附近地址的名称）来增强基本的正规表达法。最适用于：作为第一重的过滤工具，或用于检测可轻易识别的结构化数据片，如：信用卡号、社会保障号码以及医疗编码/记录。 优点：规则处理速度快，配置简单。多数产品出厂时都带有初始规则集。这项技术很好了解，也易于合并进各类产品中。缺点：常出现高误判率；为敏感知识产权等非结构化内容所提供保护极少。2. 数据库指纹法（Database Fingerprinting）：有时也称为确切数据匹配法（Exact Data Matching）。这项技术采用的是数据库转储文件或是来

14、自数据库的实时数据（经由ODBC 连接），仅寻找确切的匹配。例如：您可能生成一个策略仅用于在您的客户群中寻找信用卡号，这样一来您公司自己员工的上网购买情况就被完全忽略了。更为高级工具是寻找信息组合，如：名字或首名与姓氏、信用卡号或是社会保障号的神奇组合，这可能触发加州SB1386法案（资料隐私法案）泄露事件。请确保您了解每晚提取信息vs. 实时数据库连接的性能和安全问题。最适用于：来自数据库的结构化数据。优点：误判率很低(接近于0 。允许您保护客户/敏感数据，同时忽视员工所使用的其它类似数据（如他们用于网上订购的个人信用卡信息）。缺点：每晚转储并不包含从最后一次提取以后的事务数据；实时连接可能

15、影响数据库性能；大型数据库会影响到产品性能。3. 确切文件匹配法（Exact File Matching）：采用这项技术，您可选取文件中一个散列，并对所有与确切指纹相匹配的文件进行监控。有些人认为这是一种上下文分析技术，因为它并未对文件内容本身进行分析。最适用于：媒体文件和其它基本不可能进行文本分析的二进制文件.优点：对所有文件类型都起作用，拥有足够大的散列值，误判率低（不会有任何误判）。缺点：微小的改动就可以绕过匹配。如果待检测的内容是经常修改的，则这项技术就没什么价值了，如：标准办公文档和已编辑的媒体文件。4. 局部文档匹配法（Partial Document Matching）：这项技术

16、可在受保护内容上寻找全部或局部匹配。如此，您能创建策略来保护敏感文档，且DLP 解决方案所匹配的或是文档的整个文本，或甚至是短至几个句子的摘录。例如：您可对一份新产品商业计划进行局部文档匹配，如有员工将其中整段话粘贴到即时消息工具（IM ）中，那么DLP 解决方案将会发出警报。多数解决方案是以众所周知的循环散列（cyclical hashing）技术为基础，在这里您可对整个文档的一部分内容进行一个散列的提取，然后偏离若干个预先决定的字符数量，再进行下一个散列的提取，重复上述操作直到整个文件提取完成，我们将获得一系列互为重叠的散列值序列。了解和选择DLP 解决方案 8出站内容通过同样散列技术进行

17、处理，比对散列值来确定是否命中。许多产品均使用循环散列技术作为基础，然后再增加更高级的语言学分析。最适用于：保护敏感文档，或是类似于CAD 文件（带有文本标签）等文本和源代码的内容。被认为敏感的非结构化内容。优点：具有保护非结构化数据的能力。一般低的误判率（有些供应商会说为零误判率，但受保护文档中任一普通句子/文本均可能触发警报）。并不依赖于大型文档的完全匹配法；能够发现只局部匹配的策略违规。缺点：在能保护的内容总量上性能有限。受保护文档中常见短语/冗词可能触发误判。必须确切知道您想要保护的文档是哪些。微小的修改就可以避开识别。（ROT 1换位加密的方法就已经可以轻易的进行识别规避了）。5.

18、统计分析法（Statistical Analysis）：通过使用机器学习、贝叶斯分析（Bayesian analysis）以及其它技术来分析语料库的内容，寻找内容中类似受保护内容的策略违规。此类分析包括了广泛的统计技术，这些技术在实施和有效性方面各有千秋；有些技术与那些用于拦截垃圾邮件的技术极为类似。最适用于：如局部文档匹配法等确定性技术不起作用的非结构化数据。例如：工程计划存储库由于具有高度波动性及大容量而使得局部文档匹配法并不能起到实际作用。优点：可作用于那些您可能不能通过确切匹配文档进行匹配的更为模糊内容。可执行如“发现出站内容中有类似此目录中文档内容时发出警报”等策略。缺点：常出现误判

19、和错判情况。需要一个大的源内容语料库 越大越好。6. 概念/字典法（Conceptual/Lexicon）：这项技术使用了字典、规则和其它分析技术的组合来保护类似于“想法”的模糊内容。举个例子更为容易理解：一个可在发现类似于内幕交易的流量时发出警报的策略，它是通过使用关键短语、字数和字位来发现策略违规。其它例子还有：性骚扰、通过工作账号进行私人交易以及求职。最适用于：无法基于已知文档、数据库或其它注册数据来源的匹配进行简单分类的完全非结构化思想。优点：并非所有企业策略或内容都通过举例来说明；概念分析可发现定义松散的策略违规，这是其它技术甚至可能未想过要监控的地方。缺点：在多数情况下，这些并不是

20、可由用户定义的，其规则集必须由DLP 供应商花大力气（成本更高）来制定。由于规则的松散属性，因此这项技术非常易于出现误判和错判情况。7. 类别法（Categories ）：通过常见敏感数据的规则和字典来预先制定类别，如信用卡号/PCI保护法、HIPAA 法案等。最适用于：与所提供类别完全符合的内容。一般易于描述隐私权、法规或行业特定方针相关的内容。了解和选择DLP 解决方案 9优点：配置极为简单。节省了大量策略生成时间。类别法策略可形成更为高级企业特定策略的基础。对于许多企业来说，类别法可满足其大部分的数据保护需要。缺点：一刀切（One size fits all）作法可能不起作用。只适用于易

21、于分类的规则和内容。这7种技术形成了市场多数DLP 产品的基础，但并非所有产品都包含有这7种技术，而且各产品在实施中也存在重大不同。多数产品可能还结合使用多种技术通过内容分析和上下文分析技术组合来创建复杂策略。技术架构动态数据、静态数据和使用中数据的保护DLP 的目标是贯穿保护内容的整个生命周期。就DLP 而言，这包括三大方面： 静态数据（Data At Rest），包括通过扫描存储器和其它内容存储库识别敏感内容位置。我们称此为内容发现（content discovery）。例如：您可使用DLP 产品来扫描您的服务器并识别带有信用卡号的文档。如果该服务器未得到这类数据授权，那么文件将被加密或移

22、除，或向文档所有者发送警告。 动态数据（Data In Motion），通过网络流量嗅探（通过代理被动地或在线进行）识别在特定通信信道进行传输的内容。例如：这包括嗅探电子邮件、即时消息以及web 流量以找出敏感源代码片段。动态数据工具常可基于中央策略、依据流量类型进行拦截。 使用中数据（Data In Use），一般由可在用户与数据交互时监控数据的端点解决方案来解决。例如：在您试图传输敏感文档到USB 驱动时，它们会及时识别并加以拦截（而不是完全禁止U 盘的使用）。使用中数据工具还可检测类似复制和粘贴等动作、或是未经许可的应用中敏感数据的使用（如，有人试图加密数据以悄悄避过探测器）。动态数据许

23、多企业是通过基于网络的产品从而首次涉足DLP 世界，这类产品可为受管理和未受管理系统提供广泛保护。一般来说，采用网络产品来开始部署以迅速扩展至大范围要更为容易。早期产品往往自我局限于基本监控和警报功能，但现在所有产品均包括了各种先进的功能，不仅可与现有网络基础设施相集成，而且可提供保护功能，而不仅只是检测、控制功能。网络监控位于在多数DLP 解决方案的核心通常是被动网络监控工具。网络监控组件一般是部署于SPAN 端口（或类似端口处）网关处或其附近；它可执行完全的包捕捉、会话重建和实时内容分析。性能问题与厂商平常讨论的一些问题相比更为复杂微妙。首先，在客户期望值方面，多数客户表示他们需要完全的千

24、兆以太网性能，但由于只有少数企业有真正运行到那样高的通信流量水平，因此除非在极异常情况下否则完全没有必要要求那种水平的性能。DLP 是一款可监控员工通信流量、而不是web 应用流量的工具。实际上，我们发现小企业正常运行相关流量为50 MB/s（兆字节/秒），中型企业接近于50-200 MB/s，而大型企业在300 MB/s左右（在少数情况下也许可达到500MB/s）。出于内容分析成本的考虑，并非每款产品都对所有的数据包进行分析。您可能必须在预先过滤（这样会漏过非标准流量）或购买更多产品来实现负载平衡间进行选择。此外，有些产品会锁定监控预先定义的端口和协议组合，而不是使用基于数据包内容的服务/信

25、道识别。即便是包含进完全的应用信道识别，您还会想要确保其能够实现。否则，您可能漏过 有些供应商部署有真正的专用设备。虽然一些产品在其网络监控工具中内嵌有管理、工作流程以及报告功能，但这项工作常被分担给单独服务器或设备来进行。 被动监控非标准通信，如：通过异常端口的连接。多数这类网络监控工具都是指安装有DLP 软件的专属的通用服务器硬件。电子邮件集成接下来的一个主要组件是电子邮件集成。因为电子邮件的工作机制是存储再转发，因此您就可获得包括隔离、加密集成和过滤在内的大量功能，完全没有在拦截实时流量时的障碍。多数产品本 身内嵌有MTA （邮件传输代理），从而使您只需将DLP 加入作为邮件发送链的另一

26、个下一跳传输点。相当多产品还可直接与一些现有主流MTA/电子邮件安全解决方案相集成，实现更好性能。通过MTA 下一跳部署方法的一个缺点是它并不能为您提供对内部电子邮件的监控。如果您正使用的是Exchange 服务器，那么内部消息永不可能让其通过外部MTA ，因为没理由向外发送这类流量。 为了监控内部邮件，您需要直接的与Exchange/ Lotus集成，这在市场上相当少见。完全集成不同于只在事后的日志/库扫描，某些公司将此称之为内部邮件支持。如果您曾想要进行过滤，而不是只监控，那么好的电子邮件集成至关重要。 MTA DLP电子邮件 服务器 电子邮件过滤/拦截和代理集成几乎每个部署有DLP 解决

27、方案的人到最后都想要开始拦截流量。在您开始采取行动前，您能监视所有敏感数据传输到互联网的时间是很短的。在实际环境中拦截并不是件简单的事情，特别是我们正尝试允许好流量通过、只拦截坏流量并通过实时内容分析来作出决策。如我们刚提到的，电子邮件往往是相当直接的可进行过滤。因为它并不很实时而且是由其与众不同的协议特点决定的。即便在最复杂环境中，添加另一个邮件分析的下一跳点也不是什么难事。除电子邮件以外，我们的多数通信流量都是同步的 所有流量都是实时运行。这样一来，如果我们想要过滤这些内容，我们需桥接这些流量、代理这些流量、或都从外部抑制它。 桥接器使用桥接模式，我们只需有附带两个网卡的系统串联在网络上即

28、可在网络中间执行内容分析。如果我们发现了一些有害信息，那么这个桥接器就可断开此会话的连接。桥接并不是最好的DLP 方案，因为它无法在有害流量泄漏前就加以阻止。它就象是坐在门边用放大镜观察通过的所有东西；当你获得足够以作出准确判断的流量时，您可能已经把真正有用的信息放过了。尽管这款方案具有与协议无关的这一优势，但极少产品采用这种方案。 代理简而言之，代理（proxy ）是可针对特定的协议/应用、可在流量通过它时将流量进行队列方式传输的设备，同时允许更深层分析。我们所看到几乎都是面向HTTP 、FTP 和IM 协议的网关代理。少数DLP 解决方案本身就包含代理；由于多数客户更喜欢 与现有工具集成使

29、用，因此它们常与这些现有网关/代理供应商相集成。Web 网关的集成一般是通过iCAP 协议进行，允许代理获取流量、将其发送给DLP 产品进行 分析，如发现违规则切断通信。这意味着您不必在您网络流量前添加任何硬件，而 DLP 供应商也可避免创建在线分析专属网络硬件的这一难题。如果网关包括了反向 SSL 代理，那么您还可嗅探所有SSL 连接。虽然您会需要对您的终端作出改动以应对所有证书报警，但您现在可以监视加密流量了。对于即时消息（IM ），您会需要IM 代理或DLP 产品来专门支持您正使用的IM 协议。TCP 抑制TCP 抑制（TCP poisoning）是最后一种过滤方法。您可监控流量，在发现

30、有害流量时注入一个TCP 重置包来去阻断此连接。虽然这种方式对每个TCP 协议都起作用，但效果并不大。一方面，有些协议将持续尝试让流量通过。如果您的TCP 抑制 代理 /网关 一个单一电子邮件消息，那么其服务器接下来3天内将持续尝试发送这份消息，经常每隔15分钟一次。另一方面，该技术拥有与桥接相同难题 由于您并不能控制流量以队列方式传输，因此当您注意到有害流量时可能已经太迟了。虽然它是个覆盖非标准协议的不错填补方案（stop-gap ），但您会想要尽可能多的使用代理的模式。内部网络尽管从在技术上来说是DLP 是能够监控内部网络，但除了用于电子邮件以外，DLP 相当少用于内部流量上。网关提供了便

31、捷的阻塞点；内部监控不论是是从成本、性能角度来看，还是从策略管理/误判角度来看，其前景都不容乐观。有些DLP 供应商拥有内部监控合伙伙伴关系，但这对于多数企业来说都是项优先级较低的功能。分布式、层次化部署所有大中型企业，甚至许多较小型企业，一般都有多处办公地点以及web 网关。DLP 解决方案应支持多个监控点，包括：被动式网络监控、代理点、电子邮件服务器和远程地点的组合。当处理/分析工作可被分担到远程执行点进行时，它们应将所有事件发回到中央管理服务器进行工作流程、报告、调查和归档。远程办公室的部署通常要求易于支持，因为您只能向下分发策略并回传相关报告到总部，但并不是每款产品都有这样的功能。更为

32、先进的产品可为想在多个地理位置或由不同业务单元进行不同DLP 管理的企业提供层次化部署支持。国际企业通常需要这种功能以满足随着国家不同而不同的法律监控需求。层次化管理支持不同地区的合作本地策略和执行，先在其各自的管理服务器上运行，然后将其传达回中央管理服务器。早期产品仅支持一台管理服务器，但现在我们 通过采用企业/地区/业务单元策略、报告和工作流程组合，在处理这些分布式环境方面我们可有所选择。静态数据虽然现在我们捕捉网络泄漏做得已相当不错了，但网络泄露只是问题的冰山一角。许多客户正发现“发现数据现在的存储位置”其价值并不低于“找出所有数据的最初保存位置”。我们称此动作为内容发现。企业搜索工具可

33、起到一定帮助作用，但并不能真的对其进行调整来解决这个特定问题；企业数据分类工具也可能起到一定帮助作用，但基于与大量客户的讨论结果来看，它们看起来并不能在寻找特定策略违规时起到很好作用。于是，我们就看到许多客户选择使用其DLP 产品中内容发现功能。DLP 产品中内容发现功能的最大优势在于：它允许您采用单一策略并将其贯穿应用于所有数据中，而不管这些数据存储在哪里、不管这些数据是通过哪种方式共享、这些数据以哪种方式使用。例如：您可定义一个策略，要求信用卡号只在加密时才可通过邮件发送、永不通过HTTP 或HTTPS 共享、仅存储在经过许可的服务器、仅被存储工作站和会计团队员工笔记本电脑上。所有这些都可

34、在DLP 管理服务器通过单一策略指定。内容发现由三大组件组成：1. 端点发现（Endpoint Discovery）：对工作站和笔记本电脑进行内容扫描。2. 存储器发现（Storage Discovery）：对大量存储器进行，包括文件服务器、SAN 和NAS 。3. 服务器发现（Server Discovery）：对电子邮件服务器、文档管理系统以及数据库上所存储的数据进行应用特定扫描（目前还不是多数DLP 产品的功能，但已开始出现在一些数据库活动监控（DAM ）产品中）。内容发现技术有三种基本的内容发现技术：1. 远程扫描（Remote Scanning）：通过使用文件共享或应用协议创建到服务

35、器或设备的连接，扫描工作是远程执行。这首先要求安装远程驱动程序，接着从服务器进行扫描，服务器可从中央策略服务器获得策略并将结果发送回中央策略服务器。对于有些供应商来说，这是一款设备；而对于其它供应商来说，它是一台日用服务器；且用于较小型部署时，它还可被集成进中央管理服务器中。2. 基于代理的扫描（Agent-Based Scanning）：代理一般安装在将被扫描的系统（服务器）上，扫描工作是在本地执行。代理是针对特定平台的，虽然这会占用本地CPU 资源，但其潜在执行速度要比远程扫描快很多，特别用于扫描大型存储库时更是如此。对于端点来说，这应是用于执行使用中数据控制的相同代理的一项功能。3. 内

36、存驻留代理扫描（Memory-Resident Agent Scanning）：不是永久代理，而是安装内存驻留代理；代理会先执行一次扫描，然后退出，完全无需在本地系统存储或运行任何内容。当您不想要一台全时运行的代理时，这种方式可为你提供基于代理的扫描的性能。所有这些技术适用于任何模式，企业一般依据策略和基础设施需求混和部署这些技术。我们目前可看出每款方案的技术限制，这对部署有指导作用： 远程扫描会大大增加网络流量，而且其性能会受到网络带宽、目标以及扫描工具网络性能的限制。基于这些实际限制，有些解决方案每台服务器每天只能扫描千兆字节流量（有时是数百字节/天，但达不到百万兆字节/天），这对于极大型

37、存储器来说可能并不足够。 临时或永久代理都会受到目标服务器处理能力及内存的限制，而这常会转化为对可执行策略数量以及可使用内容分析类型的限制。例如：多数端点代理并不能对大型数据集进行局部文档匹配法或数据库指纹法分析，这点在具有更多限制的端点代理上尤为明显。 代理并不支持所有平台。静态数据执行一旦发现策略违规，DLP 工具就可采取各种动作： 报警/报告：只像网络违规一样在集中管理服务器上创建一个事件，。 警告：通过电子邮件通知用户他们可能出现策略违规。 隔离/通知：将文件移到中央管理服务器，并留下一份带有如何请求文件恢复相关指令的文本文件。 隔离/加密：当场加密文件，通常留下一份描述如何请求加密的

38、纯文本文件。 隔离/访问控制：变更访问控制以限制文件访问。 移除/删除：不通知而直接将文件传输到中央服务器，或只删除文件。不同部署架构、发现技术和执行选项的结合使用可创建一个功能强大的静态数据保护与法规遵从方案支持组合。例如：我们将开始看到CMF （Content Management Framework内容管理框架）部署日益增加以支持PCI 法规遵从与其说是保护电子邮件和web 流量，其实更多是为了能够确保（报告）所有持卡人数据的保存都没有违反PCI 法案。使用中数据DLP 通常以网络为起点，原因在于这是获得最大覆盖范围的最经济有效方式。网络监控是非侵入式（除非您必须破解SSL ）且提供了对

39、网络上受管理及不受管理、服务器及工作站等系统的可视性。虽然要进行过滤还是比较困难的，但在网络上还是可以相当直接进行（特别对于电子邮件来说更是如此）过滤，并且可以覆盖了所有与网络相连接的系统。不过，显然这并不是一个完整的解决方案；当有人带着笔记本离开办公室，这些笔记本电脑中数据就不再在其保护范围内了，它甚至不能防止人们数据到如USB 驱动等便捷式存储器上。要想从“泄漏防护”解决方案发展为“内容保护”解决方案，DLP 产品不仅需将保护范围扩展到所存储的数据上，而且要扩展到使用数据的端点上。注：尽管在端点DLP 领域已取得了长足进步，但并不推荐多数用户使用endpoint-only 解决方案。正如我

40、们下面会讨论的，单一的断点保护方案通常需要在可执行策略类型和数量上有一定让步，仅提供有限的电子邮件集成功能，且不能提供对不受管理系统的保护。很长时间内，您将同时需要网络和端点的解决方案，且多数领先的网络解决方案正添加或已提供至少一些端点保护功能。添加端点代理到DLP 解决方案中，不仅为您提供了发现所存储内容的能力，而且也可为不再位于网络上系统提供保护，甚至可为正被一直使用中数据提供了保护。虽然它的功能极强，但其实施却一直很有难度。代理必需在标准配置的笔记本电脑资源限制内执行，同时还要实现内容感知。如果您所拥有的都是如“保护我们数据库中所有1000万个信用卡号”等复杂策略，而不是某些如“保护所有

41、信用卡号”等较为简单的策略，那么这点可能并不容易做到，这将使得每次员工访问A 都产生误判情况。关键功能现有产品在功能上各具千秋，但其中有三项关键功能是我们所熟知的：1. 网络堆栈内的监控和执行：这允许无网络设备前提下执行网络规则。产品可好像系统就在受管理网络上一样执行相同规则，并可分离出只在未受管理网络上使用的规则。2. 系统内核内的监控和执行：通过直接插入操作系统内核，您可监控用户行为，比如：复制和粘贴敏感内容。这也使得产品能够检测（并拦截）用户获取敏感内容并试图通过加密或修改源文档等方式避过检测时的策略违规。3. 文件系统内的监控和执行：这允许基于数据存储地点的监控和执行。例如：您可执行本

42、地发现和/或限制到未加密USB 设备的敏感数据传输。这三个选项都已被简化，多数早期产品主要致力于1和3功能来解决便捷式存储器问题并保护不受管理网络上设备。系统/内核集成要更为复杂得多，有各种各样方案可用以获得这项功能。用例端点DLP 正不断发展演变，可支持几种关键用例： 在受管理网络以外执行网络规则，或针对更多敌对网络来修改规则。 限制来自便捷式存储器的敏感内容，包括USB 驱动、CD/DVD驱动、家用存储器以及如智能手机和PDA 等设备。 限制敏感内容的复制和粘贴。 限制允许使用敏感内容的应用程序 比如，加密工作仅允许采用已许可企业解决方案来进行，而不是那些在线下载的不允许企业数据还原的那些

43、工具来进行。 可与企业数字版权管理（Enterprise Digital Rights Management，E-DRM ）相集成以基于文档所包含内容将访问控制应用到文档中。 审核面向法规遵从报告的敏感数据使用。其它的端点功能下列是在端点部署DLP 时呼声很高的功能： 端点代理和规则应由控制动态数据和静态数据（网络和发现）的同一台DLP 管理服务器进行集中管理。 策略创建和管理应与单一界面中其它DLP 策略完全集成。 事件应报告给中央管理服务器并由其进行管理。 端点代理应使用与网络服务器/设备相同的内容分析技术和规则。 规则（策略）应基于端点所处位置（在线或离线）进行调整。当端点位于带有网关D

44、LP 的受管理网络上时，应跳过多余的本地规则以改善性能。 代理部署应与现有企业软件部署工具相集成。 策略更新应通过DLP 管理服务器或现有企业软件更新工具提供安全管理选项。端点局限性实际上，端点的性能和存储局限性都将会对所支持的内容分析类型以及可在本地执行的策略数量和类型造成限制。对于有些企业来说，这可能没关系，他们依赖的是所执行策略的种类，但在许多情况下，端点在使用策略方面在数据上强加了诸多限制。集中管理、策略管理和工作流程 就如我们整篇报告中所讨论的，所有当前DLP 解决方案均包括有一台中央管理服务器，该服务器用来管理执行和检测点、创建和管理策略、事件工作流程和生成报告。这些功能在选择流程

45、中通常都是至关重要的。市场上各类产品间有大量不同点；我们将重点关注最为重要的基本功能，而不是试图涉及每项可能的功能。用户界面不同于其它安全工具，DLP 工具常为HR 、行政管理、企业法律和业务部领导等非技术型员工所使用。就这点而言，用户界面就需考虑到这种技术和非技术人员的组合，必须可轻松定制以满足所有特殊用户群体的需要。出于DLP 解决方案可以处理的信息容量和复杂性考虑，用户界面能够成就一款DLP 产品，也能够毁掉一款DLP 产品。例如：在显示事件时，仅仅在策略违规界面中标亮电子邮件的部分就能够节省管理人员好几分钟的处理时间并避免错误分析。DLP 用户界面应包括下列要素： 仪表板：好的仪表板将

46、拥有用户可选择的元素，默认可同时面向技术和非技术用户。各个元素可能仅可用于授权用户或组，通常是在企业目录上所保存的组。仪表板应重点关注对用户有价值的信息，而不只是一个全系统范围通用视图。显而易见的元素包括基于严重性和各通讯通道的违规数量和分布以及其它决策层信息，可总结出企业整体风险性。 事件管理队列：事件管理队列是用户界面的最为重要一个组件。通过这样的屏幕事件处理工具我们可以监控和管理策略违规。这种队列不仅应简单明了且可定制，而且要求一眼就可轻松读取。出于对这种功能的重要性考虑，我们将在本报告的下文中详细描述推荐的功能。 单一的事件显示：当处理程序探究单个事件时，显示内容应清晰明了地总结出违规

47、原因、所涉及用户、危险性、严重性（危险性是基于所违反的策略，而严重性则是基于所涉及的数据量）、相关事件以及所有其它所需信息以在事件处理时作出明智决定。 系统管理：标准系统状态和管理界面，包括用户和组的管理。 层次化管理：如执行点、远程办公室、端点等DLP 解决方案远程组件的状态和管理，包括“哪些规则在哪里处于活跃状态”的比较。 报告：可使用预定义的报告模板和报告工具组合，生成特定报告功能。 策略创建和管理：除了事件队列外，这是中央管理服务器最重要的组件。它包括了策略的创建和管理。因为它是如此重要，因此我们在随后会对其有更详细叙述。DLP 界面应是清晰明了且易于浏览的。这要求听起来可能不高，但我

48、们都很清楚，要让设计糟糕的安全工具能正常的工作起来完全需要管理员的技术来弥补。由于DLP 是在安全部门以外使用，甚至是在IT 部门以外使用，因此其用户界面需适用于大范围用户。层次化管理、目录集成和基于角色的管理层次化管理DLP 策略和执行常需进行设计以满足单独业务部门或地理位置的需要。层次化管理允许您采用多层的管理和策略，在整个企业中建立多台策略服务器。例如：一个地区可以拥有自己的策略服务器，然后这台策略服务器再隶属于中央策略服务器。这一区域可创建自己的特定策略、经许可忽略中央策略，然后处理本地事件。所有违规情况将被集中到中央服务器上，同时某些策略也将总是集中执行。DLP 工具将支持全局和局部

49、策略创建，分配策略进行局部或全局执行，跨地点地管理工作流程和报告。目录集成DLP 解决方案还可与企业目录（一般的是Microsoft 活动目录）相集成，因此违规情况可与用户相关联，而不是与IP 地址相关联。这很复杂，因为它们必须同时处理受管理用户以及未分配有地址的不受管理（客人/临时用户）用户。这种集成应将DHCP 分配的地址和网络登录的用户名进行绑定，并不断更新以避免意外的将策略违规事件与无辜用户连系到一起。例如：客户目前使用产品的老版本会将一个用户与一个IP 地址相关联直到这个地址被重新分配给另一个用户。这样的设置，造成一份参考资料差点导致一个工员被辞退，因为一个公司的合约工（不在活动目录

50、中）且他做了策略违规的操作，而这款工具将这次违规事件与那个无辜员工联系到了一起。此外，目录集成通过去除对参考外部用户身份和企业结构数据源的需要，还可优化事件管理。基于角色的管理系统还应允许基于角色的内部管理以进行内部管理任务和监控&执行。在企业内部，用户可被分配到管理和策略组以实现职责分离。例如：某人可能被赋予执行会计组策略的角色，它没有管理系统、创建策略、查看其它组违规情况以及改变策略等访问权。由于您的活动目录（AD ）可能反映不出监控和执行所需的用户类型，因此DLP 系统应基于DLP 产品特定的组和角色提供灵活的监控和执行支持。策略创建和管理策略创建和管理是DLP 核心的一项关键功

51、能，它也是（可能）最难的DLP 管理部分。尽管大量定制策略的创建几乎总是有技术技能要求，但策略创建界面应兼顾被技术型和非技术型用户访问。对于策略创建，系统应让您可识别所保护数据种类、（如适当的话）数据来源、目的地、哪些信道需进行监控和保护、可对违规情况可采取哪些行动、可应用策略到哪个用户、哪些处理程序和管理员可访问策略和违规情况。由于并非所有策略都是同等创建的，因此每个策略还应基于违规数量被分配以敏感度、严重性阈值。这些策略应可作为新策略模板，如果系统包括进类别分析（您真正想要的），那些与特定类别相关的策略还应可作为定制策略模板进行编辑和使用。策略向导也应是一项有用的功能，特别对于类似单一文档

52、保护的策略来说更是如此。多数用户常更喜欢清晰的图形策略布局的用户界面，最好采用易于读取的网格方式来显示所监控信道以及信道上违规的处理情况。越是复杂的策略，越容易造成内部差异或是意外的给错误信道和违规分配以错误的处理动作。基本上，每个策略都需要进行一定的调整；一款好的工具将允许您以测试模式创建策略，显示其可能在生产环境中的反应，完全无需真实的填充事件处理程序的队列或采用执行动作。有些工具能够依据之前记录的流量来测试草拟版策略。由于策略涉及到了极为敏感的信息，因此它们应可被散列、加密或者在系统内受到保护。有些业务单元可能拥有极为敏感策略，需防止未得到明确许可的系统管理员查看极为敏感策略。所有策略违

53、规也应受到保护。事件工作流程和案例管理事件工作流程会是DLP 系统中被使用最多的部分，报告违规、管理事件和执行调查工作都是在这里完成。第一站是事件处理队列，这是所有事件的一份摘要，有已分配给处理程序的事件，有未分配但已在处理程序执行域中的事件。事件状态应以色标的敏感度（基于违反的策略）和严重性（违规数量以及策略中定义的其它因素）来明确显 示。每个事件应在单行上显示，且在任何场合皆是可选且过滤的。同时，信道、违反的策略、用户、事件状态（打开、关闭、分配、未分配、调查）以及处理程序应可显示出来并可针对即时处理方式进行轻松改动。默认情况下，关闭的事件不应让界面更为混乱 基本上象对电子邮件收件箱来处理

54、它。每个用户应能够对其进行定制以更好适应自己的工作风格。违反多个策略或多次违反一个策略的事件应只在事件队列中出现一次。一封有10个附件的电子邮件，它不应作为10个不同事件显示，除非每个附件违反的策略都不同。当打开单个事件时，它应列出所有事件详细信息，包括（除非受到不同限制）强调流量或文档中哪些数据违反了哪项策略。用户近期的其它违规以及数据的其它违规（可显示更大型事件）的总结是项宝贵功能。工具应可让处理程序可进行注释、分配其它处理程序、通知管理层并上传所有支持文档。 更为高级的工具包含了详细追踪事件及所有支持文档的案例管理，包括数据时戮和散列。这在采用法律行动的案例中很有价值，案例管理中证据应加

55、以管理以让其可更多地为法庭所采纳。系统管理、报告和其它功能与所有安全工具一样，DLP 解决方案应包含所有基本系统管理功能，包括： 备份和还原 整个系统或仅系统配置，仅备份和还原系统配置适用于平台迁移。 导入/导出 策略和违规的导入/导出。应有准备地提取已关闭的违规时间以确保有足够的可用空间。 负载均衡/集群 性能监控和调整 数据库管理工具通常会把这些功能混合在工具本身和其依赖的平台之间。有些企业更喜欢仅仅只是对工具进行管理，完全无需管理员去了解或管理其平台。您应尽可能多地寻找让您通过DLP 管理界面即可管理所有事情的DLP 工具。不同解决方案中所拥有的报告功能也各有不同；有些使用内部报告界面，

56、而其它则倚赖于如Crystal Reports等第三方工具。所有工具出厂时带有一些默认报告，但并非所有工具都允许您创建自己的报告。您应寻找技术和非技术型报告组合，且如果您的企业要考虑法规遵从问题，那么应考虑那些绑定了法规遵从报告的工具。当您使用静态数据或使用中数据（端点）功能时，您将需要管理界面以让您可对服务器、存储器和端点进行策略管理。工具应支持大量设备管理所需的设备分组、运行特征码更新以及其它所需功能。除了这些基本功能以外，产品开始附带其它高级功能来让自已与众不同，从而帮助满足特殊企业的需要，包括： 第三方集成能力，从web 网关到取证工具。 语言支持，包括亚洲的双字节字符集。 策略违规匿

57、名化，支持国际工作场所隐私权要求。 全面捕捉以记录所有流量，而不只是策略违规流量。DLP 选择流程定义需要并让您的企业作好准备在您开始关注任何工具前，您需先了解为什么您可能需要DLP 、对于产品使用您有何计划以及围绕策略创建和事件管理的业务流程。1. 确定需涉及到的业务单元并创建一个选择委员会：我们常在DLP 选择流程中包含进两种业务单元有敏感数据需加以保护的内容拥有者与负有数据控制执行责任的内容保护者。内容拥有者包括那些拥有和使用数据的业务单元。内容保护者常包括如人力资源（HR ）、IT 安全以及企业法律、法规遵从和风险管理（Legal, Compliance, and Risk Management）等部门。一旦您确定主要利益相关者，您会想让他们共同进行接下来的几个步骤。 2. 定义您想要保护的内容：先尽可能明确地列出您计划使用DLP 进行保护的各类数据。我们一般将内容分为三类 个人可识别信息（包括医疗、财务和其它数据在内的PII 信息），企业财务数据和知识产权。前两类数据结构性较强，将推动您选择某些解决方案，而知识产权拥有不同内容分析需求，结构性较弱。即便您想要保护所有类型的内容，也可使用这种流程来指定并分配优先级，最好“以书面形式”。3. 决定您想要如何保护数据并设置期望值