信息社會(huì)飛速發(fā)展和企業(yè)信息化建設(shè)的需要，讓企業(yè)商業(yè)機(jī)密逐漸集中在了電子文檔，例如，CAD圖紙、Office 文檔等等，同時(shí)也成為企業(yè)內(nèi)部數(shù)據(jù)安全的最大威脅。如何保護(hù)承載了重要信息的文檔安全成為不可回避的問題。

數(shù)據(jù)泄露預(yù)防是識(shí)別、監(jiān)控和保護(hù)敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、傳輸或暴露的過程。數(shù)據(jù)泄露不僅涉及外部行為者（如黑客）的未經(jīng)授權(quán)訪問，通常還有很大一部分是由于內(nèi)部錯(cuò)誤（如配置錯(cuò)誤）導(dǎo)致的意外暴露。在許多情況下，這是人為錯(cuò)誤和技術(shù)問題的結(jié)合。一些常見原因包括：

• 人為錯(cuò)誤：員工可能會(huì)意外地將敏感信息發(fā)送給錯(cuò)誤的收件人、錯(cuò)誤配置數(shù)據(jù)庫或丟失包含敏感數(shù)據(jù)的設(shè)備。
• 安全措施薄弱：糟糕的安全實(shí)踐，例如缺少安全補(bǔ)丁、默認(rèn)密碼、密碼重復(fù)使用、密碼泄露或訪問控制不足，允許未經(jīng)授權(quán)的訪問訪問敏感數(shù)據(jù)。
• 不安全的網(wǎng)站和應(yīng)用程序：存在漏洞的網(wǎng)站或應(yīng)用程序可能會(huì)被利用來訪問存儲(chǔ)的數(shù)據(jù)（例如，不安全的直接對象引用或 SQL 注入）
• 服務(wù)器配置錯(cuò)誤：配置錯(cuò)誤的服務(wù)器或云存儲(chǔ)桶可能會(huì)意外暴露敏感數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)被盜。
• 網(wǎng)絡(luò)釣魚攻擊：社會(huì)工程攻擊可用于誘騙員工通過欺騙性電子郵件或消息泄露敏感信息。
• 第三方供應(yīng)商：組織經(jīng)常與供應(yīng)商、合作伙伴和承包商共享數(shù)據(jù)。如果這些第三方的安全性較弱，數(shù)據(jù)可能會(huì)通過其系統(tǒng)泄露。
• 內(nèi)部威脅：惡意內(nèi)部人員可能會(huì)故意泄露數(shù)據(jù)以謀取個(gè)人利益、損害組織或作為一種抗議形式。
• 設(shè)備丟失或被盜：包含丟失或被盜敏感數(shù)據(jù)的筆記本電腦、智能手機(jī)或外部存儲(chǔ)設(shè)備可能會(huì)導(dǎo)致未經(jīng)授權(quán)訪問敏感數(shù)據(jù)。
  

01

核心數(shù)據(jù)泄露預(yù)防基本方法論

實(shí)施以下 12 個(gè)步驟可以顯著降低公司發(fā)生數(shù)據(jù)泄露的風(fēng)險(xiǎn)：

1)整體信息資產(chǎn)風(fēng)險(xiǎn)評估

通過漏洞掃描、滲透測試和紅隊(duì)參與定期評估公司的安全狀況，以識(shí)別漏洞和潛在威脅。

2)安全的物理訪問

控制對公司場所的物理訪問，并保護(hù)筆記本電腦、服務(wù)器和硬盤驅(qū)動(dòng)器等設(shè)備。

3)基于零信任安全模型構(gòu)建安全防護(hù)架構(gòu)

使用防火墻、防病毒軟件、加密、入侵檢測系統(tǒng)和網(wǎng)絡(luò)分段來保護(hù)您的網(wǎng)絡(luò)和數(shù)據(jù)。

4)建立分級訪問控制權(quán)限

將敏感數(shù)據(jù)的訪問權(quán)限限制為僅需要敏感數(shù)據(jù)來履行工作職責(zé)的員工。使用基于角色的訪問控制和多重身份驗(yàn)證。

5)更新和修補(bǔ)系統(tǒng)補(bǔ)丁

定期更新和修補(bǔ)作系統(tǒng)、軟件和應(yīng)用程序，以修復(fù)安全漏洞。確保您有更新的資產(chǎn)清單來處理。

6)持續(xù)監(jiān)控和審計(jì)公司DLP安全體系

持續(xù)監(jiān)控您的網(wǎng)絡(luò)是否存在可疑活動(dòng)。監(jiān)控暗網(wǎng)中是否有泄露的公司數(shù)據(jù)和員工憑據(jù)，以便在犯罪分子利用它們之前降低風(fēng)險(xiǎn)。

7)靜態(tài)和傳輸中數(shù)據(jù)的數(shù)據(jù)加密

對靜態(tài)和傳輸中的敏感數(shù)據(jù)進(jìn)行加密，以防止未經(jīng)授權(quán)的訪問。

8)制定事件響應(yīng)計(jì)劃

制定有效應(yīng)對數(shù)據(jù)泄露的計(jì)劃，包括通知受影響的各方和當(dāng)局。

9)供應(yīng)商管理

確保第三方供應(yīng)商和合作伙伴遵循嚴(yán)格的安全標(biāo)準(zhǔn)來保護(hù)任何共享數(shù)據(jù)。

10)定期備份

定期備份重要數(shù)據(jù)并安全存儲(chǔ)，以從數(shù)據(jù)丟失或勒索軟件攻擊中恢復(fù)。

11)內(nèi)部安全教育

提供有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的定期培訓(xùn)，例如識(shí)別網(wǎng)絡(luò)釣魚電子郵件、創(chuàng)建強(qiáng)密碼和報(bào)告可疑活動(dòng)。

12)法律合規(guī)性

確保遵守相關(guān)的數(shù)據(jù)保護(hù)法律法規(guī)，例如信息安全等保要求、GDPR、HIPAA 或 CCPA。

02

防止數(shù)據(jù)泄露的具體策略實(shí)踐

第一重保護(hù)：詳盡細(xì)致的操作審計(jì)

• 文檔全生命周期審計(jì)
• 詳細(xì)記錄文檔從創(chuàng)建之初到訪問、修改、刪除等全生命周期內(nèi)的每一項(xiàng)操作
• 記錄共享文檔被其它計(jì)算機(jī)修改、刪除等操作
• 在文檔被修改、刪除、打印、等相關(guān)操作發(fā)生前及時(shí)備份
• 文檔傳播全過程審計(jì)
• 細(xì)致記錄文檔通過打印機(jī)、外部設(shè)備、即時(shí)通訊工具、郵件等工具進(jìn)行傳播的過程，有效防止重要資料被隨意復(fù)制、移動(dòng)造成外泄
• 桌面行為全面審計(jì)
• 屏幕監(jiān)視功能，能夠?qū)τ脩舻男袨檫M(jìn)行全面且直觀的審計(jì)，企業(yè)甚至能夠了解到用戶在ERP系統(tǒng)或者財(cái)務(wù)系統(tǒng)等信息系統(tǒng)中執(zhí)行了哪些操作

第二重保護(hù)：全面嚴(yán)格的操作授權(quán)

• 文檔操作管控
• 控制用戶對本地、網(wǎng)絡(luò)等各種位置的文件甚至文件夾的操作權(quán)限，包括訪問、修改、刪除等，防范非法的訪問和操作
• 移動(dòng)存儲(chǔ)管控
• 規(guī)范移動(dòng)存儲(chǔ)設(shè)備在企業(yè)內(nèi)部的使用，可以禁止外來U盤在企業(yè)內(nèi)部使用，做到外盤外用
• 對內(nèi)部的移動(dòng)盤進(jìn)行整盤加密，使其只能在企業(yè)內(nèi)部使用，做到內(nèi)盤內(nèi)用
• 終端設(shè)備規(guī)范
• 能夠限制USB設(shè)備、刻錄、藍(lán)牙等多種計(jì)算機(jī)外部設(shè)備的使用，有效防止信息通過外部設(shè)備泄露出去
• 網(wǎng)絡(luò)通訊控制
• 控制用戶經(jīng)由即時(shí)通訊工具和E-mail等網(wǎng)絡(luò)應(yīng)用發(fā)送機(jī)密文檔，同時(shí)還能防止通過上傳下載和非法外聯(lián)等方式泄露信息
• 準(zhǔn)入網(wǎng)關(guān)
• 及時(shí)檢測并阻斷外來計(jì)算機(jī)非法接入企業(yè)內(nèi)網(wǎng)從而竊取內(nèi)部信息，同時(shí)還能防止內(nèi)網(wǎng)計(jì)算機(jī)脫離企業(yè)監(jiān)管
• 桌面安全管理
• 設(shè)置安全管理策略,關(guān)閉不必要的共享,禁止修改網(wǎng)絡(luò)屬性,設(shè)定登錄用戶的密碼策略和賬戶策略

第三重保護(hù)：安全可靠的透明加密

• 強(qiáng)制透明加密
• 對電子文檔進(jìn)行強(qiáng)制性的透明加密，授信環(huán)境下加密文檔可正常使用，非授信環(huán)境下加密文檔則無法使用
• 在加密文檔的使用過程中默認(rèn)禁止截屏、打印等可能造成泄密的應(yīng)用
• 內(nèi)部權(quán)限管理
• 對于多部門多層級的組織，將用戶權(quán)限與不同保密等級的敏感信息一一對應(yīng)，做到信息的分部門分級別授權(quán)使用，有效降低內(nèi)部泄密風(fēng)險(xiǎn)
• 文檔外發(fā)管理
• 加密文檔閱讀器，通過分配閱讀器，企業(yè)完全可以控制外發(fā)加密文檔的合法閱讀者、有效訪問時(shí)間以及訪問次數(shù)，從而有效避免文檔傳出企業(yè)后發(fā)生二次泄密
• 防災(zāi)備份機(jī)制
• 備用服務(wù)器機(jī)制以應(yīng)對各種軟硬件及網(wǎng)絡(luò)故障，保證加密系統(tǒng)持續(xù)不斷的穩(wěn)定運(yùn)行
• 可設(shè)定應(yīng)急事件來應(yīng)對網(wǎng)絡(luò)不穩(wěn)定或故障問題
• 明文備份服務(wù)器可以對修改的加密文檔實(shí)時(shí)備份,確保即使意外情況出現(xiàn)，加密原文件也完整可用

03

防止數(shù)據(jù)泄露的工具箱選項(xiàng)

結(jié)合IDC、數(shù)世咨詢等國內(nèi)權(quán)威機(jī)構(gòu)對中國數(shù)據(jù)安全市場的分析，對數(shù)據(jù)防泄露（DLP）領(lǐng)域的工具和解決方案進(jìn)行一次系統(tǒng)性的歸納。

中國數(shù)據(jù)防泄露市場已從單一功能的產(chǎn)品向體系化、平臺(tái)化解決方案演進(jìn)。從狹義的“防泄”升級到更廣義的“數(shù)據(jù)安全保護(hù)”。一個(gè)完整的數(shù)據(jù)保護(hù)體系應(yīng)包含三大支柱：事前防御、事中管控、事后恢復(fù)。其完整架構(gòu)如下圖所示：：

文件硬盤數(shù)據(jù)銷毀

基于上述框架，市場上的解決方案可分為以下幾大類別，并已形成完整的產(chǎn)業(yè)生態(tài)：

一、 終端數(shù)據(jù)防泄露

這類解決方案是DLP的基石，通過在終端電腦上安裝代理，直接監(jiān)控和管控?cái)?shù)據(jù)在被使用過程中的操作行為，如外發(fā)、拷貝、打印等。

核心價(jià)值：防止數(shù)據(jù)從源頭（員工電腦）泄，保護(hù)核心知識(shí)產(chǎn)權(quán)（如設(shè)計(jì)圖紙、源代碼）。

參考品牌：

溢信科技（IP-guard）：國內(nèi)終端DLP領(lǐng)域的領(lǐng)先者，提供一體化終端安全管理平臺(tái)，功能全面，以穩(wěn)定性和成熟度著稱。

奇安信：其終端DLP是其數(shù)據(jù)安全體系的重要組成部分，尤其在政府、央企等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)有深厚基礎(chǔ)。

明朝萬達(dá)：老牌數(shù)據(jù)安全廠商，其終端數(shù)據(jù)防泄露方案在金融、政務(wù)等領(lǐng)域應(yīng)用廣泛。

億賽通：專注于文檔加密與終端數(shù)據(jù)防護(hù)，在終端DLP領(lǐng)域有長期積累。

二、 網(wǎng)絡(luò)數(shù)據(jù)防泄露

這類方案部署在網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點(diǎn)，深度檢測和分析流出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流，監(jiān)控如網(wǎng)頁郵件、網(wǎng)盤上傳等行為。

核心價(jià)值：防止數(shù)據(jù)通過網(wǎng)絡(luò)通道泄，是內(nèi)網(wǎng)邊界安全的重要一環(huán)。

參考品牌：

天空衛(wèi)士（SkyGuard）：中國專業(yè)數(shù)據(jù)安全廠商的代表，其網(wǎng)絡(luò)DLP以深度內(nèi)容識(shí)別和智能行為分析為核心。

深信服：其上網(wǎng)行為管理/全網(wǎng)行為管理產(chǎn)品內(nèi)置了強(qiáng)大的DLP模塊，在該領(lǐng)域市場占有率極高。

聯(lián)軟科技：專注于端點(diǎn)安全和網(wǎng)絡(luò)準(zhǔn)入控制，其解決方案也包含網(wǎng)絡(luò)層的數(shù)據(jù)防泄露能力。

三、 數(shù)據(jù)安全治理與平臺(tái)級解決方案

這是當(dāng)前市場的主流趨勢。此類方案首先解決“有哪些數(shù)據(jù)？數(shù)據(jù)在哪？敏感級別如何？”的問題，然后基于數(shù)據(jù)分類分級的結(jié)果，實(shí)施統(tǒng)一、精細(xì)化的防護(hù)策略。DLP是其核心能力模塊之一。

核心價(jià)值：實(shí)現(xiàn)“治理為先”，體系化地應(yīng)對《數(shù)據(jù)安全法》等合規(guī)要求，實(shí)現(xiàn)統(tǒng)一管控。

參考品牌：

亞信安全：提供完整的數(shù)據(jù)安全治理平臺(tái)，其數(shù)據(jù)分類分級和統(tǒng)一管控能力在電信、金融等行業(yè)有深厚積累。

奇安信：大力推動(dòng)“數(shù)據(jù)安全平臺(tái)化”戰(zhàn)略，其數(shù)據(jù)安全開放平臺(tái)旨在提供覆蓋數(shù)據(jù)生命周期的統(tǒng)一防護(hù)。

深信服：致力于構(gòu)建集成了終端、網(wǎng)絡(luò)、云能力的統(tǒng)一數(shù)據(jù)安全平臺(tái)。

美創(chuàng)科技：專注于數(shù)據(jù)治理和數(shù)據(jù)安全，其暗數(shù)據(jù)發(fā)現(xiàn)和分類分級產(chǎn)品有獨(dú)特優(yōu)勢。

四、 云數(shù)據(jù)安全與CASB

隨著企業(yè)上云，這類方案專門用于保護(hù)存儲(chǔ)在公有云、私有云或SaaS應(yīng)用（如Office 365，釘釘，企微）中的敏感數(shù)據(jù)。

核心價(jià)值：適配云環(huán)境，防止數(shù)據(jù)通過SaaS應(yīng)用和云平臺(tái)泄

已知品牌：

深信服、奇安信、亞信安全：上述平臺(tái)廠商均已將其DLP能力擴(kuò)展至云環(huán)境，通過CASB或SASE服務(wù)的形式提供。

靈犀：專業(yè)的云訪問安全代理（CASB）廠商，專注于SaaS應(yīng)用的數(shù)據(jù)安全防護(hù)。

五、數(shù)據(jù)備份與容災(zāi)恢復(fù)解決方案

這是數(shù)據(jù)安全體系的“最后防線”。當(dāng)數(shù)據(jù)因泄露（如勒索軟件加密）、誤刪或物理損壞而丟失時(shí)，通過備份快速恢復(fù)業(yè)務(wù)，本質(zhì)是防止“數(shù)據(jù)不可用”這一終極形態(tài)的泄露。

• 核心價(jià)值：確保數(shù)據(jù)在遭遇災(zāi)難性事件后能夠快速恢復(fù)，保障業(yè)務(wù)連續(xù)性。
• 代表品牌
• 愛數(shù)：國內(nèi)領(lǐng)先的數(shù)據(jù)管理解決方案提供商，其產(chǎn)品線涵蓋備份容災(zāi)、非結(jié)構(gòu)化數(shù)據(jù)管理，深度適配信創(chuàng)環(huán)境。
• Veeam：全球領(lǐng)先的備份、恢復(fù)和數(shù)據(jù)管理解決方案提供商，在虛擬化備份領(lǐng)域市場優(yōu)勢明顯。
• 鼎甲科技：國內(nèi)專業(yè)的備份容災(zāi)廠商，在黨政、金融等領(lǐng)域有廣泛應(yīng)用。

04

戰(zhàn)略性選型建議

根據(jù)IDC等報(bào)告，中國DLP市場正呈現(xiàn)“治理驅(qū)動(dòng)、能力聚合、場景細(xì)分”的趨勢，構(gòu)建完整的數(shù)據(jù)保護(hù)體系需具備縱深防御思維：

• 如果你的當(dāng)務(wù)之急是“鎖住”最核心的資產(chǎn)，防止“一失萬無”的泄露，那么應(yīng)優(yōu)先考慮“封鎖與管控”理念的解決方案（如以加密見長的產(chǎn)品）。
• 如果你需要滿足合規(guī)審計(jì)要求，或希望先了解風(fēng)險(xiǎn)再精準(zhǔn)管控，避免“一刀切”影響業(yè)務(wù)效率，那么應(yīng)從 “監(jiān)控與審計(jì)” 理念的方案入手。
• 如果你的企業(yè)規(guī)模大、數(shù)據(jù)繁雜，希望體系化、長效地解決數(shù)據(jù)安全問題，那么選擇 “治理與智能” 理念的平臺(tái)型方案是更可持續(xù)的選擇。
• 筑牢恢復(fù)底線：任何成熟的數(shù)據(jù)安全戰(zhàn)略都必須包含可靠的備份恢復(fù)方案。在選擇愛數(shù)或Veeam等產(chǎn)品時(shí)，需驗(yàn)證其恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）是否滿足業(yè)務(wù)要求。
• 追求平臺(tái)化協(xié)同：對于大型企業(yè)，優(yōu)先選擇能提供一體化平臺(tái)的廠商（如奇安信、安恒、深信服），以實(shí)現(xiàn)策略統(tǒng)一和聯(lián)動(dòng)響應(yīng)。

文件硬盤數(shù)據(jù)銷毀