隨著國家對網絡安全相繼立法，一系列的法律法規陸續推出，企業網絡安全成為這幾年IT領域風口浪尖上的話題，相關的資本、市場和技術信息讓人目不暇接，但是真正的企業信息安全從業人士會深刻探查到這次熱潮中亮點：對企業數據資產的保護成為這次企業信息安全的中心話題，即數據安全成為企業信息安全的核心本質。

雖然國內企業信息安全雖已經歷二十多年高速發展，但行內思維基本上還停留在防火墻、入侵檢測、防病毒等傳統、被動的南北向邊界防護手段，其防御核心還是防止黑客從外向里的病毒、蠕蟲或者木馬的攻擊行為。但據國家計算機信息安全測評中心等權威機構提供的數據顯示，國內企事業單位由于內部重要機密通過網絡泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，而97%都是由于內部員工有意或者無意泄露而造成的。因此，企業網絡安全的重心必然會從傳統的從外到內的攻防轉向自內而外的數據防泄露。

數據防泄漏解決方案在國內并不是空白之地，市場上數據防泄漏產品存在有很長時間了，但提供的功能基本上就是企業文件數據的加解密，其技術就是簡單地利用加密解決數據傳輸的安全問題，利用認證解決訪問人權限問題。究其原因，還是因為國內企業網絡安全一直以來并沒有把企業的數據作為安全的中心，還是專注在對人/設備的安全管理之上。

國內目前最典型最成熟的數據安全相關案例就是現在很多大型機構正在使用的企業郵件系統加密解決方案，我們看到的該類方案的實施結果就是需要當事員工經常在降低業務效率（郵件因為被不適宜的安全規則阻斷等）和冒著發生安全事故（繞過這個加解密路徑）兩者之間做出選擇。目前這波企業網絡安全熱潮中雖然數據成為中心，但伴隨著一個讓人擔憂的現象是，很多企業之前沒有相關數據安全解決方案，現在因為數據安全相關法規出臺，這些企業為了去責問題又要倉促上馬相關安全方案，在市場上缺乏相關的指導理念和合適的數據安全方案的大前提下，往往又會選擇這樣的數據文件加解密方案，別人踏過的坑自己再踩一次。

美國因為企業文化中對知識產權和個人隱私重視的原因，數據防泄漏一直就是企業網絡安全的重中之重的問題，所謂的CIA（Confidentiality, Integrity, Availability保密性、完整性、可用性）理論和4A（Account，Authorization, Authentication, Audit賬號，授權，認證，審計）體系從本質上講都是圍繞著企業的數據安全做文章。而DLP做為企業網絡安全里面的一個獨立垂直市場，從一開始就和終端EDR、網絡數據加解密/認證等技術在不同的軌道上發展。在美國，2003-2004年，是DLP技術的爆發時期，從那時開始到現在，相關技術產品一直在不停地進化演進，但客觀地講，直到現在DLP解決方案雖然在市場上一直是剛需，相關技術也層出不窮涌現，但卻一直沒有完美的產品出現。

一、DLP產品的核心技術

DLP技術根據其部署位置可分為終端DLP、網絡DLP和服務器端（存儲）DLP；根據可能的泄露載體又可分為終端DLP、郵件DLP和WEB DLP等。

現代DLP產品基本核心技術包括以下幾點：

1．DCI（Deep Content Inspection深度內容檢查）

不同于網絡流量分析產品NPM/APM里面用到的DFI和DPI技術，只需要在網絡層基于包（Packet）或流（Flow）做掃描匹配，DLP是需要在內容層面做深度掃描，匹配精確度和掃描性能是衡量技術的標尺；

2．內容還原

因為要做DCI，所以我們需要要把網絡中傳輸的文件完整地還原出來，提供給DCI引擎做掃描匹配處理，這里最大的挑戰是必須把文件完整地還原出來，意味著無論旁路鏡像還是inline proxy內聯代理都不能丟包。做到不丟包說易行難，相比較而言，DPI技術是沒有這個要求的，因為往往客戶對此無感知；

3．敏感規則定義

企業用戶需要根據自身業務的需求定義所需要匹配的敏感字典，DCI引擎掃描還原出的傳輸文件，匹配該敏感字典內的敏感字（段），以確定該文件是否包含敏感內容，這里最大的難點有兩個：一是如何定義完整的、敏感程度準確的相關規則，如何做到1）不影響業務、2）不漏報和3）不誤報，這些是對企業安全運維人員的巨大考驗；二是和其它傳統網絡安全產品一樣面臨的相關規則的系統管理問題。

二、DLP困境根源之所在

既然DLP是企業安全市場的剛需，發展歷史又近二十年（對歐美而言，國內尚處于春秋戰國），為什么市場上還是沒有完美的相關DLP解決方案或產品出現呢？國內企業如何從歐美企業的DLP實施案例中取得真經，少走彎路呢？實際上DLP本身的內容掃描和敏感字匹配的技術已近爐火純青之境界，以下幾點因素應該是目前企業DLP所處困境的根源所在：

1.數據難梳理，規則難定義

DLP產品需要用戶預先定義復雜的敏感匹配規則，而用戶定義規則的前提是對企業網絡上的數據有非常清晰的了解，按當下時髦的術語就是有很好的“數據梳理”，同時還對與調用數據的相關業務有所了解。對于現在絕大多數企業的網絡安全運維人員來說，沒有企業決策層和相關業務團隊的鼎力支持和配合，沒有大量時間和資源的投入，這個清晰了解企業數據和相關業務的大前提基本上是一個不可能完成的任務。

2．single event，誤報，業務阻斷

目前的DLP產品和其他傳統網絡安全產品一樣，都是應對單個事件（single event）的產品，只是在網絡上的文件內容匹配到預先定義的相關敏感數據規則那一時刻產生預警或阻斷的動作，這種單個事件的處理方式往往因為缺乏上下文的關聯分析而產生大量誤報（False Alert）或阻斷正常的業務。

3．控制維度單一

DLP產品在相關控制維度上比較單一，定義規則基本上就和數據（匹配上敏感規則）、IP相關，最多再加上一個時間點，這對于特定業務場景定義準確的DLP匹配規則往往顯得捉襟見肘。

4．匹配規則難，無法應對動態流轉數據

目前DLP所遇困境關鍵的一點，企業的數據不是靜止不變的，企業數據有生命周期，在這個數據周期里的敏感度不是一成不變的，而且新的數據隨著企業業務頻繁交易，天天更，日日新，如何為敏感度變化的存量數據和新增數據定義并實時調整相關的匹配規則，在當前企業安全文化和技術體系下，企業網絡安全人員能夠做好DLP規則實時調整優化基本上是癡人說夢。

三、源于NG DLP進化的全息流動數據監控技術

雖然目前DLP技術看似走到了死胡同，但并不是一個無解之局，他山之石，可以攻玉，最近幾年網絡安全在其他領域的創新為DLP帶來了涅槃之機，大數據分析、態勢感知、UEBA等技術的結合使用正以創新之勢締造NG DLP，這也是全息網御流動數據監控技術的起源之一。

全息網御推出以數據為核心，針對流動數據的安全監測和溯源審計產品，結合了DLP、UEBA和CASB三個網絡安全領域的核心技術，在一個類SIEM平臺上為用戶提供某些特定場景下的態勢感知功能。

具體到DLP技術上，全息的產品提取了最核心的DCI（深度內容掃描）技術，用以發現用戶網絡上流動的敏感數據。

源于NG DLP，全息的產品技術體系又區別于（網絡）DLP：

首先，傳統DLP產品需要預先定義復雜的規則，對企業網絡上的相關數據進行阻斷或預警，并不具有分析功能；而全息的產品是一個分析為主的產品，在無規則或少規則的情況下對企業數據進行分析。

其次，DLP產品是單個事件（single event）產品，一般只是在相關數據匹配到預先定義的規則那一時刻產生作用；全息的產品是一個時間軸全程記錄分析（包括基于機器學習的異常預警功能）的產品。

第三， DLP產品在相關控制維度上比較單一，規則基本上就和數據、IP相關，最多再加上時間；全息的產品將企業內網安全所需要考慮的維度盡量全覆蓋，對數據、人、設備和應用四個大維度及其它小維度都建立關聯關系以解決企業的相關安全問題。

四、全息產品彰顯出的NG DLP技術優勢

1.無規則，無死角的動態數據監控

企業數據不是一個靜態的實體群，有其生命周期，每天都在產生新的數據，數據的敏感度也在隨時變化，那么對數據動態的監控就至關重要。DLP需要預先設定規則的局限已經遠遠滿足不了現代企業對數據資產保護的需求，而全息產品的NG DLP技術提供了一個“無規則、無死角”的對企業網上流轉數據的全方位監控。

另一方面，全息的產品不是一個DLP的完全替代品（無阻斷功能），全息產品在全面監控數據變化的同時，可以為第三方DLP產品提供一個實時優化規則（這個是DLP真正發揮作用的必要前提）的最有價值工具。

2. 多維度實體分析，實現多場景、復雜規則定義

傳統的DLP定義匹配規則時考慮的維度太少，使得應對復雜場景的合理規則無法定義，全息產品體現的NG DLP功能除了傳統DLP相關的功能外，還通過對企業內網上多個相關維度的實體1）畫像并實時更新、2）建立實體肖像間關聯關系、3）學習實體網上行為等技術手段，為企業提供很多場景下的定義復雜規則的功能，譬如提供更完整的敏感（好的譬如知識產權、壞的譬如病毒/惡意代碼）數據溯源證據鏈、資產管理保護、行為異常分析等等。

3.主動發現，數據行為預測監控

發展到今天，企業需要的是一個完整的數據安全解決方案，目前的DLP產品預先定義規則，是一個single event產品，只管當下，缺乏分析功能；而相關審計產品都是一種事后被動的查找過程，無法滿足企業實際上需要及時主動發現的需求，像最近GDPR提出的72小時內發現并上報相關數據泄露事故可免職，現存的產品根本無法滿足這類需求。

全息產品具備的NG DLP功能，在實體行為上通過AI機器學習在時間軸上做數據行為基線的監控預測，主動及時發現異常行為并發出相關預警。總之，全息產品力圖把數據泄露的發現變被動為主動，滿足及時發現并處理該類安全事件的需求。

我們有理由相信下一代的DLP能夠真正成為為企業數據安全保駕護航的堅強之盾，全息產品具有“審計過去，監視現在，預測未來”的功能是正是NG DLP與傳統DLP的分水嶺！

總結

以上是生活随笔為你收集整理的DLP迈向NG DLP的进化之路的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。