《安全牛:数据防泄露(DLP)选型指南(107页).pdf》由会员分享,可在线阅读,更多相关《安全牛:数据防泄露(DLP)选型指南(107页).pdf(107页珍藏版)》请在三个皮匠报告上搜索。
1、 数据防泄露(DLP)选型指南 数据防泄露(DLP)选型指南数据防泄露(DLP)选型指南报告(以下简称为“报告”)为安全牛、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)与天融信、滴滴安全、亿赛通、明朝万达、世平信息、赛猊腾龙、联软科技、美创科技八家安全厂商联合研究成果,并由安全牛独家发布,版权归安全牛和中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)共同所有,其性质是安全牛面向客户所提供的行业参考性资料,其数据和结论仅代表安全牛、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)与安全厂商的观点。报告购买后仅限于内部使用,未经安全牛审核、确认及书面授权,购
2、买报告的客户不得以任何方式,在任何媒体上(包括互联网)公开引用本报告的观点和数据,不得以任何方式将报告的内容提供给其他单位或个人。否则引起的一切法律后果由该客户自行承担,同时安全牛亦认为其行为侵犯了安全牛的著作权,安全牛有权依法追究其法律责任。报告中未注明来源的所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织,必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共和国著作权法、计算机软件保护条例等相关法律、法规追究其经济和法律责任。本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。版权声明
3、版权声明数据防泄露(DLP)选型指南免责声明免责声明本报告中部分图表在标注有数据来源的情况下,版权归属原数据公司。安全牛取得数据的途径来源于厂商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用,请作者来电或来函联系,我们协调给予处理(或删除)。本报告有偿提供给限定客户,应限于客户内部使用,仅供客户在开展相关工作过程中参考。如客户引用报告内容进行对外使用,所产生的误解和诉讼由客户自行负责,安全牛不承担责任。数据防泄露(DLP)选型指南编委成员甲方专家编委成员甲方专家罗玉震中国电子口岸数据中心徐一某电信运营商集团商菲中国中信集团有限公司王磊中国五矿集团有限公司韦铭中国中化控股有限
4、责任公司谢永志健合(中国)有限公司范絮妍某机关单位信息中心李政某研究院陈强明某癌症精准医疗公司王仕喜某研究院李冰某金融集团王震宇某金融集团数据防泄露(DLP)选型指南编委成员乙方专家编委成员乙方专家陈辉合肥赛猊腾龙信息技术有限公司潘秋羽北京滴滴信息安全科技有限公司张建耀 深圳市联软科技股份有限公司王吉文杭州美创科技有限公司王志海北京明朝万达科技股份有限公司金捷敏杭州世平信息科技有限公司王奇飞天融信科技集团股份有限公司崔培升北京亿赛通科技发展有限责任公司 数据防泄露(DLP)选型指南编委成员工作组编委成员工作组张益中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)董晶晶中国电子科技集团
5、公司第十五研究所(信息产业信息安全测评中心)苏修虎北京谷安天下科技有限公司李欣韦北京谷安天下科技有限公司王钰霏北京谷安天下科技有限公司陈发明安全牛孙若寒安全牛陈龙飞北京谷安天下科技有限公司张兵北京谷安天下科技有限公司信息技术咨询合伙人何岩CCF 抗恶劣环境计算机专委会副秘书长刘健中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)副主任数据防泄露(DLP)选型指南目 录第一章 概述.1第一节 研究背景.1第二节 研究目的.2第三节 研究方法.3第四节 研究过程.4第五节 DLP 应用的总体态势.4第六节 DLP 应用挑战.8第七节 DLP 应用建议.9第八节 可能存在的不足.10第二章
6、 DLP 技术及产品研究.11第一节 数据安全治理流程.11第二节 DLP 应用流程.13第三节 数据泄露途径及应对方法.141.终端数据泄露途径及应对方法.142.非网络通讯类无限管道数据泄露及应对方法.153.图像截取、手机拍照等方式的数据泄露及应对方法.154.网络数据泄露途径及应对方法.16 数据防泄露(DLP)选型指南5.文件经由网络传输导致数据泄露及应对方法.166.数据加密后通过网络外发,导致数据泄露及应对方法.167.电子邮件数据泄露途径及应对方法.178.存储数据泄露途径及应对方法.17第四节 DLP 相关技术.181.数据识别.192.检测技术.203.处置管控.214.溯
7、源分析.21第五节 DLP 产品.221.DLP 产品概述.222.DLP 产品分类.23第三章 DLP 选型指标体系架构.28第一节 终端 DLP.281.功能指标.302.性能指标.543.运营指标.574.其它.61第二节 网络 DLP.711.功能指标.722.性能指标.78数据防泄露(DLP)选型指南3.运营指标.784.其它.79第三节 邮件 DLP.821.功能指标.832.性能指标.873.运营指标.874.其它.88附录 A:国内代表性 DLP 产品厂商(排名不分先后).90天融信科技集团股份有限公司.90北京滴滴信息安全科技有限公司.90北京亿赛通科技发展有限责任公司.91
8、北京明朝万达科技股份有限公司.91杭州世平信息科技有限公司.92合肥赛猊腾龙信息技术有限公司.92深圳市联软科技股份有限公司.93杭州美创科技有限公司.93附录 B:DLP 应用调查问卷及调查结果.94概述数据防泄露(DLP)选型指南1第一章 概述数据防泄露(DLP)选型指南(以下简称为“选型指南”)是在中国计算机学会抗恶劣环境计算机专委会的指导下,由中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、安全牛和谷安研究院共同发起。甲方专家来自于中国电子口岸数据中心、五矿集团、中国中化、中信集团、健合(中国)等十余家各个行业的头部组织,乙方专家来自于天融信、滴滴安全、亿赛通、明朝万达、
9、世平信息、赛猊腾龙、联软科技、美创科技等国内代表性 DLP 产品厂商(排名不分先后)。发布选型指南的目的,是融合甲方、产品厂商、研究机构、测试机构的专业知识和丰富经验,为组织根据自身的需要进行精准地 DLP 产品选型提供支持和帮助。在调研阶段,安全牛和谷安研究院向甲方用户发送了调查问卷,涉及到组织数据防泄露管理体系的建设情况、组织采用的数据防泄露产品类型、组织在数据防泄露产品选型阶段的关注点、组织关注的数据防泄露产品的功能、组织关注的数据防泄露产品的不足等方面,全面反映甲方用户对数据防泄露产品的需求和关注点。问卷得到了甲方用户的大力支持,涉及金融、互联网、电信、汽车等行业,具有较强的参考意义。
10、选型指南的主体架构分为 DLP 产品研究、DLP 选型指标体系架构和测试方法、DLP 应用调查结果等几个部分。第一节 研究背景党的十八大以来,以习近平总书记为核心的党中央高度重视“构建以数据为关键要素的数字经济,推动实体经济和数字经济融合发展”。随着企业信息化、数字化建设的不断深入,数据已经成为最有价值的资产,很多业务的命运与关键数据紧密相连,数据已成为一个组织创新与发展的核心。然而,数据在为组织创造价值的同时,也面临着严峻的安全风险。来自内外部的针对数据的窃取、滥用、破坏,可能直接颠覆组织的数字化业务。2021 年 9 月 1 日,关键信息基础设施安全保护条例和中华人民共和国数据安全法正式实
11、施,2021 年 11 月 1 日,中华人民共和国个人信息保护法正式实施,这三部法律法规与 2017 年 6 月 1 日已实施的中华人民共和国网络安全法,共同织起了“三法一条例”网络安全保障网,从国家层面,全面加强了对数据和个人信息的安全管理。行业方面,金融、电信和互联网、医疗健康、汽车等监管机构分别发布了数据安全和个人信息保护的指引和要求,指导企业和单位的数据安全建设。其中,人行发布的个人金融信息保护技术规范(JR/T 0171-2020)明确提出“应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为”。工信部发布概述数据防泄露(DLP)选型指南2的电信和互联网企业网络数据安全合规
12、性评估要点(2020 年版)提出“涉及存储、处理个人敏感信息和重要数据平台系统配备数据防泄露能力,优先从网络侧和终端侧等进行部署,逐步扩大能力覆盖范围。具备对网络、邮件、FTP、USB 等多种数据导入导出渠道进行实时监控的能力,及时对异常数据操作行为进行预警拦截,防范数据泄露风险。”数据防泄露(DLP)技术日臻成熟,成为越来越多组织选择实施的数据安全防护技术手段。数据防泄露产品以深度内容识别技术为核心,在数据存储、传输和使用过程中,发现并监控敏感数据,确保敏感数据的合规使用,防止主动或意外的数据泄露。DLP 产品可以帮助组织降低数据丢失和数据泄露的风险,但是由于DLP 产品的多样化以及在功能上
13、和性能上的复杂性,导致组织在产品选型时面临挑战,甚至由于选型不当导致部署后无法有效地发挥效用;同时,DLP 厂商也需要花费大量的时间,向组织解释产品选型指标的意义和重要性。市场上亟需全面、系统的选型标准,帮助组织根据自身的环境和需要进行精准地 DLP 产品选型。第二节 研究目的本次研究的目的有以下几个方面:响应国家号召,推广数据安全建设的知识和经验:数据安全治理的方法论;数据安全常用的技术产品。详细剖析 DLP 产品和技术:数据泄露途径及应对方法;DLP 相关技术;DLP 产品。为组织的 DLP 选型提供指导:DLP 产品选型指标体系架构;DLP 产品选型指标和测试方法。概述数据防泄露(DLP
14、)选型指南3第三节 研究方法为深入联系实际,确保研究工作落在实处,本次研究工作采用了访谈调研、问卷调查、意见征集与课题组综合讨论的方法,研究主要划分为五个阶段:设计准备阶段课题组经深入讨论,确定八家具备数据防泄露技术自主研发能力的代表性国内厂商为调研对象,设计对各厂商技术专家的调研计划和访谈提纲;经课题组讨论和完善,形成DLP 选型指南调查问卷,通过安全牛公众号平台发布,开展面向甲方的调研工作;回收、整理调查问卷,课题组通过统计、分析,从调研结果中抽取结论性信息。分析研讨阶段对调研结果进行汇总,形成结论性意见,关注重点问题;综合当前国内外数据安全形势和技术发展趋势,课题组专家结合本机构及行业内
15、外在 DLP 选型方面的信息和经验,进行共同讨论、分析、总结;草拟 DLP 选型指标体系架构,向具有 DLP 选型实践经验的行业头部组织和 DLP 厂商专家征集意见,并根据意见进行修订。报告编写阶段综合调研成果、分析与讨论成果,完成数据防泄露(DLP)选型指南初稿。专家审阅阶段邀请专家对数据防泄露(DLP)选型指南初稿进行审阅,提出修订意见;课题组认真研究专家意见,进行报告修订。报告发布阶段完成数据防泄露(DLP)选型指南终稿,公开发布。概述数据防泄露(DLP)选型指南4第四节 研究过程2021 年 11 月,在中国计算机学会抗恶劣环境计算机专委会的指导下,中国电子科技集团公司第十五研究所(信
16、息产业信息安全测评中心)、安全牛和谷安研究院确定正式立项;2021 年 12 月,安全牛和谷安研究院与天融信、滴滴安全、亿赛通、明朝万达、世平信息、赛猊腾龙、联软科技、美创科技等八家厂商的技术专家分别进行线上或线下的调研,获取并查阅 DLP 相关产品介绍、产品测试资料;2021 年 12 月,谷安研究院完成DLP 应用调查问卷的设计工作;2021 年 12 月-2022 年 1 月,安全牛公众号平台发布DLP 应用调查问卷,开展调研工作,共收回有效问卷 77 份;2022 年 1 月,工作组起草 DLP 选型指标体系架构初稿;2022 年 1 月,邀请甲方专家和厂商专家对 DLP 选型指标体系
17、架构进行评审,并进行修订;2022 年 1 月-2 月,草拟完成数据防泄露(DLP)选型指南初稿;2022 年 3 月,邀请甲方专家和厂商专家对数据防泄露(DLP)选型指南初稿进行评审,并进行修订;2022 年 3 月,完成数据防泄露(DLP)选型指南终稿;2022 年 5 月,数据防泄露(DLP)选型指南正式发布。第五节 DLP 应用的总体态势基于对调查问卷结果的分析汇总,我们了解到组织在数据防泄露方面表现出的总体态势如下:1.数据安全相关法律法规颁布,组织加强数据安全能力建设已势所必然。问卷题目:中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法的颁布,是否对
18、贵公司的数据安全建设起到了推动作用?概述数据防泄露(DLP)选型指南5近年来,数据安全相关的法律法规、标准和行业监管要求不断出台,各个行业均对数据安全和个人信息保护高度关注,通过调研发现,98.7%的组织认为中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法的颁布,对组织的数据安全建设起到了推动作用。2.数据防泄露产品作为一种有效的数据安全防护技术手段,已在多家组织中广泛应用。问卷题目:贵公司采用的数据防泄露产品有哪些?数据防泄露产品主要包括终端防泄露、网络防泄露、邮件防泄露和移动端防泄露等。通过调研发现,88.31%的组织部署了一种或多种数据防泄露产品,其中以终
19、端防泄露产品为主,占比高达 80.52%,也有一半左右的组织采用了网络防泄露和邮件防泄露产品。3.超过半数的组织制定了数据防泄露管理制度和流程,作为技术工具使用的指引和基础,但是也有部分组织仅采用了 DLP 产品,并没有制定配套的数据安全管理制度,通过默认的流程或者仅凭管理人员的经验来进行日常的管理。选项小计比例A.是76 98.7%B.否1 1.3%本题有效填写人次77选项小计比例A.终端防泄露62 80.52%B.网络防泄露42 54.55%C.邮件防泄露38 49.35%D.移动端防泄露18 23.38%E.不适用9 11.69%本题有效填写人次77概述数据防泄露(DLP)选型指南6问卷
20、题目:贵公司的数据防泄露管理制度建设的情况是什么?数据安全保护是一项管理和技术相结合的工作,相对 DLP 技术产品落地实施而言,组织建立相关的制度和流程可以保证各个控制节点的协作运行。数据防泄露的流程,需要与其他很多流程和规范相结合方能更好地执行,如数据分类分级、数据外发流程、安全事件响应流程等。4.数据防泄露产品类型多样,功能复杂,不同性质的组织对 DLP 的选择和关注点可能截然不同。1)随着国产 DLP 产品在功能、性能和安全性等方面的不断提升,近六成的组织采用国产 DLP 产品。问卷题目:贵公司采用的数据防泄露产品是什么?2)在选型阶段,组织最关注的几个方面包括 DLP 产品的功能、产品
21、对网络和终端设备的影响、产品与环境的兼容性等,相比之下,厂商品牌并不是组织关注的重点。选项小计比例A 制定了数据防泄露管理制度和流程53 68.83%B.有默认的工作流程10 12.99%C.凭管理人员的经验处理13 16.88%D.不适用1 1.3%本题有效填写人次77选项小计比例A.国 外 产 品(比 如Websense、Symantec)18 23.38%B.国内产品44 57.14%C.不确定5 6.49%D.不适用10 12.99%本题有效填写人次77概述数据防泄露(DLP)选型指南7问卷题目:在数据防泄露产品选型阶段,您最关注的方面是什么?3)在产品功能上,组织最关注的几个方面包括
22、内容识别、图像识别、对终端的安全控制、报警功能等。问卷题目:您关注的数据防泄露产品的功能有哪些?4)在产品不足上,组织最关注的几个方面包括误报率、错报率、配置不方便等。选项小计比例A.产品的功能72 93.51%B.厂商品牌23 29.87%C.产品对网络和终端设备的影响59 76.62%D.产品与环境的兼容性62 80.52%E.其他6 7.79%本题有效填写人次77选项小计比例A.内容识别75 97.4%B.图像识别52 67.53%C.对终端的安全控制66 85.71%D.报警功能52 67.53%E.其他8 10.39%本题有效填写人次77概述数据防泄露(DLP)选型指南8问卷题目:您
23、关注的数据防泄露产品的不足之处有什么?第六节 DLP 应用挑战组织可以使用 DLP 技术和产品来保护数据安全,防止数据丢失和数据泄露,并实现数据安全相关法律法规的合规性,但是在 DLP 应用过程中也面临一些挑战。1.DLP 产品对业务效率的影响调研发现,有 76%的用户担心 DLP 产品部署对业务效率会带来影响,特别是很多企业在部署终端DLP,需要在员工电脑上安装客户端软件,这可能会影响到员工的日常工作;安全控制手段可能会对业务流程产生负面影响,并且可能因为安全部门职权有限,被业务部门所拒绝。因此 DLP 产品需要做好业务和安全之间的平衡,充分考虑DLP产品的实施对于业务流程的影响,并制定合理
24、的措施将影响降到最低。在此过程中,管理层的重视与支持,自上而下进行推广,对于 DLP 的成功实施至关重要。此外,对敏感数据识别、事件的处理,都离不开业务部门的支持,安全部门需要与管理层和业务部门进行充分的沟通,避免由于与业务效率的冲突而无法推广应用。2.数据安全管理体系不够完善DLP 是数据安全管理的一种技术手段,管理体系的运转需要业务数据所有者和业务流程管控者的参与。如果没有对应的管理力量推动,或者在执行过程中执行力不足,都不能将技术产品的功能发挥到最优效果。员工的反对、流程的缺失,都可能让 DLP 的实施半途而废。在 DLP 实施之后,对于 DLP 配置策略以及管理流程的优化也至关重要,它
25、能够极大降低人力成本。因此,建立完善的数据安全管理体系,在数据分类分级的基础上,明确被保护的数据对象,实施分级管控,配套数据安全保护制度和方针、数据安全保护组织架构和职责分工、数据安全保护工作流程、数据安全保护选项小计比例A.误报率62 80.52%B.错报率48 62.34%C.配置不方便48 62.34%D.管理界面不友好35 45.45%E.其他8 10.39%本题有效填写人次77概述数据防泄露(DLP)选型指南9技术和工具等。通过管理上的监督和指导,技术工具的有力支撑,以及不断地改进和优化运行方案,才能有效保障组织的数据安全,更好地为业务保驾护航。3.数据安全管理人员能力不足数据安全管
26、理人员需要了解相关的法律法规、数据安全管理方法、数据安全防护技术和工具等,而现实中由于数据安全管理人员较多由技术岗位转岗或兼岗,这些人员的技术能力强于管理能力,对数据安全领域的知识储备不足,没有掌握数据分类分级、数据安全风险评估、数据安全体系建设和运营的方法,可能导致DLP 选型不当、策略配置不当、或者由于没有足够经验和能力的人员来保障持续运营,无法很好地发挥 DLP的效用,保障数据安全防护的效果。4.DLP 产品功能和性能的缺陷DLP 可以全面识别终端、存储、传输、应用中的敏感数据,是防止敏感数据泄露的较佳选择。但任何一项技术或产品都不是完美的,DLP 本身也存在一定的局限性,产品的功能和性
27、能或多或少存在一些缺陷,因此不是所有的 DLP 产品都能发挥出理想的效果。发生误报和漏报是常见的,误报将花费大量的时间和人工成本进行调查和分析;漏报会隐藏安全漏洞,造成数据泄露,带来财务损失、声誉损坏,甚至法律风险。第七节 DLP 应用建议为了有效发挥DLP的功效,支持组织的数据安全体系建设,防范数据安全风险,建议在DLP选型和应用时,关注以下几个方面。1、深入了解组织数据安全治理的总体策略,明确 DLP 在数据安全体系中的地位;2、配置适当的数据安全专职或兼职管理人员,提供充分的数据安全技能培训;3、结合法律法规的要求,制定完善的数据安全(或数据防泄露)管理制度和具体的操作流程,规范数据防泄
28、露的管理手段和技术手段落地实施;4、参考专业的数据防泄露产品选型指南,结合组织具体的数据特征和风险场景,选择适合组织实际需求的产品;5、建立健全数据安全(数据防泄露)运营机制,明确数据安全事件管理或应急管理办法;6、加强对员工的数据安全意识教育,逐步形成保护组织数据的上海品茶。概述数据防泄露(DLP)选型指南10第八节 可能存在的不足数据防泄露产品选型是数据安全领域的一个热点和难点,考虑到数据防泄露与业务的强关联性以及数据资产的多样性,组织有多种多样的 DLP 应用需求,而本项研究工作主要采用了对厂商和甲方用户进行调研以及专家分析讨论等方法,可能存在以下三个方面的局限:参与方范围的局限:本次选
29、型指南有八家国内主流的数据防泄露厂商、十余家具有 DLP 选型实践经验的行业头部甲方参与,由于参与方数量和行业有限,所研究的产品及技术可能无法覆盖所有的数据类型及应用场景。选型指南调研范围的局限:本次 DLP 选型调研采用了在线发放问卷的形式,收回答卷 77 份,可能不能真实全面地反映数据防泄露的应用状况。调查问卷设计内容的局限:问卷可能存在设计不完善之处,不能全面、有效地获知组织数据防泄露建设、产品选型和产品使用方面的信息。DLP 技术及产品研究数据防泄露(DLP)选型指南11第二章 DLP 技术及产品研究第一节 数据安全治理流程数据安全治理通常采用两种方法开展,一种是对标法律法规或行业指引
30、,以数据安全合规为导向。比如,金融行业遵循中国人民银行发布的金融数据安全 数据安全分级指南、个人金融信息保护技术规范、金融数据安全 数据生命周期安全规范等指南和规范,电信行业以工信部的电信和互联网企业数据安全合规性评估要点为建设标准;一种是基于科学的方法论或最佳实践,较为常见的是 Gartner 的 DSG 框架、Microsoft 的 DGPC 框架和国标 GB/T 37988 数据安全能力成熟度评估模型。以下以 Gartner 的 DSG 数据安全治理框架为例,介绍治理的主要流程。图 1 Gartner 的 DSG 框架Gartner 于 2018 年 4 月 27 日 发 布 了 研 究
31、 报 告How to Use the Data Security Governance Framework,强调了数据安全治理不应从“实施技术工具”开始,而是从“制定治理策略”开始。DLP 技术及产品研究数据防泄露(DLP)选型指南12Gartner DSG 框架描述了数据安全治理的流程:第一步:制定数据安全治理策略,目标是平衡业务需要和安全管控风险。数据安全策略的确定,需要综合考虑业务战略、治理、合规、IT 战略和风险容忍度等五个方面。第二步:数据梳理,确定治理优先级 对数据进行分类分级,识别敏感数据;分析敏感数据的安全风险。第三步:确定数据安全管控策略 明确对敏感数据的访问权限;设计管控措
32、施。管控措施包括管理手段和技术手段。管理手段主要是:方针政策、制度规范、组织架构、稽核审查等;技术手段包括技术体系架构、纵深防御、操作规范等。第四步:部署数据安全产品 Gartner 列举了实现数据安全管理控制的 5 类技术工具,分别是:Crypto(加密)、DCAP(以数据为中心的审计和保护)、DLP(数据防泄露)、CASB(云安全代理)、IAM(身份识别与访问管理)、UEBA(用户行为分析)。在实际应用中,支撑数据安全防护的技术工具更多,比如数据脱敏。第五步:为产品编排统一策略敏感数据可能分布于关系型数据库、大数据、电子文件、云平台、终端,将管控措施加载到各种类型的敏感数据,完成治理的全过
33、程。DLP 技术及产品研究数据防泄露(DLP)选型指南13第二节 DLP 应用流程数据防泄露的解决方案,可以是数据安全治理的组成部分,也可以形成单独的体系。数据防泄露不能全面解决数据安全问题,但是可以较快地提升数据安全保护的水平,降低数据安全风险。DLP 应用流程包括:数据安全策略 数据梳理 数据泄露风险识别 DLP 策略 DLP 技术实施 DLP 态势分析。图 2 数据防泄露(DLP)应用流程DLP 应用流程各环节的主要内容:数据安全策略:与 Gartner 的 DSG 框架一致,数据安全策略以平衡业务需求和风险管控为目标,综合考虑业务战略、治理、合规、IT 战略和风险容忍度等五个方面。数据
34、梳理:以数据分类分级的形式识别或定义敏感数据,包括结构化数据和非结构化数据。数据泄露风险评估:分析数据的新建或获取、存储、传输、使用、归档、删除等数据生命周期各个关键环节的安全风险。DLP 策略:针对敏感数据的安全级别和使用人员的权限,定义对 Web、邮件、即时通讯、云应用、USB、FTB、打印等数据通道的管控方式。DLP 技术实施:DLP 产品选型、DLP 技术应用、POC 测试、DLP 上线试运行、DLP 运营管理等。DLP 态势分析:数据分布、数据流转、数据风险分析、数据泄露事件分析、数据泄露追溯等。DLP 技术及产品研究数据防泄露(DLP)选型指南14第三节 数据泄露途径及应对方法通常
35、数据泄露的原因主要有三种:窃密、泄密和失密。窃密窃密发生的途径有黑客和间谍窃密、外部竞争对手窃密等。黑客通常采用网络钓鱼、SQL 注入、恶意代码、APT 攻击等方式窃取数据,或者通过扫描网络,搜索数据库直接获得数据。外部竞争对手或者组织的合作方利用管理上的疏漏,达到窃密目的。泄密典型的泄密发生途径有,内部人员离职拷贝带走资料或者员工有意/无意的泄密等。内部人员导致的数据泄露发生在各个行业,如医疗、学校、物流、金融和运营商等。在主动的泄密类型中,内部人员受利益驱动泄露数据,或者被外部人员欺骗泄露,或者对企业有不满情绪而泄露。在失误造成的泄密类型中,由于安全意识或者工作流程的缺陷,造成安全策略配置
36、错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。失密失密发生的途径有内部文档权限失控、存储设备丢失或维修、对外信息发布失控等情况。缺乏对敏感文件的访问控制设计是常见情况。因维修电脑发生数据泄露的案例很多,有些在社会上造成了极大的影响。1.终端数据泄露途径及应对方法1.1 因终端外设发生的数据泄露终端设备的外设是用户日常办公常用的数据交换通道,比如 U 盘拷贝,光盘刻录和文档打印等。因终端外设发生的数据泄露,包括通过移动存储拷贝数据、资料刻录、非法打印等。【应对方法】针对 USB 拷贝行为,对设备将本地文件拷贝至 U 盘或移动硬盘的行为进行控制,但不影响从 U 盘拷入设备的行为,比
37、如可以限制 USB 接口为只读模式。针对光盘刻录,一般是通过控制访问数据的进程,对操作的文件进行扫描,并按敏感文件的管控策略进行记录资料转存及文档留存。DLP 技术及产品研究数据防泄露(DLP)选型指南15针对打印端口,设置打印级别,打印一般文件时,审计其打印行为;打印敏感文件时,审计其打印内容,并为文件自动添加水印。或者通过打印行为阻断,禁止指定设备的打印行为。1.2 因终端应用发生的数据泄露因终端应用发生的数据泄露,包括网盘上传、浏览器外发、邮件外发、P2P 外发、即时通讯(IM,Instant Messaging)传送等。资料、文档的外发是导致数据泄露的主要途径。数据通过网盘、浏览器、邮
38、件、P2P 软件、即时通信软件等传送,泄密者可能会对数据进行压缩、加密以及多层嵌套,以逃避监管审查。【应对方法】后台进程对外发的数据进行扫描,通过敏感数据识别、行为检测等技术及时感知数据泄露风险,并进行阻断或/和审计;对加密数据,或者通过加密隧道发送的敏感数据,在数据加密或将数据放入加密隧道前进行识别、处置。2.非网络通讯类无限管道数据泄露及应对方法通过蓝牙、红外、5G 等无线管道外发数据通过蓝牙/红外/5G 等非办公网络传输敏感数据,传输通道比较隐蔽,数据泄露行为难以被发现。【应对方法】禁用蓝牙、红外、5G 以及终端不用的无线协议,数据交换改用受管控的 USB 端口,或者通过专用的文件交换系
39、统交换数据。3.图像截取、手机拍照等方式的数据泄露及应对方法通过图像截图、手机拍照等方式的数据泄露【应对方法】应对图像截取方式的数据外泄,可以通过 OCR 技术进行图像识别,然后进行敏感数据分析,还可以添加DLP 技术及产品研究数据防泄露(DLP)选型指南16数字水印以支持溯源;手机拍照方式的泄密单靠技术手段无法进行行为阻断,采用数字水印技术可以支持溯源。水印技术使泄密者有所忌惮,能够起到威慑作用。此外,对终端的桌面屏保进行安全管控,当员工离开座位时,开启屏幕锁定,预防因拍照行为导致的数据泄露。4.网络数据泄露途径及应对方法基于 WEB 的应用,如网盘、文库、论坛、贴吧等导致数据泄露【应对方法
40、】对 HTTP 协议进行识别,根据内容识别算法对敏感信息进行识别,通过自动/半自动的方式进行敏感词过滤,文件过滤及记录。5.文件经由网络传输导致数据泄露及应对方法文件经由网络传输导致数据泄露【应对方法】监控网络传输协议,如 FTP、Samba、NFS 等,对 FTP 服务器、共享目录、NAS 等设备上文件的上传和下载行为进行监控,通过内容敏感度扫描,发现外传敏感文件行为。6.数据加密后通过网络外发,导致数据泄露及应对方法敏感数据通过明文方式外发,可以被监听和通过流量分析发现,泄密者可能采用加密或者通过加密隧道进行传送。【应对方法】针对 HTTPS/TLS 等加密类流量,利用中间人机制对网络中的
41、 SSL 协议交互过程进行识别、替换和转发,从而实现对于 SSL 加密流量的解密,并对解密后的流量进行协议识别、内容恢复和扫描。分析设备需要通过代理的方式部署在网络中。也可以通过终端 DLP 进行监控,与网络 DLP 形成互补。DLP 技术及产品研究数据防泄露(DLP)选型指南177.电子邮件数据泄露途径及应对方法7.1 电子邮件数据泄露【应对方法】对于邮件客户端发出的邮件,可对 SMTP 协议流量进行分析,对于浏览器发送的邮件,可对 http/https协议进行分析,对检测到包含敏感信息的邮件启动拦截、审批、审计等机制。图 3 邮件防泄露(图片来源:联软科技)8.存储数据泄露途径及应对方法8
42、.1 半结构化、非结构化数据泄露FTP 服务器、共享目录、NAS 设备等存储的半结构化、非结构化数据中存在敏感数据,可能会被非法访问、获取。【应对方法】对存储对象进行文件发现和内容扫描,检测是否包含敏感内容,或者依据数据分级分类原则,将数据进行分类管理,通过设置访问权限实现对敏感数据的监控管理。DLP 技术及产品研究数据防泄露(DLP)选型指南188.2 结构化数据泄露数据库中的结构化数据包含敏感信息,也可能被非法获取导致数据泄露。【应对方法】通过数据库访问接口(比如:JDBC)或者数据库插件对数据表进行发现和內容扫描,识别表中的敏感数据。第四节 DLP 相关技术数据防泄露系统通过对数据操作行
43、为进行捕获,解析行为中操作的数据是否敏感,并根据敏感内容级别、人员权限、数据流向执行预定义的防护措施,并对监控到的风险行为上报泄露事件,由管理员进行分析处置。图 4 数据防泄露工作原理图 5 数据泄露防护示意图根据数据防泄露工作原理,DLP 关键技术有数据识别、检测技术、处置管控、溯源分析等。DLP 技术及产品研究数据防泄露(DLP)选型指南191.数据识别通过关键字及语义识别技术对数据进行自动发现,可以针对数据的重要程度进行分类识别,配合相应工作流程,完成样本分析,样本整理、特征发现等工作。常见的数据识别技术有:1.1 文件识别文件识别是数据智能分类分级的基础,包括:类型识别:识别各种文件类
44、型,比如文本文件、源代码文件、图片文件、压缩文件、音频文件、视频文件类等。防伪识别:对于修改了扩展名的文件,根据文件头信息识别文件类型。加密识别:识别加密的文件,比如office 加密文件、pdf 加密文件、加密压缩文件等。嵌套识别:识别嵌套的对象,比如识别在 Word 文档中嵌套的其它文件对象,包括多层嵌套的对象。压缩识别:识别压缩格式,包括多层压缩的文件,比如 zip/rar/7z等1.2 终端识别识别终端及外设的硬件特征、设备 ID、授权信息,比如 USB 存储、打印机、红外设备、蓝牙终端以及5G 终端等。1.3 协议识别对网络传输协议及网络应用协议数据的过滤和控制,比如对常规网络协议(
45、HTTP/HTTPS、SMTP、IMAP、POP3、FTP/FTPS、SMB 等)的分析和内容识别。1.4 云端识别基于 CASB(Cloud Access Security Broker)技术,对云端存储数据和网络流量进行检测和保护。目前CASB 有两种工作模式:一种是 Proxy 模式,即重要数据采用加密等安全策略处理后再上传到云服务商;另一钟是 API 模式,即企业数据存放在云服务商处,企业再利用云应用的 API,对数据进行访问控制以及执行企业的安全策略。DLP 技术及产品研究数据防泄露(DLP)选型指南202.检测技术检测技术是敏感信息准确识别和快速定位所需要的核心技术,如果没有准确的
46、检测,数据安全系统就会生成更多的误报或漏报。基础的检测技术有:关键字和关键字对检测、正则表达式检测和文档属性检测等;更高级的检测技术有:指纹文档比对、图像识别(OCR)、模糊化数据查询与识别、文档标签等。2.1 关键字和关键字对检测根据企业内部的数据安全规范,对被检测文件的内容、页眉、页脚或邮件的主题、正文、附件等位置进行基于关键字的检测,一旦检测到关键信息,则根据策略进行报警或阻断。关键字检测速度较快,但经常需要大量的人工配置工作。2.2 正则表达式检测正则表达式检测是用事先定义好的一些特定字符及组合,组成“规则字符串”,从而实现对字符串的一种过滤逻辑。通过正则表达式进行内容检测和匹配,可以
47、快速、精准地实现涉密内容匹配。2.3 文档属性检测文档属性检测主要是针对文档的类型、文档的大小、文档的名称进行检测,其中文档类型的检测是基于文件格式进行检测,不是简单的基于后缀名检测,对于修改后缀名的情况,文件类型检测也可以准确地检测出文件的类型,甚至可以通过自定义特征,去识别特殊文件类型格式的文档。2.4 文档指纹比对文档指纹比对又称为“指纹识别”,是指利用关键字匹配、自然语言处理、机器学习等识别方法,提炼出需要保护的敏感信息指纹模型。然后利用模型对被检测的内容进行指纹抓取和对比,根据预设的相似度去确认被检测数据是否为敏感信息。指纹识别分类器能够识别的指纹模型越多、运行越稳定,敏感数据识别就
48、越精准。2.5 图像识别(OCR)图像识别(OCR)是将纸质或者数字文档中的字符转换成文本信息,再识别文本中的敏感数据的技术。在实际使用场景中,若采用截屏的方式外发敏感数据,通过 OCR 识别技术可以进行追溯取证。DLP 技术及产品研究数据防泄露(DLP)选型指南212.6 模糊化数据查询与识别模糊化数据查询与识别可以对外发文档内容、数据进行内容识别计算,利用机器学习算法对文档内容进行分类、聚类,提取外发信息中的关键词信息,通过计算关键词的词频或者行为模式生成识别模型,然后根据识别模型进行文档类别识别和数据查询。2.7 文档标签将文档增加标签属性,以支持监控和检测。常用的 Office、PDF
49、、图片文件等都支持文档标签技术。文档标签能够大幅提升检测的准确率,避免误报和错报。3.处置管控3.1 外发审批在实际工作中,涉及文档上报或外发时,需要通过审批流程来完成,同时对外发的行为进行审计,对文档进行留档。外发审批包括管理流程和技术流程,技术上主要包括将审批流程与其它应用系统集成、提供与各类 OA 系统对接的接口、审批数据支持明文、密文等。3.2 审计监控审计监控能力更多地体现在 DLP 管理平台或者 DLP 态势感知平台,把 DLP 设备上产生的所有数据实时上传至管理平台,通过大数据分析和机器学习的算法,实现对全网防泄露态势的审计和监控。3.3 离线管控移动办公终端因员工出差、移动办公
50、等原因,离开办公环境后,办公终端安装的客户端无法连接 DLP 管理服务器,进入离线状态。即使办公终端处于离线状态,对应管控策略仍然继续生效,不会影响正常的管控效果。4.溯源分析4.1 数据追踪数据追踪是指通过记录数据在其生命周期内的流转记录,实现对数据的安全管理,数据追踪技术可以生成数据流转关系图、层级图来展示文档的流转途径。比如对磁盘内的敏感文档打上 ID 标记,并将标记上传至后台管理系统,在文档每次外发时再次打上流转 ID,同时将流转 ID 上传至后台,那么通过流转 ID 就可以实现对该数据对象的追踪。DLP 技术及产品研究数据防泄露(DLP)选型指南224.2 数字水印数字水印是指用信号
51、处理的方法在数据中嵌入标记以实现后期追溯,数字水印本质上是一种信息隐藏技术,水印可以是明文水印也可以是矢量水印,明文水印主要起威慑作用,以防范用户对敏感信息的拍照、截屏及打印行为;矢量水印内容通常包含用户名称、用户部门、终端 IP、MAC 地址等,可用于数据泄露后的溯源。4.3 DLP 态势感知DLP 态势感知通过数据采集、数据处理、机器学习等技术,智能动态地感知数据泄露风险,形成数据泄露态势分析,比如基于对不同级别文件的访问情况生成敏感数据分布图、基于数据泄露风险生成泄密指数、基于文件流转及外发情况生成多维度的统计图表等。第五节 DLP 产品1.DLP 产品概述数据泄露防护产品以深度内容识别
52、技术为核心,在数据存储、传输和使用过程中,发现并监控敏感数据,确保敏感数据的合规使用,防止主动或意外的数据泄露。数据泄露防护产品通过对敏感数据的使用行为、策略执行记录等内容的审计分析,为数据安全管理工作提供技术支撑。数据泄露防护产品分为管理中心、终端监控与防护、网络监控与防护、存储扫描与防护等四个组件,本次调研发现 DLP 产品主要包括终端防泄露、网络防泄露、邮件防泄露、存储防泄露、云端防泄露五个类别,其中广泛应用的是终端防泄露、网络防泄露、邮件防泄露产品。图 6 DLP 产品分类DLP 管理平台作为防泄露产品的管理组件,负责制定、下发数据采集和防泄露的策略,对数据安全事件进行集中监控、处置、
53、审计和分析。有些 DLP 管控平台,不仅是安全集中管理中心,也是海量安全运维数据的采集中心和处理中心,可以实现对内部资产的统一管理,同时基于收集的安全数据实现大数据分析功能。DLP 技术及产品研究数据防泄露(DLP)选型指南23图 7 DLP 管理平台图 8 DLP 产品部署方式2.DLP 产品分类2.1 终端 DLP终端数据防泄露产品,部署在终端设备或者服务器上,通过对操作系统的驱动注入、数据捕获、行为监控等技术,来发现、识别、监控计算机终端的敏感数据;对敏感数据的违规使用、发送等进行策略控制;对敏感数据的终端使用行为进行监控。终端 DLP 一般分为管理端和客户端。管理端集中制定、下发数据采
54、集、防泄露策略;对数据安全事件进行集中监控、处置、审计和分析。客户端安装在电脑终端上,实现对敏感数据的监控,与服务端通信,上报敏感数据泄露事件。DLP 技术及产品研究数据防泄露(DLP)选型指南24图 9 终端 DLP 典型功能 终端 DLP 的典型功能:文档文件识别:doc、xls、ppt、docx、xlsx、pptx、pdf、txt、zip、wps、etx 等;office、wps 等文档中的内容识别:文档:正文、脚注、页眉页脚、批注、尾注、文本框、控件;表格:工作表名、单元格内容、页眉页脚、对象文本;演示:文档属性、备注、讲义、幻灯片页内容、控件内文本、自定义放映名称、批注、页眉页脚;压
55、缩文件识别:zip、rar、7z 等,并对压缩文档中的文件进行文件扫描;嵌套文件识别:Word、excel、pptx、wps 格式文档等;泄露行为检测:USB 文件拷贝、微信/QQ/钉钉/等 IM 客户端、百度盘客户端、网页应用(浏览器)等的文件上传行为检测;泄露事件的回溯调查:指定时间的文件操作行为回溯,事件调查等;泄露行为的取证:员工操作记录,账号登陆情况、文件操作日志等的取证;风险行为管控:USB 拷贝、打印、非办公网络文件传输等;终端信息采集和管理:Host Name、Mac 地址、BIOS UUID、操作系统、内存信息、硬盘加密状态、DLP 技术及产品研究数据防泄露(DLP)选型指南
56、25软件信息等。2.2 网络 DLP网络数据防泄露产品,部署在网络出口或安全域边界,对受控区域內的外发流量进行协议解析、内容恢复和行为分析,以识别、控制传输中的敏感数据,并对泄露行为进行实时的拦截、告警、审计等。图 10 网络 DLP 典型功能网络 DLP 常用的部署模式有串联模式、旁路模式、代理模式和双机模式等。图 11 网络 DLP 部署模式 网络 DLP 的典型功能:主流标准协议解析:http、https、ftp、samba、imap、smtp、smtps、webmail 等;文件属性检测:能够针对文件类型、文件大小、文件名和文件内容进行识别;内容深度识别:关键字检测、正则表达式、中文自
57、然语言识别、表单格式识别、红头文件识别、机器学习、精确指纹、相似度指纹等;安全设备(IPS、UTM)联动;DLP 技术及产品研究数据防泄露(DLP)选型指南26 基于应用行为的分析。2.3 邮件 DLP邮件数据防泄露产品,通过标准的 SMTP、SMTPS 协议与组织的邮件服务器或邮件网关进行对接,实现邮件数据传输过程中邮件数据分析、敏感数据识别审计、邮件数据脱敏处理、邮件审批、邮件阻断等访问控制,同时对泄露行为进行实时告警、审计。图 12 邮件 DLP 典型功能 邮件 DLP 的典型功能:主流邮件协议解析:pop3、exchange、imap、smtp、smtps、webmail 等;文档识别
58、:支持文档类型/大小、多重文件压缩、文档嵌套、文件伪装识别等;外发审批:对包含敏感信息的邮件外发行为进行审批;邮件阻断和告警:可根据发送人、包含敏感信息、附件类型、附件内容等进行阻断、报警;邮件外发审计:外发邮件存档和邮件审计,审计内容包括邮件收发地址、发送时间、邮件内容等信息。2.4 存储 DLP存储 DLP,对存储在服务器、数据库、存储库中的结构化数据和非结构化数据进行扫描,发现、识别存储数据的合法性。存储 DLP 还能帮助客户梳理文件服务器、终端设备、数据库服务器上的数据资产分布,基于存储位置、存储内容、数据类型、数据大小、敏感数据等输出数据报表。DLP 技术及产品研究数据防泄露(DLP
59、)选型指南27图 13 存储 DLP 典型功能 存储 DLP 的典型功能:支持主流数据库扫描:Redis、HBASE、DB2、MS Sql Server、MongoDB、Access、MySQL、Oracle 等;支持常见数据类型识别:VARCHAR、VARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB IMAGE 等;支持主流非结构化数据内容识别:OFFICE 办公文档(doc/x,xls/x,ppt/x)、PDF、OFD、纯文本、标记文本、源代码、图片等;文档指纹识别:office,wps,pdf,txt 等;文档识别:文本文件、图片文件、办公文件、音频文件、视频文件、源
60、代码文件、数据库文件、压缩文件等;模糊化数据查询与识别:采用机器学习技术,对文档内容进行内容识别计算,对文档内容进行分类、聚类,并提取关键词信息进行运算,生成文档识别模型,并可根据文档模型进行文档类别识别和数据查询。存储 DLP 除支持数据库扫描外,还应支持常规文件系统,如 FTP 服务器、文件共享服务器等;邮件服务器静态存储扫描,如 exchange、lotus、coremail 等;应用服务器,如 webDav、sharepoint、OA 系统等。2.5 云 DLP云 DLP,设计目标是保护云端的数据安全,目前缺少成熟的产品,实际应用的更是鲜见。CASB(云安全代理)的功能与云 DLP 的
61、概念有相近之处,也是处于研究和探索阶段。DLP 选型指标体系架构数据防泄露(DLP)选型指南28第三章 DLP 选型指标体系架构针对 DLP 产品的应用情况,选型指南对较为成熟的终端 DLP、网络 DLP、邮件 DLP 三种产品的选型指标进行了梳理,构造出 DLP 选型指标体系。DLP 选型指标体系由功能指标、性能指标、运营指标和其它组成。功能指标指DLP应具备的基本功能,包括识别、管控、处置等方面;性能指标指DLP在运行时的主要性能,包括多策略识别、大文件实时识别、漏报率、错报率、离线扫描性能、单台服务器管理终端数量等终端 DLP的性能,网络吞吐量、漏报率、误报率等网络 DLP 和邮件 DL
62、P 的性能。根据指标的必要性,指标被分为推荐测试指标和可选测试指标两类,其中,推荐测试指标是默认需要在产品选型时考虑的,可选测试指标是根据组织的具体需要来选定的。选型指南从指标定义、测试方法、结果说明、备注等四个方面对选型指标进行描述,不仅在技术上全面剖析了指标,而且融入了对 DLP 应用的丰富经验和深刻理解。第一节 终端 DLP终端 DLP 产品是出现最早、应用最广泛的 DLP 产品。随着技术的进步,终端 DLP 产品在传统的审计与控制功能基础上,在兼容性、适用性上有了很大转变和提升。本结围绕终端的数据识别、泄密途径(外发通道)管控、告警处置、高效运行、兼容性与安全性进行论述。终端 DLP
63、产品采用深度数据内容分析技术,以集中策略为基础,对终端上的传输数据进行检测,对发现的敏感数据实施安全保护措施,达到防止敏感数据外泄的目的。终端 DLP 产品通过部署管理服务端,在终端电脑部署客户端的方式,统一管理安全策略,防止终端计算机数据泄露。处置的方式包括阻断、告警、触发审批等。终端DLP产品选型指标,如图14所示,本节从功能指标、性能指标、运营指标及其它四个方面论述。其中,对可选测试指标标题增加“可选”标识。DLP 选型指标体系架构数据防泄露(DLP)选型指南29图 14 终端 DLP 产品选型指标 DLP 选型指标体系架构数据防泄露(DLP)选型指南301.功能指标1.1 识别1.1.
64、1 文件类型识别【指标定义】DLP 产品内置文件类型库(不限于公办 office、文件类、编程类),通过直接读取文件头或内容编码信息的方式进行匹配,进行文件类型识别,用于识别非正常后缀名的文件、或被人为修改或删除后缀名的文件。【测试方法】在 DLP 产品管理界面配置文件类型识别策略,在执行端通过文件复制或共享文件读取等方式,触发文件类型识别策略,产生系统告警。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】在实际测试过程中,应注意产品支持的文件类型及种类,是否全部覆盖组织的文件类型,是否要定制其它文件类型。1.1.2 内容识别、匹配1.1.2.1 关键字【指标定义】通过用户设置关
65、键字或词组,用来匹配目标文件内容,从而实现对目标文件的敏感内容识别。如需输入多个关键字,则按照 DLP 产品提示输入分隔符连接多个关键字。【测试方法】在 DLP 产品管理界面配置关键字策略,在执行端通过文件复制或共享文件读取等方式,触发关键字识别策略,产生系统告警。【结果说明】DLP 选型指标体系架构数据防泄露(DLP)选型指南31如果目标被命中且触发告警则判定为成功识别。【备注】在 DLP 建设方案中,关键字是最为常见也是应用最广泛的数据特征提取方式之一。组织可在安全策略中定义常用的关键字,包括可用的关键字和期望排除的关键字,通过检测数据中是否含有预定的关键字来判断是否是敏感数据。关键字本身
66、是非常宽泛的数据特征定义,可进行“*”、“?”通配符、忽略大小写、多关键字、邻近关键字匹配等方式进行检测,但常常会导致大量的事件误报,在实际应用时,需根据业务场景使用。1.1.2.2 字典【可选】【指标定义】通过用户设置关键字或词组,并在关键字基础上增加权重属性信息,用来匹配目标文档内容,从而实现对目标文档的敏感内容识别。扫描待检测数据时,统计敏感关键字词典中被命中的敏感关键字数量,如果命中的敏感关键字数量达到或超过阈值,则这个待检测数据就属于敏感数据。【测试方法】在 DLP 产品管理界面配置字典识别策略,在执行端通过文件复制或共享文件读取等方式,触发字典识别策略,产生系统告警。【结果说明】如
67、果目标被命中且触发告警则判定为成功识别。【备注】字典算法是通过字典项来配置敏感信息,每个字典项实际上是一组关键字的集合,只是每个关键字的权重是不一样的,可自定义配置。相较关键字,利用字典进行内容识别的准确度更高,事件的误报率更低,但目前字典识别的方法还未被广泛应用。1.1.2.3 正则表达式【指标定义】正则表达式提供了一种用于识别文本字符串(如特定字符、单词或字符模式)的机制,可匹配或排除字符、模式和字符串。DLP 选型指标体系架构数据防泄露(DLP)选型指南32【测试方法】在 DLP 产品管理界面配置正则表达式识别策略,并应用到各类型数据外发通道。通过外发通道发送测试数据,并观察事件、告警情
68、况。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】利用正则表达式可以相对快速、精确地识别到敏感信息,尤其是对结构化或半结构化数据,灵活使用正则表达式不仅能匹配到关注的内容,还可排除指定的匹配内容,但需要有一定的技术功底或开发经验,才能较好地配置正则表达式识别策略,使其发挥作用。1.1.2.4 组合检测【可选】【指标定义】组合检测是关键字与正则表达式组合的一种内容识别技术,通过不同种技术的组合对内容进行识别。【测试方法】在DLP产品管理界面配置组合检测识别策略,并应用到各类型数据外发通道。通过外发通道发送测试数据,并观察事件、告警情况。【结果说明】如果目标被命中且触发告警则判定为
69、成功识别。【备注】从技术上来看,组合检测是由多个关键字逻辑拼接,或关键字与正则表达式的逻辑拼接;从使用上来看,配置组合检测的复杂程度与配置正则表达式相当;从体验上来看,组合检测的识别速度慢于单纯使用关键字或正则表达式。1.1.2.5 标识符【指标定义】将正则表达式匹配与数据校验相结合,以监测具备固定格式的内容,实现精确、简短格式的数据匹配。DLP 选型指标体系架构数据防泄露(DLP)选型指南33【测试方法】在 DLP 产品管理界面配置标识符识别策略,并应用到各类型数据外发通道。通过外发通道发送测试数据,并观察事件、告警情况。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】标识符是
70、比正则表达式更精确的识别方式,在个人信息识别中应用非常广泛,如身份证号、银行卡号、驾驶证档案号与护照号等。除了识别符合某种规则的内容外,还能对数据的有效性进行验证。标识符通常用于识别结构化数据或半结构化数据,如 xlsx、xml、json、csv 等。1.1.2.6 文件指纹【指标定义】从样本文档中生成指纹特征库,然后以同样的方法从待检测文档或内容中提取指纹,将得到的指纹与指纹库进行匹配,获得其相似度。【测试方法】上传确认过分类分级的多个样本文件到系统,生成文件指纹,在 DLP 产品管理界面配置指纹识别策略,并应用到各类型数据外发通道,通过外发通道发送测试数据,并观察事件、告警情况。【结果说明
71、】如果目标被命中且触发告警则判定为成功识别。【备注】在无法确定文档关键字、内容或特征时,通过指纹方式判断目标文档是否包括敏感信息。1.1.2.7 机器学习【可选】【指标定义】利用样本训练机制,在有监督或无监督机制下,对已知样本文件进行聚类计算、特征提取,形成识别模型,判断待检测数据的分类归属。DLP 选型指标体系架构数据防泄露(DLP)选型指南34【测试方法】上传确认过分类分级的多个样本文件到系统,进行训练生成模型,使用样本文件进行模型预测验证,不断调优、训练生成模型,在 DLP 产品管理界面配置机器学习识别策略,并应用到各类型数据外发通道,通过外发通道发送测试数据,并观察事件、告警情况。【结
72、果说明】如果目标被命中且触发告警则判定为成功识别。需要对大量结果进行记录与统计,计算出结果的准确率。【备注】识别过程与文件指纹类似,不同的是机器学习复杂度较高,算法与调优的内容更多,机器学习实际上是学习与预测的过程,需要长期模型调优与不断的学习。1.1.3OCR 光学识别1.1.3.1 图片识别【指标定义】通过光学字符识别(OCR)技术识别图片中的文字,再通过内容识别技术,识别出图片中是否包括敏感信息。【测试方法】在 DLP 产品管理界面配置图片识别策略(DLP 产品默认支持的,无需再单独配置),将配置完成的识别策略应用到各类型数据外发通道,通过外发通道发送测试数据,并观察 DLP 产品记录的
73、事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】无。DLP 选型指标体系架构数据防泄露(DLP)选型指南351.1.3.2 图章识别【可选】【指标定义】利用计算机对图章进行处理、分析和理解,以发现和识别各种不同模式下文档中的图章,使用光学字符识别技术提取图章中的文字,最后利用文本模糊匹配技术鉴别为特定图章。【测试方法】在 DLP 产品管理界面配置图章识别策略,将配置完成的识别策略应用到各类型数据外发通道,通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】无。1.1.4 文件压缩嵌套识别
74、1.1.4.1 普通压缩文件【指标定义】识别常用的压缩文件格式(如 rar、zip、7z、tgz 等),对压缩包进行解压并识别压缩文件中的文件内容,再通过内容识别技术,识别出文档中是否包括敏感信息。【测试方法】在 DLP 产品管理界面配置压缩识别策略(DLP 产品默认支持的,无需再单独配置),将配置完成的识别策略应用到各类型数据外发通道,通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】无。DLP 选型指标体系架构数据防泄露(DLP)选型指南361.1.4.2 嵌套压缩文件【可选】【指标定义】识别多层嵌套压缩文件,
75、对多层嵌套压缩包进行解压并识别压缩文件中的文件内容,再通过内容识别技术,识别出文档中是否包括敏感信息。【测试方法】在 DLP 产品管理界面配置压缩识别策略(DLP 产品默认支持的,无需再单独配置);将配置完成的识别策略应用到各类型数据外发通道;通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】默认检测超过 3 层的压缩文件,检测范围为 320 层。1.1.4.3 文件对象嵌套【可选】【指标定义】识别 office 文档中的嵌套对象(如 Word、Excel、PPT 等文档或压缩文件),再通过内容识别技术,识别出嵌套
76、文档中是否包括敏感信息。【测试方法】在 DLP 产品管理界面配置嵌套对象识别策略(DLP 产品默认支持的,无需再单独配置);将配置完成的识别策略应用到各类型数据外发通道;通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。DLP 选型指标体系架构数据防泄露(DLP)选型指南37【备注】无。1.1.5 文件标签识别【可选】【指标定义】通过具备标签功能的文件管理软件,将文件的各种描述通过管理软件提供的途径写入,使用该软件进行文件管理操作时,标签信息不会因复制、移动文件或重命名文件名而改动,但在删除文件时附加的标签会自动删除。也可
77、通过添加的标签来搜索文件。【测试方法】在 DLP 产品管理界面配置文件标签识别策略;将配置完成的识别策略应用到各类型数据外发通道;通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】启用自动标签后,用户在创建和保存某一类应用程序所产生的文件时,系统可以对该类型应用程序文件自动进行标签分类。如 3D MAX 应用程序产生的文件会打上 UX 团队的标签、部分财务软件产生的文件会打上财务团队的标签等。1.1.6 文件属性匹配【可选】【指标定义】文件属性是文件的描述性信息,可用来查找和整理文件,未包含在文件的实际内容中。文件
78、属性包括文件的修改日期、作者、分级等,也包括标记属性(该属性为自定义属性,可包含所选的任何文本)。【测试方法】在 DLP 产品管理界面配置文件属性识别策略;DLP 选型指标体系架构数据防泄露(DLP)选型指南38将配置完成的识别策略应用到各类型数据外发通道;通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】无。1.1.7 加密文件识别【可选】【指标定义】加密文件是将包含敏感数据的一个或多个文件拷贝并生成加密格式的文件。加密文件识别是确定这些加密文件被流转或通过外发通道传输出去,并进行溯源的过程。【测试方法】在 DL
79、P 产品管理界面配置加密文件识别策略;将配置完成的识别策略应用到各类型数据外发通道;通过外发通道发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】如果目标被命中且触发告警则判定为成功识别。【备注】对加密文件的目录生成敏感级别标签或 hash,用于识别加密文件流转。1.2 管控1.2.1 浏览器应用【指标定义】浏览器应用识别用于 B/S 架构系统,主要识别通过浏览器操作的行为,包括用户下载、上传敏感数据或DLP 选型指标体系架构数据防泄露(DLP)选型指南39文件,通过 POST、GET 等方法向互联网提交敏感信息或文件。【测试方法】在 DLP 产品管理界面配置浏览器应用管控策
80、略;将配置完成的识别策略应用到各类型数据外发通道;通过浏览器发送测试数据,并观察 DLP 产品记录的事件、告警数据。【结果说明】在浏览器应用操作时,弹窗、告警则判定为成功管控。【备注】无。1.2.2 即时通讯【指标定义】在使用即时通讯工具(如微信、QQ、钉钉等)时,识别文件上传或下载,识别窗口中提交的文本或图片信息。【测试方法】在 DLP 产品管理界面配置即时通讯管控策略;将配置完成的识别策略应用到各类型数据外发通道;通过即时通讯发送文件、图片、文字等测试数据,观察 DLP 产品记录的事件、告警数据。【结果说明】在即时通讯操作时,触发告警则判定为成功管控。【备注】无。DLP 选型指标体系架构数
81、据防泄露(DLP)选型指南401.2.3 电子邮件1.2.3.1 浏览器邮件【指标定义】特指通过浏览器(包括 IE、firefox、chrome、Safari 以及国产浏览器)进行邮件接收、预览及发送。识别用户通过浏览器发送邮件,是否包括敏感信息,识别内容包括标题、正文及附件。其它信息涉及接收方、抄送方信息及邮件发送时间、所在客户端信息等。【测试方法】在 DLP 产品管理界面配置浏览器邮件管控策略;在安装了 DLP 测试终端的设备上通过浏览器发送邮件,邮件内容包括测试用文本及附件;在发送邮件或上传附件时,观察 DLP 产品记录的事件、告警数据。【结果说明】在发送邮件操作、粘贴文本、上传附件时,
82、触发告警则判定为成功管控。【备注】浏览器邮件有一定隐避性,如写完邮件后,先保存草稿暂不发送,待下次发送时仅修改接收邮件信息,这样可能会避开终端 DLP 产品的检测。1.2.3.2 客户端邮件【指标定义】特指通过在终端安装的邮件客户端应用程序(如 foxmail、outlook、lotus notes 等)进行邮件接收、预览及发送。识别用户通过邮件客户端发送邮件,是否包括敏感信息,包括标题、正文及附件。其它信息涉及接收方,抄送方信息及邮件发送时间、所在客户端信息等。【测试方法】在 DLP 产品管理界面配置客户端邮件管控策略;在安装了 DLP 测试终端的设备上通过邮件客户端发送邮件,邮件内容包括测
83、试用文本及附件;DLP 选型指标体系架构数据防泄露(DLP)选型指南41在发送邮件或上传附件时,观察 DLP 产品记录的事件、告警数据。【结果说明】在发送邮件操作时,触发告警则判定为成功管控。【备注】区别于浏览器邮件,客户端邮件是使用邮件协议发送和接收的,其安全性取决于邮件协议与配置情况。1.2.4 文件共享【指标定义】通过常用的文件共享协议(如 FTP、SMB 等)向外传输文件,通常包括内部文件共享平台及互联网文件共享平台。实施文件共享管控,是对文件共享访问进行管控。【测试方法】在 DLP 产品管理界面配置网络共享管控策略;在安装了 DLP 测试终端的设备上访问共享测试目录,进行上传、下载操
84、作;观察在上传、下载时终端是否产生告警。【结果说明】在对测试共享目录上传、下载时终端产生告警,则判定为成功管控。【备注】文件共享是指主动地在网络上共享自己的计算机文件。用户在开启了文件共享后,可能未进行有效地访问控制,在共享结束后也未能及时关闭。1.2.5 非网络通讯1.2.5.1 蓝牙【指标定义】识别通过蓝牙协议的通讯,包括数据交换与文件传输,如用户的 PC 到手机、手机到手机、PC 到 PC 或PC 到其它有蓝牙功能的设备。DLP 选型指标体系架构数据防泄露(DLP)选型指南42【测试方法】在 DLP 产品管理界面配置蓝牙管控策略;使用手机蓝牙向安装了 DLP 测试终端的设备上传输测试文件
85、;在安装了 DLP 测试终端的设备上使用蓝牙向手机发送测试文件;观察在蓝牙传输时终端是否产生告警。【结果说明】在蓝牙传输时,终端能够产生告警,则判定为成功管控。【备注】在驱动层识别,不容易通过监测应用的方式来识别。1.2.5.2 其它【可选】【指标定义】相较于蓝牙,更加小众的非网络通讯方式,通过非 TCP/IP 协议(如 NFC,1394、红外、串口等),在特定领域里完成通讯工作。【测试方法】在 DLP 产品管理界面配置其他通讯管控策略;在安装了 DLP 测试终端的设备使用其他通讯方式对外发送测试文件;观察在文件传输时终端是否产生告警。【结果说明】在文件传输时,终端能够产生告警,则判定为成功管
86、控。【备注】小众,企业可根据实际情况选择性测试。1.2.6 外设DLP 选型指标体系架构数据防泄露(DLP)选型指南431.2.6.1 移动介质【指标定义】识别包括 U 盘、移动硬盘、SD 卡、TF 卡等外挂于 PC 的可移动存储设备或介质。移动介质作为常用的数据传输和共享方式,在提供很大便捷的同时,也是导致数据泄露的重要途径。【测试方法】在 DLP 产品管理界面配置移动介质管控策略;在安装了 DLP 测试终端的设备向移动介质写入(拷贝)测试文件;观察向移动介质写入(拷贝)测试文件时,终端是否产生告警。【结果说明】在文件传输时,终端能够产生告警,则判定为成功管控。【备注】无。1.2.6.2 C
87、D、DVD、刻录机【指标定义】光盘是以光信息作为存储的载体并用来存储数据的一种物品。CD/DVD 光驱以只读方式获取光盘中的信息,通过刻录机把信息写在光盘中。识别光盘读与写的操作行为及操作对象(CD/DVD/蓝光光盘等)。【测试方法】在 DLP 产品管理界面配置 CD/DVD/刻录机管控策略;在安装了 DLP 测试终端的设备上,使用刻录机向光盘写(刻录)入测试文件;在安装了 DLP 测试终端的设备上,使用 CD/DVD 读取光盘上的测试文件;观察光盘读、写时,终端是否产生告警。【结果说明】DLP 选型指标体系架构数据防泄露(DLP)选型指南44光盘读写时,终端能够产生告警,则判定为成功管控。【
88、备注】光盘介质使用越来越少,但在敏感级别较高的场所,仍然是重要的数据交换与传输方式。1.2.6.3 打印【指标定义】打印机管控属于文件外发通道管控,通过识别打印文件内容,对文件打印进行管控。【测试方法】在 DLP 产品管理界面配置打印管控策略;在安装了 DLP 测试终端的设备上打印测试文件;观察文件打印时,终端是否产生告警。【结果说明】文件打印时,终端能够产生告警,则判定为成功管控。【备注】无。1.2.7 网盘【指标定义】网盘,又称网络 U 盘或网络硬盘,是由互联网公司推出的在线存储服务。服务器机房为用户划分一定的磁盘空间,为用户免费或收费提供文件的存储、访问、备份、共享等文件管理等功能。【测
89、试方法】在 DLP 产品管理界面配置网盘管控策略;在安装了 DLP 测试终端的设备上安装网盘应用(软件);通过网盘应用将测试文件上传到网盘中;DLP 选型指标体系架构数据防泄露(DLP)选型指南45观察使用网盘传输文件时,终端是否产生告警。【结果说明】使用网盘传输文件时,终端能够产生告警,则判定为成功管控【备注】使用浏览器登录网盘页面进行文件上传下载等行为,可通过“浏览器应用”策略进行管控。1.2.8 应用程序【可选】【指标定义】对终端应用程序进行管控,限制应用程序的使用,监测特定应用程序对文档的读、写、修改与删除等动作。【测试方法】在 DLP 产品管理界面配置应用管控策略;在安装了 DLP
90、测试终端的设备上安装应用程序;使用应用程序对测试文件进行读、写、修改与删除;观察终端是否产生告警。【结果说明】使用应用程序对测试文件进行读、写、修改与删除时,终端能够产生告警,则判定为成功管控。【备注】无。1.2.9 系统信息管理1.2.9.1 人员账号管理【可选】【指标定义】区别于系统账号管理,人员账号管理特指对数据活动参与者的账号管理,用于完成数据审批业务流程。可通过 AD 或 LDAP 方式对组织账号进行同步,集中化管理业务人员账号信息。DLP 选型指标体系架构数据防泄露(DLP)选型指南46【测试方法】在 DLP 产品管理界面,查找人员账号管理功能页面,进行人员账号权限的增、删、改等操
91、作;建立测试数据传输等审批流程,测试各审批节点的用户是否能够按照预设的流程进行审批操作。【结果说明】DLP 产品中人员账号管理功能,测试数据传输等审批流程能够正常运行,则判定本功能有效。【备注】无。1.2.9.2 组织管理【可选】【指标定义】建立组织架构,对组织中的机构、部门、工作组进行树状展示与管理。【测试方法】在 DLP 产品管理界面,观察组织管理功能,进行组织管理配置,建立机构、部门、工作组目录。【结果说明】能够正常建立企业组织,则判定本功能有效。【备注】无。1.2.9.3 角色管理【可选】【指标定义】角色可以理解为具备一定操作权限的用户组。通过定义不同角色,对用户授权进行管理。【测试方
92、法】在 DLP 产品管理界面,查看系统是否支持角色管理;DLP 选型指标体系架构数据防泄露(DLP)选型指南47建立新的角色,创建账号并赋予新建角色;登陆该账号进行日常操作,观察是否能够正常使用。【结果说明】账号能赋予角色,并正常使用,则判定本功能有效。【备注】无。1.2.9.4 终端信息绑定【可选】【指标定义】明确终端设备与责任人的绑定关系,通过责任人能够对应到终端设备,通过终端设备的信息能够明确责任人。为事件分析、事件溯源与事件处置提供信息。【测试方法】DLP 客户端注册绑定:在安装 DLP 客户端时,提示输入信息,用于绑定责任人;DLP 服务端绑定:在安装 DLP 客户端时,在服务端绑定
93、终端信息到责任人;观察客户管理页面,是否可以看到终端绑定信息。【结果说明】观察客户管理页面,可以看到终端绑定信息,则判定本功能有效。【备注】无。1.3 处置1.3.1 策略1.3.1.1 审计【指标定义】审计功能是对策略命中的事件进行记录,常用于支撑数据泄露事件的审查与评价。审计记录应包括事件 DLP 选型指标体系架构数据防泄露(DLP)选型指南48发生的日期和时间、事件类型、设备信息、操作对象、事件描述和结果、事件等级、触发策略/规则等。【测试方法】查看策略配置,是否可以设置审计选项;查看告警日志和操作日志,确认日志记录的完整性。【结果说明】查看通过测试触发的告警日志及操作日志是否都进行了记
94、录,有无漏记、错记等情况,仅授权用户能够读取审计记录,审计记录不能被修改,仅授权用户才能删除,则判定本功能有效。【备注】DLP产品应支持配置审计记录的查询权限、存储时间设置、备份等功能,并能够防止修改审计记录的操作。安全类产品基本功能,除记录结果外,还可以考虑审计配置的合理性。1.3.1.2 告警【指标定义】指对于触发系统中设置的安全策略的行为,通过一种或多种方式(如页面弹窗、事件提醒板块、滚动提醒等)进行通知、告警。告警可通过短信、邮件、即时通讯等多种途径通知到事件的处理人。【测试方法】查看策略配置,是否可以设置告警选项;查看告警支持的方式。【结果说明】至少应支持一种以上的系统提醒方式及一种
95、以上的通知方式,则判定本功能有效。【备注】组织根据内部系统的情况,提出高级通知接口,细化相关人员的告警通知策略。1.3.1.3 审批【指标定义】建立敏感数据外发审批机制,保证敏感数据或文件外发前须经过适当的审批流程。审批对外发的文件有全流程的记录,保证数据泄露的可追溯性。DLP 选型指标体系架构数据防泄露(DLP)选型指南49【测试方法】查看策略配置,确定系统可支持审批功能(如不支持,无需测试此项);建立审批流程,为流程配置相关用户角色;验证流程是否能正常运行。【结果说明】通常测试会有以下三种情况:系统不支持审批;系统支持审批,但与实际工作中流程使用有较大差异;系统支持审批,但与实际工作中流程
96、使用差异较小(灵活度高,通过配置而非通过定制开发达到适用的目标)。【备注】保证数据使用的合规性,减少非授权外发敏感数据。流程配置的灵活度与系统复杂度紧密相关,企业可根据自身业务流程和实际情况,综合判断。1.3.1.4 拦截【指标定义】又称阻断或禁止,通过设置数据外发拦截策略,阻止高敏感级别的数据或文件在未经授权或审批的情况下所进行的外发等操作。【测试方法】查看策略配置,确定系统可支持拦截功能(如不支持,无需测试此项);配置数据外发拦截策略;观察通过外发通道发送测试数据,系统的拦截告警以及审计日志。【结果说明】系统成功拦截所有通过外发通道发送测试数据,并产生了拦截告警以及审计日志,无漏报、错报情
97、况,则判定本功能有效。【备注】通过可配置的拦截告警、明细的告警记录以及直观的告警统计,便于开展日常数据安全管理工作;拦截 DLP 选型指标体系架构数据防泄露(DLP)选型指南50可用于提醒或震慑员工,防止有意或无意地泄露敏感数据,强化员工的数据安全意识。1.3.1.5 黑、白名单【可选】【指标定义】通过 DLP 产品对网段、域名、邮件、IP 地址、IP 包、MAC、文件、应用、进程、证书、用户等资源采取允许或禁止的策略,如允许使用公司共享服务器上传或下载文件、禁止网盘上传文件。如果设立了白名单,则在白名单中的用户(或 IP 地址、IP 包、邮件等)会优先通过,不会被当成垃圾邮件拒收,安全性和快
98、捷性都大大提高。反之,凡在黑名单中的资源,则会被禁止使用或通过。【测试方法】查看策略配置,确定系统可支持黑、白名单功能(如不支持,无需测试此项);配置黑、白名单功能策略;观察通过外发通道发送测试数据,系统的告警以及审计日志。【结果说明】能正常发送测试数据到配置了白名单的资源,不能正常发送测试数据到配置了黑名单的资源,则判定本功能有效。【备注】黑、白名单功能的使用是为了保证业务的正常运行,而不是成为数据泄露的途径。使用黑、白名单的前提是名单内容的准确性和完整性,黑、白名单的使用各有利弊,需与其他安全方法结合,通过严格的审计与明细资源限制,降低使用风险。1.3.2 措施1.3.2.1 水印1.3.
99、2.1.1 显式水印【可选】【指标定义】为避免因截图、拍照、摄像造成数据泄露无法溯源而采取的数据水印技术手段。显式水印是肉眼可识别的信息,放置到显示内容的前端,如点矩信息、员工工号信息、终端信息、个人联系信息(部分)、二维码等,除用来追踪溯源外,也能对员工起到震慑作用。DLP 选型指标体系架构数据防泄露(DLP)选型指南51【测试方法】查看策略配置,确定系统可支持显式水印配置功能(如不支持,无需测试此项);配置显式水印策略;观察通过外发通道发送测试文件,到达目标设备后,是否产生水印,系统是否记录日志。【结果说明】通过外发通道发送测试文件都能正常写入水印信息,无漏写、错写的情况,日志全部记录,且
100、水印信息不可修改和删除,则判定本功能有效。【备注】组织需考虑水印对文件使用的影响,如写入水印信息后,文件无法正常打开或出现卡顿等现象。可综合评估各类水印的技术成熟度,或调整水印显示的位置、字体字号、颜色等属性,降低对视觉的影响,或根据业务场景触发水印,平常不显示水印等。具体方式根据测试时的体验进行取舍。1.3.2.1.2 隐式水印【可选】【指标定义】相较显式水印,隐式水印是使用算法把水印信息写入到目标对象中。如将溯源信息写入图片或文档的不可见部分。【测试方法】查看策略配置,确定系统可支持隐式水印配置功能(如不支持,无需测试此项);配置隐式水印策略;观察通过外发通道发送测试文件,到达目标设备后,
101、是否产生水印,系统是否记录日志。【结果说明】通过外发通道发送测试文件都能正常写入水印信息,无漏写、错写的情况,日志全部记录,且水印信息不可修改和删除,则判定本功能有效。【备注】隐式水印隐藏度高,不影响阅读,不容易被去除,可审计追踪,是应用较为广泛的一种水印,但由于隐式水印需要更复杂的技术实现,消耗更多的系统资源,企业可根据实际业务情况,考虑是否需要此功能。DLP 选型指标体系架构数据防泄露(DLP)选型指南521.3.2.2 文档加密【可选】【指标定义】采用加密算法和加密技术对命中策略的目标文件进行加密,防止数据泄露的一种技术手段。【测试方法】查看策略配置,确定系统可支持文档加密功能(如不支持
102、,无需测试此项);配置文档加密策略;观察通过外发通道发送测试文件,到达目标设备后,是否已经被加密,系统是否记录日志。【结果说明】通过外发通道发送测试文件都能被加密,无漏写、错写的情况,日志全部记录,则判定本功能有效。【备注】考虑到数据的可用性,文档加密后应保证能够正常解密。1.3.2.3 截屏/录屏【可选】【指标定义】截屏/录屏措施属于审计记录类,用于记录员工泄露信息的情况或处理敏感信息的情况。在数据泄露事件发生时后台进行截屏或录屏,用于追踪溯源。【测试方法】查看策略配置,确定系统是否支持截屏/录屏功能(如不支持,无需测试此项);配置截屏/录屏策略;查看被设置截屏/录屏策略的设备是否正常上报截
103、屏/录屏记录。【结果说明】被设置截屏/录屏策略的设备能够正常上报截屏/录屏记录,则判定本功能有效。【备注】截屏和录屏都会给计算机资源带来额外的负担,录屏会占用更多的存储空间,考虑到对终端设备的性能影响,厂商应给出此策略配置的合理范围。1.3.2.4 文件标签【可选】DLP 选型指标体系架构数据防泄露(DLP)选型指南53【指标定义】当 DLP 产品识别到敏感文件时,将标签写入敏感文件,用于敏感文件的追踪溯源。通过不同类型的文件标签,实现数据的分类分级管理。【测试方法】查看策略配置,确定系统是否支持文件标签功能(如不支持,无需测试此项);配置文件标签策略;在安装了 DLP 的终端观察,测试文件是
104、否增加了标签,系统是否记录了标签信息。【结果说明】测试文件能够被写入标签,系统准确记录了标签信息,则判定本功能有效。【备注】文件标签对数据分类分级管理有很大的价值,在写入标签时,需要考虑不同的文件类型,针对不同类型的文件(如图片格式、普通文档格式、普通文本格式、工程设计类文档等),写入标签的方式也不同。此外,标签的管理也是一项重要功能,标签需要加强保密性和可用性,确保溯源操作的可执行。1.3.2.5 数据擦除【可选】【指标定义】在特定的情况下某些计算机留存了历史遗留的敏感数据,使用离线扫描发现后,对其进行数据擦除处理,以保证数据不被滥用或泄露。【测试方法】查看策略配置,确定系统是否具有数据擦除
105、功能(如不支持,无需测试此项);配置数据擦除策略;在安装了 DLP 的终端观察,测试文件是否能被擦除,系统是否记录了擦除信息;使用数据恢复软件,尝试测试文件能否被恢复。【结果说明】测试文件能被擦除,并且通过软件无法进行数据恢复,系统记录了擦除信息,则判定本功能有效。【备注】从技术上来看,需要考虑数据是否被彻底擦除,无法恢复。可使用与数据加密技术相结合的方式来进行 DLP 选型指标体系架构数据防泄露(DLP)选型指南54数据擦除,保证数据即使被恢复也不能还原出原始内容。2.性能指标2.1 多策略识别【指标定义】在 DLP 产品中配置多项策略时,需考虑对实际办公和业务效率的影响。尤其是在产生或存储
106、大量非结构化数据的研究院或实验室,数据防泄露策略在不断增加的情况下,应当能够保证产品性能,不影响日常办公。【测试方法】在识别策略中配置超过 200 组(每组 3-5 个关键词)识别策略;观察通过外发通道发送测试文件时,实际办公设备的使用体验。【结果说明】正常办公活动中,收、发文件时,无黑屏或卡顿不超过 3 秒的情况,则判定本功能有效。【备注】通常把关键字策略数量定义到 200300 组,保证未来 13 年内业务能够正常运行和使用。通过控制 DLP产品对资源的使用,包括限制 CPU 使用率、缓存和磁盘的开销、内存的及时释放等,保证既能检测出数据泄露事件,又不影响工作效率。2.2 大文件实时识别【
107、指标定义】在 DLP 产品检测时,当经过外发通道发送较大文件(大于 100 兆)时是否会出现卡顿、黑屏以及其他无法操作或操作中断的情况。【测试方法】在识别策略中配置超过 200 组(每组 3-5 个关键词)识别策略;观察通过外发通道发送测试文件时,实际办公设备的使用体验。【结果说明】DLP 选型指标体系架构数据防泄露(DLP)选型指南55发送较大文件时,无黑屏或卡顿不超过 3 秒的情况,则判定本功能有效。【备注】考虑在配置了多项识别策略,并通过外发通道进行大文件传输、文件批量下载或上传时对系统的影响。2.3 漏报率【指标定义】漏报率是 DLP 产品在检测数据外发等行为时,未将违反策略的敏感数据
108、操作行为识别为违规的比率。漏报率是一定时期内在抽查的测试数中漏报数所占的比例,即漏报率=漏报数/测试样本总数。【测试方法】测试文件夹生成 1000 个测试文件;使用关键字、正则表达式策略分别进行测试;观察 DLP 产品日志告警情况。【结果说明】漏报率 1%以内(即在测试的 1000 个文件中不超过 10 个),则判定本功能有效。【备注】漏报率(underreporting rate)是 DLP 产品对测试数据进行识别、判断的一个重要指标,漏报会隐藏安全漏洞,造成数据泄露,可采取在不同设备、不同操作系统上进行测试取平均值的方式,计算产品的漏报率。2.4 误报率【指标定义】误报率是 DLP 产品在
109、检测数据外发等行为时,将未违反策略的敏感数据操作行为识别为违规的比率。误报率是一定时期内在抽查的测试数中误报数所占的比例,即误报率=误报数/测试样本总数。【测试方法】测试文件夹生成 1000 个测试文件;使用关键字、正则表达式策略分别进行测试;观察 DLP 产品日志告警情况。【结果说明】DLP 选型指标体系架构数据防泄露(DLP)选型指南56误报率 1%以内(即在测试的 1000 个文件中不超过 10 个),则判定本功能有效。【备注】误报会大量耗费进行进一步调查和解决安全事件所需的时间和资源,影响数据安全运营效率。2.5 离线扫描性能【指标定义】离线扫描性能可测量 DLP 产品对本地文件的敏感
110、识别效率,通常依据文件数量、文件大小、磁盘读写速度(参考基准值按照 30MB/S)来判断。【测试方法】在服务端配置 DLP 内容识别策略;将策略推送至客户端;在指定分区或文件夹中存放大量的测试文件,保证空间达到要求(如 5G 或 10G);由客户端主动开启或由服务器统一下发离线扫描任务;观察扫描前后的时间差,计算出扫描指定空间的离线扫描时间。【结果说明】磁盘读写速度大于或等于 30MB/S,则判定本功能有效。【备注】离线扫描性能应与漏报率相结合来使用。应保证客户端没有其他应用程序占用系统资源,考虑到服务器磁盘读写速度,包括 CPU、内存硬件配置等,进行适当调整,同时应考虑识别的准确率,对其进行
111、综合判断。当离线扫描速度快、识别准时,此指标才有意义。2.6 单台服务器管理终端数量【指标定义】单台服务器管理终端的数量,与业务、终端的规模及预算成本相关。在同样价格的情况下,单台服务器管理的终端数量越多,相对而言更加经济。【测试方法】通过厂商提供的测试材料、案例或由第三方测评机构提供的相关证明,进行材料对比验证。DLP 选型指标体系架构数据防泄露(DLP)选型指南57【结果说明】基准值单台服务器管理终端不小于一千台,则判定本功能有效。【备注】无。3.运营指标3.1 分类分级【可选】【指标定义】组织已经建立了数据分类分级制度,并细化了业务数据安全策略。要求DLP产品的分类分级功能设计合理,能通
112、过配置实现数据分类分级与组织的数据分类分级策略保持一致,让技术工具能够落地。【测试方法】在 DLP 产品管理界面进行数据分类分级配置,观察分类分级功能设计合理。【结果说明】DLP 产品分类分级与组织的分类分级策略贴合度越高越好。【备注】应考虑分类分级策略配置的复杂度以及维护成本,例如配置工作量的繁重程度,能否进行批量导入,调整、优化是否便捷等。3.2 数据备份【指标定义】对 DLP 产品告警事件、审计日志、系统运行日志、系统操作日志等,进行本地备份或远程备份。【测试方法】按照产品使用手册,对系统日志进行备份,并对备份文件进行还原。观察产品支持的备份方式的易用性、可靠性。DLP 选型指标体系架构
113、数据防泄露(DLP)选型指南58【结果说明】日志成功备份,且可成功还原,则判定本功能有效。备份方式与组织备份统一策略匹配度越高越好。【备注】如企业支持大数据备份,分布式数据查询系统接入等更好。3.3 数据扩容【指标定义】对容量不足的磁盘或分区进行空间横向扩展或纵向增加磁盘或分区,以满足业务不断增多的数据存储需求。【测试方法】询问 DLP 厂商产品是否支持扩容;根据 DLP 产品说明书中数据扩容的步骤进行操作。【结果说明】DLP 产品支持数据扩容,则判定本功能有效。【备注】无。3.4 数据迁移【指标定义】将原有DLP产品运行数据迁移到新的环境中,并保证在新环境中能够正常持续运行。涉及IT环境兼容
114、(云环境)、操作系统、中间件、数据库等因素。【测试方法】询问 DLP 厂商产品是否支持数据迁移;根据 DLP 产品说明书中数据迁移的步骤进行操作。【结果说明】DLP 产品支持数据迁移,则判定本功能有效。DLP 选型指标体系架构数据防泄露(DLP)选型指南59【备注】迁移的硬件环境、操作系统及中间件版本限制了数据迁移的可行性,提供跨平台、云环境解决方案更容易紧跟企业 IT 发展的步伐。3.5 检索功能【指标定义】DLP 产品能够对历史告警、事件及审计历史日志进行检索,不限于时间、IP 地址、端口、用户、操作对象、详细内容、处置情况等。用于快速定位疑似数据泄露,帮助安全人员溯源分析。【测试方法】打
115、开 DLP 产品日志检索页面,观察各查询指标是否覆盖;输入关键字进行查询,观察查询结果展示内容是否优化,查询设计是否合理,是否符合使用习惯;观察 DLP 产品支持精确查询、模糊查询、多关键字复杂查询的灵活度。【结果说明】查询灵活度更高,更符合用户使用习惯者为更优。【备注】无。3.6 报表功能【指标定义】DLP 产品能够对历史告警、事件及审计日志生成报告,用于统计和分析 DLP 产品整体运行状况以及对数据安全进行评估与预测。【测试方法】查看 DLP 产品报表功能页面;使用报表功能,观察界面布局是否合理、内容是否覆盖全面、统计分析信息是否详细明了、是否可用于进行数据安全评估与预测,是否支持向领导层
116、汇报。【结果说明】满足报表的上述功能更多者为更优。DLP 选型指标体系架构数据防泄露(DLP)选型指南60【备注】无。3.7 历史日志数据查询与分析【可选】【指标定义】对历史数据进行较长时间(一年以上)的数据查询与分析功能,包括导入离线备份数据、使用大数据接口、集群模式部署等。【测试方法】支持大数据组件的产品,使用历史日志数据查询与分析功能,观察数据查询的情况;单机版本的产品,导入历史备份数据,观察数据查询的情况。【结果说明】查询无异常、无报错等可判定本功能有效。【备注】由于 DLP 产品的存储容量有限,产品运维人员会将超过一定时间(如:180 天、一年等)的历史数据进行备份。通常在做数据安全
117、风险模型时会用到历史数据查询与分析功能,只有使用足够的数据量,才能进行更准确的预测。3.8 业务连续性【可选】【指标定义】与 Bypass 不同,这里特指 DLP 产品不会因为操作系统或软件异常,中断 DLP 产品功能。如支持服务端的多机房部署、双机热备、集群模式等。【测试方法】手动切断网络或系统电源,模拟 IT 基础环境故障;观察 DLP 产品(或其核心功能)是否能正常运行。【结果说明】DLP 产品在其他机房或环境中,能够正常运行或具备核心功能,可判定本功能有效。DLP 选型指标体系架构数据防泄露(DLP)选型指南61【备注】无。4.其它4.1 自身防护4.1.1 进程保护【指标定义】进程保
118、护是保护 DLP 产品可用性的一种手段,在用户有意或无意结束 DLP 进程时(如手动结束进程、通过系统功能杀掉进程),进程因自身的保护机制能够保护自身不被破坏。【测试方法】在安装了 DLP 产品的终端,通过任务管理器,选择客户端程序进程名,结束进程;观察 DLP 客户端程序进程被结束时的情况。【结果说明】弹窗提示禁止结束 DLP 客户端程序进程,无法通过结束进程方式,可判定本功能有效。DLP 客户端程序进程结束后,3 秒内自动恢复,可判定本功能有效。【备注】典型的实现方法是进程监测及进程自动启动。4.1.2 防卸载【指标定义】防卸载是为了防止员工有意或无意地卸载 DLP 终端程序,从而失去防护
119、并造成数据泄露。通常以卸载码的方式进行卸载拦截,只有拿到卸载码的员工才能正常卸载 DLP 终端程序,终端代理卸载后服务器归还授权点数。DLP 选型指标体系架构数据防泄露(DLP)选型指南62【测试方法】在安装了 DLP 产品的终端,通过控制面板卸载客户端程序;观察 DLP 产品的卸载情况。【结果说明】卸载时弹出验证码窗,不输入验证码,或验证码输入错误时能够阻止卸载的,可判定本功能有效。【备注】无。4.1.3 日志【指标定义】终端日志记录是指 DLP 产品的服务器端与终端同时记录告警事件;或当终端离线时(如员工出差带走笔记本电脑),离线期间产生的告警日志会存储在终端本地,当终端连接到服务器时,会
120、自动同步告警日志到服务器端。日志的保存周期应满足相关要求。【测试方法】观察 DLP 产品关于日志记录的配置要求;观察 DLP 终端(含离线)关于日志记录的配置要求。【结果说明】DLP 产品配置记录终端日志,且日志要求保存期限最短不低于 6 个月,可判定本功能通过。【备注】无。4.1.4 离线告警【指标定义】当 DLP 终端代理程序的离线时间达到策略设定的离线时间时,进行告警。运维人员据此判定终端用户的状态,如已离职、正常离线或终端程序被恶意卸载等。【测试方法】观察 DLP 产品系统配置关于终端离线时间的配置要求;观察终端程序被恶意卸载时,系统终端展示与告DLP 选型指标体系架构数据防泄露(DL
121、P)选型指南63警情况。【结果说明】DLP 终端程序被恶意卸载时,系统能够展示与预警,可判定本功能通过。【备注】在进行安全检查时,对恶意离线的终端进行审核,可帮助组织改善终端 DLP 的安全策略,确保产品实施有效落地。4.2 安全设计4.2.1 身份鉴别【可选】【指标定义】DLP产品身份鉴别应使用客户端认证与服务端认证相结合的方式实现,为登录用户提供唯一的身份标识,并具有复杂度检查等功能,确定该用户身份具有对某种资源的访问和使用权限。【测试方法】观察 DLP 产品登录系统身份鉴别的设计与实现方式。【结果说明】满足以下要求时,可判定本功能通过:能够对登录系统的用户进行身份标识,身份标识具有唯一性
122、;对登录用户进行身份鉴别,鉴别信息具有复杂度并要求定期更换;鉴别进行时,产品应仅向用户提供非鉴别数据(如圆点、星号等)作为鉴别数据输入的反馈;产品应保护鉴别信息不被未授权用户查阅和修改;产品应提供登录鉴别失败处理功能,并采取结束会话、限制非法登录次数等措施;应提供用户登录超时锁定或注销功能,终止会话后,用户需要重新登录。DLP 选型指标体系架构数据防泄露(DLP)选型指南64【备注】无。4.2.2 访问控制【可选】【指标定义】DLP 产品应支持基于用户角色、IP 等安全属性实现访问控制。【测试方法】观察 DLP 产品系统配置,能否对登陆用户进行访问限制。【结果说明】DLP 产品能对登陆的用户分
123、配账户和权限,可判定本功能通过。【备注】无。4.2.3 权限分离【可选】【指标定义】安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为。在数据安全中,对数据安全管理、数据使用、安全审计等人员角色进行分离设置。【测试方法】登陆 DLP 产品系统,进行多用户权限配置;观察不同角色使用时,是否实现权限分离。【结果说明】DLP 产品可设置不相容职责能够实现权限分离,可判定本功能通过。【备注】无。4.2.4 安全审计【可选】DLP 选型指标体系架构数据防泄露(DLP)选型指南65【指标定义】DLP 产品应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和安全事
124、件进行审计。审计内容应以便于用户理解的方式展现,便于及时发现、分析和处理违规行为。【测试方法】登录 DLP 产品,观察安全审计功能和审计记录。【结果说明】DLP 产品能够对以下事件进行记录,可判定本功能通过:DLP 产品的启动和关闭;导出、另存和删除审计日志;设置鉴别尝试次数;设置审计记录存储的阈值;鉴别机制的使用;用户的创建、修改、删除与授权;其他系统参数配置和管理安全功能行为的操作。【备注】应保护存储的审计记录,禁止对审计记录进行修改,以及避免未授权的删除。审计信息应存储在永久性存储介质中,当审计存储空间被耗尽时,系统应采取措施,如:忽略可审计事件或覆盖所存储的最早的审计记录等。4.2.5
125、 DLP 留存数据的安全保护【指标定义】DLP 运行使用的过程中,可能留存发现的敏感数据,产品应具备对此类敏感数据的安全保护功能。【测试方法】获取并审阅产品的相关说明,确定产品设计了对留存敏感数据的安全保护功能;根据产品说明进行测试。DLP 选型指标体系架构数据防泄露(DLP)选型指南66【结果说明】对留存敏感数据的安全保护功能设计合理,测试结果与产品说明相符,可判定本功能通过。【备注】无。4.3 兼容性4.3.1 国产化【可选】【指标定义】为了满足软件国产化发展和组织数据安全管理的需要,通过在国产化平台上的交叉编译和运行验证,从而实现软件安全、自主、可控的目标。DLP 产品通过适配国产化平台
126、,能够正常运行。【测试方法】查阅 DLP 产品厂商提供的国产化相关材料;结合组织使用国产化产品的情况,对 DLP 产品安装部署;观察 DLP 产品在国产化环境下的运行与使用情况。【结果说明】DLP 产品在国产化环境下,能够正常运行与使用,无兼容性报错等异常,可判定本功能通过。【备注】无。4.3.2macOS【可选】【指标定义】DLP 产品可以在苹果公司的 macOS 操作系统上运行。尤其在设计公司,在图形图像、视频处理、平面设计领域,macOS 有着非常重要的地位。实现 macOS 系统中的数据防泄露,也是组织数据保护目标中不可或缺的一部分。【测试方法】在 macOS 操作系统上安装 DLP
127、产品终端程序,观察使用情况。DLP 选型指标体系架构数据防泄露(DLP)选型指南67【结果说明】macOS 操作系统上安装的 DLP 产品终端程序,能够正常运行,无兼容性报错等异常,可判定本功能通过。【备注】无。4.3.3 兼容其它终端应用4.3.3.1 终端准入【可选】【指标定义】终端准入作为访问控制的重要环节,对于非授权访问进行拦截,避免开放式网络被恶意访问,保证信息系统的正常运行。终端准入程序自身附带防病毒功能,可能会拦截 DLP 产品的部分功能。造成 DLP 产品的部分防泄露功能失效,不能实现数据防泄露目标。【测试方法】观察 DLP 产品在安装了终端准入的设备上的运行与使用情况。【结果
128、说明】在安装了终端准入的设备上,DLP 产品能够正常运行与使用,无兼容性报错等异常,可判定本功能通过。【备注】无。4.3.3.2 杀毒软件【指标定义】杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。如:诺顿、360、卡巴斯基、迈克菲等。这些软件极有可能将 DLP 产品程序当成病毒或木马,进行删除、隔离、限制部分功能正常使用,妨碍 DLP 产品实现数据防泄露目标。DLP 产品需要对杀毒软件进行兼容,以确保所有功能都能正常运行。DLP 选型指标体系架构数据防泄露(DLP)选型指南68【测试方法】将 DLP 产品客户端程序安装到已经安装了杀毒软件的
129、终端上,如果组织安装了不同品牌的杀毒软件,应当全部覆盖;下发 DLP 策略到测试终端;在终端上通过外发通道发送测试文件及数据;观察 DLP 识别与管控策略是否生效,程序是否出现异常。【结果说明】DLP 产品能够正常使用,无黑屏、卡顿、弹窗等兼容性问题为通过。【备注】无。4.3.3.3 EDR【可选】【指标定义】EDR,是端点检测与响应(Endpoint Detection&Response,EDR)的缩写,Gartner 于 2013 年定义了这一术语,被认为是一种面向未来的终端解决方案,以端点为基础,结合终端安全大数据对未知威胁和异常行为进行分析,并做出快速响应,后来被业界通称为端点检测和响
130、应(EDR)。DLP 产品应当兼容 EDR 环境,保证数据防泄露功能正常使用,在各种条件下不产生冲突,不影响产品性能。【测试方法】将 DLP 产品客户端安装到已经安装了 EDR 的终端上(如果没有 EDR 环境,则此项测试忽略);下发DLP 策略到测试终端;按照正常测试的方法使用终端,通过外发通道发送测试文件及数据;观察 DLP 识别与管控策略是否生效,程序是否有异常。【结果说明】能够正常使用,无黑屏、卡顿、弹窗等兼容性问题为通过。【备注】DLP 选型指标体系架构数据防泄露(DLP)选型指南694.3.3.4 国密算法【可选】【指标定义】国密算法是国家密码局认定的国产密码算法,包括对称加密算法
131、、椭圆曲线非对称加密算法、杂凑算法等。【测试方法】查看 DLP 产品厂商提供的相关材料。【结果说明】能够提供材料证明支持,此项为通过。【备注】无。4.3.3.5 信创环境【可选】【指标定义】信创,即信息技术应用创新产业,是目前的一项国家战略,是数据安全、网络安全的基础,也是新基建的重要组成部分。【测试方法】查看 DLP 产品厂商提供的相关材料。【结果说明】能够提供材料证明支持,此项为通过。【备注】无。DLP 选型指标体系架构数据防泄露(DLP)选型指南704.3.3.6 通过的安全检测认证【可选】【指标定义】由专门从事网络安全测评和风险评估的权威职能机构,证实产品经过鉴定或服务符合特定标准所颁
132、发的安全检测认证证书。【测试方法】查看 DLP 产品厂商提供的安全检测认证证书。【结果说明】能提供企业所属行业更全面的认证为更优。【备注】无。DLP 选型指标体系架构数据防泄露(DLP)选型指南71第二节 网络 DLP网络DLP产品专门用于网络流量数据识别,深度还原流量数据(包括文件)。优势在于对终端用户影响最小,甚至能做到无感知。网络DLP产品采用深度数据内容分析技术,以集中策略为基础,对传输中的数据进行检测,对发现的敏感数据实施安全保护措施,达到防止敏感数据外泄目的。网络 DLP 产品以串联的方式接入网络,能够采取阻断、告警、触发审批等多种安全保护措施;以旁路的方式接入网络,可以采取告警、
133、审计等保护措施。网络 DLP 产品指标体系,如图 15 所示,本节分别从功能指标、性能指标、运营指标及其它四个方面论述。其中,对可选测试指标标题增加“可选”标识。图 15 网络 DLP 产品指标体系 DLP 选型指标体系架构数据防泄露(DLP)选型指南721.功能指标1.1 识别1.1.1 IPV4/IPV6【可选】【指标定义】由于 IPv4 最大的问题在于网络地址资源不足,严重制约了互联网的应用和发展。IPv6 的使用,不仅能解决网络地址资源数量的问题,而且解决了多种接入设备连入互联网的障碍。DLP 产品能够兼容 IPV4 与 IPV6,在两种网络环境下正常运行与使用。【测试方法】在 IPV
134、4/IPV6 环境下,分别部署 DLP 产品,进行使用测试。【结果说明】DLP 产品在 IPV4/IPV6 环境下能够正常运行,产生审计日志,无程序异常、IPV4/IPV6 网络报错等信息,此项判定为通过。【备注】无。1.1.2 内容识别见前文第一节终端 DLP 中 1.1.2 内容识别章节1.1.3 应用协议识别1.1.3.1 http/https【指标定义】HTTP是运行在TCP之上的超文本传输协议(Hyper Text Transfer Protocol,HTTP),是一个简单的请求-响应协议,是一种协议规范,这种规范记录在文档上,为真正通过 HTTP 进行通信的实现程序。HTTPS(全
135、称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证传输过程的安全性。DLP 产品能够识别 http/https 协议数据提交方法,深DLP 选型指标体系架构数据防泄露(DLP)选型指南73度识别和还原通讯内容。【测试方法】查阅 DLP 厂商提供的 http/https 内容识别技术的介绍;观察测试数据在 http/https 协议传输识别情况。【结果说明】依照 DLP 厂商提供的测试方法,能够识别 http/https 协议中内容,无程序异常、网络报错
136、等信息,此项判定为通过。【备注】部分场景不适合串接或代理等方式,需要满足旁路镜像模式下 https 解密的功能。1.1.3.2 邮件见前文第一节 1.2.3.1 章节浏览器邮件1.1.3.3 文件共享【指标定义】通过常用文件共享协议(FTP、SMB等)向他人传输的文件,通常包括内部文件共享及互联网文档共享平台。【测试方法】通过文件共享,发送测试数据,并观察 DLP 产品对文件共享通道的文件还原能力。【结果说明】能够全部还原共享通道发送文件,无程序异常、网络报错等信息,此项判定为通过。【备注】无。1.1.4 加密文件识别【可选】【指标定义】是一种根据要求在操作系统层自动地对写入存储介质的数据加密
137、的识别,包括对 WINDOWS 自带的文件 DLP 选型指标体系架构数据防泄露(DLP)选型指南74加密功能的识别等。识别网络中传输的文件为加密文件,包括采用加密算法实现的商业化加密软件,如压缩加密、驱动级加密。【测试方法】通过网络传输各类型加密文件,观察 DLP 产品对加密文件的识别情况。【结果说明】能够识别文件是否加密,此项判定为通过;能够精准识别加密类型、区分加密方法者为更优。【备注】加密软件按加密算法可分为三类:对称 IDEA 算法、非对称 RSA 算法、不可逆 AES 算法。1.2 管控1.2.1 网络监测【指标定义】网络 DLP 针对局域网内数据收集、数据传输、数据共享等行为进行监
138、测与管控。【测试方法】通过网络共享、传输数据测试数据,观察 DLP 产品的管控响应与告警情况。【结果说明】通过网络共享、传输数据测试数据,DLP 产品能够进行管控响应并产生告警,此项判定为通过。【备注】无。1.2.2 应用监测【指标定义】应用监测,即应用活动监控,指从应用层对应用的性能、流量、带宽占用、受欢迎程度、用户行为、用户来源渠道、用户客户端环境等进行实时监控、分析、报警。网络DLP产品的应用监测具有对原有系统影响小、实施简单等优势,可将应用活动与监测数据在仪表盘中展示。DLP 选型指标体系架构数据防泄露(DLP)选型指南75【测试方法】观察网络 DLP 产品,是否包括应用监测功能,是否
139、在仪表盘中展示监测数据。【结果说明】网络 DLP 产品包含应用监测功能,并能在仪表盘中展示监测数据,此项判定为通过。【备注】无。1.2.3 接口监测【指标定义】通过自动化手段识别接口资产,对内部接口以及对外共享数据接口具有应用接口自动发现、敏感数据识别功能,帮助组织全面掌握敏感数据使用状况,及时防控敏感数据泄露风险。【测试方法】观察网络 DLP 产品是否具有接口监测功能,对比测试系统接口情况。【结果说明】能够监测测试系统所有接口,快速响应与更新,此项判定为通过。【备注】无。1.2.4 溯源【指标定义】特指对数据使用行为的溯源,是一项事后追责活动,是通过对特定的数据已经发生损害的事实,进行的行为
140、成因的探究,目的是找出导致结果的成因中最大权重或最初始阶段的行为主体,追究其相关责任。数据溯源工作最终的效果能实现对数据滥用、数据泄露行为形成威慑,甚至形成法律惩罚。【测试方法】观察网络 DLP 产品是否具备溯源功能。DLP 选型指标体系架构数据防泄露(DLP)选型指南76【结果说明】网络 DLP 产品具备溯源功能,此项判定为通过。【备注】无。1.3 处置1.3.1 策略1.3.1.1 审计见前文第一节终端 DLP 中 1.3.1.1 审计章节1.3.1.2 告警见前文第一节终端 DLP 中 1.3.1.2 告警章节1.3.1.3 审批见前文第一节终端 DLP 中 1.3.1.3 审批章节1.
141、3.1.4 拦截见前文第一节终端 DLP 中 1.3.1.4 拦截章节1.3.1.5 黑、白名单【可选】见前文第一节终端 DLP 中 1.3.1.5 黑、白名单章节1.3.2 措施1.3.2.1 水印【可选】见前文第一节终端 DLP 中 1.3.2.1 水印章节1.3.2.2 加密【可选】见前文第一节终端 DLP 中 1.3.2.2 加密章节DLP 选型指标体系架构数据防泄露(DLP)选型指南771.3.2.3 标签【可选】见前文第一节终端 DLP 中 1.3.2.4 标签章节1.3.3 设备联动【可选】【指标定义】DLP 产品与其他网络安全设备联动,实现网络防护的联防联动,如:DLP 产品发
142、现数据泄露告警,通过联动接口,调用防火墙,对异常泄露源、目进行网络阻断,以达到快速 DR(检测响应)的目标。【测试方法】观察网络 DLP 产品是否具有设备联动接口功能。【结果说明】网络 DLP 产品具有设备联动接口功能,此项判定为通过。【备注】各厂商更关注自己产品间的联动,组织应考虑是否支持与实际部署的其他安全产品联动。1.3.4 行为分析【可选】【指标定义】DLP 用户行为分析,是指通过对用户操作行为检测获得的数据进行分析,更加详细、清楚地了解用户的数据操作行为习惯,从而找出数据操作过程中存在的异常行为,并依此来对数据安全策略进行更新优化,逐步降低数据丢失、泄露风险。用户行为分析常用来检测恶
143、意的内部人员和外部攻击者对组织信息系统的渗透和数据窃取。【测试方法】观察 DLP 是否支持用户行为分析。【结果说明】DLP 产品能够支持用户行为分析,此项判定为通过。【备注】DLP 选型指标体系架构数据防泄露(DLP)选型指南78无。2.性能指标2.1 网络吞吐量【指标定义】网络中的数据是由一个个数据包组成,吞吐量测试结果以比特/秒或字节/秒表示,吞吐量和报文转发率是关系网上设备的主要指标,一般采用 FDT(Full Duplex Throughput)来衡量,指 64 字节数据包的全双工吞吐量,该指标既包括吞吐量指标,也涵盖了报文转发率指标。【测试方法】以一定速率发送一定数量的包,并计算待测
144、设备传输的包,如果发送的包与接收的包数相等,那么就将发送速率提高并重新测试,如果接收包少于发送包则降低发送速率重新测试,直至得出最终结果。【结果说明】DLP 产品网络吞吐量指标能够达到标称的数值,此项判定为通过。【备注】无。2.2 漏报率见前文第一节终端 DLP 中 2.3 漏报章节2.3 误报率见前文第一节终端 DLP 中 2.4 误报章节3.运营指标3.1 分类分级【可选】见前文第一节终端 DLP 中 3.1 分类分级章节DLP 选型指标体系架构数据防泄露(DLP)选型指南793.2 数据备份见前文第一节终端 DLP 中 3.2 数据备份章节3.3 数据扩容见前文第一节终端 DLP 中 3
145、.3 数据扩容章节3.4 数据迁移见前文第一节终端 DLP 中 3.4 数据迁移章节3.5 检索功能见前文第一节终端 DLP 中 3.5 检索功能章节3.6 报表功能见前文第一节终端 DLP 中 3.6 报表功能章节3.7 历史日志数据查询与分析【可选】见前文第一节终端 DLP 中 3.7 历史日志数据查询与分析章节3.8 业务连续性【可选】见前文第一节终端 DLP 中 3.8 业务连续性章节4.其它4.1 可靠性4.1.1 自动恢复【可选】【指标定义】DLP 产品在运行过程中,系统中某个或多个组件出现故障或异常,影响系统正常工作时,系统内置监测程序(或看门狗芯片)对系统组件进行重启或尝试恢复
146、正常状态的功能。【测试方法】DLP 选型指标体系架构数据防泄露(DLP)选型指南80查阅设备说明材料,是否具备自动恢复功能。【结果说明】具备自动恢复功能,此项判定为通过。【备注】由于需要使用超级用户(系统管理员),不易测试,只能通过查阅相关技术材料来判断。4.1.2 Bypass【可选】【指标定义】Bypass 意为“旁路单元”是指在网络设备失效(含正常失效和非正常失效两种方式),设备出现故障时,将网络桥接,暂时损失数据安全性,而保证网络可用性。无论内置还是外置 Bypass,都是为了避免单点故障而引起的网络中断,一旦这些情况出现时,Bypass 将立即启动并保证网络的畅通无阻。【测试方法】查
147、阅设备说明材料,是否具备 Bypass 功能;断开电源(或按下 Bypass 切换键),验证网络是否畅通。【结果说明】断开电源(或按下 Bypass 切换键),网络正常,此项判定为通过。【备注】无。4.2 安全设计4.2.1 身份鉴别【可选】见前文第一节 4.2.1 身份鉴别章节4.2.2 访问控制【可选】见前文第一节 4.2.2 访问控制章节4.2.3 权限分离【可选】DLP 选型指标体系架构数据防泄露(DLP)选型指南81见前文第一节 4.2.3 权限分离章节4.2.4 安全审计【可选】见前文第一节 4.2.4 安全审计章节4.2.5 DLP 留存数据的安全保护见前文第一节 4.2.5DL
148、P 留存数据的安全保护章节4.2.6 国密算法【可选】见前文第一节 5 国密算法章节4.2.7 信创环境【可选】见前文第一节 6 信创环境章节4.2.8 通过的安全检测认证【可选】见前文第一节 7 通过的安全检测认证章节 DLP 选型指标体系架构数据防泄露(DLP)选型指南82第三节 邮件 DLP邮件 DLP 是专门用于邮件数据安全防护和敏感识别、数据防泄露的安全防护系统。邮件 DLP 集审计和管控于一体,实现邮件数据传输过程中邮件数据分析、敏感数据识别审计、邮件数据脱敏处理、邮件审批管理、阻断策略响应访问控制。邮件DLP产品选型指标,如图16所示,本节从功能指标、性能指标、运营指标及其它四个
149、方面论述。其中,对可选测试指标标题增加“可选”标识。图 16 邮件 DLP 产品选型指标DLP 选型指标体系架构数据防泄露(DLP)选型指南831.功能指标1.1 识别1.1.1 网络功能【指标定义】邮件 DLP 产品应具有基本网络功能,实现部署与使用的灵活度与适应性。包括网关模式、正向代理模式、反向代理模式与镜像监控模式。【测试方法】查阅 DLP 厂商提供的产品网络功能说明;按照组织要求设计测试网络架构;观察在测试网络环境下,各个模式能否使用。【结果说明】测试网络环境下,DLP 产品在多种模式下,均能正常工作,此项判定为通过。【备注】无。1.1.2 邮件协议识别【指标定义】邮件 DLP 产品
150、的基本功能,能够识别常用邮件协议,如 SMTP、POP3、IMAP4。【测试方法】在邮件 DLP 产品部署完成后,观察邮件协议识别情况。【结果说明】能够正常进行邮件协议识别,此项判定为通过。DLP 选型指标体系架构数据防泄露(DLP)选型指南84【备注】无。1.1.3 邮件内容识别见前文第一节终端 DLP 中 1.1.2 内容识别章节1.2 管控1.2.1 对象1.2.1.1 网络【指标定义】邮件 DLP 产品通过网络资源对邮件数据泄露进行管控,网络资源包括 IP 地址、IP 网段等。【测试方法】在IPv4/IPv6网络环境下分别使用邮件DLP产品,对邮件接收/发送进行网络管理,观察网络的管控
151、情况。【结果说明】能够分别在 IPv4/IPv6 网络环境下,对网络进行监测与管控,此项判定为通过。【备注】无。1.2.1.2 收件人/邮件地址【指标定义】邮件 DLP 产品能够通过安全策略,对邮件的收件人/邮件地址对象进行管控,当设置的收件人/邮件地址对象被命中后,触发告警或拦截。DLP 选型指标体系架构数据防泄露(DLP)选型指南85【测试方法】在邮件 DLP 产品管理界面配置邮件的收件人/邮件地址作为管控对象;向管控对象发送电子邮件,观察发送与接收情况。【结果说明】能够对管控对象发送/接受进行记录与告警,此项判定为通过。【备注】无。1.2.1.3 域名管控【可选】【指标定义】邮件 DLP
152、 产品能够对收件人邮件服务器域名进行管控,限制向指定域名对象发送邮件,并进行审计记录。【测试方法】在邮件 DLP 产品管理界面配置域名管控策略;观察管控域名发送电子邮件的结果反馈情况。【结果说明】管控域名收、发电子邮件,提示发送失败并记录发送日志,此项判定为通过。【备注】无。1.2.2 内容识别1.2.2.1 正文与标题【指标定义】邮件 DLP 产品支持对邮件的正文与标题进行管控,限制正文与标题包含的敏感信息不能随意发送出去,符合数据防泄露的要求。DLP 选型指标体系架构数据防泄露(DLP)选型指南86见前文第一节终端 DLP 中 1.1.2 内容识别章节1.2.2.2 附件【指标定义】邮件
153、DLP 产品支持对邮件附件的管控,未经允许或审批的文件,限制以附件的形式对外发送。见前文第一节终端 DLP 中 1.1.2 内容识别章节1.2.3 邮件地址导入【可选】【指标定义】邮件DLP产品支持邮件地址导入功能,辅助实现对指定邮件地址的精细化管理,如邮件地址的黑、白名单,组织与外部单位的邮件往来管理。【测试方法】观察邮件 DLP 产品是否具有邮件地址导入功能并作为基础数据。【结果说明】具有邮件地址导入功能,且能成功导入作为基础数据,此项判定为通过。【备注】无。1.3 处置1.3.1 策略1.3.1.1 审计见前文第一节终端 DLP 中 1.3.1.1 审计章节1.3.1.2 告警见前文第一
154、节终端 DLP 中 1.3.1.2 告警章节DLP 选型指标体系架构数据防泄露(DLP)选型指南871.3.1.3 审批见前文第一节终端 DLP 中 1.3.1.3 审批章节1.3.1.4 拦截见前文第一节终端 DLP 中 1.3.1.4 拦截章节1.3.1.5 黑、白名单【可选】见前文第一节终端 DLP 中 1.3.1.5 黑、白名单章节1.3.2 措施1.3.2.1 水印【可选】见前文第一节终端 DLP 中 1.3.2.1 水印章节1.3.2.2 加密【可选】见前文第一节终端 DLP 中 1.3.2.2 加密章节1.3.2.3 标签【可选】见前文第一节终端 DLP 中 1.3.2.4 标签
155、章节2.性能指标2.1 网络吞吐量见前文第一节终端 DLP 中 2.1 网络吞吐量章节2.2 漏报率见前文第一节终端 DLP 中 2.3 漏报章节2.3 误报率见前文第一节终端 DLP 中 2.4 误报章节 DLP 选型指标体系架构数据防泄露(DLP)选型指南883.运营指标3.1 分类分级【可选】见前文第一节终端 DLP 中 3.1 分类分级章节3.2 数据备份见前文第一节终端 DLP 中 3.2 数据备份章节3.3 数据扩容见前文第一节终端 DLP 中 3.3 数据扩容章节3.4 数据迁移见前文第一节终端 DLP 中 3.4 数据迁移章节3.5 检索功能见前文第一节终端 DLP 中 3.5
156、 检索功能章节3.6 报表功能见前文第一节终端 DLP 中 3.6 报表功能章节3.7 历史日志数据查询与分析【可选】见前文第一节终端 DLP 中 3.7 历史日志数据查询与分析章节3.8 业务连续性【可选】见前文第一节终端 DLP 中 3.8 业务连续性章节DLP 选型指标体系架构数据防泄露(DLP)选型指南894.其它4.1 可靠性4.1.1 自动恢复【可选】见前文第二节邮件 DLP 中 4.1.1.自动恢复章节4.1.2 Bypass【可选】见前文第二节邮件 DLP 中 4.1.2.Bypass 章节4.2 安全设计4.2.1 身份鉴别【可选】见前文第一节 4.2.1 身份鉴别章节4.2
157、.2 访问控制【可选】见前文第一节 4.2.2 权限分离章节4.2.3 权限分离【可选】见前文第一节 4.2.3 访问控制章节4.2.4 安全审计【可选】见前文第一节 4.2.4 安全审计章节4.2.5 DLP 留存数据的安全保护见前文第一节 4.2.5DLP 留存数据的安全保护章 DLP 选型指标体系架构数据防泄露(DLP)选型指南904.2.6 国密算法【可选】见前文第一节 5 国密算法章节4.2.7 信创环境【可选】见前文第一节 6 信创环境章节4.2.8 通过的安全检测认证【可选】见前文第一节 7 通过的安全检测认证章节附录 A:参与指南编写的 DLP 产品厂商(排名不分先后)数据防泄
158、露(DLP)选型指南91附录 A:国内代表性 DLP 产品厂商(排名不分先后)天融信科技集团股份有限公司天融信科技集团股份有限公司(简称“天融信”)作为国内较早成立的网络安全企业,围绕网络安全、大数据与云服务三大业务方向推出全面产品体系,构建了覆盖基础网络、工业互联网、物联网、车联网等众多业务场景的综合解决方案。在数据安全领域,天融信提出“以数据为中心的安全建设体系”建设思路,形成了“以数据安全治理为基础、数据安全防护为核心、数据安全监管为目标”的数据安全建设方案,为客户提供涵盖数据采集、传输、存储、处理、交换与销毁全生命周期的数据安全治理体系。基于持续探索与积累,陆续推出数据安全智能管控平台
159、、数据脱敏、数据防泄露、大数据分析、数据库审计等二十余款数据安全类产品,并在政府、电信、能源、金融等行业广泛应用。天融信 DLP 系统基于内容识别引擎,通过内置关键字、指纹库、数据标识符、权重词典、机器聚类等多种敏感数据定义手段,对抓取到的传输数据进行过滤,发现、监控并确保敏感数据的合规使用,实现对敏感数据实施事中、事后的全面保护与审计,保障数据全生命周期的安全流转。面向网络侧、终端侧、邮件侧、接口侧等不同环境,以及 IPv4、IPv6、云等多种场景,天融信可提供全面的数据内容识别能力。针对网络侧设备,可支持纯透明代理、正反向代理、路由、探针等多种部署模式;针对终端侧设备,可对常见的数据外发途
160、径进行监测、对敏感信息文件进行识别管控,保障敏感信息的可控流转,对泄密行为进行告警、阻断和追溯。天融信 DLP 系统具备成熟度高、可复制性强、灵活易用等优势,现已通过 EAL3 增强级、IPv6 Ready Logo、CCRC等多项认证,广泛应用于政府、运营商、能源、金融、教育、卫生、企业等行业。此外,天融信是“注册数据安全治理专业人员”(CISP-DSG)专项证书的运营中心,负责CISP-DSG专项证书知识体系的研发与运营,为国家培养专业性、实战性的数据安全专业人才。北京滴滴信息安全科技有限公司北京滴滴信息安全科技有限公司(简称“滴滴安全”)结合自身 10W+终端数据防泄露产品能力和日常运营
161、能力,致力于一站式解决企业终端数据泄露问题。区别于传统 DLP 产品的强管控、误报高、单一事件分析的“囚笼和枷锁”式的模式,滴滴 DLP 系统采用了轻终端重运营,轻管控重监测,轻事件重行为的新一代智慧型 DLP 产品解决思路。基于大数据驱动、加持人工智能技术、透过全局安全可视实现企业数据流转和数据泄露行为的实时监测和分析,并能实现较小地影响业务运转和员工办公效率,滴滴DLP系统通过“可识别”、“可发现”、“可管理”、“可追溯”满足企事业单位数据安全合规要求及自身要求,将数据风险降低至可附录 A:参与指南编写的 DLP 产品厂商(排名不分先后)数据防泄露(DLP)选型指南92接受水平,让数据使用
162、更安全。针对单一或复杂的数据泄露场景,滴滴 DLP 系统通过大数据分析的模式,将海量终端原始日志进行关联分析,实现从单一威胁事件关联,敏感行为监控到风险预警直至证据链追溯的全方位管控,为企业安全运营提供高效的安全运营及监管能力,不论是敏感数据的识别与分类规则,还是数据泄露场景的覆盖,均与企业内部现状相吻合。滴滴安全拥有数百人的专业安全研究和产品工程实施团队,在保障好滴滴出行母公司的同时,也将优秀的产品、技术、方法论赋能给各行业,同时也会联合安全行业优秀的合作伙伴,共建安全新生态。北京亿赛通科技发展有限责任公司北京亿赛通科技发展有限责任公司(简称“亿赛通”)成立于 2003 年,是绿盟科技(证券
163、代码:300369)全资子公司。经过近二十年风雨兼程,亿赛通已成为数据安全领域专业的综合数据安全厂商。亿赛通以咨询服务、产品方案、工程交付三个体系为主导,以“分 放 管 服”数据安全建设理念为核心,以专利技术为支撑,对综合数据、视频专网数据、工业数据、大数据、云数据等进行全方位、多维度管理,保障各行业的核心数据资产安全。全线产品覆盖云、网、端三大类应用场景,共计 60 款精细化数据安全产品,支持结构化、非结构化和半结构化数据安全管理,打造了数据安全领域真正意义上的综合解决方案。其中,数据泄露防护系列产品包含终端 DLP、网络 DLP、邮件 MailDLP 以及存储扫描 DLP 等,通过这些产品
164、的组合,可以综合梳理用户数据,跟踪记录用户行为,集被动审计和主动预防于一体,帮助用户将每一次数据活动与实际用户、设备和应用程序进行关联、监管、审计、识别、记录、溯源,精准识别流动数据是否在被合法使用。北京明朝万达科技股份有限公司北京明朝万达科技股份有限公司(简称“明朝万达”)成立于 2005 年,是中国新一代信息安全技术的代表厂商,公司现有员工近 600 人。目前已累计申请国家发明专利近 400 项,授权专利百余项。公司于 2019年获得中央网信办背景中网投、国家发改委背景国投创合联合投资,并于 2020 年获得中国电科集团(CETC)战略投资。基于“动态数据安全,数据全生命周期管控”的产品理
165、念,明朝万达始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在大数据、云计算等新技术应用背景下,明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础,研发了 Chinasec(安元)数据安全系列产品及解决方案。其中数据防附录 A:参与指南编写的 DLP 产品厂商(排名不分先后)数据防泄露(DLP)选型指南93泄露相关产品线研发人员占公司研发总人数的 60%以上。近年来取得的产品收益占公司产品线总收益的 70%以上,是公司最核心产品之一。明朝万达数据防泄露系列产品覆盖数据产生、存储、交换、使用等全生命周期重要环节,实现对服务器、数据库、PC 终端、移动终端以及云端数据的可知、
166、可见、可控,并利用 ML、NLP、UEBA 等技术持续为数据防泄露产品赋能,期望建立全IT架构下数据安全的协同联动管理,打造数据全场景闭环的动态安全防护体系。杭州世平信息科技有限公司杭州世平信息科技有限公司(简称“世平信息”),致力于数据安全领域技术创新,聚焦数据资产管理、数据安全合规管控和数据内容安全防护,为用户提供针对涉密数据、个人信息和重要数据的合规性管控及内源性数据安全风险的识别和防护产品与解决方案,满足监管部门、政企用户的数据安全治理需求,提升数据安全风险管控与数据价值保护能力。世平信息是国内首批自主研发基于内容识别的数据泄露防护系统的厂商之一,曾参与国家公安部GAT 912-201
167、8 信息安全技术 数据泄露防护产品安全技术要求标准的制定,凭借在该领域的深入探索与研究,世平信息数据泄露防护系统在电信、金融、电力、教育、医疗等行业得到了广泛应用,帮助用户实现信息系统中重要数据的自动识别发现,终端数据外发行为、网络流转情况的监测,以及高危外发、传输行为的预警与阻断,其广泛而精准的结构化、非结构化数据识别能力和网络应用协议解析能力,切实帮助用户解决数据泄露防护问题,并满足等级保护中数据安全合规需求。目前,世平信息已拥有多项专利、软著等自主知识产权,获得多家行业权威机构检测认证,并荣获多项荣誉称号。合肥赛猊腾龙信息技术有限公司合肥赛猊腾龙信息技术有限公司(简称“赛猊腾龙”)于 2
168、015 年作为安徽省 A 类高科技人才创业项目引入合肥,由原某国际网络信息安全厂商中国区研发中心的总负责人张晶及其核心研发人员组建创办,多年来致力于企业数据资产价值发现和保护、数据防泄露(DLP)等产品的自主研发工作。公司以智能内容识别技术为核心,将“自主可控技术服务国家信息安全”作为技术研发的方向,通过自主化、国产化的数据防泄露产品和服务,把信息安全价值转化为用户价值和社会价值,不断推动中国数据安全的建设进程。作为国内基于内容识别的数据防泄露(DLP)技术倡导者,赛猊腾龙采用内容指纹、语义分析、人脸识别、附录 A:参与指南编写的 DLP 产品厂商(排名不分先后)数据防泄露(DLP)选型指南9
169、4物体识别、图章识别等高级智能算法,同时结合加密协议解析、多核高速数据包并发处理、万兆超大流量解析等技术,推出了基于统一管理平台的网络监控、全流量(HTTPS)网络监控、网络保护、邮件保护、应用系统保护、数据发现、终端保护、检测工具箱八大功能模块,面向国内各行各业不同的应用场景,针对用户的网络、终端、存储构建以数据为核心的安全防护体系,打造数据生命周期的闭环安全。深圳市联软科技股份有限公司深圳市联软科技股份有限公司(简称“联软科技”)创立于 2003 年,专注于企业级网络安全领域,主营业务是为政企客户提供网络安全产品和服务。围绕端点安全、边界安全和云安全,为客户提供网络准入控制、终端安全管理、
170、数据防泄露、数据安全摆渡、软件定义边界、网络入侵检测、移动端安全管理、云主机安全管理、互联网安全监控 SaaS 平台、网络空间资产测绘、终端检测与响应等产品。联软科技深耕金融行业,经过十余年发展,其产品已在银行、保险、证券等金融各细分领域得到广泛应用,端点安全产品在金融领域市场份额居行业前列,并在制造业、电信、党政军、医疗、能源和交通等行业构建了较强的市场影响力,已服务超过 3000 家高端行业客户。17 年来,联软科技从全球较早的网络准入控制厂商之一,成长为中国企业端点安全领域的领导者之一、国产自主可控的网络安全新基建优秀厂商、并成为国内率先落地基于“零信任安全”产品的厂商之一。杭州美创科技
171、有限公司杭州美创科技有限公司(简称“美创科技”)成立于2005年,总部位于杭州,在全国32个省市设立分支机构,为政府、金融、能源、电信、医疗、教育、企业、物流交通等 12000+用户提供产品、解决方案与服务。自成立以来,美创科技持续聚焦数据安全领域,17 年来专注于敏感数据保护技术的研发和应用。2010年美创科技与谷歌并行提出零信任安全体系,目前已升级为零信任 2.0 新一代数据安全架构,更加注重落地实践。美创科技诺亚数据防泄露系统基于内容的深度学习与分析技术,以“事前监测预警、事中实时防护、事后溯源取证、全面杜绝泄密”为理念,通过对传输、存储、使用中的数据进行检测,智能识别敏感数据与未知风险
172、,自动生成保护策略,并持续进行监控与防护。诺亚数据防泄露系统已拥有多项自主知识产权并通过多家行业权威机构检测认证。自 2015 年上架以来,年销售额超千万,已有效应用于医疗、政府、金融等众多行业。附录 B:DLP 应用调查问卷及调查结果数据防泄露(DLP)选型指南95附录 B:DLP 应用调查问卷及调查结果1、中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法的颁布,是否对贵公司的数据安全建设起到了推动作用?单选题 2、贵公司重点关注的数据类型是什么?多选题 3、贵公司的数据防泄露管理制度建设的情况是什么?单选题 选项小计比例A.是76 98.7%B.否1 1.3
173、%本题有效填写人次77选项小计比例A 制定了数据防泄露管理制度和流程53 68.83%B.有默认的工作流程10 12.99%C.凭管理人员的经验处理13 16.88%D.不适用1 1.3%本题有效填写人次77选项小计比例A.结构化数据65 84.42%B.非结构化数据69 89.61%C.视频或音频数据23 29.87%D.不适用0 0%本题有效填写人次77 附录 B:DLP 应用调查问卷及调查结果数据防泄露(DLP)选型指南964、贵公司采用的数据防泄露产品有哪些?多选题 5、贵公司采用的数据防泄露产品是什么?单选题 6、在数据防泄露产品选型阶段,您最关注的方面是什么?多选题 选项小计比例A
174、.终端防泄露62 80.52%B.网络防泄露42 54.55%C.邮件防泄露38 49.35%D.移动端防泄露18 23.38%E.不适用9 11.69%本题有效填写人次77选项小计比例A.国 外 产 品(比 如Websense、Symantec)18 23.38%B.国内产品44 57.14%C.不确定5 6.49%D.不适用10 12.99%本题有效填写人次77选项小计比例A.产品的功能72 93.51%B.厂商品牌23 29.87%C.产品对网络和终端设备的影响59 76.62%D.产品与环境的兼容性62 80.52%附录 B:DLP 应用调查问卷及调查结果数据防泄露(DLP)选型指南9
175、77、贵公司的数据防泄露产品的使用状况是什么?单选题 8、您关注的数据防泄露产品的功能有哪些?多选题 选项小计比例A.误报率62 80.52%B.错报率48 62.34%C.配置不方便48 62.34%D.管理界面不友好35 45.45%E.其他8 10.39%本题有效填写人次77E.其他6 7.79%本题有效填写人次77选项小计比例A.内容识别75 97.4%B.图像识别52 67.53%C.对终端的安全控制66 85.71%D.报警功能52 67.53%E.其他8 10.39%本题有效填写人次77附录 B:DLP 应用调查问卷及调查结果数据防泄露(DLP)选型指南989、您关注的数据防泄露产品的不足之处有什么?多选题 10、您对数据防泄露产品的了解来自于哪里?多选题 选项小计比例A.误报率62 80.52%B.错报率48 62.34%C.配置不方便48 62.34%D.管理界面不友好35 45.45%E.其他8 10.39%本题有效填写人次77选项小计比例A.厂商人员的介绍62 79.22%B.参加专业的学习48 42.86%C.同行之间的探讨48 74.03%D.公司内部的培训35 29.87%E.其他7 9.09%本题有效填写人次77