怎樣利用區(qū)塊鏈來保護自己的數據安全

前言

“葉舟瓠壺浪如屋，暗樁觸船船版折”，浪上行舟，一個暗樁便會惹得貨損船毀。外部暗樁尚可通過經驗避開而行，內部暗樁想排查難如登天。等到發(fā)現(xiàn)時，已如朽木一般無法補救。

現(xiàn)代企業(yè)便如這浪上之舟，怎知自己公司中沒有被暗樁滲透？怎知核心信息沒有被暗樁泄露？

然而，從古至今，防范內部主動或被動泄密都不是一個容易回答的話題。

在數字化時代，數據，成為一個企業(yè)創(chuàng)新與發(fā)展的核心，已無法通過枷鎖式的方式來進行管控。數據在整個行業(yè)生態(tài)中的流轉以及在新興業(yè)務場景下的使用，促使企業(yè)需要采用更靈活的方式來對數據進行管控。數據防泄漏（DLP， Data Loss Prevention）技術應運而生并且日臻成熟，已在不同的行業(yè)，尤其是具備敏感的研發(fā)或客戶數據的企業(yè)中廣泛應用。

2018年Gartner首次將數據防泄漏技術由“魔力象限報告”調整為《企業(yè)級數據泄漏防護市場指南報告》，這跟DLP技術日趨成熟、越來越多的安全產品包含了DLP功能，比如云訪問安全代理（Cloud Access Security Broker， CASB）不無關系。

然而，全球企業(yè)數據泄露安全事件仍層出不窮。我國的《網絡安全法》、美國針對健康保險行業(yè)的HIPPA、歐盟的GDPR等法規(guī)對數據安全也提出了更嚴格的要求。目前，我們看到很多企業(yè)選擇較為傳統(tǒng)的DLP工具，也看到市場上的一些技術創(chuàng)新，如利用人工智能進行內容識別。雖然很多企業(yè)部署了DLP，卻無法很好地發(fā)揮其效用，要么事件積累擱置不管，要么花費大量人力進行運維，這都與DLP實施的每一個環(huán)節(jié)息息相關。今天就簡單聊聊企業(yè)部署推廣DLP的一些方法和注意點。

數據防泄漏技術能實現(xiàn)什么？

數據防泄漏保護是通過一定的技術手段，防止企業(yè)的特定數據或信息資產以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

對很多新興科技企業(yè)，研發(fā)部門往往是企業(yè)的核心部門，掌握著大量敏感數據。關于企業(yè)內部泄密有很多大家耳熟能詳的場景：? 研發(fā)工程師在離職前，將核心技術源代碼下載至個人電腦，并加入競爭對手公司或創(chuàng)立自己的公司? 自主設計的產品信息被發(fā)現(xiàn)在黑市交易，例如，源代碼、設計圖紙、技術規(guī)范等

? 企業(yè)員工將高敏感度的公司信息（如企業(yè)戰(zhàn)略、營銷計劃、科研產品信息等）上傳至公共論壇或社交網站上

以上場景只是數據泄露場景的冰山一角，數據防泄漏對于很多企業(yè)來說是至關重要，且能夠直接為企業(yè)進行止損。

而傳統(tǒng)的DLP系統(tǒng)可以在數據存儲和傳輸過程中進行實時掃描，識別這些數據是否違反現(xiàn)有策略規(guī)則，進而對數據外發(fā)事件進行靜默審計，隔離可疑文件，加密數據或直接阻攔傳輸。

DLP實施前要提前做好什么工作？

為了更精準地保護企業(yè)的敏感數據，提升后期DLP運維的效率，在實施DLP項目之前，有幾件需要提前做好的工作：

數據分類分級：

企業(yè)需要針對自身所持有的數據進行分級分類，而后對特定等級的數據進行DLP策略的實施。如：企業(yè)將數據分級為絕密、機密、內部、公開四個等級，并僅針對絕密和機密數據實施數據防泄漏保護。部分行業(yè)有專門針對數據分級分類的國家政策規(guī)定或指導，如證券期貨行業(yè)的《證券期貨類數據分級分類指引》，企業(yè)可根據國家規(guī)定、行業(yè)實踐進行相應的數據分級分類工作。

人員角色和崗位權限定義：

一般情況下DLP產品會讀取企業(yè)的AD（AcTIve Directory）域信息來進行管控。如果企業(yè)實施精細化管理，AD域的準確性將會是一個影響DLP管理效果的重要因素，否則企業(yè)人工維護人員信息需要投入的人力成本將會非常高。

內部溝通：

由于有很多企業(yè)會部署終端DLP，這將需要在員工電腦上安裝軟件并且可能會影響到員工的日常操作流程，管理層的重視與支持，自上而下進行推廣，對于一個DLP項目的成功實施至關重要。同時實施過程的數據識別、運維階段的事件處理，都離不開業(yè)務部門的支持，這都需要在實施前進行充分的溝通。

DLP實施應從哪些技術層面進行考量？

目前市場上使用比較多的DLP類型有終端DLP，網絡DLP以及郵件DLP。

終端DLP會針對所安裝的終端的數據使用行為做監(jiān)控，這也是目前應用范圍最廣的DLP類型。即使設備在離線的狀態(tài)，只要策略已經在終端生效，也會實施相應的管控措施。

網絡DLP一般是放在企業(yè)內網出口位置，可以對發(fā)送的信息做第二道審核。同時有些產品為了減輕終端壓力，圖像識別功能（如掃描的圖片，截圖或非文字轉換為PDF的文檔）也是放在網絡DLP中。

郵件DLP一般是部署在郵件服務器上，對于郵件發(fā)放進行審核。有的企業(yè)郵箱是在外網可以登陸的，此種方式可以減少這種在外網通過企業(yè)郵箱發(fā)送數據而產生數據泄露的風險。

DLP策略是整個實施過程的核心，策略的準確性和覆蓋性會直接影響到DLP 項目的成敗?？梢苑譃樗膫€維度來進行考慮，分別為：數據的識別規(guī)則，策略生效的范圍，安全應對策略和數據傳輸方式。

數據的識別規(guī)則：

此維度是指針對特定密級文檔的識別，也就是需要保護的對象。一般類型的文檔可以使用關鍵字，建立字典或者使用正則表達式等方法來識別。一些特殊的文件需要針對文件類型來做相應的識別方法，如CAD等圖紙類文件。還有一些其他的方式如針對單個文件打指紋等等。大部分DLP產品中會自帶一些可一鍵使用的識別方式，如身份證號、個人簡歷、源代碼等等，由于這些通用性的策略沒有根據企業(yè)實際情況進行定制化，因此必須在調優(yōu)過程中逐步進行優(yōu)化。

策略生效的范圍：

此維度是指本條策略生效的終端（人員）。理論上來說，所有策略都是需要針對企業(yè)內部所有終端進行下發(fā)，但某些更加嚴格的策略會需要針對特定群組的員工實施。亦或是有些企業(yè)的研發(fā)環(huán)境與辦公網絡環(huán)境是隔離的，某些機密文件的策略只需要針對該部門的員工終端實施。

安全應對策略：

此維度是指針對這條策略實施怎樣的應對方式，如靜默審計、阻攔等等。一般在策略生效之初的優(yōu)化階段，只會對事件做靜默審計以免影響合理的業(yè)務往來。當策略優(yōu)化到誤報量達到可接受的范圍內時，企業(yè)會根據自身需要調整策略，進行發(fā)送確認或者阻攔等方式。

數據傳輸方式：

此維度是指該類型文件所允許的傳輸渠道。如郵件、U盤、網絡云盤等。企業(yè)需要針對每個類型的文件有清晰的傳輸渠道定義，如某機密文件只可以通過內部郵箱發(fā)送，其余渠道都需要阻攔等。

當然還有其他一些維度，如針對時間段進行設置，企業(yè)可根據自身要求和產品功能進行相關策略的配置。

從人員及管理方面，應當進行哪些工作來保證DLP的有效性？

一

當DLP投入正式運維后，需要有一定的組織和人員來保障持續(xù)運營，方能及時發(fā)現(xiàn)和處理數據泄露事件。

一般情況下，除了安全團隊，企業(yè)內部還需要以下幾個團隊：

DLP運維團隊：

DLP運維團隊的所屬部門一般由于企業(yè)實際情況而有所不同。DLP系統(tǒng)后臺管理會由基礎架構團隊或者信息安全團隊負責，部分企業(yè)可能由合規(guī)團隊負責。此團隊主要負責DLP后臺的運維，諸如后臺賬號創(chuàng)建、事件、日志審閱等。

應急響應團隊：

此團隊主要工作是在發(fā)生信息安全事件時，進行相關的數據泄露事件響應和處理。團隊成員可包括信息安全團隊相關負責人，各業(yè)務部門相關負責人，合規(guī)團隊負責人，人力資源團隊負責人等等。

基礎架構支撐團隊：

從終端DLP軟件的推送、網絡DLP的部署，到服務器資源配置等，都需要基礎架構團隊的參與，方能從技術上保障DLP工具的落地和運維。

審計團隊：

防范DLP管理過程中可能發(fā)生的二次泄露。

二

事件審查模式的有效建立方能保障數據防泄漏的持續(xù)性效果

目前有三種事件審查模式比較常見：

1

信息安全團隊審查：

完全由信息安全團隊來審查DLP后臺事件。這種模式優(yōu)點是由信息安全團隊專人進行事件處理，效率會比較高。但由于安全團隊人員對于業(yè)務理解度不高，可能無法判斷該業(yè)務需求是否合理，還需多次與業(yè)務部門溝通，或存在事件處理結果不恰當的情況。

2

業(yè)務部門審查模式：

完全由業(yè)務部門來審查DLP后臺事件。這種模式優(yōu)點是各業(yè)務部門出于對自身業(yè)務的了解，能更加有效地判斷事件是否為真實的信息安全事件。但是這種模式存在以下幾種缺點：

業(yè)務部門調查人員可能存在包庇行為，或業(yè)務部門內部解決而不報告安全部門的情況

由于DLP實施前期誤報可能比較多，造成業(yè)務部門調查人員積極性不高，并且當大量誤報形成時會導致潛在信息安全事件被淹沒

對調查人員本身及其上司的信息泄露事件可能有所缺失

3

混合團隊審查模式：

由信息安全團隊和業(yè)務部門混合調查。這種模式主要可以理解為，信息安全團隊對后臺事件先進行篩選，剔除掉重復或者明顯是誤報的事件，隨后將各業(yè)務部門的潛在安全事件分配給業(yè)務部門調查人員進行確認。當然，這種混合型審查模式也是有缺點的，過于依賴信息安全團隊人員的篩選，分配事件的時間較長，事件調查的時效性會比較差。

三

相關數據防泄漏流程的建立：

相對DLP技術產品或設備的落地實施而言，企業(yè)建立相關流程無疑可以保證各個控制節(jié)點的協(xié)作運行。數據防泄漏的流程，需要與其他很多流程和規(guī)范相結合方能更好地執(zhí)行，如數據分級分類、數據外發(fā)流程、安全事件響應流程等。在數據防泄漏的流程中，可以包括但不限于：各部門及團隊的職責與權限、數據防泄漏策略變更、數據安全事件響應與處罰、數據外發(fā)申請等。

如何從技術方面提升DLP運營的效率？

圍繞特定敏感數據資產的全生命周期進行管理，而不僅僅是DLP產品所覆蓋的環(huán)節(jié)，將帶給數據安全管理員更具前瞻性、全局性的視野。

在企業(yè)DLP實施完成之后，對于策略以及流程的優(yōu)化至關重要，能夠極大降低人力的花費。然而，由于傳統(tǒng)的DLP系統(tǒng)的局限性，在諸如大量事件分析及用戶操作可見性方面，仍會顯得有些不足。這是可以使用某些安全信息和事件管理（SIEM）產品，將DLP后臺的事件信息導入，并制定相關規(guī)則進行分析。

此外，企業(yè)可以使用UEBA（用戶實體行為分析）的方法對海量數據進行分析，對內部用戶訪問數據的數量、關系、序列進行多維度計算，形成用戶行為正常行為基線，并檢測出偏離正?；€的異常行為。這樣可以更加有效地減少誤報，發(fā)現(xiàn)真正可疑的信息安全事件。

來源：區(qū)塊鏈門戶網