前言

數據防泄露在每個公司都是很頭疼的事情，大大小小的泄露事件也總是不期而至。本文結合我的使用經驗從使用的層面介紹常見的數據防泄露技術手段。

核心數據資產的定義

數據防泄露是一個非常復雜的工程，投入再多人力也不為過，但是互聯網公司的安全人力多是非常有限，所以大蛇打七寸，我們需要先定義清楚什么是核心數據資產。通常理解會包含以下幾大類：

以上只是舉例，具體公司情況都不太一樣，需要結合自生實際。比如招聘類公司，簡歷就是十分重要的資產。

數據保護的生命周期

數據防泄露需要針對定義的核心數據的全生命周期進行保護。

數據防泄露的協議棧為：

這并非一個嚴格的劃分，只是便于把不同的數據防泄露產品和方案進行劃分。

設備級

0×01設備加密

設備防丟失，主要是預防設備丟失后造成的數據泄露，最常見的就是U盤等移動存儲，京東上一搜一大片。

指紋保護的：

密碼保護的：

雖然保護方式不一樣，但是底層數據加密基本都是AES128或者256，可以提高設備丟失后數據泄漏的門檻，對于高手來說還是可以搞定的。

對于硬盤，也有一些解決方案。

硬盤密碼：

可以在bios里面設置硬盤密碼，這樣每次開機都需要輸入硬盤密碼。

0×02硬盤加密

如果冠希老師看到這段估計會怪我寫晚了。。。mac自帶的硬盤加密：

硬盤加密技術非常成熟了，商用產品非常多，不得不提的還有truecrypt，據說國內安全傳統四強之一就要求員工用這個。

truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤，大家可以按照盤符進行訪問，所有虛擬磁盤上的文件都被自動加密，需要通過密碼來進行訪問。TrueCrypt 提供多種加密算法，包括：AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish，其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等，最關鍵它免費。不過truecrypt被爆存在安全漏洞，其開發者也承認存在安全問題，具體是否使用大家根據實際情況權衡。

0×03移動設備數據擦除

微軟郵件系統自帶一個十分強悍的功能，對于配置接受公司exchange郵件的移動終端，可以通過登錄OWA頁面直接遠程擦除整個設備的內容并完全恢復設備出廠化配置。

文件級

0×01文件加密

文件加密產品目前國內產品就非常強悍了，一搜一大把，我這里介紹一款微軟提供的文件加密產品RMS。RMS跟微軟的AD集成，可以針對郵件組進行授權讀寫打印權限控制，坦率講針對微軟的文件類型支持挺不錯，比如word 電子表格 ppt等，而且還有mac版，不過對于非微軟等文件類型就比較遺憾了，不過滿足正常辦公需要基本夠用，最強悍的是與郵件系統的集成，可以在發郵件的時候直接設置哪些郵件組的人才能看（收件人和可以加密看郵件的人恨可能是子集關系）。

0×02端點級DLP

本質上是網絡級DLP的端點級實現，支持攔截功能。

網絡級

0×01網絡DLP

狹義的數據防泄漏產品就是指網絡DLP，這是一個經久不衰的安全領域，16年的gartner排名如下：

網絡級DLP本質上類似IDS，通過旁路分析網絡流量，識別至少以下協議中正文以及附件內容：

• im
• http
• ftp
• telnet
• smtp

與IDS不同的是，DLP關注的不是攻擊簽名而是用戶定義的核心數據。常見的DLP產品支持的檢測規則為：

0×01基礎規則

用規則不丟人，簡單幾個正則很有用：

0×02指紋文檔比對

用規則不丟人，只有規則就丟人了。指紋文檔比對是個非常強悍的功能，把重要的文件直接倒入DLP系統，DLP抽取其中的文字形成指紋，這樣只要對文件內容修改不大都可以被檢測到。常見支持的文件類型包括：Microsoft Word 和 PowerPoint 文件、PDF 文檔、設計規劃、源碼文件、CAD/CAM 圖像、財務報告、并購文檔和其它敏感或專利信息形式保存。業務或者系統管理只需要定義機敏信息應當存儲的目錄，IDM即可以對該目錄下的文件建立索引，類似與搜索引擎的方式，形成企業機敏信息的內容索引。

網絡級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成，將敏感數據的發現范圍進一步擴大到云應用程序。

• 擴展了 DLP 覆蓋范圍到云應用程序中的內容，包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce
• 利用全部的 CASB 功能，持續監控云應用程序中內容的增加、修改和訪問權限

應用級

應用級DLP主要是指郵件DLP，本質上是掃描郵件的內容和附件，與設定的數據安全策略匹配，這里就不展開了。

其他

0×01水印

對抗截屏的利器，常見手段是在圖片中帶入水印，通過水印可以查出截屏人員的個人信息。

0×02桌面虛擬化

這個基本是對抗數據防泄露的大招了。桌面虛擬化在數據中心的服務器上進行服務器虛擬化，生成大量的獨立的桌面操作系統（虛擬機或者虛擬桌面），同時根據專有的虛擬桌面協議發送給終端設備。用戶終端通過以太網登陸到虛擬主機上，只需要記住用戶名和密碼及網關信息，即可隨時隨地的通過網絡訪問自己的桌面系統。

任何數據全生命周期都在數據中心虛擬出的桌面系統中，員工接觸到的瘦終端僅僅起到一個顯示和傳遞鍵盤鼠標聲音信息的作用。

0×03 github監控

github、云盤、云筆記等影子IT對數據防泄露工作基本是個噩夢。這里以github為例，介紹一款github的監控工具GitMiner。GitMiner是一款輕量級的github監控工具，地址：https://github.com/UnkL4b/GitMiner

安裝非常簡單：

git clone http://github.com/danilovazb/GitMiner?pip install -r requirements.txt

?

總結

數據防泄漏是個非常復雜的系統工程，任何技術手段都不能確保不被繞過，必要的技術手段可以提高門檻，最后的落地強依賴于公司相關數據安全管理策略的執行，常說的七分管理三分技術在這里非常合適，數據防泄露工作很重要的一個就是安全意識教育，盡量減少無意泄密的情況。

*本文原創作者：兜哥，屬Freebuf原創獎勵計劃，未經許可禁止轉載

總結

以上是生活随笔為你收集整理的企业安全建设之浅谈数据防泄露的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。