天空衛(wèi)士DLP MacM1終端測(cè)試報(bào)告

天空衛(wèi)士DLPMacM1終端測(cè)試報(bào)告 文檔變更記錄修改日期修改人修改說(shuō)明版本號(hào)DATE\@"yyyy-MM-dd"2021-08-14Michael新建1.0目錄TOC\o"1-9"\h\z\u天空衛(wèi)士 1DLPMacM1 11. 任務(wù)概述 11.1. 測(cè)試目的 11.2. 測(cè)試時(shí)間 12. 測(cè)試計(jì)劃 22.1. 測(cè)試范圍 23. 產(chǎn)品主要功能測(cè)試 23.1. 終端通道功能測(cè)試 23.1.1. 應(yīng)用通道-微信 23.1.2. 應(yīng)用通道-QQ 53.1.3. 終端打印通道 63.1.4. 移動(dòng)存儲(chǔ)通道 73.1.5. 應(yīng)用程序-百度云盤 83.1.6. HTTP通道 93.1.7. HTTPS通道 123.1.8. FTP通道 143.1.9. SMTP通道 163.1.10. SMB協(xié)議上傳文件 183.1.11. 截屏監(jiān)控(IM內(nèi)容) 193.1.12. 禁止截屏（應(yīng)用） 213.1.13. 屏幕水印 223.1.14. 文件訪問(wèn)審計(jì)/保護(hù) 233.2. 敏感信息內(nèi)容識(shí)別 243.2.1. 關(guān)鍵字識(shí)別 253.2.2. 字典權(quán)重識(shí)別 273.2.3. 正則表達(dá)式識(shí)別 293.2.4. 文件屬性識(shí)別 32. 文件類型檢測(cè) 333.2.5. 指紋識(shí)別 36. 文件指紋識(shí)別檢測(cè) 363.2.6. 壓縮內(nèi)容的檢測(cè) 393.2.7. 文件嵌套的檢測(cè) 433.2.8. 加密文件的檢測(cè) 453.2.9. 零星式泄漏的檢測(cè) 483.3. 策略部署 523.3.1. 策略等級(jí) 523.3.2. 策略多模塊分發(fā) 533.3.3. 策略分級(jí)部署 543.3.4. 策略響應(yīng)動(dòng)作 543.3.5. 策略模板 553.3.6. 規(guī)則匹配 563.4. 終端掃描發(fā)現(xiàn) 573.4.1. 終端掃描 57PagePAGE8ofSECTIONPAGES\*Arabic59任務(wù)概述測(cè)試目的根據(jù)企業(yè)防信息泄漏產(chǎn)品應(yīng)具備的功能及性能指標(biāo)等各方面的技術(shù)要求，對(duì)天空衛(wèi)士DLP（統(tǒng)一內(nèi)容安全管理）產(chǎn)品基于MacM1終端端點(diǎn)功能測(cè)試，確定天空衛(wèi)士DLP產(chǎn)品滿足企業(yè)數(shù)據(jù)保護(hù)的實(shí)際需求及數(shù)據(jù)泄漏保護(hù)相關(guān)技術(shù)要求。測(cè)試時(shí)間功能性測(cè)試時(shí)間：2021年月.日~2021年月.日測(cè)試終端信息：測(cè)試計(jì)劃測(cè)試范圍根據(jù)測(cè)試方案要求，對(duì)天空衛(wèi)士DLP端點(diǎn)各組件進(jìn)行全面的功能性測(cè)試。測(cè)試產(chǎn)品功能選擇了一臺(tái)MacM1型號(hào)筆記本。產(chǎn)品主要功能測(cè)試終端通道功能測(cè)試應(yīng)用通道-微信對(duì)于一般的應(yīng)用程序開啟或者添加后均可監(jiān)控，天空衛(wèi)士已內(nèi)置了200種應(yīng)用程序監(jiān)控程序的庫(kù)；包括常見的聊天工具（微信，企業(yè)微信、QQ、釘釘），瀏覽器（IE、Chrome），云存儲(chǔ)（onedrive、dropbox），F(xiàn)TP軟件（filezila、serv-u），刻錄軟件（nero、ultral）等等測(cè)試場(chǎng)景終端用戶在計(jì)算機(jī)通過(guò)微信應(yīng)用程序?qū)⒚舾形募l(fā)送給其他人。測(cè)試項(xiàng)目查看用戶通過(guò)微信方式將敏感信息泄露的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端通過(guò)微信應(yīng)用程序發(fā)起與其他人的聊天，在聊天窗口中發(fā)送帶有關(guān)鍵字“天空衛(wèi)士”的文件test，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到發(fā)送的文件中帶有敏感信息。測(cè)試結(jié)果如下圖：發(fā)送敏感文件：檢測(cè)到的事件：應(yīng)用通道-QQ測(cè)試場(chǎng)景終端用戶在計(jì)算機(jī)通過(guò)QQ應(yīng)用程序?qū)⒚舾形募l(fā)送給其他人。測(cè)試項(xiàng)目查看用戶通過(guò)QQ方式將敏感信息泄露的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端通過(guò)QQ應(yīng)用程序發(fā)起與其他人的聊天，在聊天窗口中發(fā)送帶有關(guān)鍵字“天空衛(wèi)士”文件，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到發(fā)送的文件中帶有敏感信息。測(cè)試結(jié)果如下圖：發(fā)送敏感文件：檢查到的事件：終端打印通道測(cè)試場(chǎng)景終端用戶通過(guò)打印機(jī)將敏感信息打印出來(lái)并帶走。測(cè)試項(xiàng)目查看用戶通過(guò)終端打印方式將敏感信息泄露的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端用戶打印一份word文檔，文檔中包含有關(guān)鍵字“天空衛(wèi)士”的內(nèi)容，查看打印動(dòng)作能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到打印的文件中帶有敏感信息。測(cè)試結(jié)果如下圖：檢查到的事件：移動(dòng)存儲(chǔ)通道測(cè)試場(chǎng)景終端用戶將敏感信息發(fā)送到USB移動(dòng)存儲(chǔ)設(shè)備并帶走。測(cè)試項(xiàng)目查看用戶通過(guò)USB移動(dòng)存儲(chǔ)方式將敏感信息泄露的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端用戶將包含有關(guān)鍵字“天空衛(wèi)士”內(nèi)容的word文檔發(fā)送到USB移動(dòng)存儲(chǔ)設(shè)備，查看傳輸動(dòng)作能否被檢查到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向USB存儲(chǔ)傳輸?shù)膬?nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：發(fā)送敏感文件：（拷貝數(shù)據(jù)到U盤）檢查到的事件：應(yīng)用程序-百度云盤測(cè)試場(chǎng)景終端用戶將敏感信息上傳到公共云盤目錄中。測(cè)試項(xiàng)目查看用戶通過(guò)共享目錄方式將敏感信息泄露的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了策略，策略動(dòng)作設(shè)置為“審計(jì)”3.已經(jīng)在應(yīng)用程序列表中添加了百度云盤測(cè)試過(guò)程終端同步配置。終端用戶將包含有關(guān)鍵字“天空衛(wèi)士”內(nèi)容的word文檔上傳到百度云盤中，查看傳輸動(dòng)作能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向應(yīng)用程序外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：發(fā)送敏感文件：檢查到的事件：HTTP通道通過(guò)客戶端http通道外發(fā)敏感內(nèi)容，不限定特定瀏覽器；在測(cè)試時(shí)使用了常用的瀏覽器：safari、chrome瀏覽器進(jìn)行示例；測(cè)試場(chǎng)景終端用戶通過(guò)HTTPWeb頁(yè)面發(fā)送敏感信息測(cè)試項(xiàng)目查看用戶通過(guò)HTTP方式將敏感信息上傳到互聯(lián)網(wǎng)的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端向/post.php上傳帶有關(guān)鍵字“天空衛(wèi)士”的文件，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向http協(xié)議外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：發(fā)送敏感文件：Safari瀏覽器：檢查到的事件：發(fā)送敏感文件：Chrome瀏覽器：檢查到的事件：HTTPS通道測(cè)試場(chǎng)景終端用戶通過(guò)HTTPSWeb頁(yè)面發(fā)送敏感信息測(cè)試項(xiàng)目查看用戶通過(guò)HTTPS方式將敏感信息上傳到互聯(lián)網(wǎng)的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端通過(guò)/post.php網(wǎng)頁(yè)上傳帶有關(guān)鍵字“天空衛(wèi)士”的文件，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向https協(xié)議外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：發(fā)送敏感文件：Safari瀏覽器：檢查到的事件：發(fā)送敏感文件：Chrome瀏覽器：檢查到的事件：FTP通道測(cè)試場(chǎng)景用計(jì)算機(jī)通過(guò)FTP方式將敏感信息發(fā)送。測(cè)試項(xiàng)目查看用戶通過(guò)FTP方式將敏感信息上傳到互聯(lián)網(wǎng)的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端通過(guò)FTP上傳帶有關(guān)鍵字“天空衛(wèi)士”的文件，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向ftp協(xié)議外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：發(fā)送敏感文件：檢查到的事件：SMTP通道測(cè)試場(chǎng)景終端用戶在計(jì)算機(jī)通過(guò)郵件客戶端程序?qū)⒚舾行畔⒁脏]件形式發(fā)送到互聯(lián)網(wǎng)。測(cè)試項(xiàng)目查看用戶通過(guò)SMTP方式將敏感信息上傳到互聯(lián)網(wǎng)的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。客戶端設(shè)置通過(guò)SMTP協(xié)議發(fā)送郵件。終端通過(guò)發(fā)送的郵件附件內(nèi)容中帶有關(guān)鍵字“天空衛(wèi)士”，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向smtp協(xié)議外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖:發(fā)送敏感文件：Foxmail軟件配置SMTP方式：檢查到事件： SMB協(xié)議上傳文件通過(guò)終端SMB協(xié)議外發(fā)敏感內(nèi)容進(jìn)行檢測(cè)，不限定客戶端；測(cè)試場(chǎng)景終端用戶在計(jì)算機(jī)通過(guò)SMB將敏感信息以郵件形式發(fā)送到文件共享服務(wù)器。測(cè)試項(xiàng)目查看用戶通過(guò)SMB方式將敏感信息上傳的動(dòng)作能否被終端Endpoint檢測(cè)到。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”測(cè)試過(guò)程終端同步配置。終端通過(guò)SMB發(fā)送的文件內(nèi)容中帶有關(guān)鍵字“天空衛(wèi)士”，查看能否被檢測(cè)到。預(yù)期結(jié)果終端Endpoint可以檢測(cè)到向smb協(xié)議外傳的內(nèi)容中帶有敏感信息測(cè)試結(jié)果如下圖：檢查到的事件：截屏監(jiān)控(IM內(nèi)容)測(cè)試場(chǎng)景終端用戶使用微信、qq等應(yīng)用程序，企圖將敏感信息輸入或者粘貼到聊天輸入框中發(fā)送給其他人。測(cè)試項(xiàng)目檢驗(yàn)終端Endpoint能否識(shí)別出應(yīng)用程序剪貼板中的內(nèi)容，從而阻止將敏感信息粘貼到有可能泄密的應(yīng)用程序中。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“審計(jì)”4.終端應(yīng)用程序中添加應(yīng)用程序進(jìn)程名：微信,并設(shè)置“粘貼”為“內(nèi)容分析”。測(cè)試過(guò)程1.終端同步配置。2.用戶使用微信軟件，選擇帶有關(guān)鍵字“天空衛(wèi)士”內(nèi)容并輸入或者粘貼。3.用戶在微信輸入框中嘗試粘貼步驟2中的內(nèi)容，查看能否粘貼成功。預(yù)期結(jié)果在執(zhí)行輸入或者粘貼動(dòng)作的時(shí)候會(huì)提示觸發(fā)DLP策略，并會(huì)記錄輸入的內(nèi)容和截圖作為證據(jù)文件保留到DLP事件中。測(cè)試結(jié)果如下圖：發(fā)送敏感內(nèi)容：檢查到的事件：并能實(shí)現(xiàn)事件中保留證據(jù)文件（截圖功能），對(duì)應(yīng)PNG圖片證據(jù)文件禁止截屏（應(yīng)用）測(cè)試場(chǎng)景終端用戶使用軟件訪問(wèn)敏感信息,然后以截圖的方式將敏感信息保存下來(lái)并發(fā)送給其他人。測(cè)試項(xiàng)目檢查終端DLP能否對(duì)有可能訪問(wèn)到敏感數(shù)據(jù)的應(yīng)用程序做截屏限制。在打開這種軟件時(shí)，系統(tǒng)就不允許截屏。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“阻斷”4.終端應(yīng)用程序中添加應(yīng)用程序進(jìn)程名：wechat.exe,并設(shè)置“截屏”為“禁止”。測(cè)試過(guò)程1.終端同步配置。2.用戶使用微信軟件打開，然后通過(guò)按截屏鍵嘗試截屏。預(yù)期結(jié)果微信自帶的截圖工具無(wú)法截屏測(cè)試結(jié)果如下圖所示實(shí)測(cè)效果圖:屏幕水印測(cè)試場(chǎng)景終端用戶使用系統(tǒng)顯示水印。測(cè)試項(xiàng)目檢查終端DLP能否開啟屏幕水印顯示。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2策略動(dòng)作設(shè)置為“顯示屏幕水印”測(cè)試過(guò)程1.終端同步配置。預(yù)期結(jié)果屏幕自動(dòng)顯示水印測(cè)試結(jié)果如下圖所示：實(shí)測(cè)效果圖:文件訪問(wèn)審計(jì)/保護(hù)測(cè)試場(chǎng)景終端用戶使用軟件打開敏感信息,保護(hù)敏感文件無(wú)法打開。測(cè)試項(xiàng)目檢查終端DLP能否對(duì)敏感文件做打開控制。預(yù)置條件1.測(cè)試計(jì)算機(jī)已經(jīng)安裝終端Endpoint，且可以連接DLP管理服務(wù)器。2.已經(jīng)設(shè)置了關(guān)鍵字策略：“天空衛(wèi)士”。3.策略動(dòng)作設(shè)置為“內(nèi)容分析—阻斷”測(cè)試過(guò)程1.終端同步配置。2.用戶使用word、Excel軟件打開文件3.是否能夠打開文件預(yù)期結(jié)果只要文件中包含定義的敏感內(nèi)容，進(jìn)行阻止，不允許打開文件測(cè)試結(jié)果如下圖所示：打開敏感文件:檢查到的事件:敏感信息內(nèi)容識(shí)別根據(jù)Gartner對(duì)數(shù)據(jù)防泄漏產(chǎn)品（以下簡(jiǎn)稱DLP）的定義，DLP產(chǎn)品最核心的技術(shù)特點(diǎn)是支持對(duì)檢測(cè)數(shù)據(jù)進(jìn)行深層次的內(nèi)容分析。圖：DLP數(shù)據(jù)識(shí)別分類器如上圖所示，目前全球DLP產(chǎn)品所支持的數(shù)據(jù)識(shí)別分類器根據(jù)其匹配敏感信息的精準(zhǔn)程度，至下而上依次為：關(guān)鍵字匹配分類器、字典權(quán)重匹配分類器、正則表達(dá)式匹配分類器、模式匹配分類器、文件屬性分類器、圖像識(shí)別分類器、自然語(yǔ)言處理分類器、機(jī)器學(xué)習(xí)分類器和指紋匹配分類器共計(jì)9種。每一種數(shù)據(jù)識(shí)別匹配分類器技術(shù)將對(duì)應(yīng)用戶的特定數(shù)據(jù)檢測(cè)需求使用在不同的應(yīng)用場(chǎng)景中，因此檢驗(yàn)DLP產(chǎn)品是否具有完備及可用的數(shù)據(jù)識(shí)別分類器是檢驗(yàn)DLP產(chǎn)品最為關(guān)鍵的功能指標(biāo)。注：以下數(shù)據(jù)識(shí)別技術(shù)適用于所有通道，包括郵件DLP，網(wǎng)絡(luò)DLP及終端DLP。關(guān)鍵字識(shí)別關(guān)鍵字匹配分類器是目前DLP數(shù)據(jù)識(shí)別器種類中最底層的功能，其特點(diǎn)為技術(shù)實(shí)現(xiàn)簡(jiǎn)單，配置容易。測(cè)試場(chǎng)景通過(guò)網(wǎng)絡(luò)/post.php發(fā)送敏感文檔，使用DLP進(jìn)行識(shí)別測(cè)試項(xiàng)目根據(jù)模糊關(guān)鍵字對(duì)文檔內(nèi)容進(jìn)行識(shí)別控制預(yù)置條件關(guān)鍵字為:天空衛(wèi)士響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php發(fā)送敏感數(shù)據(jù)，正文或附件內(nèi)包含關(guān)鍵字信息;預(yù)期結(jié)果能檢測(cè)到附件為敏感信息，觸發(fā)關(guān)鍵字策略平臺(tái)中能審計(jì)此違規(guī)操作測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《test關(guān)鍵字》策略配置截圖：發(fā)送敏感文件：檢查到的事件：字典權(quán)重識(shí)別字典權(quán)重分類器一般是為了方便引用將相同類型的關(guān)鍵字信息字典。企業(yè)使用字典權(quán)重分類器除了方便引用外一般還考慮到特定的詞語(yǔ)在整個(gè)檢測(cè)信息中的實(shí)際權(quán)重。例：用戶使用了包含如下關(guān)鍵字和對(duì)應(yīng)權(quán)重關(guān)系“僅限內(nèi)部權(quán)重值：3，秘密權(quán)重值：1，禁止外泄權(quán)重值：2，機(jī)密權(quán)重值：1”的字典，由于秘密、機(jī)密在普通的文檔中出現(xiàn)的可能性頻率較高，因此對(duì)于保密的文檔，將更加重視出現(xiàn)“僅限內(nèi)部”及“禁止外泄”這類關(guān)鍵字的情況。在這種情況下，我們通常會(huì)對(duì)更加重視的關(guān)鍵字賦予更高的權(quán)重值。DLP廠家默認(rèn)會(huì)提供各種類型的字典模板以供管理員調(diào)用。在實(shí)際使用場(chǎng)景中，利用字典權(quán)重技術(shù)對(duì)數(shù)據(jù)內(nèi)容的識(shí)別準(zhǔn)確率將會(huì)高于普通的關(guān)鍵字識(shí)別，但依然可能存在大量誤報(bào)的情況。測(cè)試場(chǎng)景通過(guò)/post.php外發(fā)敏感內(nèi)容測(cè)試項(xiàng)目根據(jù)字典權(quán)重對(duì)文檔內(nèi)容進(jìn)行識(shí)別控制預(yù)置條件配置DLP檢測(cè)策略，配置對(duì)敏感字段“機(jī)密，秘密,禁止外泄,僅限內(nèi)部”進(jìn)行檢測(cè)，并設(shè)定每個(gè)關(guān)鍵字段權(quán)重依次為“1，1，2，3”，判斷命中關(guān)鍵字信息權(quán)重總值超過(guò)4時(shí)觸發(fā)響應(yīng)響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程構(gòu)造《test1字典》，包含敏感字段“機(jī)密”和“秘密”，構(gòu)造《test2字典》，僅包含敏感字段“機(jī)密”和“禁止外泄”，構(gòu)造《test3字典》，僅包含敏感字段“僅限內(nèi)部”和“禁止外泄”，從客戶端對(duì)外發(fā)送該三份文本文件預(yù)期結(jié)果能夠檢測(cè)出《test3字典》為違規(guī)信息，其他兩個(gè)文本均無(wú)法命中策略其他兩個(gè)文本因?yàn)榭倷?quán)重不足4，所以無(wú)法命中策略測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《test1字典》、《test2字典》、《test3字典》策略配置截圖：發(fā)送敏感文件：檢查到的事件：正則表達(dá)式識(shí)別正則表達(dá)式是對(duì)字符串操作的一種邏輯公式，是用事先定義好的一些特定字符、及這些特定字符的組合，組成“規(guī)則字符串”，從而實(shí)現(xiàn)對(duì)字符串的一種過(guò)濾邏輯。利用正則表達(dá)式識(shí)別器的數(shù)據(jù)檢測(cè)方式可以完成對(duì)企業(yè)自定義產(chǎn)生或市面常見的具有一定規(guī)則的字符串的檢測(cè)。例：某企業(yè)的客戶編號(hào)編寫格式為：客戶號(hào)最長(zhǎng)為21位,由證件類型、證件號(hào)碼、后綴、校驗(yàn)字符四部分組成；其中證據(jù)類型包括：定長(zhǎng)A（公民身份號(hào)碼）、D（警官證）、K（武警文職干部證）、L（武警士兵證）、R（營(yíng)業(yè)執(zhí)照號(hào)碼）類型的客戶編號(hào)。由于此類客戶編號(hào)的輸寫格式是固定有規(guī)律的，因此該類型的客戶編號(hào)就可以利用正則表達(dá)式來(lái)實(shí)現(xiàn)較精準(zhǔn)的數(shù)據(jù)內(nèi)容匹配。在實(shí)際使用場(chǎng)景中，利用正則表達(dá)式識(shí)別技術(shù)可以有效的對(duì)數(shù)據(jù)內(nèi)容的規(guī)則信息加以識(shí)別，DLP乙方一般會(huì)提供多種常用的正則表達(dá)式模板供企業(yè)選擇使用。測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送敏感文檔，使用DLP進(jìn)行識(shí)別測(cè)試項(xiàng)目根據(jù)正則表達(dá)式匹配敏感信息預(yù)置條件正則表達(dá)式使用手機(jī)號(hào)或身份證號(hào)響應(yīng)規(guī)則：保護(hù)測(cè)試過(guò)程訪問(wèn)/post.php提交文本，發(fā)送樣本含手機(jī)號(hào)碼5個(gè)，預(yù)期結(jié)果能檢測(cè)到提交文件中包含敏感信息，觸發(fā)“手機(jī)號(hào)”標(biāo)示符策略系統(tǒng)提示攔截測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《手機(jī)號(hào)碼測(cè)試文件》策略配置截圖：定義正則表達(dá)式檢測(cè)策略，其中包含內(nèi)置正則表達(dá)式和自定義正則表達(dá)式；發(fā)送敏感文件：在外發(fā)相關(guān)數(shù)據(jù)時(shí)，可以對(duì)于數(shù)據(jù)進(jìn)行識(shí)別和審計(jì)；保護(hù)動(dòng)作：其中的提示信息和圖標(biāo)均可以更換；檢查到的事件：天空衛(wèi)士的DLP平臺(tái)內(nèi)置了大量常用的正則表達(dá)式，可供直接調(diào)用使用，同時(shí)在正則表達(dá)式中增加了校驗(yàn)位和校驗(yàn)方法，保證識(shí)別的準(zhǔn)確性；文件屬性識(shí)別文件屬性識(shí)別分類器不會(huì)對(duì)監(jiān)測(cè)的文件內(nèi)容進(jìn)行檢查，而主要關(guān)心的是檢測(cè)文件自身所攜帶的屬性，包括：文件類型識(shí)別、文件大小識(shí)別、文件名稱識(shí)別、附件數(shù)量識(shí)別等。在實(shí)際使用場(chǎng)景中，由于文件屬性識(shí)別器無(wú)法檢測(cè)內(nèi)容，判斷敏感文件的準(zhǔn)確性不高，一般企業(yè)會(huì)將該識(shí)別分類器用于特殊的識(shí)別場(chǎng)景，或搭配其他識(shí)別器以提高檢測(cè)的精確度。文件類型識(shí)別通?？梢杂脕?lái)檢測(cè)外發(fā)的文件是否為壓縮、加密或特定的文件類型，一旦檢測(cè)出此類文件類型，企業(yè)則可以采取對(duì)應(yīng)的措施加以處理。例：由于DLP產(chǎn)品需要對(duì)數(shù)據(jù)進(jìn)行深度內(nèi)容檢測(cè)，因此無(wú)法對(duì)加密的文檔進(jìn)行有效的內(nèi)容核查，根據(jù)企業(yè)的數(shù)據(jù)安全管理規(guī)定，管理員設(shè)定DLP將自動(dòng)阻止加密數(shù)據(jù)外發(fā)的行為。文件大小識(shí)別通常用來(lái)判斷外發(fā)的文件的實(shí)際大小，并結(jié)合其他識(shí)別器以提高檢測(cè)的精確度。例：由于DLP產(chǎn)品需要對(duì)數(shù)據(jù)進(jìn)行深度內(nèi)容檢測(cè)，因此在檢測(cè)超過(guò)一定大小的文件可能會(huì)遇到因檢測(cè)超時(shí)放行而導(dǎo)致敏感數(shù)據(jù)外泄的可能。因此，管理員可以設(shè)定如下策略：若檢測(cè)到外發(fā)的文本類型數(shù)據(jù)，其大小超過(guò)了200M，則根據(jù)要求對(duì)此文件進(jìn)行阻斷外發(fā)的動(dòng)作；文件類型檢測(cè)天空衛(wèi)士?jī)?nèi)置了1000種以上的文件類型，能夠滿足天空衛(wèi)士對(duì)于文件類型的識(shí)別；同時(shí)天空衛(wèi)士除了文件類型之外，也支持根據(jù)文件的大小等屬性對(duì)于敏感數(shù)據(jù)進(jìn)行識(shí)別；測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送敏感文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目根據(jù)外發(fā)文件的類型匹配檢測(cè)策略預(yù)置條件配置DLP檢測(cè)策略，檢測(cè)文件類型檢測(cè)為word文件，同時(shí)大小超過(guò)30KB響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php提交文本預(yù)期結(jié)果動(dòng)作1結(jié)果：能夠檢測(cè)出《文件類型測(cè)試樣本1.docx》和《文件類型測(cè)試樣本2.d》均為違規(guī)信息，命中設(shè)定的敏感字段，平臺(tái)審計(jì)此違規(guī)操作。修改后綴DLP一樣可以檢查到測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《文件類型測(cè)試樣本1.docx》、《文件類型測(cè)試樣本2.d》策略配置截圖：發(fā)送敏感文件：檢查到的事件：指紋識(shí)別指紋識(shí)別分類器目前主要分成非結(jié)構(gòu)化指紋（文件指紋）和結(jié)構(gòu)化指紋（數(shù)據(jù)庫(kù)指紋和CSV文件指紋）兩種分類器。文件指紋是指使用指紋識(shí)別分類器掃描樣本文件內(nèi)容，根據(jù)相關(guān)技術(shù)做成指紋信息做到和檢測(cè)文件進(jìn)行相似度匹配；如：一個(gè)10頁(yè)的文件取其中的2頁(yè)同樣可以識(shí)別，在這2頁(yè)里加入一些其它的混淆的文字也可以識(shí)別。而數(shù)據(jù)指紋是指使用指紋識(shí)別分類器掃描數(shù)據(jù)庫(kù)表里的每個(gè)單元格信息，從而實(shí)現(xiàn)對(duì)外傳的內(nèi)容進(jìn)行數(shù)據(jù)庫(kù)指紋匹配。在實(shí)際使用場(chǎng)景中，指紋識(shí)別分類器主要是用來(lái)針對(duì)特定的、高度機(jī)密的、必須識(shí)別出的數(shù)據(jù)內(nèi)容的檢測(cè)。按照慣例，在使用DLP技術(shù)進(jìn)行企業(yè)數(shù)據(jù)安全保護(hù)過(guò)程中使用指紋識(shí)別分類器一般在全部識(shí)別器中的比例大約在10%-20%之間。具有成熟可靠和穩(wěn)定的指紋識(shí)別分類器是DLP產(chǎn)品的最核心功能。文件指紋識(shí)別檢測(cè)測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目判斷DLP產(chǎn)品是否支持使用指紋識(shí)別器對(duì)傳輸?shù)奈淖中畔⑦M(jìn)行檢測(cè)預(yù)置條件上傳指紋樣本，根據(jù)指紋樣本創(chuàng)建檢測(cè)文件，文件內(nèi)容包含少許樣本中的數(shù)據(jù)。在服務(wù)器上創(chuàng)建文件指紋識(shí)別檢測(cè)規(guī)則；響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php，上傳《SQLServer安裝手冊(cè)刪減版.docx》檢測(cè)；預(yù)期結(jié)果能檢測(cè)到提交的文件包含敏感信息，觸發(fā)指紋策略平臺(tái)中能審計(jì)此違規(guī)操作經(jīng)過(guò)檢測(cè)，在事件中可以看到由提交包含部分源文字內(nèi)容的文檔的動(dòng)作觸發(fā)的事件。該DLP產(chǎn)品能對(duì)提交的數(shù)據(jù)內(nèi)容進(jìn)行基于指紋識(shí)別的內(nèi)容檢測(cè)。滿足指紋識(shí)別檢測(cè)的功能需求測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《SQLServer安裝手冊(cè).docx》和《SQLServer安裝手冊(cè)刪減版.docx》策略配置截圖：創(chuàng)建文件指紋（支持本地、共享和離線工具提取方式）設(shè)置為40%的相似度作為檢查條件發(fā)送敏感文件：檢查到的事件：壓縮內(nèi)容的檢測(cè)企業(yè)在實(shí)際業(yè)務(wù)場(chǎng)景中，大量存在將文檔進(jìn)行壓縮后進(jìn)行傳輸外發(fā)的行為。因此對(duì)于DLP系統(tǒng)，則需要具備正確識(shí)別多重壓縮文檔（至少5層）里的文件內(nèi)容和類型的能力。測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目檢測(cè)DLP產(chǎn)品是否能對(duì)壓縮文件中的文件類型與內(nèi)容進(jìn)行檢測(cè)與分析預(yù)置條件創(chuàng)建一個(gè)word文檔包含“天空衛(wèi)士”關(guān)鍵字，并將該word文檔作為內(nèi)容壓縮到壓縮文件的第五級(jí)壓縮內(nèi)響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php，上傳包含敏感數(shù)據(jù)的檢測(cè)文件；預(yù)期結(jié)果能檢測(cè)到提交的文件包含敏感信息，觸發(fā)檢測(cè)策略產(chǎn)生事件經(jīng)過(guò)檢測(cè)，真實(shí)有效的數(shù)據(jù)可以被預(yù)置的模板檢測(cè)識(shí)別。該DLP產(chǎn)品具有相當(dāng)數(shù)量的，可以精確匹配相關(guān)信息的自定義模板?？梢员憬轁M足常見的敏感信息檢測(cè)需求測(cè)試結(jié)果R通過(guò)口未通過(guò)口未測(cè)試備注樣本《歸檔五層.zip》策略配置截圖：發(fā)送敏感文件：檢查到的事件：每層的docx文件中關(guān)鍵字空衛(wèi)士依然能夠檢測(cè)出其中的內(nèi)容；天空衛(wèi)士?jī)?nèi)置了24中以上的壓縮文件格式，能夠?qū)τ趬嚎s文件的內(nèi)容進(jìn)行檢測(cè)；文件嵌套的檢測(cè)在實(shí)際場(chǎng)景中，為了防止最終用戶采用在正常的Word文檔中嵌套含有敏感數(shù)據(jù)的文檔的方式逃避DLP檢測(cè)，DLP系統(tǒng)需要支持對(duì)文件嵌套的內(nèi)容檢測(cè)。測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目檢測(cè)DLP產(chǎn)品是否能對(duì)嵌套在文檔中的文件內(nèi)容進(jìn)行檢測(cè)與分析預(yù)置條件創(chuàng)建一個(gè)word文檔包含“天空衛(wèi)士”關(guān)鍵字，并將該word文檔作為對(duì)象嵌套進(jìn)一個(gè)包含“傳音控股”的新word文檔中。響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php，上傳包含敏感數(shù)據(jù)的檢測(cè)文件；預(yù)期結(jié)果能檢測(cè)到提交的文件包含敏感信息，觸發(fā)檢測(cè)策略平臺(tái)中能審計(jì)此違規(guī)操作經(jīng)過(guò)檢測(cè)，在事件中可以看到由提交包含部分源文字內(nèi)容的文檔的動(dòng)作觸發(fā)的事件。該DLP產(chǎn)品能對(duì)提交的數(shù)據(jù)內(nèi)容進(jìn)行基于指紋識(shí)別的內(nèi)容檢測(cè)。滿足指紋識(shí)別檢測(cè)的功能需求測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《嵌套敏感測(cè)試.docx》策略配置截圖：發(fā)送敏感文件：檢查到的事件：加密文件的檢測(cè)由于加密文件需要密鑰或密碼才可以打開，以內(nèi)容識(shí)別為核心的DLP系統(tǒng)自然無(wú)法識(shí)別加密內(nèi)容。然而，企業(yè)可以通過(guò)管理制度規(guī)定外發(fā)的數(shù)據(jù)不允許加密，通過(guò)DLP系統(tǒng)識(shí)別加密文件并加以阻止，防止敏感數(shù)據(jù)通過(guò)加密文件外發(fā)的行為。測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目檢測(cè)DLP產(chǎn)品對(duì)于加密文件文件是否能正常識(shí)別該文件的類型；預(yù)置條件創(chuàng)建加密文件。響應(yīng)規(guī)則：審計(jì)測(cè)試過(guò)程訪問(wèn)/post.php，上傳包含敏感數(shù)據(jù)的檢測(cè)文件；預(yù)期結(jié)果能檢測(cè)到提交的文件包含敏感信息，觸發(fā)加密策略平臺(tái)中能審計(jì)此違規(guī)操作測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注樣本《加密test1.docx》、《加密test2.zip》策略配置截圖：發(fā)送敏感文件：檢查到的事件：天空衛(wèi)士?jī)?nèi)置了常見的多種加密文件類型，能夠?qū)τ诔Ｒ姷募用芪募ㄟ^(guò)文件類型的方式進(jìn)行識(shí)別；零星式泄漏的檢測(cè)企業(yè)在實(shí)際業(yè)務(wù)場(chǎng)景中需要對(duì)敏感數(shù)據(jù)（如身份證信息或手機(jī)號(hào)等）以少量多次的泄漏方式進(jìn)行識(shí)別。DLP產(chǎn)品應(yīng)提供一定時(shí)間內(nèi)，基于多次泄漏的狀態(tài)統(tǒng)計(jì)。如60分鐘中，外發(fā)的內(nèi)容達(dá)到一定的數(shù)量則立即阻止，及時(shí)避免此類泄漏。測(cè)試場(chǎng)景通過(guò)/post.php發(fā)送文檔，使用DLP進(jìn)行識(shí)別；測(cè)試項(xiàng)目檢測(cè)DLP產(chǎn)品支持對(duì)使用緩慢泄漏方式外發(fā)敏感數(shù)據(jù)的行為檢測(cè)預(yù)置條件創(chuàng)建3個(gè)文件，每個(gè)文件含有手機(jī)號(hào)碼2個(gè)設(shè)定五分鐘內(nèi)外發(fā)3個(gè)文件測(cè)試過(guò)程訪問(wèn)/post.php，五分鐘內(nèi)分三次上傳包含敏感數(shù)據(jù)的檢測(cè)文件；預(yù)期結(jié)果能檢測(cè)到提交的文件包含敏感信息，觸發(fā)檢測(cè)策略平臺(tái)中能審計(jì)此違規(guī)操作經(jīng)過(guò)檢測(cè)，DLP設(shè)備平臺(tái)中能審計(jì)此違規(guī)操作包括前3次的嘗試事件。該DLP支持緩慢泄漏敏感數(shù)據(jù)的檢測(cè)，滿足基本的數(shù)據(jù)泄漏防護(hù)的功能要求。測(cè)試結(jié)果通過(guò)口未通過(guò)口未測(cè)試備注策略配置截圖：發(fā)送敏感文件：上傳前2個(gè)文件并未觸發(fā)事件檢查到的事件：策略部署策略等級(jí)策略等級(jí)是指控制檢測(cè)策略執(zhí)行的優(yōu)先順序。對(duì)于執(zhí)行順序，一般最終用戶有兩種需求：命中檢測(cè)策略后即跳出檢測(cè)不再檢測(cè)其他低優(yōu)先等級(jí)的策略。命中檢測(cè)策略后依然需要對(duì)其他同策略等級(jí)的策略進(jìn)行檢測(cè)。通過(guò)策略等級(jí)的限制，企業(yè)可以方便自如地控制策略檢測(cè)的范圍和優(yōu)先順序。測(cè)試場(chǎng)景給用戶下發(fā)高、中級(jí)別策略測(cè)試項(xiàng)目策略可分為高、中、低危不同級(jí)別，方便管理和查詢預(yù)置條件DLP策略已配置，高、中級(jí)別產(chǎn)生對(duì)應(yīng)時(shí)間數(shù)據(jù)測(cè)試過(guò)程根據(jù)觸發(fā)高級(jí)別策略的違規(guī)數(shù)據(jù)查詢根據(jù)觸發(fā)中級(jí)別策略的違規(guī)數(shù)據(jù)查詢預(yù)期結(jié)