2024數(shù)據(jù)防泄露技術(shù)指南

目錄一數(shù)據(jù)防泄與數(shù)據(jù)安全治理 71、數(shù)據(jù)安全必須先做數(shù)據(jù)安全治理 72、數(shù)據(jù)防泄露（DLP）是數(shù)據(jù)安全治理的重要目標(biāo)導(dǎo)向 8二數(shù)據(jù)防泄（DLP）的定義 9三數(shù)據(jù)防泄的應(yīng)用 91數(shù)據(jù)防泄（DLP為實現(xiàn)數(shù)據(jù)分類分級保護提供技術(shù)支撐 92數(shù)據(jù)防泄（DLP在數(shù)據(jù)生命周期提供安全防護 0識別存儲數(shù)據(jù)中敏感信息的位置 11掌握流轉(zhuǎn)中數(shù)據(jù)的數(shù)據(jù)流向及流轉(zhuǎn)方式 113對使用中的數(shù)據(jù)進行權(quán)限細(xì)分并進行相應(yīng)的控制 12終端數(shù)據(jù)使用 12應(yīng)用數(shù)據(jù)使用 12四數(shù)據(jù)防泄的核心技術(shù) 131、方案部署 13分布式部署架（分層管理） 13策略分級部署 13證據(jù)文件外置部署 13管理服務(wù)器高可用 14數(shù)據(jù)庫高可用 142、策略定制 14內(nèi)容檢測的組合檢測 14檢測對象的鎖定與過濾 14策略響應(yīng)動作 15策略觸發(fā)通知 153、數(shù)據(jù)識別 15關(guān)鍵字識別 16字典權(quán)重識別 16正則表達式識別 16文件屬性識別 17圖像識別 17標(biāo)簽識別 17機器學(xué)習(xí)識別 17指紋識別 18i）其他識別 184、管理與控制 21統(tǒng)一管理控制臺 21策略多模塊分發(fā) 21預(yù)置策略 21角色管理 21多權(quán)分立 22f策略審批部署 22接口集成 22用戶識別 225、分析與報告 22事件處理 23事件日志 23事件工作流 23格式化顯示 23事件關(guān)聯(lián)合并 23f日志查詢功能 24基于用戶的報告 24數(shù)據(jù)分類查詢 24五數(shù)據(jù)防泄的應(yīng)用場景 241、存儲數(shù)據(jù)防泄露（發(fā)現(xiàn)DLP） 25風(fēng)險分析 25關(guān)鍵功能 272、網(wǎng)絡(luò)數(shù)據(jù)防泄露（網(wǎng)絡(luò)DLP） 28風(fēng)險分析 28關(guān)鍵功能 293、郵件數(shù)據(jù)防泄露（郵件DLP） 30風(fēng)險分析 30關(guān)鍵功能 314、終端數(shù)據(jù)防泄露（終端DLP） 32a）關(guān)鍵功能 345、應(yīng)用數(shù)據(jù)防泄露（應(yīng)用DLP）. 37風(fēng)險分析 37關(guān)鍵功能 396、移動數(shù)據(jù)防泄露（移動DLP）. 40風(fēng)險分析 40關(guān)鍵功能 42六數(shù)據(jù)防泄的擴展 441、人工智能與行為分析加入數(shù)據(jù)防泄露（DLP）體系 442、數(shù)據(jù)安全治理的自動化平臺 45七、術(shù)語與定義 46一、數(shù)據(jù)防泄露（DataLossPrevention，簡稱DLP）與數(shù)據(jù)安全治理1、數(shù)據(jù)安全必須先做數(shù)據(jù)安全治理隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的快速推進，數(shù)據(jù)已經(jīng)成為數(shù)字化轉(zhuǎn)型時代的核心競爭力。隨著數(shù)據(jù)成為資產(chǎn)，成為基礎(chǔ)設(shè)施，數(shù)據(jù)的安全受到前所未有的重視和保護。數(shù)據(jù)安全治理融合了數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全管理，是以“數(shù)據(jù)使用安全”為目標(biāo)的技術(shù)體系。通過對數(shù)據(jù)安全治理的必要性以及其發(fā)展現(xiàn)狀進行分析，提出了一種以數(shù)據(jù)安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu)?！吨腥A人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年2035推進數(shù)字化發(fā)展，推動數(shù)字經(jīng)濟和實體經(jīng)濟深度融合。為更好地發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用，要做好數(shù)據(jù)資源的開發(fā)、利用和保護：一方面要使數(shù)據(jù)連數(shù)據(jù)的安全和使用是相互矛盾而又需要調(diào)和的兩個方面，如何在確保數(shù)據(jù)高效使用的前提下，又保證數(shù)據(jù)的安全管理，成為一個值得關(guān)注的問題。數(shù)據(jù)規(guī)模暴漲，戰(zhàn)略價值提升根據(jù)《大數(shù)據(jù)白皮書（2020）》統(tǒng)計，202047ZB，20352142ZB，全球數(shù)據(jù)量逐年迎來爆發(fā)式的規(guī)模增長，數(shù)據(jù)己成為一種能夠影響國家戰(zhàn)略決策的戰(zhàn)略資源，誰掌握了更多、更有價值的數(shù)據(jù)，誰就掌握了未來的主動權(quán)。數(shù)據(jù)泄露頻繁，數(shù)據(jù)安全需要治理ForgeRock《消費者身份信息違規(guī)報告》20202019501.2越來越迫切。2、數(shù)據(jù)防泄露（DLP）是數(shù)據(jù)安全治理的重要目標(biāo)導(dǎo)向在企業(yè)數(shù)字化轉(zhuǎn)型的過程中，業(yè)務(wù)的核心驅(qū)動是資產(chǎn)化的數(shù)據(jù)。這些資產(chǎn)化的數(shù)據(jù)，是企業(yè)高度依賴甚至決定企業(yè)業(yè)務(wù)戰(zhàn)略可實現(xiàn)性的關(guān)鍵元素。這些數(shù)據(jù)資產(chǎn)，是獨立的黑客組織抑或生態(tài)的競爭對手，都期望獲取的核心價值資產(chǎn)。數(shù)據(jù)安全治理，就是為了在企業(yè)數(shù)字化轉(zhuǎn)型期間，精確的通過科學(xué)化、流程化、自動化、彈性化，高度靈活來適配企業(yè)的業(yè)務(wù)流程，把數(shù)據(jù)資產(chǎn)的管理與基于生命周期的安全通過技術(shù)能力，與業(yè)務(wù)邏輯進行深度的融合。從對數(shù)據(jù)資產(chǎn)的泄露防護，就是數(shù)據(jù)安全治理流程體系所輸出的能力檢驗標(biāo)準(zhǔn)之一，也是業(yè)務(wù)數(shù)據(jù)安全建設(shè)的關(guān)鍵技術(shù)支撐能力。所以做數(shù)據(jù)安全治理必須首先建設(shè)數(shù)據(jù)防泄露體系。二、數(shù)據(jù)防泄露（DLP）的定義數(shù)據(jù)防泄露（DLP）指的是使用先進的內(nèi)容分析技術(shù)，在統(tǒng)一的管理控制臺內(nèi)對靜止的、流轉(zhuǎn)的、使用的敏感數(shù)據(jù)進行保護的系統(tǒng)，是當(dāng)前支撐數(shù)據(jù)資產(chǎn)保護的重要技術(shù)之一。DLP產(chǎn)品分為兩個類型：企業(yè)級DLP和集成DLP。企業(yè)級DLP技術(shù)專注于防止敏感數(shù)據(jù)丟失并實現(xiàn)多數(shù)據(jù)通道防護的全面覆蓋，集成式DLP解決方案則是在其他非DLP設(shè)備中提供有限的DLP功能。許多安全廠商都認(rèn)可數(shù)據(jù)泄露防護的技術(shù)重要性，但不少廠商采用集成DLP解決方案，導(dǎo)致了許多機構(gòu)和管理者被誤導(dǎo)，認(rèn)為數(shù)據(jù)泄露防護解決方案的防護范圍和能力不夠充分。所以本文將制定一套標(biāo)準(zhǔn)規(guī)范體系，幫助組織機構(gòu)構(gòu)建完善的數(shù)據(jù)防泄露解決方案。三、數(shù)據(jù)防泄露（DLP）的應(yīng)用1、數(shù)據(jù)防泄露（DLP）為實現(xiàn)數(shù)據(jù)分類分級保護提供技術(shù)支撐我國《中華人民共和國數(shù)據(jù)安全法》第二十一條：“各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護?！彼裕瑪?shù)據(jù)分類分級是數(shù)據(jù)安全的基礎(chǔ)。通過將數(shù)據(jù)分組到合理的“數(shù)據(jù)類別”中，同時，對數(shù)據(jù)的重要程度進行標(biāo)記，將對整個企業(yè)的數(shù)據(jù)保護和自動化控制提供良好的基礎(chǔ)。2、數(shù)據(jù)防泄露（DLP）在數(shù)據(jù)生命周期提供安全防護如果缺乏數(shù)據(jù)分類分級，就會對數(shù)據(jù)的風(fēng)險缺乏了解，數(shù)據(jù)可能會受到不正確的管理和對待。DLP決數(shù)據(jù)泄露風(fēng)險的技術(shù)方法，還是控制和減輕業(yè)務(wù)風(fēng)險的手段。通過對數(shù)據(jù)內(nèi)容的檢測分析，為數(shù)據(jù)的分級分類提供有效的技術(shù)支撐。DLP確保數(shù)據(jù)防護技術(shù)與業(yè)務(wù)需求保持一致。2、數(shù)據(jù)防泄露（DLP）在數(shù)據(jù)生命周期提供安全防護數(shù)據(jù)防泄露貫穿于數(shù)據(jù)生命周期的全過程。從數(shù)據(jù)的生成開始，到數(shù)據(jù)的存儲、應(yīng)用、傳輸、備份歸檔到數(shù)據(jù)的銷毀，每一個步驟都有相應(yīng)的數(shù)據(jù)防泄露技術(shù)作為支撐。在數(shù)據(jù)生命周期的保護中，數(shù)據(jù)防泄露最重要的功能是能對數(shù)據(jù)按照分類分級進行識別，并針對不同級別和類型的數(shù)據(jù)在不同的階段采取不同的保護措施。a）識別存儲數(shù)據(jù)中敏感信息的位置當(dāng)今是數(shù)字化轉(zhuǎn)型時代，數(shù)據(jù)存儲在各種應(yīng)用程序和設(shè)備中，存儲位置多樣、數(shù)據(jù)量龐大，DLP幫助安全人員了解重要數(shù)據(jù)的存儲位置。b）掌握流轉(zhuǎn)中數(shù)據(jù)的流向及流轉(zhuǎn)方式DLP據(jù)流轉(zhuǎn)方式可以分為“網(wǎng)絡(luò)流轉(zhuǎn)”、“應(yīng)用流轉(zhuǎn)”、“第三方數(shù)據(jù)共享”和“終端流轉(zhuǎn)”四種。①網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)在所有流轉(zhuǎn)方式中，網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)是最主要的數(shù)據(jù)泄露途徑。這里主要應(yīng)關(guān)注利用常見的網(wǎng)絡(luò)協(xié)議與外界進行通訊的行為，包括：HTTP/HTTPSSMTPFTPSMB②應(yīng)用數(shù)據(jù)流轉(zhuǎn)數(shù)據(jù)使用者涵蓋了內(nèi)部用戶和外部客戶，涉及大量的非結(jié)構(gòu)化文檔的交互，數(shù)據(jù)在應(yīng)用流轉(zhuǎn)的過程中，極其可能因為敏感數(shù)據(jù)暴露面擴大而產(chǎn)生數(shù)據(jù)泄露問題，存在敏感數(shù)據(jù)不正當(dāng)擴散的風(fēng)險。③第三方數(shù)據(jù)分享除了應(yīng)用訪問和內(nèi)部流轉(zhuǎn)外，根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等國家和相關(guān)行業(yè)。監(jiān)管機構(gòu)的法規(guī)要求，安全人員還應(yīng)掌握第三方訪問敏感數(shù)據(jù)的交換信息，確定可以訪問敏感數(shù)據(jù)的第三方名單，采取相應(yīng)的控制措施來確保第三方訪問的數(shù)據(jù)安全，防止敏感數(shù)據(jù)被過度過量獲取。④終端數(shù)據(jù)流轉(zhuǎn)光盤刻錄、打印、文件共享等對內(nèi)、外進行數(shù)據(jù)流轉(zhuǎn)的動作，以實現(xiàn)辦公和業(yè)務(wù)的相關(guān)流程。3、對使用中的數(shù)據(jù)進行權(quán)限細(xì)分，并進行相應(yīng)的控制a）終端數(shù)據(jù)使用內(nèi)部的敏感數(shù)據(jù)在未進行完整保護的情形下可能被下載到內(nèi)部人員的PC和筆記本電腦，用于合法辦公或業(yè)務(wù)使用當(dāng)中。有權(quán)訪問端點的任何員工或外部人員都可以將所有或部分這類數(shù)據(jù)下載到DVD、U盤驅(qū)動器甚至iPad上，并針對敏感數(shù)據(jù)進行復(fù)制、粘貼、打印、截屏等相關(guān)的操作。b）應(yīng)用數(shù)據(jù)使用員權(quán)限細(xì)分、控制、審計和考核來降低核心數(shù)據(jù)操作風(fēng)險。根據(jù)企業(yè)安全合規(guī)要求，敏感數(shù)據(jù)應(yīng)該實行最小化授權(quán)。不合理的數(shù)據(jù)不應(yīng)該出現(xiàn)在企業(yè)應(yīng)用中，敏感數(shù)據(jù)不應(yīng)該被越權(quán)用戶下載。因此圍繞數(shù)據(jù)的不同形態(tài)，可以有效降低風(fēng)險的全面數(shù)據(jù)安全解決方案必須能夠準(zhǔn)確地發(fā)現(xiàn)存儲在文件服DLP計和阻止。四、數(shù)據(jù)防泄露（DLP）的核心技術(shù)1、方案部署a）分布式部署架構(gòu)（分層管理）DLPDLP工作流、報告、調(diào)查和歸檔，應(yīng)支持分層部署，支持在不同區(qū)域的管理服務(wù)器上運行不同區(qū)域的策略。b）策略分級部署DLP能；管理員的功能模塊不可以超出上級管理員；為了滿足統(tǒng)一策略集中管理的需求，總管理員可以向下屬機構(gòu)進行策略推送，子管理員可以對總管理員推送的策略進行查看，但無法進行編輯和刪除的動作。c）證據(jù)文件外置部署DLP系統(tǒng)應(yīng)能夠?qū)?shù)據(jù)泄露事件提供證據(jù)文件外部保存能力，可采用外置文件存儲（NFS/SMB）的方式進行集中存儲。d）管理服務(wù)器高可用DLP接替行使管理功能。e）數(shù)據(jù)庫高可用DLPIP點關(guān)閉或不可用時，備用節(jié)點將接管活動角色，入庫日志、事件、證據(jù)、配置等保持同步且不丟失。2、策略定制a）內(nèi)容檢測的組合檢測DLP需要通過采用多個檢測策略規(guī)則進行搭配，支持基于“與”、“或”、“非”這三種判斷的各種組合關(guān)系，減少誤報的幾率。b）檢測對象的鎖定與過濾通常，DLP/DLP基于對象的檢測DLPIP（通俗上稱為：策略的黑白名單）?；谕ǖ赖臋z測DLP，DLPDLP不同通道下的不同協(xié)議或存儲通道進行不同的操作，從而達到細(xì)化策略的效果。策略響應(yīng)動作策略的響應(yīng)動作是指當(dāng)流量或執(zhí)行的動作命中了預(yù)設(shè)的檢測策略后，針對不同的通道在網(wǎng)絡(luò)側(cè)或終端側(cè)執(zhí)行的動作，通常情況下的動作執(zhí)行包括但不限于放行、阻止、隔離、確認(rèn)、個人密鑰加密等。策略觸發(fā)通知DLP略的事件行為。DLPLogo、公司名稱、郵件主題、正文內(nèi)容等。3、數(shù)據(jù)識別DLPa）關(guān)鍵字識別關(guān)鍵字識別分類器是目前DLPDLP系統(tǒng)應(yīng)支持使用關(guān)鍵字匹配分類器對敏感數(shù)據(jù)進行檢測。DLPDLPDLPa）關(guān)鍵字識別關(guān)鍵字識別分類器是目前DLPDLP系統(tǒng)應(yīng)支持使用關(guān)鍵字匹配分類器對敏感數(shù)據(jù)進行檢測。b）字典權(quán)重識別需要考慮到特定的詞語在整個檢測信息中的實際權(quán)重。DLPc）正則表達式識別則字符串”，從而實現(xiàn)對字符串的一種過濾邏輯。利用正則表達式識別器的數(shù)據(jù)檢測方式可以完成自定義產(chǎn)生或常見的具有一定規(guī)則的字符串的檢測。d）文件屬性識別文件屬性識別分類器并不會對檢測的文件進行內(nèi)容檢查，該分流器主要關(guān)心的是檢測文件自身所攜帶的屬性，包括：文件類型、文件大小、文件名稱、附件數(shù)量等。文件類型識別通?？梢杂脕頇z測外發(fā)的文件是否為壓縮、加密或特定的文件類型，一旦檢測出此類文件類型，企業(yè)則可以采取對應(yīng)的措施加以處理。文件大小識別通常還用來判斷外發(fā)的文件的實際大小，并結(jié)合其他識別器以提高檢測的精確度。e）圖像識別DLP容識別。f）標(biāo)簽識別通過在格式化文件，如：微軟Office、PDF、視頻、音頻、圖片等文件中的屬性編輯，這些分類分級標(biāo)簽可以對在DLP的各個傳輸通道中的數(shù)據(jù)進行識別并根據(jù)標(biāo)簽含義采取相應(yīng)的保護手段。g）機器學(xué)習(xí)識別機器學(xué)習(xí)識別分類器是指將一批相似的同類文件提交給DLP系統(tǒng)進行學(xué)習(xí)，DLP系統(tǒng)采用機器學(xué)習(xí)算法，根據(jù)上下文和自然語義提煉出這些文件的共同點，并將這些共同點按照算法生成類別特征，用于對后續(xù)不同通道中發(fā)現(xiàn)的被檢測文件進行判別。h）指紋識別指紋識別分類器目前主要分成非結(jié)構(gòu)化指紋（文件指紋）和結(jié)構(gòu)化指紋（CSV）內(nèi)容。文件指紋采集DLPDLP文件特征離線式采集DLPDLP標(biāo)不具備訪問權(quán)限，應(yīng)提供輔助工具，由對文件目標(biāo)有權(quán)限的人員進行指紋或機器學(xué)習(xí)的特征生成，然后通過定時導(dǎo)入功能自動并定期將產(chǎn)生的特征文件導(dǎo)入服務(wù)器內(nèi)預(yù)防二次泄密。i）其他識別模式匹配識別全人員一般關(guān)心內(nèi)部用戶提交的數(shù)據(jù)（HTTP）DLP產(chǎn)品支持HTTPResponse產(chǎn)品支持HTTPResponse數(shù)據(jù)的內(nèi)容檢測。利用模式識別技術(shù)可以形成對敏感數(shù)據(jù)外發(fā)檢測和敏感數(shù)據(jù)異常下載兩種場景的檢測閉環(huán)。內(nèi)容簡繁體自動轉(zhuǎn)換檢測簡繁轉(zhuǎn)換是在檢測匹配的過程中，檢測內(nèi)容既檢測簡體中文內(nèi)容也同時檢測對應(yīng)的繁體中文內(nèi)容。這樣就要求DLP系統(tǒng)將檢測內(nèi)容提取文字信息后，能夠自動完成簡體文字和繁體文字的互相轉(zhuǎn)換的過程。壓縮內(nèi)容的檢測在實際業(yè)務(wù)場景中，大量存在將文檔進行壓縮后進行傳輸外發(fā)的行為。因此，DLP系統(tǒng)需要具備正確識別多重壓縮文檔里的文件內(nèi)容和類型的能力。文件嵌套的檢測為了防止最終用戶采用在正常的Word文檔中嵌套含有敏感數(shù)據(jù)文檔的方式逃避DLP檢測，DLP系統(tǒng)需要支持對文件嵌套的內(nèi)容檢測。變形文件的檢測為了防止最終用戶采用通過修改文檔后綴的方式逃避DLP的類型和內(nèi)容檢測，DLP系統(tǒng)需要支持對變形文件的類型和內(nèi)容檢測。加密文件的檢測為了預(yù)防內(nèi)容識別為核心的DLP系統(tǒng)無法識別加密內(nèi)容導(dǎo)致的數(shù)據(jù)泄密，DLP系統(tǒng)需要支持對加密文件類型的識別，防止敏感數(shù)據(jù)通過加密文件外發(fā)的行為。自定義文件的檢測DLPDLP特征，DLP壓縮分片的檢測為了識別使用壓縮軟件將敏感文檔進行壓縮分片外發(fā)規(guī)避檢測的行為，DLP系統(tǒng)需要具備正確識別“使用壓縮軟件進行分片壓縮的文件類型”的能力。零星式泄露的檢測組織在實際業(yè)務(wù)場景中需要對敏感數(shù)據(jù)（如：身份證信息和手機號等）以少量多次的泄露方式進行識別。DLP60及時避免此類泄露。聚類技術(shù)采用非監(jiān)督學(xué)習(xí)聚類算法，將大量混雜的文件數(shù)據(jù)按照文件內(nèi)容的相似度自動聚類，并通過機器學(xué)習(xí)生成類別特征信息。協(xié)助數(shù)據(jù)管理者進行數(shù)據(jù)分類分級，對聚類后的文件可以基于字典、正則表達式、指紋、智能學(xué)習(xí)等技術(shù)，輔助數(shù)據(jù)管理者有效的制定DLP防護策略。自定義數(shù)據(jù)模板通過可編程控制技術(shù)，基于特定的文件類型和內(nèi)容格式，對被檢測文件進行分析和處理，精準(zhǔn)的判別文件的類型和分類等級，可以有效輔助數(shù)據(jù)管理者在復(fù)雜的環(huán)境下精準(zhǔn)的對檢測文件進行識別。4、管理與控制a）統(tǒng)一管理控制臺全套DLPDLPb）策略多模塊分發(fā)策略多模塊分發(fā)是指最終用戶不需要為各DLP模塊設(shè)置不同的檢測策略，通過控制臺即可集中為DLP產(chǎn)品各模塊下發(fā)統(tǒng)一的檢測策略,也可以單獨為某個DLP產(chǎn)品模塊或模塊組合下發(fā)獨立策略。c）預(yù)置策略預(yù)置模板是指為了方便DLP用戶更加便捷的使用數(shù)據(jù)防泄露產(chǎn)品，DLP系統(tǒng)在內(nèi)部提前給使用者定制好檢測內(nèi)容的檢測模板。預(yù)置策略模板應(yīng)該是開箱即用并能對外發(fā)的數(shù)據(jù)進行有效且精確的識別。d）角色管理DLP策略組以分離職責(zé)，為監(jiān)視和執(zhí)行提供靈活的支持，使之能投入到不同的策略管理工作中。e）多權(quán)分立系統(tǒng)應(yīng)支持多權(quán)分立方式登陸管理平臺，包括：系統(tǒng)管理員（負(fù)責(zé)系統(tǒng)管理），安全管理員（負(fù)責(zé)審批管理），審計管理員（負(fù)責(zé)審計管理），事件管理員（負(fù)責(zé)事件審計）f）策略審批部署在實現(xiàn)分權(quán)管理后，DLPDLPDLPDLP系統(tǒng)應(yīng)支持在組織內(nèi)對接特定的集成產(chǎn)品，包括并不局限于SIEMSOCDLPAPIh）用戶識別事件管理需要合理利用組織內(nèi)的用戶信息，將所有違規(guī)者與用戶身份數(shù)據(jù)關(guān)聯(lián)起來，DLP用戶的認(rèn)證（ActiveDirectory）DHCP租約信息與企業(yè)登陸用戶聯(lián)系起來，將身份信息的上下文關(guān)聯(lián)添加到每個事件告警中，避免將策略違規(guī)與正常用戶聯(lián)系在一起。5、分析與報告DLP系統(tǒng)應(yīng)具備提供實時告警及對受保護數(shù)據(jù)實時分析的能力，及時通知組織內(nèi)安全人員有關(guān)泄露或違規(guī)事件DLPa）事件處理DLP以對任何字段進行排序或過濾，包括通道，違反策略，用戶，事件狀態(tài)和處理流程。b）事件日志DLP者、違反策略、告警級別等內(nèi)容。c）事件工作流DLP內(nèi)容的安全等級以及實際內(nèi)容本身。這將為安全團隊提供調(diào)整策略，糾正數(shù)據(jù)濫用和跟蹤潛在高風(fēng)險用戶所需的相關(guān)信息。d）格式化顯示DLP系統(tǒng)應(yīng)支持對使用Webmail郵件抄送者、郵件密送者、郵件主題等相關(guān)信息。e）事件關(guān)聯(lián)合并DLP的復(fù)雜性，減少問題處理時間。f）日志查詢功能DLP對所有的日志進行精確查詢和報告，例如：用戶組、策略組、策略規(guī)則、嚴(yán)重性、用戶名等。g）基于用戶的報告DLP系統(tǒng)應(yīng)可以針對個人風(fēng)險值、個人風(fēng)險排名、個人事件數(shù)據(jù)統(tǒng)計等生成以人為中心的報告。h）數(shù)據(jù)分類查詢DLP系統(tǒng)應(yīng)提供基于“數(shù)據(jù)分類”并且以數(shù)據(jù)分類的形式來呈現(xiàn)數(shù)據(jù)安全報告。五、數(shù)據(jù)防泄露（DLP）的應(yīng)用場景DLP解決方案既能保護敏感數(shù)據(jù)，又能深入了解組織內(nèi)數(shù)據(jù)的使用情況。DLPDLPDLP架構(gòu)。在數(shù)字化轉(zhuǎn)型的形勢下，數(shù)據(jù)無處不在，因此DLPIT/aaS、移動辦公終端、SaaSDLP統(tǒng)一的數(shù)據(jù)安全策略下保護組織的數(shù)據(jù)資產(chǎn)。1、存儲數(shù)據(jù)防泄露（發(fā)現(xiàn)DLP）a）風(fēng)險分析①存儲數(shù)據(jù)違規(guī)風(fēng)險數(shù)據(jù)存儲是指組織機構(gòu)在提供產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，將數(shù)據(jù)進行持久化存儲的過程，包括但如測試網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)等，都有可能存儲敏感數(shù)據(jù)，如果不能掌握和了解數(shù)據(jù)的存儲分布情況，就做不到對數(shù)據(jù)的精準(zhǔn)保護。所以，如何要對存儲中的數(shù)據(jù)進行保護，前提就是需要對數(shù)據(jù)存儲的分布情況進行梳理，得到內(nèi)部的數(shù)據(jù)分布視圖。數(shù)據(jù)存儲過程，可能存在敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失、數(shù)據(jù)不可用等安全風(fēng)險。許多行業(yè)數(shù)據(jù)保護哪些位置，他們就有可能違反數(shù)據(jù)保護法規(guī)，并因不合規(guī)而面臨巨額罰款。此類風(fēng)險行為包括：需要加密保存的數(shù)據(jù)未加密保存；需要脫敏的數(shù)據(jù)未脫敏存儲；生產(chǎn)數(shù)據(jù)被放到測試網(wǎng)絡(luò)；高密級數(shù)據(jù)存儲在低密級區(qū)域；員工終端違規(guī)保存敏感數(shù)據(jù)；……②數(shù)據(jù)刪除/銷毀檢測/清理的過程。機構(gòu)需要采取安全控措施確保數(shù)據(jù)被安全有效的銷毀。而數(shù)據(jù)存儲對于此類要求可以進行定期的檢查，防止應(yīng)該清理的數(shù)據(jù)沒有被及時銷毀的風(fēng)險。DLPDLP以確定需要保護的受影響資源以及潛在的數(shù)據(jù)泄露風(fēng)險，是合規(guī)的重要技術(shù)組成部分。數(shù)據(jù)發(fā)現(xiàn)使安全團隊可以識別這些數(shù)據(jù)從而對其進行保護，并確保其機密性、完整性和可用性。采用基于上下文內(nèi)容感知的數(shù)據(jù)發(fā)現(xiàn)帶來的優(yōu)勢包括：增強了組織對擁有的數(shù)據(jù)以及存儲位置的掌控能力，從而加強敏感數(shù)據(jù)訪問和傳輸方式的理解過程；DLP在發(fā)現(xiàn)敏感數(shù)據(jù)后執(zhí)行觸發(fā)補救事件以保護敏感數(shù)據(jù)；協(xié)助完成組織內(nèi)完整的敏感數(shù)據(jù)可見性，降低審計成本；了解所有存儲敏感信息的位置，在敏感數(shù)據(jù)被移動到未經(jīng)批準(zhǔn)的位置時持續(xù)進行監(jiān)控。b）關(guān)鍵功能DLPDLPDLP致的靜態(tài)數(shù)據(jù)掃描策略，從而保持策略、工作流程和事件處理的一致性；DLP系統(tǒng)應(yīng)支持發(fā)現(xiàn)掃描存儲在數(shù)據(jù)庫中敏感數(shù)據(jù)，包括Oracle、SQLServer、MySQL、DB2ODBCDLP系統(tǒng)應(yīng)支持各類郵件應(yīng)用系統(tǒng)，包括Exchange、Outlook、LotusDomino掃描；DLPDLP執(zhí)行隔離或復(fù)制的補救動作。2、網(wǎng)絡(luò)數(shù)據(jù)防泄露（網(wǎng)絡(luò)DLP）a）風(fēng)險分析由于各組織的職責(zé)不同，同一類數(shù)據(jù)在不同組織的安全級別存在較大差異，需要針對不同的組織制定不同的數(shù)據(jù)防護策略，包括：跨域數(shù)據(jù)暴露風(fēng)險跨域數(shù)據(jù)的共享面臨的風(fēng)險是高等級安全域向低等級安全域開放其無權(quán)訪問的數(shù)據(jù)，在數(shù)據(jù)共享時未加以處理和區(qū)分，從而導(dǎo)致敏感數(shù)據(jù)泄露到低安全域內(nèi)。隨著企業(yè)數(shù)據(jù)共享的范圍增加，數(shù)據(jù)安全的責(zé)任主體就隨著共享范圍的增加而擴大，新的數(shù)據(jù)擁有者往往容易忽略數(shù)據(jù)安全合規(guī)的要求，導(dǎo)致敏感數(shù)據(jù)泄露。高威脅互聯(lián)網(wǎng)數(shù)據(jù)行為風(fēng)險開放的互聯(lián)網(wǎng)工作方式導(dǎo)致安全性復(fù)雜化并增加風(fēng)險。企業(yè)面臨可能接觸到敏感數(shù)據(jù)的內(nèi)部人員包括企業(yè)的運維人員、操作人員、數(shù)據(jù)使用者可能會無意或蓄意利用網(wǎng)絡(luò)環(huán)境將核心敏感數(shù)據(jù)泄露至安全網(wǎng)之外，令信息安全管理部門防不勝防、無從查證。DLP絡(luò)DLPDLPb）關(guān)鍵功能(inline)ICAPIPv6、SMTP、FTP、IMAP、POP3支持對從企業(yè)內(nèi)部服務(wù)器或云應(yīng)用Portal的內(nèi)容進行報警或阻斷；URLSSLOCRBypass；ICAP（DLPICAPDLP3、郵件數(shù)據(jù)防泄露（郵件DLP）a）風(fēng)險分析DLP產(chǎn)品的下一個主要組件是郵件DLP。電子郵件系統(tǒng)是當(dāng)前我國企事業(yè)單位最重要的信息溝通手段之一，其最重要功能就是對外進行通訊。電子郵件系統(tǒng)可能涉及的數(shù)據(jù)安全風(fēng)險主要存在以下兩種：①保密性風(fēng)險保密性風(fēng)險是指未經(jīng)授權(quán)泄露保密信息，散播組織內(nèi)部專有信息或業(yè)務(wù)信息，從而導(dǎo)致遺失知識產(chǎn)權(quán)；包括采用組織內(nèi)部郵件對外進行敏感數(shù)據(jù)傳輸，同時也包括通過內(nèi)部郵箱和移動設(shè)備郵件程序進行未經(jīng)授權(quán)的敏感數(shù)據(jù)的郵件傳遞行為。②對外策略風(fēng)險違反電子郵件正常使用策略的企事業(yè)單位人員，包括利用電子郵件系統(tǒng)發(fā)表個人言論帶來的糾紛，以及內(nèi)部用損害商譽和違反法律法規(guī)等問題。由于郵件系統(tǒng)的特殊性，相關(guān)的郵件可以作為對應(yīng)的追責(zé)證據(jù)進行舉證，要求組織使用郵件DLP對于外發(fā)郵件的內(nèi)容進行檢查、審計和控制，這樣就可以在出現(xiàn)安全事件時對于郵件內(nèi)容進行追溯，快速的進行定位。b）關(guān)鍵功能“保密性風(fēng)險”和“對外策略風(fēng)險“常見的保護措施包括：郵件鏈路加密DLP防止監(jiān)聽和截取的風(fēng)險行為出現(xiàn)。郵件內(nèi)容一致性檢測郵件DLP應(yīng)支持對于外發(fā)郵件內(nèi)容，包括收發(fā)件人、主題、正文、附件等進行合規(guī)性檢查。郵件全量審計郵件DLP應(yīng)支持對于所有外發(fā)的郵件進行審計留存，方便后續(xù)定向追溯。郵件外發(fā)審批郵件DLP應(yīng)支持對于一致性檢測失敗的郵件進行審批復(fù)核，在審批通過后再次外發(fā)。郵件違規(guī)隔離DLP泄并留檔核驗。郵件自動加密DLP路加密，指的是對于郵件本身的加密。郵件反向追溯DLP檢查，從而縮小檢測范圍。郵件定向追溯DLP實現(xiàn)法律取證的可行性。4、終端數(shù)據(jù)防泄露（終端DLP）a）風(fēng)險分析在以下風(fēng)險：終端數(shù)據(jù)采集風(fēng)險數(shù)據(jù)采集是指某些組織機構(gòu)在提供產(chǎn)品和服務(wù)、開展經(jīng)營管理等活動中，直接或間接從個人信息主體、企業(yè)客戶及外部數(shù)據(jù)供應(yīng)方采集數(shù)據(jù)的過程。當(dāng)數(shù)據(jù)產(chǎn)生后，由于業(yè)務(wù)分析、開發(fā)測試等需要，需要從生產(chǎn)系統(tǒng)批量下載和導(dǎo)出數(shù)據(jù)，這就是終端數(shù)據(jù)泄露的主要源頭。在這個過程中存在人員權(quán)限濫用、違規(guī)操作、越權(quán)訪問和下載等風(fēng)險，需要通過人員權(quán)限細(xì)分、控制、審計和考核來降低核心數(shù)據(jù)操作風(fēng)險。終端數(shù)據(jù)存儲風(fēng)險保護法規(guī)，并因不合規(guī)而面臨巨額罰款。終端數(shù)據(jù)使用風(fēng)險/終端數(shù)據(jù)傳輸風(fēng)險可分為內(nèi)部數(shù)據(jù)傳輸和內(nèi)外部機構(gòu)間的數(shù)據(jù)傳輸兩種形式，當(dāng)敏感數(shù)據(jù)流轉(zhuǎn)到終端后，主要的泄露途徑有互聯(lián)網(wǎng)傳輸、外設(shè)傳輸和應(yīng)用傳輸三種。DLPWindows，MacOSWeb（QQ（b）關(guān)鍵功能終端支持類型DLPWindowsMacOSLinux基于內(nèi)容的檢測審計和阻斷敏感數(shù)據(jù)外發(fā)。終端協(xié)議數(shù)據(jù)檢測終端DLP應(yīng)支持對使用SMTP、HTTP/HTTPS、FTP、SMB、POP3、IMAP、ActiveSync等協(xié)議進行傳輸?shù)臄?shù)據(jù)內(nèi)容進行有效的識別，并根據(jù)策略對應(yīng)的動作執(zhí)行阻斷、審計放行、彈窗提示等相應(yīng)操作。終端應(yīng)用數(shù)據(jù)檢測終端DLP應(yīng)支持對使用應(yīng)用（包括云應(yīng)用）客戶端傳輸?shù)臄?shù)據(jù)內(nèi)容進行有效的識別，并根據(jù)對應(yīng)策略執(zhí)行阻斷、審計放行、彈窗提示等相應(yīng)操作。IM終端DLP應(yīng)支持對使用終端即時聊天工具，如QQ、微信、飛書、釘釘、Skype等聊天的文字與傳送的文件內(nèi)容進行檢測與攔截阻斷，終端DLP應(yīng)可以獲得接收和發(fā)送人員信息，支持自動截屏保留證據(jù)。終端郵件數(shù)據(jù)檢測DLPFoxmail、Outlook并支持放行、阻斷、確認(rèn)動作。終端離線策略DLP受控終端執(zhí)行更加嚴(yán)格的離線控制策略進行數(shù)據(jù)保護。終端存儲策略檢測終端DLP應(yīng)支持對通過網(wǎng)絡(luò)共享拷貝文件至本地存儲的內(nèi)容分析，并支持放行、阻斷、確認(rèn)動作。終端瀏覽器插件的數(shù)據(jù)檢測DLPDLP機上。終端加密數(shù)據(jù)檢測DLPDLPDLP終端打印通道DLP感數(shù)據(jù)帶離安全環(huán)境。終端顯性水印能力DLPURL及打印水印等。終端隱形水印能力DLP暗水印，可以比較隱蔽的方式在打印件上隨機分布附加圖形，實現(xiàn)對員工的打印文件進行追溯。終端手動標(biāo)簽DLP征為后期檢測使用。終端應(yīng)用程序標(biāo)簽DLPOffice、WPS者為該文件附加數(shù)據(jù)分類分級的標(biāo)簽，建立企業(yè)數(shù)據(jù)特征為后期檢測使用。終端自動掃描標(biāo)簽DLP類分級的標(biāo)簽，建立企業(yè)數(shù)據(jù)特征為后期檢測使用。終端下載標(biāo)簽DLPURL企業(yè)數(shù)據(jù)特征為后期檢測使用。通訊加密DLPDLP獲也需要確保內(nèi)容無法查看。配置加密為了預(yù)防惡意用戶在獲知檢測內(nèi)容和匹配規(guī)則后進行規(guī)避，應(yīng)確保收到檢測策略后終端DLP保存在本地配置文件的保密性。5、應(yīng)用數(shù)據(jù)防泄露（應(yīng)用DLP）內(nèi)部數(shù)據(jù)資產(chǎn)主要分布在業(yè)務(wù)系統(tǒng)和辦公終端電腦中，其中應(yīng)用系統(tǒng)包含了大部分集中存放的數(shù)據(jù)。這些業(yè)務(wù)系統(tǒng)既能提供給外部客戶使用，也可以提供給內(nèi)部用戶使用；這些應(yīng)用多數(shù)以HTTP/HTTPS方式對外提供服務(wù)，大量的數(shù)據(jù)會被錄入到業(yè)務(wù)系統(tǒng)中，同時，業(yè)務(wù)系統(tǒng)也在輸出各種數(shù)據(jù)以提供服務(wù)。這些數(shù)據(jù)往往是最核心的數(shù)據(jù)資產(chǎn)所在，一旦發(fā)生泄密，將導(dǎo)致所存放的客戶的隱私數(shù)據(jù)或者組織自身的知識產(chǎn)權(quán)等相關(guān)內(nèi)容的泄露，造成巨大的經(jīng)濟損失和組織的名譽損失，更加嚴(yán)重的情況還將受到刑法的處置。因此對應(yīng)用系統(tǒng)的數(shù)據(jù)安全防護已經(jīng)到了一個刻不容緩的時刻。風(fēng)險分析在傳統(tǒng)的應(yīng)用的數(shù)據(jù)安全中，大多數(shù)解決方案都集中在針對外部的防護方面。但基本上這類安全防護的手段無法解決以下風(fēng)險：應(yīng)用系統(tǒng)的數(shù)據(jù)上傳風(fēng)險應(yīng)用系統(tǒng)本身要接收大量的用戶提交數(shù)據(jù)，這些數(shù)據(jù)可能是用戶的交易信息，查詢信息等，也可以是用戶交流信息內(nèi)容。在傳統(tǒng)安全范疇內(nèi)，基本上對用戶的上傳內(nèi)容很難進行分析和審計，這些違規(guī)內(nèi)容的上傳，會給企業(yè)帶來巨大的影響和傷害。因此，需要在企業(yè)業(yè)務(wù)系統(tǒng)的內(nèi)容上傳過程中，對用戶提交的內(nèi)容進行內(nèi)容分析和檢測，發(fā)現(xiàn)其中的不正當(dāng)內(nèi)容，并對其進行阻止和攔截。/或者當(dāng)黑客繞過了所有的外部攻擊手段后，就可以順利的將內(nèi)部的數(shù)據(jù)進行下載。大多數(shù)的應(yīng)用系統(tǒng)對服務(wù)器返回的數(shù)據(jù)并沒有進行審查，同時對獲取的數(shù)據(jù)內(nèi)容、傳輸數(shù)量等沒有進行控制和限制，因此，需要通過必要的手段在網(wǎng)站下行位置對服務(wù)器的返回內(nèi)容進行分析和檢測，發(fā)現(xiàn)其中可疑的操作及時進行審計和阻止。應(yīng)用系統(tǒng)的存儲數(shù)據(jù)風(fēng)險在很多的業(yè)務(wù)系統(tǒng)中，存在有大量的非結(jié)構(gòu)化文檔的交互，比如網(wǎng)盤系統(tǒng)，用戶可以自由的上傳和下載文檔，在一定的程度上，存在敏感內(nèi)容不正當(dāng)擴散的風(fēng)險。因此，需要有必要的手段，增強文檔管理系統(tǒng)的內(nèi)容識別能力，在用戶上傳、下載、共享的時候?qū)?nèi)容進行識別，對其中的敏感數(shù)據(jù)的不正當(dāng)擴散進行審計和阻止。應(yīng)用系統(tǒng)與第三方系統(tǒng)數(shù)據(jù)交互風(fēng)險因此，組織需要保護敏感數(shù)據(jù)，就需要考慮與第三方合作的風(fēng)險。安全管理者需要了解整個組織的第三方生態(tài)系統(tǒng)，以及有哪些敏感數(shù)據(jù)與供應(yīng)商進行交互。DLP”RESTfulDLP”設(shè)備的接口，由該設(shè)備對該數(shù)據(jù)進行深度上下文內(nèi)容和安全風(fēng)險識別分析。b）關(guān)鍵功能應(yīng)用送檢支持DLPRESTAPIDLP（/），同時也應(yīng)支持對上傳至應(yīng)用DLP的文件進行病毒檢測，確保文件安全性。應(yīng)用存儲送檢支持DLPUCWI多種云存儲對象并展示存儲對象的區(qū)域、路徑等屬性信息。文件脫敏支持DLP安全操作。信息獲取支持DLPREST的方式提供給第三方應(yīng)用進行調(diào)用讀取。6、移動數(shù)據(jù)防泄露（移動DLP）a）風(fēng)險分析隨著信息化進程的推進，大量員工開始進行移動化辦公，使用手機、pad移動辦公的安全問題不僅包含了傳統(tǒng)電子辦公系統(tǒng)的安全問題，還包含了移動化引入的許多新的安全問題與隱患。這些新的風(fēng)險主要包括以下幾方面：移動終端違規(guī)接入用戶業(yè)務(wù)內(nèi)網(wǎng)由于移動辦公涉及公共運營網(wǎng)絡(luò)，若缺乏有效的移動終端安全控制措施，則存在來自非法終端或惡意用戶對辦公信息系統(tǒng)進行非授權(quán)或異常訪問的風(fēng)險。移動終端無線信道潛在的竊聽風(fēng)險若在移動辦公的過程中，通過無線信道傳輸?shù)男畔⑽醇用?，則存在嚴(yán)重的竊聽風(fēng)險。移動終端的離散化特性加大了數(shù)據(jù)的監(jiān)管難度若缺乏必要管控手段，則可能出現(xiàn)監(jiān)管死角，造成辦公數(shù)據(jù)泄露。移動終端易丟失、更換頻繁由于移動終端具有隨身攜帶方便、易用等特點，辦公人員易將敏感的商業(yè)信息和個人資料存入其中，與攜帶者一起流動，加大了丟失和被竊概率。另外，移動終端的更換周期相對較短，由于缺乏專業(yè)的回收或銷毀機制，淘汰產(chǎn)品通過二手市場流傳，容易造成辦公信息泄露。移動終端應(yīng)用程序管理困難企業(yè)應(yīng)用與個人從第三方市場下載的應(yīng)用同時并存，未進行有效隔離，一旦某個應(yīng)用被惡意程序感染，則存在敏感辦公信息被泄露的風(fēng)險。同時后續(xù)的升級、新增、下架應(yīng)用程序等操作，也缺乏統(tǒng)一管理手段。移動終端上存儲未加密的辦公數(shù)據(jù)若移動終端上的辦公數(shù)據(jù)不進行加密存儲，且未與移動終端私人運行環(huán)境隔離，一旦被木馬、病毒等惡意程序感染，則存在辦公系統(tǒng)登錄賬號、密碼被竊取，敏感辦公信息被泄露的風(fēng)險。辦公數(shù)據(jù)在移動終端上缺乏隔離措施普通的移動終端未對辦公應(yīng)用運行環(huán)境與個人應(yīng)用運行環(huán)境進行區(qū)別對待，但在移動辦公場景下，對個人用戶而言，容易出現(xiàn)同一終端公私混用的情況。若缺乏有效的隔離措施，容易產(chǎn)生同設(shè)備網(wǎng)惡意代碼竊取辦公敏感數(shù)據(jù)的風(fēng)險。的數(shù)據(jù)安全管理環(huán)境，實現(xiàn)數(shù)據(jù)安全有效落地。b）關(guān)鍵功能為避免以上安全風(fēng)險，移動DLP需具備以下安全功能：身份認(rèn)證DLP移動辦公后臺系統(tǒng)，并訪問后臺數(shù)據(jù)；確保只有合法用戶能夠訪問移動終端的辦公數(shù)據(jù)。鏈路加密通信安全移動終端通過身份認(rèn)證接入移動辦公后臺系統(tǒng)后，無線鏈路需采取可靠的加密措施，以保護辦公數(shù)據(jù)在傳輸過程中的可用性、完整性、保密性，防止被竊聽、被泄露。數(shù)據(jù)加密若辦公數(shù)據(jù)在移動終端落地，需采用加密技術(shù)進行保護，確保辦公數(shù)據(jù)在移動終端上的完整性、保密性，同時保證辦公數(shù)據(jù)與個人數(shù)據(jù)隔離存儲。安全沙箱應(yīng)用運行環(huán)境安全。移動辦公應(yīng)用運行時，應(yīng)采用隔離技術(shù)，保證移動終端辦公應(yīng)用與個人應(yīng)用運行環(huán)境有效隔離；終端上多個移動辦公應(yīng)用之間的隔離技術(shù)需具有防截屏、防鍵盤截獲等數(shù)據(jù)防泄露功能。內(nèi)容檢測DLP發(fā)從而導(dǎo)致數(shù)據(jù)泄露。審計安全DLP件的記錄及上報。應(yīng)用水印移動DLP應(yīng)可以要求，對內(nèi)部應(yīng)用進行添加水印信息的控制。應(yīng)用管理移動DLP應(yīng)可以根據(jù)業(yè)務(wù)需求部署內(nèi)部應(yīng)用市場，對單位內(nèi)部移動應(yīng)用進行下載、管理、升級等工作。數(shù)據(jù)擦除移動DLP應(yīng)支持在管理平臺上對丟失的終端進行內(nèi)部應(yīng)用的敏感信息的擦除動作，保護敏感信息不被泄露。安全控制為防止將內(nèi)部應(yīng)用中包含的敏感信息通過其他應(yīng)用向外發(fā)送，造成敏感信息的泄露，移動DLP應(yīng)支持當(dāng)內(nèi)部應(yīng)用在移動終端對敏感數(shù)據(jù)操作行為的阻止和審計，包括復(fù)制、粘貼、拷貝、截屏等動作。六、數(shù)據(jù)防泄露（DLP）的擴展1、人工智能與行為分析加入數(shù)據(jù)防泄露（DLP）體系關(guān)注較多的集中在外部威脅，比如病毒、木馬、黑客、DDOS攻擊、攻擊等等，近年快速增長且屢屢造成眾多企業(yè)重大數(shù)據(jù)安全威脅與泄密的事件更多的開始來自內(nèi)部威脅。單純的數(shù)據(jù)安全防護體系，僅僅關(guān)注數(shù)據(jù)的存在安全保護盲區(qū)。因此，組織需要建立一套將行為分析技術(shù)與數(shù)據(jù)保護體系相結(jié)合的主動、持續(xù)、自適應(yīng)的防御體系，在實現(xiàn)數(shù)據(jù)安全保護功能的基礎(chǔ)