面向竞争的数据防泄漏（转载）

本文原发于“SecUN安全村，科技创新型企业专刊”，作者是该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。。转载获得原作者允许。

这篇文章是目前关于企业数据防泄漏技术和管理方面最全面的综述之一。作者尽可能弱化技术背景，以经验和逻辑来解释管理中的各种应用思路和实际效果。具有很高的参考价值。

---

在这里：SecUN安全村，科技创新型企业专刊，或者这里：知乎专栏：企业信息安全，阅读感受更好。

1. 背景

1. 既然是春哥约稿，可以写得放肆一点儿。阅读本文不需要懂技术、懂安全，需要的是一点儿常识和逻辑。本文不合教条，论述跳跃之处颇多，期望能抛砖引玉，探索可以有的思考方向。

2. 春哥的要求复述在此：“对同行有价值的内容，都可以；方案、思维框架、思路方法、工具，都可以。”既然是写给同行，话题范围应该是“企业信息安全管理（EISM, Enterprise Information Security Management）”。

3. 很多甲方的管理者觉得近十年以来终端数据防泄漏的技术和解决方案并没有大的进展，跟不上需求的脚步。如果读者对此有同感，有好奇，就可以关注本文。

4. 本文以甲方终端数据防泄漏的技术选型为主题，主要包括两部分内容：
　a) 需求分析的框架和方法；
　b) 常见解决方案与管理实效的分析和方法。
　本文只涉及分析的方法，如果读者在现实工作中有需要，还烦请您自己做细致的分析，得到自己的结论。

5. 文中过于啰嗦可以不看部分包括：
　a) 第49 - 54条；
　b) 第60 - 62条；
　c) 第77 - 79条，第83 - 86条。
　上述啰嗦部分责任不在我，是产品设计本身所致。其余部分，显然我本来就啰嗦。

 

2. 需求

2.1 概念

6. 本文所谓数据防泄漏是指：防止、阻断或发现企业敏感的业务数据或信息资产以违背所有者意愿的形式被有意、无意或意外的泄露，从而避免企业因信息泄露而遭受损失，或在遭受损失后追责。

7. 本文对数据防泄漏使用缩略语“DLP（Data Loss Prevention）”。但所指不同于Gartner对该词的使用。

8. GDPR、网络安全法等安全法规促进了数据防泄漏、隐私保护和业务数据风险管理等相关安全细分领域的蓬勃发展。本文讨论范围存在一些差异，列举在此，后文不再赘述：
　a) 合规更深层的背景是承担社会责任和对用户负责。合规层面出现问题，显然会致使企业竞争力削弱，甚至可能遭受灭顶之灾。
　b) 数据安全的攻击者可能来自外部，也可能来自内部。但外部攻击可能会在某些中间环节体现为内部攻击。所以区分一个内部攻击事件是否存在内部人员的有意识参与，在技术和管理规划中尤为重要，且容易被忽视。比如：借助业务系统漏洞窃取用户信息的攻击，如果是内鬼所为，可能在动机、行为、监控信息记录、后果上都存在很大的差异。
　c) “云、管、端、用”各自存在不同的安全需求和解决方案。但越靠近端和用，就越需要充分考虑“人的因素”。而人的因素，是区分“信息安全管理”与“IT安全管理”的重要界限。

2.2 动机

9. 一般认为DLP的需求有两大来源：合规与竞争。但本文认为竞争处在更基础、更原生、更有讨论价值的地位上。

10. 合规只是EISM-DLP的最低要求。合规有明确的标的，也一定有满足其要求的成熟套路。原因是：
　a) 合规的目的是市场准入。
　b) 规则的制定不能脱离技术与成本的现实。
　c) 规则的满足在方案规划、合规检查、管理手段上总是存在变通的余地和取巧的空间。
　d) 相对而言，规则是死的。在达标的前提下，如何满足、满足多少的主动权在自己手上，可灵活应对。

11. 竞争是EISM-DLP的最高要求。
　a) 竞争的目的是在市场选择中获胜和活下来。
　b) 适者生存，竞争者都在努力突破技术、成本和规则的现实约束。
　c) 竞争的语境是瞬息万变，生死攸关的；
　d) 竞争存在于企业经营的各个层面，大到价值定位与战略规划，小到微观效率与个人情绪；
　e) 竞争具有外部性。市场抛弃你，对手攻击你，不由你说了算。

12. 本文的讨论以竞争为基准，并尽可能回避合规所造成的潜在影响。

2.3 攻击

13. EISM-DLP主要面临的攻击来源包括：
　a) 竞争对手的打探、窃取。常见比如：收买，商业间谍，网络入侵或木马窃取，客户或供应商泄密。
　b) 内部员工的无意泄密。主要原因包括：缺乏责任心，缺乏安全意识，不良的工作习惯，以及受到恶意的诱骗（这需要一定的安全技能才能抵御）等。
　c) 内部员工的有意泄密。主要动机包括：个人知识库的积累，被收买，报复泄愤，炫耀等。
　d) 意外泄密或无目的攻击。比如IT系统失效导致的暴露，并非针对窃密的网络攻击。

2.4 资产

14. EISM-DLP主要需要保护的信息资产，基于信息的存储、流转、利用及其管理方式等，可粗略划分为如下两类：
　a) 业务系统信息。此类信息一般保存在服务器、数据库中，通过软件或业务系统对内或对外提供访问。业务系统一般是集中管理的，对用户提供信息的访问、浏览、修改、流转等功能。同时业务系统一般具有完备的账户管理、访问控制、权限管理等安全能力，所处IT环境还受到防火墙、漏洞扫描、入侵检测等等完善的对外安全防御保护。
　b) 终端办公信息。此类信息一般存在于员工电脑、操作终端、手机或PAD中，典型如文档、代码、聊天记录、加工或设计源文件等。除了IM聊天之外，终端办公信息一般以文件形式保存、利用、修改和流转。一般情况下，不同文件类型使用不同的软件操作或编辑。

15. EISM-DLP主要需要保护的高密级、高价值、或高敏感度的信息资产，从竞争和可管理程度的角度来看，可粗略划分为如下几类：
　a) 可识别，可监控的敏感信息。比如：明确经过密级标识、资产登记、密级评定的涉密文档；业务系统上受到妥当监管的结构化信息。
　b) 不容易识别，但可监控的敏感信息。比如：源代码、设计图纸等容易借助文件类型实现管控，但不容易判断其内容的涉密程度。
　c) 可识别，但不容易监控的敏感信息。比如：投标价格、设计诀窍、市场决策的倾向性等。业务经手人通常会非常清楚这类信息微妙的涉密属性，准确评估泄密所能够造成价值损失。但同时，依靠技术手段却几乎无法杜绝或抓到这类信息的有意泄露。
　d) 不容易识别，也不容易监控的敏感信息。比如：专业技术人员、设计师、经营者等人心里的想法、方案、判断和综述等。这些信息在未经系统化梳理之前，可能星火点点，散布四方，也可能众说纷纭，日经三变。但从企业创新或竞争来看，这些信息产生的过程，就是企业创造价值，获得竞争力的开端。

16. 现在通常的先做资产识别、再考虑资产保护的管理思路，未必能保护企业经营和创新中真正高价值的，左右竞争局面，致胜未来的关键信息。

2.5 损失

17. 敏感信息泄露带来损失。这种损失可以表现为信息本身所具有的价值，也可以表现为竞争中失去优势地位所导致的潜在收益的降低。

18. 关注信息泄露导致价值损失的方式和途径，有助于选择恰当的安全技术手段和管理策略。例如：
　a) 竞标报价之类的信息，具有很强的时效性。经手人员是否信得过是关键。此外，报价文档的技术管理应该内松外紧，避免无意之间的文档泄露。
　b) 形成专利、技术秘密之前的创意、预案、设计等信息，处在激烈的讨论、碰撞、综述、比较、整理过程之中。这个阶段技术管理上要给予足够的信息流动空间，避免沟通效率的损耗。策略管理上要借助沟通平台留下雪泥鸿爪，并促成讨论者多总结，早日文档化。
　c) 技术大拿，核心经营人才头脑中的创意、经验、创新模式等信息，近乎等于他们个人知识储备和能力的释放，一般认为只能依赖文化认同、股份、期权、竞业协议等手段来绑定他们。但同时，信息防泄漏技术手段也可以有效的防止代码库和资料被批量带走，进而在这些核心人员打算离职创业、转投竞争对手时，提高他们的决策难度。

19. 哪种威胁可能潜在地对企业造成最大的损失？哪种最紧迫？解决哪种威胁成本收益最高？应该结合业务特点和竞争形势，对上述问题时刻保持清醒的认识。

20. 举例一：业务系统中的用户数据，如果被批量泄露，会导致用户隐私泄露，造成恶劣社会影响，进而影响企业声誉。作为安全管理者，可以有如下考虑：
　a) 很多数据本身就是提供查询服务的，只有当单位时间内外泄数量过大，或持续时间过长时才构成“泄密事件”。而关于数量或时间的判断标准很难做到准确、客观、及时、有效。
　b) 用户隐私泄露，直接遭受损失的是用户，而不是企业。企业的损失发生在社会影响形成后，表现为受到监管处罚、品牌形象受损、失去市场份额等等。
　c) 业务系统本身具有账号、密码、权限系统，IT环境有入侵检测、漏洞扫描等网络安全措施，满足基本的合规要求是容易的。而且这些更多属于技术管理范畴，是对用户不法行为和外来攻击者入侵的防护手段。
　d) 而公司内部产品、研发、运营、运维等人员可能借助自己的特权下载、导出批量数据，并外泄出去。这种安全威胁不能、也无法简单的依靠技术管理来应对。原因是内部人员在执行泄密动作时，每个环节都可以依靠其合法的权限来完成，而这种合法权限受到过多管控，又必然影响其工作效率。
　e) 内部威胁具备低频、突发、隐蔽性高、攻击方式多变、可识别性低、破坏性大的特点。内部威胁的应对要综合考虑雇佣关系、岗位职责、员工隐私、安全意识、法律法规、企业文化、技术手段、成本收益等多个层面的因素，寻找“恰当”的安全技术与管理策略的结合。
　f) 业务数据安全中，审计被寄以厚望，人工智能、语义分析、大数据分析等技术被包装成各种概念风起云涌。需要警惕的是，被审计数据的意义与业务场景和行为动机是强相关的，因此要结合业务安全目标建立起合理的审计效率评价基准。

21. 举例二：起草中的经营计划，如果被提前泄露，在企业内部，会引起风言风语，影响军心和效率；在企业外部，会导致失去先机，市场和合作者不正确的预期，平白让竞争局面变得复杂，增加风险。面对这种威胁，作为安全管理者，应该有如下考虑：
　a) 此类文档的起草，一般在小范围内开展，面对公司内部也是有保密时效要求的。
　b) 参与人员存在高低搭配的情况。公司高层领导和底层业务经手人员在信息安全管理结构中，存在信息知悉范围、业务系统访问权限、安全意识等方面的巨大差异。
　c) 个人套利，部门竞争可能导致有意泄密；好奇、八卦、炫耀等也可能构成泄密的动机。
　d) 草稿更不容易被监管，但泄露却具有更大的破坏型。定稿之前，文档版本频繁更新，涉密属性可能不会被明确标识，而导致泄密行为失去追责的依据。定稿之后，散落各处的草稿不易跟踪，无法清理。而这些草稿可能在其他工作中被反复利用，构成潜在的泄密风险。

22. 建议读者结合企业自身的业务和竞争，举出更多案例进行分析。例如：
　a) 设计图纸、Demo等需要与客户或供应商沟通。
　b) 会议的录音记录，文秘可能只是为了快速生成文字稿，就把它上传到讯飞的服务器上。
　c) 硬件调试本身需要用到USB、串口、并口等外设接口。而如果工程师打算这么做，任何带Flash芯片的外设，对他们而言都是一个可移动存储设备。
　d) 离职带走代码库，有的工程师只是为了在下一份工作中能参考和借鉴；而有的工程师可能直接获得投资，摇身一变成为老东家的竞争对手。
　e) ……

2.6 安全目标

23. 在选择安全产品、实施技术方案和制定安全策略之前，应当先确定针对管理对象的安全目标。

24. 安全目标的分析，可以结合业务场景和竞争环境，围绕信息安全的几个基本属性展开，获得直观明了的描述。信息安全的基本属性包括：可用性、保密性、完整性、不可抵赖性、可控性。

25. 可用性关系到企业生产经营活动是否能正常开展。显然，不能正常开展工作，就不能赚钱；效率工具不能用，赚钱速度就减缓。因此，所见的绝大部分信息安全管理和技术都是以可用性为目标的。

26. 保密性关系到企业竞争中的信息优势。保密性的缺失会导致机会的丧失，或不确定性风险的增加。信息防泄漏的主要目标就是在合理时效内保持信息差，进而保持竞争优势或降低不确定性风险。
　a) 必须要啰嗦的是：加密并不能独立保证保密性，因为信息总是要被使用的，而信息泄露往往由内部员工借助合法渠道实施。甲方最常见的错误是：把作为安全功能的加密当做安全需求提出来，最后数据被加密了，却并未获得保密性的保障。

27. 在一个通信模型中，完整性要抵御的是中间人的篡改、欺骗。在现实的IT运维、安全管理中，完整性保障更多体现在工具或平台的认证、协议、身份鉴别、通信校验等技术细节中。

28. 在信息管理的模型中，完整性要保护的是信息的权威性、可信性和唯一性。比如：官发文件不容被篡改，但系统有没有提供校验手段？盖章签字表示知情同意，但读者对签章的信任有没有得到技术的保障？技术规范、文档或软件版本、官发法规等应当具有唯一可信来源，系统是否提供易于获得和来源可追溯的保障？

29. 不可抵赖性也存在技术细节和管理实效两个视角。在技术细节上，不可抵赖体现在与私钥使用相关的一切场合，典型如认证、协议、鉴别等等。在管理实效上，不可抵赖主要是要考量日志、审计记录、取证等证据信息在双方对质或第三方仲裁语境下的有效性。

30. 可控性是一种度量，体现企业为了合规、承担责任付出多少努力，或反映企业在安全管理上的执行能力和保障能力。比如：用户隐私保护是企业的社会责任，其安全管理目标之一就是证明本企业对隐私数据的可控性。

31. 进攻就是最好的防守，有益于效率增长就是减少资产损失。比如整合公司各个业务系统的日志，并采用自然语言、模式识别、机器学习等方法对日志做关联分析。这种大数据方案在安全语境中的目标之一是效率。判断其有没有用，不能只看报表。要问的是能抓到之前抓不到的坏人么？或者能提高业务安全管理的效率或质量么？

32. 防泄漏的管理目标就是防泄漏，不能简单转化为保密性需求。考虑到人和业务的因素，防泄漏的安全目标往往转化为：
　a) 事前：能够辨识信息的保密属性，提高员工保密意识，减少危险行为被触发的概率。
　b) 事中：信息外发渠道可控，预警或监控手段及时有效。
　c) 事后：非法行为可追溯，证据清晰有效，处罚杀一儆百。
　d) 兼顾效率：减少对正常业务的干涉，透明度高，减少管理成本，尊重用户感受等等。

 

2.7 经营者视角

33. 站在经营者的视角，或者说老板的视角，我们想要什么样的信息防泄漏？

34. 明确的目标和应对。从竞争和效率的角度出发，说清楚要保护的对象是什么，为什么。信息泄露的途径，管控的技术和策略发挥作用的方式是什么。

35. 可管理的实效。明确定性或定量评估管理实效的方法，管理手段预期的效果，监控指标和改进方向。

36. 更高的性价比。管理或技术手段的成本、收益分别是什么。尤其不能忽略的是：员工工作效率的降低，IT和业务主管配合的时间也是成本。

37. 不能有害团结。不能让员工感受到不信任，不能处处掣肘引起抵触情绪，不能触犯员工隐私。尤其是现在很多安全管理人员或厂商销售都主张“安全就是要靠强势的领导推行”，这是不对的。

 

2.8 评价标准

38. 行动前，先建立起分析比较的评价标准。标准应该是全局的、综合的、立足业务的，不能脱离管理聊技术，也不要抛开技术只聊管理。

39. 评价标准应当结合企业经营的现状和竞争局势的具体情况建立。内容可以包含两个维度：
　a) 结合动机、攻击手段、目标资产和损失评估的安全目标描述。考核所选技术方案和管理策略对目标的覆盖率。
　b) 基于经营者视角，评估达成每个目标所需要保障措施的成本、实效和适用程度。

 

2.9 小结

40. 防泄漏是一个技术与管理相结合的问题，三分技术，七分管理，不可偏废。

41. 防泄漏最大的难点或矛盾是：“假想敌”是自己人，攻击所利用的脆弱性大部分都是“合法的”。

42. 经营和管理活动中，价值最高的，是充满不确定性的，不规范的，与人性结合更紧密的部分。相应地，安全管理工作的主战场显然也应该在这里。

 

3. 技术路线与管理实效

3.1 发展历程

43. 数据防泄漏解决方案的发展大致经历了如图1所示的发展历程。

图 1 数据防泄漏产品和管理的发展简史

3.2 基于文件系统过滤加密和用户态监控的方案

图 2 文件系统过滤加密和用户态监控

44. 为方便讲述，简称为Filter-based DLP。其技术方案一般由两个部分构成：内核态的文件系统过滤驱动加密和用户态的扩散行为监控。

45. 过滤驱动加密支撑的产品外部特征为：
　a) 透明加密。合法用户正常打开文件编辑保存，感受不到加密的存在。
　b) 落地加密，实时加密。任何保存行为，只要数据落到磁盘上，都是加密的。

46. 用户态扩散行为监控的实现方式有：
　a) 基于VBA等编辑器二次开发能力的菜单使能和监控，即将菜单灰掉不让使用，或者用户点击后程序将其命令取消。
　b) 基于API Hook的干涉或取消。即监控用户态程序对操作系统API的调用，发现有扩散风险，就将该调用取消掉。

47. 应用Filter-based DLP时，思考管理策略的抓手是：文件类型、编辑软件和用户权限。反映在Filter-based DLP产品管理后台的主要配置策略是：后缀名 + 程序名 + 权限。

48. 优点不赘述。实际应用中存在的问题主要有：
　a) 管理成本高。
　b) 安全性存在一定风险。
　c) 员工工作受到一定的干扰。
　d) 兼容性问题和数据损坏问题。

49. 下面选择几条主要的技术因素来分析上述问题存在的表现和原因。

50. 以“后缀名+程序名”为判断基准的策略。典型的策略举例如：在合法用户电脑上，凡是.docx文件，只能用winword.exe打开为明文，且任何另存为得到的新文件落地加密。显然地，在实际应用中，这条表述清晰的策略会遇到各种情况：
　a) 员工会尝试使用WPS，OpenOffice来打开.docx文件。所以，策略要加上：允许WPS打开.docx明文，或禁止OpenOffice来打开.docx明文。
　b) 员工会使用.doc, .dot, .docm, .dotm……等等其他的文件格式。所以，策略要加上这些软件支持的各种其它格式。
　c) ……
　d) 凡此种种，最后得到一个巨大的策略集合，几乎要囊括办公和开发中会遇到的各类文件格式，各种编辑软件。允许明文打开和不允许明文打开被分为两大阵营。
　e) 员工处理的私人文档，符合这个策略，也被强制加密。解释是“凡是办公文档都属于公司资产”，“如果需要解密，可以申请审批”，或者“不要在办公电脑上处理私人事务”。
　f) 员工总是要对外联系，给供应商或客户发送一些必要的文档资料。能否操作，要看员工的权限：是否允许解密，是否需要审批，是否需要审计。
　g) 解密后的文件也保存在电脑上，和加密的保存在一起。因为加解密过程是透明的，所以拥有打开文件权限的员工，未必知道打开的文件是加密的还是解密的。进而，难免会出错，把加密的文件发给合作方，对方却打不开。
　h) 这个故事可以一直推演下去。当然，厂商和甲方管理人员最后总是能够达到某种平衡，实践中也积累了各种各样的处理技巧，成熟策略模板，管理规则。但概括起来，策略复杂，对管理者知识或经验要求高，员工使用中存在困扰和效率降低……总是不可避免的。

51. 用户态监控。文件在被合法用户使用合法软件打开的状态下，数据是以解密状态存于内存中的。这时，软件的另存为、发送、在线共享、上传网盘、在线会议或会编、打印、编译……等各种潜在的功能都可能泄露明文信息。因此，
　a) 甲方管理者需要接受DLP产品厂商所谓“落地加密”的策略，即任何.docx文件，新建的，或者另存的，落到磁盘上都是加密的。
　b) 但落地加密只能管“存储”的情况，而发送、在线分享、截图、录屏、打印，是将明文数据从内存中直接通过网络、硬件外设接口等其他形式直接发到电脑外部。这时，DLP产品客户端上可能会看到菜单灰掉、点了没反应，点了报错等现象。
　c) 更复杂的，如果在一台电脑上同时打开一个已经解密保存的文件和一个加密文件，二者在内存状态下都是明文，而有的编辑器是可以提供自定义剪贴板、OLE或COM对象插入等各种各样的数据互操作方式的。这时，DLP产品客户端上可能会看到剪贴板禁用，禁止同时打开解密文件，禁止操作对象插入等功能等等现象。
　d) ……
　e) “监控”两个字从管理策略上看是非常简单清晰的。但如上述这般见招拆招，补丁摞补丁的方式，放在管理工作中，想想就很累。估计您看着也累，我其实写得也累。

52. 明文缓存：文件在合法使用状态下，是以解密状态存在于内存中的。而由于Windows的缓存机制，这个明文缓存可以被其他任何正常的软件使用。比如：Explorer的拷贝粘贴，杀毒软件，其他编辑软件，木马病毒程序，IM的网络外发，USB、蓝牙、打印、刻录等外设输出……等等。因此，
　a) 每当有非法程序来访问时，DLP就需要清空一次缓存，逼迫非法程序直接从磁盘上读密文。——这就是早年DLP产品总会坏文件的原因。当然，现在很多厂商都宣称自己实现了双缓存，改善了这个问题。姑且信之吧。
　b) 如果只有合法程序才能获得明文，为什么还要监控USB，蓝牙，打印，刻录，IM外发等等呢？
　c) 与前述用户态监控存在微妙区别的地方：合法程序在打开加密文件之后，监控可以阻断用户潜在的“另存”类型的菜单操作。但合法程序本身运行，也需要读写配置信息，加载数据库或运行库。例如：WinWord.exe在打开一个.docx文件时，同时需要打开一个公用的normal.dot文件，如果攻击者利用这一点，就可以设法将明文缓存写入到normal.dot中。

53. 繁重的审批审计。前述三种技术因素都对策略产生了细碎、庞杂的影响，沿着每一个细节追问下去，答案总是有的，只是越来越似是而非，越来越细碎繁琐。但无一例外，最后这种追问都会导向审批或者审计。然而，理论上的凡事都审批审计，往往会转变为事实上的任何事都不审批也不审计。简单分析如下：
　a) Filter-based DLP的加密本质上解决的是存储安全的问题。更多的防泄漏发生在用户态监控这个层面。有“监”和“控”，就意味着还需要一个“基于监的结果来决定是否要控”的标准。显然这个标准应该要与文件内容本身的保密属性相关。如果技术做不到，就需要人来参与。事前审批，事后审计。
　b) 导致繁重审批或审计的另一个原因是：当所有文件都加密时，就必然会产生以个人理由或业务理由提出的合理解密要求。

54. 如果不了解此类产品，或者感觉上述介绍难以理解，甲方管理人员可以采取如下方法来对产品进行测试和学习：
　a) 对照文档，在产品后台的几十或上百项策略中挑选几项，在尽可能细节的层面上想象一下：这个策略是如何与其他策略一起来达成防泄漏的效果的？工作中修改策略的可能性有多大？多麻烦？
　b) 将前面举的例子拿来和研发人员探讨，请他挑一个进行攻击尝试，然后听听他对安全边界的理解。

55. 技术对管理的影响：
　a) 要重视信息资产识别，比如涉密文档登记，文档密级标识，定密权限管理和为标密文件定期筛查。其实，从Filter-based DLP角度来看，因为有了明确的判断标准，标密文档自然更容易被管得住。但同时，事情的另一面是，明确标密的文档往往价值就确定了，失去了流动性，也减少了事实上的泄密风险。
　b) 逐步实施过程中，往往先选择研发或生产部门，再逐步扩充到销售和管理部门。研发和生产部门文件价值更高是一大原因。但其实，更多是因为研发或生产部门的业务相对比较单纯，对外沟通较少。既定技术条件下，选择管得住，审批审计少，抱怨少的部门先实施，自然是好的。
　c) 加密以文件类型（后缀），而不是以文件内容为标准；解密外发时提供审批或审计的策略选择。这里面隐含的管理矛盾是：只有一线负责业务的人才能准确懂得文件的保密价值，但他们不对加密和解密负责。显然，这会促成他们的理性选择往往是：效率受损，或有了情绪，都是IT（或安全管理人员）的责任；风平浪静时分，一切从严，能标绝密就不标秘密，但凡有借口就一定要审批。

 

3.3 基于网络边界内容扫描的方案

图 3 网络边界内容扫描

56. 简称为Scan-based DLP。其技术方案主要是（参考：Gartner, MQ for DLP, 2017）：
　a) 采用核心功能是内容检视和情境分析的技术。常见的内容识别技术比如关键字、正则表达式、文档指纹、确切数据源（数据库指纹）、支持向量机等。
　b) 保护目标是三类数据：静态数据（Data at rest），网络传输数据，终端在用数据。
　c) 系统能力：基于策略和预定义规则执行响应。策略或规则定位于识别无意或异常的数据泄露，或敏感数据在未授权渠道之外的暴露。响应形式包括从简单的提醒到实时的阻止。

57. Gartner定义的DLP目前在市场上处于强势地位，对厂商和甲方都产生了深刻的影响。这种影响导致一些耐人寻味的表现：
　a) 一些从事Filter-based DLP或DRM（Digital Rights Management, 数字版权管理，或数字权限管理）厂商会在官网或文档中避免使用英文缩写DLP，而替换为使用中文“数据防泄漏”。
　b) 一些从事Scan-based DLP的厂商会在官网或售前资料中不提终端防泄漏，而仅仅强调基于网络边界内容扫描的DLP（就是只提Gartner定义中的网络传输数据部分，也就是图3所述模式）。
　c) 为数不少的甲方，甚至是制造业或研发密集型企业客户，在明确是竞争驱动的前提下，依然选择了Scan-based DLP。其中激进者，会提出厂商是否能够提供“代运营”服务。沟通过程中，甲方更重视的Scan-based DLP的优势或特点包括：不需要处理终端兼容性问题，通过运营可以降低误警的频率，数据报表更能够体现安全的价值。

58. 应用Scan-based DLP时，思考管理策略的抓手是：企业或部门内部信息流转范围的边界在哪儿？是否与IT的网络边界一致？如何获得和更新文件涉密敏感性的判断依据？反映在Scan-based DLP实施和运营过程中，主要工作是：文档指纹库的建立，报警的检查和处理。

59. 优点不赘述。实际应用中存在的问题主要有：
　a) 终端防泄漏不能不考虑，考虑的话就会陷入与Filter-based DLP同样的困境。
　b) 不能处理图像、音视频、某些压缩或/和加密之后的文件。
　c) 网络边界位置的扫描能力有限。
　d) 初期存在大量的误报，后期误报减少但有效性存疑。
　e) 不会损坏数据，但效率和使用上的干扰依然存在，并不能真正做到不干扰员工工作。

60. 重复强调一次，本文主要围绕竞争驱动的防泄漏问题进行讨论。如果分析和讨论过程中，随时从竞争的语境退回到合规的语境，无益于深入问题，只会让人糊涂。

61. 下面选择几点稍作解释：
　a) 从甲方立场来看，既然是“防泄漏”，信息不能外泄的结果才是唯一判断标准。就像修水坝，咱不能修半边水坝，就邀功说成功的拦住了半江的水。——所以终端不能不管。这不是废话！
　b) 如果同样基于内容扫描来处理终端外泄问题，有条件的读者可以观察几个实验：1. 在终端内存或磁盘上需要加载多大容量的文档特征库？2. 将具有敏感内容的文档通过微信、QQ、钉钉、网盘客户端等各种网络工具外发，会在终端还是网关遭到拦截？还是不会被拦截？3. 将敏感关键词使用某种规则做替换，或者将敏感文件做压缩或加密处理后，再使用U盘拷贝，会不会被拦截？
　c) 基于上述几个测试的结果，再试图从逻辑上说服自己或与厂商沟通：1. 如果终端特征库很小，那么其中的优化会不会导致安全性降低或效率损耗？如果特征库跟网关监控所用一样大，那么网关监控是否还有必要？或者它的价格是否还合理？2. 如果在终端软件或USB端口上能及时识别并阻断，那么对终端软件和USB端口所采用的监控技术与Filter-based DLP所描述的有什么不同？会不会也面临一样的攻击？3. 如果禁止某些软件和USB接口的使用，就明确跟Filter-based DLP一样了。4. 如果由终端软件发起的文件外发在网关能识别和阻断，那终端软件自己的数据加密是被DLP破解了，还是被DLP的实施方案降低了安全性？

62. 在现实的应用实践中，审批和审计的工作量不仅仅来自于内容识别的结果，还有很大一部分是来自于不能识别的内容，或不能监控的外设。后者是无法通过“运营”来优化提高的。

63. 技术对管理的影响：
　a) 信息资产识别具有了两重意义：涉密信息特征库的建立，业务信息的分类分级。组织业务部门去做信息的分类分级，本身是意义重大的，能够提高安全意识，提高人员和系统两方面对业务安全需求的认知。但同时，安全管理人员应该注意的是，公司业务的焦点是会变迁的，新的需求也要能够被纳入到既有的体系中去。
　b) 信息资产清点和分类分级工作是在DLP系统自动识别之前发生的，两项工作中当事人的角色会发生变化。当初给文档定密的业务负责人在后期会成为被管理的对象。一般而言，定密者会倾向于制定更严格的标准，被管理者却很容易对频繁告警变得敏感。
　c) 有经验的安全管理人员会选择Filter-based DLP来管理研发或办公环境，理由是毕竟它是加密的，破解其用户态监控也存在一定的难度。而Scan-based DLP会被用在更活跃，更外向型的互联网企业，除了作为一种对内的威慑和提醒之外，处在网关位置的内容监控也可以成为其他网络安全手段的有益补充。尤其是一些业务系统或数据库上信息的保护，Scan-based DLP作为一种对外防御的工具可以及早发现窃取行为的蛛丝马迹。

 

3.4 基于物理隔离的管理方案

图 4 基于物理隔离的管理方案

64. 简称为P-DLP。有的是物理空间的隔离，有的是网络和设备的隔离。

65. 实施P-DLP时，思考管理策略的抓手是：能否区隔出相对独立的业务范围？要求在这个业务的边界上，人员和信息的流动都相对比较单纯，容易管理。P-DLP的实施过程一般是：先定业务，再定边界管理策略，最后逐步迁移。

66. 优点很明显。实际应用中存在的问题主要有：
　a) 成本高。要么多一倍办公面积，要么多一套网络和终端电脑。
　b) 边界管理压力大。
　c) 很安全，也管得住，但大部分业务都因为流动性太高而不适用。

67. 在部署门卫、安检、外发审批、单向摆渡\传输设备等一系列措施之后，物理隔离的边界依然会面临越来越大的压力。其原因和表现一般是：
　a) 最初的业务划分不合理，信息流动需求超出预期。
　b) 随着时间的发展，边界内的业务越来越多，越来越复杂，流动需求随之增加。
　c) 只要外发审批需求开始超出合理的处理能力（比如让业务主管不胜其烦），物理隔离建立起来的边界就开始有崩溃的趋势。对审批做出的任何让步措施都会面临巨大的压力。常见的让步措施包括：专用摆渡机，带审批的专用外发接口等等。
　d) 夹带，尤其是软的夹带（比如将一个压缩包藏在Word文档里，将关键代码藏在芯片里或测试程序的资源文件里等）开始出现，并且很快让管理者束手无策。

68. 技术对管理的影响：
　a) 物理隔离的关键是业务切分，需要结合业务的价值、业务信息流动规律、人员构成、业务IT系统依赖等各方面，与业务部门共同分析确定。
　b) 要合理安排外发审批的权限分配，尤其关注外发审批工作量。
　c) 寻找合适的防夹带方案。

 

3.5 基于VDI远程桌面的管理方案

图 5 基于VDI远程桌面的管理方案

69. 简称为V-DLP。VDI虚拟云桌面因为其“看得见，用得上，拿不走”的特点，一度被寄望成为数据防泄漏的终极解决方案。

70. 如图5所示，V-DLP其实可以看做一个虚拟化的P-DLP。与之对比，新增了如下优点：
　a) 不需要换一个工位，或换一台电脑，就可以切换工作环境。
　b) 可以支持企业外部人员临时性的接入，参与内部涉密项目。
　c) 运维效率非常高，运维人力成本更低。
　d) 信息流出的管理相对更简单一些。

71. 实际应用中存在的问题主要有：
　a) 设备与网络成本高，实施技术门槛高，对运维人员要求高。
　b) 边界管理压力依然很大。
　c) 同样需要谨慎选择迁入业务，避免因为信息流动性太高而不适用。比如需要调试硬件设备的研发工作，显然P-DLP更合适一些。
　d) 依赖网络，对网络带宽有较高要求。
　e) 安全性远没有直觉所认为的那么高。

72. 安全性的主要问题：
　a) 虚拟桌面传输协议本身的安全性。主要是协议本身相关的配置管理，一些潜在的0 Day攻击等。
　b) 需要关注云计算服务器，集中存储本身的安全性。一旦出事，在信息可用性，业务延续性等方面造成的损失会非常巨大。
　c) 终端本身的安全。攻击者可能较为轻易的掌握终端，并以此为跳板获得云桌面的访问权限。

73. 技术对管理的影响：　
　a) VDI在运维上的优势，需要足够的应用规模才能发挥。
　b) V-DLP的应用也存在迁入业务越来越多的趋势，而且动机更强烈，发展速度远快于P-DLP。别忘了，VDI本身是与外界通过网络连通的。当迁入终端够多，业务够复杂时，对于安全管理人员，只不过相当于公司内部又多了一个巨大的复杂的局域网而已。这个局域网内的每个终端、用户、软件、出口依然会继续产生安全需求。

74. 物理隔离与VDI方案作为一个安全管理方案，有一个巨大的，却极易被忽视的优点。那就是：关于业务安全属性的提示非常直接、清晰、自然。
　a) 用户进入隔离环境或登录VDI桌面后，他清晰的知道自己处在一个处理更高密级信息的环境中。这个认知一直存在，不需要刻意提醒。
　b) 在隔离环境中的工作更加聚焦。只要没有信息外发的需要，用户就不会触及信息边界。相应的，当外发需求产生时，用户也会自然的想到该怎么去做，并且评估应该付出的成本和承担的责任。
　c) 所以，一个好的安全办公环境，会提高效率，降低不必要外发，减少安全管理的工作量，提高员工安全意识。其价值不论如何高估都不过分。

 

3.6 基于零信任和沙箱结合的方案

图 6 零信任让信息边界退回到终端

75. 简称为SZ-DLP。将沙箱与零信任的概念相结合，是一个新生事物，而且可能是中国市场特有的创新。这个方案在产品形态上表现出相当诱人的前景，但技术可行性和实际应用效果还有待实践验证和观察。

76. 摘录零信任相关的最广泛流传的几个说法：
　a) Never Trust，Always Verify！从不信任并始终验证。
　b) 谷歌：BeyondCorp计划的目标是是提高员工和设备访问内部应用程序的安全性。BeyondCorp看起来是要解决远程接入的安全问题，但实际上是抛弃了对本地内网的信任，平等对待外部公共网络和本地网络的设备，默认情况下不授予任何特权。
　c) Gartner：零信任将取代VPN，但不意味着边界的消失，只是创建一个基于身份和上下文的逻辑访问边界。
　d) 零信任对网络安全架构进行了范式上的颠覆，引导安全体系架构重构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行细粒度的自适应访问控制。从技术层面来看，零信任是借助现代身份管理技术实现对人、设备、系统和应用的全面、动态、智能的访问控制。

77. 理解零信任相关概念：
　a) 零信任将取代VPN，并不表示网络通信数据不再加密了，只是不再为了加密建立稳定持续的隧道而已。区别是：VPN是一次认证，隧道连接；零信任是持续认证，加密连接。
　b) 不再关注传统的企业内外网边界，内外网设备都平等对待，其本质是网络（或信任）边界退到了终端（甚至终端中的程序或服务）。与之相辅相成的是：网络架构的去中心化，必须依靠认证服务的中心化（控制平面）来支撑。
　c) 认证是零信任的核心基础。谁都不信任，任何时刻都不信任，所以依靠一个全局的，中心化的，动态智能的认证中心，来从零开始建立信任。

78. 理解认证的基本概念：
　a) 所谓认证，是指确认请求通信的对方所声明的身份的真实性。比如：
　b) 快递员上门取件，我需要确认他的身份的真实性。确认无误，我就放心将邮件交给他。这过程就是先认证，后传输。至于之后，我并不担心他会丢失邮件，错送他人或自己私吞。这些不担心都是以认证为基础的，实际保障依靠的是契约、快递公司管理、法律等其他因素。
　c) 快递员上门取件，但我本人不在，所以我让小区门口保安替我代为确认快递员身份。确认无误之后，给他远程开门，快递员自己把邮件取走。这个过程中，小区门口保安完成的就是传统的网络边界的认证。
　d) 快递员上门取件，我不在，但我让保安在确认身份之后，为他开辟一个绿色通道（比如陪着他，帮他指路开门），确保他取了东西就走。这个过程，类似于传统的VPN隧道。
　e) 快递员上门取件，我不在，但要求快递员与小区安保中心建立视频通话，并要求随时随地查看快递员的脸、证件和行为，直到他把东西拿走。这就是“Never Trust，Always Verify”的零信任。
　f) 显然，上述比喻中，认证是一切的基础。但认证远不是全部，不同方案各有优缺点和适用性，都需要依赖其他手段才能保障过程的安全。
　g) 最后，与一般邮件不同，信息是容易复制的。所以上述比喻的场景中，认证之外的另一个基础是加密。

79. 理解认证应用场景的模式：
　a) 认证是有方向性的，保护的是认证的主体。典型如外部设备接入的场景，比如SOHO办公。移动终端向企业内网声明自己的身份，认证通过后才可以接入内网。认证在其中的安全价值是：1. 确认外网接入设备的身份，避免非法设备接入后进行攻击（重点不是避免非法设备接入，而是避免接入后的攻击）。2. 基于身份记录接入者的行为，以便事后分析追责。在前面的例子中，认证保护的是小区、我家，并不是快递员。
　b) 零信任模型中，虽然所有终端都地位平等，谁也不信任谁，但每一次认证中，保护的依然是被请求的那一方。

图 7 沙箱的典型实现

80. 办公终端上的沙箱、容器和虚拟机，本质都是一个相对隔离的运行环境，只是隔离和虚拟化的程度逐步提高。在UI上，这三者都可以像VDI一样，在一个窗口中访问另一个计算环境。当然，这个UI的形式并不是必须的。

81. 沙箱和容器的典型应用场景都是“恶意软件防护”。即将外来的，临时的软件放在沙箱或容器中运行，数据不会对宿主系统造成改变和影响，进而避免损害的发生。相比之下，容器隔离程度更高，部署更方便，可以跨平台。

82. 一个典型的，简版的沙箱实现如图7所示。其技术架构是：内核态的新增数据重定向 + 用户态监控。显然，当应用于防泄漏时，前述Filter-based DLP在用户态监控方面存在的所有问题，沙箱依然存在。比如，需要监控剪贴板，需要监控USB接口……
　a) “业务数据不落地”是一个过分包装的宣传用语。如果不落地，方案中的数据加密是拿来干什么的呢？加密后继续放在内存里么？

83. 更为重要的是，我们试图理解沙箱的工作模式时会发现：沙箱也是有方向性的，保护的是宿主环境避免受到来自外部的攻击。

84. 基于前述概念的分析，作为终端防泄漏方案选型的甲方管理人员，应该立足场景的需求来看待沙箱与零信任的结合，在分清内外的前提下检查方案的安全性。

85. 如果场景是外部设备接入或移动办公，信息内外的边界是：传统的企业内网和处在外部的移动终端。这种情况下，零信任可用于认证，取代传统的VPN接入，但沙箱部分要与其经典概念反过来用。分析方法如下：
　a) 在外部终端接入企业内网时，1. 检查认证发生的频度，多大程度上做到了“始终验证”；2. 认证的结论是否保持，并与沙箱提供的环境（或，环境中的进程）进行绑定（就是不能认证了快递员之后，却让另一个不相干的人进了小区）。
　b) 经典沙箱的逻辑是：在沙箱中运行外部不安全程序后，产生的数据不在本地永久保存，用后清理，确保不对宿主本地环境造成影响。这里，沙箱内部是不被信任的环境。
　c) SZ-DLP需求的逻辑是：杜绝合法用户有意无意的将沙箱内运行和保存的数据泄露到外部（即宿主本地环境）。这里，沙箱外部，终端电脑是不被信任的环境。
　d) 当然，经典沙箱和SZ-DLP都通过隔离技术避免了信息对沙箱外的流动。但作为甲方管理者，应该清楚的知道这背后有完全相反的用户动机。当用户只是担心临时运行的软件破坏本地环境时，他会小心谨慎；但当用户作为攻击者希望把沙箱里的信息弄出来时，他会竭尽所能！
　e) 回到图7和第82条，当沙箱环境成为来自内部的攻击目标时，内核态的重定向和加密仅仅成为安全的一个基础，用户态的用户行为监控变成焦点所在。

86. 如果场景是零信任架构的理想状态，即所有终端平等，企业信息的边界退回到每个终端。这种情况下，零信任可用于与其他终端的相互认证，但沙箱部分却相当于把信息边界的进一步紧缩。即：
　a) 终端宿主环境依然是不可信的，沙箱内部才是用于处理业务或用于开发的办公环境。
　b) 对沙箱安全性需求的逻辑与第85条是一样的。

87. 最后，在考虑终端安全的语境下，零信任是对“谁”的不信任？如果认证的对象是终端，与VDI面临的安全威胁一样，攻击者获得终端权限，即可获得攻击的跳板。因此，更好的实现是以操作终端的人作为认证的对象。希望早日看到采用生物特征、行为模式特征等作为认证手段的，对“操作电脑的人”也不信任的零信任产品出现。

3.7 小结

88. 作为甲方的管理者，需要知道：当我们选择一个产品时，其实还选择了它背后的技术路线，以及由技术路线所规定的管理策略。——绝大部分时候，我们都以为是自己的管理策略决定了产品的选型。事实上，经验和理论分析都告诉我，现实正好相反。

89. 技术的每一个假设、约束和缺陷，都会最终反映为甲方管理人员的工作量、成效和麻烦。不需要懂得技术的所有细节，技术方案在UI上所呈现的逻辑，足以帮助我们想象使用技术的场景。

90. 准确理解信息安全的基本概念，结合场景正确解读需求，追问技术每个外部特征的确切意义，足以理解产品的适用性、优劣势和潜在矛盾。可以帮助甲方在产品选型中提出更有针对性的测试方案，也可以帮助我们更好的制定与技术相配合的管理策略。

 

4. 个人的结论和建议

91. 我个人的结论和建议，只是读者批判和思考的起点。如有指教，感激不尽。

92. 仅仅是满足合规，紧跟监管要求和市场发展的方向，已经是一个了不起的事情，足以支撑辉煌的职业生涯。但偶尔的把合规“丢”在一边，做做思维体操，也是有益的。

93. 到目前为止，信息安全管理专业人员的价值是被低估的。安全不是守成，也不是防御；安全是抢夺先机，促进效率的战略工具。

94. 出于竞争的数据防泄漏，除了P-DLP之外，其他选择都存在各种形式的安全性缺陷，需要结合应用场景谨慎选择。

95. P-DLP和V-DLP以业务的单纯为前提。其他各方案都过多聚焦于加密和管控，与业务安全目标结合不够细致和紧密。读者可以结合前面的需求描述对每种技术路线做对照分析。

96. 资产识别或者秘密的分类分级未必是必须的，让员工了解竞争，理解业务，各负其责更为必要。

97. 信息的安全需求和潜在价值，应该交给真正懂得信息内容的业务当事人来做出判断。技术提供的是辅助工具，不能越俎代庖。

98. 个人觉得在现在的信息安全市场，来自厂商、服务商的声音影响力更大。极少数过分的，说是明目张胆的误导和欺骗也不为过。

99. 我们作为甲方的信息安全管理人员，如果多研究点儿具体问题，以基础概念为思考工具，而不是使用厂商宣传中“创造”的各种概念来思考，就能轻易做到以实效为准绳，揭开过分包装的概念迷雾，发出自己的声音。让技术和工具真正为管理服务。