数据 | 为什么要做数据防泄漏

1、为什么要做数据防泄漏

前言

上一篇跟大家分享了数据的分类分级，今天承接分享下数据分类分级的一个落地实现，也是数据安全在端层管控的关键一环：数据防泄漏平台落地。

个人认为：防止数据丢失主要包含两个大的维度管控层面，一个是业务系统层面，一个是端的访问层面；端的访问层面又区分移动端和PC端，今天主要分享下PC端的数据防泄漏管控，移动端的可以参考另一篇文章《甲方数据安全：业务场景中BYOD安全的应用》。

什么是数据防泄漏

个人理解：数据防泄漏平台是基于定制的策略或规范，针对文件级别的数据进行自动发现、操作审计和分析管控的工具。

产品形态：终端层、网关代理层、邮箱代理层。

为什么要做数据防泄漏

简单说就是合规上有要求，业务上有价值！概述如下：

1、合规性要求

国内外相继出台了网络安全法、GDPR、CCPA、数据安全法草案等，将数据安全上升至法律层面，组织有保证自身收集使用数据不被泄露的责任和义务。

以国内现状举例，企业如果出现了数据泄漏并造成一定的影响，相关监管部门怎么来评定企业责任的大小呢？个人经验：是主要看企业对数据泄漏防范工作作为的多少，有哪些管控措施，是否对组织所存储的数据负了责，这直接关系到相应的惩罚尺度和力度。

2、业务价值

在当前的数据时代，越来越多的企业开始真正重视自身所持数据的价值，之前看逻辑思维罗胖子的一个视频里，节选一部分内容跟大家做个分享，他这样描述阿里：“早在2015年左右，马云开始在各种舆论场合呼吁公众重新认识阿里巴巴，马云说：阿里的本质是一家扩大数据价值的公司。带着这个定义我们可以看下阿里近几年在资本市场上的行为，我们会发现阿里旗下产业或入股的公司包含了我们的衣食住行的方方面面，数据方面之多，如果阿里愿意，他可以知道我们每个人每天都在干些什么，聊到这里我们才发现马云没有说谎！阿里确实是一家扩大数据价值的公司，且通过扩大数据价值成为了中国乃至全球的头部公司。”

阿里的成功绝非偶然，数据的价值显而易见。数据带来价值的同时，也带来了风险，据IBM《2019年全球数据泄露成本报告》显示，恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。

解决数据泄露需要一个整体数据安全解决方案，其中，端上数据防泄漏产品是端层访问数据管控和保障数据价值的相对可行方案。

数据泄漏的原因

内部人员威胁：一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据公司统计，43％的数据泄露是内部的；恶意内部人员或攻击特权用户帐户的攻击者滥用其权限并尝试将数据移出组织。

攻击者的入侵：许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼，恶意软件或代码注入之类的技术渗透安全边界，并获得对敏感数据的访问权限。

意外或疏忽的数据泄露：由于员工在公共场所丢失敏感数据，提供对数据的开放访问或无法限制每个组织策略的访问而导致的许多数据泄漏。

如何落地数据防泄漏1、明确场景

安全是基于业务的，业务中有需要落地的场景，明确和了解场景，我们才能制定与之匹配的数据防泄漏方案和策略，端层场景举例如下：

笔记本电脑和移动设备的丢失或失窃

未经授权将数据传输到USB设备

敏感数据越权访问和存储

员工或外部方盗窃数据

员工外发、打印和复制敏感数据

意外传输敏感数据

员工对文件进行造假

......

2、明确影响

不同事件场景的发生，势必带来不同的影响，很多影响是组织不可接受，亦或愿意增加投入进行降低或规避的影响， 举例如下：

品牌受损和声誉损失

失去竞争优势

失去客户

失去市场份额

损伤股东价值

罚款和民事处罚

诉讼/法律诉讼

监管罚款/制裁

大量的成本和精力

......

3、明确目标

知道场景，确定影响，制定解决方案的目标，即为：防止敏感数据出现被未经授权的用户访问、滥用和丢失等。

4、明确方案

明确目标后，制定对应的落地方案，如下：

组织：组织是基础，数据防泄漏方案是一个用户级别的项目，我们需要贴合业务，增加与业务人员的沟通和协调，提升整个项目

2、Dlp防泄密软件的工作原理

DLP（Data Loss ，数据泄露防护）软件是一种用于监控、控制和防止数据泄露的安全解决方案。它的工作原理基于以下几个关键步骤：

1. 数据识别和分类：DLP软件首先对企业的数据进行识别和分类。它可以识别多种类型的数据，如机密文件、个人身份信息、财务数据等。这通常通过使用事先定义的敏感数据识别模式、关键词、正则表达式等技术实现。

2. 数据监控：一旦数据被分类，DLP软件会监控企业内外的数据流动。它可以监视数据在网络传输、存储设备、终端设备等各个环节的传输和处理过程。监控方式可以包括网络嗅探、代理服务器、终端代理等。

3. 策略制定：企业可以根据其安全策略和合规要求制定适当的规则和策略。这些策略可以定义允许或禁止某些操作，例如阻止将敏感数据发送到外部邮箱、禁止使用可移动存储设备传输数据等。DLP软件根据这些策略来检查和控制数据的流动。

4. 检测和预防：DLP软件使用不同的技术来检测和预防数据泄露。它可以检查数据内容、元数据、文件属性等，并与已知的敏感数据指纹或模式进行匹配。一旦发现违反策略的行为，DLP软件可以采取各种措施，如弹出警告、阻止数据传输、记录事件等。

5. 审计和报告：DLP软件通常提供审计和报告功能，用于跟踪和记录数据泄露事件。它可以生成报告，包括违规事件的详细信息、影响范围、触发策略的用户等。这些报告可以帮助企业了解其数据泄露风险，并采取相应的纠正措施。

总体而言，DLP软件通过识别、监控、策略制定、检测和预防等步骤来保护企业的数据免受泄露的风险。它旨在帮助企业遵守合规要求、保护敏感数据、防止数据泄露，并提供监控和报告功能以提供安全可追溯性。

3、互联网数据防泄密解决方案

在当今社会中商业间谍、黑客、木马程序对企业的数据安全形成了巨大威胁，那么对于互联网企业来说，用户信息等数据是十分重要的。不可以丢失的，那么对此整理出一套互联网数据防泄密解决方案。

1、全周期防护

以数据为核心，从数据存储、传输、使用进行全周期防护。在数据存储与使用过程中我们可以采用密文的形式进行防护。但是在打开数据使用过程当中，数据必然是处于明文状态，那么如何防止在明文状态下的数据泄密问题，就必须要考虑。

2、内外防护结合

对数据泄密的防护需要既防止内部泄密，又要防止外部窃密。不能因为最近外部窃密事件的频繁发生而忽视内部的泄密。据统计，导致泄密事件发生的原因80%以上是由内部人员有意或无意造成的。

3、多层次防护

对数据泄密的防护须提供多层次的防护，单纯提加密这个说法是不科学的。实际上可以说单纯靠加密是解决不了问题的，比如说：文件被加密后密钥应该如何管理、用户身份如何认证等。因此数据泄密防护除了加密外还应该包括密钥管理、身份认证、访问控制、安全审计等一系列的安全防护手段。

4、细粒度防护

对数据的使用权限控制要细化，灵活满足客户的需求，给用户带来方便。而不是要么让用户使用，要么就不让用户使用。

5、全方位防护

对数据的使用环境须进行全方位的防护，包括服务器、计算机终端、笔记本电脑、U盘外设、网络以及文件外发等数据使用的各个环节都要进行防护。防泄密的最终效果完全取决于整个防护环节中最薄弱的地方。

6、不影响用户

不影响用户在正常业务开展时对数据的使用，包括内部的数据流转或者是外发给客户；安装使用简单、不占有系统资源，与客户原有应用系统、平台兼容；支持大规模部署等。

综上是互联网数据防泄密解决方案的涉及要点，大家可以参考。洞察之眼软件为互联网数据防泄密解决方案提供技术支持

4、企业应从内部防止数据泄露的原因及应对策略

现如今，人和人之间联系更为紧密，公司掌握更多数据，同时数据泄露行为也在增加。据报道，仅2016年就有4,000起泄露事件。在美国，关于泄露行为的统计学分析发现，这些泄露事件中有85%是由了解商业业务的人实施，这类人通常是雇员或合伙人。

为保护公司自身及其用户，众公司需保护自己的数据。首先，这需要谨慎评估他们所持有的数据，然后在必要时保护、倾销和外包数据。

我们永远不可能从数据泄露中完全幸免，但是了解数据是使风险降到最低的第一步。

数据泄露的一些形式

最近，澳大利亚创业公司时珀（）声称，一位前员工在离职去为他们的竞争者工作之前导出了客户数据库。

本月，一名杜邦（）员工因窃取20,000份文件并意图将其卖给台湾的竞争公司而受到指控，这些遭窃文件包括商业机密。

香港威尔斯法戈银行（Wells Fargo Bank）的员工泄露了客户的信息，致使犯罪分子冒充银行客户盗取了超过50万美金。在美国，仅2014年由于身份盗取就有超过160亿美元失窃，影响了超过1200万客户。

一旦信息遭到泄露，就不能轻易恢复，这使得泄露事件更为严重。如果小偷偷窃了钱包，还可以归还。但是信息失窃就不是这么容易了，因为所有者仍然持有这些信息。数据可以无限复制，一旦发生数据泄露，就如瓶中怪不能被关回瓶中一样无法挽回了。

由于将来会出现更大量的数据存储、更多的数据隐藏和数据传输，这种情况只会随着科技进步越来越糟，而不会得到改善。

哪些数据需要保护？

保护数据第一步就是审计。组织持有何种数据？数据被存储在何处？哪些供应商、客户、监管机构或工作人员有权访问？这些问题十分重要，因为数据存在多种形式，而所有权却十分晦暗不明。

例如，一个企业拥有可以下载到员工手机上的电子邮件吗？

第二步，数据需要按种类归类，并按照公开、机密或秘密来分类。不是所有数据都属相同情况，有些不需要保密，如销售手册。

而另一方面，客户数据将被列为机密，特别是最近通过的立法中对泄露客户数据的严惩更是推动了这一行为。这些严惩措施包括对个人罚款36万澳元和对组织罚款180万澳元，将罚款作为奖赏给那些不泄露客户数据的个人或组织。

所以，众公司需要识别出高价值和具有战略重要性的信息。

下一步是确定外包制约因素存在与否以及其与组织的相关性。例如，隐私义务是否阻止了一些组织在澳大利亚境外的数据中心存储个人信息？

三种策略

一旦将数据分类，三种减少数据泄露风险的策略性方法就出现了。

第一种策略是用防护性壁垒保护敏感信息，这可以采取给信息加密的方式。

但这种方法有一些弊端。加密信息可能会致使工作流程繁琐，也可能无法阻止拥有密码且被信任的组织内知情人。这种策略会导致虚假的安全感。

第二种策略是通过积极避免携带敏感信息以降低数据的价值。这相当于一家零售商店在橱窗里挂上“无现金存放”的牌子。

公司是否真的需要持有信用卡的详细信息，或者这些信息是否可以外包给贝宝（）这类公司？企业可能总是需要保护自己的“秘诀”，但是通过有条不紊地降低信息价值，他们可以减少目标，并将注意力集中于真正需要保护的机密上。

第三种策略是寻求外界援助。由于监管问题，一些部门可能不会采取这种策略，但是如果可以，在云端存储数据或雇佣安全服务提供商的做法十分明智。这些服务提供商往往会提供小型组织所没有的安保基础设施，也会提供一些专家以应对组织内部缺乏安全专业知识的情况。

但是，同之前的策略一样，这其中也存在一种权衡。外包会导致缺乏控制，这会引起其他的风险。澳大利亚红十字会发现这一弊端，当时外部管理员意外泄露了献血者的个人信息。

最终，我们永远不能完全安全。但是如果企业认真分析他们所持有的数据，并采取相应策略应对，内部攻击的风险就会降到最低。

5、电子图纸对于设计行业的重要意义，设计行业怎么样防止资料泄露？

技术时代，知识版权，企业版权保护也是这个时代的重点话题之一，那么如何实现版权保护？如何才能真正解决数据安全这一问题？

以设计行业为例，针对设计行业来说，这个行业重要的数据文件：各类型的设计图纸、办公文档等等都是保护的重点，企业如何保护企业员工的劳动成果的安全呢？个人如何保护自己的劳动成果不被他人窃取？

时代发展的特质，电子化办公成为必不可少的组件，如何确保在电子化办公时代，既保证数据在使用中的安全，又能防止数据泄露事件的发生。是企业在今后发展中必须解决的问题。

图纸加密对于设计行业来说的重要意义：

针对企业，保护企业的版权所有，防止数据文件二次扩散，给企业造成的经济损失，以及给企业带来的负面影响，影响企业的声誉和形象。

针对个人，保护个人的知识版权，保护自身劳动成果不被他人窃取。

图纸加密软件对于设计行业来说尤为重要，直接关系到该企业的发展。切实保障重要数据文件在使用中的安全，充分考虑到，数据文件在使用中存在的一系列数据泄露根源，并做出一定的防护措施，减少或者杜绝数据泄露事件的上演，保护企业数据安全。

设计行业如何防止数据泄露？

1.针对企业重要的电子设计图纸进行驱动层透明加密管控

洞察之眼企业数据保密系统，采用国内先进的驱动层透明加密技术，高精度的加密算法，在不影响使用者对其操作的情况下，在底层对数据文件进行透明加密，各类数据文件，图纸文件在新建的时候就一直处于加密状态。加密后的图纸文件在指定的办公环境内可以正常使用，一旦未获得允许脱离环境，加密文件呈现乱码或者无法打开。

2.不同部门之间的文件随意流通管控

洞察之眼企业加密软件之密文分级管理，将加密的文件分为不同的不同的密级，将加密文件的使用权限划分的非常详细。授权用户只能查看指定权限下的文件，超越权限的文件都是无法查看的，除非获得授权，才能打开。

3.针对外发文件的管控

对于设计企业来说，很多时候设计好的东西可能要外发出去给客户，或者第三方查看，看看是否符合要求，以及是都有需要进一步修改的地方，那么如何保证图纸文件在外发过程中的数据安全。洞察之眼企业加密软件对外发文件进行管控，控制外发文件的打开机器、打开时间、是否允许拷贝、打印、截屏等等操作，防止数据文件的二次扩散。

4.针对员工的出差，如何保障安全

考虑到企业员工经常的出差行为，洞察之眼企业加密软件离线授权，既保证出差人员在外对数据文件的正常使用，同时也能控制加密文件的操作，防止数据泄露事件发生。