1.DLP簡介

　　數(shù)據(jù)泄露防護（DLP，Data Leakage（Loss）Prevention），是指對數(shù)據(jù)的保護，不同于以往對數(shù)據(jù)的管理形式，對數(shù)據(jù)全加密或全授權(quán)訪問，數(shù)據(jù)泄露防護要求根據(jù)不同數(shù)據(jù)類型提出不同的管理方案，除了對不同結(jié)構(gòu)的數(shù)據(jù)不同管理，對不同內(nèi)容、不同重要性數(shù)據(jù)也要區(qū)別對待。

　　（ 1 ）核心能力

　　DLP的核心能力在于內(nèi)容識別。其識別具體能力有關(guān)鍵字、正則表達式、文檔指紋、確切數(shù)據(jù)源（數(shù)據(jù)庫指紋）、支持向量機等，且每一種能力又能衍生出多種復(fù)合能力。

　　DLP也具有防護能力，包括網(wǎng)絡(luò)防護和終端防護。其中，網(wǎng)絡(luò)防護以審計、控制為主，而終端防護在此基礎(chǔ)上更要有主機的控制能力、加密權(quán)限和控制權(quán)限。

　?。?2 ）技術(shù)基礎(chǔ)

　　DLP的實體部署位置，一般位于數(shù)據(jù)庫的連接之前，用于保證數(shù)據(jù)庫數(shù)據(jù)的合法性取出?！熬W(wǎng)絡(luò)DLP”產(chǎn)品常駐于DMZ中，而其他產(chǎn)品則常駐于企業(yè)LAN或數(shù)據(jù)中心。除了“終端DLP”產(chǎn)品以外，所有其他產(chǎn)品都是以服務(wù)器為基礎(chǔ)。

　　為防止數(shù)據(jù)丟失，無論何處發(fā)生的數(shù)據(jù)變動，都必須準確檢測其中的機密數(shù)據(jù)。為避免漏報、誤報等情況，DLP采用3種基礎(chǔ)檢測技術(shù)（正則表達式檢測、關(guān)鍵字和關(guān)鍵字對檢測、文檔屬性檢測）和3種高級檢測技術(shù)（精確數(shù)據(jù)比對、指紋文檔比對、向量分類比對）確保其檢測的準確性。通過4種加密技術(shù)（設(shè)備過濾驅(qū)動技術(shù)、文件級智能動態(tài)加解密技術(shù)、網(wǎng)絡(luò)級智能動態(tài)加解密技術(shù)、磁盤級智能動態(tài)加解密技術(shù)）實現(xiàn)數(shù)據(jù)庫的加密和防止數(shù)據(jù)泄露、丟失。

　　2. DLP方案

　　通常認為DLP的實施前要經(jīng)歷以下6個步驟。

　　1）將數(shù)據(jù)分類，確定“敏感數(shù)據(jù)”的范疇，明確需要受到保護的數(shù)據(jù)內(nèi)容。

　　2）確定數(shù)據(jù)的硬件存放位置，明確機密數(shù)據(jù)和一般數(shù)據(jù)的存放位置，是服務(wù)器還是客戶端存放。

　　3）清楚掌握數(shù)據(jù)的軟件位置，并在存放數(shù)據(jù)的機器上合理定制權(quán)限管理機制，使無關(guān)程序沒有權(quán)限訪問、修改重要數(shù)據(jù)。

　　4）防止人為導(dǎo)致數(shù)據(jù)泄露的發(fā)生，對人事加強管理，設(shè)立人與人之間的權(quán)限機制，使機密數(shù)據(jù)不易被人接觸。

　　5）監(jiān)控數(shù)據(jù)流向，采用身份認證確保數(shù)據(jù)傳輸對象的合法性和真實性。

　　6）確保數(shù)據(jù)傳輸通道的安全，采用正確加密方式，防止中間人竊聽等攻擊的實施。

　　面向不同的需求和環(huán)境，DLP有多種不同側(cè)重實施方案，有的表現(xiàn)為設(shè)備強管控，采用邏輯隔離手段，構(gòu)建安全隔離容器；也有的表現(xiàn)為文檔強管控，提供內(nèi)容源頭級縱深防御能力。數(shù)據(jù)文檔的分類、分級、加密、授權(quán)與管理，也有行為強審計，利用準確關(guān)鍵字對數(shù)據(jù)操作行為的審計，對文檔的新建、修改、傳輸、存儲、刪除的行為監(jiān)察，還有智能管控，可識別、可發(fā)現(xiàn)、可管理，提供共性管控能力的DLP方案產(chǎn)品。

　　為了防止內(nèi)部、外部人員有意、無意造成的數(shù)據(jù)泄露而造成損失，如今大多數(shù)數(shù)據(jù)庫通過數(shù)據(jù)加密來保證數(shù)據(jù)安全，防止泄密，這也是當前最有效的解決辦法。以數(shù)據(jù)加密為核心的數(shù)據(jù)泄露防護（DLP）解決方案，已經(jīng)成為主流方案，并得到了眾多用戶的認可。