数据防泄露是当前很多企业，无论大小，都开始关注的一个话题。过去的很多年，企业信息安全建设的目光还停留在如何筑好互联网边界的防护系统。近几年，这样的基础建设基本停当，黑客们的获利点也有了明确的方向，攻防双方同时将焦点移入企业内网的敏感数据上。近年来发生的内部数据泄露造成企业巨大名利损失的案例太多了，大家可以自行搜索，这里就不赘述了。

01确定敏感数据的范围

当客户在和你提及数据防泄露想法的时候，请一定要询问对方 “您希望对哪些具体的数据作管理”。也许此刻客户并没有特别清晰的轮廓，毕竟不是所有人都能清晰地描述出企业里有哪些数据是与企业生命线息息相关的。

 

为什么金融用户作数据防泄露项目较早并比较成功？一个原因是要保护的数据类型比较单一。很明确，客户资料即为重要资料之一。防止客户资料的泄露是项目核心目标之一。但看看各行各业的企业用户，问题就来了，似乎需要关注的数据类型非常多，订单、合同、报价单、图纸、设计文案、发展计划、财务报表、源代码、产权文件、各种高层往来文件等等。

 

所以，企业用户要开始着手作数据防泄露，那么数据清晰的界定就是必须的。刚开始不要把所有数据都圈定在防护范围里，立项时一定要将数据防护范围限定的比较清晰，避免项目交付及日后运行时没有可以看到的成效。

如何确定哪些数据要在数据防泄露项目中得到控制呢？客户的项目团队需要比较清晰地了解自己企业的业务结构，才知道要保护的重要数据是什么。如果不清楚，那么可以邀请咨询公司来协助完成。

 

对敏感数据的范围作清晰界定的同时，还要考虑的问题是这些数据在哪里。自己企业的数据在哪里？不知道？您请个外人来帮忙，那他能知道的比您多吗？数据都分布在哪里很关键。请务必提前做好准备工作。

02了解数据传输的通道

敏感数据从企业内部到外部，必然有其传输的通道。这些通道可能是什么？把这些能防范的通道都考虑清楚之后，才是考虑要配套哪些产品来完成防范工作。下面我来说几个通道，不会完全覆盖，但大多数用户可以从这些通道入手。

Web通道，是浏览器类工具完成数据的外发的必经之路。通讯协议包括 HTTP、HTTPS。常见的应用场景是通过网页邮件上传附件，论坛上传文件，网盘上传文件等方法，将敏感数据传出企业网络。那找什么技术来助力呢？想防御就必须要能“看见”在传什么。能“看见”Web通道传递内容的技术就是Web代理。

 

Web代理种类很多，或专用设备，或与防火墙合成，或各种All in One设备吧。请务必牢记一点，Web代理必须要支持 HTTPS 协议分析。否则您“看不见”加密封装的内容，白搭。

 

Web代理将 HTTP 和解密过的 HTTPS 内容转发给数据防泄露产品，利用数据防泄露规则分析引擎对内容作分析，当有触及安全策略的会话，则会通知 Web 代理拦截这一条会话，从而阻断内部设备连接互联网。

 

Web 代理功能与数据防泄露规则分析引擎功能，可以使用专业的数据防泄露产品实现。也可以利用好现有网络设备的 Web 代理功能，仅采购专业的数据防泄露规则分析引擎来配合使用。

Mail通道，利用企业邮件服务器完成数据的外发。如果企业邮件服务器是部署在本地网络的，那就比较好控制了。邮件服务器外发不要再直接通往互联网，而是先转发到指定的数据防泄露设备，通过安全规则过滤后，邮件再被发往互联网。若有触发安全规则的邮件，数据防泄露设备不再对外转发此邮件，并给审核人员发送一份通知信，请审核人员来处理。友情提示：所有外发邮件一旦触发安全规则产生事件后，该邮件内容在数据防泄露设备上是可以查阅的，包括邮件主体详情及附件内容。请操作数据防泄露设备的人员勿造成再次数据泄露事件。有条件的客户可以考虑使用特权账户管理系统将这些涉及到敏感数据的安全系统进行统一监管。这是另一个话题，放在以后再写了。

 

从通讯协议上看，最常用的两个通往互联网的传输通道都已经聊到了。还有什么传输通道会被忽略掉吗？肯定会有的，咱们请企业网络边界的安全设备出场配合一下，千万不要再从内到外全开放通讯服务了。不使用的或自己都拿不准的通讯端口，该封尽封。突然想到了防火墙使用的话题，也放在以后来写。

03从保存有数据的设备着手

电脑终端

从日常使用的办公设备来看，计算机终端算一个重要数据载体。我们重点要看管好数据在离开终端时是否合规。举例说几个可能造成敏感数据外发泄露的场景：联网应用的数据外发，如聊天软件中的文件传输，网盘软件的文件上传，这些工具的外发动作，有人为的，也有非人为的；向外部设备作数据外发，如利用打印机、U盘输出敏感数据等，躲避可能受到监控的网络传输通道；数据文件位置的变更，重要文件被移动或复制到了其他目录中，可能这个新目录的安全级别比较低，可能这个新目录被共享了，这样就可以从其他位置获取到敏感数据。

 

通过在终端上安装数据防泄露的代理软件，以数据为保护核心，只要保护的数据发生变化并触发安全策略即刻产生事件告警，从而防止敏感数据脱离终端。对终端进行管理的控制器，一般都部署在企业内部网络，终端上产生的事件会实时同步到控制器上。当终端离开企业网络时候，事件是无法第一时间回传给控制器的。有用户考虑是否将控制器的接口发布到互联网，绝对不建议这样作。有些项目中配套使用桌面水印功能，看屏幕时候有些碍眼，其主要作用是在截图、手机拍照后留痕取证使用，算是一种震慑作用吧。也许有看官会问，数据加密行不行？我个人的理解，数据加密是保证数据存储和传输安全，防的是第三方窃取行为；数据防泄露防的第一人称主动泄露行为。您认为呢？

移动终端

容易被忽略的设备—手机。通过手机收发企业邮件已经是非常常见的场景了。手机收下邮件后可以随意转发而不再受到企业邮件服务器及数据防泄露设备的控制，您现在是否已经意识到这个问题的严重性了？往往手机是一个容易被数据防泄露项目遗忘的角落。若想将防御触角延伸到手机端，不要将思路局限在从数据防泄露产品厂家找解决方案上。应该从MDM方案下手。

我们分析一下，敏感数据会不会到手机？会的；从什么通道到达手机，往往是邮件通道。控制思路，邮件不可以再被随意转发，邮件必须通过企业邮件服务器外发，这样就利用了企业已经构建的防御体系。因此，在手机端必须使用专用的邮件App来收发企业邮件，不可以再用手机系统自带或第三方App了。

与之配套的，在企业邮件服务器前端，必须部署邮件接收代理系统，用于识别专用邮件App还是其他App的邮件同步行为；第三步，从边界访问设备上停止邮件服务器对外的邮件同步功能，将同步流量切换到邮件接收代理系统，作到入口的唯一性。现在邮件就只能通过专用邮件App来收发了。

为防止邮件附件被存储再被其他App转发的发生，邮件内容不可以随意复制到手机的本地存储区域，应有一个专用的安全区域来存放邮件的附件；阅读邮件及附件时，要控制对截屏功能的使用。为了更好地防护及事件的统一，业内有数据防泄露厂家为MDM产品设计了配套使用的安全组件。

总结

数据防泄露系统好不好用，靠安全策略的调整与创新。数据防泄露厂家设计的安全策略模版，是通用型的。到底是否适合自己的企业使用，是否适合自己的数据类型特点，需要在部署之后耐心地对策略进行调整和创新。调整与创新的依据，一方面是已经产生的安全事件，尤其是误报事件，是调整策略的依据之一；另一方面，又回到前面的话题，敏感数据的界定问题。界定的精准，安全事件就产生的准确，整套系统就可以发挥其作用。所以，使用好数据防泄露系统，是一个循序渐进的过程，需要系统与企业数据来适配，需要服务方与使用方一同协作。作为使用方，不投入人力物力来研究这套系统，完全依赖不熟悉业务的服务方，是不现实的；作为服务方，验收后就不再关注客户的使用情况，不再转化产品最新技术，不分享其他项目的最佳实践，也是无法增长自身项目能力的。

数据防泄露系统能不能用下去，技术说了不算，要看政策。单纯靠一款或几款产品，就可以作好数据防泄露工作，那绝对是痴人说梦。没有企业信息化管理制度的加持，数据防泄露项目必然夭折。