终端防泄密功能与原理解析

数据泄密（泄露）防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss prevention, DLP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是国际上最主流的信息安全和数据防护手段。

DLP技术根据其部署位置可分为终端DLP、网络DLP和服务器端（存储）DLP，根据可能的泄露载体又可分为终端DLP、邮件DLP和WEB DLP等。

下面主要介绍终端DLP的核心功能及原理：

功能介绍：

通过非授权外连控制功能，可以实现对终端常见的数据通道如“红外、蓝牙、软驱、串行接口、并行接口、1394接口、PCMCIA接口、无线以太网卡、光驱等”进行灵活的、严格的、有效的管控，实时发现违规操作进行通知并阻止或审计。

从技术角度上提供了保证终端数据的安全性和可靠性的方法，结合高效的管理制度，可提高对终端数据及数据通道的控制效率和管理质量。

原理说明：

非授权外联控制原理

功能介绍：

通过文件读写操作审计功能，终端安全助手收到策略后可以实现对终端上的“本地硬盘、未注册U盘、已注册U盘、加密U盘、网络共享、所有U盘、光盘、软盘”等常见存储介质进行文件读写操作的管理，包括：“允许、禁用、审计、上传”等管控手段，并集合高效的ACL控制方式可灵活的对各种文件读写操作行为进行管理和控制，适用于多种多样的文件流转场景进行控制。

原理说明：

终端安全助手收到文件读写操作审计策略后，通过高效的ACL控制方式对各种文件读写操作行为进行管理和控制，把文件读写操作的执行插件注入到程序进程中，再通过HOOK方式获取程序进程调用windows的API的文件操作，根据文件读写操作审计策略的配置进行管控。

文件读写审计控制原理

功能介绍：

通过邮件审计功能，终端安全助手可以对终端上通过Web和邮件客户端发送的邮件，根据策略中的执行条件进行过滤，对符合条件的邮件实施审计和管控。

原理说明：

实现邮件的审计和控制主要有两个技术路径：

1. 在网络出口处安装专用网络设备，根据邮件协议审计和阻断相关数据包。优点是不需要安装客户端，缺点是要分析各种各样的邮件协议，特别是加密的邮件较难破解，为了阻止邮件，还可能要串接网络设备，形成网络瓶颈和单点故障，而且不能处理通过自建 WIFI 热点导致的流量。

2. 在终端安装客户端，通过客户端的相关模块在发送邮件之前就进行处理，优点是不担心邮件协议的复杂性和加密，也不担心影响网络，缺点是可能有客户端兼容性问题。

目前公司采用的是第二个技术路径，安全助手新增一个邮件审计模块，实现了以下功能：

1. 支持 Outlook，Foxmail 等常见邮件客户端。

2. 支持 Web 邮箱，包括 https（例如 QQ，163 邮箱）。

3. 支持任意邮件协议，包括加密协议。

4. 丰富的审计内容：收件人，标题，内容，附件。

5. 丰富的审计和控制选项，可以审计，阻止，附件备份等。

6. 与关键字模块结合，可以分析邮件内容及附件是否包含自定义的敏感信息。

7. 采用 ACL 风格（有序规则集合理论），能配置出任意复杂度的策略。

邮件审计原理

功能介绍：

安全U盘是由任意型号普通或定制的 USB 接口的存储器（例如 U 盘，SD 卡，移动硬盘）经过软件工具制作而成，使用专用的文件浏览器来读写文件，所有文件是加密的。

其主要功能：

1. 通过防止U盘丢失导致数据泄露。

2. 内部数据只能通过内部安全终端进行安全传输。

3. 彻底安全的磁盘加解密，文件内容，文件名称，目录结构都会加密。密码遗忘后任何人都无法解密。加密算法缺省是国际标准AES256。

4. 通过安全U盘拷贝的文件在后台都有审计信息留痕，符合国家安全保密机构的要求。

原理说明：

安全U盘的实现原理

安全U盘与普通U盘对比：

UEBA，（User and Entity Behavior Analytics）即用户与实体行为分析，主要是以用户和实体为对象，结合规则以及机器学习模型，对用户行为进行分析和异常检测，尽可能快速地感知内部用户的可疑非法行为。

UEBA主要关注人的异常行为，行为主体通常是企业内部的员工。UEBA基于海量数据对内部用户的异常行为或内部威胁进行预测，直接以“人”的视角给出判定，抓住“坏人”、主动出击，在数据泄漏之前进行阻止，并为安全分析人员提供可靠的依据。

可以通俗的理解为，UEBA是通过技术手段侦察“谁”在什么时间内做了什么“坏事”，或者“谁”即将准备“做坏事”。

UEBA和DLP联动，可以提高检测的效率和精确度，减少误报。

数据防泄漏（DLP）作为APT攻击的最后一道防线可以有效防止用户数据资产的泄漏，但是纯粹的DLP解决方案存在敏感信息不易定义的问题，引起较高的误报率和较低的检出率，只能够被动的对数据进行监控和保护，无法做到主动防御。而且DLP对一般人员效果显著，但是对于别有用心的人员防护能力略显不足。而主动防御，对别有用心的人进行防御，则是UEBA的强项。

UEBA与数据防泄漏 (DLP)技术相结合，则能实现更精准的异常行为定位。

目前的DLP系统预先定义规则，是一个单一事件产品，只管当下，缺乏分析功能；而审计策略都是一种事后被动的查找过程，无法满足企业及时主动发现的需求。

数据防泄密未来将与态势感知（Situation Awareness）、UEBA、等技术联动，结合机器学习（人工智能），在时间轴上做数据行为的预测监控分析，主动及时发现异常行为，发现并实时重构终端和网络中不可见的”用户-设备-数据”互动关系，形成以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。

作者：蒋斌