詳細介紹這2者不同處「網絡dlp和終端dlp區別」

俗話說，外行看熱鬧，內行看門道。隨着國家網絡安全法及一系法規制度陸續推出，企業網絡安全成為近年IT領域風口浪尖上的話題，與其相關的資本、市場和技術信息讓人目不暇接。但是企業信息安全從業人士深刻體會到這次熱潮中一個非常大的亮點：對企業數據資產的保護，即數據安全成為企業信息安全的核心。

雖然國內企業信息安全已經過二十多年的高速發展，但思維還停留在防火牆、入侵檢測、防病毒等傳統的、被動的企業邊界南北防護手段上，其核心目的仍然是防止黑客從外向內進行病毒、蠕蟲或者木馬等的攻擊行為。據國家計算機信息安全測評中心等權威機構提供的數據顯示，國內企事業單位內部重要機密通過網絡泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，其餘97%都是由內部員工有意或無意泄露而造成的。因此，企業網絡安全的重心必然會從傳統的由外到內的攻防而轉向由內到外的數據防泄露。

數據防泄漏解決方案在國內並不是空白之地，數據防泄漏產品已上市很長時間，其功能滿足企業文件數據加解密需求，其技術是利用加密解決數據傳輸的安全問題，利用認證解決訪問者權限問題。究其原因，是因為國內企業仍專註對人或設備的安全進行管理，並沒有把企業數據作為安全的重點。目前，國內最典型、最成熟的數據安全案例，是很多大型機構都正在使用的企業郵件系統加密解決方案，該類方案的實施結果是員工需要經常在“降低業務效率（郵件因為被不適宜的安全規則阻斷等）”和“發生安全事故（繞過這個加解密路徑）”兩者之間做出選擇。目前這波企業網絡安全熱潮中雖然數據成為中心，但一個令人擔憂的現象也隨之而來。數據安全法規出台後，很多企業因為之前沒有數據安全解決方案，現在為了免責倉促上馬安全方案，在市場上缺乏對導理念和合適的數據安全方案的大前提下，往往又會選擇類似的數據文件加解密方案，重蹈別人的覆轍。

因為美國企業文化中對知識產權和個人隱私非常重視，所以數據防泄漏一直就是企業網絡安全的重中之重，CIA（Confidentiality， Integrity， Availability）理論和4A（Account，Authorization，Authentication， Audit）體系從本質上講都是圍繞着企業的數據安全做文章。而DLP作為企業網絡安全裡面的一個獨立垂直市場，從一開始就和終端EDR、網絡數據加解密/認證等技術在不同的軌道上發展。在美國，2003/4兩年是DLP技術的爆發時期，從那時起，DLP技術產品一直在不停地演進。直到現在，市場上雖然DLP解決方案一直是剛需，技術也層出不窮地湧現，卻一直沒有非常完美的產品出現。

DLP技術根據其部署位置可分為終端DLP、網絡DLP和服務器端（存儲）DLP，根據可能的泄露載體又可分為終端DLP、郵件DLP和WEB DLP等。現代DLP產品核心技術包括以下幾點：

1、DCI（Deep Content Inspection）：不同於網絡流量分析產品NPM/APM裡面用到的DFI和DPI技術，只需要在網絡層基於包（Packet）或流（Flow）做掃描匹配，DLP是需要在內容層面做深度掃描，匹配精確度和掃描性能是衡量技術的標尺。

2、內容還原：因為要做DCI，所以我們需要要把網絡中傳輸的文件完整地還原出來，提供給DCI引擎做掃描匹配處理，這裡最大的挑戰是必須把文件完整地還原出來，意味着無論旁路鏡像還是inline proxy都不能丟包，做到不丟包說易行難，相比較而言，DPI技術是沒有這個要求的，因為客戶往往對此無感知。

3、敏感規則定義：企業用戶需要根據自身業務的需求定義所需要匹配的敏感字典，DCI引擎掃描還原出的傳輸文件，匹配該敏感字典內的敏感字（段），以確定該文件是否包含敏感內容，這裡最大的難點有兩個，一是如何定義完整的、敏感程度準確的規則，如何做到1）不影響業務、2）不漏報、3）不誤報，是對企業安全運維人員的巨大考驗；二是和其他傳統網絡安全產品一樣的相關規則的系統管理問題。

既然DLP是企業安全市場的剛需，又有近二十年的發展歷史（對美國歐洲而言，國內還是在春秋戰國時期），為什麼市場上還是沒有完美的DLP解決方案或產品出現呢？國內企業如何從歐美企業實施的DLP案例里取得真經、少走彎路呢？實際上DLP本身的內容掃描和敏感字匹配的技術已近爐火純青之境界，以下幾點因素應該是目前企業DLP所處困境的根源所在：

1、DLP產品需要客戶預先定義複雜的敏感匹配規則，而客戶定義好這個規則的前提是對企業網絡上的數據有非常清晰的了解，按當下時髦的術語就是有很好的數據梳理。並且對使用這些數據的業務也有所了解，對於現在絕大多數企業的網絡安全運維人員來說，沒有企業決策層和業務團隊的鼎力支持和配合，沒有時間和資源的大量投入，這個清晰了解企業數據和相關業務的前提基本上是一個不可能完成的任務。

2、目前的DLP產品和其他傳統網絡安全產品一樣，都是應對單個事件（single event）的產品，只是在網絡上的文件內容匹配到預先定義的敏感數據規則那一時刻產生預警或阻斷的動作，這種單個事件的處理方式往往因為缺乏上下文的關聯分析而產生大量誤報（False Alert）或阻斷正常的業務。

3、DLP產品在控制維度上比較單一，定義規則和數據（匹配上敏感規則）IP相關，最多再加一個時間點，這對於特定業務場景定義準確的DLP匹配規則往往顯得捉襟見肘。

4、目前DLP所遇困境最關鍵的一點，企業的數據不是靜止不變而是有生命周期的，在這個周期里數據的敏感度不斷變化，新數據隨着企業業務的進行每天層出不窮。如何為敏感度變化的已有數據和新出現的數據定義並實時調整匹配規則，在當前企業安全文化和技術體系下，企業網絡安全人員能夠做好DLP規則實時調整優化，基本上就是痴人說夢。

雖然目前DLP技術看似走到了死胡同，但並不是一個無解之局。他山之石，可以攻玉，最近幾年網絡安全在其他領域的創新為DLP帶來了涅槃之機，大數據分析、態勢感知、UEBA等技術的結合使用都使得NG DLP呼之欲出：

1、企業業務每天都在產生新的數據，數據的敏感度也在隨時變化。因為企業數據不是靜止狀態，而是有其生命周期，所以對數據動態的監控就至關重要，需要有一個“無規則、無死角”對企業網上流轉數據的全方位監控並高效呈現的工具。這樣企業網絡安全運維人員就能夠針對性地與業務人員進行敏感性討論，使得實時優化調整DLP匹配規則成為可能。

2、傳統的DLP定義匹配規則時考慮的維度太少，使得應對複雜場景的合理規則無法定義，下一代的DLP產品通過對企業內網上多個維度的實體1）畫像並實時更新、2）建立實體畫像間關聯關係、3）學習實體網上行為等技術手段，為企業提供很多場景下的定義複雜規則的可能。譬如：提供更完整的敏感（好的：知識產權；壞的：病毒/惡意代碼）數據溯源證據鏈、資產管理保護、行為異常分析等等。

3、發展到今天，企業需要的是一個完整的數據安全解決方案，目前的DLP產品預先定義規則，是一個single event產品，只管當下，缺乏分析功能；而審計產品都是一種事後被動的查找過程，無法滿足企業及時主動發現的需求。譬如滿足GDPR提出的企業如果能夠72小時內發現並上報數據泄露事故可免職的需求。下一代的DLP產品一定能夠通過採用AI機器學習技術在時間軸上做數據行為的預測監控分析，主動及時發現異常行為。總之，力圖把數據泄露的發現變被動為主動，滿足及時發現並處理的需求。

我們有理由相信，下一代DLP能夠真正成為為企業數據安全保駕護航的堅強之盾，具有“審計過去，監視現在，預測未來”的功能是NG DLP與傳統DLP的分水嶺！

關於全息網御：全息網御科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智能），發現並實時重構網絡中不可見的”用戶-設備-數據”互動關係，推出以用戶行為為核心的信息安全風險感知平台，為企業的信息安全管理提供無感知、無死角的智能追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。