什么是 DLP(数据丢失防护)?

数据丢失防护 (DLP) 可确保关键业务或敏感数据不会离开组织的网络,也不会被损坏或删除。

学习目标

阅读本文后,您将能够:

  • 了解数据丢失防护(DLP)的含义
  • 探索 DLP 帮助预防的各类威胁
  • 了解 DLP 软件如何检测机密信息

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 DLP(数据丢失防护)?

数据丢失防护 (DLP) 是一种用于检测和防止数据泄露或数据破坏的策略。许多 DLP 安全解决方案分析网络流量和内部“端点”设备,以识别机密信息的泄漏或丢失。组织使用 DLP 来保护他们的机密商业信息和个人可识别信息 (PII),这有助于他们遵守行业和数据隐私法规。

什么是数据外泄?

数据外泄是指数据未经公司授权而移动。这也被称为数据挤出。DLP 的主要目标是防止数据外泄。

数据外泄可以通过多种不同方式发生:

  • 机密数据可以通过电子邮件或即时消息离开网络
  • 用户可以在没有授权的情况下将数据复制到外部硬盘驱动器上
  • 一名员工可能将数据上传到公司控制之外的公共
  • 外部攻击者可以获得未经授权的访问并窃取数据
  • 员工可将敏感数据上传到 AI 工具,如大型语言模型 (LLM)

为防止数据外泄,数据丢失防护会跟踪数据在网络内、员工设备上以及何时存储在公司基础设施上的移动。然后它可以发送警报、更改对数据的权限,或者在某些情况下,当数据有离开公司网络的危险时阻止数据。一些数据丢失防护安全解决方案甚至可以阻止 Web 应用程序内的复制和粘贴,以阻止机密数据被复制到不安全的应用程序中,或以其他方式未经许可移动。

数据丢失防护有助于阻止哪些类型的威胁?

内部威胁:任何有权访问公司系统的人都被视为内部人员。这可能包括雇员、前雇员、承包商和供应商。有权访问敏感数据的内部人员可能泄露、破坏或窃取该数据。DLP 可以通过跟踪网络内的敏感信息来帮助阻止对敏感数据的未经授权转发、复制或破坏。

外部攻击:数据外泄往往是网络钓鱼恶意软件攻击的最终目标。外部攻击也可能导致永久性的数据丢失或破坏,如在勒索软件攻击中,内部数据被加密,无法访问。DLP 可以帮助防止恶意攻击者成功获取或加密内部数据。

意外的数据暴露:内部人员经常在不经意间暴露数据——例如,员工可能会在不知情的情况下将包含敏感信息的电子邮件转发给外部人员。与 DLP 安全阻止内部攻击的方式类似,它可以通过跟踪网络内的敏感信息来检测和防止这种意外的数据泄露。

AI 数据曝光:公开可用的 AI 应用程序会将它们收到的输入添加到数据集并进一步训练模型。这可能会导致应用程序之后向外部人员泄露数据。AI 工具也可能不符合组织需要遵循的数据法规,如果上传数据,组织就会不合规。

违反法规:如果企业受通用数据保护条例 (GDPR) 等数据监管框架的约束,那么数据暴露就是一种违规行为,可能导致罚款和其他处罚。数据丢失防护有助于降低此类违规风险。

数据丢失防护如何运作以检测敏感数据?

DLP 解决方案可以使用一些技术来检测敏感数据,其中包括:

  • 数据指纹识别:此过程会创建一个唯一的数字“指纹”,它可以标识特定的文件,就像可以通过指纹来识别一个人一样。文件的任何副本都具有相同的指纹。DLP 软件将扫描所传出数据的指纹,以查看是否有任何指纹与机密文件的指纹匹配。
  • 关键字匹配:DLP 软件在用户消息中查找某些词语或短语,并阻止包含这些词语和短语的消息。如果公司希望在财报电话会议之前对其季度财务报告保密,可以配置 DLP 系统,以阻止包含短语“季度财务报告”或已知会出现在报告中的特定短语的外发电子邮件。
  • 模式匹配:该技术根据文本是否符合某类受保护数据的可能性对文本进行分类。假设从公司数据库发出的 HTTP 响应包含一个 16 位数字。DLP 系统将此文本字符串分类为极有可能是信用卡号,这是受保护的个人信息
  • 文件匹配:在网络内移动或离开网络的文件的哈希与受保护文件的哈希进行比较。(哈希是一串唯一的字符,可以识别一个文件;哈希通过哈希算法创建,当给定相同的输入时,每次都有相同的输出。)
  • 确切的数据匹配:这会根据包含应保持在组织控制范围内的特定信息的确切数据集检查数据。

有哪些重要的数据丢失防护最佳实践?

数据丢失防护不仅仅是一种技术解决方案:组织的整个安全策略应围绕避免数据丢失展开。除了启用数据丢失防护解决方案之外,预防丢失的一些最佳实践还包括:

  • 对内部用户进行安全措施教育
  • 保持所有存储数据的可见性
  • 使用访问控制来限制谁可以查看或更改数据
  • 加密传输中和静态文件
  • 使用 Zero Trust 方法,确保默认情况下不信任任何设备或用户

Cloudflare One 如何防范数据丢失?

Cloudflare One SASE 平台具备统一的安全性功能,包括 DLP,可保护 Web 应用程序、SaaS 应用程序和专用应用程序中的传输中、使用中以及静态数据。Cloudflare One 会检查文件和 HTTPS 流量中是否存在敏感数据,并让客户能够配置允许或阻止策略。Cloudflare One 还集成了远程浏览器隔离 (RBI) 以实施更多 DLP 功能,例如限制下载和上传、键盘输入,以及打印。详细了解 Cloudflare One

常见问题

什么是数据丢失防护 (DLP)?

DLP 是指防止敏感数据丢失、被盗或被未经授权的用户不当访问的安全工具和流程。它会检测并保护处于三种状态的数据:使用中的数据、传输中的数据,以及静态数据。

DLP 解决方案如何识别敏感数据?

DLP 解决方案会使用不同的内容检查方法,例如模式匹配、关键字匹配或数据指纹识别,来识别各种敏感信息类型,例如信用卡号、社会安全号码以及医疗保健数据。高级 DLP 系统还会利用上下文分析和机器学习来提高检测准确性,同时减少误报。

DLP 可以解决哪些业务挑战?

DLP 可以化解内部威胁和数据泄露风险,它们可能会导致知识产权窃取或违反合规要求。它有助于企业满足 GDPR、HIPAA 和 PCI DSS 等监管要求,并保护数据安全,防止意外和恶意数据泄露。

云端 DLP 与传统 DLP 有何不同?

云端 DLP 会将保护范围扩展到 SaaS 应用和云存储中存储的数据,超越了本地网络。它提供对所有服务的持续监测,并且有助于在传统网络边界不复存在的混合环境中维持可见性。

企业在实施 DLP 时应该考虑哪些因素?

考虑采用 DLP 的企业,首先应该确定要保护哪些数据,实施目标是什么,以及其敏感数据需要遵守哪些监管框架(例如 GDPR)。其次,企业还应该考虑如何与现有安全基础设施(例如 CASB)集成,以便更全面地保护数据安全。企业应该考虑监管合规和安全风险可能会怎样与 DLP 供应商的服务相互交织。根据具体实施情况,DLP 服务可能会查看和处理敏感数据。但具有讽刺意味的是,如果供应商没有采取充分的预防措施来维持合规和安全,这可能会使数据面临风险或导致企业不合规。最后,企业应该逐步推出 DLP,确保它不会妨碍正常的业务流程。