张晶姝

摘要：随着大数据、云计算机等信息技术的快速发展和广泛应用，办公管理、生产运行、工艺技术、安全环保、财务销售等生产经营数据成为企业数据整合、分析和利用的重要资产，同时也是企业两化融合后迈向数字化企业、智能化工厂的重要资源。作为能源关键基础设施的石油企业，防止重要数据资产、敏感信息通过终端、网络泄漏成为企业担负的责任和依法必须完成的重要工作。本文介绍了终端数据防泄漏系統在企业中的应用实践，总结了一些经验与大家分享。

关键词：数据防泄漏系统；终端数据防泄漏；数据安全；数据防泄漏技术

中图分类号：TP309.2 文献标识码：A 文章编号：1007-9416（2018）05-0191-02

通过企业互联网出口内容审计系统监测的数据显示，敏感信息外发事件时有发生。员工对敏感信息的定义掌握不清，只懂公开，不懂保密，对敏感数据的重要性、严肃性认识不足，网络安全和保密意识淡薄，仍然存在着“无密可保”的错误观念。员工通过企业内部主页、邮箱、即时通信软件、网盘云盘、智能手机无意识的外发成了敏感信息外泄的重要渠道，而大型跨地域企业由于网络结构、带宽、吞吐量、敏感信息不同等多种因素的限制，网络数据防泄漏系统对敏感数据的拦截存在一定的限制，因此各地区公司建设符合本单位拦截需求的终端数据防泄漏系统能够更有效的实现敏感数据的防泄漏。

1 国家法律和制度对企业网络安全管理方面的要求

2016年11月，国家发布首部全面规范网络空间安全管理方面问题的基础性法律《网络安全法》，为企业网络安全管理工作提供了法律依据和标准。法律将能源等行业领域以及一旦遭受破坏、数据泄漏可能危害国家安全、国计民生、公共利益的重要行业定义为关键基础设施，同时也定义了网络的所有者、管理者和网络服务提供者为网络运营者，而网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2 终端数据防泄漏系统的实施经验

2.1 系统选型要素兼容性问题

企业的终端计算机一般部署了三大类系统和软件，一是包含防病毒软件、终端安全、系统加固的桌面安全管理系统；二是包含ERP、OA办公管理、生产运行系统、财务系统、经营决策等业务应用系统；三是日常办公查询交流的office办公软件、QQ等即时通信软件、WEB邮件、客户端邮件、IE应用等。由于终端数据防泄漏需要部署在桌面计算机上，因此兼容性问题是终端数据防泄漏系统选型的重要问题，应考虑与桌面安全防护软件、信息化应用系统、办公辅助应用软件的兼容性，做好兼容性测试会很大程度上减少系统上线后的运维和故障处理工作量。

2.2 终端数据防泄漏系统项目管理

结合PMP项目管理的理念，将终端数据防泄漏系统作为一个信息化专业的网络安全项目来管理，包括产品的调研、系统功能的全面测试、立项、谈判、部署过程的进度控制、系统上线后的兼容性测试、策略调整、项目验收各个阶段要做全方位的把控，并与实施厂商签订网络安全和保密协议，确保项目实施过程和后续运维及故障处理全过程的安全可控。

2.3 制定符合企业需求的系统管控策略

终端数据防泄漏系统的策略一般分为3种，阻止策略、警告策略和不提醒直接记录。根据企业对敏感信息关键点和层级的不同，分类别分HTTP、邮件、即时通信软件、打印拷贝输出等通道进行管控策略的制定（见图1）。由于涉及敏感信息，因此要求厂商的产品在系统平台不能提取敏感信息的全部内容，仅可以显示敏感信息前后少量字节范围的信息以作为企业内部检查和考核依据。

2.4 与准入系统的配合应用

终端数据防泄漏产品通过配合准入系统的使用，制定相应的管理员策略，要求终端用户部署了桌面安全管理系统和准入系统方可入网，保证终端用户安装部署数据防泄漏模块达到100%，从而做到审计无遗漏。

2.5 系统实施及运维人员管理要求

由于终端防泄漏系统策略的制定和敏感信息要分审计员和策略管理员角色，以防止集中提取的敏感信息成为数据外泄的又一渠道。同时对管理员的背景、资质等都要进行审查，要求管理员要持网络安全管理专业认证资质上岗，并定期进行审核。

3 终端数据防泄漏系统的问题及提升

3.1 终端数据防泄漏产品的识别准确性有待提高

目前终端数据防泄漏技术（DLP）主要是通过关键字、正则表达式和数据指纹等对存储、传输和使用过程中的数据进行内容匹配发现违规数据泄漏，因此就会产生两个词语中前词的后字和后词的前字中了关键字的情况发生，并不能智能的识别出违规文件，对厂商在技术和检测机制的研发上也提出了新的需求以满足企业的需要，同时提高管理员的检查、管理效率。

3.2 终端数据防泄漏产品需要扩大检测范围

各个企业都在加快投入大数据、云计算机、物联网、移动应用的建设，而新技术的应用成为了敏感信息监管的空白区。企业应该遵循同步建设、同步规划网络安全的基本原则出发，扩大系统对新系统、新技术的检测能力，保障网络安全管理不留死角。

4 结语

本文结合企业部署数据防泄漏系统的应用情况从实施管理、策略制定等多维度总结了终端数据防泄漏系统的实施经验，可作为建设部署数据防泄漏系统的参考。

参考文献

[1]杨合庆.中华人民共和国网络安全法解读[M].中国法制出版社，2017.

[2]信息安全技术.政府联网终端安全管理基本要求[M].工业和信息化部，2016.

[3]范睿.企业数据防泄漏架构分析[J].网络空间安全，2017，8（z4）：77-82.

[4]白国靖.终端准入控制与数据防泄漏技术在企业中的应用[J].中国新通信，2015，（20）：121.

[5]潘明惠.网络信息安全工程原理与应用[M].清华大学出版社，2011.