智能化的數據安全管控可以讓企業管理員按照數據的重要程度有針對性的對數據進行控制。

在企業中提到數據保護，大家可能常常想起文檔，很少有人會關注文檔中的內容，對數據的管理也比較單一，通常就是全加密、全授權，對文檔的重要性不做區分，隨著社會的發展，文檔的格式越來越多，安全事件的不斷爆發，使得人們對數據的關注度發生了變化，數據也分成了結構化數據和非結構化數據，更加的關注文檔內容中的敏感信息，使用文檔的應用有哪些，對不同類型的文檔、含有不同內容的文檔有區別的管理和存儲。

以前要管控數據，大多是強管控，直接全部隔離，或者全部加密，我們稱之為囚籠、枷鎖式的管控，在實際的數據生產、使用、流轉中帶來了很多不必要的麻煩，人們需要更加靈活的方式來處理數據，此時，智能化的數據安全管控應運而生，企業管理員可以按照數據的重要程度有針對性的對數據進行控制。

數據防泄漏的核心能力什么是DLP呢？字面上翻譯為“Data Leakage(Loss) Prevention數據泄露防護”，其核心能力就是內容識別，通過識別可以擴展到對數據的防控。

內容識別應該具備的識別能力具體來說有關鍵字、正則表達式、文檔指紋、確切數據源（數據庫指紋）、支持向量機，針對于每一種能力又會衍伸出多種復合能力。

DLP還應該具備防護能力，防護范圍包括網絡防護和終端防護。

網絡防護主要以審計、控制為主，終端防護除審計與控制能力外，還應包含傳統的主機控制能力、加密和權限控制能力。

總的來說，DLP其實就是一個綜合體，最終實現的效果，應該是智能發現、智能加密、智能管控、智能審計，也是一整套的數據泄露防護方案。

數據防泄漏的組成下圖說明DLP的實體配置，以及不同模型在組織內的常駐位置。

“網絡 DLP”產品常駐于 DMZ 中，而其他產品則常駐于企業 LAN 或數據中心。

除了“終端 DLP”產品以外，所有其他產品都是以服務器為基礎。

數據防泄露通用技術為了預防數據丟失，無論數據的存儲、復制或傳輸位置在哪里，都必須準確地檢測所有類型的機密數據。

如果沒有準確的檢測，數據安全系統就會生成許多誤報 (將并未違規的消息或文件標識為違規) 以及漏報 (未將違反策略的消息或文件標識為違規)。

誤報會大量耗費進行進一步調查和解決明顯事故所需的時間和資源。

漏報會掩蓋安全漏洞，導致數據丟失、潛在財務損失、法律風險并有損組織聲譽。

因此需要準確的檢測技術來做保障。

為了確保最高的準確性，DLP 采用了三種基礎檢測技術和三種高級檢測技術。

基礎檢測技術基礎檢測技術中通常有三種方式，正則表達式檢測（標示符）、關鍵字和關鍵字對檢測、文檔屬性檢測。

基礎檢測方法采用常規的檢測技術進行內容搜索和匹配，比較常見的都是正則表達式和關鍵字，此兩種方法可以對明確的敏感信息內容進行檢測；文檔屬性檢測主要是針對文檔的類型、文檔的大小、文檔的名稱進行檢測，其中文檔的類型的檢測是基于文件格式進行檢測，不是簡單的基于后綴名檢測，對于修改后綴名的場景，文件類型檢測可以準確的檢測出被檢測文件的類型，目前支持100多種標準的文件類型，并且可以通過自定義特征，去識別特殊的文件類型格式的文檔。

高級檢測技術高級檢測技術中也有三種方式，精確數據比對 (EDM)、指紋文檔比對 (IDM)、向量分類比對 (SVM)。

EDM 用于保護通常為結構化格式的數據，例如客戶或員工數據庫記錄。

IDM和SVM 用于保護非結構化的數據，例如 Microsoft Word 或 PowerPoint 文檔。

對于 EDM、IDM、SVM 而言，敏感數據會先由企業標識出來，然后再由DLP判別其特征，以進行精準的持續檢測。

判別特征的流程包括DLP訪問和檢索文本及數據、予以正規化，并使用不可逆的打亂方式進行保護。

DLP 檢測是以實際的機密內容為基礎，而非根據文件本身。

因此，DLP不只能檢測敏感數據的檢索項或衍生項，而且能夠標識文件格式與特征信息格式不同的敏感數據。

例如，如果已經判別出機密 Microsoft Word 文檔的特征，DLP就能夠在相同的內容以 PDF 附件的方式通過電子郵件進行提交時，將其準確檢測出來。

精確數據比對精確數據比對 (EDM) 可保護客戶與員工的數據，以及其他通常存儲在數據庫中的結構化數據。

例如，客戶可能會撰寫有關使用 EDM 檢測的策略，以在消息中查找“名字”、“身份證號”、“銀行帳號”或“電話號碼”其中任意三項同時出現的情況，并將其映射至客戶數據庫中的記錄。

EDM 允許根據特定數據列中的任何數據欄組合進行檢測；也就是在特定記錄中檢測 M 個字段中的 N 個字段。

它能夠在“值組”或指定的數據類型集上觸發；例如，可接受名字與身份證號這兩個字段的組合，但不接受名字與手機號這兩個字段的組合。

由于會針對每個數據存儲格存儲一個單獨的打亂號碼，因此只有來自單個列的映射數據才能觸發正在查找不同數據組合的檢測策略。

例如，有個 EDM 策略請求“名字 + 身份證號 +手機號”的組合，則“張三”+“13333333333”“110001198107011533” 可觸發此策略，但是即使 “李四”也位于同一數據庫中，“李四”+“13333333333”“110001198107011533”也不能觸發此策略。

EDM 也支持相近邏輯以減少可能的誤報情形。

對于檢測期間所處理的自由格式文本而言，單個特征列中所有數據各自的字數均必須在可配置的范圍內，方可視為匹配項。

例如，依默認，在檢測到的電子郵件正文的文本中，“張三”+“13333333333”“110001198107011533”各自的字數必須在選定的范圍內，才會出現匹配項。

對于含有表式數據 (例如 Excel 電子表格) 的文本而言，單個特征列中所有數據都必須位于表式文本的同一行上，方可視為匹配項，以減少整體誤報情形。

指紋文檔比對“指紋文檔比對”(IDM) 可確保準確檢測以文檔形式存儲的非結構化數據，例如 Microsoft Word 與 PowerPoint 文件、PDF 文檔、財務、并購文檔，以及其他敏感或專有信息。

IDM 會創建文檔指紋特征，以檢測原始文檔的已檢索部分、草稿或不同版本的受保護文檔。

IDM 首先要進行敏感文件的學習和訓練，拿到敏感內容的文檔時， IDM采用語義分析的技術進行分詞，然后進行語義分析，提出來需要學習和訓練的敏感信息文檔的指紋模型，然后利用同樣的方法對被測的文檔或內容進行指紋抓取，將得到的指紋與訓練的指紋進行比對，根據預設的相似度去確認被檢測文檔是否為敏感信息文檔。

這種方法可讓 IDM 具備極高的準確率與較大的擴展性。

向量機分類比對支持向量機（Support Vector Machines）是由Vapnik等人于1995年提出來的。

之后隨著統計理論的發展，支持向量機也逐漸受到了各領域研究者的關注，在很短的時間就得到很廣泛的應用。

支持向量機是建立在統計學習理論的VC維理論和結構風險最小化原理基礎上的，利用有限的樣本所提供的信息對模型的復雜性和學習能力兩者進行了尋求最佳的折中，以獲得最好的泛化能力。

SVM的基本思想是把訓練數據非線性的映射到一個更高維的特征空間（Hilbert空間）中，在這個高維的特征空間中尋找到一個超平面使得正例和反例兩者間的隔離邊緣被最大化。

SVM的出現有效的解決了傳統的神經網絡結果選擇問題、局部極小值、過擬合等問題。

并且在小樣本、非線性、數據高維等機器學習問題中表現出很多令人注目的性質，被廣泛地應用在模式識別，數據挖掘等領域。

SVM比對算法適合那些具有微妙的特征或很難描述的數據，如財務報告和源代碼等。

使用過程中，先將文檔按照內容細分化分類，每一類文檔集合有屬于本類的意義，經過SVM比對，確定被檢測的文檔屬于哪一類，并取得此類文檔的權限和策略。

同時，針對SVM的特點，可以進行終端或服務器上的文檔按照分類含義進行分類數據發現。

IDM和SVM的比對區別是，IDM將待檢測文件的指紋和訓練模型中的每一個文件進行指紋比對；而SVM是將待檢測文件向量化，并歸屬到某一類訓練集所建立的向量空間。

數據防泄漏控制與加密技術設備過濾驅動技術一種設備過濾驅動編程技術，可實現對終端任意設備(USB端口、打印機、光驅、軟驅、紅外、藍牙以及網卡等)的安全保護及控制。

自動識別硬件信息、用戶標識、存儲設備與非存儲設備、授權設備與非授權設備等信息。

文件級智能動態加解密技術一種文件級過濾驅動編程技術，通過實時攔截文件系統的讀/寫請求，對文件進行動態跟蹤和透明加/解密處理。

其主要優點：文件加/解密動態、透明，不改變使用者的操作習慣；性能影響小，系統運行效率高；不改變原始文件的格式和狀態，同時，部署和內部使用非常方便。

顯著特征為：加密強制性、使用透明性、保密徹底性、應用無關性、靈活拓展性。

其發展歷經三個階段：單緩存過濾驅動技術、雙緩存過濾驅動技術和虛擬文件系統技術（LayerFSD）。

目前商業市場上大多數內核級加密廠商均采用單緩存過濾驅動技術，少量廠商已發展到雙緩存過濾驅動技術，而發展到虛擬文件系統技術（LayerFSD）并實現產品化的廠商則屈指可數。

網絡級智能動態加解密技術一種網絡過濾驅動編程技術，俗稱NDIS和TDI技術，可實現對網絡傳輸協議及網絡應用協議數據的過濾和控制。

目前該類技術主要應用于防火墻、VPN、網絡準接入等相關領域。

磁盤級智能動態加解密技術一種磁盤級過濾驅動編程技術，也稱全盤加解密技術(FDE,FullDiskEncryption),其核心技術工作于操作系統底層，可實現對包括操作系統文件在內的硬盤所有數據的加密保護。

采用基于物理扇區級的加密方法，可將保存在硬盤上的所有數據進行加密，與文件加密方式不同，磁盤加密能夠加密硬盤上的任何數據，當然也能夠加密操作系統，非授權用戶不僅看不到硬盤上的文件內容，而且也看不到保存在磁盤上的任何文件的名稱！文件級的加密方式一般均能獲得加密文件的文件名稱，使用時間等信息，甚至能從臨時文件、磁盤交換文件中獲取一定的內容信息，而磁盤加密使硬盤上的所有數據均處于加密狀態，得到加密硬盤的人無法得到任何信息。

因為在加密的分區中，根本就沒有文件的概念！更不要說文件的名稱和內容等信息。

為方便用戶操作和不改變用戶的計算機使用習慣，采用的動態加密和解密的方法，在操作系統和磁盤之間安裝了一個數據加密和解密程序，該程序不需要用戶的干預，自動對存儲到磁盤的數據作加密運算，對從磁盤讀取的數據做解密操作，用戶在正常使用計算機的時候，根本感覺不到此程序的存在。

數據防泄漏產品演變囚籠型DLP產品這個階段的產品主要特點為設備強管控，采用邏輯隔離手段，構建安全隔離容器。

自2000年后國外的安全管理產品相繼涌入中國，剛開始是概念式引導，慢慢的轉化為產品，有名的產品廠商包括Symantec、LANDesk，2005年至2008年他們在中國的市場占有率已經到了80%。

2008年以后，隨著發展國內產品開始大量進入市場，至今國外終端管理類產品已經被國內產品大量替換，雖然市場已經呈現出飽和狀態，但每年還有將近4000萬元左右的份額來自于這個強管控的終端管理產品。

枷鎖型DLP產品這個階段的產品主要表現為文檔強管控，提供內容源頭級縱深防御能力；數據文檔的分類、分級、加密、授權與管理。

與終端管理不同，數據加密與權限控制產品已經將關注點從設備變化成了具體的數據文件，控制方式更加細粒度化，保密方式更優秀，從2007年開始至今，市場中涌現出很多有實力的優秀廠商，因為國家的監管要求，加密類產品只能獲得相關保密資質、密碼認證才可以在國內使用，所以使得國外產品無法在國內大面積的銷售，加密和權限類產品至今為止每年還擁有10億元左右的市場份額，各個行業都有數據防護的需求，雖然市場競爭激烈，但使用者還是擔心數據會被加密綁架，而且是全局范圍內的。

不過還好目前所有產品都很成熟，很穩定。

監察型DLP產品監察型的產品則是行為強審計，利用準確關鍵字對數據操作行為的審計，文檔的新建、修改、傳輸、存儲、刪除的行為監察。

行為審計，分為網絡行為審計和終端行為審計，網絡行為審計可以有效的監控員工工作時間的網絡訪問行為，而終端行為審計可以更有針對性的完成對關鍵數據文件的操作行為。

審計產品與其他網絡和終端產品共存，可以互相補充，至今市場占有率依然很高，不過隨著發展很多網絡和終端產品的不斷完善和提升，單獨行為審計產品已經無法順利的存活，多元化開始受到客戶青睞。

智慧型DLP產品到了智慧型產品則追求智能管控，可識別、可發現、可管理，提供共性管控能力。

為了更加全面的對數據進行管控，終端管理產品與加密權限類產品做了很多組合的方案，但都是屬于全局強管控，有一定的局限性，無法應用到更加復雜的數據環境中，在這種情況下世界各地又不斷發生著各種各樣的數據泄密事件，人們對數據的重視程度就落在了內容上，這時，內容感知型DLP產品應運而生，通過內容來識別數據的重要性，通過內容來為數據進行分類，通過內容來對數據進行級別劃分，智能化的管控方式也帶來了便利性和靈活性。

自2013年以來，國內大力推動國產DLP產品的生產和應用，在金融行業和運營商行業更是掀起了一個潮流，但國內產品還處于一種萌芽階段，產品的不成熟和不穩定為DLP國產化的道路帶來了阻力，很多終端、加密和審計廠商開始轉型，但真正的DLP產品不超過三家。