DLP是如何防止数据泄露的？

根据相关调查数据，未来五年全球企业数据丢失防护（DLP）市场预计将以21.03%的复合年增长率高速增长，到2026年市场规模将达到62.65亿美元，而为16.47亿美元。

什么是数据丢失防护（DLP）？

事实上，DLP除了可称之为“数据丢失防护”，也可称之为“数据泄露防护”。这是因为数据防泄漏概念在国内和国外解释有区别：国外厂商所说的DLP是以防止无意泄漏为目标的，而国内厂商则是以防止任何方式的泄漏为目标。

如，国外厂商将DLP，解释为“数据丢失防护——Data Loss Prevention”；国内厂商将DLP，解释为“数据泄漏防护——Data Leakage Prevention”。通过查询，“丢失（Loss）”一般指无意的行为，而“泄漏（Leakage）”则更多的是有意的行为。

也因此，国内外对DLP的不同理解，也就带来了国内外实现数据防泄漏的手段上的不同。例如，国外DLP产品的目标主要是防止信息的无意泄漏，因此在实现手段上多以“检测”为主。

一般的模式是构建一个策略数据库，这个数据库中包含了所有的检测策略以及对敏感数据的定义，当员工做出某种行为（如外发一封E-mail）时系统会进行扫描，以判断这种行为是否符合安全策略并做出相应的动作，如阻止、警告等。在这个基本模式之上，再加上权限控制、审计、端点控制等功能，最终形成一套DLP解决方案。但这对非结构化数据的检测及对恶意行为的防护效果难以保障。

早期，我国数据泄露防护（DLP）主要应用在政府、军工、航天等领域，后随着网络安全重视度提升，以及科技技术进步，数据泄露防护（DLP）应用范围逐渐扩展至能源、金融、通信、电信、物流、交通等领域，数据泄露防护应用场景呈现出精细化、多元化发展趋势。

目前，企业数据防泄露（EDLP）市场涵盖众多产品，这些产品有广泛的用例，能够为整个组织的数据使用和数据移动提供可见性。它包括在对数据执行操作时，能够根据内容和上下文动态地执行策略。 EDLP可以通过监视，提示，告警，阻断和其他响应功能来解决数据面临的相关的威胁，包括无意或事故引发的数据泄露风险以及敏感数据泄露。

总之，数据泄露防护（DLP）又称为数据丢失防护、信息泄漏防护等，是指通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。

而在《的企业级数据防泄露市场指南报告中》，Gartner指出，目前的DLP技术，需要被定义为一个需要良好的管理支撑的流程，而不是单纯的技术产品。

换句话说，DLP本身并不只是一个单纯的技术型产品，而是一个流程型的管理方法，它涉及到很多跟管理体系相关的内容，而不是一个单纯的技术。

此外，Gartner在报告中，还将DLP主要分为以下两种：

集成型DLP：DLP只是某个产品功能中的一部分，通常用于快速合规，通过简单的方式去分析内容，无法将一个环境中的策略和其他环境通用。

企业级DLP：专注于DLP数据内容相关的部分，通常同时具备终端、网络、发现和云等组件。企业级DLP具备完整而深入的内容检查能力，支持集中管理，策略可以跨不同的场景使用。

随着数字经济的发展，越来越多的结构化和非结构化数据导致企业数字资产不断增长，以数据为中心的组织或企业的数据安全服务的需求也不断增长，如，近年来，我国电信、金融等行业的业务数据规模在不断扩大，数据泄露风险也日益提高，数据泄露防护市场需求迫切。

那么，DLP在企业应用中，是如何防止数据泄露的呢？

在这里，不得不提到“数据外泄”一词。数据外泄是指数据未经公司授权而移动，这也被称为数据挤出。而DLP 的主要目标是防止数据外泄。数据外泄可以通过多种不同方式发生：

机密数据可以通过电子邮件或即时消息离开网络；用户可以在没有授权的情况下将数据复制到外部硬盘驱动器上；员工可能将数据上传到公司控制之外的公共云；外部攻击者可以获得未经授权的访问并窃取数据，等等。

因此，为防止数据外泄，DLP 会跟踪数据在网络内、员工设备上以及何时存储在公司基础设施上的移动。然后它可以发送警报、更改对数据的权限，或者在某些情况下，当数据有离开公司网络的危险时阻止数据。

举几个例子，面对雇员、前雇员、承包商和供应商等内部人员的安全威胁，DLP 可以通过跟踪网络内的敏感信息来帮助阻止对敏感数据的未经授权转发、复制或破坏；面对网络钓鱼、恶意软件等外部攻击时，DLP 可以帮助防止恶意攻击者成功获取或加密内部数据；在数据意外暴露的情况下，如内部人员不经意间将敏感数据外发，与DLP 阻止内部攻击的方式类似，它可以通过跟踪网络内的敏感信息来检测和防止这种意外的数据泄露。

此外，一些DLP解决方案中，会利用DLP与数据指纹识别、关键词匹配、模式匹配、文件匹配、确切的数据匹配等策略结合，从而达到检测敏感数据的目的。

疫情的常态化，刺激了更多行业和企业加速其数据数字化进程。而数字化转型导致网络攻击和破坏的数量增加，DLP相关软件与解决方案已成为绝大多数企业的刚需安全产品。但是，DLP也面临着高实施成本和性能问题。

一方面，因为传统的DLP主要基于硬件的解决方案，相对昂贵，可能需要来自供应商的专业服务支持，对于较大的企业来说，这可能会是一笔数千美元的支出。而且，DLP方案可能需要第三方或供应商本身提供额外的工具或应用集成，这些工具有时作为单独的模块或设备出售，从而进一步增加了总成本。

另一方面，如果使用不当可能会妨碍安全生产。这意味着，DLP方案的部署安装可能会给用户或网络带来沉重的负担，并且会减慢速度、导致异常的应用程序行为，甚至可能导致系统崩溃。此外，由于需要保留重要数据“人质”，DLP会破坏组织内部信息的自由流动，从而造成可能影响生产力和效率的障碍和额外环节。

本文综合整理自知乎、百度、GoUpSec、Cloudflare等。