什么是数据丢失防护 (DLP)？

数据外泄可以通过多种不同方式发生：

• 机密数据可以通过电子邮件或即时消息离开网络
• 用户可以在没有授权的情况下将数据复制到外部硬盘驱动器上
• 一名员工可能将数据上传到公司控制之外的公共云
• 外部攻击者可以获得未经授权的访问并窃取数据

为防止数据外泄，DLP 会跟踪数据在网络内、员工设备上以及何时存储在公司基础设施上的移动。然后它可以发送警报、更改对数据的权限，或者在某些情况下，当数据有离开公司网络的危险时阻止数据。

数据丢失防护有助于阻止哪些类型的威胁？

内部威胁：任何有权访问公司系统的人都被视为内部人员。这可能包括雇员、前雇员、承包商和供应商。有权访问敏感数据的内部人员可能泄露、破坏或窃取该数据。DLP 可以通过跟踪网络内的敏感信息来帮助阻止对敏感数据的未经授权转发、复制或破坏。

外部攻击：数据外泄往往是网络钓鱼或恶意软件攻击的最终目标。外部攻击也可能导致永久性的数据丢失或破坏，如在勒索软件攻击中，内部数据被加密，无法访问。DLP 可以帮助防止恶意攻击者成功获取或加密内部数据。

意外的数据暴露：内部人员经常在不经意间暴露数据——例如，员工可能会在不知情的情况下将包含敏感信息的电子邮件转发给外部人员。与 DLP 阻止内部攻击的方式类似，它可以通过跟踪网络内的敏感信息来检测和防止这种意外的数据泄露。

DLP 如何检测敏感数据？

DLP 解决方案可以使用一些技术来检测敏感数据，其中包括：

• 数据指纹识别：此过程会创建一个唯一的数字“指纹”，它可以标识特定的文件，就像可以通过指纹来识别一个人一样。文件的任何副本都具有相同的指纹。DLP 软件将扫描所传出数据的指纹，以查看是否有任何指纹与机密文件的指纹匹配。
• 关键字匹配：DLP 软件在用户消息中查找某些词语或短语，并阻止包含这些词语和短语的消息。如果公司希望在财报电话会议之前对其季度财务报告保密，可以配置 DLP 系统，以阻止包含短语“季度财务报告”或已知会出现在报告中的特定短语的外发电子邮件。
• 模式匹配：该技术根据文本是否符合某类受保护数据的可能性对文本进行分类。假设从公司数据库发出的 HTTP 响应包含一个 16 位数字。DLP 系统将此文本字符串分类为极有可能是信用卡号，这是受保护的个人信息。
• 文件匹配：在网络内移动或离开网络的文件的哈希与受保护文件的哈希进行比较。（哈希是一串唯一的字符，可以识别一个文件；哈希通过哈希算法创建，当给定相同的输入时，每次都有相同的输出。）
• 确切的数据匹配：这会根据包含应保持在组织控制范围内的特定信息的确切数据集检查数据。

基于角色的访问控制 (RBAC) 如何帮助防止数据丢失？

基于角色的访问控制 (RBAC) 基于用户在组织中的角色，授予他们执行操作的权限。例如，在一个使用 RBAC 的组织中，会计应当能够访问公司的税务数据，而工程师则不能够。

一些 RBAC 解决方案可以允许访问数据，同时限制对该数据的操作。例如，Cloudflare One 可以通过限制文件下载来阻止用户在本地保存数据。这可以防止未经组织许可移动或复制数据。

Cloudflare One 如何防范数据丢失？

Cloudflare One 是一个网络即服务解决方案，提供许多数据丢失防护功能。通过记录 DNS 和 HTTP 请求、扫描传出数据并通过 RBAC 控制所有应用程序的用户权限，企业可以使用 Cloudflare One 阻止数据离开受控环境。Cloudflare One 还提供额外的功能来防止数据丢失：了解有关 Cloudflare DLP 解决方案的更多信息。