敏感数据保护的困境与展望｜科技创新型企业专刊·安全村

保护敏感数据，防止不当泄漏和滥用是数据安全方面最直接的需求，多年来市场上已经有很多相关技术和解决方案，但在实际生产环境中的效果往往难以让人满意。

最直接的敏感数据保护产品方案是DLP（Data Loss Prevention，数据防泄密），其基本思路是通过敏感数据的特征识别敏感数据的使用和传播，然后根据相应策略规则进行阻断、留滞或放行。DLP方案大多使用终端软件监控和管理敏感数据在用户终端上的使用，并辅以定期数据扫描以便及时发现和了解敏感数据的存储和分布情况；同时，还会通过网关通过截获网络通信数据，分析、发现和管理通过网络流通的敏感数据。DLP方案遵循一般安全产品“检测-发现-响应”的运行逻辑，是敏感数据保护的主流方案，适用于常规日常办公等场景。然而，尽管各类DLP方案都已经发展多年，但仍然普遍存在安全性及使用问题。

首先，敏感数据的特征难以提取，导致DLP方案的适应性难以保证，实际的数据防泄漏效果不佳。除了最基本的人工配置（如使用关键字和正则表达式等）和标准特征库（如身份证和信用卡号码等），对敏感数据的特征进行自动提取是DLP方案的最核心能力。但是，由于不同企业和组织对敏感数据的归类和界定方式通常都有显著差异，敏感数据的特征难以明确定义和规范，特别是被截取片段或部分修改的敏感数据，准确识别并及时响应的技术难度非常高。包括拥有核心专利、积累多年且技术持续进化的国外知名DLP方案在内，识别敏感数据所能达到的准确性和可靠性都还比较有限。与此同时，严格的阻断或留滞策略规则往往导致频繁的误报，明显影响用户的办公效率和体验，因而为了保障业务效率和体验，只能忍受大量的漏报。

其次是依赖终端软件。使用终端软件总会被安装和管理问题困扰。不同组织的用户构成及对用户终端设备的管理程度差别很大，其IT管理人员能够获得的辅助工具及其本身的技术能力也有显著差异，为所有用户终端都安装DLP方案客户端并及时升级和维护意味着巨大的工作量和长期持续投入。同样，终端软件还存在兼容性问题。不同用户终端设备的基础环境（如操作系统类型和版本）非常多样，用户终端设备上已有的软件也各不相同，而且基础环境和现有软件，以及DLP方案客户端软件自身，都需要经常进行升级和更新，因此DLP客户端软件与用户终端设备的基础环境和用户现有软件实现良好兼容是巨大的挑战，而且需要DLP提供商维持庞大的兼容性矩阵并持续更新，以及需要客户的相关管理员及时响应和维护。此外， DLP客户端需要在终端设备上需要进行频繁扫描和匹配，占用用户终端设备的大量CPU和内存等资源，导致终端设备资源不足，既会影响用户的工作效率和使用体验，也将加速用户终端设备的淘汰速度，进一步推高业务成本。

基于加密技术构建的文件管控也是保护敏感数据的常见措施，国内市场中相关产品方案时常也会被称为DLP。加密类方案主要针对以文件为基本单元的数据保护，其基本思路是首先对需要保护的文件进行加密，然后将加密文件根据业务需要进行分发和传递；用户在需要使用加密文件时申请解密密钥，敏感数据保护系统根据相关的保护策略规则决定是否为相应用户操作提供密钥。加密类敏感数据保护方案以终端软件部署为主，除了需要维护独立的加密密钥管理和分发系统，加解密过程还需要嵌入终端设备操作系统的文件访问过程。加密类敏感数据保护方案管控全面，安全性高，适用于高度敏感的核心机密开发等强管控场景。

与DLP方案类似，加密类敏感数据保护方案也普遍存在各种终端软件相关安装和管理问题，而且由于加密类敏感数据保护方案的客户端软件需要侵入客户终端设备操作系统核心处理，兼容性和终端资源占用问题还更为严重，对用户效率和体验的影响也更为显著。此外，加密类敏感数据保护方案只能通过控制解密密钥保护处于加密状态的敏感数据段，不能直接识别和管控敏感数据，因此在被用户实际使用时敏感数据将处于被解密后的明文状态，需要依赖另外的技术和控制手段防止对敏感数据进行部分拷贝和转移。

另一种常见的敏感数据保护逻辑是隔离。基本思路是划定或构建敏感数据的传播和使用边界，保证业务在边界内完成的同时，严格防止敏感数据逃逸。隔离类敏感数据保护方案主要有两种方式：远程虚拟方案，构建完全独立于用户终端设备的远程虚拟化工作环境，通过数据流技术实现用户交互；终端软件方案，通过终端软件在用户的终端设备上利用操作系统的相应虚拟化机制实现，在用户的终端设备上构建可以接收和使用敏感数据的飞地。隔离类敏感数据保护方案的业务边界清晰，管理相对简单，特别是无需直接管控数据流动，在实际业务场景下可操作性强，对用户日常工作的体验和习惯影响较小。在隔离类敏感数据保护方案中，以Citrix等厂商的VDI产品为代表的远程虚拟方案获得了广泛的应用，而从MDM（移动设备管理）技术发展而来的终端软件方案近来也重新在国内市场引起一定关注。

目前的隔离类敏感数据保护方案都还是依赖终端软件实现，因此前述各种终端软件相关安装和管理问题仍然普遍存在，特别是对终端软件资源的大量占用和对操作系统虚拟化机制的依赖导致终端软件方案在规模化应用时可用性和可管理性严重不足。同时，隔离类敏感数据保护方案构建的都是持久性的共用隔离工作区，即隔离工作区持续存在，且隔离工作区内有多个不同业务应用，广泛存在的问题包括：敏感数据会在隔离工作区内多个应用之间扩散，无法进行细粒度管控，导致最终发生数据泄露；持续存在的隔离工作区被渗透，成为病毒传播和黑客攻击的跳板。此外，基于VDI的远程虚拟方案需要集中部署，一次性投入高，资源利用率低，且难以扩展，灵活性严重不足。

由于数据具有可无限复制的特性，技术上可以使用特定标识来记录数据来源和流动，再加上数据加密技术，理论上可以做到对敏感数据进行全生命周期管理。但是，除了有绝密级要求的特定专有环境，敏感数据的处理和使用都在通用软硬件平台进行，并不具备数据标识校验及加解密功能，因此产生了被动识别和响应的DLP类敏感数据保护方案对敏感数据的分布和流动进行追踪、主动侵入式的加密类敏感数据保护方案对敏感数据的使用进行管控。然而，在绝大多数业务场景中，对敏感数据的保护并不需要全生命期管理，能够防止泄漏和滥用、满足常规管控即可。同时，为了进行完善的全生命期管理所需要投入的实施和运营成本、对业务的影响和对人员技能的要求都不可承受。因此，在普遍的业务实践中，隔离类敏感数据保护方案凭借直观、明确、易维护和成本可控等优势获得了广泛的应用，特别是考虑到对用户终端设备的管控和维护难度，“数据不落地”已经成为很多场景下敏感数据保护的最佳实践。

另一方面，敏感数据保护方案迫切需要摆脱对终端软件的依赖。终端沙箱（即通过客户端软件在用户终端设备上构建隔离工作区以满足办公应用和数据保护等需求）曾经是2013年前后的热门MDM技术路线，以其保护敏感数据的美好前景获得了广泛的关注。大量初创企业和当时的市场领导者都发布了相关解决方案，但最终未能发展出成熟技术方案和获得主流市场认可，如今只在局部市场和特定场景下还存在有限应用。除了在大量用户终端设备上的安装终端沙箱客户端软件并保持更新的IT管理成本太高、占用大量用户终端设备大量资源外，最主要的原因在于各种兼容性问题：现代操作系统都提供了一定的隔离或虚拟化机制，业务应用软件一般也都会尽量利用这些特性以保障自身安全，而终端沙箱客户端软件要超出一般配置管理工具、具备竞争力，就需要介入业务应用软件和操作系统的系统调用以提供进一步的隔离及相关安全功能，从而不可避免地引入各种兼容性问题；与此同时，介入业务应用软件与操作系统的基础调用，在操作系统的现有机制外进行另外的隔离或虚拟化，也是恶意软件经常采用的攻击技术，因此相关操作往往会被新版本的操作系统封堵或被新版本的业务应用软件禁止，导致终端沙盒的客户端软件不但需要的适配各种不同的操作系统类型和版本，支持各种业务应用及对应版本，其基本功能还可能在操作系统、业务应用软件甚至终端沙盒自身客户端软件升级后变得不可用，导致业务无法进行或敏感数据泄漏。此外，终端沙盒的客户端软件本身只是在操作系统上运行的普通软件，其创建隔离区、管理其他应用软件等高级权限都依赖设备管理员授予，且可能与设备上现有具备高级权限的工具软件冲突，以至于其隔离功能可能被用户或其他软件破坏。甚至，从根本上可以说，在当前各主要操作系统本身没有提供彻底的隔离机制的前提下，包括终端沙箱在内的各种基于客户端软件的隔离方案都缺乏完整的可靠性，只能提供有限的保障，有能力的攻击者或恶意用户完全可以直接通过操作系统底层破坏通过客户端软件构建的隔离区。

此外，业务的发展正使得在用户终端设备上安装终端软件不再是一个选项。企业以及各种组织都在变得更加开放，除了内部雇员之外有越来越多的合作伙伴、外包、驻场等各种不能全面管控的外部人员；对远程办公和移动办公的支持也成为基本需求，多样化的用户自有设备被越来越多地用于办公。而且，敏感数据的来源也越来越多，可能分布在各种内部业务系统和外部云服务，可能的访问方式和途径众多且无法全面管控。

因此我们展望未来的敏感数据保护方案，同时也可以作为当前选择敏感数据保护方案的指导，应该具有的特性包括：