数据安全出境系列终于迎来了最后一期,今天我们讲第五个能力——数据追溯能力。当数据泄露事件发生后,监管部门要求提供该敏感文件在内部的流转情况,对文件进行追溯查询。这就需要依靠天空卫士的统一数据安全管理平台(UCSS)来完成。UCSS统一管理所有设备,所有的数据操作均能进行记录、审计并进行可视化分析,实现数据风险事件可追溯,做到数据风险的事前预防、事中阻止和事后追溯。数据溯源的方式可以分为五类:分别是文件溯源、事件溯源、标记溯源、水印溯源、邮件溯源。
文件溯源
文件溯源有两种方式,即基于文件自身信息溯源和基于标签溯源。通过文件溯源能力,我们可以清楚的看到,谁在什么时间通过什么样的方式,传输过该文件。这样有助于缩小排查范围,迅速锁定泄露源头。
文件自身信息溯源
文件自身信息溯源包括:MD5溯源、文件ID溯源。
- 文件ID溯源
把文件名或者文件的ID号输入到统一管理平台(UCSS),UCSS可自动查询后台的文件使用记录,展示文件在组织内部的流转过程。
- MD5溯源
文件MD5溯源基于数据防泄露(DLP)事件中的标签文件的MD5,对检索到的DLP事件进行文件流转溯源的展示。通过这种方式我们可以知道谁修改过这个文件,谁曾经传输或者下载过这个文件。
标签溯源
我们可以对重要的文件分类分级后打标,这个标签就是文件的“ID”。通过标签溯源,文件相关的信息都会呈现出来。比如:这个文档最早出现在哪里,都在哪里存储过,从哪里流转出去,事件都可以被查到。
- 事件溯源
违规事件都会通过日志的方式记录下来。我们可以按照事件ID、事件时间、来源、登录名、文件名称等,对威胁事件进行追溯。
- 标记溯源
将邮件的发件人、收件人、主题等信息“打包”生成一个标记,利用标记回溯可以清楚地看到邮件在什么时间、被谁发送给了谁。
- 水印溯源
终端应用程序水印结合应用程序的进程名称或指纹。当使用的应用程序打开的文件包含敏感信息时,在应用程序的窗口会展示出明文或二维码水印信息。
- 邮件溯源
主要用来对通过邮件泄露敏感内容的事件进行反查,以发现归档的邮件正文、附件、多层嵌套文件、 图片等是否有人发送过违反公司规定的敏感内容。例如:公司需要对某离职人员离职前三个月的邮件进行内容扫描查询,核实该员工是否曾发送过包含公司敏感信息的邮件。
数据安全出境系列,截止到今天完美收官。后续我们也会有更多精彩的内容持续分享给大家。
标签:文件,出境,数据安全,追溯,事件,ID,邮件,溯源 From: https://blog.51cto.com/u_15488330/5881193