資料安全出境系列——資料追溯能力

資料安全出境系列終於迎來了最後一期，今天我們講 第五個能力——資料追溯能力。當資料洩露事件發生後，監管部門要求提供該敏感檔案在內部的流轉情況，對檔案進行追溯查詢。這就需要依靠 天空衛士的統一資料安全管理平臺（UCSS）來完成。UCSS統一管理所有裝置，所有的資料操作均能進行記錄、審計並進行視覺化分析，實現資料風險事件可追溯，做到資料風險的 事前預防 、事中阻止和事後追溯。資料溯源的方式可以分為五類：分別是 檔案溯源、事件溯源、標記溯源、水印溯源、郵件溯源。

檔案溯源

檔案溯源有兩種方式，即基於檔案自身資訊溯源和基於標籤溯源。 透過檔案溯源能力，我們可以清楚的看到，誰在什麼時間透過什麼樣的方式，傳輸過該檔案。這樣有助於縮小排查範圍，迅速鎖定洩露源頭。

檔案自身資訊溯源

檔案自身資訊溯源包括：MD5溯源、檔案ID溯源。

• 檔案ID溯源

把檔名或者檔案的ID號輸入到統一管理平臺(UCSS)，UCSS可自動查詢後臺的檔案使用記錄，展示檔案在組織內部的流轉過程。

• M D5溯源

檔案MD5溯源基於資料防洩露（DLP）事件中的標籤檔案的MD5，對檢索到的DLP事件進行檔案流轉溯源的展示。透過這種方式我們可以知道誰修改過這個檔案，誰曾經傳輸或者下載過這個檔案。

標籤溯源

我們可以對重要的檔案分類分級後打標，這個標籤就是檔案的 “ID”。透過標籤溯源，檔案相關的資訊都會呈現出來。比如： 這個文件最早出現在哪裡，都在哪裡儲存過，從哪裡流轉出去，事件都可以被查到。

事件溯源

違規事件都會透過日誌的方式記錄下來。我們可以按照事件ID、事件時間、來源、登入名、檔名稱等，對威脅事件進行追溯。

標記溯源

將郵件的發件人、收件人、主題等資訊 “打包”生成一個標記， 利用標記回溯可以清楚地看到郵件在什麼時間、被誰傳送給了誰。

水印溯源

終端應用程式水印結合應用程式的程式名稱或指紋。當使用的應用程式開啟的檔案包含敏感資訊時，在應用程式的視窗會展示出明文或二維碼水印資訊。

郵件溯源

主要用來對透過郵件洩露敏感內容的事件進行反查，以發現歸檔的郵件正文、附件、多層巢狀檔案、 圖片等是否有人傳送過違反公司規定的敏感內容。例如： 公司需要對某離職人員離職前三個月的郵件進行內容掃描查詢，核實該員工是否曾傳送過包含公司敏感資訊的郵件。

資料安全出境系列，截止到今天完美收官。後續我們也會有更多精彩的內容持續分享給大家。