DLP

在网络安全领域，DLP 的全称是 Data Loss Prevention，即“数据防泄漏”或“数据丢失防护”。它的核心目标不是查杀病毒，而是识别敏感数据在哪里、被谁使用、是否正通过不合规的方式流出。

• 数据发现与识别：识别文档、邮件、数据库、终端文件中的敏感内容，例如身份证号、银行卡号、源代码、客户名单、合同、财务数据。
• 数据分类与分级：按照规则、关键字、正则、指纹、标签等方式判断数据敏感级别，区分公开、内部、机密、核心机密。
• 数据传输监控：监控数据是否通过邮件、网页上传、即时通讯、U 盘、打印、网盘、SaaS 应用等渠道外发。
• 策略处置：发现风险后，可以告警、阻断、要求加密、要求审批、自动脱敏、隔离文件，或仅记录审计。
• 审计与合规：帮助企业满足数据安全法、个人信息保护、金融监管、医疗隐私等合规要求，也方便事后调查是谁在什么时间把什么数据发往哪里。

DLP 常见监控位置

• 终端 DLP：管控本地复制、粘贴、打印、截屏、U 盘拷贝、本地应用外发。
• 邮件 DLP：检查邮件正文、附件、收件人域名，避免误发或恶意外发。
• 网络 / Web DLP：检查通过浏览器、代理、网关、API 发出的数据。
• 云与 SaaS DLP：监控 OneDrive、SharePoint、Google Drive、Box、Slack、Teams、Salesforce 等云应用中的敏感数据流动。
• 静态数据 DLP：扫描文件服务器、对象存储、数据库、知识库中的存量敏感数据。

DLP 常见识别方式

• 关键字 / 正则匹配：适合识别手机号、身份证号、银行卡号、邮箱、固定模板文本。
• 文件指纹 / 精确匹配：适合识别特定合同、源码片段、数据库字段、客户名单。
• 标签与分类联动：和文档密级标签、办公套件分类能力联动，按“机密”“仅内部可见”等级执行控制。
• 上下文与行为分析：结合用户、部门、设备、时间、目的地、操作行为判断风险，例如深夜大量上传研发资料。

典型场景

• 防止员工把客户数据通过邮箱、网盘、聊天软件发到外部。
• 防止研发代码、设计图纸、投标文件被复制到 U 盘或个人云盘。
• 防止包含身份证号、手机号、银行卡号的表格被误传给外部人员。
• 在企业使用 AI 工具时，阻止机密数据被粘贴到外部大模型或第三方 SaaS。

主流产品举例

Microsoft Purview DLP

微软这套产品的优势在于和 Microsoft 365 生态结合非常深，适合已经大量使用 Exchange、Teams、SharePoint、OneDrive、Windows 的企业。

• 主要功能：统一策略管理，覆盖邮件、文档协作、聊天、终端、云应用；支持敏感信息类型识别、标签分类、自动处置、告警与审计。
• 特点：和合规、数据分类、信息保护体系结合紧，做“发现-分类-限制-审计”一体化比较自然。
• 适合场景：微软生态占比高、希望兼顾合规与日常办公数据治理的组织。

Symantec DLP（Broadcom）

Symantec DLP 是企业级 DLP 里的老牌代表，很多大型企业和高合规行业都长期使用它。

• 主要功能：覆盖终端、邮件、Web、网络、存储等多个通道，支持内容检测、指纹识别、策略阻断、事件调查、取证分析。
• 特点：策略引擎成熟，内容识别能力强，适合复杂的大型组织环境；在传统企业、数据中心和多种外发通道管控上经验丰富。
• 适合场景：组织规模大、数据类型复杂、需要长期沉淀精细化 DLP 策略的企业。

Forcepoint DLP

Forcepoint DLP 的特点是跨通道能力强，并且比较强调用户行为、风险上下文和自适应控制。

• 主要功能：统一策略覆盖终端、邮件、Web、云应用和 SaaS；支持事件优先级、取证分析、用户风险关联、云场景防泄漏。
• 特点：比较强调 Insider Risk（内部人员泄密）和 Risk-Adaptive Protection（风险自适应保护），在“谁在什么场景下做了什么”这类分析上更突出。
• 适合场景：既要传统 DLP，又希望兼顾云化办公、内部风险识别和灵活策略联动的组织。

简单选型思路

• 如果企业以 Microsoft 365 为核心，通常会优先考虑 Microsoft Purview DLP。
• 如果是大型传统企业，追求成熟度、识别精度和复杂策略能力，通常会看 Symantec DLP。
• 如果希望兼顾多通道、云场景和人员风险分析，Forcepoint DLP 会更有代表性。

可以把 DLP 理解为“盯住敏感数据本身”的安全产品。防火墙关注网络边界，EDR 关注终端行为，而 DLP 关注的是：重要数据有没有被看见、被拷走、被发出去，以及能不能及时拦住。