我跟我的同事從2005年就開始逐步意識到信息戰(zhàn)的最后陣地實際上是信息，也就是說我們不管網(wǎng)絡邊界在什么地方，我們也不用去管黑客是怎么進來的，最后我需要守住的是信息或者數(shù)據(jù)這個陣地，只要這個陣地沒丟，還不算一敗涂地。

我們在做的主要工作是讓黑客沒有辦法帶著敏感數(shù)據(jù)逃離網(wǎng)絡。從2005年開始，我們主要做數(shù)據(jù)加密。有幾年我們覺得做完加密后問題就不大，但隨著現(xiàn)在APT攻擊越來越多，數(shù)據(jù)加密只能在很大程度上增加攻擊成本，但是很難百分之百的防住APT攻擊。我們甚至遇到過這樣一種情況，就是有了加密，反而放松了警惕，帶來了另外的一些安全問題。

所以后來我們又做了DLP方面的工作。簡單來說，DLP有幾個關(guān)鍵詞，一個是策略，就是定義好什么是敏感信息;然后是發(fā)現(xiàn)，在終端、網(wǎng)絡上自己主動的發(fā)現(xiàn)和挖掘敏感信息存在于哪些地方;然后是監(jiān)控，進一步監(jiān)控這些PC、移動終端和網(wǎng)絡上的所有敏感信息的流動，通過對敏感信息、敏感操作的監(jiān)控，來發(fā)現(xiàn)可疑行為，進行報警或者阻斷，或者是采用加密的手段對敏感信息進行加密，或者是通過其他的一些企業(yè)內(nèi)控的方法來解決這個問題;最后是優(yōu)化，優(yōu)化管理規(guī)范。

網(wǎng)絡DLP實際上首先是遠程報文獲取，并且把所有文件的所有協(xié)議解析出來。這個時候我們尤其關(guān)注用戶往外發(fā)的郵件，在文本解析引擎里面進行判斷、識別，看有沒有敏感信息，再根據(jù)策略來判斷是不是屬于敏感事件。企業(yè)的信息安全建設方面，現(xiàn)在應該是設備比較多，但是終端上的軟件相對少一點，而防御APT需要在終端上多花心思，所以我們在終端上關(guān)注了很多目標，包括：和內(nèi)容相關(guān)的文件名、文件內(nèi)容、文件的特征甚至是一些數(shù)據(jù)塊的內(nèi)容，拷貝粘貼的內(nèi)容、QQ截圖、圖片的內(nèi)容等等，這些都是關(guān)注的目標，都是和行為相關(guān)的敏感行為。

對敏感操作的監(jiān)控也包括冷數(shù)據(jù)的激活。什么是冷數(shù)據(jù)呢?每個人的電腦上都會有過去的一些重要文檔，而我們現(xiàn)在可能不會打開這些文檔幾次。但是，在某些特殊的情況下，這些文檔被密集的訪問了，這就很有可能說明有APT攻擊發(fā)生了，因為攻擊者做的第一件事就是檢索一下受害者的電腦上有什么敏感信息，這時候他必然會密集的訪問以前的數(shù)據(jù)。還有對應用的深度分析，比如對非關(guān)聯(lián)程序訪問文件，會做一些控制，舉個例子，DOC文檔通常是由Word和WPS來打開，如果有其他的進程來訪問DOC文檔，就可能存在風險。

我們不僅關(guān)注敏感操作，還關(guān)注常規(guī)行為。比如大多數(shù)人都用某一個進程，這個進程執(zhí)行的某個操作是一樣的，但是有少數(shù)幾個人的操作有異常，連接到一個異常的服務器上，這種非常規(guī)行為分析對挖掘APT攻擊也有一定的作用。