数据安全出境系列——数据追溯能力

数据安全出境系列终于迎来了最后一期，今天我们讲第五个能力——数据追溯能力。当数据泄露事件发生后，监管部门要求提供该敏感文件在内部的流转情况，对文件进行追溯查询。这就需要依靠天空卫士的统一数据安全管理平台（UCSS）来完成。UCSS统一管理所有设备，所有的数据操作均能进行记录、审计并进行可视化分析，实现数据风险事件可追溯，做到数据风险的事前预防、事中阻止和事后追溯。数据溯源的方式可以分为五类：分别是文件溯源、事件溯源、标记溯源、水印溯源、邮件溯源。

文件溯源

文件溯源有两种方式，即基于文件自身信息溯源和基于标签溯源。通过文件溯源能力，我们可以清楚的看到，谁在什么时间通过什么样的方式，传输过该文件。这样有助于缩小排查范围，迅速锁定泄露源头。

文件自身信息溯源

文件自身信息溯源包括：MD5溯源、文件ID溯源。

文件ID溯源

把文件名或者文件的ID号输入到统一管理平台(UCSS)，UCSS可自动查询后台的文件使用记录，展示文件在组织内部的流转过程。

MD5溯源

文件MD5溯源基于数据防泄露（DLP）事件中的标签文件的MD5，对检索到的DLP事件进行文件流转溯源的展示。通过这种方式我们可以知道谁修改过这个文件，谁曾经传输或者下载过这个文件。

标签溯源

我们可以对重要的文件分类分级后打标，这个标签就是文件的“ID”。通过标签溯源，文件相关的信息都会呈现出来。比如：这个文档最早出现在哪里，都在哪里存储过，从哪里流转出去，事件都可以被查到。

事件溯源
违规事件都会通过日志的方式记录下来。我们可以按照事件ID、事件时间、来源、登录名、文件名称等，对威胁事件进行追溯。

标记溯源
将邮件的发件人、收件人、主题等信息“打包”生成一个标记，利用标记回溯可以清楚地看到邮件在什么时间、被谁发送给了谁。

水印溯源
终端应用程序水印结合应用程序的进程名称或指纹。当使用的应用程序打开的文件包含敏感信息时，在应用程序的窗口会展示出明文或二维码水印信息（如下图所示）。

邮件溯源
主要用来对通过邮件泄露敏感内容的事件进行反查，以发现归档的邮件正文、附件、多层嵌套文件、 图片等是否有人发送过违反公司规定的敏感内容。例如：公司需要对某离职人员离职前三个月的邮件进行内容扫描查询，核实该员工是否曾发送过包含公司敏感信息的邮件。

数据安全出境系列，截止到今天完美收官。后续我们也会有更多精彩的内容持续分享给大家。