如有撞文纯属巧合，一个安服牛马滴碎碎念

作为一个练习时长两年半的安全牛马工程师，我本以为进了甲方之后，就不需要像在厂商一样被各种项目榨干身心。我以为的甲方：轻松，写意，经常摸鱼事情都交给供应商做，我直接坐享其成，只起到监督作用就行了。

实际上的甲方：超级大牛马、方案工程师、各种安全制度都要弄，做不完的安全体系，业务有需求就要搞有需求就要搞，逃不过晚上加班的命运，临到下班业务就会找上门来，真超级无敌卑微打工人

我入职的时候刚好颁布了数据安全相关的法规，怎么说呢其实据安全的法规出来之前，很多公司也都是做做样子，监管来查的时候，ps:哎?你们这个有吗，公司：哦？我们这个是有的上了什么什么产品，但是呢这个产品根本就没有用起来，就像是个摆设

有些海外的产品某铁克，某oriceponit，连个截图都没有只有条记录，定期的DLP会议上报就是没有风险纯纯瞎扯，我也是再做产品的替换还有一些策略的优化的时候踩了好多坑，不管是之前遇到过的还是没遇到过的都踩过，人都麻了。

首先第一步肯定是做需求调研啦，包括目前业务有没有需求啊，用户终端的配置环境啦，和软件的兼容性啦巴拉巴拉这个以后再聊，这篇吐槽主要是针对我客户端都推完了该怎么去做运营，怎么去抓人TNND不至于让我在DLP会议上说没有风险。

通常的话，想要抓人肯定要有抓手的吗，有些公司可能也是刚上这个产品也不知道怎么去运营，有些部门的同事可能也说不清自己有哪些敏感数据是不能外传，那么骚的就来了，DLP运营策略1.0版本，先制定一个兜底的全审计策略，这个策略是干吗的，他妈的就是现在我不管用户做什么操作，我通通都留下一条记录进行留痕。

但是可以先试运行一段时间吗，两三周还是可以接受滴，两三周后你就会发现平台上一大堆日志，各种文件，各种操作反正我是分不清啥是啥，接下来该怎么操作嘞那就是对日志进行筛选归类，将外发的文件类型，附件进行聚类分析，将聚类好的内容同步给各部门相关的同事，让他们从里面挑关键字，你挑总能挑出来吧，这样的话我们就实现了从1.0到1.5的跨越大大滴进步。

根据各个部门反馈过来的一些关键词，制定专属策略，那后面可能又有问题了，如果我是领导，我肯定希望所有文件都发不出去通通拦截掉全部都干掉。但是这样做呢又会出现一些问题，有些文件确实是需要外发的，全部都一刀切了也不合适，这个时间段不会很长，最多一周用户就会受不了，要对策略进行升级最后我们就从1.5过渡版本到成熟的2.0版本。

接下来就有的掰扯了，跟业务部门进行友好协商对之前制定的策略进行第二次的优化，有哪些数据是可以外发的，哪些数据是一定要拦在发送之前的，就算有些数据需要外发是不是需要和领导沟通确定一下，我之前也是调研了目前国内的几个产品有些能够和OA打通，有些可以和邮件打通、办公软件等等，其实不管和什么东西做对接，主要目的就是要拉通整个审批策略，我给你留了条口子，如果你真的要发的话，可以让领导进行审批，决策权在领导，而且事件也有留痕大家也是你好我好大家好。

经过了两次的策略优化后，其实这一套DLP模型就比较清晰了，就是一个金字塔形状，命中策略直接拦截，发送过程中审批通过，然后没命中前两个策略的有一个兜底审计策略，后续就是持续迭代计划，随着我们持续的迭代，兜底策略的日志就会越来越少，事件命中率也会越来越高越来越准确。

最后再补一个通用一句话流程吧：

从检测到违规行为、管理员告警通知与评估、业务部门处置，直至人事部门对员工进行教育的全过程，构成了一个完整的事件管理流程。撒花结束！！！

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）