Data Loss Prevention Kit簡介

Data Loss Prevention Kit（數(shù)據(jù)防泄漏服務，簡稱為DLP），是系統(tǒng)提供的系統(tǒng)級的數(shù)據(jù)防泄漏解決方案，提供文件權限管理、加密存儲、授權訪問等能力，數(shù)據(jù)所有者可以基于帳號認證對機密文件進行權限配置，允許擁有只讀、編輯、擁有者權限，隨后機密文件會通過密文存儲，在支持DLP機制的設備上可以通過端云協(xié)調進行認證授權，獲取對數(shù)據(jù)的訪問和修改的能力。

DLP是系統(tǒng)級別的，應用開發(fā)者只需要做少量的適配甚至無需適配，即可獲得完整的數(shù)據(jù)防泄漏保護。

DLP整體解決方案有3個主要部件構成。

DLP權限管理部件：
權限管理底層服務，負責沙箱應用創(chuàng)建、憑據(jù)管理交互。
DLP管理應用部件：
負責實現(xiàn)權限在本地的設置、檢驗和攔截功能；是最終實現(xiàn)用戶可感知的受控分享功能的關鍵載體。
云端對接模塊：（該模塊當前需要開發(fā)者自行搭建）
開發(fā)前請熟悉鴻蒙開發(fā)指導文檔 ：[gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]
負責將DLP文件的證書，發(fā)往云端完成基于帳號的鑒權，證書生成及解密功能。

運作流程

DLP文件生成

文件所有者通過DLP權限管理應用給需保護的文件配置權限，添加允許訪問的帳號信息和相應的訪問權限。
DLP權限管理應用發(fā)送用戶配置給DLP權限管理服務封裝成策略信息。
DLP權限管理服務將策略信息發(fā)送給云端對接模塊。云端對接模塊上傳策略信息作端云協(xié)同的認證、策略檢查、生成簽發(fā)憑據(jù)等工作。
將簽發(fā)的憑據(jù)通過DLP權限管理服務返回給DLP權限管理應用。
DLP權限管理應用對原文件進行加密，并將憑據(jù)和密文打包生成DLP文件。
HarmonyOS與OpenHarmony鴻蒙文檔籽料：mau123789是v直接拿

搜狗高速瀏覽器截圖20240326151450.png

DLP文件發(fā)送

DLP文件可通過任何途徑分析給目標用戶，密文保證了其機密性不被破壞。

DLP文件打開

文件授權者在遠端設備打開DLP文件（例如使用文件管理器打開）。
DLP權限管理應用解析DLP文件，獲取加密憑據(jù)后，發(fā)送給DLP權限管理服務。
DLP權限管理服務將加密憑據(jù)發(fā)送給云端對接模塊。云端對接模塊上傳憑據(jù)到云端，作身份認證、憑據(jù)驗證、策略解析。獲取到授權策略和加密密鑰等信息。
權限策略和加密密鑰等信息通過DLP權限管理服務返回給DLP權限管理應用。
DLP權限管理應用調用DLP權限管理服務安裝應用的DLP沙箱分身，并基于授權測試限制沙箱的權限，包含但不限于網(wǎng)絡、打印、剪切板等，防止數(shù)據(jù)被泄漏。
DLP權限管理應用提供一種明文和密文映射機制（link），該方案基于開源的fuse文件系統(tǒng)（Filesystem in Userspace）實現(xiàn)，通過創(chuàng)建虛擬的link文件，分享給應用，從而在不需要適配的情況下，應用即可通過查看編輯明文文件，來達到實時操作DLP文件的效果。
DLP權限管理應用準備就緒后，拉起沙箱中的應用，并傳遞link文件文件描述符。沙箱應用啟動，應用進程讀取被分享的link文件，完成文件內(nèi)容展示。

審核編輯黃宇

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用，如有內(nèi)容侵權或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴