Data Loss Prevention Kit簡介

Data Loss Prevention Kit（數(shù)據(jù)防泄漏服務(wù)，簡稱為DLP），是系統(tǒng)提供的系統(tǒng)級的數(shù)據(jù)防泄漏解決方案，提供文件權(quán)限管理、加密存儲、授權(quán)訪問等能力，數(shù)據(jù)所有者可以基于帳號認證對機密文件進行權(quán)限配置，允許擁有只讀、編輯、擁有者權(quán)限，隨后機密文件會通過密文存儲，在支持DLP機制的設(shè)備上可以通過端云協(xié)調(diào)進行認證授權(quán)，獲取對數(shù)據(jù)的訪問和修改的能力。

DLP是系統(tǒng)級別的，應(yīng)用開發(fā)者只需要做少量的適配甚至無需適配，即可獲得完整的數(shù)據(jù)防泄漏保護。

DLP整體解決方案有3個主要部件構(gòu)成。

• DLP權(quán)限管理部件：
  權(quán)限管理底層服務(wù)，負責沙箱應(yīng)用創(chuàng)建、憑據(jù)管理交互。
• DLP管理應(yīng)用部件：
  負責實現(xiàn)權(quán)限在本地的設(shè)置、檢驗和攔截功能；是最終實現(xiàn)用戶可感知的受控分享功能的關(guān)鍵載體。
• 云端對接模塊：（該模塊當前需要開發(fā)者自行搭建）
• 開發(fā)前請熟悉鴻蒙開發(fā)指導(dǎo)文檔 ：[gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]
  負責將DLP文件的證書，發(fā)往云端完成基于帳號的鑒權(quán)，證書生成及解密功能。

運作流程

DLP文件生成

1. 文件所有者通過DLP權(quán)限管理應(yīng)用給需保護的文件配置權(quán)限，添加允許訪問的帳號信息和相應(yīng)的訪問權(quán)限。
2. DLP權(quán)限管理應(yīng)用發(fā)送用戶配置給DLP權(quán)限管理服務(wù)封裝成策略信息。
3. DLP權(quán)限管理服務(wù)將策略信息發(fā)送給云端對接模塊。云端對接模塊上傳策略信息作端云協(xié)同的認證、策略檢查、生成簽發(fā)憑據(jù)等工作。
4. 將簽發(fā)的憑據(jù)通過DLP權(quán)限管理服務(wù)返回給DLP權(quán)限管理應(yīng)用。
5. DLP權(quán)限管理應(yīng)用對原文件進行加密，并將憑據(jù)和密文打包生成DLP文件。
6. HarmonyOS與OpenHarmony鴻蒙文檔籽料：mau123789是v直接拿

DLP文件發(fā)送

6. DLP文件可通過任何途徑分析給目標用戶，密文保證了其機密性不被破壞。

DLP文件打開

7. 文件授權(quán)者在遠端設(shè)備打開DLP文件（例如使用文件管理器打開）。
8. DLP權(quán)限管理應(yīng)用解析DLP文件，獲取加密憑據(jù)后，發(fā)送給DLP權(quán)限管理服務(wù)。
9. DLP權(quán)限管理服務(wù)將加密憑據(jù)發(fā)送給云端對接模塊。云端對接模塊上傳憑據(jù)到云端，作身份認證、憑據(jù)驗證、策略解析。獲取到授權(quán)策略和加密密鑰等信息。
10. 權(quán)限策略和加密密鑰等信息通過DLP權(quán)限管理服務(wù)返回給DLP權(quán)限管理應(yīng)用。
11. DLP權(quán)限管理應(yīng)用調(diào)用DLP權(quán)限管理服務(wù)安裝應(yīng)用的DLP沙箱分身，并基于授權(quán)測試限制沙箱的權(quán)限，包含但不限于網(wǎng)絡(luò)、打印、剪切板等，防止數(shù)據(jù)被泄漏。
12. DLP權(quán)限管理應(yīng)用提供一種明文和密文映射機制（link），該方案基于開源的fuse文件系統(tǒng)（Filesystem in Userspace）實現(xiàn)，通過創(chuàng)建虛擬的link文件，分享給應(yīng)用，從而在不需要適配的情況下，應(yīng)用即可通過查看編輯明文文件，來達到實時操作DLP文件的效果。
13. DLP權(quán)限管理應(yīng)用準備就緒后，拉起沙箱中的應(yīng)用，并傳遞link文件文件描述符。沙箱應(yīng)用啟動，應(yīng)用進程讀取被分享的link文件，完成文件內(nèi)容展示。

審核編輯 黃宇