开源DLP：OpenDLP

对DLP（Data Loss Prevention）感兴趣的客户越来越多。商业DLP产品，国内做得最专业的，王婆卖瓜一下，自然是大成天下（http://www.unnoo.com）。但还是有不少用户暂时没有DLP方面的预算，想找免费或开源的替代品——所以我们就对开源DLP产品做些整理，希望能为有DLP需求的企业提供有价值的信息。

对DLP（Data Loss Prevention）感兴趣的客户越来越多。商业DLP产品，国内做得最专业的，王婆卖瓜一下，自然是大成天下（http://www.unnoo.com）。但还是有不少用户暂时没有DLP方面的预算，想找免费或开源的替代品——所以我们就对开源DLP产品做些整理，希望能为有DLP需求的企业提供有价值的信息。

一、OpenDLP简介

OpenDLP项目创建于2010年4月，托管于Google（http://code.google.com/p/opendlp/），GPL V3发布，项目比较活跃。但目前产品还比较简陋，支持的文档格式也很有限。

二、OpenDLP详述

OpenDLP的功能包括：

1、Web控制端（管理Windows终端，并发起对Windows、Unix、数据库的敏感数据扫描），后端是MySQL，前端开发语言是Perl，功能如下：

通过Netbios/SMB分发部署终端程序；
通过Netbios/SMB开始、停止、卸载终端程序；
通过SSL接收终端高并发传回的日志；
使用Perl兼容正则表达式（PCREs）从文档中过滤敏感字串；
能创建可重用的扫描条件（包括目录、后缀的黑白名单）；
找到的数据可审核确认并标记误报；
将结果导出为XML。

2、Windows终端程序，开发语言C，可运行在win2000以后的系统上，功能如下：

以低优先级的服务运行，用户干扰小；
扫描到一半如果系统重启，会自动断点扫描，无需用户操作；
SSL传输日志到服务端；
使用PCREs正则过滤敏感文件；
能从zip格式的文档（Office 2007和OpenOffice都是zip压缩的XML）中读取数据；
限制使用的最大物理内存，避免扫描大文件时性能波动。

3、数据库扫描

可以支持对数据库内容的扫描，识别数据库中是否有敏感信息，目前支持MySQL与MsSQL。

4、文件系统/文件共享扫描

可以支持通过SMB或sshfs，对Windows或Unix系统中的文件进行扫描。

三、作者对OpenDLP的研发计划

更多数据库支持；
Web界面的增强与完善；
让误报标记更易用；
更多的导出选项——支持word与OpenOffice格式的导出；
对多次扫描做趋势分析；

四、部署需求

- Apache 2.x (tested with 2.2.10)
- MySQL (tested with 5.0.70)
- Samba (tested with 3.0.33)
- winexe (http://eol.ovh.org/winexe/) somewhere in $PATH
- Perl (tested with 5.8.8)
- Additional Perl modules (see under “Perl Configuration”)
- 32-bit “sc.exe” from a Windows 2000/XP system (not Vista/7)
- FreeTDS
- For agentless scans, an “unzip” binary somewhere in $PATH.

五、其它

安装配置比较复杂，建议下载VM，参考其README：http://opendlp.googlecode.com/files/README-VM.txt
程序下载：http://code.google.com/p/opendlp/downloads/list

六、参考资料

OpenDLP里的正则表达式：http://code.google.com/p/opendlp/wiki/RegularExpressions
PCRE：http://en.wikipedia.org/wiki/PCRE