數據丟失問題如今已經成為廣大企業最關心的焦點問題之一，為了降低這個問題所帶來的風險，各企業都在努力尋找一種適合自己的數據丟失防范（Data Loss Prevention）策略。數據丟失防范策略（以下簡稱DLP）是通過運用深層次的內容分析技術，來識別、監控和保護在靜止狀態、移動過程或終端設備中機密數據的一種全面解決方案。 現在市面上已經存在了許多擁有數據丟失防范功能的產品，它們主要有基于網絡的DLP和基于主機的DLP兩種類型。企業要做的，就是如何根據自身機密數據的實際情況，制定一個行之有效的數據丟失防范策略。在本文中，雪源梅香將為大家描述制定數據丟失防范策略時六個需要重點考慮的方面，以幫助一些對此有需要讀者制定一個適合自身需求的數據丟失防范策略。 一、了解數據丟失問題<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

對于企業來說，現在企業數據最大的安全威脅是來自企業內部，例如企業內部員工的有心無心之過。而惡意軟件、***、垃圾郵件及******是緊跟在其后的安全威脅之一。調查顯示，由于內部原因造成的企業機密數據丟失，其數量要遠遠大于外部安全威脅所造成的損失。 ??? 那么，企業機密數據是如何從內部漏泄出去的？要了解這個問題，先來看看數據在企業內部網絡中所處的方式。它一共存在三種主要的方式： 1、 數據在移動之中，是指數據正在企業內部同網段之間，以及跨網段之間傳輸，并且隨時會經過企業網關轉發到Internet上。 2、 數據在靜止過程中，是指數據正駐留在企業內部文件服務器、數據庫或其它存儲設備中。 3、 數據在用戶終端之中，這些用戶終端包括USB設備、CD/DVD刻錄機、MP3/MP3播放器、筆記本電腦，或其可移動存儲設備等。 當數據處于用戶終端設備之中時，絕大部分是在使用當中。而數據主要是在移動過程和在用戶使用過程中，由于人為有心無心造成丟失的。因而，要防范企業機密數據丟失，主要是在這兩個方面做足工作。但這也并不意味著企業機密數據只會通過這幾種途徑造成丟失，其它方式也有可能，例如打印機、數碼復印機、傳真機、無線產品等，以及一些Internet協議，例如HTTP、HTTPS、IM、WEBMAIL、電子郵件、FTP等都有可能會引起企業機密數據的丟失。也不是說數據在靜止狀態時對我沒什么意義，我們可以通過數據掃描的方式來找到存在于企業網絡中所有位置中的機密數據和敏感信息，以便了解要保護的數據存在什么位置之中，然后才能確定對什么設備進行重點防范。因此，要防范數據丟失，與其它安全防范方式是不相同的，必需制定一個非常全面的安全防范策略才能夠有效的解決這個問題。 二、企業機密數據有哪些

??? 這里有兩種主要的因素驅使企業進行數據丟失防范工作：要遵從的法規和知識產權保護。隨著個人信息的泄漏事件的不斷發生，各國對于這類事件不斷發布了一系的安全法規，例如薩班斯法案。通過這些法規，讓企業對其所保存的員工個人信息、客戶信息，以及供應商或合作伙伴的信息必需妥善保管，并且擔負造成這信信息丟失的相關法律責任。因此，如果企業不想為此而引起法律訴訟的話，就不得不為它所保管的所有信息進行必要的丟失防范。 ??? 對于處于現在這種高度競爭商業環境中的各類企業來說，知識產權的保護是最重要的。企業知識產權包括：技術、方法、工作模式、處理流程、生產計劃等，它們還可以是各種圖表和流程圖，供應商數據，定價數據和營銷戰略，或者程序源代碼，營銷數據和客戶數據等等。這些都是企業的商業機密，其中任何一部分數據的丟失，都會給企業帶巨額的經濟和聲譽損失，有時還會帶來法律訴訟。但是，使用這些數據的員工有時卻并不知道它們是企業的商業機密數據，因而就有可能在有意無意之中造成這些機密數據的丟失。 三、為什么數據丟失非常普遍

??? 無論是在途中，還是在辦公定，或者在家中，我們都可以通過各種電子連接方式與近在咫尺，或遠在天涯的人聯系，電子訪問方式已經越來越成為日常商務活動中最主要的途徑。 ??? 我們在通過電子方式進行全球合作的時候，也為機密數據的丟失打開了潘多拉之盒。在過去的許多年以來，我們都將所有的安全防范精力集中在對外部威脅的防范之上，但根據調查顯示，其實超過一半以上的企業機密數據是通過企業內部泄漏出去的。可是，一些企業現有的安全防范措施，例如防火墻或***檢測防御系統（IDS/IPS），對于來自內部的正常數據流都是完全放行的。這讓企業花費大量心血的安全防范措施顯得非常的可笑，也讓企業內部機密數據的丟失變得只要點擊一下鼠標這么簡單。而且，大多數數據丟失都是無心之過，當員工將企業機密數據透露出去后，可能還不明白剛才發送的電子郵件或粘貼到博客上的圖片及文本正是企業的機密數據呢！ ??? 同時，隨著USB設備、MP3播放器、筆記本電腦等移動設備的大量使用，在這些設備之中，往往承載著企業大量的機密數據，而這些設備更加容易被帶到企業外部。調查顯示，移動設備也已經是造成企業機密數據丟失的主要原因之一。 四、數據丟失的核心是不受控制的通信

??? 如今，電子通信無處不在，數據在移動時就很容易造成數據丟失。例如，員工將文件發送到他（她）的電子郵箱中，以便他（她）回家時一樣能處理；醫師將病人病歷信息錯誤地發送給其他（她）人；或者一個雇員將新產品還沒有發布的圖片貼到了自己的博客上。所有的這些，都可能造成企業機密數據的丟失。 ??? 但是，這還不是數據在移動中造成丟失的唯一途徑，另外還有其它的通信方式可以將企業機密數據或敏感信息由內轉發到Internet上。所有的這些包括： 1、 電子郵件 2、 WEB郵件 3、 QQ、MSN等即通信軟件 4、 P2P軟件 5、 論壇、留言板 6、 博客 7、 網絡存儲 8、 FTP 但是現在的防火墻和其它安全解決方式對于數據丟失防范的能力還不夠完善，數據丟失防范需要更加嚴格的控制，例如深入的內容掃描、阻止可能包含機密信息的通信會話，或者應用強力加密等措施。同時，如果企業對數據丟失防范做了許多重要的工作，但是沒有對員工進行相應的安全教育，以及對其行為進行有效的管理和監控，那么，所有的數據丟失防范工作將變得一無事處，機密數據仍然會通信各種途徑泄漏出去。 數據丟失解決方案必需降低數據在靜止及處于終端設備上的風險，但是，對于任何一個發展健康的企業來說，任何時期都有機密數據在移動當中。這樣，就要求企業必需制定一個更加全面的數據丟失防范解決方案，以防止雇員、企業顧員、供應商、合作伙伴或其它授權用戶將企業機密數據發送到企業之外。與此同時，還必需進行深入多層次的解決方案，來防止機密數據通過電子郵件、WEB郵件、即時通信軟件或P2P等途徑泄漏出去。 五、數據丟失防范策略應當包括的功能

??? 為了能夠解決數據在移動過程中的漏洞，以及防止通過各種電子通信方式造成機密數據丟失，企業就必需控制任何一個可以引起機密數據離開企業的通信，而不管其使用什么類型的傳輸方式。 ??? 一個全面的數據丟失防范解決方案應當包括： 1、 監控所有進出企業的通信數據包； 2、 加密包含機密信息的電子郵件內容； 3、 遵從當地的隱私權和數據安全法規； 4、 確保與外包商和合作伙伴的通信； 5、 保護企業知識產權； 6、 防止***病毒等惡意軟件的數據收集； 7、 增強可接受的數據使用策略； 8、 提供一種可以震懾惡意用戶的手段，例如法律訴訟和被捕。 另外，DLP解決方案不僅要阻止在通信時將機密數據發送到企業之外，還應當能夠幫助企業遵守相應法規，對包含機密信息的電子郵件內容及附件進行自動加密。 ??? 當一個企業在尋求一種數據丟失問題的解決方案時，對DLP進行相應的實踐操作能讓企業找到一個適合自身特別要求的最佳數據丟失解決方案。 數據丟失防范的一個關鍵組成部分是定義和強制執行一個適當的可接受的電子通信使用策略。一個典型的合適的使用策略應當包括防止非法的或惡意性的活動，禁止使用大附件，或者禁止發送沒有法律免責聲明的文件等。要想執行這些適當的使用策略，企業可能需要DLP解決方案具有下列的功能： 1、 阻止非法的活動，例如瀏覽黃色網站； 2、 嚴禁通過P2P文件共享軟件散發受版權保護的音頻和視頻文件； 3、 防止利用網絡進行賭博活動； 4、 強化信息策略，例如規定電子郵件附件大小，不準發送個人郵件等； 5、 對要可能涉及到法律法規的電子郵件，在發送前，應當在其后添加相應的法律免責聲明。 雖然，數據丟失的風險在企業的商業活動過程中總是會存在，但是，應用DLP解決方案能夠最大程度的減少數據丟失風險的機率，幫助企業規范數據使用方式。 六、制定數據丟失防范策略的通用守則

1、 了解DLP的需求 要解決數據丟失問題，最關鍵的第一步就是全面了解企業中有哪些類型的機密數據，以及這些數據處于什么位置。你還必需為此建立一個易于理解的檔案庫，用來幫且后續的工作，以及以后檢查時使用。同時，你要確定哪些策略需要控制和強化，哪些數據可以被共享。要做到這一點，企業還應當審查其內部哪些數據要遵守某種法規，以及要確定知識產權的保護方式，哪些策略需要強制執行等等。 ??? 例如，有時候要考慮所要遵循的條例是適合整個企業，還是只是個人用戶、部門或遠程辦事處。另外，一個特別的企業可能只需要使用內容掃描或自動加密來保護其隱私信息。 ??? 了解了企業中哪些機密數據需要保護后，企業還應當考慮數據丟失防范策略的工作流程。你要確保你的工作流程充滿活力和靈活性，同時要確保數據丟失防范策略的完整實施，以及能靈活應對在策略實施過程中的任何突發事件，并能及時對工作流程做出調整和修改。還有，任何一項策略的成功實施，都離不開企業高層領導的支持，因此，你所制定的數據丟失防范策略應當能得到上級領導的全面支持，這樣，才有可能讓策略在企業全面實施。 2、 區分DLP保護的重點 企業現在已經高度依賴電子郵件、即時通信軟件，或者基于WEB的通信方式，來與供應商、合作伙伴，以及其它的重要客戶保持有效的國際國內溝通。當電子通信成為現在最主要的溝通方式之時，它也同時給企業的機密數據帶來了新的丟失風險，以及需要企業遵從更多的法律法規。例如，一個心懷不滿的員工可能將企業重要的產品信息透露給第三方；一個新員工可能由于一次不小心的鼠標單擊事件，就會造成企業重要的客戶資料發送給了其它非授權者。這些事件，并不只是某此飯桌上的談資，而是會給企業帶來巨額的經濟損失，以及非常麻煩的后期補救工作，甚至會給企業帶來一場意想不到的法律訴訟，讓企業聲譽掃地。 ??? 數據丟失防范是一個非常復雜的問題，需要整合絕大多數的保護方式，以便能解決某個特定企業所有的數據丟失問題。這就要求企業首先必需了解數據可能在哪些載體中造成丟失，例如在靜止、移動或在終端設備之中，然后將它們按優先順序進行排序。排序的標準可以根據以往在某個位置的違規率，某種通信的使用頻率，某種數據的使用頻率及每次的數據量，以及用戶訪問某一區域時造成違規行為的頻率來制定。 根據調查顯示，企業大部分的數據都是在一些經常發生違規行為的區域丟失的，因此，重點對這些劃分出來的重點防范區域進行防范，能讓減輕你大量的工作量，讓你在防范過程中條理清晰，讓數據丟失防范效率明顯提高。能使后面的工作變得相對簡單，以及能為企業節省大量的資金。舉例來說，由于電子郵件和網絡通信是如今大多數企業最主要的通信方式，因此，它也就可能成為造成機密數據丟失最主要區域。 3、 確保策略能全面實施及實施的效果 當企業已經確定了要保護的資料，以及了解了造成機密數據丟失的重要渠道后，接下來要做的，就是確定數據丟失防范策略是否真正適應特定的企業防止數據丟失的需求。 ??? 就總體而言，一個DLP解決方案必需能夠有效和全面地檢測到企圖違反安全策略的任何行為。你還要確保你的DLP策略有效和全面性。這些內容包括： （1）、多協議監控和防范； （2）、對所有的文件和附件進行內容分析； （3）、有選擇性地阻止或隔離信息或郵件； （4）、自動執行企業加密策略。 另外，企業組織機構要確保企業上下人員能夠遵守DLP中的規章制度，以及DLP策略能全面執行。在DLP解決方案的實施過程中，企業中不同的人有不同角色和責任，這一定要分清楚。如果一個DLP解決方案能做到這些，那么數據丟失防范并不只是一句空話。 4、 確保數據丟失防范策略不影響正常的業務 此時，你要解決的一個重要任務就是要保證數據丟失防范策略的實施不影響企業正常的業務。在整個解決方案執行時期要確保有效的通信能夠正常進行，同時應當確保能管理和控制客戶和機密數據的使用。這即需要一個深思熟慮的數據丟失解決方案，又要能夠全面控制通信的內容。任何的違反活動都必需立即阻止，并且不會影響最終用戶的使用。因為任何造成電子郵件通信或其它網絡通信的明顯延遲，都會給商業流通帶來影響，以及影響員工的工作效率等。 ??? 這就意味著DLP解決方案必需工作在線速狀態，并且要滿足企業日益增長的帶寬需求。因此，企業在選擇DLP解決方案時，應當在考慮安全性的同時，還應當考慮它的性能，以及它的擴展性和靈活性。選擇的DLP解決方案要滿足企業今年某段時間以來性能及帶寬的要求。很幸運的是，隨著微電子技術的發展，高性能的DLP產品已經不斷的出現，1000Mbps的以太網也已經成為主流。因此，在企業經濟能力允許的范圍內，選擇一個滿意的DLP解決方案將不會是什么難題。 5、 查看工作流程、管理和報告 當企業選擇了一個DLP解決方案后，還應當為此部署一個管理控制中心。這個管理控制中心可以用來對DLP進行全面的管理，以及接受來自它的監測報告。??? ???????一個全面的DLP解決方案應當具有報告功能的，這些報告功能能讓方案執行人員隨時訪問監控數據，并對其進行相應的操作： （1）、分析和改進企業DLP功能； （2）、自動提供及時的決策分析信息； （3）、能產生可以上報的結構文檔； （4）、報告文檔可以導出和打印。 一個好的DLP解決方案應當易于管理和維護的，并且，應當具有自動更新各種特征庫及自身核心文件的功能，這能為管理員節省大量的時間來處理其它必要的事情。同時，為了降低企業的總體擁有成本，在選擇管理控制中心設備時，應當選擇簡單的、一體化的，以及能在企業內部網絡中能夠即插即用的產品。 6、組合使用各種相應的解決方案 ??????? 解決數據丟失的防范策略在不斷的演變當中，目前仍然沒有一個單獨的DLP產品能夠具有防范數據丟失的所有功能，以及滿足不同企業的需求。舉例來說，防范數據在移動過程中與在靜止狀態時造成的丟失所使用的解決方案肯定是不相同的，因為這是兩種不同的數據存在方式，并且所處的載體也不完全相同。縱觀整個數據流向，企業要解決數據丟失問題，就需要創建一個端到端的解決方案，并且綜合使用多種相應的解決方案。 ??????? 一個稱得上好的DLP解決方案，應當具有高度的靈活性，以及與其它DLP產品無縫兼容。。隨著DLP行業的不斷發展，具有高度擴展性和靈活性，以及與其它第三方產品連接并提供數據共享功能的產品將是最終的發展潮流。企業應當盡量避免選擇的DLP產品沒有任何擴展性 ??? 綜上所述，數據丟失是現在絕大多數企業正面臨的嚴峻問題，企業中員工各種有意或無意的錯誤，都會造成企業機密數據的丟失。這些丟失的數據可能會降低企業的品牌價值、股票價格，并損害企業的商譽和聲譽。因此，企業可以利用本文所提及的做法，盡快為自己找到一個適合自身需求的數據丟失防范策略。這些解決方案不僅能幫助企業減少機密數據丟失的風險，而且還可以與其它企業安全方案相結合，為企業打造出一個全面的一體化的強大的安全解決體系，確保企業有形和無形資產的安全。

總結

以上是生活随笔為你收集整理的制定数据丢失防范策略的六个要点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。