DLP：从制度上保证数据安全

　　对于CIO而言，防止关键数据丢失的解决方案必须经过严格的检验。为此，CIO必须能够鉴别并选择正确的数据丢失防护解决方案，来帮助他们进行战略性的规划和有效地执行程序，从而大幅度降低数据丢失的风险。

　　与此同时，关于应该如何部署数据丢失防护(DLP)解决方案的问题上，一直存在很多争论，主要包括以下问题：部署在网络上还是端点?存储的数据该怎么办?DLP作为独立的解决方案或者作为更广泛的产品组合的一个功能，是否有所不同呢?

　　为了解决这些问题，首先我们必须先弄清楚什么是DLP，为什么DLP如此重要以及DLP是如何运作的。

　　什么是DLP

　　数据丢失防护解决方案能够帮助CIO和CSO解决以下三个基本问题：公司的机密信息位于何处?这个数据是如何被使用的?该如何最大程度地防止数据丢失?

　　DLP所做的工作包括三个方面：1、深度内容检测;2、通过终端点、网络和存储系统自动保护敏感数据;3、事件响应流程以确保员工的正确操作。

　　DLP可以让用户看到哪些数据库、文件服务器、笔记本电脑和台式机装载着敏感数据，当有人通过电子邮件向外发出源代码或者将客户名单复制到USB驱动时，DLP都会及时告知用户。DLP还可以帮助用户执行某些政策来阻止包含机密数据的网络传输以及制止向USB、iPod等设备复制任何数据，同时能够自动化其他执行行为，如通知发件人，对电子邮件路由加密等，以确保敏感数据没有被暴露在文件系统中。

　　DLP如何运行

　　DLP可以很容易地鉴别员工的哪些行为会导致数据丢失，因此很多公司开始在网络中部署DLP，通过DLP来指定政策，检测网络流量，准确地检测事件并主动阻止不适当的数据传输。在网络中部署了DLP方案后，这些公司就能够立即降低在传输中丢失数据的风险。

　　有些公司同时还希望能够衡量数据在内部系统暴露的水平，从而改善访问控制并满足合规要求。使用和网络中相同的政策，DLP解决方案可以在任何状况下搜寻机密数据，而不管该数据存储在何处，DLP的做法是通过扫描范围广泛的数据存储库来查找如行政工资、人事档案、合同和交易记录等信息，当这种数据被发现时，数据会自动被转移到一个安全地点或者根据政策被加密。

　　以网络为中心和以存储为中心的DLP解决方案能够大大降低由于员工疏忽或者业务流程造成的数据丢失的风险，而这两种数据丢失原因占了数据丢失事故的95%。接下来，公司就会开始把注意力转向只占很小比例的数据丢失事故上，这部分的数据丢失主要是内部人员恶意泄漏造成的。DLP解决方案可以将功能扩展为防止数据被复制到移动设备或者违反政策从服务器下载等行为，端点DLP能够鉴别笔记本电脑和台式机种的敏感数据并阻止数据被复制到USB、iPod或者刻录到CD以及DVD上。有了DLP在端点处的部署，公司们就能够降低数据使用中丢失数据的风险。

　　现在，最先进的DLP产品可作为集成的解决方案，同时结合了基于端点和网络的软件来保护机密数据(无论是存储在某处还是在被使用)。这些解决方案利用的是两种软件共同的基础，包括同样的政策管理、检测、事件响应流程和跨网络、存储和终端系统的报告能力。这种集成的DLP解决方案能够使公司立即写出政策并能自动在整个公司执行政策。

　　自动化政策执行和人为因素

　　能够自动执行政策是体现DLP价值的一个关键因素，它可以赋予你自动路由电子邮件到加密网关的功能，或者转移一个包含敏感数据的并已经被暴露在文件系统的过时的文件，当然，所有这些操作都是基于政策而言的。

　　DLP有一个最容易被忽视的功能，就是它能够通过对公司或者员工中被认为最易受攻击的因素进行加强防范来降低数据丢失风险。我们都知道，几乎所有数据泄漏事故都涉及到人以及处理信息时他们遵循的或者不遵循的流程。大部分数据泄漏都是由于人为因素造成的，他们无视政策的存在，或者只是简单地遵循不安全的业务流程。

　　无论采用哪种方式，DLP都是根据政策来保护数据防止数据丢失的，同时DLP能够实时告知员工他或者她造成的错误行为然后提出纠正的方法，从而避免数据丢失事故的发生。这种现场纠错的功能不仅能够纠正员工的工作方式，同样能够对相关人员的行为产生积极的影响。