數據丟失保護并不等于終端安全性防護

本文作者Joe Hernick是一位行業分析師，他曾擔任某家財富100強公司的IT經理。

每個人都在討論來自公司內部的威脅。但是數據保護并不意味著不需要控制用戶的訪問–否則，你將失去業務數據，當然公司也要關門了。

國外媒體對384名商業技術專家就終端安全性進行了調查，結果顯示在訪問權限和數據保護之間取得平衡并不簡單。在此次調查中，43%的人認為他們的組織過于信任用戶，他們的組織允許用戶將數據復制到U盤或其他設備，且沒有任何限制或保護措施。

不過，IT人員意識到需要從原來的只保護終端設備的方式轉為假設筆記本和智能手機會丟失，好員工會變成壞員工，而虛擬機也會出錯。不能再只注意終端設備，而是要保護數據：確認應該保護的數據，發現這些數據的位置，鎖定這些數據以防止來自內部和外部的威脅，數據保護的方式可以是加密、多層安全保護套件或像數據丟失防護（DLP）這樣的新技術。

數據丟失防護套件結合了掃描和基于主機的工具來對公司的知識產權進行搜集、分類和保護。這些產品可以保持數據和文檔的歸檔，以及相關的小組、個人的訪問權限或其他政策。它們可以主動地掃描內部網絡和外部連接，時刻注意異常情況。這種工具使得數據保護的范疇擴大到了外圍設備或終端設備保護以外–數據丟失防護使內部安全檢查更加容易，它可以讓"只讀"數據維持其只讀狀態，并最小化敏感數據被其他未授權人員看到的風險。

成功的數據丟失防護實施包括幾個步驟：

l 確認已知的內容風險。保護你已經知道的數據，然后分析被遺忘的，被錯放的，或被不適當使用的數據；

l 分析網絡端口和協議，分析非標準端口上的正常行為和反常行為；

l 創建時間點內容簽名和過濾規則，并創建敏感數據存儲的基準線。這些設置將用來監視傳輸流，并發現各種文件類型和傳輸方式上的敏感數據集；

l 利用簽名和過濾規則來對審視所有傳輸的內容，并設定發出通知、阻止操作和強制執行的政策；

l 進行根本原因和歷史數據分析；當確認出現新的威脅和風險的時候，要能夠更新和改變政策和規則設置；

l 利用好現有的IT資源；確保數據丟失防護套件能夠同其他網絡分析工具和外圍保護工具協同工作，并能夠利用這些工具；

l 考慮分階段實施；在實施中先用"被動的"基于網絡的工具來分析數據傳輸，這樣可以不影響終端；然后添加基于代理的或全客戶端的應用程序，以執行終端政策；