在2009年的央視3.15晚會上，將個人隱私泄漏的黑色產(chǎn)業(yè)鏈進行暴光。其中一個泄漏個人隱私的途徑就是來自保存有大量個人隱私信息的企業(yè)內(nèi)部，也就是指某些企業(yè)的內(nèi)部員工故意將保存在企業(yè)內(nèi)部的機密數(shù)據(jù)透露出去。

這樣一來，企業(yè)不僅要對由自己內(nèi)部泄漏出去的個人隱私承擔相應(yīng)的法律責(zé)任，而且，如果泄漏出去的機密數(shù)據(jù)是與企業(yè)生存密切相關(guān)的新產(chǎn)品圖紙、銷售計劃和投標書等內(nèi)容，那么，企業(yè)將要承受的，不僅僅只是法律的問題，而且還會面臨嚴重的經(jīng)濟和無形資產(chǎn)的損失，甚至有些企業(yè)會由此而倒閉。

那么，對于目前企業(yè)內(nèi)部存在的這種機密數(shù)據(jù)泄漏問題，我們有沒有什么辦法來解決呢？

實際上早在幾年前，就有網(wǎng)絡(luò)調(diào)查機構(gòu)通過調(diào)查分析得出企業(yè)機密數(shù)據(jù)泄漏的主要威脅，并不是內(nèi)自企業(yè)外部，而是企業(yè)的內(nèi)部。而且，這種機密數(shù)據(jù)泄漏方式由于其主要實施對象是人，因而傳統(tǒng)的安全防范措施（如防火墻等）對這種安全威脅無能為力。

于是，一些安全產(chǎn)品開發(fā)商提出了一種新的數(shù)據(jù)安全解決方案——數(shù)據(jù)丟失防范（Data Loss Prevention），來幫助企業(yè)應(yīng)對這種數(shù)據(jù)泄漏威脅。數(shù)據(jù)丟失防范也被人們簡稱為DLP，它是一種運用深層次的內(nèi)容分析技術(shù)，來識別、監(jiān)控和保護在靜止狀態(tài)、移動過程中和終端設(shè)備中機密數(shù)據(jù)的一種安全產(chǎn)品。

在企業(yè)中部署DLP解決方案之后，如果部署得當，那么它就會幫助企業(yè)帶來下列所示的好處：

1、DLP產(chǎn)品能夠幫助我們了解企業(yè)網(wǎng)絡(luò)中想要保護的機密數(shù)據(jù)的類型，以及這些機密數(shù)據(jù)目前正位于企業(yè)網(wǎng)絡(luò)中的什么位置或設(shè)備之中。

2、DLP解決方案能夠貫穿于數(shù)據(jù)的整個生命周期，幫助我們了解數(shù)據(jù)生命周期中各個階段數(shù)據(jù)所在的位置，以及幫助我們解決需要在什么位置進行控制和如何有效地控制機密數(shù)據(jù)等問題。

3、DLP解決方案可以加強企業(yè)對機密數(shù)據(jù)的管制。它允許我們限制企業(yè)員工對機密數(shù)據(jù)的訪問權(quán)限和訪問的方式，并審計對保護的機密數(shù)據(jù)的使用情況。例如記錄訪問機密數(shù)據(jù)的員工姓名、訪問的方式和訪問點，以及是否離開了企業(yè)網(wǎng)絡(luò)和什么時候離開網(wǎng)絡(luò)的。這樣能讓企業(yè)完全了解各種機密數(shù)據(jù)的使用情況，并且可以明確數(shù)據(jù)丟失事件發(fā)生后的具體責(zé)任人。

4、DLP解決方案還可以幫助企業(yè)調(diào)整過去不正確的業(yè)務(wù)操作流程，減少在業(yè)務(wù)流程中引起的無意機密數(shù)據(jù)丟失問題。例如，一些員工隨意將機密文件保存到自己的U盤當中帶離企業(yè)，以及員工在工作時間通過即時聊天軟件（如QQ、MNS等）與企業(yè)外部人員談?wù)撈髽I(yè)機密話題等。

DLP作為一種數(shù)據(jù)機密性保護技術(shù)，并不能解決所有的數(shù)據(jù)安全問題。例如，DLP解決方案并不能防止數(shù)據(jù)由于意外原因（如設(shè)備故障或自然災(zāi)害等）被損壞，也不能防止機密數(shù)據(jù)被打印、復(fù)印、拍照、錄音和錄像等方式泄漏出去。并且，現(xiàn)在企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，互聯(lián)網(wǎng)應(yīng)用類型也越來越多，企業(yè)中的員工可能在互聯(lián)網(wǎng)上開設(shè)有博客或編寫WIKI，以及使用智能手機、PDA和筆記本電腦等可移動設(shè)備。我們要想在一個復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中對這么多方面實施全方位的機密數(shù)據(jù)保護控制，僅僅使用DLP一種技術(shù)是很難實現(xiàn)的。

目前的企業(yè)正處于全球經(jīng)濟危機時期，所有企業(yè)都在想方設(shè)法地降低成本。如果在企業(yè)中部署DLP解決方案，不僅需要支付一定的DLP產(chǎn)品購買費用，而且有時還需要增加相應(yīng)的安全技術(shù)人員來管理部署好的DLP解決方案，以便它們能一直發(fā)揮應(yīng)有的作用。同時，在當前的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中添加DLP解決方案，往往需要對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)或員工的操作行為進行一定的調(diào)整，這樣一來難免對現(xiàn)有的網(wǎng)絡(luò)業(yè)務(wù)造成或多或少的影響。

因此，企業(yè)在部署DLP解決方案之前，就不得不先對自己提一個問題，那就是我們到底需不需要在企業(yè)網(wǎng)絡(luò)中部署DLP解決方案？

要想滿意地回答上述這個問題，我們必需先對企業(yè)目前的機密數(shù)據(jù)使用情況和網(wǎng)絡(luò)應(yīng)用狀況等有一個全面的了解，看看企業(yè)目前是否存在下列所示的這些問題中的幾種或全部：

1、企業(yè)由于精減部門或縮減成本，需要裁員，或者企業(yè)經(jīng)常有員工自動離職等人員流動情況出現(xiàn)。并且，離職的員工中有許多手頭握有企業(yè)客戶名單、財務(wù)數(shù)據(jù)、企業(yè)營銷計劃或產(chǎn)品開發(fā)計劃等機密數(shù)據(jù)。如果不對這些握有重要數(shù)據(jù)的離職員工進行相應(yīng)的管理，那么他們的離開將會讓企業(yè)的這些機密數(shù)據(jù)泄漏到對手當中或在互聯(lián)網(wǎng)上傳播。

2、企業(yè)當中的員工在工作時間內(nèi)經(jīng)常使用個人或WEB郵箱發(fā)送沒有經(jīng)過加密的包含機密數(shù)據(jù)的E-Mail給合作伙伴或客戶，以及還會使用即時聊天工具（如QQ、MSN）與客戶交流。這些未經(jīng)加密保護的機密數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時就有可能被攻擊者通過網(wǎng)絡(luò)嗅探或中間人攻擊的方式得到。

3、企業(yè)允許員工在家辦公或存在遠程分支機構(gòu)。如果這些能夠訪問企業(yè)內(nèi)部資源的外部計算機的安全防范工作做得不得力，就有可能成為攻擊者進入企業(yè)內(nèi)部網(wǎng)絡(luò)的安全弱點，從而造成企業(yè)內(nèi)部機密數(shù)據(jù)丟失。

4、企業(yè)目前還不知道機密數(shù)據(jù)存在于企業(yè)網(wǎng)絡(luò)當中的什么位置，更不知道用什么方法來限制一些對機密數(shù)據(jù)的非法訪問，也沒有一種有效的手段來分析和了解這些機密數(shù)據(jù)的使用情況。所有的這些，將會讓這些機密數(shù)據(jù)在無意之中泄漏出去。

5、企業(yè)目前仍然沒有好的方法來嚴格控制U盤、智能手機和PDA，以及CD/DVD刻錄機、筆記本電腦等可移動設(shè)備在企業(yè)網(wǎng)絡(luò)中的接入和使用。并且對這些設(shè)備的來源不是很清楚，也沒有什么辦法去了解。而這些設(shè)備當中會夾帶大量的機密數(shù)據(jù)，在離開企業(yè)的保護范圍之后，就有可能造成機密數(shù)據(jù)的損壞。

6、企業(yè)發(fā)現(xiàn)近年來內(nèi)部機密數(shù)據(jù)泄漏事件越來越多，造成的經(jīng)濟和無形資產(chǎn)的損失也越來越嚴重，已經(jīng)到企業(yè)不能承受的地步。

如果我們所在的企業(yè)目前還存在上述這些問題中的幾種或全部，那么就有必要在企業(yè)中部署DLP解決方案了。另外，如果企業(yè)剛好是某種區(qū)域性數(shù)據(jù)保護法規(guī)要求之內(nèi)的企業(yè)，例如我國2010年1月1號將要實行的《企業(yè)內(nèi)部基本控制規(guī)范》或美國的薩班斯法案等，那么，就算企業(yè)目前不存在上述所示的這些問題，仍然需在企業(yè)網(wǎng)絡(luò)中應(yīng)用像DLP解決方案一樣的數(shù)據(jù)保護方案來遵從這些法規(guī)的要求。 

【編輯推薦】

1. 企業(yè)部署數(shù)據(jù)丟失防范技巧
2. 究竟什么是數(shù)據(jù)丟失防護(DLP)
3. WLAN安全技術(shù)概述及安全防范措施