企業(yè)數(shù)據(jù)的共享從來都不是那么簡單。員工可以用郵件添加附件，在云上同步文件，用閃存拷貝幾個GB的數(shù)據(jù)，從外部訪問網(wǎng)絡上資源等等。這樣的優(yōu)點在于提高了生產(chǎn)力和工作的靈活性。不足就是IT對敏感數(shù)據(jù)的保護更為艱難，尤其是對內(nèi)部惡意使用者的防護。企業(yè)可以考慮通過終端數(shù)據(jù)防丟失工具作為終端安全管理的一部分。

注意內(nèi)部人員的工作

這個春天，Victorinox發(fā)布了最新的Swiss Army Knife，其中包含了一個跳盤可以存儲1TB的數(shù)據(jù)，而且寫入速度支持到最大150MBps。借助這樣的設備，企業(yè)內(nèi)部的惡意人員出于報復或利益的原因可以盜走整個數(shù)據(jù)中心。

根據(jù)Identity Theft Resource Center數(shù)據(jù)，在2011年全美企業(yè)報告的所有數(shù)據(jù)中心問題中，出現(xiàn)了56起內(nèi)部人員偷盜案例，占到13.4%的比例。

傳輸大量數(shù)據(jù)最簡單的辦法就是拷貝到USB設備，但是希望偷盜信息的雇員還可以通過CD、DVD、平板、筆記本或任何其它可移動媒體下載，這些都可以輕松帶出數(shù)據(jù)中心大樓。

但是終端安全管理軟件不僅限于可移動磁盤上的數(shù)據(jù)。對公司不滿下決心離開的員工可能通過Web應用、公開網(wǎng)絡、文本信息或email附件來發(fā)布機密信息。惡意的內(nèi)部人員還被發(fā)現(xiàn)通過無線訪問，如802.11無線LAN，個人藍牙局域網(wǎng)絡和寬頻廣域網(wǎng)等方式訪問終端。

DLP工具對安全的作用

多數(shù)企業(yè)中，IT人員花費大量精力用于保護敏感數(shù)據(jù)不受外部攻擊。甚至內(nèi)部惡意訪問也可以通過一些最佳實踐來降低，例如控制權(quán)限、管理網(wǎng)絡賬戶和升級人力資源策略來區(qū)分雇傭和解雇。IT不能保證總是勤勉工作，而且在終端數(shù)據(jù)防丟失方面發(fā)生問題很多是因為試圖監(jiān)控和防范潛在風險工作本身的復雜性。

這就是終端DLP（data loss prevention (DLP)工具發(fā)揮作用的時候。廣泛的防護系統(tǒng)應該包含雇員存儲數(shù)據(jù)以及在自己的工作站和移動設備上使用敏感數(shù)據(jù)等方面內(nèi)容。DLP工具可以掃描終端上的硬盤，并識別機密信息數(shù)據(jù)存放的地點和哪些數(shù)據(jù)面臨最大的風險。它們可以針對不同數(shù)據(jù)類型采取特殊的動作。例如，數(shù)據(jù)防丟失軟件可以隔離敏感數(shù)據(jù)，把它移動到安全網(wǎng)絡地點或?qū)λM行加密。

DLP工具還可以監(jiān)控數(shù)據(jù)在終端上的使用情況。任何涉及敏感數(shù)據(jù)的動作，如向跳盤拷貝文件或通過郵件發(fā)送附件等都可以跟蹤到。

監(jiān)控僅僅是終端安全管理工具的功能之一，例如，數(shù)據(jù)防丟失軟件系統(tǒng)可以防止文件被拷貝到USB設備和通過郵件發(fā)送?；蛘?，除了這些防止動作之外，軟件還可以加密機密文件。

敏感數(shù)據(jù)防丟失方案中還可以設置向IT人員發(fā)出通知或隔離數(shù)據(jù)。它可能會禁止終端設備，或向其它客戶提出申請來檢查是否涉嫌數(shù)據(jù)丟失。

例如市場上的終端DLP工具有Symantec Data Loss Prevention for Endpoint 和Websense Data Endpoint。盡管Websense不能共享賽門鐵克的知識，這兩個產(chǎn)品提供相似的功能，都提供綜合的敏感數(shù)據(jù)監(jiān)控和保護功能。

Symantec或許更擅長制定和管理策略，而且在監(jiān)控和防止未授權(quán)訪問方面也證明了其能力。另一方面，Websense在易安裝和管理方面獲得一致好評，還有它的綜合報告功能。另外，很多IT愛好者考慮ROI的時候認為Websense是更為純粹的產(chǎn)品。此外，還有一些其它類似軟件。

不管您選擇了哪種DLP工具，雇員可能都對限制他們行為的動作不那么配合，除非他們已經(jīng)被教育過敏感數(shù)據(jù)保護的重要性。例如，如果雇員理解他們?yōu)槭裁唇瓜蛱P下載文件，可能在傳輸文件遇到彈出禁止窗口的時候會更為合作。

DLP工具的限制

使用數(shù)據(jù)防丟失軟件可能極大提高終端設備的安全管理，但是沒有什么系統(tǒng)可以達到完美。例如，DLP工具必須被安裝到所有的網(wǎng)絡終端上才能完全發(fā)揮作用，而且現(xiàn)在的應用不能工作在移動手機設備上。如果用戶在咖啡館網(wǎng)絡通過外部設備，如家庭PC或筆記本，訪問網(wǎng)絡時也不能發(fā)揮作用。

終端DLP工具可以緩和數(shù)據(jù)丟失，但是它也僅僅是多層次安全防護的一部分。例如Symantec的Data Loss Prevention for Endpoint，僅僅是Data Loss Prevention Product Family系列產(chǎn)品的一部分，而Websense Data Endpoint則是Websense Data Security Suite套件的組成部分之一。兩個產(chǎn)品線都可以不僅防止終端上的數(shù)據(jù)丟失，而且保障任意其它設備或在網(wǎng)絡上傳輸時數(shù)據(jù)的安全。

為了最好地保護敏感信息，數(shù)據(jù)防丟失軟件還可作為終端安全管理的組成部分，把其它的一些技術(shù)，如訪問控制和惡意監(jiān)測整合起來。Websense Data Security Suite的配置上就提供了跟防火墻和防病毒軟件的整合功能。

數(shù)據(jù)丟失防護和DLP工具可以填補其它的一些數(shù)據(jù)安全漏洞。例如，防病毒軟件或防火墻，不能防止惡意的內(nèi)部人員下載文件到跳盤上。而DLP工具則可以。沒有什么應用可以根除所有的數(shù)據(jù)丟失風險，但是把DLP工具作為全面終端安全管理策略的一部分可以幫助達成這個目標。