盡管企業(yè)部署了各種安全技術(shù)，還有政府和行業(yè)法規(guī)規(guī)定與員工安全意識培訓(xùn)，但企業(yè)仍然不可能避免員工的安全錯誤。當(dāng)員工訪問、使用和共享他們的數(shù)據(jù)時，他們經(jīng)常容易犯錯誤，而這可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露事故。例如，他們會將機(jī)密文件通過電子郵件發(fā)送到他們家里的系統(tǒng)；他們會不經(jīng)意地將未加密的受監(jiān)管的數(shù)據(jù)保存在網(wǎng)絡(luò)某處；他們每天可能犯其他各種錯誤讓機(jī)密數(shù)據(jù)處于危險(xiǎn)之中，或者以違反安全政策的方式使用數(shù)據(jù)。

Freeman Decorating公司信息安全經(jīng)理Johnny Matamoros深知這些挑戰(zhàn)。該公司的IT團(tuán)隊(duì)采取了正確的措施來更好地保護(hù)數(shù)據(jù)。他們將網(wǎng)絡(luò)分成網(wǎng)絡(luò)段，包括處理信用卡數(shù)據(jù)的那部分，他們還為員工提供了對電子郵件進(jìn)行加密的方法。但Matamoros表示，他們沒有有效的途徑來發(fā)現(xiàn)潛在的數(shù)據(jù)泄露事故。“當(dāng)特定數(shù)據(jù)類型進(jìn)入或者離開企業(yè)時，我們并沒有一個有效的解決方案或者流程來持續(xù)監(jiān)控、發(fā)現(xiàn)、警報(bào)和報(bào)告。在我們的用例中，最重要的數(shù)據(jù)類型是信用卡信息。”

為了快速發(fā)現(xiàn)這類事件，Matamoros部署了McAfee數(shù)據(jù)丟失防護(hù)（DLP）。雖然這個部署成功，但并不是說他們沒有遇到障礙和受到教訓(xùn)。盡管很多部署了DLP技術(shù)的企業(yè)都聲稱有一定效果，限制了數(shù)據(jù)丟失，但取得這種成功并不是容易的事。

為了學(xué)習(xí)從DLP真實(shí)部署中吸取的最常見的經(jīng)驗(yàn)教訓(xùn)，我們采訪了一些非常熟悉DLP市場的專家，以及成功部署DLP的安全經(jīng)理。以下是他們分享的建議：

你自己的數(shù)據(jù)管理成熟度跟DLP技術(shù)即使不是更重要，也是同等重要。事實(shí)上，IT安全市場研究公司Securosis首席執(zhí)行官兼分析師Rich Mogull表示，這種技術(shù)通常能夠如預(yù)期運(yùn)作，但它并不是成功部署DLP技術(shù)的頭號幫手。“如果想要確保DLP部署的成功運(yùn)作，作為一家企業(yè)，你必須提高數(shù)據(jù)管理成熟度，企業(yè)必須清楚其數(shù)據(jù)的位置以及如何保護(hù)數(shù)據(jù)。困難之處在于從頭開始確定需要保護(hù)的重要數(shù)據(jù)以及這些數(shù)據(jù)的位置，這是很艱巨的工作。”

1. DLP技術(shù)部署：太過了，太快了

另一個失敗部署的常見問題在于對于DLP篩選和控制的數(shù)據(jù)處理太過頭、太快了。企業(yè)管理協(xié)會研究主管Scott Crawford表示：“如果你這樣做的話，你可能會遇到明顯的誤報(bào)問題。對于收集多少數(shù)據(jù)、存在多少相關(guān)數(shù)據(jù)以及誤報(bào)命中率怎樣等問題時，還存在潛在的問題。你需要計(jì)劃分配資源來調(diào)整你的部署。”

Mogull表示：“最初，尋求快速的勝利。通過啟用一組規(guī)則來獲取對你的環(huán)境的高水平的視圖，但不用擔(dān)心執(zhí)行這些政策的問題。你只需要用這種方法以較高水平來盡可能多地尋找更多的東西，將其作為一種風(fēng)險(xiǎn)評估，來找出你最大的問題領(lǐng)域。”

Crawford同意尋求易實(shí)現(xiàn)的快速勝利，他補(bǔ)充說：“這將使數(shù)據(jù)具有高結(jié)構(gòu)化和高識別性，提供最少誤報(bào)、最簡單的管理。”這通常意味著從符合特定格式的賬戶數(shù)據(jù)開始，例如賬戶號碼、社會安全號碼、信用卡數(shù)據(jù)和類似結(jié)構(gòu)化信息。但有點(diǎn)麻煩的就是非結(jié)構(gòu)化數(shù)據(jù)，例如知識產(chǎn)權(quán)，企業(yè)需要特別重視這些數(shù)據(jù)，對于這種數(shù)據(jù)，分類就顯得尤為重要。

2. 未能為進(jìn)行中的系統(tǒng)響應(yīng)和調(diào)整做好計(jì)劃

當(dāng)你開始尋找數(shù)據(jù)時，你必須做好準(zhǔn)備將可能被數(shù)據(jù)的數(shù)量、數(shù)據(jù)的不同類型、數(shù)據(jù)傳輸源以及數(shù)據(jù)本身的內(nèi)容所淹沒，Matamoros表示：“對數(shù)據(jù)內(nèi)容做好準(zhǔn)備是不能掉以輕心，因?yàn)槟阌肋h(yuǎn)不知道你會捕捉到什么內(nèi)容。此外，你必須明確你想要監(jiān)測的數(shù)據(jù)類型，以及當(dāng)數(shù)據(jù)被DLP發(fā)現(xiàn)時你想要采取的行動。”他補(bǔ)充說：“即使確定了適當(dāng)?shù)臄?shù)據(jù)類型，也要準(zhǔn)備花一些時間根據(jù)你企業(yè)的情況對誤報(bào)進(jìn)行調(diào)整。”

DLP是一個技術(shù)“解決方案”。醫(yī)院及醫(yī)療護(hù)理服務(wù)供應(yīng)商Providence Health & Services的區(qū)域信息安全官Charles Lee表示，幾年前，Providence試圖確保機(jī)密數(shù)據(jù)（例如患者、員工和合作伙伴的敏感信息）不會被不安全地傳輸。這不僅僅是通過檢測可能被泄露敏感數(shù)據(jù)，就能帶來真正的長期的勝利，Lee表示：“DLP只是一個工具，它只是告訴你你的風(fēng)險(xiǎn)區(qū)域在哪里，在我看來，真正的勝利是它給用戶帶來的警惕意識和培訓(xùn)。”

根據(jù)Lee表示，隨著Providence逐漸提高其DLP部署，每次用戶觸發(fā)一個DLP事件，都是一次練兵的機(jī)會。他表示：“他們通過輔導(dǎo)和培訓(xùn)，了解正確處理信息的方式。這還能夠改善企業(yè)發(fā)現(xiàn)不良的且不安全的業(yè)務(wù)流程。DLP不是一個部署后即忘記的技術(shù)，它可以幫助企業(yè)提高員工意識和改善業(yè)務(wù)安全工作流程。”

3. 沒有運(yùn)行概念證明型部署

好的開始是成功的一半，F(xiàn)reeman Decorating公司的Matamoros建議從可管理的概念證明開始。“至關(guān)重要的是，企業(yè)必須獲得高管同意，不僅包括使用哪些捕捉過濾，還有采取怎樣的措施以及聯(lián)系什么人，你應(yīng)該可以看到觸發(fā)了哪些過濾器。此外，你應(yīng)該正確地識別能夠提供你想要監(jiān)測的數(shù)據(jù)的網(wǎng)絡(luò)位置，一旦你開始監(jiān)控，做好準(zhǔn)備面對結(jié)果，因?yàn)樵谧畛踹@可能是很海量的。”