很多DLP安裝包具有預(yù)定義的政策，以試圖找出明顯敏感的信息，例如社會安全號碼、信用卡號碼和駕照號碼等。這些預(yù)定義的政策還可以幫助企業(yè)遵守HIPAA、HITECH和其他聯(lián)邦和州政府法規(guī)。

Kindervag表示，使用這些預(yù)定義政策可以幫助查找更容易識別的信息，但這也可能導(dǎo)致很多誤報(bào)。他表示，供應(yīng)商創(chuàng)建這些政策的最佳做法是在某種程度上整合數(shù)據(jù)分類，以及評估對于特定行業(yè)哪些信息是有害信息。Kindervag說：“每個企業(yè)都有對于他們很重要的信息。”

供應(yīng)商也認(rèn)為預(yù)定義政策（或者說內(nèi)置功能）是非常有限的。Verdasys公司托管服務(wù)部門主管Mike Parrella表示，這些政策幫助企業(yè)意識到數(shù)據(jù)丟失問題的嚴(yán)重性，但他們只能實(shí)現(xiàn)相對容易的目標(biāo)。“我認(rèn)為我看到了企業(yè)使用這些DLP政策方式的變化，”Parrella表示，“他們試圖使用這些預(yù)定義的政策，但失敗了。”所以供應(yīng)商必須為客戶提供滿足其個性化需求的靈活性。Parrella說：“這些系統(tǒng)需要具有足夠的可塑性，以讓企業(yè)根據(jù)其需求來調(diào)整數(shù)據(jù)類型。”

Verdasys公司系統(tǒng)工程師Darrin Mourer表示，很多預(yù)定義政策很不完善，只是作為提供給用戶的例子。Mourer正在寫一本關(guān)于DLP的書，他希望該書將于2013年上半年出版。他表示，這本書的目的是介紹DLP—它是什么，它是怎么來的，為什么我們需要它，如何部署它以及如何部署流程來支持它，以幫助首席信息安全官和DLP供應(yīng)商更好地支持它。

Mourer還表示，使用DLP追蹤社會安全號碼、信用卡號碼或者醫(yī)療ID號的企業(yè)經(jīng)常遇到很多誤報(bào)，這是因?yàn)镈LP系統(tǒng)尋找的這些數(shù)字類型也存在于很多其他地方，例如在線產(chǎn)品目錄、網(wǎng)站代碼和內(nèi)部產(chǎn)品號碼。

Mourer認(rèn)為，供應(yīng)商對誤報(bào)問題的解決辦法是制定圍繞企業(yè)特定數(shù)據(jù)的政策。而這使問題很快轉(zhuǎn)變?yōu)椋?yīng)商如何訪問制定政策所需要的所有信息，以及如何監(jiān)控網(wǎng)絡(luò)以確保這些政策的執(zhí)行。企業(yè)必須安排內(nèi)部專家來監(jiān)督這個過程，或者企業(yè)應(yīng)該與為其管理整個DLP服務(wù)的供應(yīng)商合作。Mourer表示：“這不是可以獨(dú)立運(yùn)行的工具，它需要細(xì)心的‘照料’。”

設(shè)置自定義DLP政策

Jackson通過使用預(yù)定義政策并根據(jù)自身需求加以調(diào)整來為Westamerica銀行設(shè)置DLP。Websense公司的DLP服務(wù)提供超過1700個預(yù)定義政策，當(dāng)Westamerica銀行開始使用Triton作為DLP時，Jackson通讀了這些政策，并決定該公司需要使用哪些政策。

DLP設(shè)置向?qū)ч_始會詢問用戶關(guān)于企業(yè)位置和所屬行業(yè)等問題。這些問題的答案可以幫助向?qū)ё詣悠ヅ浔O(jiān)管政策。然后，管理員可以調(diào)整這些監(jiān)管政策，并開發(fā)自己的安全政策，包括設(shè)置數(shù)據(jù)訪問、數(shù)據(jù)移動和數(shù)據(jù)使用的閾值。企業(yè)可以對大量或少量信息、特定工作組、部門、地點(diǎn)或者個人設(shè)置政策。

在處理客戶信息的生產(chǎn)方面，Jackson使用DLP來監(jiān)控員工的打印操作。Jackson對系統(tǒng)進(jìn)行了設(shè)置，當(dāng)有人在幾天里打印了相當(dāng)數(shù)量的內(nèi)容，他將會收到通知，這樣他就會找該員工談話，確保沒有打印任何機(jī)密信息或者客戶信息。

Jackson還在Triton設(shè)置了政策來防止員工通過USB將信息帶出企業(yè)。如果員工將文件轉(zhuǎn)移到USB，當(dāng)USB拔出時，信息將會被自動加密，并且，只有在另一臺受Websense保護(hù)的機(jī)器上才能打開該文件。當(dāng)這種用例出現(xiàn)時，系統(tǒng)將會提醒Jackson，就像上述的打印操作一樣。

在互聯(lián)網(wǎng)方面，Jackson對DLP的使用有所不同，因?yàn)檫B接到互聯(lián)網(wǎng)的機(jī)器上沒有客戶信息。為了確保保持這種狀況，DLP產(chǎn)品被設(shè)置為定期清掃互聯(lián)網(wǎng)中的任何客戶信息。為了測試這個功能，Jackson將客戶信息放在該銀行副總裁的電腦中。然后，DLP技術(shù)成功地發(fā)現(xiàn)了這一信息，并通知Jackson，所以他有信心在未來它同樣也能找出互聯(lián)網(wǎng)中的客戶信息。

Websense的DLP解決方案允許用戶選擇他們希望系統(tǒng)提醒的人，如果需要的話，違規(guī)的用戶也可以收到通知。“我們不想要警告用戶，我們不想嚇到他們，并讓他們認(rèn)為他們正在做錯的事情，”Jackson表示，他更愿意接收所有的系統(tǒng)提示。如果出現(xiàn)明顯的違規(guī)行為，他會直接與相關(guān)的員工談話。

對于這個系統(tǒng)，Jackson唯一的問題是，一次只有一個管理員可以登錄到Websense。如果允許一個以上的人登錄的話，這將有助于監(jiān)控系統(tǒng)。Jackson表示，Websense正在努力解決這個問題。

在他研究DLP技術(shù)時，Jackson基于兩個重要的標(biāo)準(zhǔn)評估了三家供應(yīng)商：首先，Jackson希望供應(yīng)商愿意接受一些Westamerica銀行網(wǎng)點(diǎn)的老設(shè)備。Westamerica在加州北部和中部擁有超過90個辦事處和個信托辦公室。

Jackson表示：“我們需要供應(yīng)商能夠接受我們的環(huán)境。”他的第二個要求是需要是業(yè)界知名的供應(yīng)商，現(xiàn)在從事DLP技術(shù)，并會在未來進(jìn)一步發(fā)展其技術(shù)。價格也是一個考慮因素，但并不是重要的因素，因?yàn)閃ebsense滿足了前兩個要求。

Jackson承認(rèn)很難衡量部署DLP政策的投資回報(bào)率，但他表示，不必?fù)?dān)心員工打印出客戶信息或者將文件帶出公司，這無疑提高了生產(chǎn)效率。Jackson表示：“我們并不總是得到回報(bào)，我們可能無法得到財(cái)務(wù)回報(bào)，但我們得到了生產(chǎn)力的回報(bào)。”

DLP作為內(nèi)置功能

Forrester公司的Kindervag和Holland表示，DLP的未來在于將其內(nèi)置到其他技術(shù)。對于Kindervag，這意味著“DLP不再是產(chǎn)品，而是可以內(nèi)置到產(chǎn)品中的功能” 。一些公司已經(jīng)開始整合DLP到其他產(chǎn)品。一個知名的例子就是即將到來的Microsoft Exchange Server 2013，它將允許管理員為信息設(shè)置政策，當(dāng)電子郵件傳輸?shù)椒?wù)器時將被過濾。在很多方面，這類似于附加的DLP服務(wù)：它自帶的模板可以幫助企業(yè)遵守法規(guī)，并允許管理員制定自己的政策。

Kindervag表示：“你的公司可能通過多種傳輸通道丟失數(shù)據(jù)—電子郵件、web流量和即時消息（IM），所以你必須積極地保護(hù)每個通道。Forrester認(rèn)為單個產(chǎn)品很難保護(hù)所有通道，因此，DLP將很快（如果現(xiàn)在還沒有的話）從產(chǎn)品演變?yōu)榍度氲蕉鄠€（可能全部）安全產(chǎn)品的功能。”

然而DLP供應(yīng)商很快指出內(nèi)置DLP可能失敗的原因。Verdasys公司的Parrella表示，安裝安全，然后遺忘它是錯的。我們需要考慮風(fēng)險(xiǎn)在哪里發(fā)現(xiàn)，以及應(yīng)該在哪里部署風(fēng)險(xiǎn)緩解技術(shù)。風(fēng)險(xiǎn)可能被發(fā)現(xiàn)于端點(diǎn)、網(wǎng)絡(luò)、服務(wù)器和其他技術(shù)上。

“你必須監(jiān)控風(fēng)險(xiǎn)暴露自身的位置。將DLP引入到Microsoft Outlook似乎是一個好主意，但它缺少一些安全功能：它沒有加密數(shù)據(jù)、保護(hù)電子郵件附件、以監(jiān)管目的的取證日志或者與其他功能整合。”