企业迫切需要数据丢失防范措施

在2009年的央视3.15晚会上，将个人隐私泄漏的黑色产业链进行暴光。其中一个泄漏个人隐私的途径就是来自保存有大量个人隐私信息的企业内部，也就是指某些企业的内部员工故意将保存在企业内部的机密数据透露出去。

这样一来，企业不仅要对由自己内部泄漏出去的个人隐私承担相应的法律责任，而且，如果泄漏出去的机密数据是与企业生存密切相关的新产品图纸、销售计划和投标书等内容，那么，企业将要承受的，不仅仅只是法律的问题，而且还会面临严重的经济和无形资产的损失，甚至有些企业会由此而倒闭。

那么，对于目前企业内部存在的这种机密数据泄漏问题，我们有没有什么办法来解决呢？

实际上早在几年前，就有网络调查机构通过调查分析得出企业机密数据泄漏的主要威胁，并不是内自企业外部，而是企业的内部。而且，这种机密数据泄漏方式由于其主要实施对象是人，因而传统的安全防范措施（如防火墙等）对这种安全威胁无能为力。

于是，一些安全产品开发商提出了一种新的数据安全解决方案——数据丢失防范（Data Loss Prevention），来帮助企业应对这种数据泄漏威胁。数据丢失防范也被人们简称为DLP，它是一种运用深层次的内容分析技术，来识别、监控和保护在静止状态、移动过程中和终端设备中机密数据的一种安全产品。

在企业中部署DLP解决方案之后，如果部署得当，那么它就会帮助企业带来下列所示的好处：

1、DLP产品能够帮助我们了解企业网络中想要保护的机密数据的类型，以及这些机密数据目前正位于企业网络中的什么位置或设备之中。

2、DLP解决方案能够贯穿于数据的整个生命周期，帮助我们了解数据生命周期中各个阶段数据所在的位置，以及帮助我们解决需要在什么位置进行控制和如何有效地控制机密数据等问题。

3、DLP解决方案可以加强企业对机密数据的管制。它允许我们限制企业员工对机密数据的访问权限和访问的方式，并审计对保护的机密数据的使用情况。例如记录访问机密数据的员工姓名、访问的方式和访问点，以及是否离开了企业网络和什么时候离开网络的。这样能让企业完全了解各种机密数据的使用情况，并且可以明确数据丢失事件发生后的具体责任人。

4、DLP解决方案还可以帮助企业调整过去不正确的业务操作流程，减少在业务流程中引起的无意机密数据丢失问题。例如，一些员工随意将机密文件保存到自己的U盘当中带离企业，以及员工在工作时间通过即时聊天软件（如QQ、MNS等）与企业外部人员谈论企业机密话题等。

DLP作为一种数据机密性保护技术，并不能解决所有的数据安全问题。例如，DLP解决方案并不能防止数据由于意外原因（如设备故障或自然灾害等）被损坏，也不能防止机密数据被打印、复印、拍照、录音和录像等方式泄漏出去。并且，现在企业的网络结构越来越复杂，互联网应用类型也越来越多，企业中的员工可能在互联网上开设有博客或编写WIKI，以及使用智能手机、PDA和笔记本电脑等可移动设备。我们要想在一个复杂的网络结构中对这么多方面实施全方位的机密数据保护控制，仅仅使用DLP一种技术是很难实现的。

目前的企业正处于全球经济危机时期，所有企业都在想方设法地降低成本。如果在企业中部署DLP解决方案，不仅需要支付一定的DLP产品购买费用，而且有时还需要增加相应的安全技术人员来管理部署好的DLP解决方案，以便它们能一直发挥应有的作用。同时，在当前的企业网络结构中添加DLP解决方案，往往需要对现有的网络结构或员工的操作行为进行一定的调整，这样一来难免对现有的网络业务造成或多或少的影响。

因此，企业在部署DLP解决方案之前，就不得不先对自己提一个问题，那就是我们到底需不需要在企业网络中部署DLP解决方案？

要想满意地回答上述这个问题，我们必需先对企业目前的机密数据使用情况和网络应用状况等有一个全面的了解，看看企业目前是否存在下列所示的这些问题中的几种或全部：

1、企业由于精减部门或缩减成本，需要裁员，或者企业经常有员工自动离职等人员流动情况出现。并且，离职的员工中有许多手头握有企业客户名单、财务数据、企业营销计划或产品开发计划等机密数据。如果不对这些握有重要数据的离职员工进行相应的管理，那么他们的离开将会让企业的这些机密数据泄漏到对手当中或在互联网上传播。

2、企业当中的员工在工作时间内经常使用个人或WEB邮箱发送没有经过加密的包含机密数据的E-Mail给合作伙伴或客户，以及还会使用即时聊天工具（如QQ、MSN）与客户交流。这些未经加密保护的机密数据在网络中传输时就有可能被攻击者通过网络嗅探或中间人攻击的方式得到。

3、企业允许员工在家办公或存在远程分支机构。如果这些能够访问企业内部资源的外部计算机的安全防范工作做得不得力，就有可能成为攻击者进入企业内部网络的安全弱点，从而造成企业内部机密数据丢失。

4、企业目前还不知道机密数据存在于企业网络当中的什么位置，更不知道用什么方法来限制一些对机密数据的非法访问，也没有一种有效的手段来分析和了解这些机密数据的使用情况。所有的这些，将会让这些机密数据在无意之中泄漏出去。

5、企业目前仍然没有好的方法来严格控制U盘、智能手机和PDA，以及CD/DVD刻录机、笔记本电脑等可移动设备在企业网络中的接入和使用。并且对这些设备的来源不是很清楚，也没有什么办法去了解。而这些设备当中会夹带大量的机密数据，在离开企业的保护范围之后，就有可能造成机密数据的损坏。

6、企业发现近年来内部机密数据泄漏事件越来越多，造成的经济和无形资产的损失也越来越严重，已经到企业不能承受的地步。

如果我们所在的企业目前还存在上述这些问题中的几种或全部，那么就有必要在企业中部署DLP解决方案了。另外，如果企业刚好是某种区域性数据保护法规要求之内的企业，例如我国2010年1月1号将要实行的《企业内部基本控制规范》或美国的萨班斯法案等，那么，就算企业目前不存在上述所示的这些问题，仍然需在企业网络中应用像DLP解决方案一样的数据保护方案来遵从这些法规的要求。

【编辑推荐】