近幾年以來，網絡犯罪活動所引發的數據破壞事故已經頻頻登上新聞頭條并為人們所熟知。然而需要強調的是，大部分此類事故的根源并非攻擊活動本身、而是由于企業負責人未能妥善管理敏感數據所造成。理由很明顯：對于犯罪分子來說，針對此類企業開展個人可識別信息的收集要簡單得多，而這些缺乏充分安全控制方案的組織相當于將大量數據拱手讓給了惡意人士。

[[124247]]

對于數據保護工作而言，最具成效的實現途徑在于采取全面的應對措施。事實上，很多企業往往無法分清敏感數據管理與數據丟失防護(簡稱DLP)軟件這兩類解決方案。在今天的文章中，我們就以此著手進行一番探討。

數據丟失防護(DLP)的意義在于保證關鍵性數據始終處于內部網絡環境的限制之下，從而消除員工在不經意間將其通過郵件發送出去的可能。數據管理則是一整套策略方針，其中包括人為因素、流程以及技術，而技術又涵蓋數據發現、分類、安全治理以及保護等子類。敏感數據管理當中放囊括了對DLP技術的實際應用，但作為一個整體，這套綜合性策略的核心任務在于識別用戶數據的所處位置、哪些數據可能面臨風險、哪些使用者能夠觸及到數據、數據何時被訪問以及如何對數據加以保護。

大多數企業會將以下七個步驟作為最佳實踐整合到自身的數據管理方案當中：

·定義哪些內容應該被企業定義為敏感信息

·了解這些敏感數據所處位置以及哪些使用者對其加以訪問

·根據重要性以及一旦被盜將給企業造成的潛在危害對數據進行分類

·認證數據的合法持有者

·對數據持有者的職責加以控制

·檢測數據是否必要或者已經過時，確認其是否可能帶來不必要的風險

·如果數據已經不必存在則應第一時間予以消除，如果必須保留則對數據中以嚴重保護

而如果企業沒能部署一套高效的數據管理策略，可能引發的后續狀況也許會相當嚴重、而且相關后果也許需要許多年才能被徹底解決，很多遭遇數據安全問題的企業在付出了沉重的代價之后才弄清楚這個道理。下面來看可能由此導致的具體后果：

·合規處罰、法律費用以及保險成本提升。從HIPAA(即健康保險流通與責任法案)到薩班斯法案再到PCI-DSS 3.0，眾多法規明文要求企業對數據加以保護、并需要在未能符合規定要求時接受懲罰。一旦出現這種情況，法律費用以及保險成本也將隨之提升。

·銷售額將不可避免地受到影響。一份Javelin研究報告(由Identity Finder贊助)顯示，在金融、零售以及醫療行業當中，高達三分之一的消費者會在發現企業遭遇數據安全問題后失去對其的信任。

· IT成本不斷提高，效率卻持續下降。過度龐大的數據規模不僅很容易造成信息安全問題，同時也會占據大量企業網絡資源并導致數據定位任務變得很難實現。更重要的是，為客戶賦予的信息提供全面保護是企業不可推卸的義務與職責。

各行各業的從業組織都需要在數據管理領域準備一份令人滿意的答卷。很多企業保留的數據量高于其實際需要，因此面臨著重要信息被盜或者泄露的巨大風險。在如今這個高速發展的時代，網絡犯罪分子們幾乎每天都在調整并改進自己的攻擊手段，這就意味著企業必須打理好自己手中掌握著的所有數據片段，對其進行分類、保護以及訪問管理。數據泄露已經夠糟糕了，但數據丟失帶來的后果將更為可怕——每一家尚未對此引起重視的企業都需要盡快意識到這一點。

原文鏈接：http://www.darkreading.com/attacks-breaches/data-management-vs-data-loss-prevention-vive-la-difference!/a/d-id/1317707