數據丟失防護(DLP)是企業信息安全團隊工具包中日益流行的解決方案。然而，選擇DLP系統的標準往往是模糊的，就像是購買防腐劑的清單一樣。因此，他們會選擇一個使用了更具侵入性的廣告和承諾附加功能的品牌，并且所有這些都會帶有一個吸引人的價格標簽。

[[382853]]

需要注意的是，這些系統提供了許多營銷手冊中沒有列出的功能。在這里，錯誤選擇的成本要比錯誤購買家用化學品的成本要高得多。信息安全專家最好仔細檢查這些特性，而不是對可用功能進行一個形式上的比較。

如今，許多DLP系統都提供了不同的復雜程度以供選擇。比較表中所提到的額外功能總是一種誘惑，但它并不一定意味著額外的優惠將能夠滿足客戶的期望。在匆忙推出產品的過程中，一些軟件發行商可能會忽視了對產品質量、用戶體驗和可靠性的保證。

技術上成熟的企業解決方案的主要優勢是供應商可以適當地維護它并發布新的功能。DLP系統通常是基于三年或五年的規劃期來選擇的，因此符合當前需求并不是唯一的選擇標準。你需要了解供應商的發展方向，并預測貴公司未來可能面臨的任務和問題。

在理解解決方案有多好以及你的投資是否會為你帶來完全符合基本企業軟件標準的產品方面，以下考慮將為你指明正確的方向。

內容攔截

DLP系統旨在阻止由員工失誤或惡意軟件所引起的數據泄漏。主動終止可疑操作是實現此目標的唯一方法。然而，一些公司會選擇在監控模式下利用這些解決方案，而不是直接篡改數據移動。

與此同時，所有信息都是存儲在檔案之中，安全高管經常是在事后才會對泄漏做出反應。也就是說，對內容屏蔽功能的需求可能會失去優先權，因為它們對主動使用是沒有計劃的。

通過采取侵入性較小的監控路線，信息安全專業人員也可以嘗試避免DLP系統的誤報或故障。例如，如果解決方案通過中斷電子郵件或其他同等重要的服務而對可疑事件反應過度，其后果可能反而會超過數據泄漏的后果。

這種缺陷通常是那些提供了稀缺配置選項的不成熟DLP系統所固有的。由于缺少阻塞模式而發生的數據泄露可能會非常繁瑣，而且恢復起來成本高昂。此外，越來越多的國際法規(如歐盟的GDPR)也已經開始要求組織使用內容屏蔽來防止數據泄漏，公司可能會因為違規而需要支付巨額罰款。

由于技術原因，DLP工具所監督的一些通信機制可能無法被阻塞。例如，由于Telegram和WhatsApp所使用的數據加密技術的特殊性，被動監控將是它們的唯一選擇。然而，當檢測到異常活動時，如果DLP系統不支持阻止電子郵件、打印機、USB端口以及基于HTTP/HTTPS的網絡服務，它將是低效的。

政策和內容分析

并不是所有現在的DLP系統最初都是作為成熟的保護工具來設計的。一些開發人員從一開始就整合了一個安全層，并補充了額外的控制措施，以便能夠在稍后監視其余的通信通道。由于原始模塊的限制和獨特特性會要求必須與后續的架構增強保持一致，因此結果可能與最終產品的預期效率不相一致。

因此，DLP系統如何實現內容分析的特性或許可以為你提供關于其發展起點的線索。例如，如果受監控設備上的端點代理使用了SMTP協議來將數據提交給DLP服務器進行分析，則可以安全地推斷該解決方案在初始階段可能僅包含了電子郵件檢查模塊。在這種情況下，代理可能不會從服務器接收分析結果。如果是這樣，則在打印文件或將文件保存到驅動器的情況下，內容屏蔽是不可能的。

這種實現的另一個薄弱環節是，它需要依賴于與服務器的永久連接，這意味著網絡擁塞可能會中斷該過程。檢查DLP解決方案是否可以區分網絡流量的優先級是一個好主意。

使用經過深思熟慮的體系結構，內容分析就能夠在策略生效的位置、端點代理級別執行。這樣，就不需要通過網絡提交大量的數據，而且流量優先級問題也不會是安全問題的一部分了。

沒有連接到企業網絡

除了實現內容分析和應用企業策略外，DLP代理還需要向服務器發送事件日志、不同文件的影子副本和大量其他信息。如果服務器的數據存儲庫不可訪問，這些有價值的細節就不應丟失。通常，這些信息會保留在本地磁盤上，并需要在連接恢復后立即提交給服務器。

根據服務器連接狀態的不同，應該采用不同的策略。它們需要在建立連接、通過虛擬專用網服務連接端點或連接關閉時進行指定。這一點在持有公司發行的筆記本電腦的員工不在辦公室時將尤其重要，例如在出差或在家遠程工作時。

便利性

對于系統使用和管理的便利性，不同的用戶可能有不同的觀點。有些人更喜歡使用命令行來管理DLP，而其他人則更喜歡通過腳本語言來設置策略和規則。在許多情況下，一個精簡和直觀的界面的可用性可以被解釋為一個高質量產品的標志，因為它的重要模塊也可能同樣設計良好。

當談到界面的用戶體驗時，要考慮幾個細微差別。首先，最好是一個一體化的管理儀表板。網絡控制臺現在是最常見的。它們能夠在不同的平臺上得到支持，不需要任何額外的軟件，而且在移動設備上也很容易使用。

如果一個產品提供了單獨的控制臺來處理不同的模塊，這就意味著它不是作為一個單一的、全面的系統來創建的。這些組件有可能是被不同的軟件工程團隊或供應商集成到解決方案中，然后在開發周期中相互鏈接的。

一個精心定制的系統的另一個方面可以歸結為所謂的“全渠道”政策。舉個例子，如果你需要設置一個策略來管理法律合同，那么你可以只設置一次，然后指定它應該包含的頻道(電子郵件、USB驅動器、web服務等)。

而在一個設計粗糙的DLP系統中，你將必須為每個通道分別創建類似的策略。雖然起初這看起來沒什么大不了的，但隨著保單數量的增加，情況就可能會變得一團糟。當它們有幾十個，并且它們的規則定義了包括時間框架和用戶組在內的多管齊下的條件時，讓它們保持同步就會變得非常麻煩。

服務器數量的要求

DLP設計不成熟的另一個跡象是系統正常運行所需的服務器數量過多。例如，如果一個多達100名員工的試點項目需要一臺以上的服務器時，這樣的架構就可能需要改進，并且很可能在生產階段就需要額外的資源。

一流的解決方案可確保進行全方位的均衡擴展。對于大型組織，應該有一個選項來隔離一些系統組件，并為每個組件分配單獨的服務器資源。但是，對于較小的計算機網絡來說，保持DLP系統平穩運行的服務器數量不應該不成比例。

靈活實施

一個值得稱道的DLP系統應該在實現機制方面提供足夠的回旋余地。這不僅使解決方案與現有數字基礎設施的結合變得更加容易，還允許你在功能和處理負載之間取得平衡，同時保持對多個通道的控制。

如果跨DLP頻譜的幾個系統提供了在端點代理級別控制所有信道的選項。供應商就可以通過減少開發時間和軟件工程支出來從這樣的工具中獲益。

這種架構不太符合企業級的標準。因為在網關層管理網絡通道將更有意義。對于大規模的DLP部署來說，這可能是唯一合理的選擇。除了使用端點代理來作為控制數據移動的來源之外，一個有效的DLP工具還提供了以下可選的實現方式：

• 郵件服務器集成。這種策略還允許你監控你的內部電子郵件。
• 選擇從技術郵箱接收郵件通信。
• 使用互聯網內容適配協議(ICAP)來與現有的互聯網網關集成。
• 獨立的郵件傳輸服務器。

主要供應商提供了他們自己的代理服務器，這些服務器可以與DLP系統無縫集成，以監控HTTP和HTTPS流量。

云基礎設施

由于許多公司正在轉向遠程工作模式，也會同時希望能夠節省安全服務方面的費用，因而云DLP解決方案的質量和數量肯定會得到增長。如今，通常會需要將DLP系統的服務器組件也保存在云中。這種情況通常會發生在試點項目或小型組織當中。

DLP系統的存檔通常會包含所有的公司機密，沒有多少企業主愿意將其置于不受控制的環境當中。但是，如果DLP系統不支持在云中托管服務器模塊的選項，就可能會在某個時候產生不利后果。

而想要控制云存儲和服務也會存在一些問題。例如，當組織在使用Google Workspace (更名為G套件) 或Office 365郵件服務時，就可能會發生這種情況。這里有很多細微差別。例如，要訪問郵件服務器，你可以同時使用瀏覽器和經典客戶端(如Microsoft Outlook)。而對于每個選項，你都必須應用不同的協議。

此外，在組織中使用云存儲時，有必要確定DLP系統能夠定期的掃描所有的云文件夾，以監控存儲在那里的機密信息。為了解決這些問題，一個全新的解決方案集群--云訪問安全代理(CASB)--將應運而生。就正在解決的任務而言，這些系統在概念上會接近于DLP。

與其他企業安全系統的集成

在這種情況下，我并不意味著是指與Microsoft Active Directory的集成，因為默認情況下，這應該是當前任何DLP系統中所內置的功能。相反，我指的是與以下類型的解決方案的集成：

• 安全信息和事件管理(SIEM)。這可以說是公司安全生態系統中最常見的兼容性缺陷之一。每個信息安全專家都希望DLP中的事件能夠與SIEM集成。盡管絕大多數現代SIEM系統都能夠從DLP數據庫下載數據，但如果DLP解決方案能夠支持像Syslog和CEF這樣的現成協議，這種串聯將會更加有效。如果是這樣，你就可以配置DLP系統，使其始終處于SIEM數據庫中的信息之上。
• 企業數字版權管理(EDRM)。這些類型的系統補充了DLP解決方案，反之亦然。當兩者結合在一起時，只要進行適當的配置，就會形成一個堅固的保護層。在這個場景中，DLP沒有解釋EDRM策略的問題，并且可以在自己的策略中使用它們的一些規則，這些策略將涉及生成報告或搜索存檔等活動。此外，DLP系統也可以根據預定義的原則充分利用一些EDRM策略。
• 數據分類系統。最好的DLP工具應該能夠處理由Titus和Boldon James等數據分類系統所嵌入文檔中的標記和標簽。如果臨時服務已經完成了這個冗長的過程，那么就可以在數據分類方面采取捷徑。

多平臺兼容性

一個好的DLP系統應該兼容不同的端點平臺。最基本工具的功能可能會僅限于Windows的支持。不過，這可能是不夠的。誰知道呢，也許有一天我們會需要大規模的轉向Linux。好消息是，一些DLP系統已經為Windows、Mac和Linux提供了代理模塊。

此外，還應該提到運行iOS和Android的移動設備。由于技術原因，目前幾乎不可能為智能手機和平板電腦來創建一個完全成熟的代理，尤其是蘋果所制造的智能手機和平板電腦，它們也受到了各種攻擊。在這種情況下，web控制臺將是在旅途中與DLP交互的最佳方式。因此，在實施自帶設備戰略時，你可以(也應該)使用移動設備管理(MDM)解決方案。它將允許你使用移動操作系統內置的功能，創建隱私策略，并將數據泄漏的風險降至最低。

DLP系統的發展是異構的。這一因素會影響到它們的完整程度、良好協調的功能以及支持單個信息分發渠道的能力。在現代社會，這對解決方案的價格和隨后的維護成本也會產生影響。然而，一個可靠的DLP是值得投資的，因為它可以解決不同的安全問題。