1、1多數(shù)安全專業(yè)人員會習(xí)慣將數(shù)據(jù)丟失和數(shù)據(jù)泄漏這兩個術(shù)語混用。然而，技術(shù)上，數(shù)據(jù)丟失意味著我們不知道數(shù)據(jù)在哪里（例如，在筆記本電腦被盜后）， 而數(shù)據(jù)泄漏意味著數(shù)據(jù)的 性已經(jīng)被破壞（例如，當筆記本電腦竊賊將文件張貼到互聯(lián)網(wǎng)上）。2數(shù)據(jù)泄漏防護（DLP）包括組織為防止未經(jīng)授權(quán)的外部各方訪問敏感數(shù)據(jù)而采取的各種行動。該定義包含一些關(guān)鍵術(shù)語。首先，數(shù)據(jù)必須被認為是敏感的， 其含義我們已在本章開頭的一大塊內(nèi)容中討論過。我們不能保證每個數(shù)據(jù)被安全地鎖定在我們的系統(tǒng)中，所以我們將注意力、努力和資金集中到真正重要的數(shù)據(jù)上。第二，DLP關(guān)系到外部各方。如果會計部門的某個人獲得內(nèi)部研發(fā)數(shù)據(jù)的訪問，這會是一個問題，但

2、在技術(shù)上說它不被認為是數(shù)據(jù)泄漏。最后，外部訪問我們的敏感數(shù)據(jù)必須是未經(jīng)授權(quán)的。如果前商業(yè)伙伴擁有我們的一些敏感數(shù)據(jù)，但他們是在其被雇用時曾被授權(quán)獲得的，那么這不被認為是泄漏。雖然這種對語義的強調(diào)可能看起來有點過分，但是用適當?shù)姆绞絹響?yīng)對我們組織的這種巨大威脅是必要的。DLP的真正挑戰(zhàn)涉及到我們組織的整體觀。 這個觀點必須包括我們的人，我們的流程，然后是我們的信息。 關(guān)于DLP的一個常見錯誤是將該問題視為技術(shù)問題。 如果我們所做的是購買或開發(fā)旨在阻止泄漏的最新技術(shù)，我們就很可能會泄漏數(shù)據(jù)。 另一方面，如果我們認為DLP是一個計劃而不是一個項目，并且我們對我們的業(yè)務(wù)流程、策略、文化和人員給予應(yīng)有的

3、重視，那么我們有很好的減輕許多甚至大部分的潛在泄漏的機會。 最終，就像信息系統(tǒng)安全的其他一切方面那樣，我們必須承認，盡管盡了最大的努力，我們總會有不幸的日子。 我們能做得最好的就是堅持這個計劃，使我們不幸日子的頻率減少、程度減輕。3從實際的角度來看，NDLP設(shè)備的高成本導(dǎo)致大多數(shù)組織只在流量咽喉點而不是在整個網(wǎng)絡(luò)中部署它們。因此，NDLP設(shè)備可能不會檢測到在沒有安裝該設(shè)備的網(wǎng)絡(luò)段里流經(jīng)的泄漏流量。NDLP解決方案的主要缺點是它不會保護不在組織網(wǎng)絡(luò)中的設(shè)備上的數(shù)據(jù)。 移動設(shè)備用戶面臨的風(fēng)險最大，因為他們只要離開辦公場所就將面臨這易受攻擊。我們預(yù)計我們的移動用戶人數(shù)會在未來繼續(xù)增加，這將是NDLP的持久挑戰(zhàn)。4EDLP能實現(xiàn)通常NDLP無法達到的防護等級。 原因是數(shù)據(jù)在其創(chuàng)建點是可被觀察的。EDLP的主要缺點是復(fù)雜性。 與NDLP相比，這些解決方案在組織中需要有更多的存在點，并且這些點中的每一個都可能具有獨特的配置、執(zhí)行或身份驗證挑戰(zhàn)。 此外，由于必須部署到可能處理敏感數(shù)據(jù)的每個設(shè)備上，所以其成本會比NDLP解決方案高得多。另一個挑戰(zhàn)是要確保所有都被定期更新，包括軟件修補程序和策略更改。最后，由于純EDLP解決方案不能做