部署終端數(shù)據(jù)丟失防護(hù)可能是所有DLP(數(shù)據(jù)丟失防護(hù))項(xiàng)目中最令人恐懼的一步。軟件供應(yīng)商提供的功能集五花八門(mén)，恐怕沒(méi)有哪個(gè)組織可以毫無(wú)憂(yōu)慮地加以處理。

這里有五個(gè)技巧可以幫你避免常見(jiàn)的隱患，同時(shí)成功的保護(hù)企業(yè)數(shù)據(jù)：

1.在靜態(tài)工作站鏡像上測(cè)試是非常不錯(cuò)的，但數(shù)據(jù)丟失防護(hù)的大多數(shù)問(wèn)題出現(xiàn)在首次將其部署到使用數(shù)據(jù)的用戶(hù)。

在你推出部署數(shù)據(jù)丟失防護(hù)解決方案的第一個(gè)部門(mén)確定一些關(guān)鍵用戶(hù)，根據(jù)需要對(duì)他們進(jìn)行培訓(xùn)，并在測(cè)試階段與他們密切合作。通過(guò)關(guān)鍵用戶(hù)的幫助，可以避免非技術(shù)業(yè)務(wù)部門(mén)測(cè)試中出現(xiàn)的問(wèn)題，也可避免部署中沒(méi)有任何用戶(hù)反饋的情形發(fā)生。

2.確保你的目錄服務(wù)器是最新和準(zhǔn)確的（這實(shí)際適用于任何形式的數(shù)據(jù)丟失防護(hù)部署）。

如果你試圖根據(jù)計(jì)算機(jī)組而不是用戶(hù)角色來(lái)管理策略，可能會(huì)產(chǎn)生策略沖突（特別是當(dāng)用戶(hù)發(fā)生了變動(dòng)）。大部分組織將他們的數(shù)據(jù)丟失防護(hù)策略設(shè)計(jì)成根據(jù)用戶(hù)角色應(yīng)用不同的策略，例如，財(cái)務(wù)部門(mén)就比客戶(hù)支持代表有更多的自由來(lái)處理財(cái)務(wù)信息。即使一個(gè)計(jì)算機(jī)組已經(jīng)映射到一個(gè)業(yè)務(wù)單元或該業(yè)務(wù)單元中的一個(gè)特定用戶(hù)，在下次更新時(shí)可能會(huì)破壞該策略。依據(jù)用戶(hù)以及組或者角色要比依據(jù)計(jì)算機(jī)來(lái)管理好得多，即使這意味著你首先需要花一些時(shí)間對(duì)你的目錄服務(wù)器進(jìn)行調(diào)整。

3.建立適應(yīng)用戶(hù)在你的數(shù)據(jù)丟失防護(hù)網(wǎng)絡(luò)內(nèi)和非受控的網(wǎng)絡(luò)之間變化的策略。

例如，在你的網(wǎng)絡(luò)內(nèi)有一個(gè)數(shù)據(jù)丟失防護(hù)策略檢測(cè)和阻止你的客戶(hù)數(shù)據(jù)庫(kù)中的信用卡號(hào)傳輸，當(dāng)終端離開(kāi)公司網(wǎng)絡(luò)時(shí)，在終端上的策略發(fā)生變化，允許正常的使用信用卡。這是完整的數(shù)據(jù)丟失防護(hù)工具和其終端代理諸多特性中的一個(gè)，但不是全部。部分文檔匹配和數(shù)據(jù)庫(kù)指紋策略非常占用內(nèi)存，遠(yuǎn)遠(yuǎn)超過(guò)了用戶(hù)的筆記本和臺(tái)式機(jī)的能力（假如用戶(hù)在數(shù)據(jù)丟失防護(hù)之外還要處理其他的事務(wù)）。切換一個(gè)模式匹配策略，例如正則表達(dá)將會(huì)增加誤報(bào)，但會(huì)減少對(duì)電腦性能的影響。你也可以設(shè)置策略切換到監(jiān)控/警告模式，而不是阻塞模式來(lái)進(jìn)一步減少對(duì)用戶(hù)的影響，雖然安全風(fēng)險(xiǎn)較高。

4.首先關(guān)注終端發(fā)現(xiàn)和USB保護(hù)。

在一系列的終端數(shù)據(jù)丟失防護(hù)工具中，發(fā)現(xiàn)（查找本地硬盤(pán)上的敏感信息）和USB監(jiān)控/阻塞是最重要的兩個(gè)功能。幫助跟蹤用戶(hù)在受認(rèn)可的企業(yè)應(yīng)用程序之外獲取敏感信息，和在本地存儲(chǔ)或共享敏感信息的行為也是終端數(shù)據(jù)丟失防護(hù)的重要特征。一旦啟用終端發(fā)現(xiàn)，選擇增量掃描（如果你的產(chǎn)品提供了該功能）；沒(méi)有人希望他們的電腦因?yàn)槊恐苋玳g的殺毒掃描而突然停止，而每周四又進(jìn)行數(shù)據(jù)丟失防護(hù)掃描。同時(shí)確保你掃描的位置不只是用戶(hù)的默認(rèn)文件目錄，因?yàn)樗麄兒苌贂?huì)把所有文件放在同一個(gè)位置。最后，如果你允許用戶(hù)使用本地的微軟Outlook PST文件，確保你的產(chǎn)品可以?huà)呙鑀ST格式的內(nèi)部去捕獲移動(dòng)到本地存儲(chǔ)的郵件。

5.慢慢來(lái)，逐步推出代理和策略。

在完成你的初步測(cè)試后，一個(gè)組一個(gè)組的推出那些策略來(lái)確保產(chǎn)品具有良好適用性，這樣以來(lái)不會(huì)給你的事件響應(yīng)團(tuán)隊(duì)造成太大壓力。當(dāng)用戶(hù)第一次開(kāi)始使用數(shù)據(jù)丟失防護(hù)時(shí)，幾乎每一個(gè)DLP客戶(hù)都會(huì)出現(xiàn)大量的策略違反報(bào)告，直到用戶(hù)自我訓(xùn)練到可以更好地管理受保護(hù)的信息之時(shí)這一情況才會(huì)得到緩解。這個(gè)過(guò)程應(yīng)該如下：在一個(gè)小的用戶(hù)組中執(zhí)行一個(gè)策略，然后擴(kuò)大這個(gè)策略（和代理安裝）持到達(dá)到你設(shè)定的覆蓋范圍。一旦第一個(gè)策略工作良好，用同樣的方式推出第二個(gè)策略，雖然你現(xiàn)在不必?fù)?dān)心安裝新的代理。

雖然這些提示不是部署和管理終端數(shù)據(jù)丟失防護(hù)的所有方面，但仍有助于避免一些最嚴(yán)重的缺陷，并更快的實(shí)現(xiàn)你的新工具帶來(lái)的安全價(jià)值。

【編輯推薦】

1. 技巧分享：動(dòng)態(tài)ARP檢測(cè)防止中間人攻擊
2. Window 7實(shí)戰(zhàn)技巧避免硬件安全問(wèn)題
3. 建立屏障：防止端口掃描與網(wǎng)絡(luò)監(jiān)聽(tīng)