敏感数据泄漏途径示意图

随着技术的发展，企业的业务流程及信息处理越来越依赖于IT设施，企业的信息也从最开始的以纸介质为保存媒体，逐渐转变为纸介质和电子介质保存的局面。IT设施的正常运作及电子信息的良好保护，便成为企业业务顺利进行和发展的关键因素之一。

为了保护企业的保密信息不被有意或意外泄漏，一种称为“数据泄漏防御”的技术应运而生。数据泄漏防御技术是通过一定的技术或管理手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

数据泄漏防御原理

市面上有很多数据泄漏防御方案，各厂商的实现也大不相同，企业在选择数据泄漏防御方案时往往有眼花缭乱、无从下手的感觉。其实数据泄漏防御方案的基本原理并不复杂。

如图所示，我们可以了解到，企业的敏感数据通常存放在文件服务器上，用户通过自己的终端进行访问。局域网桌面周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源，企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。局域网桌面和Internet进行的通信，尤其是最普通的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源，在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案来进行控制。

企业如果部署数据泄漏防御方案，将可以在现有的安全方案上，再为信息资产添加一层安全保障，即使在防火墙、反病毒等方案失效的情况下，仍能最大程度地保护企业内的保密数据。但企业也应该清醒地认识到，数据泄漏防御方案所提供的保护，针对的是信息资产的保密性，它并不能提供信息资产的完整性及可用性保护。另外，基于网络和主机的数据泄漏防御方案之间基本不存在重叠关系，其中任意一种方案都基本不能抵御另外一种所要解决的数据泄漏问题。

如何找到最佳方案

如果企业决定要部署数据泄漏防御方案来保护自己的信息资产不受泄漏的威胁，面对市场上纷繁复杂的数据泄漏防御产品，企业应该如何进行选择？

企业应该首先根据自己的安全策略，定义自己的信息资产有哪些，只有清晰地明白自己的安全需求，才能正确地进行方案和产品的选择，这个原则在选择所有IT方案时都是适用的。

接下来企业需要了解自己的IT架构和信息资产的实际情况，然后再选择数据泄漏防御方案的类型。

在选择好数据防御方案的类型后，企业就可以根据自己的安全需求，了解各厂商的数据泄漏防御方案的优缺点，选择并部署最适合自己的数据泄漏防御方案，并真正达到保护企业信息资产的目的。