预防数据泄露需要多管齐下

    数据泄露问题非常严重、复杂，甚至足以让精明的IT专业人士都束手无策。不过，现在市面上出现了能够助你一臂之力的工具。

    据专家们声称，第一步就是制订政策、培训员工。Young说：“我们告诉客户的其中一点就是，如果你没有针对博客、维基和社交网络等方面制订政策，那么你到头来会面临风险。”他说，员工谈论工作是很自然不过的事情，谈论内容常常会出现在博客上。说白了，博客与街头角落的酒吧或者教友联谊会没什么两样。

    他说：“问题在于，互联网是非常公开的环境。我只要抽出点时间在网上搜索调查一下，就能对大公司内部发生的情况了解得一清二楚。”

    政策加培训通常只是一种权宜之计。IT安全供应商利用这老套的办法来堵住它们的技术所无法堵住的漏洞。毕竟，依赖最终用户行为的任何安全做法都是有风险的。

    不过，由于数据泄露很容易进入到法律领域，特别是如果这种泄露涉及知识产权窃取这一类，那么这种情况下，政策加培训这种做法具有可以量化的优点。一旦数据受到危及，重视数据的公司就能够要求获得比较高的赔偿金。如果粗心大意的员工把不该公布的信息公之于众，公司就能够以正当理由开除这些员工。如果某人被追究泄露敏感信息的责任，内容清楚的政策和定期进行的培训足以反驳员工声称“我不知情”的辩护。

    话虽如此，政策与培训的作用还是非常有限。技术仍然必不可少，不过有助于遏制数据泄露问题的许多工具甚至不是安全工具。

    据Young声称，与社交网络和消息传送应用程序有关的风险常常表明公司存在其他内部问题。他说：“风险源常常是试图解决某个问题的员工。如果企业解决了这个问题，那么这种风险也就不复存在。”

    Crosley补充说，许多公司常常对风险估算不当，通讯工具方面过于保守。它们把注意力放在了错误的方面，没有准确估计与采用技术及忽视技术有关的实际成本。生产力与效率的提高抵消得了部署成本吗？内部控制抵消得了任由员工通过公司后门带入技术的风险吗？

    他说：“如果员工迫切需要好一点的基于万维网的电子邮件系统，就提供给他们。不要让他们使用Gmail，Gmail不是非常安全可靠。”

    除了基于万维网的电子邮箱、虚拟专用网（VPN）和安全无线网络之类的工具外，Young着重提到了电子邮件安全与内容监控是对付数据泄露的下一道防线。他说：“在某些行业、尤其是金融业，电子邮件安全与内容监控必不可少。”

    Crosley建议，如果公司还没有制订政策，或者对新的安全技术不熟悉，应当请供应商过来帮忙。当然，供应商的代表可能会对你说这样的话：“除非你知道与贵公司有关的方方面面，否则很难制订政策。大多数供应商首先会进行审查，这是合理的起步工作”，不过这番话不无道理。

    对于不仅仅满足于安全政策与战略的公司而言，它们可以开始评估数据泄露预防解决方案。新兴公司是这个行业的领头羊，Proofpoint、Provilla、Clearswift和PortAuthority（2007年1月被Websense公司收购）都能适合需要。