数据泄漏防御的定义

　　为了保护企业的保密信息不被有意或意外泄漏，一种称为“数据泄漏防御”(Data leakage prevention, DLP)，有时也称为“信息泄漏防御”（Information leakage prevention, ILP）的技术便应运而生。数据泄漏防御技术是通过一定的技术或管理手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

　　数据泄漏防御方案的分类

　　根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案（NDLP）和基于主机的数据泄漏防御方案（HDLP），这和入侵检测系统的分类是很相似的。目前市面上的大部分数据泄漏防御方案都是基于网络类型，有少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署在保存有保密数据的企业内部网络和外部网络连接的出口处，所针对的对象是进出企业内部网络的所有数据，如果发现有违反企业安全策略的数据流入流出，NDLP便会将违规数据予以拦截或采取警报等其他行为。而基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。

　　企业的敏感数据通常存放在文件服务器上(Company sensitive data)，用户通过自己的终端(LAN Desktop)进行访问。LAN Desktop周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源，企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。LAN Desktop和Internet进行的通讯，尤其是最常见的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源，在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。