【IT168 专稿】根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型，少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处，所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。

　　一、数据泄露防护（DLP）概述

　　1、什么是数据泄露防护

　　数据泄露防护的通常解释是：通过一定的技术或管理手段，防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。“数据泄漏防护”(Data leakage prevention, DLP)，有时也称为“信息泄漏防御”(Information Loss prevention, ILP)。

　　根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型，少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处，所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。

　　关于DLP，目前适合中国信息安全状况的基本解释如下：

　　数据流失保护：全面的控制和基于用户的绝对可见

　　透明强制加解密：对受保护的文件通过驱动层强制动态加解密

　　文件权限控制：文件权限可控、可回收、可监控

　　终端加密：整个硬盘加密、移动介质、文件和文件夹的强加密

　　文档外发控制：外发文档权限精准控制

　　设备控制：防止未授权的移动介质使用

　　2、数据泄露防护（DLP）产品线

　　目前国外主流的DLP厂商有Reconnex（被McAfee收购），另外还有Verdasys、Vericept、 Websense、RSA（被EMC收购）和 Symantec等。国内著名的DLP厂商有北京亿赛通。

　　DLP是一套完整的体系，也是多种系统的集成，用以解决不同类型的用户的不同需求。国外DLP方案多数是基于网络的，这主要是因为国外用户的网络环境和信息化水平与国内大不相同。这种基于网络的DLP比较符合国外用户的需求。而中国国内的信息化现状来看，比较适合采用基于主机的DLP解决方案。