【IT168 专稿】关于数据丢失防护(DLP)技术最常见的误区之一是DLP是由IT安全团队拥有并实施的技术。事实上，DLP并不是严格意义上的安全项目，而是广泛的数据保护计划的一部分，需要人员和技术过程共同参与。

　　在第一部分中，我们探讨了在为内部使用数据部署安全控制之前建立组织政策的好处（企业DLP指南：为数据丢失防护做好准备）。现在，有了管理数据保护控制，让我们看看企业应该如何开始设计和部署DLP以帮助执行这些控制。

　　DLP解决方案可能作为企业级产品、第三方/代理商工具包或者附加(DLP-lite)解决方案来提供，这些形式都提供了不同水平的功能。并不存在“正确”选择，因为每种形式都分别适合不同规模和类型的企业。

　　这就是说，需要注意的是，虽然渠道或附加DLP解决方案提供有针对性的风险缓解，但企业解决方案能提供一个更具扩展性和统一的基础设施来执行数据保护政策，而不管数据在哪里：动态、静态还是正在使用中。如果你需要在短期内部署一个代理商工具包，但是你的长期计划是倾向于企业解决方案，那么可以考虑根据需要部署企业解决方案的部分组件。就像你买车之前会做一些调查一样，你需要看看DLP有哪些功能，哪些产品具有你想要的功能，哪些产品在你的预算之内。例如你可以从安全研究机构(例如Gartner和Forrester)获取相关信息，他们通常会为如何选择DLP产品提供不同的见解。没有哪个DLP技术是适合所有企业的。

　　在查阅参考资料后，你应该能够确定几个满足你企业数据保护要求的DLP解决方案。正如我们在第一部分中讨论过的，你可以将这些信息与成熟度评估相结合，来帮助你从不同标准评估这些DLP解决方案。

　　评估DLP产品最常见的标准包括：管理难易程度、业务整合性、基础设施复杂性和总体拥有成本。

　　在你制定评估矩阵时，你会很明显地发现，一些标准比其他标准更加重要。另外，在矩阵中加入权衡系统可以让企业评估每个标准对企业的重要性。请确保考虑你预先建立的业务关系(例如业务合作伙伴)以确保技术安全控制始终符合业务目标。

　　在你选择了DLP工具包后，将整个DLP解决方案以单阶段方法来部署似乎很具吸引力，但这种做法可能是一个大错误。这种笼统的部署方法可能导致无法与业务目标保持一致，并且之后不能轻易地被重新设计。

　　部署DLP最好的办法是分阶段部署，但是是相互依存的，以减少错误交付的可能性。另外，你可以创建一个部署计划与所有利益相关者分享。这能够确保所有相关人员都参与进来，同时向高层人员展示数据保护计划的进展情况。

　　不管你是在部署企业解决方案、代理商工具包或者附加产品，你需要确保你的DLP架构是可持续的和可扩展的，以适应未来增长。想象一下设计一个商场的情况。工程师和建筑师都知道他们需要设计一个足够大的商场以容纳足够数量的公司，可以很容易地导航和管理，并且允许顾客最大限度地进行购物。同样的，DLP解决方案的建设者必须记住虽然它将用于一个根本目的，但它必须为企业提供多种功能。

　　除了DLP技术本身，企业应该考虑部署物理保护控制以减少数据泄露的风险。物理安全专业人员会使用环境设计预防犯罪(CPTED)来控制人为因素，以作为减少犯罪发生的预防手段。

　　为了支持DLP和减少内部威胁，你可以在四个方面使用CPTED原则：设计有效监控人员活动的场所;最低特权访问权限控制;对控制区域设立边界;允许对空间的持续安全使用。为了成功地部署数据保护控制，你必须确保技术和物理安全控制符合业务目标。在选择合适的数据保护控制之前，你需要知道这个技术能做什么和不能做什么。并且你需要认识到企业会随着时间推移而变化和发展，这会改变优先次序和控制。部署数据保护计划对于每个企业都是至关重要的，并不一定是一个痛苦的过程。关键在于让DLP帮助业务工作做得更好更安全，而不是作为业务的障碍。