日前，IT安全行业专家比尔·海耶斯分析了一些顶级数据丢失防护(DLP)产品的优势和弱点，希望帮助企业做出正确的采购决策。

最好的数据丢失预防产品提供了重要的保护措施，以防止组织的敏感信息被泄露。行业厂商推出了许多DLP产品，并提供保护静态数据或动态使用数据的全面的解决方案。而还有一些厂商的DLP产品可以提供更专业的数据保护。而DLP还可以集成到其他安全产品中或者作为特定的应用程序，如电子邮件和网络安全。

本文所涉及的产品都是一些进行优化选择的DLP产品。在这里，我们将从行业厂商Bluecoat，CodeGreen，Computer Associates，英特尔安全(McAfee)，Proofpoint，RSA、赛门铁克、趋势科技、Trustwave、Websense公司来考察DLP产品，并将为组织提供最佳的数据丢失防护产品。这些公司提供所有的DLP产品采购问题和答案都将在此提出，并会得到高度重视。企业将在这些小型、中型和大型环境中能够找到一个可行的产品。

但是，为了检验这些安全举措，项目组也需要在选择最能满足其需求的产品之前做一些功课。人们对这些DLP产品如何与加密和移动设备管理(MDM)等其他安全措施一起配合工作特别感兴趣。

　　综合DLP套件

安全产品供应商如CA技术公司，Code GreenNetworks，英特尔(McAfee)，RSA，赛门铁克，Trustwave公司，以及Websense公司在数据地址使用(终点)提供数据丢失保护套件和其余的数据(DLPtrifecta)。这些被认为是高度专业化的产品，通常不执行其他的安全功能。它们也可以用于支持技术，如加密，MDM和身份访问管理(IAM)的应用提供接口。

当比较这些套件时，请记住，他们的可扩展性会有所不同。通常人们认为，DLP产品是为那些大型企业所进行的设计，因此往往需要采用多个专业和多个服务器满足要求。这一趋势过去几年已经有所改变，然而，以下是现在可以为小企业提供基于设备的DLP产品一些厂商。

(1)CA技术公司的DLP

CA技术公司的DLP套件，原名CA Dataminder，现在称为CA Data Protection。DLP控制可以处理超出传统实体数据中心边界的敏感数据地址，一定要选择一个产品，其中包括便携式媒体，云计算和移动DLP保护加密集成。

其他的数据由CA Data Protection进行分类，采用一个分析数据并按既定的政策分类的工具，并与CA Technologies IAM套件整合，将有助于基于用户属性和内容的认识进行的数据分类。使用的数据将获得CA Data Protection的端点保护，能够监控电子邮件、Web邮件、社交媒体、打印，以及将文件复制到可移动介质的保护。传输中的数据可以获得由CA Data Protection的网络保护。

这是一个可以部署到SPAN端口监视或内联来阻止不受欢迎的流量的网络设备。CA技术公司DLP理想的功能包括与IAM技术进行技术集成，并实现精细的分类以及敏感数据的访问控制一体化。该产品是最适合于具备熟练的IT人员和网络安全人员的大型企业。

(2)Code Green Networks公司的DLP

Code Green Networks公司提供了一个被称之为TrueDLP的DLP产品。它是基于应用的，可以提供更快的部署，适用于规模较小的组织。此设备可以作为一个裸机或虚拟设备。对于企业模式，传输网络DLP地址的数据，使用终端DLP地址的数据，并发现其他的DLP地址的数据。除了支持传统的企业模式，TrueDLP还提供了名为CloudDLP云中的DLP工具。Code Green Networks的DLP理想的功能包括设备的可用性和基于虚拟设备的版本，具有云DLP控制的可用性和易于部署的特点。该产品适合用于中小企业。

(3)英特尔(McAfee)的DLP

英特尔(McAfee)提供了一个可扩展的DLP产品，称之为McAfee Total Protection。基于组件的McAfee Total Protection，其中包括McAfee DLP Manager，McAfee DLP Discover，McAfee DLP Prevent和McAfee DLP Monitor产品，并通过McAfeee Policy Orchestrator进行整合(EPO)，还有管理端点的组件，其中包括McAfee DLP Endpoint和McAfee DLP Device Control。英特尔案例还提供了加密的数据保护套件McAfee Complete Data Protection Advanced，以及McAfeeDLP的端点工具。

这套组件提供了政策执行加密的文件，文件夹和可移动媒介，并提供了关键的共享方法，使用户能够安全地共享文件。该产品适用于使用苹果FileVault和微软的BitLocker的设备。它还提供了强化对冷启动攻击的功能。McAfee的DLP产品理想的功能包括应用和以虚拟设备为基础的可用性，以及EPO集成DLP端点加密工具。这些产品适合于具有熟练的IT和网络安全人员的大中型企业。

(4)EMC公司的RSADLP

作为EMC的RSA，它提供的RSA数据丢失防护套件，由三个模块组成：

·RSADLP数据中心模块地址的数据采用了各种信息存储技术，其中包括微软的Windows文件服务器、UNIX文件服务器，NAS/SAN，微软的SharePoint，LotusNote数据库和WindowsPC的本地驱动器。该模块还提供了临时扫描代理，可以扫描大量的存储资源，而无需使用专用的扫描硬件。

·在RSADLP网络模块监测敏感数据动作，并可以强制执行DLP策略，以防止在网络上的敏感信息曝光。该模块可以监控和防止敏感数据通过企业邮箱，智能手机，平板电脑，电子邮件，网站和社交媒体帖子，即时通信，加密流量，FTP，甚至普通的TCP流量得以泄露，其中的网络协议可能被用作隐蔽的通信通道。

·RSADLP端点模块监测，并防止敏感信息通过在个人电脑上打印，复制到USB设备，以及写入到CD/DVD等方式泄露。此外，它可以使敏感数据被写入到网络文件共享或通过基于HTTP协议的服务，如Web邮件和社交媒体。RSADLP端点也可以扫描笔记本电脑、台式机、虚拟机中的所有本地驱动器上的敏感数据。

RSADLP套件的功能其中包括应用的可用性和基于产品的虚拟设备，多终端平台支持，加密集成和移动设备控制。这些产品适用于具有熟练的IT和网络安全人员的大中型企业。

(责任编辑：安博涛)