企业数据的共享从来都不是那么简单。员工可以用邮件添加附件，在云上同步文件，用闪存拷贝几个GB的数据，从外部访问网络上资源等等。这样的优点在于提高了生产力和工作的灵活性。不足就是IT对敏感数据的保护更为艰难，尤其是对内部恶意使用者的防护。企业可以考虑通过终端数据防丢失工具作为终端安全管理的一部分。

　　注意内部人员的工作

　　这个春天，Victorinox发布了最新的Swiss Army Knife,其中包含了一个跳盘可以存储1TB的数据，而且写入速度支持到最大150MBps.借助这样的设备，企业内部的恶意人员出于报复或利益的原因可以盗走整个数据中心。

　　根据Identity Theft Resource Center数据，在2011年全美企业报告的所有数据中心问题中，出现了56起内部人员偷盗案例，占到13.4%的比例。

　　传输大量数据最简单的办法就是拷贝到USB设备，但是希望偷盗信息的雇员还可以通过CD、DVD、平板、笔记本或任何其它可移动媒体下载，这些都可以轻松带出数据中心大楼。

　　但是终端安全管理软件不仅限于可移动磁盘上的数据。对公司不满下决心离开的员工可能通过Web应用、公开网络、文本信息或email附件来发布机密信息。恶意的内部人员还被发现通过无线访问，如802.11无线LAN,个人蓝牙局域网络和宽频广域网等方式访问终端。

　　DLP工具对安全的作用

　　多数企业中，IT人员花费大量精力用于保护敏感数据不受外部攻击。甚至内部恶意访问也可以通过一些最佳实践来降低，例如控制权限、管理网络账户和升级人力资源策略来区分雇佣和解雇。IT不能保证总是勤勉工作，而且在终端数据防丢失方面发生问题很多是因为试图监控和防范潜在风险工作本身的复杂性。

　　这就是终端DLP(data loss prevention (DLP)工具发挥作用的时候。广泛的防护系统应该包含雇员存储数据以及在自己的工作站和移动设备上使用敏感数据等方面内容。DLP工具可以扫描终端上的硬盘，并识别机密信息数据存放的地点和哪些数据面临最大的风险。它们可以针对不同数据类型采取特殊的动作。例如，数据防丢失软件可以隔离敏感数据，把它移动到安全网络地点或对它进行加密。

　　DLP工具还可以监控数据在终端上的使用情况。任何涉及敏感数据的动作，如向跳盘拷贝文件或通过邮件发送附件等都可以跟踪到。

　　监控仅仅是终端安全管理工具的功能之一，例如，数据防丢失软件系统可以防止文件被拷贝到USB设备和通过邮件发送。或者，除了这些防止动作之外，软件还可以加密机密文件。

　　敏感数据防丢失方案中还可以设置向IT人员发出通知或隔离数据。它可能会禁止终端设备，或向其它客户提出申请来检查是否涉嫌数据丢失。

(责任编辑：)