数据泄漏防御在企业的应用

核心提示： 数据泄漏防御方案的分类根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案（NDLP）和基于主机的数据泄漏防御方案（HDLP），数据泄漏防御在企业的应用(2)，这和入侵检测系统的分类是很相似的，目前市面上的大部分数据泄漏防御方案都是基于网络类型，企业在选择数据泄漏防御

数据泄漏防御方案的分类

根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案（NDLP）和基于主机的数据泄漏防御方案（HDLP），这和入侵检测系统的分类是很相似的。目前市面上的大部分数据泄漏防御方案都是基于网络类型，有少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署在保存有保密数据的企业内部网络和外部网络连接的出口处，所针对的对象是进出企业内部网络的所有数据，如果发现有违反企业安全策略的数据流入流出，NDLP便会将违规数据予以拦截或采取警报等其他行为。而基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。

为了更形象的说明数据泄漏防御的工作原理，笔者给大家准备了如下的示意图：

在上图我们可以了解到，企业的敏感数据通常存放在文件服务器上(Company sensitive data)，用户通过自己的终端(LAN Desktop)进行访问。LAN Desktop周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源，企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。LAN Desktop和Internet进行的通讯，尤其是最常见的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源，在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。

数据泄漏防御的基本原理如何

市面上的数据泄漏防御方案很多，各厂商的实现也大不相同，企业在选择数据泄漏防御方案时往往有眼花缭乱，无从下手的感觉。其实数据泄漏防御方案的基本原理并不复杂，可以简单的分成以下三类：