最好的數(shù)據(jù)丟失預(yù)防產(chǎn)品提供了重要的保護措施，以防止組織的敏感信息被泄露。行業(yè)廠商推出了許多DLP產(chǎn)品，并提供保護靜態(tài)數(shù)據(jù)或動態(tài)使用數(shù)據(jù)的全面的解決方案。而還有一些廠商的DLP產(chǎn)品可以提供更專業(yè)的數(shù)據(jù)保護。而DLP還可以集成到其他安全產(chǎn)品中或者作為特定的應(yīng)用程序，如電子郵件和網(wǎng)絡(luò)安全。

　　本文所涉及的產(chǎn)品都是一些進行優(yōu)化選擇的DLP產(chǎn)品。在這里，我們將從行業(yè)廠商Bluecoat，CodeGreen，Computer Associates，英特爾安全（McAfee），Proofpoint，RSA、賽門鐵克、趨勢科技、Trustwave、Websense公司來考察DLP產(chǎn)品，并將為組織提供最佳的數(shù)據(jù)丟失防護產(chǎn)品。這些公司提供所有的DLP產(chǎn)品采購問題和答案都將在此提出，并會得到高度重視。企業(yè)將在這些小型、中型和大型環(huán)境中能夠找到一個可行的產(chǎn)品。

　　但是，為了檢驗這些安全舉措，項目組也需要在選擇最能滿足其需求的產(chǎn)品之前做一些功課。人們對這些DLP產(chǎn)品如何與加密和移動設(shè)備管理（MDM）等其他安全措施一起配合工作特別感興趣。

　　綜合DLP套件

　　安全產(chǎn)品供應(yīng)商如CA技術(shù)公司，Code GreenNetworks，英特爾（McAfee），RSA，賽門鐵克，Trustwave公司，以及Websense公司在數(shù)據(jù)地址使用（終點）提供數(shù)據(jù)丟失保護套件和其余的數(shù)據(jù)（DLPtrifecta）。這些被認為是高度專業(yè)化的產(chǎn)品，通常不執(zhí)行其他的安全功能。它們也可以用于支持技術(shù)，如加密，MDM和身份訪問管理（IAM）的應(yīng)用提供接口。

　　當(dāng)比較這些套件時，請記住，他們的可擴展性會有所不同。通常人們認為，DLP產(chǎn)品是為那些大型企業(yè)所進行的設(shè)計，因此往往需要采用多個專業(yè)和多個服務(wù)器滿足要求。這一趨勢過去幾年已經(jīng)有所改變，然而，以下是現(xiàn)在可以為小企業(yè)提供基于設(shè)備的DLP產(chǎn)品一些廠商。

　?。?）CA技術(shù)公司的DLP

　　CA技術(shù)公司的DLP套件，原名CA Dataminder，現(xiàn)在稱為CA Data Protection。DLP控制可以處理超出傳統(tǒng)實體數(shù)據(jù)中心邊界的敏感數(shù)據(jù)地址，一定要選擇一個產(chǎn)品，其中包括便攜式媒體，云計算和移動DLP保護加密集成。

　　其他的數(shù)據(jù)由CA Data Protection進行分類，采用一個分析數(shù)據(jù)并按既定的政策分類的工具，并與CA Technologies IAM套件整合，將有助于基于用戶屬性和內(nèi)容的認識進行的數(shù)據(jù)分類。使用的數(shù)據(jù)將獲得CA Data Protection的端點保護，能夠監(jiān)控電子郵件、Web郵件、社交媒體、打印，以及將文件復(fù)制到可移動介質(zhì)的保護。傳輸中的數(shù)據(jù)可以獲得由CA Data Protection的網(wǎng)絡(luò)保護。

　　這是一個可以部署到SPAN端口監(jiān)視或內(nèi)聯(lián)來阻止不受歡迎的流量的網(wǎng)絡(luò)設(shè)備。CA技術(shù)公司DLP理想的功能包括與IAM技術(shù)進行技術(shù)集成，并實現(xiàn)精細的分類以及敏感數(shù)據(jù)的訪問控制一體化。該產(chǎn)品是最適合于具備熟練的IT人員和網(wǎng)絡(luò)安全人員的大型企業(yè)。

　?。?）Code Green Networks公司的DLP

　　Code Green Networks公司提供了一個被稱之為TrueDLP的DLP產(chǎn)品。它是基于應(yīng)用的，可以提供更快的部署，適用于規(guī)模較小的組織。此設(shè)備可以作為一個裸機或虛擬設(shè)備。對于企業(yè)模式，傳輸網(wǎng)絡(luò)DLP地址的數(shù)據(jù)，使用終端DLP地址的數(shù)據(jù)，并發(fā)現(xiàn)其他的DLP地址的數(shù)據(jù)。除了支持傳統(tǒng)的企業(yè)模式，TrueDLP還提供了名為CloudDLP云中的DLP工具。Code Green Networks的DLP理想的功能包括設(shè)備的可用性和基于虛擬設(shè)備的版本，具有云DLP控制的可用性和易于部署的特點。該產(chǎn)品適合用于中小企業(yè)。

　?。?）英特爾（McAfee）的DLP

　　英特爾（McAfee）提供了一個可擴展的DLP產(chǎn)品，稱之為McAfee Total Protection?；诮M件的McAfee Total Protection，其中包括McAfee DLP Manager，McAfee DLP Discover，McAfee DLP Prevent和McAfee DLP Monitor產(chǎn)品，并通過McAfeee Policy Orchestrator進行整合（EPO），還有管理端點的組件，其中包括McAfee DLP Endpoint和McAfee DLP Device Control。英特爾案例還提供了加密的數(shù)據(jù)保護套件McAfee Complete Data Protection Advanced，以及McAfeeDLP的端點工具。

　　這套組件提供了政策執(zhí)行加密的文件，文件夾和可移動媒介，并提供了關(guān)鍵的共享方法，使用戶能夠安全地共享文件。該產(chǎn)品適用于使用蘋果FileVault和微軟的BitLocker的設(shè)備。它還提供了強化對冷啟動攻擊的功能。McAfee的DLP產(chǎn)品理想的功能包括應(yīng)用和以虛擬設(shè)備為基礎(chǔ)的可用性，以及EPO集成DLP端點加密工具。這些產(chǎn)品適合于具有熟練的IT和網(wǎng)絡(luò)安全人員的大中型企業(yè)。

　?。?）EMC公司的RSADLP

　　作為EMC的RSA，它提供的RSA數(shù)據(jù)丟失防護套件，由三個模塊組成：

　　•RSADLP數(shù)據(jù)中心模塊地址的數(shù)據(jù)采用了各種信息存儲技術(shù)，其中包括微軟的Windows文件服務(wù)器、UNIX文件服務(wù)器，NAS/SAN，微軟的SharePoint，LotusNote數(shù)據(jù)庫和WindowsPC的本地驅(qū)動器。該模塊還提供了臨時掃描代理，可以掃描大量的存儲資源，而無需使用專用的掃描硬件。

　　•在RSADLP網(wǎng)絡(luò)模塊監(jiān)測敏感數(shù)據(jù)動作，并可以強制執(zhí)行DLP策略，以防止在網(wǎng)絡(luò)上的敏感信息曝光。該模塊可以監(jiān)控和防止敏感數(shù)據(jù)通過企業(yè)郵箱，智能手機，平板電腦，電子郵件，網(wǎng)站和社交媒體帖子，即時通信，加密流量，F(xiàn)TP，甚至普通的TCP流量得以泄露，其中的網(wǎng)絡(luò)協(xié)議可能被用作隱蔽的通信通道。

　　•RSADLP端點模塊監(jiān)測，并防止敏感信息通過在個人電腦上打印，復(fù)制到USB設(shè)備，以及寫入到CD/DVD等方式泄露。此外，它可以使敏感數(shù)據(jù)被寫入到網(wǎng)絡(luò)文件共享或通過基于HTTP協(xié)議的服務(wù)，如Web郵件和社交媒體。RSADLP端點也可以掃描筆記本電腦、臺式機、虛擬機中的所有本地驅(qū)動器上的敏感數(shù)據(jù)。

　　RSADLP套件的功能其中包括應(yīng)用的可用性和基于產(chǎn)品的虛擬設(shè)備，多終端平臺支持，加密集成和移動設(shè)備控制。這些產(chǎn)品適用于具有熟練的IT和網(wǎng)絡(luò)安全人員的大中型企業(yè)。

　?。?）賽門鐵克的DLP

　　賽門鐵克的數(shù)據(jù)丟失防護是一個可擴展的DLP套件，可以部署在高度分布式的環(huán)境中，用于監(jiān)控用戶和設(shè)備，具有良好的跟蹤記錄。另外還具有一個小的業(yè)務(wù)版本，使用一臺具有所有功能的服務(wù)器。該產(chǎn)品是一個內(nèi)容感知檢測服務(wù)器的統(tǒng)一的管理平臺，具有各種平臺其中，包括Windows輕量級終端代理，MAC和Citrix客戶端。DLP服務(wù)器可以部署在Windows和RedHatLinux服務(wù)器中，或在服務(wù)器的硬件或虛擬機中。該套件可以進行內(nèi)部部署，部署在混合云，或通過托管服務(wù)。它支持Symantec DLP云存儲和Microsoft Office 365云部署，并包括移動設(shè)備和移動電子郵件，通過賽門鐵克DLP移動設(shè)備對移動設(shè)備的電子郵件和移動DLP進行預(yù)防監(jiān)控。

　　傳統(tǒng)的企業(yè)架構(gòu)支持賽門鐵克DLP Endpoint Discover和Symantec Endpoint Prevent。動態(tài)數(shù)據(jù)、電子郵件和網(wǎng)絡(luò)由賽門鐵克DLP網(wǎng)絡(luò)監(jiān)視器和NetworkPrevent解決。其余的數(shù)據(jù)是使用賽門鐵克DLP Network Discover，Network Protect,DataInsight和eData Insigh tSelf Service Portal等產(chǎn)品監(jiān)視。此外，賽門鐵克端點加密（SEE）可以與賽門鐵克DLP集成。

　　理想的功能包括多個DLP服務(wù)器操作系統(tǒng)的支持，支持多終端平臺，整合加密，以及移動設(shè)備和云控制。雖然這些產(chǎn)品在可擴展性和全面的，他們適用于具有熟練的技術(shù)和網(wǎng)絡(luò)安全人員的企業(yè)。

　?。?）Trustwave公司的DLP

　　Trustwave公司的數(shù)據(jù)丟失防護功能可以通過Trustwave內(nèi)容控制引擎處理敏感數(shù)據(jù)的監(jiān)測、保護和發(fā)現(xiàn)。對傳輸中的數(shù)據(jù)，這個引擎分析所有的HTTP協(xié)議通信和附件，包括博客和社交媒體帖子。同時分析了FTP和Telnet通信，電子郵件，IM流量和P2P共享文件，以及塊和FTP和HTTP/HTTPS流量，并自動加密，阻斷和隔離包含敏感信息的郵件。最后，這個引擎可以在空閑時調(diào)查數(shù)據(jù)。

　　此產(chǎn)品可以部署在一個獨立的設(shè)備或在一個分布式系統(tǒng)，具有至少一個DLP控制臺設(shè)備，管理一個或多個DLP采集器。理想的功能包括基于設(shè)備，并加密集成。這些產(chǎn)品是可擴展的，適用于具有熟練的信息技術(shù)資源和網(wǎng)絡(luò)安全人員的小型到大型的企業(yè)。

　　（7）Websense公司的DLP

　　Websense公司的DLP模塊部署在Websense的高級持續(xù)性威脅的TritonAP模塊，Tritonap-web和Tritonap-email。對于空閑的數(shù)據(jù)可以使用Tritonap-data檢查。并使用Tritonap-endpoint監(jiān)測數(shù)據(jù)。該工具可以保護MacOSX和微軟終端，并通過可移動介質(zhì)提供了防止數(shù)據(jù)丟失服務(wù)。它包括加密的整合，再加上移動設(shè)備和云DLP控制。它是一個基于設(shè)備的產(chǎn)品，支持多終端平臺，加密集成，以及移動和云DLP控制。這些產(chǎn)品是可擴展的，適用于具有熟練的信息技術(shù)資源和網(wǎng)絡(luò)安全人員的小型到大型企業(yè)。

　　集成的DLP工具

　　不同的公司有著不同的產(chǎn)品，行業(yè)廠商如BlueCoat，Proofpoint的趨勢科技都在提供專業(yè)的DLP產(chǎn)品，但可能只涉及為特定應(yīng)用程序提供一種形式的數(shù)據(jù)丟失保護，如電子郵件，即時通訊，瀏覽網(wǎng)頁或端點安全。在這方面進行產(chǎn)品之間的比較是困難的，但也許應(yīng)該與上面列出的DLP套件所提供的產(chǎn)品相比。這些可以幫助支付DLP套件的費用，幫助企業(yè)對于處理的方式引進DLP技術(shù)控制，可能更符合具有敏感信息的組織的成本效益。

　　綜合或全面的DLP？這是一個問題

　　在購買最好的數(shù)據(jù)丟失防護產(chǎn)品時，DLP項目規(guī)劃者應(yīng)該考慮可以用在他們組織的特定集成的產(chǎn)品。這樣做的目的是利用現(xiàn)有的具有完整的DLP功能的安全產(chǎn)品。為此，項目規(guī)劃者對使用數(shù)據(jù)保護需要什么樣的技術(shù)控制應(yīng)該有一個很好的了解。此外，規(guī)劃者應(yīng)該懂得技術(shù)控制的控制范圍，其中包括可能包含敏感信息的整個企業(yè)的出口點資源或數(shù)據(jù)路徑。一旦規(guī)劃人員知道哪些技術(shù)控制需要使用及其涉及的范圍，然后他們可以查看完整的DLP套件和集成的DLP工具來確定一個DLP套件是否集成了DLP工具，并在組織部署最好的防止數(shù)據(jù)丟失防護產(chǎn)品。

　　BlueCoat的DLP提供了一個監(jiān)控數(shù)據(jù)傳輸和空閑數(shù)據(jù)的設(shè)備，這個DLP應(yīng)用可以部署B(yǎng)lueCoatSG設(shè)備來監(jiān)控和阻止基于SSL的敏感數(shù)據(jù)泄露，它也可以被用來掃描靜止敏感數(shù)據(jù)文件，而數(shù)據(jù)庫服務(wù)器無需部署本地代理。在傳輸模式下的數(shù)據(jù)，它是用來檢測主要是HTTP/HTTPS流量，其中包括Web郵件，以及博客和社交媒體網(wǎng)站的帖子。

　　Proofpoint的數(shù)據(jù)丟失防護模塊可以監(jiān)測SMTP電子郵件傳輸過程中的數(shù)據(jù)。它是通過安全政策和先進的深層內(nèi)容來分析結(jié)構(gòu)化數(shù)據(jù)，如受保護的健康信息（PHI）或信用卡主帳戶號碼，以及非結(jié)構(gòu)化數(shù)據(jù)中發(fā)現(xiàn)的知識產(chǎn)權(quán)或敏感商業(yè)信息的文件。創(chuàng)建結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的策略，并可以封鎖基于文件類型的附件，例如工程圖紙或計算機輔助設(shè)計（CAD）/計算輔助制造（CAM）文件。

　　趨勢科技集成的數(shù)據(jù)丟失保護功能，可以通過其現(xiàn)有產(chǎn)品的輕量級DLP插件進行部署，以解決空閑的數(shù)據(jù)，資料和數(shù)據(jù)的傳輸問題。集成的DLP模塊可以在趨勢科技的Endpoint Security，Mail Server Security，Microsoft Share Point安全性，IM安全網(wǎng)關(guān)，郵件安全，以及Web安全網(wǎng)關(guān)中找到。其DLP策略使用趨勢科技控制管理進行集中管理。

　　集成了DLP工具的安全網(wǎng)關(guān)，如來自BlueCoat和Proof point公司對傳輸中的數(shù)據(jù)進行良好的覆蓋。此外，BlueCoat可以解決過境或空閑的數(shù)據(jù)問題。這些可能在遠程辦公室實施，或作為非DLP套件網(wǎng)絡(luò)監(jiān)控部署在大型辦公室和數(shù)據(jù)中心中。這兩個集成工具可以作為網(wǎng)頁和電子郵件DLP配套產(chǎn)品，而其解決方案可以配套使用。

　　相比之下，集成的數(shù)據(jù)丟失防護提供最大的靈活性和最密集的硬件集成DLP產(chǎn)品。為目前組織提供了一個部署趨勢科技安全產(chǎn)品，它是適用于小型企業(yè)和遠程辦公企業(yè)的一個很好的DLP產(chǎn)品。

　　尋找最佳的數(shù)據(jù)丟失預(yù)防產(chǎn)品

　　在尋找最佳的數(shù)據(jù)丟失預(yù)防產(chǎn)品時，要考慮那些具有控制范圍、可擴展性和易于安裝和維護等所需功能的產(chǎn)品。例如，對于解決敏感數(shù)據(jù)超出了傳統(tǒng)的實體數(shù)據(jù)中心的邊界DLP，一定要選擇包括計算和移動DLP保護加密集成的便攜式媒體。而這些是當(dāng)今DLP產(chǎn)品最可取的特點。

　　你的組織選擇了哪個數(shù)據(jù)丟失預(yù)防產(chǎn)品，為什么？

　　對于集成DLP工具，尋找那些滿足您需要使用的控件。像易于使用的趨勢科技的綜合數(shù)據(jù)丟失防護的輕型DLP產(chǎn)品，并提供像加密集成等一些先進的功能。這對于非常小的企業(yè)來說，這將是一個理想的選擇。

　　對于具有大量節(jié)點卻資源有限的組織來說，基于設(shè)備的產(chǎn)品，如WebsenseAPX和Code GreenNetworks公司的truedlp是很好的選擇。最后，對于大型組織來說，最好采用具有良好的IT和網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)的DLP產(chǎn)品，如賽門鐵克DLP，McAfeeDLP。以及RSADLP。其規(guī)模和所需的功能可以滿足許多大企業(yè)對于DLP的需求。

　　在這篇文章中，我們已經(jīng)看到了多家公司提供的一系列完整的套件或集成的產(chǎn)品。其目的通過簡短的描述和建議，以幫助用戶決定在他們的組織中采用最好的數(shù)據(jù)丟失預(yù)防產(chǎn)品。