回答：fantasy ( IT邦初學者9級 )

時間：2008-09-05 10:51:22

DLP有稱"Data Loss Prevention",也有稱"Data leakage Prevention"
可是wikipedia註冊的卻是這個"Digital Light Processing"
(參考:http://en.wikipedia.org/wiki/DLP)
還好您有說明是資料遺失,不然現在一堆重複的英文簡稱還真會搞混了

個人覺得選擇方案前,應該先回歸到資料的層面來考量
所有的方案不外乎分為底下幾種分類:
(1)是積極防護?還是消極防護?
積極防護的(像TFG)是從資料開始存入硬碟就開始進行保護,而某些方案則是進行複製或檔案傳輸時才做保護,而最消極的是使用者自行判斷是否要做保護,比如加上個人簽章或開啟密碼的工具。

(2)要保護資料不被刪除?還是要保護資料不會外洩?
這兩者有很大的區別,以資訊單位來看,最重要的課題是如何確保資料不會被使用者誤刪,這除了傳統的備份回存之外,還有更進一步的snapshot或CDP技術等方案。而後者則是一些資安的產品所focus的領域,會對資料進行加解密的動作,以防止機密資料不會因人為因素而不小心外流。

(3)要安全?還是要方便?
這是資安解決方案難以取捨的兩難,要安全一般使用就不太方便,就因為不方便所以安全性才會高。但相對要方便的話安全性就不高,比如加密過的檔案,客戶如果要能開啟,就得需要有公鑰才有辦法。但公鑰如何提供,有無可能外洩又是另外一個容易被忽略的問題。還要注意有些方案需每年更換私鑰,如果忘記將每年的私鑰備份,有時很可能連自己以前所作的檔案都開不了,這樣夠安全了吧。

(4)要集中管理?還是要分散管理?
一般來說集中式的管理方案會比較安全,但相對系統的可用性就非常重要,否則當硬體發生問題的時候,需要這個系統的相關單位可能就全部停擺了,所以大部分多會搭配cluster架構來建置這個系統。分散式則不至於有這樣的困擾,但缺點就是可能每部電腦都得另外加裝代理程式,或是得人工自行額外處理才能做資料的加密保護﹔而且可能會有個風險就是,要是使用者偷懶的話,機密資料還是有可能會外洩或不小心刪除了。

(5)要事前預防?還是要事後補救?
大部分的資安方案可概略分這兩種模式,前者會從資料的儲存就開始進行管控,除了加密外,很可能傳輸或攜帶還得透過審核流程才能取得權限;若是資料刪除的保護,也同樣得經過縝密的流程才能達成。而後者則是單純的記錄資料存取的相關記錄,並不會針對使用者的使用進行太多的管控,只是當發生問題,才會透過相關記錄來追查肇事者;而資料的刪除除了Log記錄外,大多會以備份或搬移的方式來處理,以便於之後如發現誤刪的話,可以從這些地方復原原本的資料。

由於大部分的人使用公司電腦除了處理公事外,也經常會處理個人私事
所以在資料的監控、審核、儲存、保護、清除的作業上
得注意在保障公司機密資料時,很可能連個人私密資料也一起涵蓋在內
所以很可能一不小心會碰觸到的侵犯個人隱私的法律問題
系統僅是一個輔助整個資訊安全管控的管理工具而已
但真正要做到滴水不漏又不觸犯個人隱私的資安環境
還是得需要相關的規範、流程、制度與管理(人員)配合
才有可能達成企業的需求與目標
否則就會跟之前政府所發生的問題一樣
最大的洩密或資料"誤刪"者就是-----系統管理者(最高權限者)

參考資料：個人經驗