如何有效的保护数据安全，防止数据泄露

1.DLP解决方案能系统的解决敏感数据泄露的问题吗？

数据防泄漏是个庞大的系统工程，也要分个前中后期，DLP解决方案在整个工程中是比较后期的事情，是落地阶段的事情。单单一个DLP方案是不够的，还要配合着其他维度的方案一起解决，比如底层数据的加密、脱敏，应用层的数据遮蔽，虚拟桌面数据隔离等等。前段时间测试部署了一个基于边缘计算的虚拟桌面项目，很创新，对于呼叫中心、柜面操作员等标准化操作的终端来说，是个很好的敏感数据保护方案。

2.DLP方案能解决些什么问题

DLP解决方案看起来很完整，但实际上能解决的问题是有限的。个人认为，敏感数据管理大体上来说主要分为“一次获取”和“二次传播”两个阶段。“一次获取”主要还是访问控制做的好点比较重要。而DLP方案发力的重点实际上应该是在“二次传播”的保护上，也就是数据落到本地终端之后的传播管控。

3.零信任架构如何帮助敏感数据保护

就像前面说的，个人认为敏感数据保护这个事分为“一次获取”和“二次传播”两个阶段，零信任解决的是最小授权的问题，所以它能给“一次获取”的这个阶段提供一个好的建设方向。

4.DLP项目实施过程有坑吗

DLP本身分为网络和终端两个解决方案，网络上面的解决方案优点是侵入性低、部署快速、覆盖面大（却不完整）。但缺点也很明显，因为加密通信的问题，大部分流量无法监控到内容，基本上属于形同虚设的状态。所以，个人认为，DLP方案重点应该在终端做。

既然在终端做，适配性的问题和绕过的问题就是重点了，这个就考验公司的终端标准化水平了。如果都没办法统一管理统一推送安装，就很难搞；或者管理员权限没回收，可以随意卸载卸载了还发现管理不了，也很难搞；Linux和Mac机器比较多，也很难搞，Mac倒是有些厂商支持，但是能力清单和Windows是完全不同的，算是残缺版吧，Linux就呵呵了……

到了运营阶段，海量的误报是巨大的困境，如何进行策略优化，做到天网恢恢疏而不漏就是精细化运营的事情了，策略专题性调整，持续的违规行为邮件或弹窗消息警示，都是好办法。

5.敏感数据防泄漏项目一般怎么做

大体上来说，分几个阶段，明确目标，框定范围，调研现状，愿景设计，路线图规划，解决方案评估，落地实施，持续运营

目标明确和范围明确很重要，总的来说一个好思路是：“看不到，拿不走，读不懂，跑不掉”类似这种，不过更重要的是，一定要聚焦，尽可能缩小范围，比如我只关心个人数据，或者只关心打过标签的数据，都是很好的策略。笔者五六年前做类似项目的时候，设计了一套很完整每天几十万条告警的策略，现在想起来就是天真、幼稚……

愿景设计和解决方案评估最好同步进行，目前看起来各种解决方案可能覆盖的风险领域有交叉，需求明确了，解决方案组合一下，可能就能实现愿景。
路线图设计需要考虑各种方案的完整覆盖能力和前置条件，尤其是前置条件。比如之前说的终端的远程管理能力，准入控制能力，是否回收了管理员权限，都可能导致项目烂尾。

6.敏感信息保护项目最大的痛点和难点是什么

这种项目如果没做过，那未来面临的挑战是难以想象的，个人感觉有几个重点吧
数据落地到终端就失控
沟通成本特别高
历史欠债特别多
环境变化特别快

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！