终端数据丢失，安全技巧介绍

部署终端数据丢失防护可能是所有DLP项目中最可怕的一步。以下五个技巧可帮助您避免DLP部署中的常见隐患，同时成功保护企业数据:

1.在静态工作站映像上进行测试是非常好的，但是防止数据丢失的大多数问题都发生在* * *将它部署到使用数据的用户身上。确定* * *部门中的一些关键用户，根据需要对他们进行培训，并在测试阶段与他们密切合作。在关键用户的帮助下，可以避免非技术业务单元测试中的问题，避免部署中没有用户反馈的情况。

2.确保您的目录服务器是* * *和准确的(这实际上适用于任何形式的数据丢失防护部署)。如果您试图根据计算机组而不是用户角色来管理策略，可能会出现策略冲突(尤其是当用户发生变化时)。大多数组织设计他们的数据丢失预防策略，根据用户角色应用不同的策略。例如，财务部门在处理财务信息方面比客户支持代表有更多的自由。即使计算机组已映射到业务部门或业务部门中的特定用户，该策略也可能在下次更新时被破坏。按用户和组或角色管理比按计算机管理好得多，即使这意味着您需要先花一些时间调整您的目录服务器。

3.建立一个策略来适应数据丢失防护网络内和不受控制的网络之间的用户变化。例如，您的网络中有一个数据丢失防护策略，用于检测和防止客户数据库中信用卡号的传输。当终端离开公司网络时，终端上的策略改变以允许信用卡的正常使用。这是一个完整的数据丢失预防工具，也是其终端代理的众多功能之一，但不是全部。部分文档匹配和数据库指纹策略占用大量内存，远远超过用户笔记本和台式机的能力(如果用户必须处理除防止数据丢失之外的其他事务)。切换一个模式匹配策略，比如正则表达式，会增加误报，但是会减少对计算机性能的影响。您还可以将策略设置为切换到监控/警告模式，而不是阻止模式，以进一步减少对用户的影响，尽管安全风险很高。

4.首先关注终端发现和USB保护。在一系列终端防数据丢失工具中，发现(查找本地硬盘上的敏感信息)和USB监控/阻断是最重要的两个功能。帮助用户获取批准的企业应用程序之外的敏感信息，并在本地存储或共享敏感信息，也是终端数据丢失防护的一个重要功能。启用终端发现后，选择增量扫描(如果您的产品提供此功能)；没有人希望自己的电脑因为每周三中午的杀毒扫描突然停机，每周四的防数据丢失扫描。同时，确保你扫描的位置不仅仅是用户默认的文件目录，因为他们很少会把所有文件放在同一个位置。* * *，如果您允许用户使用本地Microsoft Outlook PST文件，请确保您的产品可以扫描PST格式的内部，以捕获移动到本地存储的邮件。

5.慢慢来，逐步推出代理和策略。在完成你的初步测试后，一组一组地启动那些策略，以确保产品具有良好的适用性，这样就不会给你的事件响应团队造成太大的压力。当用户开始使用数据丢失防护* * *次时，几乎每个DLP客户都会有大量的策略违规报告，这种情况直到用户自我培训更好地管理受保护的信息才会得到缓解。这个过程应该是这样的:在一个小的用户群中实施一个策略，然后扩展这个策略(和代理安装)，直到达到你设定的覆盖范围。一旦* * *策略运行良好，以同样的方式推出第二个策略，尽管您现在不必担心安装新的代理。

虽然这些提示并不是部署和管理终端数据丢失防护的所有方面，但它们仍然有助于避免一些最严重的缺陷，并更快地实现您的新工具带来的安全价值。