在移動(dòng)設(shè)備的數(shù)據(jù)丟失防護(hù)(DLP)涉及的最佳做法和技術(shù)旨在保護(hù)離開企業(yè)安全屏障的數(shù)據(jù)。數(shù)據(jù)可能因?yàn)楦鞣N方式被破壞或泄漏：設(shè)備被盜、授權(quán)用戶無(wú)意共享或者通過(guò)惡意軟件的直接感染。

隨著越來(lái)越多的員工攜帶自己的設(shè)備到工作場(chǎng)所—無(wú)論他們是否得到IT的許可，移動(dòng)數(shù)據(jù)丟失相關(guān)的問(wèn)題也變得更加嚴(yán)重。在BYOD[注]的情況下，用戶擁有設(shè)備，而不是企業(yè)擁有，這讓IT更難建立和維持安全性。

至少，所有訪問(wèn)或存儲(chǔ)業(yè)務(wù)信息的移動(dòng)設(shè)備都應(yīng)該配置用戶識(shí)別和強(qiáng)大的身份驗(yàn)證，運(yùn)行最新的反惡意軟件，并且，必須使用虛擬專用網(wǎng)絡(luò)(VPN)鏈接來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)。

此外，IT部門應(yīng)該部署以下措施來(lái)在移動(dòng)環(huán)境保護(hù)企業(yè)信息：

1.定期進(jìn)行數(shù)據(jù)備份，還應(yīng)該定期進(jìn)行可恢復(fù)性測(cè)試

2.對(duì)用戶進(jìn)行DLP培訓(xùn)

3.部署數(shù)據(jù)分類標(biāo)準(zhǔn)

4.執(zhí)行信息安全保護(hù)政策

5.使用移動(dòng)DLP軟件

下面我們將具體討論上述策略。

1. 數(shù)據(jù)備份

對(duì)于數(shù)據(jù)備份，我們不需要太過(guò)深入細(xì)節(jié)。簡(jiǎn)單地說(shuō)，數(shù)據(jù)備份是必要的，企業(yè)必須定期執(zhí)行數(shù)據(jù)備份，生成的備份文件必須進(jìn)行測(cè)試，以確保在必要時(shí)恢復(fù)它們。

2.教育程度：他們知道的越多，你的數(shù)據(jù)更安全

對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，讓用戶認(rèn)識(shí)到數(shù)據(jù)泄漏的危險(xiǎn)性是有用的有價(jià)值的過(guò)程。無(wú)論是通過(guò)年度安全培訓(xùn)、午餐研討會(huì)還是每月通訊，你都應(yīng)該讓企業(yè)了解安全問(wèn)題。告訴他們什么是重要信息，并給他們看看這些信息。

大多數(shù)員工在了解什么是“機(jī)密”信息后，他們將會(huì)幫助保護(hù)企業(yè)的資產(chǎn)。他們必須知道這些信息泄漏的后果：名譽(yù)受損、企業(yè)間諜活動(dòng)、收入損失、監(jiān)管罰款和處罰，甚至可能危及某些員工的人身安全。此外，企業(yè)還可以讓員工了解數(shù)據(jù)泄漏的實(shí)際例子。

3. 數(shù)據(jù)分類

不斷增加的移動(dòng)設(shè)備提高了數(shù)據(jù)分類的重要性。大多數(shù)移動(dòng)DLP技術(shù)依賴于某種形式的數(shù)據(jù)分類來(lái)防止數(shù)據(jù)泄漏。你的企業(yè)必須創(chuàng)建一個(gè)數(shù)據(jù)分類標(biāo)準(zhǔn)，然后盡快實(shí)施該標(biāo)準(zhǔn)。

美國(guó)軍方分類標(biāo)準(zhǔn)包括三個(gè)分類水平：絕密、秘密和機(jī)密。企業(yè)或教育分類可以使用高度敏感、敏感、內(nèi)部和公共類別。如果你的企業(yè)必須遵守監(jiān)管某類數(shù)據(jù)的特定法律法規(guī)，你應(yīng)該將法律要求和標(biāo)準(zhǔn)加入到你的分類標(biāo)準(zhǔn)中。

由于信息涉及很多不同的形式(文字處理文檔、電子表格和電子郵件，以及市場(chǎng)營(yíng)銷、一般業(yè)務(wù)運(yùn)作、客戶服務(wù)電子郵件等)，一些信息可能很難分類。此外，你如何處理已經(jīng)轉(zhuǎn)為其他用途的文件?例如，被標(biāo)記為高度敏感的部分文檔用在其他地方?這部分文檔是否應(yīng)被視為高度敏感，或者需要對(duì)這部分進(jìn)行重新審查和重新分類?

請(qǐng)注意，標(biāo)記數(shù)據(jù)和分類數(shù)據(jù)是兩回事。標(biāo)記會(huì)標(biāo)識(shí)所需要的保護(hù)水平，通常是放置在文檔本身或元數(shù)據(jù)中的標(biāo)記或注釋。例如，你可以插入“機(jī)密”在文檔的頁(yè)眉或頁(yè)腳，或者添加到文件的屬性表。在另一方面，當(dāng)你分類文件時(shí)，你可能或者可能不會(huì)使用標(biāo)簽。

4.策略：保護(hù)所有形式的數(shù)據(jù)

你的數(shù)據(jù)分類標(biāo)準(zhǔn)必須加入到企業(yè)的整體安全策略，對(duì)于數(shù)據(jù)的使用和處理，政策必須明確，并且，你選擇的方法將會(huì)推動(dòng)處理數(shù)據(jù)的成本。

安全政策、標(biāo)準(zhǔn)和程序?qū)?shù)據(jù)和信息制定了不同的要求，這取決于數(shù)據(jù)生命周期狀態(tài)(創(chuàng)建、訪問(wèn)、使用、傳輸、存儲(chǔ)或銷毀)。這里的目的是保護(hù)在不同處理環(huán)境(包括系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序)的所有類型的媒體上的所有形式的數(shù)據(jù)。

請(qǐng)確保你的政策明確，信息使用者必須遵守所有政策、標(biāo)準(zhǔn)和程序，否則將追究責(zé)任。

5. 移動(dòng)DLP軟件：監(jiān)測(cè)移動(dòng)用戶

很多移動(dòng)DLP產(chǎn)品提供了監(jiān)控功能，這讓It可以查看移動(dòng)用戶訪問(wèn)和/或從企業(yè)服務(wù)器下載的數(shù)據(jù)。移動(dòng)監(jiān)控的優(yōu)點(diǎn)在于它提供了警示標(biāo)志，使IT可以對(duì)潛在的數(shù)據(jù)泄漏或政策違規(guī)采取行動(dòng)。然而，在識(shí)別一般活動(dòng)和真正安全威脅需要一段時(shí)間，所以，它通常被用于追蹤行動(dòng)。企業(yè)面臨的挑戰(zhàn)是防止敏感信息被傳輸或存儲(chǔ)在移動(dòng)設(shè)備中。

來(lái)自知名DLP應(yīng)用程序和設(shè)備供應(yīng)商(例如賽門鐵克、McAfee和Websense)的最新產(chǎn)品提供了數(shù)據(jù)分類功能來(lái)標(biāo)記信息和文檔(元數(shù)據(jù)標(biāo)記)，并提供了分析內(nèi)容和過(guò)濾功能—當(dāng)移動(dòng)設(shè)備與企業(yè)服務(wù)器交互時(shí)。

簡(jiǎn)稱為內(nèi)容感知，這些技術(shù)對(duì)于企業(yè)持有和員工持有的設(shè)備非常有用。它們可以防止某型電子郵件、日歷事件和任務(wù)與智能手機(jī)或平板電腦進(jìn)行同步，例如，基于移動(dòng)DLP政策。該技術(shù)使管理員能夠分離個(gè)人和企業(yè)電子郵件，并防止企業(yè)信息被存儲(chǔ)在移動(dòng)設(shè)備上。

一些產(chǎn)品可以防止敏感信息被傳輸?shù)皆O(shè)備，根據(jù)用戶或用戶組，而不是設(shè)備ID。并且，管理員可以為銷售和營(yíng)銷部門設(shè)置移動(dòng)政策。你還可以找到支持基于角色發(fā)送消息的解決方案，這可以滿足軍事使用要求。

內(nèi)容感知DLP能夠與移動(dòng)設(shè)備管理(MDM)解決方案兼容。移動(dòng)設(shè)備不需要安裝任何東西，DLP軟件可以利用MDM配置來(lái)強(qiáng)迫設(shè)備與企業(yè)網(wǎng)絡(luò)建立VPN連接。在那里，DLP技術(shù)掃描并分析內(nèi)容，然后執(zhí)行政策。

虛擬環(huán)境也可以受到保護(hù)。例如，Devicelock提供數(shù)據(jù)泄漏保護(hù)功能，被稱為Virtual DLP，這保護(hù)本地虛擬機(jī)，基于會(huì)話和流桌面及應(yīng)用程序。Virtual DLP支持Citrix XenApp、Citrix XenDesktop、Microsoft RDS和VMware View。