随着技术的发展，企业的业务流程及信息处理越来越依赖于IT设施，企业的信息也从最开始的以纸介质为保存媒体，逐渐转变为纸介质和电子介质保存的局面。许多企业出于快速处理信息的考虑，甚至将所有的信息进行电子化，所有的业务流程也依赖于IT设施。因此，IT设施的正常运作及电子信息的良好保护，便成为企业业务顺利进行和发展的关键因素之一。

　　信息资产的定义及其面临的威胁风险

　　信息在企业业务中扮演着如此重要的角色，因此我们可以认为信息也是一种资产，并称之为信息资产。信息资产尽管是无形的，但由于它包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密切相关的内容，所以信息资产也面临大量的威胁和风险，包括有意或无意的销毁、黑客攻击、恶意软件造成的数据丢失、内部人员的泄漏等。这些威胁和风险中，最有可能发生并造成严重后果的便是保密信息有意或意外的泄漏，一旦发生数据泄漏事件，企业不单要承担保密数据本身价值的损失，严重的时候还会影响企业的声誉和公众形象，并有可能面临法律上的麻烦。2007年在美国TJX零售公司发生的4500多万客户的信息卡及保密资料丢失，进而导致其客户和银行业对其提起诉讼，最终TJX公司需要向客户赔付1.01亿美元，并承受严重的企业声誉损失。

　　图： 保密数据泄漏的三种形式：意外泄漏、故意泄漏、恶意泄漏

　　数据泄漏防御的定义

　　为了保护企业的保密信息不被有意或意外泄漏，一种称为“数据泄漏防御”(Data leakage prevention, DLP)，有时也称为“信息泄漏防御”(Information leakage prevention, ILP)的技术便应运而生。数据泄漏防御技术是通过一定的技术或管理手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。

　　数据泄漏防御方案的分类

　　根据所部署的位置的不同，数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)，这和入侵检测系统的分类是很相似的。目前市面上的大部分数据泄漏防御方案都是基于网络类型，有少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署在保存有保密数据的企业内部网络和外部网络连接的出口处，所针对的对象是进出企业内部网络的所有数据，如果发现有违反企业安全策略的数据流入流出，NDLP便会将违规数据予以拦截或采取警报等其他行为。而基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。

　　为了更形象的说明数据泄漏防御的工作原理，笔者给大家准备了如下的示意图：

　　在上图我们可以了解到，企业的敏感数据通常存放在文件服务器上(Company sensitive data)，用户通过自己的终端(LAN Desktop)进行访问。LAN Desktop周边的打印机、可移动存储设备、摄像头、调制解调器和无线网络便是潜在的本地数据泄漏源，企业可以通过在用户的终端上部署基于主机的数据泄漏防御方案来进行控制。LAN Desktop和Internet进行的通讯，尤其是最常见的E-mail、FTP、HTTP和即时通讯是最常见的网络数据泄漏源，在这种场合企业就需要在内部网络和Internet连接的出口处部署基于网络的数据泄漏防御方案进行控制。