这里的关键点是，任何证券的强度都取决于其最薄弱的环节。

从一开始就明确您是否正在预防：

• 无能或健忘的用户无意泄露或
• 防止有动机的对手故意泄密

前者更容易防范。但是针对后者设计一个有效且实用的解决方案是一项非常具有挑战性的工作。不要让供应商销售人员的彩色白皮书愚弄您。

我将使用示例进行说明：我已经看到组织在基于网络的过滤和标记解决方案上花费了大量资金，只是在事件发生后才发现有罪的一方使用了加密（甚至使深度数据包检查没有实际意义）。在另一种情况下，使用在客户端 PC 上运行的端点保护来阻碍加密，只是为了发现这会如何妨碍对本应由用户合法加密的数据进行加密。

一家公司决定合并一个复杂的基于角色的安全层次结构，其中对许多敏感文档的访问必须由层次结构中更高的第二个人授权。在实践中，这造成了如此多的操作困难，以至于许多敏感文件最终给数十人一揽子许可，从而消除了该系统的任何用处。

在一种情况下，所有网络和端点解决方案似乎都已到位，但移动设备并未受到严格控制，因此任何有动机的对手都可以使用这些设备泄露敏感数据。即使您只强制使用公司发行的移动设备，您是否禁用了 USB 端口和蓝牙，甚至是它们上的摄像头？

在一些第三世界的泄密事件中，我看到报道称其作案手法技术含量很低，涉及打印客户列表和其他敏感数据，并在较长时间内偷偷输出实际打印输出。具有讽刺意味的是，该网站实际上进行了安全搜身，但遗憾的是，他们正在监视 USB 密钥、手机、硬盘等。安全人员从未检查过纸质打印输出。

关键是，确实可以通过一些努力来阻止许多这些漏洞，但必须意识到最有效的保护策略将涉及使合法使用更加不方便的缺点。

有这种便利性与安全性的权衡，每个组织都必须决定它想要生活在这个权衡曲线的哪个点。更好的是，您选择的解决方案应该具有在站点甚至部门或个人级别设置正确权衡的粒度，而不是一些全面的组织范围的策略。后者在实践中很少奏效。

PS。每个供应商都会展示自己产品的魔力，但重要的是要有一个整体的观点，而正确的问题通常是：这种昂贵的安全软件专门用于保护的媒介能否被对手完全绕过？例如，如果允许使用 USB 记忆棒，则基于网络的保护几乎没有用处

正如好奇猫所说，您需要全面了解这一点，这里有许多独立但相互关联的问题。以下是我将如何承担这项任务的一般纲要。

首先，您应该查看数据架构，数据存储的方式、位置和原因，理想情况下，敏感数据应该被分段并严格控制 ACL。

Web 过滤、IDS/IPS 和防火墙将允许您精细控制用户（和机器）生成的进出网络的流量。

Snort 可以根据您的需要配置规则，包括防止和发现特定位置的数据外泄，尽管这可能被证明是有限的。

同样，DLP 解决方案可以为此提供专用服务。MyDLP 是开源的，您可以获得免费层或付费层。

此外，您可以使用带有特制规则的 SIEM 解决方案来发现任何异常或不允许的活动。例如，可以开发一个用例来捕获插入可移动媒体并复制到其中的用户或机器。

做到这一点的最好方法是查看您想要做什么以及您需要遵守什么（如果有的话）。然后将其分解为谨慎的目标，并一次解决一个。