釐定DLP資料防護的概念
網路安全的問題一直備受企業關注，除了電腦病毒肆虐於企業網路外，隨著企業的資料每日遞增，可擷取企業資料的管道又愈來愈多，洩漏資料資料的風險亦隨之而激增，令管理層及IT人員頭痛非常。

最近全球企業網路接二連三發生資料泄密的事件，例如遊戲商全球七千多萬個帳戶的資料外洩，導致身分盜用、金錢及其他損失；此外，醫護人員遺失電子儲存媒體，當中載有病人個人資料及病歷，亦洩露了病人的隱私。

宜摒棄舊有資料外洩防護態度和概念
連串安全漏洞導致隱私洩漏事件發生，顯示企業對於資料外洩防護(Data Loss Protection, DLP)的意識非常薄弱，管理層還未正視資料外洩的危機，更為企業內部或其客戶帶來嚴重深遠的影響埋下伏筆。政府或業界均有積極舉辦活動，闡釋資訊安全及隱私保護的重要性，惟企業在未有法律所管，亦無既定準則下，仍以「頭痛醫頭」的方法處理。這正反映無論企業還是公營機構，仍然持有傳統甚至過時的DLP態度和概念，既被動又零碎。在電腦及網路犯罪手法層出不窮的環境下，以主動、全面的DLP概念保護資料安全尤為重要。

主動出擊 將防護策略推廣及提升
企業首先應抱有「資料外洩事件有機會發生」的態度，不應存有僥倖的心態。其次必須對於資料防護具備周全的概念，從見招拆招、流於網路層面的資料保護策略，進一步主動尋找在儲存或終端裝置各方面潛在的資料外洩風險。資料外洩不再只局限於網路上的資料被盜取，即使員工一時大意，遺失存有資料的流動裝置如USB手指、智能手機、平板電腦，也有機會置企業最重要的資產「資料」於危險當中，以密碼或加密方法保護這些裝置絕不能忽略。

此外，資料保護策略亦應提升至在資料狀態、使用目的之層面採取防護措施。資料可分為儲存、使用中或傳輸中三個狀態，不論資料的使用目的是作製作備份、修改、列印或上載，從這更高的層次提前辨識漏洞所在並開始主動監控，保護效果更為全面。

總結而言，企業不應對於DLP策略仍抱有隔岸觀火、紙上談兵的態度。面對全球各地資料遺失外洩的個案不斷湧現，不論是大型機構還是中小企，必須假設有機會發生資料外洩事件，認真、主動去評估企業或機構內部的資料外洩潛在風險，以防範於未然，並尋求能夠從更高、更廣的層次保護可擷取企業資料的各種管道，實施全面的DLP方案，才是保護企業重要資產「資料」的最佳上策。



-----

McAfee北亞區技術總監韋頌修加入McAfee八年，領導McAfee在香港、內地、台灣、韓國的技術團隊，對於北亞區的安全需求具備透徹了解。