【TechTarget中国原创】尽管企业和厂商都对通过Email或网络造成的数据泄露相当重视，但事实是，敏感的公司数据更有可能通过丢失的手提电脑、CD盘或USB盘落入他人手中。以下就是几个真实发生的实例：

　　1.2006年五月份，美国退伍军人事务部门透露，一台包括两千六百万名退伍军人个人信息的手提电脑失踪。信息实际上是保存在一个移动硬盘上。
　　2.2007年十月份，英国税务海关总署丢失两张CD盘，包括两千五百万名英国公民的财务记录。
　　3.2006年二月份，一名德勤会计公司（Deloitte & Touche）的员工将一张包括9290名McAfee公司员工信息的CD盘遗忘在一家航空公司的座位后面。
　　4.2007年，报告显示，包括敏感军方信息的USB盘在阿富汗的街头售卖。

　　对手提电脑可以采用全磁盘加密（full-disk encryption），但是，可移动设备却带来更多的挑战。移动办公的员工在出差时，有合法的需求需要使用这样的设备来传输数据，甚至敏感数据。以前曾有专用的硬件用于此用途，但价格下跌幅度太大，现在甚至在一个会展上，容量上兆的U盘都免费赠送，而且，如今也很难发现一台手提电脑不跟配CD或者DVD光驱。

　　虽然仍然有些公司会让技术人员在客户端机器上锁定USB端口，限定CD为只读，但是，大部分的企业还是依靠软件的解决方式，来管理这些潜在的数据泄露问题。让我们来看一下几个软件解决方案:

1. 在Windows XP和Vista，可以利用组策略对象(GPO)限制设备的安装。Vista提供的策略比XP更加细化，但是，已经由用户安装好的设备可能仍然还是可用，这要看组策略对象是怎么配置的。这个是免费提供的，但其灵活性可能不如其他解决方案，还有提供的安全性也有限。
2. 许多第三方的软件工具能够限制移动存储的使用，包括CD-ROM和USB设备。策略可以非常细粒度，只有公司批准的设备才能访问，连接数码相机和音乐播放器只允许只读，而同时仍然可以阻止来自外部的数据传输。多数工具支持基于角色和系统的策略，允许对不同的用户和电脑组规定不同的限制（例如，所有的台式电脑完全禁用写入访问，但高层的手提可以启用）。
3. 阻止或审计对移动存储访问的第三方软件。策略允许访问，但同时保留一份这些文件的安全备份，然后，在下一次手提电脑连接到公司网络时，发送到管理服务器。这样，管理员就可以审阅活动，包括文件的内容，以判断是否符合公司政策。
4. 对移动存储进行可选或必选数据加密的加密软件。用户可以在公司和组密钥或者选择带密码的自身解密归档进行选择（视策略而定），来传送给不使用同一加密软件的合作伙伴。有的工具可以基于用户、组、系统或者存储设备实行策略。
5. 符合集中策略的专用USB设备。这恐怕是最贵的选择，不提供任何优于软件解决方案的实际安全好处。
6. 具有终端保护的数据丢失防护（DLP）产品。这些工具能够基于被检测的内容应用动态的策略。例如，可以对一个包括信用卡号码的文件加以限制，但是不包括敏感内容的PPT就可以进行传送。最好的工具使用深层内容分析，不仅仅保护易于识别的内容，例如信用卡号码、银行帐号，而且还保护半结构化数据，如被保护文件的一部分。有些工具包括加密，或者使用合作方的加密。DLP是具灵活性的选择方案，所有工具都将最终包括基于内容的能力。不过，他们定义策略更为复杂，成熟程度的差异不均。

　　企业有多种方案可以选择，从简单的阻止设备的使用到实时的、与动态加密相连、基于内容的策略。最适合贵公司的解决方案要视公司的具体需求、用户的接受程度、预算和现有的基础设施而定。