当公司的机密数据通过公司的网络泄露出去，落到那些不怀好意的人手中，是最令IT主管们头痛的事情。不论你采用的技术是如何的完善，又或者你采用的防御系统对数据泄露有多么的敏感，那些受限制的数据不知何故还是通过最小的防护死角和公司的缝隙泄露出去。

　　专家称那些通常的，或者说大多数的数据泄露都是来自草率的数据库特权设置和规划，直白的电子邮件收发管理以及漫不经心的安全策略。以下是一些建议采用的安全策略和手段。

　　禁止随意的分配数据库权限

　　负责为BMC Software, Inc公司提供管理方案的资深管理工程师Chris Johnson说，往往导致公司数据泄露的是那些拥有公司数据库环境的权限，但对工作又不兢兢业业的员工。

　　Johnson提供了三种情况，和与之相对应的保护数据安全的策略。

　　情节1：一个最终用户，他所拥有的数据库权限大大超过了他所需要的权限。这种情况的出现，是因为要明确分配给每个人他们真正所需要的、被允许的数据库权限，需要一定时间的，同时也比较困难。所以这种把确实的权限分配给那些普通用户是有难度的，但是对于那些非管理员的“超级用户”来说是比较容易做到的。资深的员工可能会需要这种形式的权限。

　　建议1：“对那些最终用户来说，确实没有借口利用这些随意分配的权限。如果现在我已经是一个IT主管，我将坚持时常的反思谁拥有什么权限，为什么。公司需要决定在制定安全策略和灵活的工作机制间选择为谁投入更多的精力....相信制定安全策略将赢得比赛，这点在十家企业里能够得到九家的支持。

　　情节2：数据库管理员和网络管理员，谁需要更有力的权限去完成他们的工作。虽然你可能会把权限划分给一小部分人，但总是会有一个数据库管理员可能看到你所有的数据信息，还有就是一个存储管理员会有你的数据库信息备份等等。如果公司存在不可信赖的因素，那么潜在的数据泄露是无法界定的。

　　建议2：“对数据库管理员和系统管理员这样的特权用户，你真的能够会象上面提到的那样，分配给他们权限吗？但这不是赋予数据库管理员能够访问企业每个数据库的理由，当我是一名IT主管时，我的方针是为每个系统指派一个“主”管理员，并且负责记录用户的私有ID和密码，但需把备份记录提供给我，并且在数据中心主管那里保留一份记录，以防万一“主”数据库管理员出现特殊情况，给公司带来混乱。这是一种技术含量不高的方法，但可以有效预防分配给用户的ID和密码，拥有额外的太多权限。

　　情节3：对用户来说，他们本身并不需要太多特殊的权限，但是他们的工作性质可能会出现不可预见的利用某种特权的现象。如一个拥有普通权限的数据中心操作员可以管理整个生产调度环境，就是一个比较典型的事例。通常象管理整个生产调度这样的项目，将需要数据库管理员和系统管理员的ID和密码。这时由于普通操作员工作经验的不足，工作质量的可信度较低，但拥有了太多的特权，就会对项目的实施，造成潜在的威胁。

　　建议3：“对最终用户和特权用户二者来说，在适当的位置放置某种设备来建立一种诚实可靠的工作制度。如果你利用监视产品监控员工在做什么并且确认每个人都知道监控设备的存在，那么就可以有效防止数据泄露。”
 
　　Johnson还提到了身份认证和访问管理产品，如BMC's CONTROL-SA使管理和操纵用户访问公司数据，变的简单易行。BMC的数据库安全管理产品是利用IP LOCKS来帮助公司保持一份谁拥有什么权限和谁改变了或查询了有关数据的详细记录。“同时他们也是调查数据被偷窃和数据完整性问题的主要根据。如果你让员工们知道这个装置的位置，那么将会有效的杜绝员工的不正当行为。

　　禁止群发机密信息的邮件

　　Proofpoint, Inc.公司的首席执行官Gary Steele提到，“有价值的，机密的信息被泄露的首要渠道是怀有恶意的或疏忽的发送了普通的电子邮件所引起的。

　　一份最近的调查表明据Forrester Consulting公司的研究发现：IT主管和管理人员更关注的是那些从公司发送出去的电子邮件的威胁，尤其是关于公司机密文件的泄露，如有价值的知识产权和商贸机密。

　　Steele提到数据泄露并不总是怀有恶意的。“最近在加州，Contra Costa County的员工们在不知情的情况下给位于瑞典的一个电子邮件地址发送了各种机密信息，还有在Kobe Bryant性侵犯诉讼案（Kobe Bryant rape case）中，一位负责庭审转录的法院书记官意外地把机密的庭审抄本发送到了错误的电子邮件名单中，而造成了数据泄露。”

　　Steele还提到了的确也同样存在恶意的泄露数据的事件。“如internalmemos.com这个快速扫描的站点，就是收集许多敏感的内部信息并把他们展示在站点上，而这些信息来自于财富500强公司中的内部人员。还有如近日的AOL服务公司内部人员偷窃screen names电子邮件地址的事件。”

　　对于许多公司正在寻找技术方案来解决此类问题，Steele建议使用Proofpoint, Inc.公司的Proofpoint Protection Server软件和Proofpoint P-Series Appliance，他们提供一个完全的信息保护平台预防入境的电子邮件威胁（如垃圾邮件和病毒），并且帮助确认出境的信息是否符合公司的方针和对外规章制度。

　　禁止粗心的安全措施

　　TELXAR公司的奠基人CEO Jeff Bowling强调，堵住数据泄露的最好方法是执行一个好的安全策略，它不仅仅要服务于公司的内部网络，还要是一个适合于网络管理员的操作指南。这个策略应该包括以下几个基本而又容易忽略的要点：

　　• 指示访问时间
　　• 可信任的、正确的详细注册说明
　　• 取消外部软件的功能
　　• 考虑内部审核/入侵检测
　　• 锁定内部硬件
　　• 执行正规的安全和资源审核
　　• 关闭USB或防火墙端口
　　• 限制邮件大小和阻止带附件的邮件
　　• 在公司内部的限制区和敏感区域不允许使用照相设备
　　• 为允许使用的设备和使用方法定义严密的策略
　　• 为对网络及其内容的置疑定义接触策略
　　• 执行保密和机密协议
　　• 定义行政管理系统和增加手续
　　• 确认管理人员和用户一样了解安全计划和策略

　　考虑一个没有技术含量的途径

　　Johnson提出了另一个策略。“我为越来越多的公司采用高技术含量的安全策略感到吃惊。”他说如果有可能在员工中做一个不公开的调查：在某些敏感的重要区域，看是否他们会暴露出不安全的危险信号。他说：“我工作在安防的行业，这点是我的绝对原则。”

　　“对于我们还有一个原则，就是安全系统在相对隔离的区域是不能被单独使用的，这里是一个安全的核心部分，任何人进出都需要“口令”，而且互相之间要保持高度警惕。”

　　Johnson还提到，为某些人提供应用于商务模式的防御方法，本身就是一个商业机会。“对于每个安全系统来说，拥有昂贵的价格不一定会令你满意，试想如果把公司的安全系统外包给一家利用相同的安全防御标准，但却采用大众化的安全系统的公司，对那些重要的/需要管制的数据来说，它还是十分吸引人的。”