Verizon Business的一份关于数据泄露的调查报告很有意思。最引人关注的一点就是，绝大多数的数据报失是因为外人（74%），而不是内部人士（20%） 。这并不是说你不应该留心内部人员。报告显示，当有V内部人员牵涉进去时，对机构所造成的影响会显著增加（大概3倍）。

　　最后，不管你做什么，只要攻击者有足够的资金和技术，他就总能获得想要的数据。犹太人有一句说得好： “锁防君子，不防小人 ”。不过，这也并不是说就无能为力，坐以待毙。本文将探讨如何防止窃取企业敏感数据，特别是内部人员。

　　第一步：聘用值得依赖的员工是非常重要的，因为他们拥有并且需要合法访问许多重要数据--无论是个人身份信息（Personally Identifiable Information，PII） ，个人健康信息（Personal Health Information，PHI）或企业知识产权（IP） --这是为了履行其日常工作。

　　由于传统的背景调查并不能有效地预测未来的行为，我更信赖个人证明材料检查（reference check)，c以更好地了解这名员工是否能适应公司文化并重视安全问题。虽然理论上来说个人证明材料里面从来就是只说好话的，但聪明的面试官还是可以根据证明材料里没有提到的那些内容判断出应试者的一些特质。

　　第二步：给予信任，但是要验证访问权限，搞清楚哪些人可以访问哪些数据，确定他们是否需要那些数据，然后再相应地修改权限。比如说，财会部门之外的员工很少需要访问公司的日常财务数据，类似的，法律小组之外的员工就算有，也很少会需要访问公司法律部门的数据。而几乎每位员工都需要访问内部门户或电子邮件。

　　这些访问权限应当定期验证（大约每3-6个月一次） ，以保证及时和准确。另外当员工转换工作岗位时，对他的访问权限也需要作检查和更改。安全团队应该负责实现这些变更，但是主要工作都必须得和各个业务部门一起完成，因为他们才最清楚怎样给各位员工分配合适的权限。

　　第三步：考虑采用DLP来实现数据监控。考虑采用数据泄漏防护（ DLP ）技术。从根本上来说，DLP产品基本上是一个嗅探器。它可以监测在网络内或操作系统内的文件移动，而且还可以配置用来寻找特定类型的数据。它被普遍用来保护PII，PHI和IP信息 。在网络层使用时，传感器（通常是某种设备）会在某个特定的网络段或一组网络段上监测所有的网络流量。这些传感器可以部署为被动模式--这时使用镜像端口（span port）来监控网络--或主动模式--传感器被连接“在线” ，所有的流量都实时地通过它。主动模式的优点在于能够阻止泄漏的发生，但要求必须做冗余，以避免传感器成为单点故障。

　　要记住的是，部署DLP产品通常有助于阻止意外泄露，而非有意泄露，因此通常DLP网络数据“嗅探”传感器是安放在可以监控诸如向外发送邮件这些信息的地方。这并不是什么糟糕的选择，因为到现在为止意外泄露的情况似乎比有意泄露的要多，但这确实也意味着黑客可以使用专门的软件经过加密的通道在因特网上传输数据，或者使用移动存储转移数据。

　　同样，看看数据库活动监控（DAM）技术。这是信息安全里一个相对较新的领域，但是很值得一探究竟。本质上，它就是数据库审计的一种高级形式。监测可通过多种方法进行，包括网络嗅探，读数据库的审计日志和/或系统表，甚至是内存擦写(memory scraping)。无论选择哪种方法，工具都能在这些数据之间建立关联从而检测并清楚地知晓数据库里发生了什么。这种关联性提供了检测攻击的能力，并且在实际发生侵害的时候能用来作为法律证据。

　　在防止敏感数据泄露的工作中，监控数据流的工具在你的工具库里即便不是最重要的也是非常重要的。监测数据所需的技术可能属于很多不同种类。这些技术包括从网络流量分析（例如Nagios ，NetFlow ，Argus等）到DLP ，DAM以及其它等许多种。在很多情况下（特别是网络流量分析）都有开源的解决方案，可以以带来实际上的成本节约。这些新的技除了需要新的资金投入之外，还需要确保公司管理层理解，这类数据流探析和鉴别异常的能力有助于找出数据泄露，不论是由于员工拷贝超常的数据量到本机引发还是由于突然出现的通过加密隧道在Internet上传输的数据。它也可以为数据侵害的调查提供潜在的法律证据，还可以向审计员展示自己机构的信息安全执行情况。