在过去几年内，有关数据安全漏洞的消息不绝于耳，Verizon的2009年度数据漏洞报告提供了一份有用的统计数据：74％的漏洞是由来自外部，由内部因素引起的只占20％，大多数漏洞是由于系统错误和不正确的配置所造成的，这一原因占到了67%的比例,而几乎所有的漏洞记录都发生在服务器和应用程序上。为此，许多金融机构希望借助于数据丢失防护（DLP）工具，以防止出现这些令人尴尬并且补救费用昂贵的数据丢失事件。但是，他们应该寻找什么样的DLP工具呢？

　　首先，让我们认清什么是DLP工具。虽然它可以有各种各样的定义，但是大多数人认为，DLP工具主要功能是监测敏感数据的保存、移动和使用状况，并根据制定的核心策略对数据采取预防或侦测操作。

　　任何DLP解决方案的第一个也是最重要的一个特点是,它能够对数据的内容进行深度的认识和分析。这些工具必须能够确定不同格式的数据类型，例如从不同格式的数字中确定哪些是信用卡号码、银行记录，哪些是个人资料和财务报表等。供应商也必须提供多种技术，这些技术越多越好,包括从复杂的正则表达式模式匹配到字典查找，特别是关于文件类型的技术，例如区分微软Word和Excel文档、数据库文件和电子邮件存档等。

　　在部署一个DLP系统前，金融机构必须认真界定哪些数据是他们需要保护的。另一个更高层次的考虑则是：DLP解决方案是否提供满足特定要求的监测，如满足FFIEC, GLBA, SOX等其他金融机构必须遵守的政策。第三个需要考虑的是将前两个放在一起，即政策的定义和执行。能否从一个中心控制台轻松而直观地创建灵活、准确的保护策略，这是选择DLP系统的关键因素，因为不同产品的策略引擎（policy engine）和创建工具有很大的差异。这些策略应能够应付大量的数据类型和格式、不同的策略执行点（implementation point）（例如主机、网络和应用程序）并且具备自定义的能力。

　　购买一套DLP解决方案你还需要额外考虑以下几点：

• 　　与现有的安全系统整合，如终端安全工具和加密系统，以及活动目录和网络监控工具等IT基础设施组件。最先进的解决方法是将关联检测纳入到检测方法中去，并且让DLP系统的建立者能够在主机或应用层级做出安全预防操作。
•  从现有客户或独立的实验室得到准确性和测试结果。尽管许多DLP供应商的产品可能在策略制定和内容检测算法上存在些许相似，但其准确性和执行效能不会相同。您要确保与参考客户和业内人士交流，得到该DLP系统在您工作环境中表现的第一手资料。
•  考虑开始实施部署并运行一段时间的花费。应当将硬件、软件和运营成本，包括增加人员的因素都一并考虑进来
•  平台支持和性能指标，采取既基于主机又基于网络考虑的DLP工具。在大型高速网络中，并不是所有的DLP解决方案都能够以同样的准确度分析数据和检测违反策略的行为。在主机上，一些DLP客户端大量消耗处理器和内存资源。

　　对于那些已经购买了DLP产品并且接近实施阶段的金融机构来说，同样有很多因素需要考虑进去。这里按照重要性顺序列出了一些：

•  确保您知道需要对哪里的以及什么类型的数据进行分类。因为大多数的DLP系统需要扫描存储驱动器和系统，并且建立你的数据清单。
•  定义你的DLP需要执行什么样的策略。策略应同时基于网络和主机，包括U盘检测和分析、在工作站和服务器防止屏幕截图、预防数据从网络出口泄露，以及防止打印敏感文件等基本的预防方案。
•  创建与你将采取的行动对应的核心策略，作为这项工作的一部分你必须考虑跟踪审计，并且保留记录。
•  如何让部署DLP系统的花费最小，效率最高。例如安装网络监控器的地方应该是网络数据流通最频繁的地方，或者是该网络节点的数据都为敏感数据，但首先应满足的是最核心的服务和程序。
•  在启用真正的DLP政策之前，使用一些“伪数据（dummy data）”对DLP系统进行检测和预防能力的测试。
•  升级事件处理、取证和审计的策略，以满足DLP系统检测工作流程。例如，决定当某种DLP事件发生应该采取什么样的行动？

　　尽管这不是一份完整的清单，但这些都值得一些金融组织在规划和实施DLP系统时重点考虑。随着数据安全丢失事件越来越频繁，所造成的影响也越来越严重。最近的一项研究得出结论，每一次数据丢失的发生会耗费该组织204美元，因此制订根据内容的识别控制以发现和防止敏感数据的丢失，比以往显得更加重要。随着DLP工具的日益成熟，其功能也越来越强大（例如，将DLP策略转换为自动加密操作），越来越多的金融机构会部署DLP来进行安全最佳实践方案和规则遵从。