部署終端數(shù)據(jù)丟失防護可能是所有DLP(數(shù)據(jù)丟失防護)項目中最令人恐懼的一步。軟件供應商提供的功能集五花八門，恐怕沒有哪個組織可以毫無憂慮地加以處理。

這里有五個技巧可以幫你避免常見的隱患，同時成功的保護企業(yè)數(shù)據(jù)：

1.在靜態(tài)工作站鏡像上測試是非常不錯的，但數(shù)據(jù)丟失防護的大多數(shù)問題出現(xiàn)在首次將其部署到使用數(shù)據(jù)的用戶。

在你推出部署數(shù)據(jù)丟失防護解決方案的第一個部門確定一些關鍵用戶，根據(jù)需要對他們進行培訓，并在測試階段與他們密切合作。通過關鍵用戶的幫助，可以避免非技術業(yè)務部門測試中出現(xiàn)的問題，也可避免部署中沒有任何用戶反饋的情形發(fā)生。

2.確保你的目錄服務器是最新和準確的（這實際適用于任何形式的數(shù)據(jù)丟失防護部署）。

如果你試圖根據(jù)計算機組而不是用戶角色來管理策略，可能會產(chǎn)生策略沖突（特別是當用戶發(fā)生了變動）。大部分組織將他們的數(shù)據(jù)丟失防護策略設計成根據(jù)用戶角色應用不同的策略，例如，財務部門就比客戶支持代表有更多的自由來處理財務信息。即使一個計算機組已經(jīng)映射到一個業(yè)務單元或該業(yè)務單元中的一個特定用戶，在下次更新時可能會破壞該策略。依據(jù)用戶以及組或者角色要比依據(jù)計算機來管理好得多，即使這意味著你首先需要花一些時間對你的目錄服務器進行調整。

3.建立適應用戶在你的數(shù)據(jù)丟失防護網(wǎng)絡內(nèi)和非受控的網(wǎng)絡之間變化的策略。

例如，在你的網(wǎng)絡內(nèi)有一個數(shù)據(jù)丟失防護策略檢測和阻止你的客戶數(shù)據(jù)庫中的信用卡號傳輸，當終端離開公司網(wǎng)絡時，在終端上的策略發(fā)生變化，允許正常的使用信用卡。這是完整的數(shù)據(jù)丟失防護工具和其終端代理諸多特性中的一個，但不是全部。部分文檔匹配和數(shù)據(jù)庫指紋策略非常占用內(nèi)存，遠遠超過了用戶的筆記本和臺式機的能力（假如用戶在數(shù)據(jù)丟失防護之外還要處理其他的事務）。切換一個模式匹配策略，例如正則表達將會增加誤報，但會減少對電腦性能的影響。你也可以設置策略切換到監(jiān)控/警告模式，而不是阻塞模式來進一步減少對用戶的影響，雖然安全風險較高。

4.首先關注終端發(fā)現(xiàn)和USB保護。

在一系列的終端數(shù)據(jù)丟失防護工具中，發(fā)現(xiàn)（查找本地硬盤上的敏感信息）和USB監(jiān)控/阻塞是最重要的兩個功能。幫助跟蹤用戶在受認可的企業(yè)應用程序之外獲取敏感信息，和在本地存儲或共享敏感信息的行為也是終端數(shù)據(jù)丟失防護的重要特征。一旦啟用終端發(fā)現(xiàn)，選擇增量掃描（如果你的產(chǎn)品提供了該功能）；沒有人希望他們的電腦因為每周三午間的殺毒掃描而突然停止，而每周四又進行數(shù)據(jù)丟失防護掃描。同時確保你掃描的位置不只是用戶的默認文件目錄，因為他們很少會把所有文件放在同一個位置。最后，如果你允許用戶使用本地的微軟Outlook PST文件，確保你的產(chǎn)品可以掃描PST格式的內(nèi)部去捕獲移動到本地存儲的郵件。

5.慢慢來，逐步推出代理和策略。

在完成你的初步測試后，一個組一個組的推出那些策略來確保產(chǎn)品具有良好適用性，這樣以來不會給你的事件響應團隊造成太大壓力。當用戶第一次開始使用數(shù)據(jù)丟失防護時，幾乎每一個DLP客戶都會出現(xiàn)大量的策略違反報告，直到用戶自我訓練到可以更好地管理受保護的信息之時這一情況才會得到緩解。這個過程應該如下：在一個小的用戶組中執(zhí)行一個策略，然后擴大這個策略（和代理安裝）持到達到你設定的覆蓋范圍。一旦第一個策略工作良好，用同樣的方式推出第二個策略，雖然你現(xiàn)在不必擔心安裝新的代理。

雖然這些提示不是部署和管理終端數(shù)據(jù)丟失防護的所有方面，但仍有助于避免一些最嚴重的缺陷，并更快的實現(xiàn)你的新工具帶來的安全價值。