一、如何解决内网数据泄露

人们对数据丢失防护(DLP)最常见的误解之一就是，认为它是一个信息安全问题。事实上，它不单单只是信息安全问题，是关系到整个企业的问题。企业所犯的最大错误之一就是紧靠安全团队来部署数据保护项目。Gartner的最新报告指出企业不能“简单地设置后就放着不管”，必须在初期阶段就让业务利益相关者参与进来，制定一个关于企业将如何解决数据泄露的明确的清晰的战略。

建立管理数据保护控制(政策、标准、指令和指导方针)最有效的方法是通过(了解风险并对结果有投资兴趣的)战略业务线的协作来实现，这包括，但不仅限于，法律、隐私、安全和人力资源。综合这些方面和其他利益相关者的观点，能够确保当开始执行数据保护项目时，技术控制不会成为阻碍，而是成为安全执行业务的推动者。

在实行管理控制的同时，还应该制定操作文件以确定在处理技术控制所产生的输出时，哪些团队应该参与进来。另外还应该创建事件管理工作流程以确定在分流、响应和调查阶段中需要哪些资源。有一个精简的数字调查结构能够大大减少事故发生和检测之间的差距;减少企业损害(声誉、财务等)或者正在发生的数据泄露。

“知道-做”的差距就是在实践中我们所知道的和我们做的事情之间的差距：知道我们企业的管理控制有哪些，但是选择不遵守这些控制。人为因素是最可怕的因素，因为最难预测，并且无法通过技术来控制，这也是需要管理控制的原因。

在实施管理控制之前，关键利益相关者应制定一个组织沟通策略，明确数据保护项目应该如何进行，并提供教育工具来减小“知道-做”差距。

这里有一个“知道-做”差距的例子：假设你的移动员工在与客户沟通时，没有对企业应用程序或网络的直接访问权，潜在客户要求移动员工发一份电子邮件以供日后参考，但由于这个员工没有电子邮箱平台的访问权，他会认为这一次可以使用他的公共webmail账户来向客户发送信息。

在建立了良好的管理控制，加上对数据保护控制的成熟度评级，创造了一种瀑布效应，为加强或部署技术控制的优先级指明了方向。询问一些重要问题，例如哪些是关键数据?关键数据存储在哪里?数据是如何被使用的?如果没有对企业数据的良好理解，就不能量化相关风险以及实施适当控制。

与多个业务部门协作能够确保从一个更全面的角度来明确风险或者安全团队不知道的数据使用情况。虽然来自各个业务线的评估结果是独立的，但产生的结果能够说明应该优先哪些工作，降低风险。数据丢失防护(DLP)是需要人力和技术力量共同支持的业务问题。部署数据保护项目对于每个企业都是必不可少的，这不应该是一个痛苦的过程。这个工作需要企业在较长的时间内投入很多资源，在部署安全控制之前制定政策不仅不会成为开展业务的障碍，而且会成为安全执行业务的平台。

所有企业都不希望看到因为数据泄露事故而让企业见诸报端，但是随着安全威胁的不断演化，加之不可预测的人为因素，数据泄露的风险正在不断增加。虽然技术能够确保业务的开展、满足监管要求和保护机密数据，但是单靠技术并不够：企业必须制定一套专门的政策(标准和指示等)来规定哪些数据需要受到保护，应该在哪里执行数据安全控制，以及数据应该如何受到保护。

二、电脑监控软件终究只是一种技术手段，必须配合企业管理才能实现最终的网络管理。

首先，电脑监控软件本身只是一种技术手段，技术再强的电脑监控软件也必定存在某种可以被突破的漏洞，技术高手、黑客等总能找到破解和突破的方法，从而使得电脑监控软件失效，所以不能对电脑监控软件的技术保持盲目的自信，而应该认识到电脑监控软件的一个重要作用是威慑，是“防君子不防小人”的，同时也不是为了网络监控而监控的;其次，网络管理是企业管理的一个重要组成部分，是企业管理的重要内容，所以有效的局域网网络管理必须配合相应的企业管理制度，具体而言就是必须建立相应的网络管理制度，并且必须建立相应的奖惩标准，并由相应的管理人员负责贯彻执行;最后，针对单位的关键人员，如研发人员、掌握企业商业机密的管理人员等等，必须通过劳动合同、保密协议加以约束，从法律层面上加以约束和管理，从而可以实现更严密的企业管理。

电脑监控软件从诞生之日起就一直备受争议。由于目前中国相关法律法规几乎为空白，所以围绕着公司监控员工上网行为是否违法、是否侵犯员工的隐私权等等一系列问题曾展开过较大的讨论。中国知名互联网律师游云庭认为，办公电脑所有权属于公司，公司为员工上班支付了相应的薪酬，理论上公司对员工在上班期间的信息交流是有权监控的;不过，公司也该建立相应的规章制度来完善监控事宜，例如只能由特定权限的人来查看信息，并且不能随意扩散。所以，单位部署电脑监控软件时一定要建立相应的信息保密制度，不能随意向无关人员散布监控信息;同时，也要注意网络监控信息仅限于用单位内部上网管理、审计需要，不能私自改变用途，以免给企业带来较大的法律风险。