监视还是预防？DLP

Question

场景：

我独自管理着公司的网络。我是身边唯一的IT人，我不能花太多时间在任何特别的事情上，因为有些人会开始抓狂。

我必须实施一些DLP(数据泄漏/损失预防)系统，我必须决定是集中在监测还是防止它。

监测：

优点:没有假阳性。

缺点:缺乏时间会导致数据泄露，两天后我意识到这一点。

Peventing：

优点:没有数据泄漏(如果配置得当)

缺点:假阳性和过滤器的配置和重新配置

到目前为止，我赞成监控，因为另一种选择会导致假阳性=疯子

有人能在这里放点光吗？对于我的方案，我该怎么办？

Answer 1

您应该关注这两个方面，但不仅仅是，监控和预防是单个系统的一部分，在这个系统中，如果数据泄露或丢失，就应该如何处理。

1. 监测(例如数据可用性、通过审计泄露数据)
2. 在违反或数据丢失的情况下采取行动(程序)
   • 向有关各方发出通知
   • 从备份恢复
   • 失败到另一个节点
   • 不去另一个地方
   • 等

3. 预防
   • 管理访问(授予用户适当的权限)
   • 确保策略(包括备份和访问策略，例如组策略)

希望这能有所帮助。