想要在一个复杂的企业网络环境中部署好DLP（数据泄露防护）解决方案，并不是一件很容易的事情，因为在部署DLP解决方案的同时必须考虑与原有的安全方案的兼容性。既要将它无缝的集成到现有的网络结构中，又不能影响企业正常的网络业务。可喜的是，通过分享一些企业部署DLP解决方案的成功经验，目前已经存在一些成功部署DLP解决方案的最佳做法。

这些部署DLP解决方案的最佳做法由5个步骤构成，包括总体策略、指定部署人员、DLP产品选型、部署处理流程和检验，这5个步骤首尾相连构成一个不断往复的部署过程。

第一步：指定一个部署DLP解决方案的总体策略

通常，一个全面的DLP解决方案总体部署策略应当至少包括：

1. 具体要保护的 机密数据
2. 要达到的总体目标
3. 应当遵从隐私权和数据安全法规
4. 使用的DLP产品类型
5. 部署时的具体处理流程
6. 部署DLP解决方案的计划 进度
7. 部署当中和完成后的检验方法
8. 具体需要使用到的工具和调配方法

第二步：安排部署人员和明确责任

部署DLP解决方案的人员应当包括企业领导、部署主观、网络管理员、系统管理员、安全工程师，以及DLP产品售后服务人员或第三方安全机构技术人员等，具体应当根据实际环境来决定，然后给他们分配好角色和明确人员具体承担的责任

第三步：选择DLP产品

想要选择一款真正适合企业自身需求的DLP产品，可以按照下列所示的几个选购要点来进行：

1. 必须具有监控和防御功能，这是DLP产品最基本的要求
2. 应当具有中心化管理功能，包括策略创建和执行，生成报告和数据过滤等
3. 应当具有保存和备份功能，防止因机器故障导致数据丢失
4. 应当易于整合，即DLP产品与现有网络结构或系统的整合，以免影响正常业务运行
5. 应当存在一个成熟的市场，以保证良好产品质量与售后服务

第四步：DLP解决方案的具体部署处理流程

这个流程中规范了应该按什么步骤、方式来进行，什么人负责什么位置，以及事件的管理、调试、报告机制和系统操作等各个方面；还应当规范人员、物资和设备的管理、保管和使用及调配，以及相互之间如何写作和上下交流等各个方面。以下是几个优化部署的建议：

一、采用模块化部署方式，这样能够将企业DLP部署面分割成几个模块来一步步的实现，能够将部署DLP时对业务的影响降到最低，也让DLP部署更加清晰明了，能够让人掌握部署的进度。

二、为了能够让方案实施人员了解企业当前的网络结构及DLP产品应用的具体位置和对象，可以先绘制一个企业部署DLP解决方案的网络拓扑图

三、确保实施的DLP解决方案完全遵从当地的数据保护法规和员工的隐私保护条例，以防止以后出现不必要的麻烦

四、根据进度，对已经实施了DLP解决方案的区域进行相应的检验，以确定部署DLP解决方案以后能达到什么样的效果，时候需要调整和改进的

第五步：检验DLP解决方案的部署效果

我们可以向企业外部发送非授权的机密数据的方式来检验网络型DLP产品的监控和控制效果，以及通过在主机上应用非授权U盘等设备复制数据来检测主机新DLP软件对可移动设备在主机上的控制能力等等。需要特别注意的是：DLP解决方案的部署是一个长期的过程，它应当与数据的整个生命周期相对应，并不是一次部署以后就不需要去管理和维护了。因此，我们再部署完DLP解决方案后，还应当不断的检验它的执行效果，然后根据检测结果来调整DLP策略，以便它在数据整个生命周期中各个阶段达到我们的要求。