Do pierwszej grupy zaliczamy systemy (nazywane również systemami dostępowymi) sprzętowo – programowe, których zadaniem jest analiza ruchu w sieci wg zadanych parametrów. Ponieważ dekodowanie transmitowanych danych w czasie rzeczywistym jest trudne do wykonania z uwagi na szybkość połączeń, twórcy tego typu rozwiązań przyjęli nieco inną taktykę: danym podlegającym ochronie przyznawane są specjalne sygnatury i to dopiero ich szuka system DLP pośród transmitowanych danych. Dodatkowo zdefiniowane listy zakazów pozwalają ograniczyć niepożądany ruch w sieci w postaci wejść na określone w listach domeny lub grupy domen.

Druga grupa to systemy stanowiskowe. Oprócz funkcjonalności systemów czysto sieciowych posiadają one, wspomniane wcześniej jako pożądane, możliwości identyfikacji i ochrony konkretnych dokumentów przed operacjami typu kopiuj/wklej, komunikatory, programy pocztowe – w stopniu znacznie uniemożliwiającym „wyprowadzenie” danych na zewnątrz. Są też doskonałym narzędziem kontroli (i – w razie potrzeby - ograniczenia) przepływu informacji pomiędzy poszczególnymi pracownikami czy działami w jednej firmie. Pozwala też kontrolować pracę systemu operacyjnego, na przykład uniemożliwiając podłączenie napędu wymiennego lub sieciowego i skopiowanie na niego objętych nadzorem plików.

Każde z powyższych rozwiązań posiada wady i zalety. Do zalet opcji sieciowej należą niezależność od liczby hostów w nadzorowanej sieci, niewrażliwość na zmiany konfiguracji poszczególnych jednostek czy rodzaj użytego na nich systemu operacyjnego. Minusem jest wąski zakres świadczonej przez taki system ochrony – ogranicza się ona jedynie do kontrolowania i ewentualnego blokowania niedozwolonej transmisji danych, czy to poczty elektronicznej, czy to prób wejścia na zabronione strony internetowe. Zalety rozwiązania stanowiskowego są innej natury: sieć i poszczególne jej hosty są dobrze chronione przed zarówno próbami wysłania poufnych informacji do nieupoważnionych adresatów, lecz także przed kopiowaniem danych w obrębie jednej maszyny (pamięci przenośne, dyski lokalne).

Gotowe rozwiązania

Takiego wyzwania nie mogły nie podjąć duże firmy zajmujące się od lat bezpieczeństwem komputerów. Ich produkty – wraz z szeregiem mniej znanych marek – tworzą interesujący wybór dla każdego. Dobrym przykładem może być tu system McAfee Data Loss Prevention. Do działania wymaga funkcjonującej usługi Active Directory oraz uruchomionej usługi RDP na serwerze.

Po instalacji otrzymujemy naprawdę potężne narzędzie – pakiet oferuje pełen monitoring niezależnie od miejsca przebywania komputera (dom, delegacja), kontrolę popularnych protokołów komunikatorów (także Skype), nadzór nad podłączanymi urządzeniami przenośnymi, nagrywanymi płytami, ruchem HTTP czy FTP. Z każdej działalności sporządzane są logi, które w późniejszym terminie można poddać, w razie potrzeby, szczegółowej analizie. Dodatkowo mamy też możliwość monitorowania ruchu wychodzącego z komputerów niepracujących pod kontrolą systemów Windows, co wymiernie zwiększa bezpieczeństwo.