Symantec 终端数据防泄漏DLP解决方案

Symantec 终端数据防泄露DLP
---解决方案
2018.7.21
1 方案概述1.1 产品推荐
Symantec Data Loss Prevention (下面简称DLP) 解决方案是业界第一个全面覆盖终端、网络和存储的数据防泄漏解决方案。

它集发现，监控和保护于一体，为机密数据的存储和使用提供管理。

无论是存储在网络的、还是不联网终端上的机密数据，DLP都可以发现它们，并且可以防止数据从存储、网关和终端处泄漏。

●发现: 发现机密数据存储在哪里，创建敏感数据的资产清单，帮助管理
废弃数据清除。

●监控: 帮助理解机密数据是如何被使用的，无论用户是在企业网络还是
在外网。

获得机密数据使用的企业全局视图。

●保护: 自动强制安全策略，主动式保护机密数据，防止其流失出企业。

●管理: 所有工作在一个统一的平台上完成。

如为整个企业制定统一的策
略，修复和报告事件，执行高精度检查等。

通过部署DLP从而更好地保护客户信息、知识产权；更好地遵从法规；维护品牌和声誉。

1.2 竞争优势分析
1.2.1 公司方面
1.2.1.1全球最大的信息安全厂商和服务提供商
赛门铁克公司（Nasdaq:上市公司，代号SYMC）成立于1982 年4 月，
于1989年6月23日首次发行股票上市。

全球总部位于美国加利福尼亚州Cupertino，现已在40 多个国家设有分支机构，全球员工数量超过17,500 人。

赛门铁克有限公司（Symantec）是世界互联网安全技术和整体解决方案领
域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全
解决方案。

赛门铁克是安全威胁防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。

为全球超过五千万用户提供综
合性的互联网安全产品，方案和服务，包括大型企业，政府机构，教育机构，
小型企业和个人。

98 %的“财富（Fortune） 100 公司”使用赛门铁克的安
全方案。

诺顿品牌领先世界零售市场，在业界颇受赞誉。

●具有网络、终端、服务器、信息内容以及安全管理的整套解决方案；
●拥有并维护着全球最大的互联网安全智能预警网络和安全知识库，
并据此定期发布互联网威胁报告；
●拥有5个运营型SOC中心（日本与NTT合营），为全球上千家大型企业管理信息
安全服务；
1.2.1.2充分本地化的信息安全厂商和服务提供商
1998 年6 月，赛门铁克领取中国公安部颁发的销售许可证，获准在中国市场上销售其安全软件。

赛门铁克公司北京办事处成立于1998 年8 月，并于1999 年11 月取得了新的营业执照，成为外商独资企业，并更名为北京赛门铁克信息技术有限公司（营业执照的有效期到2054年02月23日截止），主要负责中国地区赛门铁克产品的销售、服务、技术支持和本地化工作。

2006年9月14日更名为赛门铁克软件（北京）有限公司，并在全国范围内构建销售、支持和服务体系。

北京（中国区总部） Beijing
北京市东城区东长安街1号东方广场
东方经贸城东三办公楼11层1-4单元
邮政编码: 100738
电话号码：+86 10 8518 3338
传真：+86 10 8518 6928
赛门铁克中国研发中心（北京）
北京市海淀区中关村东路1号创新大厦B座601室
电话号码：＋86 10 62725000
传真：＋86 10 62725001
赛门铁克中国研发中心（成都）
成都市天府大道中段765号天府软件园A区5号楼主楼2-4层电话：(86-28) 8530 3000
传真：(86-28) 8530 3001
上海子公司 Shanghai
上海市南京西路1168号3701单元
邮政编码: 200041
电话号码: +86 21 3217 4788
传真: +86 21 5292 5291
广州子公司Guangzhou
广州市天河区天河北路233号中信广场65层6501单元
邮政编码: 510613
电话号码: +86 20 3877 1799
传真: +86 20 3877 1877
成都子公司 Chendu
成都市人民中路1段15号天府丽都喜来登饭店601室
邮政编码: 610015
电话号码: +86 20 8676 8282
传真: +86 20 8676 8598
香港 Hong Kong香港湾仔港湾道18号
中环广场30楼3006室
电话号码: +852 2528 6206
电话号码: +852 2598 1234 (Customer and Technical Service)
电话号码: +852 2877 0776 (Upgrade Centre)
传真: +852 2526 2646
台湾（台北） Taiwan (Taipei)
台北市南京东路五段188号2楼之7
电话号码: +886 2 8761 5800
传真: +886 2 2742 2838
1.2.2 产品方面
1.2.2.1连续DLP行业领导者
Symantec是DLP市场的领导者，国内外著名评测机构一致公认Symantec DLP是业界的领导者，GartnerDLP报告连续多年获得市场和技术方面均排名第一：
上图是Gartner的DLP魔力象限图。

它通过对市场主流DLP产品的执行能力和完整的发展远景采用魔力象限图进行表示。

首先，Gartner重视产品功能的执行能力，其评级依据是三种最重要的基本功能：网络性能，终端性能和发现性能。

因为市场非常关注内容检测技术和协议分析，所以在这个魔术象限中，具有创新意识的内容感知DLP受到高度的重视。

并且Gartner也将参与评估厂商的合作伙伴的产品集成实际水平也纳入了评估标准之中。

其次，Gartner也非常重视产品的完整的发展远景，其评级依据强调厂商的技术能力甚于其在市场营销和销售战略。

Gartner更加强调厂商的明确了解DLP基于客户的业务需求，充分发掘和引导没有充分认识到这些需求的客户。

这意味着，该评估标准要求厂商应该专注于企业的经营和监管部门的需求，以识别、定位和控制敏感数据在其网络和边界上的存储和传递。

处于Leader象限的厂商是Gartner经过深入评估后认可程度最高的厂商。

而Symantec则处于最靠近魔力象限图右上角的位置，这代表Symantec在执
行能力和完整的发展愿境方面获得Gartner最高的评价。

下面是Gartner对Symantec的详细评价：
●具有业界领先的网络和工作流功能，能够平衡竞争发现和端点的能
力。

●它的内容感知DLP技术和业务在持续走强。

●它的应用广泛，在许多大型的跨国公司都有很多成功案例。

●它支持双字节字符和本地化的Microsoft Windows操作系统（OSS）
的16种语言。

●它有一个积极的产品路线图和执行，非常了解DLP市场的发展和
客户需求。

●它有一个非常成熟的、市场上独一无二的部署方法模型，这在
Gartner的客户中是一个非常重要的影响决策过程的因素。

赛门铁克，作为一个存储、终端、电子邮件和Web网关的战略供应商，有显著的优势和客户基础。

Symantec连续五年获得GartnerDLP报告的，市场和技术方面均排名第一，是名副其实的该产品领域的领导者。

1.2.2.2市场份额第一
Symantec是DLP市场的领导者，国内外著名评测机构一致供认
Symantec DLP是业界的领导者，市场份额排名第一，占有37%的销售份额。

Symantec DLP产品年销售额约100M美金。

在Gartner2011对DLP产品的测试报告中，Symantec遥遥领先其它厂商，位于第一的位置。

1.2.2.3DLP在国内荣誉
2009年IT创新大会以“经济危机下，企业应该如何应对”为题，凸现创新技术在企业利用IT技术来控制风险、提高效益、减少企业运营成本方面能够为企业带来怎样的帮助。

上面示意图是在2009年IT创新大会上面Symantec所获得的奖项。

其中有：
•最佳DLP品牌-Symantec DLP
•最佳DLP产品-Symantec DLP
1.2.3 服务方面
1.2.3.1专业DLP咨询服务方法论
针对DLP信息防泄漏项目，Symantec根据大量项目经验总结出面向服务的DLP实施方法论，从信息泄露风险控制需求调研分析、客户化管理策略到循
序渐进的进行优化管理，参考这样的实施方法论有助于DLP项目的顺利完成，达到预期目标。

1.2.3.2完整的服务体系
为了保障系统正常运行，SymantecBCS服务、CS服务和TS服务构成完整的售后服务体系，通过三方面的服务全面覆盖相关系统维护管理所需要的服务内容。

1.2.4 客户案例方面
1.2.4.1主要的用户群体、所占比例
Symantec是DLP市场的领导者，国内外著名评测机构一致供认Symantec DLP DLP是业界的领导者，市场份额排名第一。

Fortune100里有1/5是Symantec 的客户：
•11大商业银行里的8家
•10大保险公司里的6家
•10大科技公司的全部
•12大零售商的全部
•8大信用卡公司中的5家
•7大制造业公司的4家
•14大公共组织的7家
•10大卫生保健公司的6家
全球4百万用户使用Symantec DLP产品。

1.2.4.2国外工程案例说明
1.2.4.2.1案例1友邦集团 AIG
简要背景
需要整体上对数据泄漏的风险有一个全局视图，采取措施控制风险并教育员工。

并帮助企业发现散布于全球IT基础架构中的敏感信息，包括客户资料等。

项目实施时间
从2006年9月开始部署实施，包括网络监控/阻断和存储发现/阻断等4个功能模块。

用于发现全球各地所存放的敏感信息，并阻断敏感信息的外泄。

用户规模
世界保险和金融服务的领导者，也是全球首屈一指的国际性保险服务机构，业务遍及全球一百三十多个国家及地区，其成员公司通过世界保险业最为庞大的财产保险及人寿保险服务网络，为各商业、机构和个人客户提供服务。

美国国际集团在全球各地的退休金管理服务、金融服务及资产管理业务也位居世界前列,超过15万名员工,。

客户简要需求
✓担心以SSN为主的客户资料信息的泄密；
✓已经把一些重要的文件标记为“confidential”，但还是有一些安全意识薄弱的员工无意识把这类文档通过邮件外发出去。

客户已实现功能
网络监控功能，包括网页、邮件等。

网络阻断功能，对违规的网络访问和发送邮件进行阻断。

⏹现在AIG的管理层可以确信客户资料和内部信息都不会被恶意代码和非法行
为通过互联网传递到外部；
⏹提升品牌形象，增加了客户的满意度和忠诚度
⏹自动化的提醒机制，提高了员工的安全意识，完整的工作流系统能够满足
AIG对于事件响应的要求
1.2.4.2.2案例2 花旗集团Citigroup
简要背景
需要展示企业已经采取了更多的手段保护客户资料，更好地实现了法规的遵从。

美国银行和其他的DLP客户都已经部署了DLP方案。

通过实施DLP项目，证明企业已经在切实加强数据安全。

项目实施时间
从2005年11月开始部署实施。

用户规模
它拥有320,000个网络用户。

在2006年的财富排名中名列第8。

它为全球超过100个国家和地区的2亿用户提供企业和个人银行服务、贷款服务、信用卡和资产管理服务。

客户简要需求
银行最重视的就是保护客户的敏感资料，希望能够采取切实有效的步骤去提高资料的安全性。

高层管理人员也意识到DLP方案的实施还能有助于展示公司对法规的遵从。

客户已实现功能
从2005年11月开始部署实施，包括网络监控和网络邮件阻断功能。

实现对320,000个员工，20个网络出口的监控。

保护的数据包括知识产权、客户资料、社会保险号、公司信息等。

通过使用DLP解决方案，减少了敏感泄露的风险，同时还证明了对SSN和GLBA/SB1386的法规遵从。

对客户敏感信息的更稳妥保护，增强了客户的信任和信心，从而更好地保护企业品牌形象。

1.2.4.2.3案例3 纽约人寿New York Life
简要背景
✓担心SSN相关的客户资料的泄密
✓公司最优质的寿险业务相关的客户资料被员工通过非公司的邮件系统：Gamil、Hotmail、Yahoo等泄露
✓监管部门要求提供遵从保护客户隐私信息的法规的证据
项目实施时间
✓Symantec DLP Network Monitor、Network Prevent for Email
✓Symantec DLP Network Discover、Network Protect
2006年9月，已经实施完毕。

用户规模
纽约人寿保险公司于1845年创立于纽约市，是美国最大的保险和理财服务机构之一，也是《财富》500强之一,150多年来提供个人寿险和年金、团体寿险、养老金、信托基金以及其他各美国纽约人寿保险公司种健全的财务产品和担保融资等服务。

纽约人寿及其全资附属公司——纽约人寿保险及年金公司，为寿险业最佳品质的象征。

在中国的合资公司叫海尔纽约人寿。

客户已实现功能
⏹得益于Symantec DLP的“安全通知”机制，改变了90%安全意识薄弱的员工
的行为；
⏹六个月内零误报，并没有增加IT部门的管理负担，每天只需要0.2个
FTE(Full Time Employee)。

1.2.4.2.4案例4美国银行 Bank of America
简要背景
法律部门和CISO共同发起这个项目，要求如下：
✓需要防止与客户相关的信息泄密，遵从监管机构的要求；
✓迫切需要防止银行卡号、信用卡号、磁条信息、SSN号、驾照信息、密码等客户信息通过邮件外发和通过互联网泄密；
✓防止公司的网络拓扑图对外泄露
项目实施时间
2007年8月到2008年3月，实施完毕。

用户规模
✓美国银行为环球首要的金融服务机构之一，为美国第二大银行，致力提供一应俱全的个人及商业银行服务，服务遍及美国二十一州、哥伦比亚特区及全球三十个国家，有
20万员工，其中海外员工17万
客户简要需求
客户希望保护知识产权，包括产品设计、价单、市场活动、客户信息、社保号码等。

客户已实现功能
⏹12个月内，风险降低了90%
⏹通过EDM技术保护了核心业务数据库中客户相关的记录不被外泄
⏹提高了所有员工的安全意识
⏹为内部合规管理和审计的时候提供内控相关的证据
⏹从刚开始的每天数百起安全事件，降低到1年后的20条左右/天
⏹基于不同的业务部门，定期报告风险视图
1.2.4.2.5案例5摩根大通JP Morgan Chase
简要背景
该公司在一次全企业范围的风险评估中，发现存在敏感信息泄漏的风险，决定采取相应的补救措施。

项目实施时间
2006年3月开始，已经实施完毕。

用户规模
拥有160000名员工，是全球最大的银行之一。

客户简要需求
保护客户信息，包括信用卡号码、社保号码、联系方式等。

客户已实现功能
采用了网络监控模块，即Network Monitor (SMTP; HTTP; FTP; IM; NNTP; UTCP)。

实现对网络上传输的敏感信息监控，包括客户信息，信用卡号码、社保号码等。

1.2.4.3国内及金融行业客户
1.2.4.3.1国内主要客户
1.2.4.3.2金融行业客户
Symantec DLP 解决方案在国内拥有众多案例，尤其是金融行业，包括工行、建行、交行等20多家大型金融机构采用SymantecDLP解决方案。

参考如下：
1.2.4.4国内工程案例说明1.2.4.4.1工商银行
1.2.4.4.2建设银行
1.2.4.4.3浦发银行
1.2.4.4.4华为公司
1.2.4.4.5海尔集团
1.2.4.4.6银河证券
2 Symantec信息泄漏治理框架2.1 治理目标
初步建立信息泄漏风险管理体系,从信息泄漏的识别、监控、控制、审计，形成风险治理的闭环，持续降低公司信息泄露风险。

•从管理上要解决对泄密信息的可知、可防、可控，并建立起一套泄漏事件的发现和响应机制，包括：组织、人员和流程；
•在此过程中，梳理和弥补业务流程中的安全隐患，提高员工的信息敏感性意识和自觉的泄密防范意识；
•从而降低信息在产生、存放、访问、传播和使用过程中的泄漏风险。

2.2 治理原则
在进行信息泄露治理工作时，实行依法规范、预防为主、突出重点、便利工作、保障安全的原则。

2.3 治理策略
为了达到治理的三个目的，我们从管理信息泄露事件发生事前、事中和事后三个时间点制定治理的策略：
1、事前识别防范
掌握各类管理信息在各部门的散布位置，提高信息泄露途径和方式的发现能力，详细信息泄露风险；
2、事中检查控制
针对不同类型管理信息的不同泄露途径和方式，分别采取不同的控制措施（包括管理性措施和技术性措施）加强风险控制，降低信息泄露发生的概率；
3、事后报告审计
收集信息泄露事故发生的报警，进行审计分析，发现控制措施的漏洞和缺陷，从而调整或加强控制措施，从而达到整体降低风险的目的。

如下图所示：
2.4 治理工作内容
依据整体治理的原则和策略，将就如下具体内容开展工作，以达到治理的目的：
1、从对数据泄密风险评估入手，识别泄漏风险，设计与规划适当的泄漏防护
体系。

2、建立数据泄漏防护体系的技术基础平台，基于内容感知的技术手段，实现
对信息泄漏风险的识别、监视、审计和一定程度的控制。

3、对发现的业务流程隐患和员工无意识泄漏风险，通过管理、教育和技术手
段降低风险。

4、根据识别出来的信息泄漏风险，逐步增强文件加密、数字权限、物理安全
等控制措施。

2.5 技术支撑
支撑技术主要有两种类型：一种是强控制，一种是强检查。

而在区分信息机密性时，也有两种主流方法。

一种是基于信息载体上的权限，另一种是基于信息的内容。

强控制的代表是文档数字权限管理（EDRM）和加密，而强检查的代表是数据流失防护（DLP）。

其特点和适用范围如下图所示：
3 总体架构设计3.1 总体部署架构
利用Symantec DLP架构覆盖所有终端的信息防泄漏系统。

具体部署措施如下：
1、部署一套DLP管理服务器，定义不同类型的敏感信息以及这些使用
策略；
2、在维护终端以及办公终端上部署DLP Endpoint 客户端软件，监控、
发现敏感信息位置和使用情况，阻止U盘拷贝、打印、刻录等泄漏
行为；
3、在Internet出口网关处部署DLP Network Monitor网络监控引
擎，发现并阻止邮件、聊天、Web上传等敏感信息违规传输行为；
架构如下图所示：
3.2 功能设计
3.2.1 网络DLP防护功能
Vontu Network Monitor 被动检查网络流量并针对所有的网络协议和内容类型，在保密信息离开网络之前对其进行检测，使企业能够限定和量化数据丢失风险。

例如，Vontu Network Monitor 可以检测使用IM或公共 web 邮件提供商的员工向竞争对手发送产品计划和其工作的保密样本。

它还可以识别中断的业务流程，该流程导致将社保编号未经加密发送到可靠的合作伙伴。

Vontu Network Monitor 的基本操作非常简单。

它位于网络出口处，分析网络信息包的副本，检测数据是否违反策略，就像在“检测和准确性”部分中描述的那样。

网络协议在 Vontu Network Monitor 设置中进行配置，其中可以包括公共数据传输协议和交互协议，如SMTP、HTTP、FTP 流量（包括主动和被动方式发送的数据和控制会话）、IM 流量（AIM、Yahoo 和 MSN Messenger）、IRC 和 Internet News（NNTP）。

通过Universal TCP 协议定义，可以对非标准和专用协议进行定制式监视，如文件共享网络 Kazaa 或 FastTrack。

Vontu Network Monitor 还可以监视加密的使用和类型，包括检测未经授权使用加密和验证是否遵守了加密策略。

Vontu Network Monitor 是端口不可知论者，它基于协议签名识别应用程序级别的网络流量来执行策略，即使流量从非本机端口离开也不例外。

例如，只要 TCP 连接的格式符合在Vontu 系统中配置的 HTTP 协议签名，则不使用标准 TCP 80 端口的流量也仍将被分析和分类为 HTTP。

类似地，根据 Vontu 基于协议签名匹配流量并识别隧道协议的功能，在 HTTP 内进行隧道传送的即时消息将会被正确识别为 IM 协议。

Vontu Network Monitor 通常由客户配置，检查最有可能丢失保密数据的流量。

在典型数据中心中，有大量低威胁流量（如 UDP 或安全 VPN 流量）以及与高威胁流量（如 SMTP、HTTP、FRP 和 IM）纠缠在一起的入站流量。

在标准部署中，Vontu Network Monitor 被配置为过滤出低威胁流量，以确保不会花费 CPU 周期来处理低风险数据。

可以免于分析的数据包括：加密的流量、流媒体或低风险自动管理业务（如 IM 持续连接）等。

将检查网络流量的范围缩小为最高风险的通信是通过为 IP 网络和地址、应用层发送人和接收人以及数据头中的任意名称值对配置过滤器实现的。

3.2.2 终端DLP防护功能
Endpoint Prevent 检测并防止敏感数据从台式或便携式端点计算机移出。

它至少包括一个Endpoint Server 和连接至该 Endpoint Server 的端点系统上运行的所有 Symantec DLP Agent。

您可以将多个 Symantec DLP Agent 连接至单个 Endpoint Server。

Endpoint Prevent 会检测以下数据传输形式：
•可移动媒体设备
•IM
•HTTP/HTTPS
•电子邮件/SMTP
•FTP
•CD/DVD
•打印机/传真
•剪贴板
DLP Endpoint Prevent 监视正被下载到或写入本地驱动器的数据，同时监视和拦截复制到USB、防火墙或 SCSI 存储设备或烧录到 CD/DVD 的保密数据。

它还可以选择显示屏幕弹出消息，通知最终用户违反了策略并包含一些字段供用户判断。

DLP Endpoint Agent 包含DLP Enforce 推送给它的数据丢失策略和可配置的DLP Endpoint Prevent 过滤器。

DLP Endpoint Agent 能够与 Microsoft 的文件系统过滤驱动器（一种受支持的标准 API）集成，拦截文件系统写入和读取事故。

这将确保所有文件系统活动的可视性，包括写入内部驱动器或已安装 USB 文件系统的数据，或者是在操作系统中嵌入的CD/DVD 应用读取的数据。

使用此API 还可以确保与端点上其它代理的互操作性。

DLP Endpoint Agent“破解”那些满足过滤器参数条件的开放文件，扫描文件内的数据，将其与DLP Endpoint Agent 中存储的数据丢失策略进行比较，来查看是否存在策略违反情况。

如果数据违反了策略，则触发相应的实时响应规则，如拦截和／或显示弹出通知。

然后，DLP Endpoint Agent 将通过 DLP Endpoint Server 向 DLP Enforce 发送事故数据。

DLP Endpoint Prevent 过滤器包括可移除媒体过滤器和内置驱动器过滤器。

可移除过滤器根据文件大小和类型，告知 DLP Endpoint Agent 要处理的文件。

例如，这些过滤器可能会告诉 DLP Endpoint Agent 只处理复制到 USB 设备、大于 20KB 的 Microsoft Office 文件，或者忽略所有的 MP3 文件。

DLP Endpoint Prevent 内置硬驱动过滤器将根据文件大小、类型和位置，告知 DLP Endpoint Agent 应该处理哪些正在写入内置驱动器的文件。

例如，这些过滤器可能会告诉 Endpoint Agent 只处理写入内置驱动器上“我的文档”文件夹、大于 50KB 的Microsoft Office 和 PDF 文件。

3.3 DLP策略配置
3.3.1.1检测策略参考
根据太平的情况，主要包括以下规则需求
3.3.1.2定义响应规则
用户可根据自己的需要定义响应规则。

web模块的响应规则主要应该包括以下三类响应规则：
•通知
•移走涉密内容
•阻断访问
用户可根据自己需要，灵活定义。

针对每类响应规则，可以定义两种响应方式，一是自动响应、一是smart response（手动），这样方便审计人员进行审计。

响应规则的配置取决于其类型。

如果配置“自动响应”规则，则可以配置任何可用的操作。

如果配置“智能响应”规则，则仅限于可用来补救事件的操作。

某些操作（用前缀“所有”表示）可用于所有事件类型。

其他操作（用前缀“端点”、Network Protect或Network Prevent表示）仅适用于指定检测服务器。

表：可用于所有响应规则的操作
表：仅适用于“自动响应”规则的操作
3.4 与SEP等其它终端产品集成或配合
DLP终端模块可以和SEP配合，增强终端的安全防护。

比如，SEP可以对特定应用、特定文件进行监控，可以防拷屏。

另外，SEP 可以对终端上的DLP的进程、服务、以及文件进行保护，防止恶意卸载、删除、停止等，增强终端DLP的自身强壮性。

3.5 端点影响
可以为 DLP Endpoint Agent端点 CPU 和磁盘 I/O 设定的百分比上限。

DLP Endpoint Agent 自动作为比其它应用优先级低的进程运行，所以如果最终用户正在运行需要更多资源的其它应用，它将会自动减少资源占用。

本地文件破解和检测只占用少量 CPU，不会引起最终用户的注意。

将数据发送到 DLP Endpoint Server 之前，DLP Endpoint Agent 为保存数据将使用的磁盘总量或 MB 上限百分比（当类似笔记本的端点从公司网络断开连接时，将在此高速缓存中保存受监视的文件，直到该端点重新连接到网络）。

3.6 网络影响
假设 DLP Endpoint Agent 只包含使用 DCM 的策略，则所有检测都在本地进行，因此可以忽略网络影响。

只有事故数据被发送到 DLP Endpoint Server，而不是来自所有扫描文件的所有数据。

即使因为策略使用 EDM、IDM 或 DGM，数据被发送到 DLP Endpoint Server 进行检测，也会由于 DLP Endpoint Agent 在本地破解内容使发送到服务器的数据远远少于源文件中的数据（约5%）。

每个 DLP Endpoint Agent 和 DLP Endpoint Server 之间通信的带宽被限制在每秒指定 MB 范围内，以确保网络影响受到控制。

filter通过降低扫描文件的数量最终将减少网络流量。