移动设备端数据丢失防护(DLP)方面的最佳实践和技术旨在保护离开企业网络安全体系的数据。众多原因会导致数据遭到破坏或泄露：设备被偷、授权用户无意中共享，或者不法分子通过恶意软件或恶意应用程序，公然窃取数据。

任何访问或存储企业信息的移动设备都至少应该配置用户身份识别和强验证机制，应该运行最新的反恶意软件工具，必须使用虚拟专用网(VPN)连接来访问企业网络。此外，IT部门应该为移动环境下的企业信息提供最有效的保护。

1. 数据备份：你知道该怎么做。

对于数据备份这个问题，我们没必要太过详细地讨论。简而言之，数据备份必不可少;必须定期备份数据;还必须测试因而生成的备份文件，确保必要时备份文件能顺利恢复。

2. 用户教育：用户知道得越多，你的数据越安全。

对于大多数用户来说，对他们进行安全教育、了解数据泄露的种种危险，是一种有用的、有价值的方法。无论你通过年度安全培训、午餐研讨会还是每月通讯来普及安全知识，都要对员工进行安全方面的教育。告诉他们什么是敏感信息，并且让他们知道敏感信息是什么样的。

一旦大多数员工明白了什么是“机密”信息，就会帮助保护企业的信息资产。他们还必须明白如果这类信息公之于众，企业所面临的后果：名誉受损、企业间谍活动、收入损失、监管部门罚款和处罚，甚至可能危及某些员工的人身安全。可能的话，展示本企业实际遇到的一些数据泄露案例，并仔细分析其他企业之前成为报章头条的安全泄密事件。

3. 数据分类：只有谁有权查看？

在过去几年，移动设备越来越广泛地用于工作场所，风头盖过几乎任何技术;这样一来，数据分类的重要性备受关注。大多数移动DLP技术依赖某种数据分类技术来防止数据泄露。贵企业应该先建立一项数据分类标准――要是之前没有落实这种标准的话，然后尽快实施该标准。

分类体系由界定如何处理信息的几大类组成。美国军方分类体系包括三个分类级别：绝密级(Top Secret)、秘密级(Secret)和机密级(Confidential)。企业或教育分类体系可能使用高度敏感(Highly Sensitive)、敏感(Sensitive)、内部(Internal)和公共(Public)这几类。

由于信息有多种不同形式：文字处理文档、电子表格和电子邮件、市场营销、日常业务运作、高管信件和客户服务电子邮件等，对一些信息进行分类可能有难度。此外，如何处理已针对其他用途而改变的文档?比如说，要是某个被分为高度敏感这一类的文档的一些部分用在其他地方，会怎样?这些部分也应该被认为是高度敏感，还是它们需要一轮审查、可能需要重新分类?

要小心：数据标记和数据分类是两码事。标识表明了所需的保护级别，通常是添加到文档本身上或元数据中的一个标记或注释。比如说，你可以将“机密”这个单词插入到文档的页眉或页脚，或者将该单词添加到文件的属性表。另一方面，如果你对文件进行分类，可能使用标记，也可能没有使用标记。