监控仅仅是终端安全管理工具的功能之一，例如，数据防丢失软件系统可以防止文件被拷贝到USB设备和通过邮件发送。或者，除了这些防止动作之外，软件还可以加密机密文件。

敏感数据防丢失方案中还可以设置向IT人员发出通知或隔离数据。它可能会禁止终端设备，或向其它客户提出申请来检查是否涉嫌数据丢失。

例如市场上的终端DLP工具有Symantec Data Loss Prevention for Endpoint 和Websense Data Endpoint。尽管Websense不能共享赛门铁克的知识，这两个产品提供相似的功能，都提供综合的敏感数据监控和保护功能。

Symantec或许更擅长制定和管理策略，而且在监控和防止未授权访问方面也证明了其能力。另一方面，Websense在易安装和管理方面获得一 致好评，还有它的综合报告功能。另外，很多IT爱好者考虑ROI的时候认为Websense是更为纯粹的产品。此外，还有一些其它类似软件。

不管您选择了哪种DLP工具，雇员可能都对限制他们行为的动作不那么配合，除非他们已经被教育过敏感数据保护的重要性。例如，如果雇员理解他们为什么禁止向跳盘下载文件，可能在传输文件遇到弹出禁止窗口的时候会更为合作。

DLP工具的限制

使用数据防丢失软件可能极大提高终端设备的安全管理，但是没有什么系统可以达到完美。例如，DLP工具必须被安装到所有的网络终端上才能完全发挥作 用，而且现在的应用不能工作在移动手机设备上。如果用户在咖啡馆网络通过外部设备，如家庭PC或笔记本，访问网络时也不能发挥作用。

终端DLP工具可以缓和数据丢失，但是它也仅仅是多层次安全防护的一部分。例如Symantec的Data Loss Prevention for Endpoint，仅仅是Data Loss Prevention Product Family系列产品的一部分，而Websense Data Endpoint则是Websense Data Security Suite套件的组成部分之一。两个产品线都可以不仅防止终端上的数据丢失，而且保障任意其它设备或在网络上传输时数据的安全。

为了最好地保护敏感信息，数据防丢失软件还可作为终端安全管理的组成部分，把其它的一些技术，如访问控制和恶意监测整合起来。Websense Data Security Suite的配置上就提供了跟防火墙和防病毒软件的整合功能。

数据丢失防护和DLP工具可以填补其它的一些数据安全漏洞。例如，防病毒软件或防火墙，不能防止恶意的内部人员下载文件到跳盘上。而DLP工具则可以。没有什么应用可以根除所有的数据丢失风险，但是把DLP工具作为全面终端安全管理策略的一部分可以帮助达成这个目标。