啟明星辰吳魯加：企業(yè)如何成功實施DLP

　　DLP歷史回顧

　　“從互聯(lián)網(wǎng)誕生至今，信息安全所面臨的安全威脅經(jīng)歷了大概這幾個時期，簡單來說就像童稚期、俠客期、蠕蟲期、逐利期、竊密期以及職業(yè)期。”吳魯加形象得比喻到。

　　童稚期就是互聯(lián)網(wǎng)剛剛誕生，期間的重心都還是建設(shè)與協(xié)作，沒有什么安全問題;

　　俠客期則是互聯(lián)網(wǎng)已經(jīng)逐步推廣，開始出現(xiàn)網(wǎng)絡(luò)、系統(tǒng)安全方面的攻防，這一時期的黑客追求自由、樂于分享、以“繞過約束”為樂，有較多的逐名傾向——甚至在一定程度上帶有“俠客精神”;

　　進入蠕蟲期，針對網(wǎng)絡(luò)和系統(tǒng)的漏洞，出現(xiàn)了蠕蟲，破壞力巨大，讓用戶意識到了信息安全的重要性，同時蠕蟲期大規(guī)模破壞能力也客觀上減少了暴露在互聯(lián)網(wǎng)上最容易受攻擊的設(shè)備數(shù)量;

　　接下來到了逐利期，黑客們意識到掌握的技術(shù)具有商業(yè)價值，因此“No More Free Bugs”的聲音占據(jù)主流，交流少了，攻擊多了，交流從公開走下私密;

　　到了竊密期，黑客掌握的安全漏洞、攻擊技巧并不能直接轉(zhuǎn)化為經(jīng)濟利益，開始有更多的組織出于商業(yè)目的竊取各種政治、經(jīng)濟、科技情報;

　　終極職業(yè)期，這是目前正在逐步演化中的趨勢，國家的力量正滲透進信息安全領(lǐng)域，越來越多的“職業(yè)隊”和“雇傭軍”涌入，APT(高級持續(xù)攻擊)事件的不斷發(fā)生，是這一時期的標(biāo)志。

　　“應(yīng)該說，在我這個時期劃分中的“俠客期”，一些高敏感性的部門就意識到網(wǎng)絡(luò)中數(shù)據(jù)安全的重要性。但直到“竊密期”之前，多數(shù)企業(yè)或個人還是認(rèn)為，數(shù)據(jù)泄密不會發(fā)生在自己身上——因此還很少有企業(yè)開始部署DLP系統(tǒng)。”吳魯加談到，一直到了竊密期，開始有企業(yè)在數(shù)據(jù)泄密事件中受到了直接傷害，數(shù)據(jù)泄露防護的價值才真正得于顯現(xiàn)。

　　企業(yè)如何成功實施DLP項目？

　　隨著近幾年來的企業(yè)泄密事件的不斷增加，數(shù)據(jù)泄密不僅給企業(yè)帶來了嚴(yán)重的經(jīng)濟損失，而且間接的在品牌和公眾形象等等諸多方面也造成了不可估量的侵害。因此，企業(yè)領(lǐng)導(dǎo)對IT安全的投資已經(jīng)從傳統(tǒng)的防病毒、防火墻等安全產(chǎn)品慢慢轉(zhuǎn)移到數(shù)據(jù)防泄密管理上。

　　▲企業(yè)用戶對于IT安全的投資重點分布

　　《中國IT市場分析與預(yù)測2007-2011》中，IDC對用戶投資重點調(diào)研顯示：“29.8%的用戶會考慮投資數(shù)據(jù)防泄密管理”。

　　企業(yè)對于DLP的重視，使得DLP項目實施的成敗成了壓在CIO、CSO們肩上的重?fù)?dān)。如何才能成功的實施DLP項目，確保DLP項目能成為企業(yè)數(shù)據(jù)安全的守護神，吳魯加和我們分享他的經(jīng)驗，分析了數(shù)據(jù)泄密的渠道，并詳細(xì)談到了防泄密對企業(yè)的價值以及企業(yè)要怎樣做好DLP項目。

　　數(shù)據(jù)泄密的渠道分析：

　　搞清企業(yè)數(shù)據(jù)泄密的渠道是DLP項目成功實施的第一步，常規(guī)的泄密渠道包括內(nèi)部人員離職拷貝帶走資料泄密、內(nèi)部人員無意泄密和惡意泄密、外部競爭對手竊密、黑客和間諜竊密、內(nèi)部文檔權(quán)限失控失密、存儲設(shè)備丟失和維修失密、廠商合作交流泄密等。

　　二是要確定企業(yè)的機密數(shù)據(jù)是什么？設(shè)計圖紙(機械制造、廣告設(shè)計、服裝鞋帽等行業(yè))、辦公文檔(律師、投資銀行、金融證券、政府部門等行業(yè)及每家企業(yè)的財務(wù)、研發(fā))、源代碼(開發(fā)類企業(yè)，游戲、手機等開發(fā)目前尤其重視)、客戶信息，可能包括文檔和數(shù)據(jù)庫(金融、運營商甚至大量互聯(lián)網(wǎng)企業(yè))、全部數(shù)據(jù)(有的老板認(rèn)為，除了我認(rèn)為可以外發(fā)的資料外，全部都是秘密)……根據(jù)企業(yè)業(yè)務(wù)的不同，整理出企業(yè)的機密數(shù)據(jù)。

　　三要詳細(xì)了解機密數(shù)據(jù)在誰那里？管理層(包括市場、銷售、研發(fā)副總等手里的企業(yè)管理數(shù)據(jù))、研發(fā)人員(源代碼、設(shè)計圖等)、財務(wù)人員(財務(wù)數(shù)據(jù)、工資表等)、外協(xié)廠商(部份數(shù)據(jù)、圖紙必須發(fā)給第三方)……CIO、CSO們要清楚這些機密的數(shù)據(jù)都掌握在誰的手里。

　　四是杜絕一切可能的泄密途徑，如被動泄密/竊�。河布�遺失(筆記本、硬盤、U盤等丟失)、硬件換代時更換未消密、病毒、木馬、黑客攻擊、錯誤的網(wǎng)絡(luò)共享(如共享文件夾、BT/電驢共享等)；主動泄密/竊�。篞Q、MSN等即時通訊工具在線傳輸發(fā)走、郵件(PDM/PLM/OA郵件、公司郵箱、WEB郵箱發(fā)走)、U盤、移動硬盤拷走、將文件資料打印帶走、照像或手抄然后OCR、通過筆記本電腦、手機的無線(藍(lán)牙、紅外)傳輸帶走、通過FTP、SCP等各種網(wǎng)絡(luò)協(xié)議傳輸后帶走、拆硬盤帶走數(shù)據(jù)、QQ截圖、各種截圖工具截圖后發(fā)走、屏幕錄像工具錄走、將源代碼打包到資源文件中編譯帶走，執(zhí)行特殊參數(shù)后釋放、通過數(shù)據(jù)庫管理工具導(dǎo)出數(shù)據(jù)庫的sql帶走……

　　如何判斷DLP項目的成��？

　　吳魯加談到，簡單來說，DLP項目的成敗，就看DLP項目是否實現(xiàn)了企業(yè)預(yù)期的目標(biāo)。通常情況下，我們建議企業(yè)先摸清自身的防泄密需求，確立對企業(yè)切實可行的目標(biāo)——這對不同的企業(yè)往往是不同的，但都需要考慮下面的要素：

　　對現(xiàn)狀的把握：部署DLP系統(tǒng)后，至少需要能夠了解全局的保密狀況和發(fā)展趨勢;

　　對漏洞的封鎖：通過技術(shù)和管理手段，對最敏感的數(shù)據(jù)資產(chǎn)可能的泄密渠道進行封鎖;

　　對事件的追蹤：發(fā)生安全事件之后，能夠通過DLP系統(tǒng)進行追溯，進一步挖掘事件背后的問題;

　　從這幾個要素來看，DLP項目能為企業(yè)帶來的價值也很簡單，可以讓企業(yè)知道在保密方面還存在哪些問題、讓企業(yè)能堵上最急需封堵的漏洞、讓企業(yè)在出事的時候能揪出幕后的黑手。

　　談到不同行業(yè)用戶對數(shù)據(jù)泄漏防護需求是否相同，吳魯加分析到，從本質(zhì)上看需求是一致的，都是數(shù)據(jù)防泄密，但從業(yè)務(wù)上看，卻又有著具體的區(qū)別，分別從兩個角度簡述：一是敏感數(shù)據(jù)不同：比如運營商在意的數(shù)據(jù)可能是手機號碼，銀行在意的數(shù)據(jù)就會是信用卡、儲蓄卡信息——當(dāng)然也有共同點，比如都在意公民隱私數(shù)據(jù)；二是業(yè)務(wù)場景不同：由于業(yè)務(wù)場景不同，敏感數(shù)據(jù)的擴散范圍、涉及的業(yè)務(wù)系統(tǒng)、需要流轉(zhuǎn)的業(yè)務(wù)流程都會有所區(qū)別。吳魯加表示，這就要求數(shù)據(jù)防泄密系統(tǒng)能夠搭配靈活的解決方案，以應(yīng)對不同的用戶需求。

　　企業(yè)要怎樣做好DLP項目?

　　前面談到了很多有關(guān)DLP的細(xì)節(jié)問題，下面和大家分享企業(yè)要怎樣才能做好DLP項目。首先是項目人員的選擇，其次是對項目需求進行細(xì)致的調(diào)研，還有確定項目的重難點。

　　▲注：DLP產(chǎn)品的技術(shù)原理與分類

　　DLP項目的人員選擇除了雙方的項目經(jīng)理重要，其他項目成員也是項目成功的關(guān)鍵。DLP項目最終的用戶說到底還是業(yè)務(wù)部門，所以必須要業(yè)務(wù)部門人員參與進來才行。項目人員選擇的標(biāo)準(zhǔn)主要有以下幾點：

　　a) 每個部門都必須要有代表參加項目組，最好部門負(fù)責(zé)人也是項目組成員;

　　b) 必須熟悉本部門的工作流程和性質(zhì);

　　c) 必須熟悉本部門內(nèi)的絕大多數(shù)人員，并且經(jīng)常和部門負(fù)責(zé)人打交道;

　　d) 要熱心，能對項目方案提出意見和建議;這一點很重要，熱心的項目人員可以將即將碰到的問題提前提出來討論，避免項目被動局面;

　　項目階段的需求調(diào)研主要目的有幾點：一是項目方案的基礎(chǔ)，如售前階段的需求調(diào)研相比，此時調(diào)研出來的需求更加細(xì)化，各部門有那些重要文檔，那些人需要將重要文檔外發(fā)，那些人有些特殊需求等等;只有把這些細(xì)微的需求都調(diào)研出來，才能設(shè)計出大多數(shù)人都滿意的方案，否則后面實施階段就會困難重重。二是讓部門管理者認(rèn)識到項目的重要性：通過調(diào)研這個過程告訴各部門，我們開始做防泄密項目了，并且告訴他防泄密會對部門產(chǎn)生什么影響，帶來什么好處，讓管理者認(rèn)識到這個項目的重要性，實施階段出了什么問題也好請管理者出來協(xié)調(diào)資源;三是項目驗收的依據(jù)：只有把各部門的實際需求全部調(diào)研出來，才能將項目驗收的標(biāo)準(zhǔn)全部細(xì)化，從而提煉出驗收指標(biāo)。

　　分析DLP項目的重難點，我們先來看下面三個問題：

　　1) 您公司內(nèi)的最重要的文檔由那個部門創(chuàng)建的，會流轉(zhuǎn)到那些部門?

　　2) 如果每個部門都有重要的文檔，您是選擇把所有部門都保護起來還是先把整個公司中最重要的文檔保護起來?

　　3) 如果加密的文檔要外發(fā)，管理員怎樣判斷該不該解密外發(fā)?

　　上面的三個問題其實是DLP項目中的三個重難點，這三點就是項目的范圍、目標(biāo)和管理制度。

　　DLP項目對文檔加密很簡單，但加密后對各部門的影響有大有小。比如說，對制造企業(yè)的研發(fā)而言，重要的文檔非常多，外發(fā)的東西相對少，而且領(lǐng)導(dǎo)也相當(dāng)重視，一般企業(yè)對研發(fā)都上防泄密產(chǎn)品。但行政、人事等部門重要文檔占部門文檔的比例相對較小，外發(fā)的文檔又會很多。如果這兩類部門全部按同一標(biāo)準(zhǔn)一起上防泄密產(chǎn)品，肯定會出問題。

　　因此在需求調(diào)研階段就要考慮這方面的問題，在需求說明書中確定項目的目標(biāo)和范圍，是分一二三期上，還是整體上(每個部門不同的標(biāo)準(zhǔn))，都要考慮清楚，方案設(shè)計時也要把這些區(qū)分開來。

　　至于管理制度就必須規(guī)定防泄密產(chǎn)品怎么用，那些文檔在什么情況下可以解密，那些不能解密，都要規(guī)定清楚。而且管理制度必須是在項目實施前就要敲定執(zhí)行，項目實施的過程中可以進行微調(diào)，避免出現(xiàn)項目實施完了，管理員還不知道那些該解密，那些不能解密，都不知道按什么標(biāo)準(zhǔn)來執(zhí)行防泄密制度了。

　　數(shù)據(jù)丟失防護(DLP)是需要人力和技術(shù)力量共同支持的業(yè)務(wù)問題。部署DLP項目對于每個企業(yè)都是必不可少的，這不應(yīng)該是一個痛苦的過程。這個工作需要企業(yè)在較長的時間內(nèi)投入很多資源，在部署安全控制之前制定政策不僅不會成為開展業(yè)務(wù)的障礙，而且會成為安全執(zhí)行業(yè)務(wù)的平臺。

　　國內(nèi)DLP市場發(fā)展展望

　　經(jīng)過了去年底的大規(guī)模數(shù)據(jù)泄漏事件，國內(nèi)數(shù)據(jù)防泄漏市場開始升溫，然而，數(shù)據(jù)防泄漏卻沒有一個統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，談到國內(nèi)數(shù)據(jù)防泄漏市場將如何發(fā)展，吳魯加說，“市場發(fā)展與用戶需求緊密相關(guān)，目前國際上的DLP走的是審計路線(注重感知)，而國內(nèi)DLP之前一直走加密路線(注重控制)，這與用戶需求有關(guān)——國內(nèi)最早和需求最大的防泄密用戶群是制造業(yè)和軍工——這類企業(yè)注重的是控制。而目前隨著運營商、金融、能源等行業(yè)需求增強，國內(nèi)的數(shù)據(jù)防泄密市場也將從單一的注重控制轉(zhuǎn)變?yōu)榭刂婆c感知并重——這也是啟明星辰目前的產(chǎn)品發(fā)展方向。”

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]