更新时间:2022-10-02 16:20:59
▲迈克菲技术产品经理李明先生
近年来,数据泄露防护(DLP)技术成为越来越多企业选择实施的数据安全保护方案。和加密技术不同,DLP能够理解内容(Content Aware),它可以和组织的数据保护策略结合,基于内容发现用户对于机密信息的违规操作,阻止机密信息传递出组织外部。由于DLP不需要终端用户介入操作,所以实施和使用更加容易,也成为目前CIO或CISO最重视的信息安全领域。
企业DLP项目实施注意事项
对于企业选择实施DLP项目时需要注意的事项,迈克菲技术产品经理李明谈到,首先需要在组织内部就DLP项目的目标和作用充分讨论并达成一致观点。对于不同性质的企业,选择DLP的原因可能截然不同。比如制造业或者高科技企业的主要目标一般会包括防止包含知识产权(IP)的外泄,而上市公司的DLP驱动因素往往主要是满足合规要求。这些都会在选择DLP厂商时有所体现。
一般而言DLP项目,会经历调研、技术交流、方案确定、测试、选型和实施等过程。在调研和技术交流阶段,需要企业信息安全人员充分和内部人员沟通需求,并全面了解DLP行业的现状和各厂商的优缺点。在方案确定阶段企业信息安全人员需要和内部的数据拥有者(Data Owner)、数据使用者(Data User)确定DLP的使用方式是否满足要求,并确定数据流和工作流;在测试阶段,可结合方案确定厂商产品是否满足所有使用场景(Use Case);选型时除了考虑技术、价格之外,***也考虑产品路线图是否满足企业的IT规划要求;实施阶段是整个DLP项目的最艰难也是耗时最长的一个阶段,所有的前期设计要能达到目标需要企业的项目组成员、各部门接口人员、DLP厂商人员的协力实现。主要的难点在于策略的调优和工作流的梳理和实现。
李明表示,“企业的DLP项目的周期根据规模、范围和复杂度而有所不同,最短的可能三至四个月,长的可能跨年甚至分多期完成。”
如何评价DLP项目的成败?
对于合规作为主要目的的DLP项目而言,DLP项目的成功实施即可标志成功,但是这样的企业越来越少。因为任何企业都不希望自己的机密信息外泄造成重大损失。所以DLP项目的成功标志和防洪堤坝类似—即通过发生的信息安全外泄事件来衡量。如果企业部署了DLP项目后,并未发生重大机密信息泄露事件则成功,反之则失败。
DLP项目对其企业的收益主要包括以下方面:
• 满足合规要求,避免处罚或财务损失;
• 保护核心机密(知识产权),从而保持竞争优势;
• 保护客户资料,从而保护企业品牌形象;
不同的行业对于DLP产品和技术的需要从本质上是相同的—都是保护各自的机密信息。但是由于行业的特殊性,各自的机密信息也有所不同。比如对于电信,机密信息可能是客户资料、促销计划等等,对于金融则换成信用卡信息,而石化企业的图纸或勘探记录是其关键信息资产。此外,根据企业的信息化程度、部门职责设置、机密信息的存放和使用特点等等不同,也会构成不同的使用场景,从而对于DLP产品提出不同的需求。
李明这样告诉IT168记者,“总体来说,能够快速部署并且具有强大防护能力的成熟产品更容易得到用户的青睐。”
怎样选择适合企业自身的数据防泄漏产品?
加密解密和权限管理(DRM)并不属于DLP产品,它们都不具备DLP的核心技术Content Aware(可参考Gartner和IDC的DLP研究报告)。一般而言,加密解密适合机密信息不多,中小规模的企业。这样的企业接触到机密信息的员工不同,也较容易改变使用习惯,如果发生主动泄密行为也比较容易查清。
DRM产品往往和加密解密技术配合使用,用于企业需要将机密信息发送到临时信任方进行处理。DRM的部署和使用相对比较复杂,企业的流程也需要随之改变。和加密解密技术一样,DRM也无法解决主动泄密问题。
DLP产品适合于中型至大型企业,它的优点是不改变用户使用数据的习惯,能够很好地解决主动泄密问题。带来的挑战是对于IT人员的要求较高,需要进行工作流的设计。李明分享说,企业选择这些产品需要结合自己的实际,包括规模、特点、管理方式、企业文化、预算、目标等等。
DLP作为新兴的安全防护手段,企业用户可能不太容易把握,建议可以从以下四个方面来考虑DLP:
• Product 产品:用户可以参考Gartner或者IDC的DLP报告,其中对于DLP厂商的产品有权威的评价。象限报告中提供了不同厂商的市场位置。
• Project 项目:DLP是基于项目的产品。项目的成败,产品只是其中的主要因素之一,用户和厂商需要能够提供优秀的项目经理和项目组成员,才有可能成功实施项目。
• People人员:用户需要在内部进行充分沟通,每个部门都需要有清楚了解部门数据信息的人员参与项目。
• Process流程:针对DLP需要设计完整的流程,该流程需要征得相关部门的同意,并且和企业的IT流程进行整合。
数据防泄漏(DLP)未来发展
***部已经实施了终端数据防泄漏产品标准,用于DLP产品的市场准入。但是在市场上统一数据防泄漏却面临一些困难,主要是很多加密产品或者权限管理产品也自称属于数据防泄漏产品。在今后几年,用户将越来越清楚自己的数据安全要求,从而选择真正适合自己的数据安全防护产品。