要想在一个庞杂的企业网络环境中成功部署好DLP(数据丢失保卫 )处理方案,并不是一件很基本 的事情。这是因为在部署DLP处理方案的同时必需思虑它与网络中已经部署好了的安全处理方案的共存及相互协作的疑问,确保实施的DLP处理方案无法与现有的安全方法相互冲突。还要处理如何 将它无缝地集成到现有的网络结构当中去,又不影响企业正常的网络业务的疑问。可喜的是,议决共享一些企业在部署DLP处理方案时的成功体会,当前已经存在一些成功部署DLP处理方案的最好做法。
  这些部署DLP处理方案的最好做法由5个步骤构成,它们是部署DLP处理方案的总体策略、指定部署人员、DLP产品选型、部署处理流程和检验。这5个步骤之间首尾相连构成一个不断往复的部署流程。如下图所示就是这个最好做法的流程图。
【拯救赵明】企业DLP实施方案_DLP图1 部署DLP处理方案的流程图 
  第一步:制定部署DLP处理方案的总体策略
  要想成功部署某种安全处理方案,事先制定一个指导方案部署的总体策略总是一种特别明智的挑选,对于部署DLP处理方案也是如此。一个DLP处理方案的总体策略应当包含预期要达到的目标和详细的部署计划,以及如何 监督它的实施。
  在决定部署DLP处理方案须要达到的预期目标之前,咱们必需先来明白企业中的哪些数据属于机密数据。通常,企业中的机密数据应当包含:技能、要领、工作模式、处理流程、生产计划等,以及各种图表、供应商信息,新产品设计图纸和营销战略,或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失,都会给企业带巨额的经济和无形资产的耗损。因此,部署DLP处理方案后要达到的预期目标,通常就是要保证每种数据在其生命周期的各个阶段的安全。数据的生命周期包含数据的收集、运用、传输、存储、归档和销毁。
  咱们还必需制定一个评估DLP实施成效的绩效指标,用来确定运用 DLP后到底取得了什么样的成效。这个绩效指标能够是实施DLP处理方案后机密数据泄漏事件的月降低率,以及员工违反安全操作的发生率等来评定。
  同时,咱们还应当思虑部署DLP处理方案时可能对现有网络业务和工作方式,以及员工的操作习性带来的影响,并以此来决定要不要对员工执行 培训,以便他们能遵从DLP处理方案的要求。并且,咱们还应当思虑部署DLP处理方案能无法 会牵扯到员工私人隐私的法律疑问。
  咱们还应当明确每种机密数据的属主。这样做是很首要 的,咱们应当将每个员工能够接触到什么样的机密数据做一个详细的明白,并以此建立一个员工与所属机密数据的对应表。这样做有利于明确员工对机密数据的权限范围,以及出现数据丢失事件后明确责任承担人。
  另外,据一些调查机构统计剖析得知,企业中大部分的机密数据都是在一些时常发生违规行为的区域丢失也去的,因此,咱们能够按数据丢失的严重程度将企业网络划分出多个保卫级别,然后在部署DLP处理方案时,先重点防备数据丢失程度最严重的区域,再由此从高到低的方式按级分别部署。这样能让咱们在部署DLP处理方案时有主有次,条整理晰。
    对于上述这些在部署DLP处理方案时会牵扯到内容,咱们都能够将它们记载到部署DLP处理方案的总体策略当中去。通常,一个彻底的DLP处理方案的总体部署策略应当包含:
  1、详细要保卫的机密数据;
  2、要达到的总体目标;
  3、应当遵从的隐私权和数据安全法规;
  4、运用的DLP产品类型;
  5、部署时的详细处理流程;
  6、部署DLP处理方案的计划进度;
  7、部署DLP处理方案时的人员安排和责任;
  8、部署当中和完成后的检验要领 ;
  9、详细须要运用到的工具和调配要领等等。
  上面列出的这9条只是部署DLP处理方案总体策略中最基本的内容,咱们还能够根据详细的环境要求来自行决定内容的多少,但是必需包含上述列出的所有方面。同时,在部署DLP处理方案的流程中,还要将部署的进度和部署流程中遇到的疑问一一记载在案,并确定一个疑问上报处理机制,以应对部署流程中的突发事件。
  第二步:为部署需安排人员和明确责任
  DLP处理方案的总体策略制定好以后,接下来就是为实施此策略配备相关 的人员、给他们分配好角色和明确人员详细承担的责任。这些人员将是部署DLP处理方案的筹划、设计和实施的执行主体。
  部署DLP处理方案的人员应当包含企业领导、部门主管、网络维护员、系统维护员、安全工程师,以及DLP产品销后服务人员或第三方安全机构技能人员等。详细应当根据咱们所处的实际环境来决定。
    第三步:DLP产品挑选
  当前,市面上存在多种DLP产品,有些是以软件形式存在,有的以单独的硬件形式存在。DLP产品按适用范围来分有两种首要的类型:基于主机的DLP和基于网络的DLP。
  其中,基于主机的DLP通常都是软件产品,通常直接安装在单独的服务器、工作站或笔记本计算机等装备当中,只提供对其运行系统中的机密数据执行 保卫。而基于网络型的DLP产品通常是一些单独的硬件产品,首要连接到企业网络出口的重要位置,比方网关防火墙之后。网络型DLP产品能够对所有离开企业内部网络的数据执行 过滤,对违规行为执行 报警、日志记载和直接禁止;有些网络型DLP产品还能够用来发觉网络中的机密数据和监控这些机密数据的运用状况。
  但是,网络型DLP产品的控制细粒度要比主机型DLP产品差,比方网络型DLP产品有时无法对U盘等可移动存储装备的运用执行 监控和限定,而主机型DLP产品就能很好地控制整个系统上的所有接口的运用状况。不过,主机型DLP产品须要在须要保卫的每台主机上安装,这样就会添加维护员的工作量。比方,维护员不得不在系统故障还原后重新安装和配置DLP软件,以及还必需防止 DLP软件被终端用户议决各种手段阻止它的运行等等。
  本来,最好的DLP部署方式就是综合运用基于主机型DLP软件和基于网终的DLP产品,这样才能够对企业网络中的所有须要的位置都能执行 防备。不过,详细如何挑选,仍旧须要根据企业自身的经济经济能力和实际数据保卫需求大小来决定。
  当前,市面上主流的DLP厂商有McAfee、Websense、EMC的RSA和 Symantec等,国内着名的DLP厂商有北京亿赛通等。总的来说,想要挑选一款真实适合企业自身需求的DLP产品,能够按下列所示的多个选购要素来执行 :
  1、挑选的DLP产品必需具有监控和防御功能
  这两个功能是DLP产品最基本的要求,并且,虽然这样的安全产品当前还无法完全消除误报和漏,但挑选误报和漏报率最低的产品总是首选。有些DLP产品供应商一味地以庞杂的名词来表明这两个功能如何 如何 好,在挑选时不要给其迷惑,应当仔细明白产品的这一点。
  2、挑选的DLP产品应当具有中心化维护功能
  中心化维护能能够为咱们降低大量的开销,它包含一系列的功能,比方策略建立和执行,生成报告和数据过滤等。
  3、挑选的DLP产品应当具有保存和备份功能
  假如企业须要遵从某个区域性数据保卫法规,这些法规中通常要求企业必需将特定的数据保存 6个月以上,那么,就要求DLP产品也具有这样的数据保存功能。有些DLP产品本身具有这样的保存功能,这样就能给企业节省大量的存储费用。并且,有时DLP产品备份功能也是必需的,这样能防止 装备在出现其它故障时造成机密数据的丢失。
  4、挑选的DLP产品应当易于整合
  咱们在挑选 DLP产品时,应当慎重思虑其与现有网络结构或系统的整合性能。对于基于主机的DLP软件,要根据当前企业须要保卫的主机上运行的操作系统环境和硬件环境的影响,以及企业本身的技能能力。而对于基于网络的DLP产品,在部署时不须要大规模改动网络现有结构,甚至不须要停止当前业务当然最好。假如必须须要调整网络结构,那么,必须要挑选一些易于维护,比方支持WEB维护方式的DLP产品,这样能够降低正常业务的停机时间。
  5、挑选的DLP产品应当存在一个成熟的市场
  这是一个挑选任何安全产品时须要思虑的因素,但往往被许多企业所忽略。假如某个DLP产品供应商所生产的产品已经存在一个很成熟的市场,那么其售后服务和产品质量必须很好,就能够处理 DLP 产品在使用后的技能支持疑问。有时,存在良好市场的DLP产品供应商,还能够用他们部署DLP处理方案的成功体会来帮助企业完成DLP部署策略的建立,以及其它方面的技能指导。毕竟,咱们不确定挑选的DLP产品在以后的运用流程中不会出现一点硬件或软件故障,这些都必需有一个强悍的产品售后服务来高速 正确地处理。
    第四步:DLP处理方案的详细部署处理流程
  在部署DLP处理方案之前,咱们应当已经建立一个能够用来正确部署DLP处理方案的业务处理流程。这个流程中规范了部署时应该按什么步骤、方式来执行 ,什么人负责什么位置,以及事件的维护、调试、报告机制和系统操作等各个方面。还应当规范人员、物质和装备的维护、保管和运用及调配,以及相互之间如何 协作和上下交流等各个方面。但有一条,DLP处理方案的详细部署处理流程应当尽量精简和规范化。
  根据其它企业成功部署DLP处理方案的体会,企业往往须要模块化部署DLP数据保卫处理方案。这种部署方式能够将企业所有的DLP部署面分割成多个模块来一步步地实现,能够将部署DLP时对业务的影响降到最低,也让DLP部署更加清晰明了,能够让人掌握部署的进度,发觉疑问并及时处理。
  另外,在部署DLP处理方案之前,为了能够让方案实施人员明白企业当前的网络结构及DLP产品使用的详细位置和对象,咱们有必要为此先打造 一个企业部署DLP处理方案的网络拓扑图。图2就是一个使用主机型和网络型DLP产品的混合型DLP处理方案的网络拓扑图。这样,在详细部署DLP处理方案时,实施人员就能够根据这张原理图明白详细要安装相应DLP产品的位置和对象了。
  还有,在部署DLP处理方案之时,咱们还要确保实施的DLP处理方案完全遵从当地的数据保卫法规和员工的隐私保卫条例。任何违反这些法规的操作都必需严格禁止,以防止 以后出现不必要的麻烦。
  同时,在部署DLP处理方案时,应当根据进度,对已经实施了DLP处理方案的区域执行 相应的检验,以确定部署部署DLP处理方案后能达到什么样的成效,以及还有什么须要调整和改良的。但这样的分部检验无法影响总的项目完成进度。
    第五步:检验DLP处理方案的部署成效
  当完成DLP处理方案的详细部署工作后,虽然在部署的流程中可能对某个段的部署结果执行 的检测,但是,这样的检测并无法明白到整体的部署成效。因此,在完成DLP处理方案的部署后,还应当检测整个DLP 处理方案的部署成效。
  咱们能够向企业外部发送非受权的机密数据的方式来检验网络型DLP产品的监控和控制成效,以及议决在主机上使用非授权U盘地装备复制数据来检测主机型DLP软件对可移动装备在主机上的控制能力等等。至于详细的检测方式和检测的细粒度,能够由咱们自身来自行决定。当然是越细越好,越严格越好。
  在这里,咱们须要明白的是:DLP处理方案的部署是一个长期的流程,它应当与数据的整个生命周期相对应,并不是一次部署以后就不须要咱们去维护和维护了。因此,咱们在部署完DLP处理方案后,还应当不断地检验它的执行成效,然后根据检测结果来调整DLP策略,以便它在数据整个生命周期中的各个阶段都有能达到咱们的要求。
  到这里,咱们已经细致地明白了DLP处理方案的作用、缺点和挑选它的必要性,也明白了如何 去制定一个适合自身需求的DLP处理方案的部署计划和部署DLP处理方案的最好做法。所有的这些让企业有理由相信DLP处理方案并没有想像中的那么难以部署,也相信企业已经知晓 DLP处理方案确实能帮助他们防止 机密数据由企业内部泄漏出去。