要想在一个复杂的网络环境中成功部署好DLP解决,并不是一件很容易的事情。这是因为在部署DLP解决方案的同时必需考虑它与网络中已经部署好了的安全防范方案的共存及相互协作的问题,必需确保实施的DLP解决方案不能与现有的安全措施相互冲突。还要解决如何将它无缝地集成到现有的网络结构当中去,又不影响企业正常的网络业务的问题。
可喜的是,通过分享一些企业在部署DLP解决方案时的成功经验,现在已经总结出了一套成功部署DLP解决方案的最佳做法。
第一步:制定一个部署DLP解决方案的总体策略
要想成功部署某种安全解决方案,事先制定一个指导方案部署的总体策略总是一种非常明智的选择,对于部署DLP解决方案也是如此。一个DLP解决方案的总体策略应当包括预期要达到的目标和具体的部署计划,以及如何监督它的实施。
在决定部署DLP解决方案需要达到的预期目标之前,我们必需先来了解企业中的哪些数据属于机密数据。通常,企业中的机密数据应当包括:技术、方法、工作模式、处理流程、生产计划等,以及各种图表、供应商信息,新产品设计图纸和营销战略,或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失,都会给企业带巨额的经济和无形资产的损失。因此,部署DLP解决方案后要达到的预期目标,通常就是要保证每种数据在其生命周期的各个阶段的安全。数据的生命周期包括数据的收集、使用、传输、、归档和销毁。
我们还必需制定一个评估DLP实施效果的绩效指标,用来确定使用DLP后到底取得了什么样的效果。这个绩效指标可以是实施DLP解决方案后机密数据泄漏事件的月下降率,以及员工违反安全操作的发生率等来评定。
同时,我们还应当考虑部署DLP解决方案时可能对现有网络业务和工作方式,以及员工的操作习惯带来的影响,并以此来决定要不要对员工进行培训,以便他们能遵从DLP解决方案的要求。而且,我们还应当考虑部署DLP解决方案是否会牵扯到员工个人隐私的法律问题。
我们还应当明确每种机密数据的属主。这样做是很重要的,我们应当将每个员工可以接触到什么样的机密数据做一个具体的了解,并以此建立一个员工与所属机密数据的对应表。这样做有利于明确员工对机密数据的权限范围,以及出现数据丢失事件后明确责任承担人。
另外,据一些调查机构统计分析得知,企业中大部分的机密数据都是在一些经常发生违规行为的区域丢失也去的,因此,我们可以按数据丢失的严重程度将企业网络划分出多个保护级别,然后在部署DLP解决方案时,先重点防范数据丢失程度最严重的区域,再由此从高到低的方式按级分别部署。这样能让我们在部署DLP解决方案时有主有次,条理清晰。
对于上述这些在部署DLP解决方案时会牵扯到内容,我们都可以将它们记录到部署DLP解决方案的总体策略当中去。通常,一个全面的DLP解决方案的总体部署策略应当包括:
1、 具体要保护的机密数据;
2、 要达到的总体目标;
3、 应当遵从的隐私权和数据安全法规;
4、 使用的DLP产品类型;
5、 部署时的具体处理流程;
6、 部署DLP解决方案的计划进度;
7、 部署DLP解决方案时的人员安排和责任;
8、 部署当中和完成后的检验方法;
9、 具体需要使用到的工具和调配方法等等。
上面列出的这9条只是部署DLP解决方案总体策略中最基本的内容,我们还可以根据具体的环境要求来自行决定内容的多少,但是必需包含上述列出的所有方面。同时,在部署DLP解决方案的过程中,还要将部署的进度和部署过程中遇到的问题一一记录在案,并确定一个问题上报处理机制,以应对部署过程中的突发事件。
第二步:为部署DLP解决方案安排人员和明确责任
DLP解决方案的总体策略制定好以后,接下来就是为实施此策略配备相关的人员、给他们分配好角色和明确人员具体承担的责任。这些人员将是部署DLP解决方案的规划、设计和实施的执行主体。
部署DLP解决方案的人员应当包括企业领导、部门主管、网络管理员、系统管理员、安全工程师,以及DLP产品销后服务人员或第三方安全机构技术人员等。具体应当根据我们所处的实际环境来决定。
第三步:选择DLP产品
目前,市面上存在多种DLP产品,有些是以软件形式存在,有的以单独的硬件形式存在。DLP产品按适用范围来分有两种主要的类型:基于主机的DLP和基于网络的DLP。
其中,基于主机的DLP一般都是软件产品,通常直接安装在单独的、工作站或电脑等设备当中,只提供对其运行系统中的机密数据进行保护。而基于网络型的DLP产品通常是一些单独的硬件产品,主要连接到企业网络出口的关键位置,例如之后。网络型DLP产品能够对所有离开企业内部网络的数据进行过滤,对违规行为进行报警、日志记录和直接禁止;有些网络型DLP产品还能够用来发络中的机密数据和监控这些机密数据的使用状况。
但是,网络型DLP产品的控制细粒度要比主机型DLP产品差,例如网络型DLP产品有时不能对U盘等可移动存储设备的使用进行监控和限制,而主机型DLP产品就能很好地控制整个系统上的所有接口的使用状况。不过,主机型DLP产品需要在需要保护的每台主机上安装,这样就会增加管理员的工作量。例如,管理员不得不在系统故障恢复后重新安装和配置DLP软件,以及还必需防止DLP软件被终端用户通过各种手段阻止它的运行等等。
其实,最好的DLP部署方式就是综合使用基于主机型DLP软件和基于网终的DLP产品,这样才能够对企业网络中的所有需要的位置都能进行防范。不过,具体怎么选择,还是需要根据企业自身的经济经济能力和实际数据保护需求大小来决定。
目前,市面上主流的DLP厂商有McAfee、Websense、的RSA和 Symantec等,国内著名的DLP厂商有北京亿赛通等。总的来说,想要选择一款真正适合企业自身需求的DLP产品,可以按下列所示的几个选购要点来进行:
1、选择的DLP产品必需具有监控和防御功能
这两个功能是DLP产品最基本的要求,而且,虽然这样的安全产品目前还不能完全消除误报和漏,但选择误报和漏报率最低的产品总是首选。有些DLP产品供应商一味地以复杂的名词来说明这两个功能如何如何好,在选择时不要给其迷惑,应当仔细了解产品的这一点。
2、选择的DLP产品应当具有中心化管理功能
中心化管理能能够为我们减少大量的开销,它包括一系列的功能,例如策略创建和执行,生成报告和数据过滤等。
3、选择的DLP产品应当具有保存和备份功能
如果企业需要遵从某个区域性数据保护法规,这些法规中通常要求企业必需将特定的数据保留6个月以上,那么,就要求DLP产品也具有这样的数据保存功能。有些DLP产品本身具有这样的保存功能,这样就能给企业节省大量的存储费用。而且,有时DLP产品备份功能也是必需的,这样能防止设备在出现其它故障时造成机密数据的丢失。
4、选择的DLP产品应当易于整合
我们在选择DLP产品时,应当慎重考虑其与现有网络结构或系统的整合性能。对于基于主机的DLP软件,要根据目前企业需要保护的主机上运行的环境和硬件环境的影响,以及企业本身的技术能力。而对于基于网络的DLP产品,在部署时不需要大规模改变网络现有结构,甚至不需要停止当前业务当然最好。如果一定需要调整网络结构,那么,一定要选择一些易于管理,例如支持WEB管理方式的DLP产品,这样能够减少正常业务的停机时间。
5、 选择的DLP产品应当存在一个成熟的市场
这是一个选择任何安全产品时需要考虑的因素,但往往被许多企业所忽略。如果某个DLP产品供应商所生产的产品已经存在一个很成熟的市场,那么其售后服务和产品质量一定很好,就可以解决DLP 产品在应用后的技术支持问题。有时,存在良好市场的DLP产品供应商,还可以用他们部署DLP解决方案的成功经验来帮助企业完成DLP部署策略的建立,以及其它方面的技术指导。毕竟,我们不确定选择的DLP产品在以后的使用过程中不会出现一点硬件或软件故障,这些都必需有一个强大的产品售后服务来迅速正确地解决。
第四步:DLP解决方案的具体部署处理流程
在部署DLP解决方案之前,我们应当已经建立一个可以用来正确部署DLP解决方案的业务处理流程。这个流程中规范了部署时应该按什么步骤、方式来进行,什么人负责什么位置,以及事件的管理、调试、报告机制和系统操作等各个方面。还应当规范人员、物质和设备的管理、保管和使用及调配,以及相互之间如何协作和上下交流等各个方面。但有一条,DLP解决方案的具体部署处理流程应当尽量精简和规范化。
根据其它企业成功部署DLP解决方案的经验,企业往往需要化部署DLP数据保护解决方案。这种部署方式能够将企业所有的DLP部署面分割成几个模块来一步步地实现,能够将部署DLP时对业务的影响降到最低,也让DLP部署更加清晰明了,能够让人掌握部署的进度,发现问题并及时解决。
另外,在部署DLP解决方案之前,为了能够让方案实施人员了解企业当前的网络结构及DLP产品应用的具体位置和对象,我们有必要为此先绘制一个企业部署DLP解决方案的网络拓扑图。这样,在具体部署DLP解决方案时,实施人员就可以根据这张原理图了解具体要安装相应DLP产品的位置和对象了。
还有,在部署DLP解决方案之时,我们还要确保实施的DLP解决方案完全遵从当地的数据保护法规和员工的隐私保护条例。任何违反这些法规的操作都必需严格禁止,以防止以后出现不必要的麻烦。
同时,在部署DLP解决方案时,应当根据进度,对已经实施了DLP解决方案的区域进行相应的检验,以确定部署部署DLP解决方案后能达到什么样的效果,以及还有什么需要调整和改进的。但这样的分部检验不能影响总的项目完成进度。
第五步:检验DLP解决方案的部署效果
当完成DLP解决方案的具体部署工作后,虽然在部署的过程中可能对某个段的部署结果进行的检测,但是,这样的检测并不能了解到整体的部署效果。因此,在完成DLP解决方案的部署后,还应当检测整个DLP 解决方案的部署效果。
我们可以向企业外部发送非受权的机密数据的方式来检验网络型DLP产品的监控和控制效果,以及通过在主机上应用非授权U盘地设备复制数据来检测主机型DLP软件对可移动设备在主机上的控制能力等等。至于具体的检测方式和检测的细粒度,可以由我们自己来自行决定。当然是越细越好,越严格越好。
在这里,我们需要明白的是:DLP解决方案的部署是一个长期的过程,它应当与数据的整个生命周期相对应,并不是一次部署以后就不需要我们去管理和维护了。因此,我们在部署完DLP解决方案后,还应当不断地检验它的执行效果,然后根据检测结果来调整DLP策略,以便它在数据整个生命周期中的各个阶段都有能达到我们的要求。