专访吴鲁加:企业怎么成功实施DLP项目
|
谈到不同行业用户对数据泄漏防护需求是否相同,吴鲁加分析到,从本质上看需求是一致的,都是数据防泄密,但从业务上看,却又有着具体的区别,分别从两个角度简述:一是敏感数据不同:比如运营商在意的数据可能是手机号码,银行在意的数据就会是信用卡、储蓄卡信息——当然也有共同点,比如都在意公民隐私数据;二是业务场景不同:由于业务场景不同,敏感数据的扩散范围、涉及的业务系统、需要流转的业务流程都会有所区别。吴鲁加表示,这就要求数据防泄密系统能够搭配灵活的解决方案,以应对不同的用户需求。
${PageNumber} 企业要怎样做好DLP项目?
前面谈到了很多有关DLP的细节问题,下面和大家分享企业要怎样才能做好DLP项目。首先是项目人员的选择,其次是对项目需求进行细致的调研,还有确定项目的重难点。
企业要怎样做好DLP项目? ▲注:DLP产品的技术原理与分类
DLP项目的人员选择除了双方的项目经理重要,其他项目成员也是项目成功的关键。DLP项目最终的用户说到底还是业务部门,所以必须要业务部门人员参与进来才行。项目人员选择的标准主要有以下几点:
a) 每个部门都必须要有代表参加项目组,最好部门负责人也是项目组成员; b) 必须熟悉本部门的工作流程和性质; c) 必须熟悉本部门内的绝大多数人员,并且经常和部门负责人打交道; d) 要热心,能对项目方案提出意见和建议;这一点很重要,热心的项目人员可以将即将碰到的问题提前提出来讨论,避免项目被动局面;
项目阶段的需求调研主要目的有几点:一是项目方案的基础,如售前阶段的需求调研相比,此时调研出来的需求更加细化,各部门有那些重要文档,那些人需要将重要文档外发,那些人有些特殊需求等等;只有把这些细微的需求都调研出来,才能设计出大多数人都满意的方案,否则后面实施阶段就会困难重重。二是让部门管理者认识到项目的重要性:通过调研这个过程告诉各部门,我们开始做防泄密项目了,并且告诉他防泄密会对部门产生什么影响,带来什么好处,让管理者认识到这个项目的重要性,实施阶段出了什么问题也好请管理者出来协调资源;三是项目验收的依据:只有把各部门的实际需求全部调研出来,才能将项目验收的标准全部细化,从而提炼出验收指标。
分析DLP项目的重难点,我们先来看下面三个问题:
1) 您公司内的最重要的文档由那个部门创建的,会流转到那些部门?
2) 如果每个部门都有重要的文档,您是选择把所有部门都保护起来还是先把整个公司中最重要的文档保护起来?
3) 如果加密的文档要外发,管理员怎样判断该不该解密外发?
上面的三个问题其实是DLP项目中的三个重难点,这三点就是项目的范围、目标和管理制度。
DLP项目对文档加密很简单,但加密后对各部门的影响有大有小。比如说,对制造企业的研发而言,重要的文档非常多,外发的东西相对少,而且领导也相当重视,一般企业对研发都上防泄密产品。但行政、人事等部门重要文档占部门文档的比例相对较小,外发的文档又会很多。如果这两类部门全部按同一标准一起上防泄密产品,肯定会出问题。
因此在需求调研阶段就要考虑这方面的问题,在需求说明书中确定项目的目标和范围,是分一二三期上,还是整体上(每个部门不同的标准),都要考虑清楚,方案设计时也要把这些区分开来。
至于管理制度就必须规定防泄密产品怎么用,那些文档在什么情况下可以解密,那些不能解密,都要规定清楚。而且管理制度必须是在项目实施前就要敲定执行,项目实施的过程中可以进行微调,避免出现项目实施完了,管理员还不知道那些该解密,那些不能解密,都不知道按什么标准来执行防泄密制度了。
数据丢失防护(DLP)是需要人力和技术力量共同支持的业务问题。部署DLP项目对于每个企业都是必不可少的,这不应该是一个痛苦的过程。这个工作需要企业在较长的时间内投入很多资源,在部署安全控制之前制定政策不仅不会成为开展业务的障碍,而且会成为安全执行业务的平台。
国内DLP市场发展展望
经过了去年底的大规模数据泄漏事件,国内数据防泄漏市场开始升温,然而,数据防泄漏却没有一个统一的行业标准,谈到国内数据防泄漏市场将如何发展,吴鲁加说,“市场发展与用户需求紧密相关,目前国际上的DLP走的是审计路线(注重感知),而国内DLP之前一直走加密路线(注重控制),这与用户需求有关——国内最早和需求最大的防泄密用户群是制造业和军工——这类企业注重的是控制。而目前随着运营商、金融、能源等行业需求增强,国内的数据防泄密市场也将从单一的注重控制转变为控制与感知并重——这也是启明星辰目前的产品发展方向。
(编辑:焦作站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
