【IT168 专稿 文/kaduo】安全从来都是一个不缺乏热点的行业，经历了2011年底泄密门事件的阵痛，国内的互联网人开始痛定思痛，企业IT的安全受到了更高层次的关注和重视。受这次事件的影响，更多的行业用户也开始对企业数据泄漏防护关注起来，开始为企业寻找最适合有效的DLP解决方案。很有幸我们采访到了启明星辰DLP资深产品经理吴鲁加，在这次深入的采访中，吴鲁加向我们详细地分析了DLP的历史、企业如何成功上马DLP项目以及各行业用户对DLP解决方案的不同需求。

　　DLP历史回顾

　　“从互联网诞生至今，信息安全所面临的安全威胁经历了大概这几个时期，简单来说就像童稚期、侠客期、蠕虫期、逐利期、窃密期以及职业期。”吴鲁加形象得比喻到。

　　童稚期就是互联网刚刚诞生，期间的重心都还是建设与协作，没有什么安全问题;

　　侠客期则是互联网已经逐步推广，开始出现网络、系统安全方面的攻防，这一时期的黑客追求自由、乐于分享、以“绕过约束”为乐，有较多的逐名倾向——甚至在一定程度上带有“侠客精神”;

　　进入蠕虫期，针对网络和系统的漏洞，出现了蠕虫，破坏力巨大，让用户意识到了信息安全的重要性，同时蠕虫期大规模破坏能力也客观上减少了暴露在互联网上最容易受攻击的设备数量;

　　接下来到了逐利期，黑客们意识到掌握的技术具有商业价值，因此“No More Free Bugs”的声音占据主流，交流少了，攻击多了，交流从公开走下私密;

　　到了窃密期，黑客掌握的安全漏洞、攻击技巧并不能直接转化为经济利益，开始有更多的组织出于商业目的窃取各种政治、经济、科技情报;

　　终极职业期，这是目前正在逐步演化中的趋势，国家的力量正渗透进信息安全领域，越来越多的“职业队”和“雇佣军”涌入，APT(高级持续攻击)事件的不断发生，是这一时期的标志。

　　“应该说，在我这个时期划分中的“侠客期”，一些高敏感性的部门就意识到网络中数据安全的重要性。但直到“窃密期”之前，多数企业或个人还是认为，数据泄密不会发生在自己身上——因此还很少有企业开始部署DLP系统。”吴鲁加谈到，一直到了窃密期，开始有企业在数据泄密事件中受到了直接伤害，数据泄露防护的价值才真正得于显现。

　　企业如何成功实施DLP项目？

　　随着近几年来的企业泄密事件的不断增加，数据泄密不仅给企业带来了严重的经济损失，而且间接的在品牌和公众形象等等诸多方面也造成了不可估量的侵害。因此，企业领导对IT安全的投资已经从传统的防病毒、防火墙等安全产品慢慢转移到数据防泄密管理上。

▲企业用户对于IT安全的投资重点分布

　　《中国IT市场分析与预测2007-2011》中，IDC对用户投资重点调研显示：“29.8%的用户会考虑投资数据防泄密管理”。

　　企业对于DLP的重视，使得DLP项目实施的成败成了压在CIO、CSO们肩上的重担。如何才能成功的实施DLP项目，确保DLP项目能成为企业数据安全的守护神，吴鲁加和我们分享他的经验，分析了数据泄密的渠道，并详细谈到了防泄密对企业的价值以及企业要怎样做好DLP项目。

　　数据泄密的渠道分析：

　　搞清企业数据泄密的渠道是DLP项目成功实施的第一步，常规的泄密渠道包括内部人员离职拷贝带走资料泄密、内部人员无意泄密和恶意泄密、外部竞争对手窃密、黑客和间谍窃密、内部文档权限失控失密、存储设备丢失和维修失密、厂商合作交流泄密等。

　　二是要确定企业的机密数据是什么？设计图纸(机械制造、广告设计、服装鞋帽等行业)、办公文档(律师、投资银行、金融证券、政府部门等行业及每家企业的财务、研发)、源代码(开发类企业，游戏、手机等开发目前尤其重视)、客户信息，可能包括文档和数据库(金融、运营商甚至大量互联网企业)、全部数据(有的老板认为，除了我认为可以外发的资料外，全部都是秘密)……根据企业业务的不同，整理出企业的机密数据。

　　三要详细了解机密数据在谁那里？管理层(包括市场、销售、研发副总等手里的企业管理数据)、研发人员(源代码、设计图等)、财务人员(财务数据、工资表等)、外协厂商(部份数据、图纸必须发给第三方)……CIO、CSO们要清楚这些机密的数据都掌握在谁的手里。

　　四是杜绝一切可能的泄密途径，如被动泄密/窃取：硬件遗失(笔记本、硬盘、U盘等丢失)、硬件换代时更换未消密、病毒、木马、黑客攻击、错误的网络共享(如共享文件夹、BT/电驴共享等)；主动泄密/窃取：QQ、MSN等即时通讯工具在线传输发走、邮件(PDM/PLM/OA邮件、公司邮箱、WEB邮箱发走)、U盘、移动硬盘拷走、将文件资料打印带走、照像或手抄然后OCR、通过笔记本电脑、手机的无线(蓝牙、红外)传输带走、通过FTP、SCP等各种网络协议传输后带走、拆硬盘带走数据、QQ截图、各种截图工具截图后发走、屏幕录像工具录走、将源代码打包到资源文件中编译带走，执行特殊参数后释放、通过数据库管理工具导出数据库的sql带走……

　　如何判断DLP项目的成败？

　　吴鲁加谈到，简单来说，DLP项目的成败，就看DLP项目是否实现了企业预期的目标。通常情况下，我们建议企业先摸清自身的防泄密需求，确立对企业切实可行的目标——这对不同的企业往往是不同的，但都需要考虑下面的要素：

　　• 对现状的把握：部署DLP系统后，至少需要能够了解全局的保密状况和发展趋势;
　　• 对漏洞的封锁：通过技术和管理手段，对最敏感的数据资产可能的泄密渠道进行封锁;
　　• 对事件的追踪：发生安全事件之后，能够通过DLP系统进行追溯，进一步挖掘事件背后的问题;

　　从这几个要素来看，DLP项目能为企业带来的价值也很简单，可以让企业知道在保密方面还存在哪些问题、让企业能堵上最急需封堵的漏洞、让企业在出事的时候能揪出幕后的黑手。

　　谈到不同行业用户对数据泄漏防护需求是否相同，吴鲁加分析到，从本质上看需求是一致的，都是数据防泄密，但从业务上看，却又有着具体的区别，分别从两个角度简述：一是敏感数据不同：比如运营商在意的数据可能是手机号码，银行在意的数据就会是信用卡、储蓄卡信息——当然也有共同点，比如都在意公民隐私数据；二是业务场景不同：由于业务场景不同，敏感数据的扩散范围、涉及的业务系统、需要流转的业务流程都会有所区别。吴鲁加表示，这就要求数据防泄密系统能够搭配灵活的解决方案，以应对不同的用户需求。

　　企业要怎样做好DLP项目?

　　前面谈到了很多有关DLP的细节问题，下面和大家分享企业要怎样才能做好DLP项目。首先是项目人员的选择，其次是对项目需求进行细致的调研，还有确定项目的重难点。

▲注：DLP产品的技术原理与分类

　　DLP项目的人员选择除了双方的项目经理重要，其他项目成员也是项目成功的关键。DLP项目最终的用户说到底还是业务部门，所以必须要业务部门人员参与进来才行。项目人员选择的标准主要有以下几点：

　　　　a) 每个部门都必须要有代表参加项目组，最好部门负责人也是项目组成员;
　　　　b) 必须熟悉本部门的工作流程和性质;
　　　　c) 必须熟悉本部门内的绝大多数人员，并且经常和部门负责人打交道;
　　　　d) 要热心，能对项目方案提出意见和建议;这一点很重要，热心的项目人员可以将即将碰到的问题提前提出来讨论，避免项目被动局面;

　　项目阶段的需求调研主要目的有几点：一是项目方案的基础，如售前阶段的需求调研相比，此时调研出来的需求更加细化，各部门有那些重要文档，那些人需要将重要文档外发，那些人有些特殊需求等等;只有把这些细微的需求都调研出来，才能设计出大多数人都满意的方案，否则后面实施阶段就会困难重重。二是让部门管理者认识到项目的重要性：通过调研这个过程告诉各部门，我们开始做防泄密项目了，并且告诉他防泄密会对部门产生什么影响，带来什么好处，让管理者认识到这个项目的重要性，实施阶段出了什么问题也好请管理者出来协调资源;三是项目验收的依据：只有把各部门的实际需求全部调研出来，才能将项目验收的标准全部细化，从而提炼出验收指标。

　　分析DLP项目的重难点，我们先来看下面三个问题：

　　1) 您公司内的最重要的文档由那个部门创建的，会流转到那些部门?

　　2) 如果每个部门都有重要的文档，您是选择把所有部门都保护起来还是先把整个公司中最重要的文档保护起来?

　　3) 如果加密的文档要外发，管理员怎样判断该不该解密外发?

　　上面的三个问题其实是DLP项目中的三个重难点，这三点就是项目的范围、目标和管理制度。

　　DLP项目对文档加密很简单，但加密后对各部门的影响有大有小。比如说，对制造企业的研发而言，重要的文档非常多，外发的东西相对少，而且领导也相当重视，一般企业对研发都上防泄密产品。但行政、人事等部门重要文档占部门文档的比例相对较小，外发的文档又会很多。如果这两类部门全部按同一标准一起上防泄密产品，肯定会出问题。

　　因此在需求调研阶段就要考虑这方面的问题，在需求说明书中确定项目的目标和范围，是分一二三期上，还是整体上(每个部门不同的标准)，都要考虑清楚，方案设计时也要把这些区分开来。

　　至于管理制度就必须规定防泄密产品怎么用，那些文档在什么情况下可以解密，那些不能解密，都要规定清楚。而且管理制度必须是在项目实施前就要敲定执行，项目实施的过程中可以进行微调，避免出现项目实施完了，管理员还不知道那些该解密，那些不能解密，都不知道按什么标准来执行防泄密制度了。

　　数据丢失防护(DLP)是需要人力和技术力量共同支持的业务问题。部署DLP项目对于每个企业都是必不可少的，这不应该是一个痛苦的过程。这个工作需要企业在较长的时间内投入很多资源，在部署安全控制之前制定政策不仅不会成为开展业务的障碍，而且会成为安全执行业务的平台。

　　国内DLP市场发展展望

　　经过了去年底的大规模数据泄漏事件，国内数据防泄漏市场开始升温，然而，数据防泄漏却没有一个统一的行业标准，谈到国内数据防泄漏市场将如何发展，吴鲁加说，“市场发展与用户需求紧密相关，目前国际上的DLP走的是审计路线(注重感知)，而国内DLP之前一直走加密路线(注重控制)，这与用户需求有关——国内最早和需求最大的防泄密用户群是制造业和军工——这类企业注重的是控制。而目前随着运营商、金融、能源等行业需求增强，国内的数据防泄密市场也将从单一的注重控制转变为控制与感知并重——这也是启明星辰目前的产品发展方向。”(kaduo)