【IT168 专稿 文/kaduo】“以风险管理的思路和方法论来实施数据泄露防护，而不仅仅是将其当作工具。”赛门铁克中国区安全产品总监卜宪录在谈到DLP时，这样说到。

　　卜宪录分享企业DLP项目实施经验，“企业上马DLP项目，首先要从管理上重点考虑人员等因素的事情，然后再选择适合企业管理文化和流程的解决方案配合管理落地，通常一个项目的实施周期约为6-12个月。”

▲赛门铁克中国区安全产品总监卜宪录

　　企业DLP项目首先要考虑的因素：

　　1、公司管理人员的参与：数据保护，业务流程更改，员工行为等必须获得来自高层管理人员的支持；

　　2、设置优先次序，获得前期的成功：保密资料可以以各种方式存于组织内部各处，但首先要处理最关键的资料，立即证明价值；

　　3、业务主管的参与：用来识别新威胁、确保最新策略以及修复中断业务进程的信息资料，必须来自于与业务数据最近的人员；

　　4、训练有素的事件响应团队(IRT)：角色职责明确，流程清晰，有助于推动企业范围内的一致性和认同；

　　5、员工教育：员工行为的可视性可以将教育集中在最重要的风险领域，对公司资料实行实时保护可以促进公司安全氛围的发展。

　　卜宪录谈到，企业实施DLP项目的成败的关键在于员工的信息泄露防范意识是否得到了提升，信息泄露风险是否得到了识别和控制并且是否在逐步下降。DLP项目的成功可以为企业带来很多的收益，如：可以保护企业的声誉免受损失，保证了顾客的忠诚度和满意度；保持企业竞争优势，防止竞争对手快速跟进并超越；防止因为大客户的流失和知识产权的泄露而严重影响企业的核心业务。

　　不同行业对DLP期待目标一致但需求不同

　　每一个行业对数据泄漏防护的目标都是一致的，目的都是将数据泄漏事件减少，然而，不同的行业对数据防泄露的具体需求又是不尽相同的，那是因为处于不同的行业的企业拥有的敏感数据是不一样的，都有非常明显的行业特点，如下：

　　• 金融机构(银行、保险、证券、基金)敏感数据：银行卡号、保单信息、客户账号、交易数据、账目信息、融资投资信息、大客户信息、上市公司中报 / 年报等；

　　• 电信企业敏感数据：客户资料(包括普通客户资料、个人大客户资料、集团大客户资料、渠道合作伙伴资料等);计费账务数据(包括详单、账单、账务信息和记录等);经营分析报表；

　　• 制造业及高科技企业敏感数据：客户资料、产品设计图纸、源代码、价格体系、商业计划、合同定单、物流信息、管理制度等。

　　卜宪录表示，赛门铁克可以为不同行业的客户提供针对性的解决方案，从而更好为企业数据安全提供防护。对于电信行业来说，有其自身的特点，近年来，随着经济的发展，手机用户呈现出激增的状态，目前，中国的手机用户数居全球之首，超过了7亿。而这种增长给电信运营公司带来了机遇，同时也带来了很多挑战，包括防止数据泄露。比如说，防止客户电话号码、地址、ID号等敏感客户信息以及公司知识产权和运营信息泄露等等。为了解决数据泄露问题，政府对相关法律也进行了修订，现在凡泄露敏感客户信息的企业或员工都会受到相应的处罚。为此，电信公司对数据泄漏防护解决方案的需求也是非常迫切的。

　　案例一：广东移动通信有限公司

　　广东移动数据防泄漏需求有两方面，一是需要让他们能够监控和保护不同的数据格式，其中包括ID编号、地址和通信记录。其次，解决方案的部署必须灵活，不会给他们现有的系统造成影响。最后，解决方案必须稳定，不能破坏他们的网络。广东移动最终选择Symantec Data Loss Prevention，一是该解决方案满足了其所有关键要求，二是赛门铁克提供了数据泄露防护专业技术，在实施赛门铁克解决方案后，广东移动取得了显著的成效，包括公司和第三方人员发送关键数据的事件减少了 80%，以及数据审计时间缩短了90%。

　　案例二：云南电网

　　云南电网主要有四方面的挑战：一是监控包含敏感数据的信息交换；二是让管理层能够对数据泄露防护实施更全面的控制；三是遵从政府法规；四是就公司的数据安全措施对员工进行培训。赛门铁克为云南电网实施了极具针对性的解决方案并取得了显著的成效：数据泄露风险降低了50%、由于减少了数据泄露问题而每年让IT工作人员节省了500个小时、能够遵从政府法规。

　　企业如何选择适合自身的DLP？

　　防止企业数据泄漏，保护企业数据安全是一个系统性的工程，为了更好防止企业数据泄漏，企业应和相关技术提供商根据自身情况采取合适的解决方案。目前市场上数据泄漏防护主要的技术手段有三种：加密、文件权限管理DRM以及数据丢失防护DLP(data loss Prevention)。

　　企业是否需要同时选择这三种技术手段呢？卜宪录谈到，根据赛门铁克全球用户的非常好的实践来看，一般企业都会采取分阶段的建设规划，通常的会先考虑：第一阶段从整个企业的角度选择DLP，对整个企业范围内的敏感信息进行发现、监控和保护；第二阶段：针对某个办公部门一些特定类型的文件进行安全保护选择加密解决方案，例如：磁盘加密防范电脑丢失/磁盘被拆卸而导致的信息泄露，邮件加密防止不法分子对邮件的窃听、篡改、伪造等。DLP技术最大的特点就是面向内容，而不是面向文件，因此基于内容检测的DLP对敏感数据的分布具有更深的洞察力，部署起来也更容易，是每个企业的首要选择。

　　卜宪录谈到，今年赛门铁克还计划推出针对平板电脑的全新数据泄露防护解决方案(Symantec Data Loss Prevention for Tablet)，这是业界首个专门用于监控和保护平板电脑中敏感信息的全面数据泄露防护解决方案。该方案首先应用于苹果公司的iPad产品，为这款在企业领域同样很受欢迎的终端设备提供内容识别保护，从而帮助企业解决目前面临的安全问题。该解决方案能在保证用户工作效率的同时，全面保护企业的机密数据。赛门铁克还计划在今年推出支持安卓(Android)平板电脑操作系统的同类解决方案。

　　讲到DLP市场的发展，卜宪录表示，虽然目前没有所谓的行业标准，但在国际权威机构Gartner看来数据防泄露有一个领域“Content-Aware Data Loss Prevention”，国内大量的产品之前都专注于基于文件的加密和权限管理解决方案，今后都会积极转型朝着基于内容识别的解决方案方向靠拢，从全球来看数据防泄露市场的方向也是朝着基于内容识别的信息泄露防护领域发展，这将作为企业整体信息安全布局的首选。(kaduo)