【IT168 专稿 文/kaduo】随着企业信息化进程的不断深入,越来越多的业务被放到了IT系统上,信息系统中有价值的数据越来越多,企业对于数据的安全和防护也逐步成为企业高管和CIO们关注的焦点。明朝万达总裁王志海在接受我们的采访时谈到,“最早关注数据防泄漏(DLP)的用户群是国内具有自主知识产权的研发制造型企业和保密要求较高的军工企业,后来逐步扩展到各行各业,现在金融和电信运营商等运营服务型企业也受到了高度重视。”
▲明朝万达总裁王志海
企业部署DLP项目的三个阶段
王志海首先分享了企业DLP项目要取得成功应该经过三个阶段:
第一阶段是企业自身核心数据防护目标的确定。企业信息系统中存储的各式各样数据繁多,有的是核心数据,有的是非核心数据,这些数据使用、存储和交换的方式也多种多样,用户首先必须了解自身的业务流程和业务数据,确定核心的保护目标,才能制定下一步计划,这个阶段需要注意的是了解的内容尽可能细,保护的数据目标尽可能明确。
第二阶段是产品选型阶段。现在国内外的DLP产品众多,技术方案千差万别,选型的时候首先要注意考察厂商的品牌、企业规模、成功实施项目数量和服务支撑能力。DLP产品是需要深厚技术积累的产品,不管厂商大小,产品成熟期至少要经过3-5年的不断积累,贸然选择新产品和一味追求价格低廉将面临巨大风险。
第三阶段是实施阶段。实施阶段是产品部署成败的关键阶段之一,首先要取得企业高层的认可和全力支持,详细做好实施前的调研和实施技术方案准备工作,并采用分部门和小范围应用,再总结改进和推广应用的方式进行。
“总之,DLP实施对于企业来说,与ERP实施类似,企业必须充分重视才能取得成功。”王志海谈到。
企业如何选择适合自身的数据防泄漏产品
数据防泄漏产品与技术繁多,企业如果选择的产品不合适,失败的风险就很大。选择产品一是要根据企业的业务系统特点来选择,甚至同意企业的不同部门也要选择不同的建设方案;二是要根据企业的管理文化特点来选择,国有企业选择偏向人性化的“软”方案,民企则可以选择强制性的“硬”方案。选型过程中技术特点和管理文化这两点都要重视,否则都可能面临失败。王志海表示,“明朝万达通过2000多家企事业单位的积累,建立了涵盖不同用户特点的整体数据安全管理平台,用户可以根据自身企业特点模块化地选择应用,从而满足不同行业用户的需求。”
谈到DLP项目实施的成败时王志海向记者介绍到,最重要的标准是企业预期目标能否达成和产品运行是否稳定。DLP实施成功后,企业的数据安全管理会实现规范化,建立相应的规章制度和监督检查机制,可以在解决用户数据泄密之忧后,进一步推动企业信息化的建设和生产效率。此外,也可以对企业核心资产进行有效防护,防止数字知识产权流失给企业带来的巨大损失。
总结DLP项目失败的经验主要有几个原因:一是没取得企业高层支持,草率上马;二是没做充分的技术调研,实施过程中导致防护目标混乱或者技术方案无法匹配;三是没依据企业管理文化选择了不符合的产品;四是选择厂商不慎重或者追求低廉价格导致服务无保障。
不同行业DLP需求不同
王志海谈到,“明朝万达给超过2000家的用户提供了DLP解决方案和服务,分布于各行各业,深刻感受到不同行业对数据防泄漏方案具有明显的不同,这些不同一方面是业务系统自身的特点决定的,另一方面是管理文化的不同决定的。”
在技术上,电信运营商和金融等大型运营服务型企业更加注重从业务系统维度出发来构建数据安全防护边界,数据存储的格式也相对简单;而研发制造型企业则更加注重从组织结构维度来构建数据安全防护边界,数据存储的格式种类繁多。
在管理上,国有企业更加注重人性化的管理,更加注重平衡安全和效率的关系,更加注重控制和审计技术的结合应用;而民企等非公企业则更加注重安全性和防护体系的完整性,更加强调控制技术的应用。
最后,谈到国内DLP市场的发展前景,王志海表示,国内数据防泄漏市场蓬勃发展的趋势已经非常明确,但是由于行业需求差异和产品技术差异较大,统一的标准短期内依然难以形成。可以预见的是,以监管部门和大型集团用户的推动为契机,细分行业的数据防泄漏标准将逐步率先出现。