2012年5月26日 星期六

卜憲錄:用風險管理的方法論做DLP專案


卜憲錄:用風險管理的方法論做DLP專案

專訪賽門鐵克中國區安全產品總監卜憲錄——“以風險管理的思路和方法論來實施資料洩露防護,而不僅僅是將其當作工具。”賽門鐵克中國區安全產品總監卜憲錄在談到DLP時,這樣說到。
蔔憲錄分享企業DLP項目實施經驗,“企業上馬DLP項目,首先要從管理上重點考慮人員等因素的事情,然後再選擇適合企業管理文化和流程的解決方案配合管理落地,通常一個項目的實施週期約為6-12個月。”

企業DLP項目首先要考慮的因素:
1、公司管理人員的參與:資料保護,業務流程更改,員工行為等必須獲得來自高層管理人員的支持;
2、設置優先次序,獲得前期的成功:保密資料可以以各種方式存於組織內部各處,但首先要處理最關鍵的資料,立即證明價值;
3、業務主管的參與:用來識別新威脅、確保最新策略以及修復中斷業務進程的資訊資料,必須來自於與業務資料最近的人員;
4、訓練有素的事件回應團隊(IRT):角色職責明確,流程清晰,有助於推動企業範圍內的一致性和認同;
5、員工教育:員工行為的可視性可以將教育集中在最重要的風險領域,對公司資料實行即時保護可以促進公司安全氛圍的發展。

卜憲錄談到,企業實施DLP專案的成敗的關鍵在於員工的資訊洩露防範意識是否得到了提升,資訊洩露風險是否得到了識別和控制並且是否在逐步下降。DLP專案的成功可以為企業帶來很多的收益,如:可以保護企業的聲譽免受損失,保證了顧客的忠誠度和滿意度;保持企業競爭優勢,防止競爭對手快速跟進並超越;防止因為大客戶的流失和智慧財產權的洩露而嚴重影響企業的核心業務。

不同行業對DLP期待目標一致但需求不同
每一個行業對資料洩漏防護的目標都是一致的,目的都是將資料洩漏事件減少,然而,不同的行業對資料防洩露的具體需求又是不盡相同的,那是因為處於不同的行業的企業擁有的敏感性資料是不一樣的,都有非常明顯的行業特點,如下:
1、金融機構(銀行、保險、證券、基金)敏感性資料:銀行卡號、保單資訊、客戶帳號、交易資料、帳目資訊、融資投資資訊、大客戶資訊、上市公司中報 / 年報等;
2、電信企業敏感性資料:客戶資料(包括普通客戶資料、個人大客戶資料、集團大客戶資料、管道合作夥伴資料等);計費賬務資料(包括詳單、帳單、賬務資訊和記錄等);經營分析報表;
3、製造業及高科技企業敏感性資料:客戶資料、產品設計圖紙、原始程式碼、價格體系、商業計畫、合同定單、物流資訊、管理制度等。

卜憲錄表示,賽門鐵克可以為不同行業的客戶提供針對性的解決方案,從而更好為企業資料安全提供防護。對於電信行業來說,有其自身的特點,近年來,隨著經濟的發展,手機使用者呈現出激增的狀態,目前,中國的手機用戶數居全球之首,超過了7億。而這種增長給電信運營公司帶來了機遇,同時也帶來了很多挑戰,包括防止資料洩露。比如說,防止客戶電話號碼、位址、ID號等敏感客戶資訊以及公司智慧財產權和運營資訊洩露等等。為了解決資料洩露問題,政府對相關法律也進行了修訂,現在凡洩露敏感客戶資訊的企業或員工都會受到相應的處罰。為此,電信公司對資料洩漏防護解決方案的需求也是非常迫切的。

案例一:廣東移動通信有限公司
廣東移動資料防洩漏需求有兩方面,一是需要讓他們能夠監控和保護不同的資料格式,其中包括ID編號、位址和通信記錄。其次,解決方案的部署必須靈活,不會給他們現有的系統造成影響。最後,解決方案必須穩定,不能破壞他們的網路。廣東移動最終選擇Symantec Data Loss Prevention,一是該解決方案滿足了其所有關鍵要求,二是賽門鐵克提供了資料洩露防護專業技術,在實施賽門鐵克解決方案後,廣東移動取得了顯著的成效,包括公司和協力廠商人員發送關鍵資料的事件減少了 80%,以及資料審計時間縮短了90%。

案例二:雲南電網
雲南電網主要有四方面的挑戰:一是監控包含敏感性資料的資訊交換;二是讓管理層能夠對資料洩露防護實施更全面的控制;三是遵從政府法規;四是就公司的資料安全措施對員工進行培訓。賽門鐵克為雲南電網實施了極具針對性的解決方案並取得了顯著的成效:資料洩露風險降低了50%、由於減少了資料洩露問題而每年讓IT工作人員節省了500個小時、能夠遵從政府法規。

企業如何選擇適合自身的DLP?
防止企業資料洩漏,保護企業資料安全是一個系統性的工程,為了更好防止企業資料洩漏,企業應和相關技術提供商根據自身情況採取合適的解決方案。目前市場上資料洩漏防護主要的技術手段有三種:加密、檔許可權管理DRM以及資料丟失防護DLP(data loss Prevention)。
企業是否需要同時選擇這三種技術手段呢? 卜 憲錄談到,根據賽門鐵克全球用戶的最佳實踐來看,一般企業都會採取分階段的建設規劃,通常的會先考慮:第一階段從整個企業的角度選擇DLP,對整個企業範圍內的敏感資訊進行發現、監控和保護;第二階段:針對某個辦公部門一些特定類型的檔進行安全保護選擇加密解決方案,例如:磁片加密防範電腦丟失/磁片被拆卸而導致的資訊洩露,郵件加密防止不法分子對郵件的竊聽、篡改、偽造等。DLP技術最大的特點就是面向內容,而不是面向檔,因此基於內容檢測的DLP對敏感性資料的分佈具有更深的洞察力,部署起來也更容易,是每個企業的首要選擇。

卜憲錄談到,今年賽門鐵克還計畫推出針對平板電腦的全新資料洩露防護解決方案(Symantec Data Loss Prevention for Tablet),這是業界首個專門用於監控和保護平板電腦中敏感資訊的全面資料洩露防護解決方案。該方案首先應用於蘋果公司的iPad產品,為這款在企業領域同樣很受歡迎的終端設備提供內容識別保護,從而説明企業解決目前面臨的安全問題。該解決方案能在保證用戶工作效率的同時,全面保護企業的機密資料。賽門鐵克還計畫在今年推出支持安卓(Android)平板電腦作業系統的同類解決方案。

講到DLP市場的發展, 卜 憲錄表示,雖然目前沒有所謂的行業標準,但在國際權威機構Gartner看來資料防洩露有一個領域“Content-Aware Data Loss Prevention”,國內大量的產品之前都專注於基於檔的加密和許可權管理解決方案,今後都會積極轉型朝著基於內容識別的解決方案方向靠攏,從全球來看資料防洩露市場的方向也是朝著基於內容識別的資訊洩露防護領域發展,這將作為企業整體資訊安全佈局的首選。(IT168 專稿 文/kaduo)

轉載自《游俠安全網