最佳实践--成功降低DLP 风险的指南

DLP最佳实践方法成功降低DLP风险的指南目录简介...............................................................................................................................................................3项目阶段总结.................................................................................................................................................3优先执行数据丢失防御策略...........................................................................................................................5事件响应和最佳实践管理..............................................................................................................................5基于风险的部署.............................................................................................................................................6DLP成熟度....................................................................................................................................................7SymantecDLP的建议....................................................................................................................................7DLPBestPracticesMethodology©2009Symantec,Inc.AllRightsReserved.DATE4/13/09VERSION23简介现在，世界各地的企业都依赖高速网络和移动计算来轻松地共享并访问各类信息。遗憾的是，这个宽广开放的世界也为数据保护带来了新挑战。无论这些挑战是与受到严格监管的金融服务、保险和零售行业保持遵从有关，还是与保护竞争激烈的高科技和制造业的知识产权有关，各个公司都需要了解它们的机密信息在何处存储、具体的使用方式以及如何更好地防止信息丢失。要长期持续进行数据保护，第一步就是认识到这些挑战，并实施企业范围的计划（包括人员、工作流程和技术）来直面这种风险。决定应对这种风险之后，企业需要制定一个明确的成功操作计划，包含具体步骤、任务、资源和目标，以实现企业的短期和长期目标。通过将SymantecDLP计划整合到企业现有的安全计划当中，并利用软件推进可以推动整个企业变革的计划，定义明确、以业务为重心的全面DLP计划能够以更大的力度、更快的速度及更少的资源降低风险。这些成功的计划拥有六种共性：1.管理层参与其中。支持数据保护并改变企业的流程和员工的习惯必须从上层开始。2.经验丰富的专用资源。了解如何管理跨部门复杂合作的团队成员必须致力于推进DLP计划并推动企业内进行变革。3.一种优先的方法。机密数据可以采用多种形式，而且遍布企业各处，定位最关键的数据首先要能够立即证明其价值。4.业务主管参与其中。识别新威胁、保持政策始终处于最新状态，以及修复不完善的业务流程所需的信息必须来自最接近数据的人员。5.训练有素的事件响应团队(IRT)。明确定义的角色、责任和过程增强了一致性并促进了企业的认同。6.员工培训。了解员工的行为能够让培训侧重于主要的风险领域，而实时执行公司的数据保护策略则可以营造安全文化的氛围。我们的SymantecDLP专业服务资源依照最佳实践方法，在我们的每个合作项目当中融入了上面列出的六个特征。主要目标就是制定一个可以将人员、工作流程和技术恰当组合，并且能够在整个项目生命周期内合理运用这个组合的计划。公司如果遵循这种方法并利用这些文档中介绍的专业知识和最佳实践，就能够在90天内持续大幅度降低风险。项目阶段总结DLPBestPracticesMethodology©2009Symantec,Inc.AllRightsReserved.DATE4/13/09VERSION24在项目的前两个阶段（即规划和部署），目标就是奠定基础和部署基础架构，以取得长期的成功。这是DLP部署工作最关键的时期，因为您以后的成功将取决于此时完成的工作。在前两个阶段，您需要确保完成以下工作：您最关键的数据已经明确并得到保护您的系统已经部署，可以操作，并且可以根据您的目标覆盖到最大范围策略经过正确配置，可以捕获到所关注的事件并在最大程度上降低误报率事件响应人员经过培训，并且做好充分准备，随时可以应对违规事件员工了解他们的数据保护责任在项目的最后四个阶段（即设立基准、补救、通知和预防/保护），重点在于降低风险并推动实现可以衡量的成果。在这几个阶段当中，您需要完成以下工作：准确调整策略明确并更改会导致产生风险的业务流程扩展、修改并自动执行补救工作，从而以最少的资源实现最显著的效果如果员工的操作会引发风险，那么开始向他们发出实时通知防止关键数据离开企业并对其加以保护，同时不会影响业务正常开展收集具体的衡量标准，以证明并记录一段时间内的风险降低状况。我们的方法可以循环重复使用。您在降低最关键的数据面临的风险方面达到期望的效果之后，就可以加以扩展并开始应对下一级别的关键数据。在接下来的5页内容当中，赛门铁克对于如何利用SymantecDLP显著降低风险为我们提出了一些建议，包括：优先执行数据丢失防御策略事件响应和最佳实践管理基于风险的部署方法我们最后介绍了DLP成熟度模型，该模型旨在对客户的DLP计划进行评估并提供改进措施的建议，同时还对我们的服务产品，以及我们如何帮助客户实现其降低风险的目标并提高其DLP成熟度进行了总结。DLPBestPracticesMethodology©2009Symantec,Inc.AllRightsReserved.DATE4/13/09VERSION25优先执行数据丢失防御策略根据垂直行业和业务重点，公司经常会对一些常见类型的机密数据实行优先保护。例如，金融服务、保险和零售公司都很重视遵从像Gramm-Leach-Bliley(GLBA)以及支付卡行业(PCI)标准）这样的重要法规。这些公司会选择保护信用卡号、社会保险号这样的结构化数据。制造业和高科技公司通常会重点保护知识产权，例如，非结构化公式、技术设计、源代码以及制造过程等等。大多数公司都会提出不同的亟需保护的机密数据列表，不过，在DLP生命周期的早期阶段，最好侧重于保护在整个企业范围内广泛使用的数据，这样才能让整体DLP投入获得最高的回报。事件响应和最佳实践管理90%的DLP会对事件做出响应。SymantecDLP高度可定制的工作流程及手动和自动事件补救选项让您能够在恰当的时间迅速将事件转接到相应的人员那里，以便做出正确的响应。在本部分，我们提供了有效进行事件管理和补救的几大最佳实践，包括：提供初期事件响应团队的建议结构采用了匹配计数阈值设定来控制事件负载使用查找功能将事件转接到相应的响应者，并让响应者能够完全掌握所有相关的事件信息初期事件响应工作流程初期事件响应团队结构对于初期部署，赛门铁克推荐采用“扇入响应架构”，其中有一个小团队作为所有事件的第一批响应者，并通过既定渠道将关键事件上报给相应的人员（例如，取证、法律、遵从、人力资源），以进行进一步的调查或加以解决。这种方法可以让IRT对配置的策略、工作流程和事件响应流程进行密切的监控，并根据需要加以修改，以提高性能。匹配技术阈值设定SymantecDLP让您可以对策略内部的匹配计数阈值进行设定，以此来管理产生的事件数量。所有策略都以匹配结果为依据，即包含相应数据的通信或文件，所包含的数据与已经在策略本身被标识为机密内容的信息（例如，社会保险号）相匹配。一起事件可能会有许多匹配结果。例如，一次包含100个社会保险号的通信将会产生拥有100种匹配结果的事件。可以通过两种基本方法来利用此功能，从而将事件数量保持在您的IRT可以管理的程度：1)增加可以产生事件的匹配结果数量（默认值为1），或者DLPBestPracticesMethodology©2009Symantec,Inc.AllRightsReserved.DATE4/13/09VERSION262)制定策略当中的严重程度级别，指示IRT只对非常严重的事件才实施补救，并且将SymantecDLP配置为自动解决所有中级、低级和轻微严重程度的事件。如果您的企业需要解决所有已经确认的缺陷，那么第一种选项更合适。第二种选项让您可以对风险领域拥有更为全面的了解，但是它首先侧重于最严重的事件。这两种选项都可以让您将事件保持在您的团队可以管理的程度。如果您选择了第二种选项，赛门铁克建议您从匹配计数阈值上限开始，例如，将非常严重的匹配计数设置为高于500，中级严重程度设置在100到499之间，低严重程度设置在25到99之间，而将轻微严重程度设置为低于25。在基准设定阶段，将对各种严重程度进行验证，以将非常严重的事件控制在您的IRT可以管理的程度。在一开始，假设一位全职员工每天大约能够补救100起事件，并对事件的严重程度相应进行调整。随着IRT不断对非常严重的事件进行处理，同时对不完善的业务流程进行修复并对员工进行教育，非常严重的事件数量有所减少，而匹配计数阈值可以被重新设置为较低的级别，例如，非常严重匹配计数重新设置为高于250，等等。配置查找工具SymantecDLP可以被配置为从ActiveDirectory、LDAP、代理日志文件、DNS系统或者其他内部数据源提取重要信息（用户名、电话号码、经理信息、具体业务以及部门代码等等）。利用从这些系统中检索到的信息，可以将事件自动转接到相应的响应者、执行补救措施并撰写和发布有效的报告。通过将这种附加信息与事件本身加以关联，并在事件快照中提供这类信息，查找工具可以让事件响应团队对事件迅速采取行动，并实施自动化程度更高的补救工作，同时在SymantecDLP系统内部进行报告，从而可以降低总拥有成本。初期事件响应工作流程从产品入手时，最好采用简单明了的工作流程。在整个事件响应团队中通常拥有三个级别：第一批响应者、上级响应者和调查员。由于IRT会处理大多数事件，因此大多数客户都会将IRT视为第一批响应者。第一批响应者会定期登录到SymantecDLP上审查其事件队列，并通过SymantecDLP或SymantecDLP以外的系统（电话呼叫、电子邮件等等）对事件进行手动补救，然后在SymantecDLP中将该事件标注为“已结束”（已解决或者不予受理）。需要运用特定专业知识的事件（例如，人力资源）则会上报给相应的上级响应者。需要着重进行调查的事件（通常发生在SymantecDLP外部）则会上报给相应的调查响应者（例如取证人员）。上级响应者和调查员可以登录到SymantecDLP审查其事件队列，不过更常出现的情况是，当事件需要他们加以注意的时候，会自动发送电子邮件警报或者自动生成报告。随着部署不断推进，以及IRT成员对系统检测和