正在阅读：解析部署企业数据防泄露DLP实施全过程解析部署企业数据防泄露DLP实施全过程

　　要想在一个复杂的企业网络环境中成功部署好DLP(数据丢失保护)解决方案，并不是一件很容易的事情。这是因为在部署DLP解决方案的同时必需考虑它与网络中已经部署好了的安全解决方案的共存及相互协作的问题，确保实施的DLP解决方案不能与现有的安全措施相互冲突。还要解决如何将它无缝地集成到现有的网络结构当中去，又不影响企业正常的网络业务的问题。可喜的是，通过分享一些企业在部署DLP解决方案时的成功经验，目前已经存在一些成功部署DLP解决方案的最佳做法。

　　这些部署DLP解决方案的最佳做法由5个步骤构成，它们是部署DLP解决方案的总体策略、指定部署人员、DLP产品选型、部署处理流程和检验。这5个步骤之间首尾相连构成一个不断往复的部署过程。如下图所示就是这个最佳做法的流程图。

图1 部署DLP解决方案的流程图

　　第一步：制定部署DLP解决方案的总体策略

　　要想成功部署某种安全解决方案，事先制定一个指导方案部署的总体策略总是一种非常明智的选择，对于部署DLP解决方案也是如此。一个DLP解决方案的总体策略应当包括预期要达到的目标和具体的部署计划，以及如何监督它的实施。

　　在决定部署DLP解决方案需要达到的预期目标之前，我们必需先来了解企业中的哪些数据属于机密数据。通常，企业中的机密数据应当包括：技术、方法、工作模式、处理流程、生产计划等，以及各种图表、供应商信息，新产品设计图纸和营销战略，或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失，都会给企业带巨额的经济和无形资产的损失。因此，部署DLP解决方案后要达到的预期目标，通常就是要保证每种数据在其生命周期的各个阶段的安全。数据的生命周期包括数据的收集、使用、传输、存储、归档和销毁。

　　我们还必需制定一个评估DLP实施效果的绩效指标，用来确定使用DLP后到底取得了什么样的效果。这个绩效指标可以是实施DLP解决方案后机密数据泄漏事件的月下降率，以及员工违反安全操作的发生率等来评定。

　　同时，我们还应当考虑部署DLP解决方案时可能对现有网络业务和工作方式，以及员工的操作习惯带来的影响，并以此来决定要不要对员工进行培训，以便他们能遵从DLP解决方案的要求。而且，我们还应当考虑部署DLP解决方案是否会牵扯到员工个人隐私的法律问题。

　　我们还应当明确每种机密数据的属主。这样做是很重要的，我们应当将每个员工可以接触到什么样的机密数据做一个具体的了解，并以此建立一个员工与所属机密数据的对应表。这样做有利于明确员工对机密数据的权限范围，以及出现数据丢失事件后明确责任承担人。

　　另外，据一些调查机构统计分析得知，企业中大部分的机密数据都是在一些经常发生违规行为的区域丢失也去的，因此，我们可以按数据丢失的严重程度将企业网络划分出多个保护级别，然后在部署DLP解决方案时，先重点防范数据丢失程度最严重的区域，再由此从高到低的方式按级分别部署。这样能让我们在部署DLP解决方案时有主有次，条理清晰。

    对于上述这些在部署DLP解决方案时会牵扯到内容，我们都可以将它们记录到部署DLP解决方案的总体策略当中去。通常，一个全面的DLP解决方案的总体部署策略应当包括：

　　1、具体要保护的机密数据;

　　2、要达到的总体目标;

　　3、应当遵从的隐私权和数据安全法规;

　　4、使用的DLP产品类型;

　　5、部署时的具体处理流程;

　　6、部署DLP解决方案的计划进度;

　　7、部署DLP解决方案时的人员安排和责任;

　　8、部署当中和完成后的检验方法;

　　9、具体需要使用到的工具和调配方法等等。

　　上面列出的这9条只是部署DLP解决方案总体策略中最基本的内容，我们还可以根据具体的环境要求来自行决定内容的多少，但是必需包含上述列出的所有方面。同时，在部署DLP解决方案的过程中，还要将部署的进度和部署过程中遇到的问题一一记录在案，并确定一个问题上报处理机制，以应对部署过程中的突发事件。