素包子近期也负责过一个数据防泄密项目,磕磕碰碰半年走下来,用两个字来总结就是:值得。
这个数据防泄密项目(DLP)涉及形形色色的角色:国内外供应商、大集团的领导和同事、产业集团的领导和同事、事业部的领导和同事、试点部门的领导和同事;在这么多角色中,输出了各式各样的想法,也就有很多根杠杆,有的需要平衡,有的需要压制,有的需要抬高;多的不说,谢谢各位角色的支持和包容,特别感谢没中标的供应商们,你们在项目前期也给予了我很重要的支持和帮助。
#ChangeLog |
2010.09.07 补充权限及加密的选择,控制项目需求。
今天在TT安全上看到一个名为《终端数据丢失防护部署中的5大安全技巧》,由于TT明文要求不能转载,我也就不转了,有兴趣的同学自己去注册个帐号看吧。
我非常认同文中的“在你推出部署数据丢失防护解决方案的第一个部门确定一些关键用户,根据需要对他们进行培训,并在测试阶段与他们密切合作。通过关键用户的帮助,可以避免非技术业务部门测试中出现的问题,也可避免部署中没有任何用户反馈的情形发生。”和“慢慢来,逐步推出代理和策略”这两个观点。
前者决定了我们是否可以很好的迈出第一步。小范围的试用是最关键的。在这个过程里,数据和事件运营非常重要,真的是要“积跬步”才有机会“至千里”的。在这个阶段,乙方项目团队做的非常漂亮,他们的专业,稳健,快速,灵活让我十分佩服,也让我学到不少东西。
后者小步快跑的思路决定了我们的项目阻力。“积跬步”仅仅是一个开头,我们要“至千里”的话,还有很长很崎岖的路要走。我在这个项目里的感觉是前期一定要“小”,小为我们快速发现并解决大部分问题争取了时间和空间。
我还有一些其他的观点:
1、尽量避免把数据防泄密项目做成一个咨询项目。
没错,前期的调研很重要,中期的展示很重要,后期的领导认可更重要,这些都要做漂亮,但我想提醒的是,管理手段等这些“务虚”的内容在这个项目里是非常必要的而且是非常重要的,但所占比例不宜太大,项目时间有25%在做这些东西事情就差不多了。
为啥?高楼大厦平地起,只有把“务实”的基础打好了,务虚的东西才能站的更高,更稳更久,一个如此复杂的项目,走的越空,问题越多,问题越多,越不利于务虚的东西;另外务虚的项目的验收是一个大问题。我不是想论证三分技术七分管理还是七分技术三分管理,其实根本没这必要,不同的行业,不同的企业,不同的领导要求都不一样,我的想法是如果条件允许的话,先跑稳,再跳高;如果条件不允许,只能硬着头皮先摸高,再软着陆了。
2、选择一个负责的供应商。
素包子还是要感谢那将近20个供应商,但是坦白说,从我个人的判断来看,这些供应商各有所长,当然也各有所短。为了更好的提高数据防泄密项目的成功率,我觉得负责和经验丰富是最重要的。当然这不能凭口说,得看他们的作为。口沫横飞天花乱坠的说;但不着边际忽忽悠悠的做,实在是无法让我放心把项目交付给他们。我不排斥售前或者销售忽悠我,我也不想和他们去PK某一个细节的真伪,但我希望大家在做事的时候,一是一二是二。作为甲方来说,走错了这一步,啥都别说了,拿出勇气抽自己一巴掌,趁早回头是岸;下不了手或者要抽很多人巴掌?那就自求多福吧。
3、选择一个经验丰富的供应商
供应商的经验也很重要,我们不能做供应商在某个领域的小白鼠,应用市场细分的很厉害,安全市场也细分的很厉害,DL产品同质化也比较厉害;但在DLP项目里不同行业之间经验复制程度还是有较大差别的,一个有经验丰富供应商可以传递很多经验给我们,给我们提供合适的方案,让我们少走弯路,少摔跤,这对数据防泄密这种用户敏感度较高项目来说非常关键。
至于国内还是国外的供应商,我们选择了国内供应商。原因很简单,你要想找老外按你的意思改个东西,dream!不过这个缺点对厂商自身来说也是优点,标准化,好维护,好服务,就看厂商的取舍和平衡了。
另外老外的DLP产品很少文件加密的,大多是权限、网关类的产品,还有需要考虑的是外国的加密类产品在国内是不允许销售的,小企业采购的话无所谓,大企业采购的时候要考虑法务风险。说到这个销售许可,有一些国内的厂商喜欢拿这个东西大做文章攻击国内的其他竞争对手。这些厂商也就是在许可这块投入了较多的精力,但这对项目的质量影响不大,不必太在意。
4、选择一个合适的产品。
为什么素包子现在才说产品的问题呢?因为结合我们个人的认识及前期与各供应商洗脑,及互相PK的结果,再结合2、3两点,会自然而然的输出合适的DLP大方向(文件加密、磁盘加密、格式转换、权限控制、网关控制等)及产品,这是一个水到渠成的过程。退一步说:产品要不好可以改进,但供应商有问题的话,那可不是说换就换的。
什么叫合适的产品?素包子的理解就是符合满足多种角色需求的产品,项目所处的环境越复杂,我们要满足和均衡的人和事就越多,下面列举一些有共性的需求:
A、满足企业高管需求的产品。
B、满足项目经理领导需求的产品。
C、满足项目经理需求的产品。
D、满足维护人员需求的产品。
E、满足使用人员需求的产品。
横向再插入三个关键词:稳定,简单,可靠。
以上几点看似废话,但要真的想清楚,权衡好,再做好,对甲方和乙方的项目负责人都是非常大的挑战。换一个说法可能更好理解,这里面的众多角色想通过这个项目让什么人可以获得什么,规避什么,说明什么,推动什么,阻止什么。
作为项目负责人,我们得搞清楚keyman是哪些人,我们选择的产品的输出能满足他们的需求吗?需要提醒的是,在项目的不同阶段,keyman有可能是变化的 :)哪怕在试点测试的这一个阶段里,不子阶段的keyman也不一样。
至于稳定、简单、可靠。就不用说太多了,一个要在3万用户终端上跑的东西:
能不成熟吗?三天两头就崩溃或者占用大量资源,上述C、D、E人员也会跟着崩溃的一塌糊涂,进而A、B人员崩溃,项目夭折。
能不简单吗?我一直认为一个优秀的产品就要做到”dont make me think”,几万人,就算我们培训,发手册,有30%的人看就不错了,即使还有5%不到的IT人员能自学,那剩下的65%的人中如果每天有个1%的E人员打电话问D咋用,那大家也是崩溃的。这里说的简单并不是单纯的简单,而是产品设计者要真正从用户的角度去考虑和实践,才知道怎么样才是从架构上、从流程上、从产品上真正的简单,当然接受用户的反馈并改进这非常有利于做到“简单”,这也是国内产品的潜在优势,国外产品你给反馈个想法,不管好是不好,等个3579个月再说吧。
能不可靠吗?如果不可靠,可能会在务实和务虚的层面的ABCDE人员中全面起火。当然我也是做安全的,我也知道安全是需要均衡的,所以我对可靠的定义是:首先能正视问题,然后能主动的发现问题和快速的解决问题,如果短期内不能解决问题,就必须提供缓解方法。
正如实施SDL,我们不怕0day漏洞,只怕出了0day后无法快速发现,更怕发现了没响应或不及时,还怕响应了但解决不了问题。SDL里的一些mitigation手段就是缓解问题的好方法。
上述成熟和简单的问题或许有点夸张和孤立,但是当放大到一个很复杂的环境里的时候,还真可能有这么夸张,即使真没那么夸张,但是用户就说的这么夸张,供应商也挺头疼,虽然有一些办法缓解 :)
本文持续更新,最新版本请访问《数据防泄密项目经验分享》 http://baoz.net/share-the-experience-of-data-lost-prevent-project/
5、权限还是加密?
前几天有朋友问到我这个问题,补充分享一下我个人的观点。首先我们在需求调研的时候业务部门对权限控制的呼声是比较大的,我们也仔细分析和讨论过权限控制这个方向,得出的结论是:“权限,看起来很美,做起来要命”。
A、业务部门期望太高。权限结合文件,的确是完美的控制,也是业务部门(需求方)的呼声。对这么一个完美的东西,大家对这个项目的期望必须是80分以上的。在这个期望之上,如果我们做到了80分,那是勉强及格,如果低于80分,那就是一个失败的项目了,项目如何走下去?如何验收?如何。。。?由于各种周知的原因,终端数据防泄密项目想做60分就不容易,更别说80分了。这类项目一般是企业高管或业务部门逼着IT部门做的,一般来说IT部门都不愿意主动折腾这事,因为给别人找麻烦,就是给自己找麻烦,项目风险太高,IT部门的投资回报率太低。
B、很多东西看起来很美,但落地(落到责任人)就有问题。如果企业每天文件流转300个的话,谁负责权限的设置(用户数*权限*文件数=天文数字)?权限给谁?谁负责流转时的权限变更?变更结果如何审计?谁审核权限是否有被滥用(做了权限,领导能不要求出这个审计报告吗?谁来出?IT部、审计部还是业务部?)?谁负责旧文档的权限的设置,如何设置?谁来决定以上所有问题?看到了吧,这一堆的问号,千万不要轻易的回答,因为交流的时候可以随意说,但是实施的时候要落实到具体的责任人或角色的时候,大家是最怕担责任的。这些责任分不出去的话,IT部的同学估计就只有自己扛着了。
C、权限管理有不少问题,一旦被绕过,那就是批量的丢失文档。简单的方法都不少,就不赘述了,说个案例吧。我一哥们所在的公司用了微软的DRM,离职前他问我,他想搞走一些文档,咋绕DRM,我还没来得及回复他,他就说:网上说用虚拟机就可以搞定。退一步说,个别的文档流失是可以容忍的,但是批量的文档丢失,DLP项目的意义就会受质疑了。
D、某些公司实施过基于文件权限的DLP,最后项目还是挂了。挂的原因就是上述的A+B。
E、业务部门对权限的呼声很大,怎么办?这个就要看我们控制项目需求的能力了,和业务部门及高管沟通,特别是在需求调研的过程中,可以通过调研表很好的引导相关人员的需求。数据防泄密本来就不是一蹴而就的事,必须从多个维度,结合管理及技术手段完善的。我们可以把权限的需求放在应用系统里面做,比如PDM,OA等,通过对这些系统的改进,而实现权限管理。另外可以把数据防泄密项目分期来做,一期做成60分,二期想办法奔80分。话说如果项目管理等务虚的工作做的好的话,60分的期望或许会带来80分的收获的。所以说选择一个正确的供应商和正确的项目经理非常重要。
6、成功案例考察很重要。
我们得选择一些供应商的成功案例进行考察,当然,如果可以考察到失败案例就更好了。通过这个考察,我们可以从第三方考察前面说的1、2、3、4点。这里面也有一些窍门,一是我们自主选择案例,二是问题要设计好,三是要注意观察。
在这里我不点名的说一下,某些供应商还没验收的“成功案例”就真别拿来忽悠人了,最后可能会令你们自己难堪的:)
说在最后的话:
当我在这个项目之前,领导说了三年前我们失败过一次,产业集团的人也在这个上面碰过钉子,事业部也栽过跟头,是个硬骨头,但我坚定的啃了。
当我在这个项目之中,我感觉有非常大的压力,非常的累,非常的坎坷,偶尔晚上做梦都会梦到这项目的事情,但从头到尾都非常有信心。
当我回头再审视这个项目的时候,整个过程还有不少可以改进的地方,但我感觉非常有成就感和收获感。
【编辑推荐】
