密级:商业秘密文档编号:
XX集团数据防泄密解决方案
技术建议书
专供XX集团
2013年11月
2013年11月4日
尊敬的XX集团用户,您好!
赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。
赛门铁克致力于:
?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。
?确保项目取得成功并最大程度地降低风险。
?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。
如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。
我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途
本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。
“您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”),“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。
本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图,
除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。
一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。
Contents
1 概述 (6)
1.1项目背景 (6)
1.2 XX集团信息安全项目目标 (6)
1.3 术语解释 (8)
2XX集团信息安全项目需求及实现 (9)
2.1 XX集团信息安全涉密信息分级控管需求与实现 (9)
2.1.1分阶段推进方法 (10)
2.1.2 管理要求建议 (13)
2.1.3 人员岗位建议 (15)
2.1.3 管理流程建议 (16)
2.3 XX数据防泄密需求及实现 (18)
2.4 XX集团DLP部署规划及效果 (19)
2.4.1 部署场景一: MAIL Prevent监控管理场景 (19)
2.4.2 部署场景二:DLP客户端通过QQ聊天工具、FTP、U盘、网络共享、WEB、网盘等
方式的监控场景 (20)
2.4.3部署场景三:WEB Prevent监控及阻断WEB MAIL场景 (21)
2.4.4部署场景四:Web Prevent监控及阻断Web论坛、FTP、Yahoo Message、MSN、Web
网盘等场景 (22)
2.4.5部署场景五:米亚索能与XX集团数据防泄密系统兼容和可管控性场景 (23)
2.5 DLP Mail Prevent防护流程图 (24)
2.6 DLP Endpoint防护流程图 (25)
2.7 DLP Web信息防泄漏系统流程说明 (26)
3终端全盘加密及敏感数据加密解决方案 (26)
3.1XX集团DLP部署规划及效果 (27)
3.1.1部署场景一:终端电脑丢失,PGP客户端安全防护场景 (28)
3.1.2部署场景二:终端电脑文档自动加密与XXOA系统流转加密文档的场景 (28)
4离职及长期脱网人员的审计及安全管理 (28)
5Symantec 产品主要技术特征 (29)
5.1 Symantec DLP主要技术特性 (29)
5.2 Symantec PGP主要技术特征 (34)
5.3XX集团信息防泄密系统方案设计 (34)
5.3.1 系统总体结构 (34)
5.3.2 XX集团信息防泄密方案可靠性、扩展性说明 (36)
5.3.3 XX信息防泄密方案风险预估 (36)
5.4 XX集团信息防泄密方案涉及产品模块功能介绍 (37)
6方案与产品背景 (39)
6.1 Symantec DLP产品介绍 (39)
6.2 PGP产品介绍 (45)
1 概述
1.1项目背景
XX集团目前已经成为世界顶级的新能源提供商,拥有大量的拥有自主产权的信息资产和研发创新能力。同时,这种快速发展也带来了内部管理方面的问题,即如何管理和保护这些信息资产,如何保护和维持自己的研发创新能力,这是XX集团竞争力的根本基础。
对XX集团而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁的同时,来自内部的数据泄露或许是一个更需要重视的问题。在当今竞争日趋激烈的商业社会,到处存在着陷阱和诱惑。为了达到目的,一些不良企业或个人会不择手段来谋取自身利益的最大化。他们有可能窥探XX集团的研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉,一旦流失将会让XX集团面临信誉、经济、运营、隐私和法规遵从方面的威胁。另外来自外部环境的数据泄漏的驱动力也越来越大。自从力拓间谍门曝光后,媒体密集报导了大量不同性质的泄密事件,共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。
一旦有机密数据或者信息资产泄密,带来的损失和深远影响,将无可计量。因此赛门铁克诚挚希望能够协助XX集团建立完善的信息泄露防护体系,满足当前的主要业务目标:1、对机密文件完成文件指纹采集;2、实时检测从公司邮件系统发送到外网的邮件内容。3、实时检测从公司网络送到外网的HTTP内容4、对终端进行泄密防护。5、对终端机密数据进行加密。并做好充分的准备为XX集团全网部署防泄密解决方案。
1.2 XX集团信息安全项目目标
以XX集团信息安全涉密信息分级控管为技术先导,完成如下目标: 定期对员工的信息安全进行普及教育,定期培训,以确保员工形成统一的信息安全意识;
建立专门的信息安全管理部门、设置专人在各部门负责信息安全管理。
增强信息安全相关技术;
建立完善的信息安全制度及流程;
建立完善的信息安全制度及流程;
建立信息安全组织,设置信息安全管理部门,设置专人对各部门各业务信息安全进行管理;
增强对重要信息资产进行分类及风险评估,根据其风险进行适当的管理。
增强通信和操作管理;
增强信息系统获取、开发和维护等相关技术支持;
对信息资产进行风险评估,根据其风险建立可实施的保护策略;
建立信息的处理及存储程序,对重要信息访问设置限制,以防止信息的未授权的泄漏或不正当使用;
保存企业信息的介质应受到使用限制、控制和物理保护,以防止信息资源遭受未授权泄漏、修改、移动或销毁;
完善现有信息安全制度;
根据业务目标制定清晰的信息安全指导,建立针对性强、执行性强、详细的信息安全处理手册。
以XX集团信息安全项目技术解决方案为技术基础,完成如下目标:
终端数据防泄密解决方案。实现终端在线环境、终端离线环境中通过U盘、网盘、打印机、传真机、网络共享、相关加密压缩等途径传输敏感数据的监控和阻断功能;
邮件防泄漏解决方案。通过用户在企业内网使用企业邮箱等途径传输敏感数据的监控和阻断功能;
Web防泄密解决方案。通过用户在企业内网使用Internet向互联网上传敏感数据的监控和阻断功能;
终端数据加密解决方案。实现终端电脑的全盘加密及SSO-AD集成单点登录、常用文档自动加密等功能;
离职人员或长期脱网人员审计解决方案。
1.3 术语解释
2XX集团信息安全项目需求及实现
2.1 XX集团信息安全涉密信息分级控管需求与实现
作为XX信息安全项目之一,XX核心数据信息安全项目依赖于对核心信息防泄密管理要求制定的明确性和细化程度,依赖于XX涉密信息分级控管规则制定的准确性、符合性与精细度。而涉密信息分级控管规则为了实现“降低XX 集团总体规划重要信息系统涉密数据从内部外泄,积极抵御来自XX集团外部对XX总体规划、核心信息系统数据的窃取”这一目标,更需要逐步建立起包括:信息内容防泄密管理要求,人员岗位与职责,配套运行管理流程,员工教育等在内的整套运行管理体系及持续改进计划等在内的风险管控机制,才能使本方案中的信息防泄密系统真正发挥有效的技术支撑作用。
因此,除了信息防泄密自身技术功能之外,以下几方面的内容是保障其有效运行的重要条件:
1.核心信息防泄漏的依据:即要解决:
●核心信息内容的分类、分级是什么;
●针对这些内容在邮件外发、互联网使用过程、内部终端的存储分
布方面的保护管理要求是什么;
●针对这些要求相应的监控审计策略是什么等问题。
归结起来就是防泄密相关的管理要求问题。
2.核心数据防泄漏的执行:即要解决:
●审计策略的制定与更新及相关人员角色及流程;
●监控与审计的执行及相关的人员角色及流程;
●审计结果中的违规事件处理及相关的人员角色及流程等问
题。
归结起来就是防泄密相关的人员岗位、管理流程问题。
3.持续改进及风险评价:即要解决:
●通过核心数据防泄漏如何推动企业行为的改善,改善状况如何
●通过核心数据防泄漏如何推动员工行为的改善,改善状况如何
归结起来就是防泄密相关的评价与改进问题。
下文将结合 Symantec 信息防泄漏建设的管理运行方法论及最佳实践,就上述几个方面提出相应的运行管理建议。
2.1.1分阶段推进方法
XX集团已明确了采用信息防泄漏的方式来推进核心信息外泄的风险管理工作,并为此通过除本子系统之外的数据分类分级子系统、数据加密子系统,三个子系统共同完成这一管理目标。理论上讲,信息防泄漏系统属于事后管理,是实现明确的审计需求的系统,即需要有明确的信息分类分级和明确的审计策略作为基础。但如果这三个子系统是同步推进的过程,则需要通过分阶段的运行管理方式,不断循环推进,以最终达成目标。而这其中,通过本子系统的信息内容监控功能为切入点,进行风险的识别尤为重要。依照最佳实践经验,按照以下四个阶段的推进过程,并完成各阶段相应的运行管理活动,将有助于目标的达成:
1.风险识别与运行管理初始阶段。风险识别阶段的主要任务就是收集资料,了解
风险存在的状况。赛门铁克建议最好在风险识别阶段停留足够长的时间,以保证
可以为XX集团提供足够的数据,为分类分级子系统策略的定义、审计策略的制
定等提供更为准确的支持,同时也为后续的泄漏风险降低制定切实可行的风险降
低目标。
事实上,该阶段也是本信息防泄漏子系统能够发挥作用的最为关键和重要的阶段。这个阶段的主要任务包括:
1)建立必要的管理团队:建立类似XX集团信息防泄漏统筹管理委员会这样的团队,涉及并涵盖业务部门、审计核查职能部门、分类分级子系统建设部门等相关的必要的人员;统筹委员会可设置工作小组负责执行,同时建立事件响应团队,确保信息内容的审计结果得到高层管理人员的重视和支持,并推进相应的处理与改进。
2)建立初始策略和调优流程:在制定并完善数据防泄密管理规定的同时,力争通过本子系统得到更加完整的泄漏风险视图,并结合分类分级子系统的输出,优先从最重要的数据和严重的风险事件的审计入手。在建立了初始审计策略的基础上,明确策略调优的流程,并结合子系统之间的接口功能,制定跨子系统的相关策略管理流程。
建议将事件至少分成三类:
?有问题的业务流程
?员工疏忽
?潜在的恶意行为分类后,即可在后续的风险降低的所有响应及活动中更有针对性。主要的活动包括:
修复:主要针对解决第一点——因有问题的业务流程造成的事件,通过让这些问题引起业务部门的注意,并和他们一起工作,让流程变得更加安全。
通知:主要针对解决第二点——解决由员工疏忽引起的事件,当一个行为违反了策略时,通过立即通知员工。
阻止及保护:主要是针对解决第三点——防止某些可能潜在的恶意行为。
3)归类事件及针对性调研:更深入地研究事件本身,并开始找出其潜在原因。
4)确立并开始跟踪指标:该阶段结束时,该子系统应是一个最优的工作状
态,应达到了针对每个监控策略的目标指标,例如:合规率(最初目标定义的)。开始跟踪每个策略的这些指标,作为衡量成功运行的一种手段。
2.完善企业管理行为阶段该阶段的重点是改进风险评估阶段里发现的高风险业务流程,同时为所有事件进一步制定整治计划。具体步骤包括:
1)修复有缺陷的业务流程。例如机密数据明文存放,或出现在公共文件共享里,或者在您的员工、客户和合作伙伴之间来回传输。大约有一半是因为有问题的业务流程。他们是风险的主要缔造者,修复是最花时间。
2)建立和业务部门的沟通机制。评估企业文化,以确定沟通的合适程度,并
确定可能的影响。与其他业务部门和公司领导进行沟通。来自统筹委员会同等
级别的高层管理人员的有力支持可以让所有努力事半功倍。需要找到合适的人,坐在一起讨论需要进行的改变。
3)加强和完善适当的规章制度。如签订保密合同、订立保密协议、制定及完善保密规章制度、制定及完善文件分类分级的标准,在保密资料上加印“机密”、“保密”之类的字样、限制文件的发放范围和数量、告知员工对哪些信息负有保密义务等。此类制度可能企业已经有了,但需要进一步完善,并且需要在企业和员工中,通过各类活动进行宣传和强化。
4)建立合适的操作流程。例如文档加密以后,我们如何和客户、合作伙伴交互文档?不同的分公司、业务部门之间是否要限制使用?文件又如何流转?普通员工知道哪些文档需要加密吗?加密的文件哪些人可以使用呢?谁能对文件进行解密操作?需要什么样的审批、审计流程呢?
5)持续监控指标和加强沟通。当成功完成上述工作后,重要的是要继续跟踪运行指标和风险降低指标。建议新增一些指标,测算一下完善企业管理行为后降低了多少风险。
3.改变个人使用习惯阶段本阶段的重点在于通知员工什么是违反公司规定的行为,以此促进他们改变
自己的行为方式。对于网络事件来说,自动邮件通知就像是对于员工的违规行为立即给予“一巴掌”。对于终端事件,自动弹出的屏幕通知他们违规了,并给他们更正的机会。对员工来说,防泄密的措施应该是公开透明的。这种公开的沟通是指要将员工纳入该项计划之中,鼓励组织内的每一个人积极主动地进行风险降低活动。关键步骤包括:
1)制订员工推广和交流计划。制定适当的信息交互方式,频率和提供渠道。
为数据保护重要性进行大型宣传活动。至少考虑一下,在内部网张贴数据保护政策、常见问题、基于场景的示例,以及其他问题的沟通方式。至少每年一次定期审查和更新数据保护培训计划。
2)通过自动策略违规通知提醒员工。通常自动策略违规通知启用一个星期内,事件的数量下降了90%。然而,要达到这样的效果,需要认真规划,并进行积极主动的沟通。在任何情况下,企业都应该尽早开始思考要与员工沟通什么,何时开始沟通,怎样沟通,以及提供怎样的资源鼓励培养企业的安全文化等等。
主动告诉雇员信息内容审计解决方案重要性的公司会更快取得更好的成果。
4.泄密行为自动化阻断阶段预防恶意或非故意事件的发生是任何数据安全项目的终极目标。本阶段,包括对机密文件进行授权、给明文敏感文件进行加密(数据加密子系统所实现的功能),也包括阻断网络通讯、文件传输、文件拷贝、隔离暴露的文件等活动(也是本信息防泄漏子系统由监控审计功能切换至未来的阻断功能)。依据该阶段的功能,需要适当修订相应的管理考核要求,以及事件的响应处理流程等内容。
所应注意的是:误报导致的阻止或移动文件会对业务产生消极影响,应不惜一切代价避免其发生(这里的误报是指未了解清楚业务流程中的规定导致的策略定义的不准确而导致事件结果与实际业务的不符)。实际上,没有完成您的误报目标指标的策略不应该启用阻止的响应规则。
2.1.2管理要求建议
在上述分阶段的推进过程中,第一阶段就应努力完成大部分的信息防泄漏管理要求,从而为信息审计策略的制定及优化起到了好的保障和推动作用。
依据本项目目标,制定或者完善相关制度,包括但不限于:
以上建议内容可在分类分级子系统及加密子系统建设项目中完成,但其中第一个《管理规定》以及最后两个《审计规范》、《监控指标》,则是本信息内容审计子系统非常重要和必要的输入,也会随着本子系统策略的不断优化,而逐步完善和改进。
2.1.3 人员岗位建议
围绕信息防泄漏子系统,除了需设置必要的维护该系统的系统维护岗位和人员外,对于监控和审计策略的制定与修订,事件的响应处理等相关活动也同样需要设置相应的人员和岗位,以确保制度的落实。而人员及岗位的设定与XX集团企业内的IT 运维组织架构、企业内审内控管理组织架构等密切相关。赛门铁克依据企业防泄密工作的最佳实践,建议在人员岗位的设置上应充分考虑以下建议:
1.必要的组织与团队:
1)统筹管理委员会:确保有来自业务部门、审计及内控等部门的相关人员,确保统筹管理委员会中有高层领导的介入。这是实现信息泄密监控和审计的最高和最有权威的领导机构,同时也是协调三个子系统项目组的管理机构。该机构可
下属具体执行的工作小组。
2)审计监控执行团队:主要由集团总部、各区域中心相应的信息防泄漏子系统系统运维人员组成,该小组的领导应是统筹管理委员会下属工作小组的成员,从技术层面落实和执行工作小组的要求,并向工作小组汇报来自系统的审计监控技术报告,提交相关报表。
3)事件响应团队:应在集团总部、各区域中心、信息防泄漏范围内的业务系统中设置负责相关事件的响应与处理事务的岗位及人员,此类人员与审计监控执行团队对口的人员相互配合,了解事件信息,确认事件的原因,判定事件的违规性质。推进持续的风险改进。
2. 必要的岗位设置:
1)管理岗:在统筹管理委员会中来自不同的部门的人员中,通常建议应确保各部门有1人是该部门的运行管理岗。负责本部门信息内容监控与审计策略的决策,策略制定、优化、变更等流程的审批,参与统筹会员会的决策讨论,督促本部门的泄密风险管理工作。
2)使用岗:负责本部门防泄密管理要求的执行,提出本部门相关信息内容的监控审计需求及防护要求,汇报给本部门管理岗,并与其一同提交并参与统筹委员会下属工作小组中,关于相关分类分级管理制度、安全基线、审计规范等制度的修订工作。同时,该岗位对监控岗发现的本部门的泄密或违规事件应及时进行跟踪、追
查、审核并确认,对审计监控执行团队给予回馈,对于需要处理的严重泄密事件,交由核查岗进行处理。
3)核查岗:通常在集团或各区域中心的内审内控或合规管理部门、保密管理办公室、风险控制管理部等相关部门设立该岗,负责检查本单位或是全企业信息内容审计策略的执行、泄密事件的处理等工作,督促各部门的信息泄密防范工作的改进。 4)监控岗:通常由信息技术部的人员承担该岗位的工作,可设置在集团或区域中心,依据XX集团的管理运维组织架构,既可通过集团统一的平台,在集团统一设置监控岗,也可赋予各区域中心权限,登录集团平台分区域监控。监控岗为技术岗,为使用岗提供事件,为管理岗及工作小组提交监控报告。
5)维护岗:由信息技术部的人员承担该岗位的工作,完成信息内容防泄漏系统的维护工作,最重要的是需要与使用岗合作,完成与分类分级子系统接口中,监控策略有效性、可行性的分析,参与分类分级子系统接口策略的分析、调优等工作。
下表为各岗位在XX集团相关部门内设置及分布的建议:
2.1.3 管理流程建议
在运行管理活动中,各岗位的人员通过管理流程落实制度,履行职责。围绕
信息防泄漏子系统,必要的管理流程包括但不限于:
1. 监控及审计策略配置申请及变更管理流程包
括:例外事件申请审批流程
2. 外发邮件泄密事件响应处理流程
3. 互联网外发泄密事件响应处理流程各流程至少涉及的岗位,及各岗
位在流程中的环节与作用如下表所示:
下图为事件响应流程示例,XX集团项目组可依据企业的实际情况调整为更适宜的流程:
2.3 XX数据防泄密需求及实现
本期项目需要实现的功能需求主要包括以下三个方面:
2.4XX集团DLP部署规划及效果
XX通过MAIL PREVENT、端点监控、Web Prevent三种机制,使用三位一体的安全防护手段,禁止内网用户向外散步敏感信息。
2.4.1 部署场景一:MAIL Prevent监控管理场景
1、场景目标简述
针对XX集团内网用户发送MAIL进行监控,实现用户通过MAIL发送敏感信息进行监控和拦截,同时记录当前用户行为,并由相关部门做安全审计。
2、场景管理范围
MAIL防泄密监控系统针对的是XX所有内网MAIL用户。因此,针对XX集团的敏感信息防泄漏的监控也是针对所有终端用户,为此在实际部署过程中需要对XX 集团现有MAIL系统环境下部署信息防泄密软件。
3、相关涉及人员
客户端使用者、敏感信息(核心设计文档)接收者。使用者将带有敏感信息(核心设计文档)的资料通过MAIL途径发布出去后,DLP MAIL信息泄露防护自动记录、监控及阻断此行为,并作详细记录(包括时间、发送者、接收者、内容等)。便于相关部门及负责人审核此相关日志,并作相关通报。
4、详细工作流程及效果
针对于客户端依照各部门敏感信息(核心设计文档)做相关检查策略,终端通过MAIL(Lotus Notes、WEBMAIL等)向外部客户发送带有敏感信息的邮件时(包括邮件标题、邮件正文、附件),DLP MAIL信息泄露防护系统会自动记录此用户的行为,并匹配终端IP地址、用户名、邮件地址等,做详细的监控记录,记录内容包括此用户的账号、邮件地址、MAIL标题、MAIL正文、MAIL所带附件、收件人地址等。相关部门依据相关报表的检查条件(可依据所定策略内容、组等方式进行检查),可列出每天、每月、每半年所发此类邮件的综合统计数据,依据此类数据,相关部门可进行相关统计分析及通报。
2.4.2 部署场景二:DLP客户端通过QQ聊天工具、FTP、U 盘、网络共享、WEB、网盘等方式的监控场景
1、场景目标简述
针对XX终端在办公环境或非办公环境中使用QQ、FTP、U盘、网络共享、WEB、网盘等方式进行监控,实现用户通过QQ、FTP、U盘、网络共享、WEB、网盘等发送敏感信息进行监控和阻断,同时记录当前用户行为,并由相关部门做相关审计。
2、场景管理范围
客户端的QQ、FTP、U盘、网络共享、WEB、网盘等防泄密监控针对的是XX集团所有安装DLP客户端的终端在办公场所或非办公场所。因此,针对XX的敏感信息防泄漏的监控同时监控办公场所及非办公场所,为此在实际部署过程中需要对XX全网终端进行部署。
客户端在制定相关策略时,可依据客户端的场所进行敏感数据的监控和阻断。DLP客户端会自动判断当前终端所处的场所,当在办公环境下,DLP客户端执行办公场所策略;当终端电脑离开办公场所,DLP客户端自动执行非办公场所策略,策略制定依照办公场所制定较为宽松的阻断策略,非办公场所实行严格的阻断策略。
3、相关涉及人员
客户端使用者、客户端使用何种行为进行数据传输、相关部门审计者。终端使用者在办公场所或非办公场所将带有敏感信息的资料通过QQ、FTP、U盘、网络共享、WEB、网盘等途径发布出去后,DLP客户端自动记录和监控此行为,并作
赛门铁克DLP数据防泄密方案 文档编号: 创建日期:2009-02-12 最后修改日期:2010-04-13 版本号:1.0.0
目录 1.设计思路 (1) 1.1.什么是数据防泄漏 (1) 1.2.机密信息的划分标准 (1) 1.2.1.基于权限 (1) 1.2.2.基于内容 (2) 1.3.全面的多层次防护 (2) 1.3.1.IT基础架构安全防护 (2) 1.3.2.数据防泄密 (2) 1.3.3.安全管理 (3) 1.4.首要解决大概率事件 (3) 2.数据防泄露技术介绍 (4) 2.1.概述 (4) 2.2.产品功能模块介绍 (5) 2.2.1.V ontu Enforce (5) 2.2.2.V ontu Network Monitor (5) 2.2.3.V ontu Network Prevent (5) 2.2.4.V ontu Endpoint Prevent (5) 2.2.5.V ontu Endpoint Discover (6) 2.2.6.V ontu Network Discover (6) 2.2.7.V ontu Network Protect (6) 3.数据防泄漏技术实现 (6) 3.1.定义企业机密信息:如何建立机密信息样本库 (7) 3.1.1.结构化数据:精确数据匹配 (7) 3.1.2.非结构化数据:索引文件匹配 (8) 3.1.3.补充:描述内容匹配 (8) 3.2.制定监视和防护策略 (9)
3.3.部署监视防护策略,检测敏感数据 (9) 3.3.1.网络DLP (10) 3.3.1.1.V ontu Network Monitor 的工作原理 (10) 3.3.1.2.V ontu Network Monitor 部署 (11) 3.3.1.3.V ontu Network Prevent 的工作原理和部署 (11) 3.3.1.3.1.V ontu Network Prevent for Email (12) 3.3.1.3.2.V ontu Network Prevent for Web (12) 3.3.2.端点DLP (13) 3.3.2.1.端点DLP架构 (13) 3.3.2.2.V ontu Endpoint Prevent 的工作原理 (14) 3.3.2.3.V ontu Endpoint Discover (15) 3.3.2.4.对网络和端点的影响 (16) 3.3.2.4.1.端点影响 (16) 3.3.2.4.2.网络影响 (16) 3.3.2.5.防篡改和安全性 (17) 3.3.3.存储DLP (17) 3.3.3.1.V ontu Network Discover 的工作原理 (17) 3.3.3.1.1.无代理 (18) 3.3.3.1.2.基于扫描程序 (18) 3.3.3.1.3.基于Windows 代理 (19) 3.3.3.2.玩网络 (19) 3.3.3.3.V ontu Network Protect 的工作原理 (19) 3.3.3.4.V ontu Storage DLP 部署 (20) 4.关于Gartner MQ (Magic Quadrant) (20) 4.1.赛门铁克DLP评估(摘自2008年6月的Gartner报告) (21) 4.2.什么是魔力象限(Magic Quadrant) (21)
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
数据安全解决方案之企业防护墙撇开外部攻击的原因,信息时代企业内部本身也存在着很多潜在的数据安全隐患,而这种安全隐患需要针对性的数据安全解决方案才能化解。 一个好的企业可以带领员工稳步的发展,过上更好的生活;而对于企业本身来说,它又是由众多员工组成的,是一个组织。但是身处信息时代的也会面临着意想不到的阻力,这个阻力来自一个名为“信息安全”的问题。 一、信息是商机开始源头数据安全防护刻不容缓 (一) 企业内重要文件被非法拷贝走,给企业带来极大的损失。 (二) 缺乏基于角色的用户权限管理措施,企业内部因部门不同、员工级别不同,针对文件使用 范围也不同。然而企业内部管理人员无法根据实际需求设置不同权限部门、员工使用不同的文件。 (三) 缺乏对文件的使用权限控制措施,企业内部文件甚至核心机密文件不能合理地设置不同使 用权限,造成文件在企业内部的滥用,从而给企业核心机密外泄带来了隐患。 (四) 缺乏对文件有效的离线控制,企业内部常常面临信息外携使用、交互使用的需求,文件一 旦外携出去将处于不可控状态,离线文件可以被随意编辑、复制、刻录、打印。 (五) 缺乏全面的日志审计,企业内部一旦发生机密信息外泄,管理者无法对外泄事件进行审计, 不能为企业内部安全事件提供有力的追踪依据。
(六) 缺乏有效的备份机制,企业电脑一旦出现物理损坏或病毒感染等情况,存储在电脑上的文 档很有可能无法恢复。 (七) 缺乏防范企业内部员工主动泄密的措施,企业内部员工因工作需要常使用电子邮件、QQ 等工具,员工能随意将企业内部文件拷贝、复制、粘贴到QQ上,给企业数据安全造成巨大隐患。 二、致得E6协同文档管理系统文档安全控制方案 (一) 文档的加密存储 支持开启加密存储,系统自动将服务器文件转换为加密形式存储。 自动加密企业核心资料文件,加密的文件即使拷贝出去,也无法正常打开,确保信息安全。此安全防扩散泄密机制,有效防止机密外泄充分保证了数据安全。 (二) 目录与文件权限管理 支持针对目录进行权限管理。例如,设置【销售部文档】的浏览权,只能查看该目录无法对其进行任何操作。 支持针对文件进行权限管理。例如,如果您不想某个用户对您编辑过的文档进行修改,可以将其锁定,只有解锁后方可修改。 支持同时为部门及用户分配不同的权限 支持为整个部门授予指定权限。例如,让销售部全体对【通知公告】目录具有浏览和阅读权。
信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS
目录 信息安全数据泄露防护DLP解决方案 (1) 一、概述 (3) 1.背景 (3) 2.数据泄露防护技术DLP (3) 二、解决方案 (4) 1.目标 (4) 2.分析信息外泄的途径 (4) 3.DLP防护指导思想 (5) 4.信息安全的特点和保护策略 (6) 三、产品功能介绍 (7) 1.Windows数据防丢失子系统功能列表 (7) 2.Linux数据防丢失子系统功能列表 (10) 3.安全网关子系统功能列表 (11) 四、产品规格 (12) 1.Windows系统支持规格 (12) 2.Linux系统支持规格 (13) 3.Windows 加密与Linux加密兼容 (13) 五、产品技术 (13) 1. Windows文件加密系统优势 (13) 六、项目实施 (15) 1.确认可信域 (15) 2.信息安全评估 (15) 3.选择部署策略 (15) 4.软件实施过程 (16)
一、概述 1.背景 有一农户在杀鸡前的晚上喂鸡,不经意地说:快吃吧,这是你最后一顿!第二日,见鸡已躺倒并留遗书:爷已吃老鼠药,你们别想吃爷了,爷他妈也不是好惹的。 当对手知道了你的决定之后,就能做出对自己最有利的决定。——纳什均衡理论 所以加强信息内容安全的管理很重要。 当今信息技术高度发达,人们早已习惯了用电子化平台获取信息,企业的数据、信息以电子档案形式处理,传输,存储已成主流。但是信息化就像一把双刃剑,给企业运营带来极大便利的同时,也相应地存在安全隐患。威胁企业信息安全的方式多种多样,计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误,甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全,一方面是要加强内部管理,提高人员道德修养和技术水平,防止内部泄密或者因技术水准不高而引发的失误性损害;另一方面是加强信息技术软硬件建设,做好信息安全防护工作。 实际上,随着信息化发展,企业的信息安全管理开始重视,可是相关调查显示,多数企业并未设立专业的信息管理团队,因此信息安全形势不容乐观。一旦信息被破坏或泄露,要挽回损失,将面临取证困难和法律规范将是两大难点。因此,企业建立完备的信息安全体系势在必行。 2.数据泄露防护技术DLP 信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵,但是事实上90%以上的信息泄密事件源于企业内部,针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护,DLP的是由内而外的信息安全防护,两者相辅相成,一起构筑了企业的信息安全环境。
密级:商业秘密 文档编号: XX集团数据防泄密解决方案 技术建议书 专供 XX集团 2013年11月2013年11月4日 尊敬的XX集团用户,您好! 赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。 赛门铁克致力于: ?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途 本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图, 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents 1 概述.......................................................................................................................................................... 1.1项目背景 ........................................................................................................................................... 1.2 XX集团信息安全项目目标............................................................................................................. 1.3 术语解释........................................................................................................................................... 2XX集团信息安全项目需求及实现......................................................................................................... 2.1 XX集团信息安全涉密信息分级控管需求与实现......................................................................... 2.1.1分阶段推进方法 ........................................................................................................................ 2.1.2 管理要求建议 ............................................................................................................................ 2.1.3 人员岗位建议 ............................................................................................................................ 2.1.3 管理流程建议 ...........................................................................................................................
安恒信息数据安全防“脱库”解决方案 1.前言 近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。 注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。 针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求:各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。 各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。 工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。 2.信息泄密的根源 2.1.透过现象看本质 2.1.1.攻击者因为利益铤而走险 攻击者为什么会冒着巨大的法律风险去获取用户信息? 2001年随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场;
亿赛通推出智能移动终端数据泄露防护解决方案 在今天,移动互联网已成为当今网络的一大热门词汇,其日趋火热也是网络发展的必然结果。移动互联网的普遍应用让人们可以随时随地的工作、娱乐,提高了人们的效率,逐渐改变了人们的生活方式。智能移动终端的市场规模与应用领域也在飞速增长,更多的规模企业已经开始逐步普及智能移动终端的企业级应用。他们通过部署大量的终端设备,依靠WLAN/WiMax/3G/GPRS等网络接入方式,快捷访问内部办公及其他管理系统获取资源数据。 灵活性、易用性、可操作性无疑是智能移动终端的最大优势,但是它在方便人们工作方式的同时,也给企业内部网络带来了极大的安全隐患。如:智能移动终端便于携带和使用,非法用户可随时通过 WLAN/WiMax/3G/GPRS等方式接入内部网络访问和获取内部资源数据;网络数据传输通道未得到安全保护,存在数据窃听等泄密隐患;智能移动终端接入内网系统获取大量数据信息,文件实体本地存储和使用,当设备丢失或被盗时,涉密信息将无法得到保护。 如何防止内部数据泄露的安全问题,成为智能移动终端广泛应用的巨大挑战。作为国内领先的数据泄露防护(DLP )解决方案提供商,亿赛通在技术方面处于绝对的领先地位,早在2009年末就率先推出了第一代移动终端接入网关产品,配合移动终端数据泄露防护系统,共同构建移动终端数据安全解决方案,支持NOTEBOOK 、PDA 、MID 等众多移动设备的企业级应用。 最近又有消息称,亿赛通第二代智能移动终端数据泄露防护整体解决方案DLP OF IMT将在2011年年底前正式推出。据亿赛通技术高层透漏,DLP OF IMT 在继承第一代产品的优势之外,还在核心技术上做了革命性的创新。不仅在终端类型上增加了主流的基于Android 、iOS 、Windows Mobile嵌入式操作系统的设备支持,同时在解决方案的整体功能上也相应增加了更多的企业级应用模块,从移动终端用户身份安全、移动终端网络接入安全、网络数据通信安全、应用访问控制安全、数据存储与访问控制安全等多个环节,全面构建智能移动终端的数据泄露防护
IP-guard是采用模块化架构的企业级内网安全管理系统,共包括15个不同的功能模块,自由组合之后可以实现文档透明加密、全面信息防泄漏管理、上网行为管理、计算机使用行为监管、IT资产管理与远程维护等多种功能。 客户收益: 符合保密规定,降低泄密风险 IP-guard通过全方位的保护措施,保证政府机密文件的安全,防止信息泄露造成有重大影响的敏感事件 严防入侵风险,保证政府内网安全严格满足国家关于政府内网安全要求,防止非法入侵,保证政府内网安全,稳定发挥电子政务的服务作用 规范系统应用,提升工作效率 培养工作人员规范的系统使用行为,提升系统应用效率,降低非法应用造成的系统威胁,最大限度发挥电子政务对业务的推动作用 简化系统维护,保证系统稳定 通过强大的系统管理与远程维护,把IT管理人员从冗繁重复的工作中解放出来,更多精力优化信息系统,保证网络安全 保护国家资产 轻松监控系统内软硬件资产,及时掌握变动情况,支持非IT资产自定义管理,强力杜绝国有资产流失 概述 以电子政务为代表的政府信息化在各级政府部门的应用日益广泛与深入,电脑与互联网让政府与政府、商业机构、公民以及雇员(公务员)之间更紧密、更便捷
的连接和沟通成为现实,工作效率和服务能力得以显著提升,成为促进我国经济与社会快速发展的重要因素。 政府内部的文件和信息往往涉及国计民生,一旦发生外泄,不仅会给国家带来不可估量的经济损失,更严重的是,还可能造成无法挽回的国家声誉的影响,今年的“力拓案”就是一个例证,给政府部门敲响了警钟。 在网络安全管理方面,政府部门实行严格的内外网分离政策,并且部署了防病毒软件、防火墙、入侵检测系统等众多安全产品,为什么依然不能杜绝信息外泄等问题呢? 事实上,据权威统计显示,政务网络中80%的安全威胁来自内部: l 未经授权的文件传输导致重要文件外泄, l 无管理的移动存储设备使用造成病毒泛滥甚至导致文档泄露; l 篡改甚至删除重要文档等蓄意的破坏 l 补丁安装和系统漏洞修补不及时,给网络威胁留下可乘之机; l 网络滥用造成的网络阻塞与应用效率低下; l 计算机和网络维护繁琐导致不及时,造成安全隐患 凡此种种“内忧”,应付“外患”的网络边界防御产品自然无能为力。作为政府内网的管理者,一个越来越迫切的问题摆在眼前: 在已有的边界控制的基础上,如何从内部保证政府信息网络的安全,从而最大限度的发挥信息化对电子政务的推动作用? IP-guard政府行业内网安全整体解决方案 立足政府内网需求,功能强大,实现灵活,运行稳定,轻松解决政府内网安全难题!
数据防泄漏解决方案 - - - Array & VMware 整体解决方案 一、前言 您是否遇到过这样的问题? 1、您公司的某个员工在出差时,不慎把笔记本电脑丢失。电脑并不值多少钱,但电脑中的数据万一被竞争对手获得,后果将不堪设想。 2、某个对公司不满的员工将电脑中的数据复制并故意泄漏。 3、员工的电脑中了恶意木马,在不知情的情况下,电脑中的机密信息不幸被泄露。 此时您该怎么办? 难道您要放弃网络给大家带来的便利,要把公司的电脑全部都锁到保险柜中,让员工只能在办公室摄像头的监控下工作吗? 只要您拥有Array & VMware数据防泄漏解决方案,企业机密信息仅在VMware的虚拟机中运行,并且只能通过Array的SSL VPN加密隧道的方式传输到公司数据中心,这样您就能轻松保护企业的数据安全了。 Array & VMware 数据防泄漏解决方案让一切变得都这么简单! 二、企业数据风险分析 当今企业在迅猛发展的同时,企业的机密数据存在如下风险: 风险1,用户故意将电脑中的数据拷贝泄漏。 风险2,用户上网时,恶意木马窃取了电脑中的机密信息。 风险3,用户电脑丢失而导致的数据泄漏。 风险4,。。。。 如何解决移动办公和数据安全之间的矛盾?如何保证企业机密数据在个人PC中的安全?很多企业采用了严格的内、外网隔离的管理方式,试图用管理方式来解决现实中面临的数据泄漏方面的风险。 内外网隔离的管理方式,虽然可以解决数据防泄漏的问题,但是,它一方面要求客户建
设两套完全不同的网络,增加了客户的投资。另一方面又无法解决用户同时使用两套网络的灵活性。 是否能通过技术手段来解决机密数据隔离的问题?是否可以构建一个安全虚拟网络来代替物理的内外网分离方式,让机密的数据只能在安全虚拟的网络环境中运行? 请看Array & VMware 数据防泄漏整体解决方案! 三、Array & VMware 数据防泄漏解决方案 Physical PC ACE Management Server Physical PC VMware ACE Remote User 如上图所示,物理机用于处理日常非机密类的流量,而物理机上的虚拟机则用于处理机密的业务类数据流。 虚拟机与物理机的通信隔离,保证虚拟机中数据在本地不被窃取。且虚拟机是加密方式存储的,即使电脑丢失,也可保证虚拟机中的数据不被破解泄漏。 在虚拟机上,启动L3 功能与企业数据中心的Array SSL VPN 建立一条full tunnel,并且虚拟机上的安全策略,只允许与SPX 通信,保证虚拟机联网时的数据不被恶意木马窃取。 通过以上技术手段,我们可以利用VMware 虚拟机,实现数据在同一物理介质上的安全隔离,利用Array SSL VPN 的full tunnel,构建一个安全的虚拟专用网络。保证数据在传输时的安全。从而通过技术手段实现了非业务流量与业务流量的隔离。
XX McAfee数据泄露保护方案
文档说明 非常感谢XX给予McAfee公司机会参与《数据泄漏保护》子项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。 需要指出的是,本文档所涉及到的文字、图表等,仅限于McAfee 公司和XX内部使用,未经McAfee公司书面许可,请勿扩散到第三方。
目录 1方案概述 4 2中铁信托数据保护需求分析 6 2.1.1系统终端面临的数据泄露风险 6 2.1.2不可管理终端的数据泄漏威胁 7 2.1.3安全管理问题 7 2.2需求分析 7 2.2.1数据流失保护 7 3McAfee 数据保护整体解决方案 8 3.1McAfee Total Protection for Data解决方案 8 3.1.1McAfee Total Protection for Data的具体功能 8 3.2McAfee Total Protection for Data工作流程 9 4McAfee Total Protection for Data的部署 12 4.1部署架构及工作流程 12
1 方案概述 中铁信托有限公司和大部分金融企业一样,经营和管理过程中会产生大量的数据,如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据,这些重要数据就像是生命中的“血液”一样重要,是企业生存的基础。如果这些数据一旦遭到泄漏,将给公司的信誉和资产造成重大损失。 自2004年以来,数据泄漏事件正以1700%的速度增长,平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有: 1)TJX--攻击者窃取了4570 万个信用卡和借记卡数据,造成的后果是企业形象受损和法律诉讼; 2)CardSystems公司--网络罪犯攻击了 4 千万个 Visa/ MC/Amex 用户;后果是CardSyestems 现在已宣告破产; 3)ChoicePoint公司--诈骗公司使用购买ChoicePoint 产品的消费者记录;后果是2600万美元的罚款以及股票市值缩水8 亿多美元; 4)Wells Fargo--泄露了3300 万个客户的帐户;后果是为了符合州数据泄露法案的要求,仅邮寄的成本就高达 1900 万美元。 数据泄露造成的根源来自外部黑客攻击和内部数据泄漏,据FBI的统计,70%的数据泄漏是由于内部人员造成的,而这些内部人员大都是有权限访问这些数据,然后窃取滥用这些数据。 无论是黑客攻击、还是内部故意泄露,数据泄漏有以下三个途径造成: 1) 物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到 USB,CD/DVD和移动硬盘等移动存储介质上;通过打印机打
Symantec 终端数据防泄露DLP ---解决方案 2018.7.21
1 方案概述1.1 产品推荐 Symantec Data Loss Prevention (下面简称DLP) 解决方案是业界第一个全面覆盖终端、网络和存储的数据防泄漏解决方案。它集发现,监控和保护于一体,为机密数据的存储和使用提供管理。无论是存储在网络的、还是不联网终端上的机密数据,DLP都可以发现它们,并且可以防止数据从存储、网关和终端处泄漏。 ●发现: 发现机密数据存储在哪里,创建敏感数据的资产清单,帮助管理 废弃数据清除。 ●监控: 帮助理解机密数据是如何被使用的,无论用户是在企业网络还是 在外网。获得机密数据使用的企业全局视图。 ●保护: 自动强制安全策略,主动式保护机密数据,防止其流失出企业。 ●管理: 所有工作在一个统一的平台上完成。如为整个企业制定统一的策 略,修复和报告事件,执行高精度检查等。 通过部署DLP从而更好地保护客户信息、知识产权;更好地遵从法规;维护品牌和声誉。
1.2 竞争优势分析 1.2.1 公司方面 1.2.1.1全球最大的信息安全厂商和服务提供商 赛门铁克公司(Nasdaq:上市公司,代号SYMC)成立于1982 年4 月, 于1989年6月23日首次发行股票上市。全球总部位于美国加利福尼亚州Cupertino,现已在40 多个国家设有分支机构,全球员工数量超过17,500 人。 赛门铁克有限公司(Symantec)是世界互联网安全技术和整体解决方案领 域的全球领导厂商,赛门铁克为个人和企业用户提供了全面的内容和网络安全 解决方案。赛门铁克是安全威胁防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全球超过五千万用户提供综 合性的互联网安全产品,方案和服务,包括大型企业,政府机构,教育机构, 小型企业和个人。 98 %的“财富(Fortune) 100 公司”使用赛门铁克的安 全方案。诺顿品牌领先世界零售市场,在业界颇受赞誉。 ●具有网络、终端、服务器、信息内容以及安全管理的整套解决方案; ●拥有并维护着全球最大的互联网安全智能预警网络和安全知识库, 并据此定期发布互联网威胁报告; ●拥有5个运营型SOC中心(日本与NTT合营),为全球上千家大型企业管理信息 安全服务;
银行业数据防泄密平台 方案建议书
目录 1 项目背景概述 (4) 1.1 项目背景 (4) 1.2 企业泄密风险 (4) 1.3 数据防泄密项目背景 (5) 1.4 数据防泄密项目网络现状和信息安全需求分析 (5) 2 山丽防水墙产品介绍 (6) 3 山丽防水墙数据防泄漏系统解决方案 (7) 3.1 产品功能对透明加密管理的满足 (7) 3.2 产品功能对加密模式本地策略管理的满足 (8) 3.3 产品功能对多种加密模式管理的满足 (9) 3.4 产品功能对一文一密钥安全性管理的满足 (11) 3.5 产品功能对加密系统剪贴板管理的满足 (12) 3.6 产品功能对加密系统多种登录方式管理的满足 (12) 3.7 产品功能对出差笔记本防泄漏(加密客户端离网使用)管理的满足 (13) 3.9 产品功能对文件解密申请管理的满足 (14) 3.10 产品功能对密文明送文件外发控制管理的满足 (17) 3.12 产品功能对文件权限管理的满足 (18) 3.12.1基于用户为脚色的文档权限控制 (19) 3.12.2基于文档为角色的自定义文档权限控制 (20) 3.12.3文档权限控制的精细化管理 (21) 3.15 产品功能对基于B/S应用服务器和防水墙系统融合方案的满足 (23) 3.16 产品功能对PDM、FTP服务器和防水墙系统融合方案的满足 (23) 3.16.1产品功能和应用服务器融合的原理 (24) 3.16.2产品功能和应用服务器融合的方案 (25) 3.17 产品功能对文件交互管理的满足 (27) 3.17.1分支机构和总部的交流 (27) 3.17.2产品功能对分支机构和供应商管理的满足 (28) 3.18 产品功能对计算机外设管理的满足 (29) 3.18.1 终端外设管理范围 (29) 3.18.2外设管理在线、离线策略 (30) 3.18.3注册移动存储设备管理策略 (30) 3.18.4认证移动存储设备管理策略 (31) 3.19 产品功能对服务器灾难恢复功能的满足 (33) 3.20产品功能对审计功能的满足 (34) 3.20.1对加密文件的各种操作行为进行审计 (34) 3.20.2对加密系统各种操作行为的自动预警式审计 (35) 3.21 产品功能对系统管理功能的满足 (38) 3.21.1防水墙加密系统三员分立管理模式 (38) 3.21.2防水墙加密系统系统管理员管理模式 (39) 3.22 产品功能对安全性要求的满足 (41) 3.23 产品功能对客户端自我防护的满足 (42) 3.24 产品功能对加密客户端授权管理的满足 (42) 3.25 产品功能对客户端自动升级的满足 (42) 4 产品部署方法和部署效果 (43) 4.1 部署方法 (43) 4.2 部署效果 (43) 4.2.1 法规的遵从 (43)
一需求分析 1 总体需求 通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个方面全面部署实施内网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对内网行为的有效审计 目前单位内缺乏对各种内网行为的系统化审计工具和流程,通过内网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业内部,与工作相关的各种内网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走: 文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司; 可通过3G上网卡等连接网络,把信息通过网络带走; 可将文件通过邮件(NOTES、WEB)发送给外部人员; 能通过打印把电子文档转换成纸质资料带走; …… 4 员工行为管理缺乏有效技术手段 目前公司不能从技术上规范员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 内部文件缺乏有效的安全保护机制 公司拥有大量的机密、敏感信息,关系到客户的资料,方案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来
不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。 二解决方案 针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现: 上网行为管理解决方案 用户认证 为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。 内部用户 对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC 能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 无线临时用户 对于无线临时用户,通过(短信认证、微信认证)方式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。 上网行为控制 网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现
内外网信息防泄密解决方案
目录 1项目背景 (4) 2网络场景 (4) 3安全需求情况 (5) 3.1 网络情况 (5) 3.2 工作场景 (6) 3.3 目前安全措施 (6) 3.4 用户信息安全需求 (6) 4安全风险 (7) 5监管政策 (9) 5.1 信息安全法律 (9) 5.2 行政法规 (9) 5.3 信息安全部门规章及规范性文件 (10) 5.4 信息安全国际、国内技术标准 (10) 5.5 行政法规信息安全框架 (10) 6产品方案 (11) 7加密1.0环境加密和其生存现状 (11) 6.2加密2.0格式加密和其生存现状 (11) 6.3加密3.0多模加密和其生存现状 (11) 7解决方案 (12) 7.1产品功能之多模加密技术 (13) 7.2产品功能之剪贴板控制技术 (14) 7.5产品功能之离线管理技术 (15) 7.6产品功能之审批管理技术 (16) 7.7产品功能之审批流定制技术 (19)
7.9产品功能之TPM防护技术 (21) 7.10产品功能之密文明送技术 (22) 7.12产品功能之屏幕水印&文档水印技术 (24) 7.14产品功能之U盘防水墙技术 (24) 7.16产品功能之自主分发安装技术 (25) 7.17产品功能之服务器容灾管理技术 (25) 7.18产品功能之文件备份和删除管理技术 (26) 7.20产品功能之日志管理技术 (26) 8产品优势 (27) 9售后服务 (31)
1项目背景 伴随着信息安全事件的不断发生,信息安全的重要性呈指数增长的趋势。随着互联网的不断渗透,各种智能终端设备和云存储广泛使用等,企业面临各种新的信息安全风险。 如何应对因互联网发展、社会进步带来的新生事物对企业信息安全的风险,如何确保用户本地数据和服务器上数据的安全,这些都成为了成为了摆在IT系统安全管理人员面前一道棘手的问题。 本方案目的在于寻求解决内网数据安全,内外网数据交互安全,避免因智能终端设备,服务器,,邮件系统,网络云等广泛使用带来的企业信息泄密风险。 2网络场景 图:用户网络结构图
数据防泄密解决方案 红线隐私保护系统企业版 深圳红线科技开发有限公司 版权信息 深圳红线科技开发有限公司保留所有版权(2012-2017) ShenZhen RedLine Technology Development Co., Ltd. Copyright(C) 2012-2017 All Rights Reserved 更新日期:2017.06.15
目录 第一章企业信息泄露途径及存在的问题 (3) 1.1企业机密外泄途径及原因 (3) 1.2企业安全管理存在的问题 (5) 第二章红线隐私保护系统企业版简介 (5) 2.1产品框架体系说明 (6) 2.2运行环境(操作系统及环境需求) (7) 2.3所支持的自动透明加解密的应用: (7) 2.4企业版集中管理功能特性 (8) 2.5企业版客户端功能特性 (9) 2.6红线隐私保护系统企业版优势 (9) 2.7红线隐私保护系统企业版网络拓扑结构 (10) 2.8红线隐私保护系统企业版实施简易步骤说明 (10) 2.9红线隐私保护系统企业版隐私申明 (11)
第一章企业信息泄露途径及存在的问题1.1企业机密外泄途径及原因 随着中国经济产业调整的转变,高技术含量的产业得到了充足的发展,相比传统产业信息化的滞后,高技术产业的信息化之路已经步入正轨。从整个行业生态的角度来看,高技术含量的企业发生泄密事件的概率普遍较高,例如制造行业、设计行业、互联网IT行业、电子通信行业、以及金融业等都是泄密高发行业。随着市场的饱和,行业竞争加剧,竞争升级催生各行业更高的保密需求。 在所有的泄密单位类型中,企业依然是最大的受害者,这主要是由于市场竞争的不断加剧,经济利益、竞争需求和发展需求使然。此外,个人遭受信息泄密,这几年出现了爆发式的增长,个人信息贩卖俨然成为一个新兴市场;而政府统计数据的屡次外泄,也已经敲响了政府公信力下降的警钟。年全球泄密事件分析报告3/6 从泄密人员来看,技术和管理人员风险高由于机密文档的流通性通常在企业内部设限,因此,在内部信息泄密事件中,拥有高级权限的技术型人员和管理者成为泄密的高风险人员。但也有一些企业对机密文档疏于管理,文档存放和使用权限混乱,因此,公司内部大部分人员都有可能成为泄密对象。