《虹安DLP40数据泄露整体解决方案【材料特制】》由会员分享,可在线阅读,更多相关《虹安DLP40数据泄露整体解决方案【材料特制】(34页珍藏版)》请在金锄头文库上搜索。
1、 虹安DLP4.0数据泄露防护系统整体解决方案公司名称:深圳市虹安信息技术有限公司公司地址:深圳市南山区高新南一道赋安科技大厦B座308邮政编码:518057公司网址:http:/www.china- (0755) 86315156传 真:+86 (0755) 26413060目 录 1. 背景概述32. 应用现状43. DLP4.0方案53.1. 安全概述53.2. 数据风险63.3. DLP4.0解决思想93.4. DLP4.0系统安全架构123.5. DLP4.0解决效果133.6. DLP4.0解决方式133.6.1. 基于PKI/CA体系的身份鉴别133.6.2. 数据透明加密保护1
2、43.6.3. 构建数据安全区域143.6.4. 灵活人员访问权限143.6.5. 全面外设管控153.6.5.1. 移动存储U口管控153.6.5.2. 外设及端口管控163.6.6. 文件发送管理163.6.7. 文件外发控制173.6.8. 安全日志审计183.6.9. 数据备份恢复183.7. DLP4.0应用部署方案193.7.1. 工作方式193.7.2. 部署方式203.7.2.1. 内部部署方式203.7.2.2. 外部部署方式213.7.3. 实施步骤213.8. 方案特色213.9. 方案价值233.10. 系统安全性243.11. 运行环境274. 供应商简介274.1.
3、 关于虹安274.2. 技术和服务284.2.1. 售后服务284.2.2. 培训服务294.3. 产品资质291. 背景概述当前,企业内部的安全性要求仍然主要集中在系统安全性以及防病毒和黑客入侵等方面的网络安全性。对于传统PC终端而言,由于每台机器都有本地存储和网络功能,数据安全的短板效应无法避免,安全维护的成本也居高不下,而且效果往往不尽人意。因此需要在对现有应用业务模式不影响的情况下,能够对数据进行全面而有效的安全防护。现代企业规模庞大、分公司及分支机构繁多而且分布广泛,需要大量的业务数据信息作为支撑。企业信息化的飞速发展使得企业各部门之间能够迅速地获取、传递、处理和利用各自所需的信息,
4、提高办公效率,节省办公费用,使管理者能实时、动态地了解到本单位各种资源的实施情况。但是由于业务上的需要,企业需要开放移动存储设备、计算机外设和网络的资源,企业部署的传统网络或者系统安全设备和系统已经不能够很好好适应信息安全形势的新变化。首先,为企业用户提供正常办公及处理内部业务使得文档交流传输过程难以安全可控,文档脱离内部管理平台容易造成文件的扩散和外泄。其次,内部终端用户的文档操作行为管理也不规范。最后,企业内部移动存储设备可以随意在任意物理终端计算机上使用,容易感染病毒和泄密;移动存储介质丢失后,极易导致敏感数据泄密。为提高企业内部数据协同和高效运作,实现内部办公文档交流过程安全可控,实现
5、文档脱离内部管理平台后能有效防止文件的扩散和外泄。对于内部文档使用范围、文档流转等进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。既防止文档外泄和扩散,又支持内部知识积累和文件共享的目的。另外,数据安全的同时更加注重用户操作体验的感受。2. 应用现状根据企业信息化的业务应用需求,企业每个员工的业务操作方式主要集中在终端之上,但也会从OA应用系统、文件服务器或者邮件系统等应用服务系统中浏览数据或者下载文档,存在如下主要几个方面的数据安全隐患以及操作体验要求,如下图所示。1) 、员工可以通过物理终端的U口以及各种外设端口将数据泄露出去,例如,通过U盘等移动存储以及打印机设备,可轻松进
6、行数据的拷贝;2) 、员工通过网络的形式将数据泄露出去,例如,通过邮件方式、IM即时通讯工具以及各种网络工作传送数据至外部。3) 、由于业务共享协作需要,外发出去的数据在安全保护的前提下,不影响正常使用;4)、企业内部人员之间的数据交互需要保持安全和流畅;5)、企业内部人员与外部客户之间的数据交互需要保持安全和流畅;6)、企业内部人员业务外出、在家办公等场景的数据交互安全和流畅;7)、分支机构、移动出差人员需要进行内部文件的方便快捷的审批。图1、企业数据安全业务应用现状3. DLP4.0方案3.1. 安全概述科技和商业飞速发展,企业机密数据和内部敏感信息的安全越来越重要,一旦这些信息和数据被泄
7、密,企业往往会蒙受巨大的经济损失。随着信息技术的进步,计算机和网络已成为日常办公、通信交流和协作互动的必备工具。但信息技术提高人们工作效率的同时,也对信息安全防范提出了更高的要求。目前大多数用户对办公网络的安全防范方式,仍然停留在采用防火墙、入侵检测、防病毒等被动防护阶段。在过去一年中,全球 98.2的计算机用户使用杀毒软件,90.7设有防火墙,75.1使用反间谍程序的软件;有 83.7的用户遭遇过至少一次病毒、蠕虫或木马攻击事件,79.5遭遇过至少一次间谍程序攻击事件。而国家计算机信息安全测评中心数据显示:机密资料通过网络泄漏造成损失的单位中,其中被黑客窃取和被内部员工泄漏,两者的比例为:1
8、:99。这是来自于国家计算机信息安全测评中心的一个数据,该调查显示,互联网接入单位由于内部机密通过网络泄漏而造成重大损失的事件中,只有 1%是被黑客窃取的,另外的 99%全部是由于内部员工有意或无意的泄密行为所导致。在外设管理方面,有50%的企业因USB使用不当而丢失数据。用户可以随意接入各类外设和移动存储设备,带走内部资料。如:U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机这些外围设备容量越来越大,但体积越来越小,无疑提高了效率,给工作带来便捷。但在愉悦享受高科技产品带来的便利之时,也给信息安全带来严重威胁,让别有用心者有可乘之机。受利益驱使,可能会有内部员工直接参与盗取
9、重要信息数据的行为,近年来,类似力拓“间谍门”的泄密事件时有发生。近年来,数据安全保护模式正悄然发生变化,由传统PC终端的系统或者网络安全防护逐渐面向以数据为中心的安全保护模式,如何防范内部泄密事件,安心享用现代科技的便捷?如何保护好企业的智力资产,保持市场信息优势呢?是摆在每一个信息化企业面前重要而紧迫的课题。3.2. 数据风险根据国际权威机构Garnter调查数据表明,97%的泄漏事件源自企业内部:人员流失,以及任何有意或无意的操作行为,或管理疏漏,都有可能对企业造成巨大的经济损失。目前,基于企业内部现存网络流通的一系列文档,如果这类文档外泄、扩散、丢失,很有可能造成竞争对手先于市场得到企
10、业的产品机密或者商业秘密,导致不可估量的损失。根据对企业现有数据业务应用模式,来自企业内部的安全威胁和风险主要有以下几类:l 数据泄密通道风险-U盘等移动存储设备以及打印机等外部设备序号数据风险类型数据风险描述说明1U盘等移动存储设备丢失/被盗据统计,高达80%以上的企业发生过U盘丢失。若内部人员随意拷贝文件必将导致内部机密文件泄密。2U盘等移动存储设备的交叉使用“轮渡”木马病毒对于U盘等移动存储介质的交叉感染危害非常严重。3使用外部U盘等移动存储设备对USB端口没有集中管理,导致外部U盘也可以在内网使用,无疑存在着较大的泄密隐患。4外部人员恶意拷贝敏感信息同样是由于对USB端口没有集中管理的
11、原因,会导致外部来访人员,在停留期间可以非常容易的用U盘等移动存储设备,拷贝敏感信息。5内部人员恶意拷贝内部机密资料如离职人员等,此类案件已屡见不鲜。2005年4月,卢某擅自离职,并将某电器公司的各类硅钢片特性参数及计算参数表等三项技术资料电子文件,拷贝到南海区松岗某电器厂,并任该厂技术负责人。6通过U盘等移动存储介质泄密事后追溯困难大部分企业,因缺乏必要的技术手段,使得使用者在内部或者外部操作U盘时即使进行违规操作,也无法有效审计和取证。7U盘等移动存储介质报废管理不善对已损坏需要报废的涉密介质,没有实行集中销毁,随意乱扔和丢弃等,都在不同程度上存在泄密隐患。8文件打印管控不力文件打印如果没
12、有进行必要的管控,将会导致几乎每台计算机终端都具备打印的功能。9忽视红外、蓝牙、内置MODEN、光驱、刻录机等各类外部设备泄密一是内部人员可以通过上述途径,故意泄密;二是外部人员可以通过无线网络信号接收网络信息,导致泄密事件悄然发生。 表1、U盘等移动存储设备以及打印机等外部设备风险l 数据离线外发风险-移动办公、效果展示、协作外发等应用场景序号典型安全风险应用场景描述1在制造业代工生产模式下,企业需要将设计资料发给外部代工企业进行生产制造 。被合作方有意或无意向外扩散、泄露;2企业把各种关键产品文档、内部资料交给业务人员出差交流以及演示使用 。被外出人员有意或无意向外扩散、泄露;3产品项目投
13、标活动中,企业往往需要将标书发给招标方开展相关活动 。被招标方有意或无意向外扩散、泄露;4企业将其设计成果提交给客户使用。被使用方有意或无意向外扩散、泄露;5企业将相关资料、课件或软件提交给用户使用。被使用方有意或无意向外扩散、泄露;6企业内部人员由于工作业务的需要,需要将相关设计或者制作的成果给有意向的客户进行效果的演示,容易发生成果泄露的情况;7企业内部人员往往需要将与工作内容有关文件带回家进行工作,需要既满足方便工作的要求,又能防止数据的泄露。 表2、数据离线外发风险-移动办公、效果展示、协作外发等应用场景l 数据内部流转风险-部门之间、分公司之间的数据交换和流转序号数据安全问题数据安全
14、问题所带来的后果1身份认证强度未经授权的人员查看没有权限的文档;2合理访问授权权限不合理授权控制会导致文件“扩散传播”;3内部主动泄密1) 、内部人员主动有意的泄密;2) 、内部人员被动无意的泄密;4泄密方式监测通过拷贝、另存、打印等方式保存文件副本;5外部非法窃取非法恶意人员通过网络集中批量窃取内部资料6存储设备丢失1) 、内部人员恶意拆卸硬盘等存储设备;2) 、移动出差办公意外将笔记本电脑遗失;3) 、笔记本维护人员故意将数据泄露出去;7文档过期使用1)、离职人员将存储机密资料的笔记本带走;2)、临时人员离开内部环境后仍能使用资料;8使用范围限制1) 、文件需要保证在一个部门区域内使用;2) 、文件需求保证某一台固定终端上使用;9文档意外损坏备份机制1) 、因意外掉电或者设备破坏导致文件损坏;2) 、因不符合正常操作流程导致的文件损坏;3) 、防止员工离职后恶意删除电脑的文件;10文档有序归档受保护文档类型需要集中备份存储,而且容易进行还原操作;11文档安全审计记录文件产生、使用到销毁整个过程的行为。 表3、数据内部流转风险-部门之间、分公司之间的数据交换和流转l 应用服务接入数据安全风险-分支机构、临时人员、网络黑客、移动办公人员等不同类型人员对企业内部应用服务的安全接入,例如OA、邮件服务、文件集中存储服务器等。序号典型应用场景数据安全风险描述
