《SymantecDLP应用案例》由会员分享,可在线阅读,更多相关《SymantecDLP应用案例(13页珍藏版)》请在金锄头文库上搜索。
1、Symantec DLP 在电信和金融应用的十个场景1 场景1:对外发的邮件进行监控和阻止 场景2:对员工通过Web或者FTP外发的内容进行监控和阻止 场景3:对终端用户的操作进行监控和阻止 场景4:对内部的存储服务器进行扫描 场景5:对内部的终端电脑硬盘进行扫描 场景6:对Citrix环境中的用户进行监控/阻止 场景7:通过Data Insight模块来增强Network Discover/Protect的功能 场景8:事件信息集成到第三方平台 场景9:事件责任人信息自动关联 场景10:DLP+SEP+SMP的集成工作流对客户端本机硬件实现自动锁定2场景1:对外发的邮件进行监控和阻止 将网络
2、模块部署在网络出口处,可以实时的对公司外发的邮件 数据进行监控和分析,在RA中发现很多外发邮件中都有大量的 客户名单信息; 将那些违规的邮件记录到DLP系统中,记录的信息遵循国际审 计标准来进行开发和设计,包含事件产生的时间、违规策略、 发件人地址、收件人地址、邮件主题、详细内容、匹配到策略 的内容会被高亮显示等; 对于严重违规的邮件可以实时的阻止,并且通知相关邮件管理 人员或者发件者本人; 可以与第三方邮件网关集成,例如SBG,IronPort,IronMail, Exchange,Lotus,SendMail等。3场景2:对员工通过Web或者FTP外发的内容进行监控 和阻止 将网络模块部署
3、在网络出口处,可以实时的对员工通过Web和 FTP外发的内容进行监控和分析,在RA中发现有部分员工会将 客户的信息列表上传到Internet; 员工会通过Web Mail或者FTP站点上传公司的敏感文档,这些 行为都可以被DLP分析到; DLP会将其上传的源文件都记录到DLP数据库中,对于严重违规 的一些上传内容可以实时的阻止; 可以与第三方Web Proxy服务器集成,例如:BlueCoat, Ironport Web Gateway,McAfee Webwasher,ISA Server,Squid Server等。4场景3:对终端用户的操作进行监控和阻止 在终端上安装DLP Agent模
4、块,对用户的操作进行监控和阻止, 在RA中发现有很多员工都会将一些敏感的文档拷贝到USB,最 后造成泄密; 监控的内容包括:USB拷贝,CD/DVD刻录,打印/传真,将文件 下载到本地硬盘,拷贝/粘贴操作,通过Outlook或者Lotus发送 邮件,HTTP(s)或者FTP上传,MSN,AIM等; 可以将违规操作的源文件记录到DLP数据库中存档,审计员可 以通过保存的源文件进行二次分析; 对应的事件信息包括:事件产生时间,终端用户名,机器名, 机器ip地址,用户操作类型,目的地地址(http地址、ftp地址 、邮件收件人、文件复制到的位置等),操作的文件名称,违 规的策略名等; Agent支持
5、的操作系统:XP,Vista,2003,Windows7(32位+64 位),Citrix。5场景4:对内部的存储服务器进行扫描 通过存储发现模块对公司内部的服务器进行合规性扫描; 电信和金融的内部文件服务器,都需要按照国际的标准,对所 存放的不同安全等级的文件进行合规处理。例如: 在移动的BOSS系统,按照SOX标准,定期自动生成的账单文件会在服务 器上存放一段特定的时间,过期之后需要将其隔离到访问受限位置,这 样就可以避免账单信息的泄密; 在银行的文件服务器上,按照PCI标准,包含有用户卡信息的文件都应该 被安全隔离起来,或者是进行加密存放; DLP存储发现模块通过预先设定的策略,对服务器
6、上的文件进行扫描,并 且可以自动的将违规的文件隔离到安全区域,或者集成第三方软件对这 些文件进行加密或者加权限。 可以集成的第三方软件包括: MS RMS,Oracle IRM,Liquid Machines,GigaTrust,PGP等。6场景5:对内部的终端电脑硬盘进行扫描 公司员工通过应用系统访问公司的敏感信息,有些是系统级管 理员,可以直接到系统及平台接触机密数据;公司有相关制度 禁止员工下载敏感信息到自己的电脑硬盘,许多员工还是在工 作时会有意无意的将敏感信息下载到本地; 少数员工有意将数据下载下来之后,通过邮件、Web和USB拷 贝的方式将敏感数据发送出去; 通过Agent可以对电
7、脑硬盘上的文件进行发现,来判断其是否 包含有违规的数据,在最后生成的报表中可以按照风险级别或 者违规类型进行统计和排序; 可以集成邮件服务器自动对违规的员工发送邮件通知; 在一段时间的邮件通知和事件二次响应后,强制员工遵从公司 的数据安全策略,同时也可以让员工的安全意识普遍提高。7场景6:对Citrix环境中的用户进行监控/阻止 有些公司为了安全,提供Citrix的工作平台,用户使用虚拟桌面 进行办公; 由于员工所有的操作最终都在Citrix服务器上完成,管理员无法 针对每个用户的行为进行监控和管理; 将Agent程序在Citrix服务器上安装一次,其就会以Windows服务 的形式开始运行;
8、 Agent不仅可以监控到所有虚拟桌面中用户的操作行为,在记 录的事件中也能够包含各个桌面对应的用户名; 通过策略绑定到不同的用户,可以对一些特定的员工实现不同 的响应机制。8场景7:通过Data Insight模块来增强Network Discover/Protect的功能 通过Network Discover/Protect可以发现并且保护存储服务器上的 敏感信息; 在生成的事件中,用户可以得到对应文件的一些基本信息,例 如文件名称,文件位置,文件的访问权限,创建时间,最后访 问时间等,最后修改时间等; 通过Data Insight模块,可以让Vontu到对应的文件存储设备(例 如EMC,
9、NetApp等)中获得违规文件的所有访问记录的详细信 息,方便管理员调整存储设备的设定及对应的文件安全机制。9场景8:事件信息集成到第三方平台 在违规事件发生后,Vontu可以将事件的信息记录到自己的数 据库中,也可以将这些信息集成到第三方平台; 通过Reporting API,第三方平台可以通过接口来调用Vontu数据 库中的各个信息,并且形成用户自定义的报表,也可以将该报 表内嵌到其自己的报表平台; 通过Syslog响应规则,可以将事件信息发送到外部第三方syslog 服务器,例如:Symantec SSIM日志收集系统,ArcSight,亿阳 4A的日志审计系统,安氏SEM审计系统和联创
10、L-Securer审计系 统等; 通过邮件响应机制,可以将事件信息发送到指定的管理员邮箱 ; 第三方平台可以将收集到的事件信息,按照用户特定的需求进 行统计汇总,并且自动触发对应的响应机制。10场景9:事件责任人信息自动关联 用户希望在泄密事件产生时,DLP服务器能够联动第三方系统 自动将事件责任人的关联信息检索出来,包括用户姓名、员工 号码、所在部门、联系电话、邮件地址、主机名称、主机ip地 址、上级经理姓名、经理邮件地址等; 用户可以通过这些信息对DLP事件进行快速响应,也可以根据 这些条件对事件报表进行定制,例如:统计各个部门的泄密事 件总量,通过ip地址段对事件进行筛选等; DLP系统
11、目前可以通过读取CSV文件信息,查询外部LDAP服务器 ,或者通过运行自定义脚本的方式(例如:Python,Perl,C等 )来检索第三方信息平台,运行脚本大大增强了DLP事件关联 信息查询的灵活性; DLP系统也可以将这些关联到的信息发送到外部平台,进行信 息的综合统计。11场景10:DLP+SEP+SMP的集成工作流对客户端本机硬 件实现自动锁定 用户希望客户端能够在发生敏感信息泄密事件时,自动触发预先设 定的工作流来实时的对敏感信息进行保护; 准备DLP、SEP和SMP系统,同时在终端上安装DLP、SEP和SMP客户端 程序; 系统设定 1. 在SEPM上设定强制策略;2. 在DLP E
12、nforce上设定响应规则;3. 在SMP上设 定工作流,例如:安装和配置SEP的lockdown方案。 工作流运行 1. SEP客户端从SEPM服务器上获得最新策略;2. 当客户端通过DLP客户端生成 DLP事件时会将其发送到DLP服务器;3. DLP服务器根据响应规则向SMP服务 器发送邮件;4. SMP服务器在收到对应邮件后触发客户端上的SMP计划任务 ;5. SMP客户端根据任务修改注册表中的键值;6. SEP客户端根据修改的键值 触发本机硬件锁定策略(例如:停止USB口);7. 最后管理员可以在SMP服 务器上对该客户端的锁定进行释放。 通过类似的方式,DLP和SMP还可以和其他第三方终端软件集成,例 如:终端加密产品,终端权限管理产品等。 12Thank YouSymantec and Symantec Vision are registered trademarks of Symantec in the U.S. and in other countries. The other company names or products mentioned are or may be trademarks of their respective owners. 13
