Symantec_DLP简介

1Symantec防信息泄露方案DLP简介22DLP(数据泄漏保护)DRM(数字权限保护)Encryption(加密)Management(管理)Data企业信息•DRM可以决定数据的访问和使用方式，功能强大•仅限于特定的文档类型•需要与企业应用紧密集成，大量依靠人工参与•部署实施十分复杂并难以持续运维•仅适用于研发等少数小组•技术不能解决所有的问题，仍然需要以下辅助•风险教育•行政管理•物理安全•刑事诉讼•全面评估信息风险，包括网络、端点和存储•全面检测数据库、文件、邮件、文字等泄密通道，及时报警或阻止•统一制定防泄漏策略•遵从SOX等法案法规•实施和部署简单，无需更改流程，无需人工参与，可在企业范围应用•能够有效的与DRM/加密工具集成使用，使得后者更有效•能够阻止没有权限的人非法获取信息，即使丢失也没关系•依赖手工进行•密钥的管理是个复杂问题•不能解决无意识泄密和主动泄密•仅适用于笔记本或者少量文件服务器用户经常选择的防泄密解决方案什么是数据丢失防护(DLP)？数据丢失防护(DLP)发现保护监控7重要的DLP要求管理•查找保存于各个位置的数据•创建敏感数据清单•管理数据清除操作•了解使用数据的方式•了解内容与背景•了解企业范围的数据•充分掌握违反策略的行为•主动保护数据•防止机密数据丢失发现保护监控•定义整个企业的统一策略•精确检测内容•补救并报告事故8管理管理发现•识别扫描目标•运行扫描以发现网络及端点上的敏感数据•启用或自定义策略模板•补救并报告风险降低监控123保护45•检查发送的数据•监控网络与端点事件•禁止、删除或加密•隔离或复制文件•通知员工及其经理DLP工作原理9风险管理模型事前能够从全面、系统的角度去检查、发现和早期纠正。-Knowwhatyouhave,thanyoucanbattleit.事中能实时控制事中能够监察和预警事后审计是持续改进实现动态管理的保证-看见有时比保护更重要DLP形成风险管理的闭环建立起面向数据生命周期的安全管理PresentationIdentifierGoesHere7可知、可控、可防！信息传播信息存放、访问邮件外发、上网第三方数据库交流移动媒体信息使用木马文件服务器信息产生分阶段的数据安全项目实施规划创建例外评估策略精度建立合适的规章制度事故数量创建基线泄密阻断完善企业管理风险识别自动通知改变员工风险记分板创建策略评估违规频度时间自动阻断建立合适的操作流程修正有缺陷的业务流程建立和业务部门的沟通机制看见改变企业的行为改变员工的行为强控制9DLP监控的主要数据流失途径CD/DVDUSB数据发现邮件安全Web安全及时信息安全数据库安全Exchange/DominoSharepoint/Web文件服务器安全DLPPolicyMonitoring&PreventionDiscovery&ProtectionEmailFTP安全P2PWeb及时消息打印/传真粘贴/拷贝FTPSymantecDLP解决方案组成PolicyandManagementPlatformEnforcePlatform网络网络监控网络阻止终端终端发现终端阻止存储网络发现网络保护服务器+终端+网络“三位一体”，统一策略11SECUREDCORPORATELANDMZDisconnectedSPANPortorTapMTAorProxy3737SymantecDLPTrueMatch™全面的内容检测技术IDM索引文档匹配未结构化数据知识产权EDM精确数据匹配DCM描述内容匹配•每台服务器5百万份以上的文档•设计/源/财务•派生与通过匹配•近乎完美的精确性•每台服务器3亿多行•客户/员工/定价•部分行匹配•近乎完美的精确性结构化数据客户数据•不可索引数据•词典•数据标识符描述数据13广泛的事件覆盖•拷贝到USB•下载到本地硬盘•刻录到CD/DVD•Copy/Paste•Http/https/ftp/IM/email扫描管理•可配置的扫描策略•增量扫描•最小终端和网络影响发现风险报告•识别高风险机器•Topoffendersbydepartment,bypolicy阻止实时阻止•阻止•屏幕通知•用户反馈并行扫描1000个终端终端DLPpolicyTrueMatch™detectionOnlineandofflineScalable终端发现和阻止功能1414•全面的协议防护，包括SMTP,HTTP/S,andFTP•可选的邮件路由和加密•与Web2.0websites和应用无缝交互•MTAandWebProxy集成（MTA:SMTP标准）•全面协议监控，包括email,web,IM,FTP,PTP,和通常的TCP•基于签名的协议识别（不根据文件类型）•自动的sender/manager通知•识别错误，再教育员工•更新中断的业务流程（其他的数据安全管理方式都会中断业务流程）监控阻止网络BroadprotocolcoverageTrueMatch™detectionIntegratedreporting网络监控和保护15存储数据发现和防护功能•扫描覆盖–“FindIt”–Fileservers–Documentandemailrepositories–Webcontentandapplications–Databases•扫描管理–“FindItFast”–Scheduledscanning–Incrementalscanning–Scheduledscanwindowcontrol–Scanthrottling•修复–“FixIt”–Incidentmatchcount–Filedetails(date,owner)–Accesscontroldetails–Automatedprotection:copy,move,encrypt,quarantine,etc.15*GenericSQLscannercanbereconfiguredtoscananystandardSQLdatabaseUNIXviaNFSLocalWindowsWindowsviaCIFS文件服务器NovellNASFilersLocalUNIX(Linux,AIX,andSolaris)LotusNotesDocumentumSharePointMicrosoftExchangeLiveLinkIntranetExtranetCorporateWebSitesCustomApplicationsMicrosoftIBMDB2OracleSybaseScanTarget文档仓库和邮件网站和应用数据库•通知•给发件人/Manager/安全管理员发送邮件通知•屏幕弹出框•替换成通知文件MarkerFile•发送Syslog通知•阻止•SMTP,HTTP/S,FTP,IM,USB/CD/DVD,Print/fax,Copy/paste•修改•Forconditionalencryption•移走文件Relocateorcopyfile•2种主要的检测方法1.描述数据(DCM)•Keywords,dataidentifiers,regularexpressions,filetype2.指纹数据•结构化数据(EDM)•非结构化数据(IDM)•匹配次数门槛•And/or/if逻辑,包括例外检测规则响应规则策略配置DLP策略配置•Buildfromscratchor60+policytemplates•ResideinEnforcePlatformanddetectionservers全中文的管理界面PresentationIdentifierGoesHere17DLP应用场景演示18几种泄密场景举例•邮件发送（网络监控/阻止）•开放共享（存储发现/保护）•USB拷贝（终端发现/阻止）网络监控/阻止实现过程EncryptionGatewayEmailServerVontuEnforceVontuPreventInternetMTAIncidenteMaileMailNotification2122存储发现/保护实现过程SCANVontuEnforceVontuDiscover/ProtectQuarantineServerFileServerPointerProcessExtractedContentIncident232425终端发现/阻止实现过程VontuEnforceVontuEndpointVontuEndpointPreventIncidentNotification262728Thankyou!Copyright©2010SymantecCorporation.Allrightsreserved.SymantecandtheSymantecLogoaretrademarksorregisteredtrademarksofSymantecCorporationoritsaffiliatesintheU.S.andothercountries.Othernamesmaybetrademarksoftheirrespectiveowners.Thisdocumentisprovidedforinformationalpurposesonlyandisnotintendedasadvertising.Allwarrantiesrelatingtotheinformationinthisdocument,eitherexpressorimplied,aredisclaimedtothemaximumextentallowedbylaw.Theinformationinthisdocumentissubjecttochangewithoutnotice.29