©2013Websense,Inc.Page1TRITONSTOPSMORETHREATS.WECANPROVEIT.WEBSENSEDATASECURITYSOLUTIONS©2013Websense,Inc.Page2演讲主题•企业为何需要数据防泄漏……•数据防泄漏项目需要涵盖的三个方面•Websense数据防泄漏解决方案特点•Websense数据防泄漏项目成功案例•数据防泄漏项目成功要素©2013Websense,Inc.Page3TRITONSTOPSMORETHREATS.WECANPROVEIT.企业为何需要数据防泄漏…©2013Websense,Inc.Page4企业面临数据安全风险的压力•企业内部监管:–目前多数企业缺乏针对数据泄漏的有效管理/技术手段,增加了数据泄漏的风险;–内部人员及第三方人员有意/无意的操作可能导致企业敏感数据的泄漏。•外部法律及合规要求:–银监会、保监会等监管机构日益提高对数据安全的重视程度,不断强调增强数据安全性且安全要求渐趋细化;–其他法律法规,如PCIDSS、HIPAA法案等,均对敏感客户信息的保护提出要求。•数据泄漏风险:–随着IT技术的发展,数据传输渠道不断增加,造成数据泄漏的途径日益增多;–大量数据泄漏给企业造成严重的负面影响,不能安全的提供客户服务,进而使企业声誉受损。©2013Websense,Inc.Page5以集中策略为基础,采用深层内容分析,对静态数据,传输中的数据及使用中的数据进行识别,监控,保护的相关机制。RichMogull–数据泄露防护准确定义©2013Websense,Inc.Page6数据泄露防护覆盖重要的三个数据生命周期数据定义/生成数据存储数据应用数据传输数据备份和归档数据销毁数据发现数据分类数据存储加密数据脱敏数据维护安全数据防泄漏数据归档数据备份数据传输加密数据销毁©2013Websense,Inc.Page71、员工行为可视化3、行业规范可落地4、安全事件可追溯•可以清晰了解员工日常工作中对于敏感数据操作行为;并结合企业对于数据安全的管理要求加以监督,从而达到提高员工安全意识,强化员工操作规范等目的•随着竞争压力的不断提高以及客户的法律意识不断加强,各监管机构也出台了与信息安全特别是敏感数据保护相关的各种合规要求,因此需要通过相应的技术手段来将合规落地•对于出现的违规事件可以完整记录,并在必要时加以追溯,同时记录的事件可确保其完整性、防篡改性及不可抵赖性,以满足审计部门的要求2、策略部署一体化•可以通过完整的数据防泄漏技术手段将企业数据安全管理制度及流程加以实现,并可以覆盖到各种应用场景,确保建立完整的数据防泄漏体系;数据防泄漏对于客户的价值2“化”+2“可”©2013Websense,Inc.Page8TRITONSTOPSMORETHREATS.WECANPROVEIT.数据防泄漏项目涵盖的三个方面©2013Websense,Inc.Page9数据防泄漏项目需要覆盖:组织、制度、技术组织保障•自上而下梳理并定义管理层、业务部门、实施部门、合规监控及审计部门等的相关职责;•从组织上推动数据防泄漏管控的实施。制度保障•建立或完善数据防泄漏总体策略、数据防泄漏管理办法、数据防泄漏明细策略(面向数据)及具体的操作流程;•从制度体系上支撑数据防泄漏工作技术保障•采用成熟、专业的数据库防泄漏技术平台,落实管理层认可的详细策略,通过平台实现数据外泄行为的记录、告警及阻断;•从技术上实现数据防泄漏目标形成体系化的、可持续优化的数据防泄漏管理机制©2013Websense,Inc.Page10数据防泄漏整体解决方案–组织保障工程实施的项目管理牵头DLP系统运维提供技术支持培训提供相应监控分析和违规报告实施团队组织细化策略制定向各部室提出具体的工作要求对防泄漏工作落实后的数据安全情况进行评估负责检查评价各部门在各项信息安全管理过程中的进展情况内审部门风险合规部门数据保密相关部门信息科技部信息安全管理岗在总部,分支公司逐步设立承担基本的违规事件检查、放行、报告、联系人职能©2013Websense,Inc.Page11数据防泄漏整体解决方案–制度保障为支撑数据防泄漏管理机制,应建立结构化的制度体系,应包括:•管理层确定的数据防泄漏总体策略;•数据防泄漏管理办法:明确管理目标并定义人员职责;•数据防泄漏相关的操作流程:可包括策略变更管理流程、例外策略管理流程及配置优化管理流程等。©2013Websense,Inc.Page12识别•PII•银联卡号•PCI-DSS•SOX•客户数据•员工资料•敏感文件监控•网络•SMTP,HTTP,FTP•终端•Email,Web,USB,应用程序,打印•存储•数据库,邮件,文件共,Sharepoint平台保护•阻挡•隔离•加密•隔离并加密•通知告警•确认并辩护•补救与整治数据防泄漏整体解决方案–技术保障©2013Websense,Inc.Page13数据防泄漏-整体机制©2013Websense,Inc.Page14TRITONSTOPSMORETHREATS.WECANPROVEIT.Websense数据防泄漏系统特色©2013Websense,Inc.Page15Websense数据防泄漏解决方案覆盖范围使用中的数据•文件访问•剪切•复制•粘贴•打印•截屏动态数据•Web•Email•FTP•网络共享•移动存储介质•智能移动设备静态数据•终端•文件共享•SharePoint平台•数据库•Exchange邮件TRITON统一安全中心通用数据识别技术,策略框架和事件管理流程©2013Websense,Inc.Page16完整的数据识别技术WebsenseUserService实时用户ID分析•WebsenseWeb智能分析实时目的地和地理区域感知分析关键字/词典文件属性,正则表达式,模式匹配策略模版PreciseIDNLP自然语言处理PreciseID指纹©2013Websense,Inc.Page17出厂默认策略模版•超过1700策略规则并且仍在不断增长•内建数据类型及合规性模版•通过地区及行业过滤器,迅速找到相关策略模版行业最佳实践策略模板©2013Websense,Inc.Page18•上下文信息提供可操作的细节–数据被发至何地?什么网站类别?哪个国家?–谁发送的数据?•简化的事件管理–无需通过IP地址进行排序,查找网站等–授权非技术用户承担事件管理职责–帮助区分违规行为中的合法流程事件提供可操作的详细信息©2013Websense,Inc.Page19基于邮件的事件工作流程管理•来自RBS的灵感•电子邮件通知管理员并可以进行事件管理(在通知电子邮件中的链接)而无需登录UI•邮件通知现已包含管理员可采取的行动(通知邮件中的链接),管理员无需登录UI即可进行操作•当点击某个动作后,含有特定工作流程代码的新邮件将被打开并发送至系统邮箱©2013Websense,Inc.Page20TRITONSTOPSMORETHREATS.WECANPROVEIT.Websense数据防泄漏项目成功案例分析–某国有大型保险集团©2013Websense,Inc.Page21项目介绍数据防泄漏(DLP)核心诉求该保险公司在日常的运营中会使用海量的客户数据,考虑到源自外部监管机构的要求、同业竞争对手的压力,如何对公司的客户数据进行保护,防止客户信息外泄成为管理层的关注重点。数据防泄漏(DLP)价值体现该保险公司通过建立数据防泄漏的管理制度、完善技术管控手段,有效地对通过各种传输途径发送至公司外部的数据进行监控和管理,大大降低了公司客户数据泄漏的风险,既保障了公司的数据安全,又加强了对外部法律法规和监管机构要求的合规性©2013Websense,Inc.Page22数据保护分类分阶段部署财务数据精算数据投资交易数据战略数据员工数据IT数据合规与风险数据审计数据客户数据123456789第一阶段第二阶段第三阶段部署原则:循序渐进、按部就班©2013Websense,Inc.Page23部门统计和报告监控并通知违规者安全技术与支持平台实施推广推广/监控策略优化评估策略和违规频度建立相应的安全技术与支持平台建立和业务部门及员工的沟通和教育机制策略优化指定试点业务部门并分析详细需求试点实施部门统计和报告策略优化预防阻止创建例外定义和落实相应的人员和职责建立相应的规章制度和操作流程创建初始策略识别现状与关键保密信息现状分析和初始策略10008006004002000信息安全事件数量示例改变企业的行为改变员工的行为震撼式教育违规洞察部署数据防泄漏策略的整体解决方案–分步实现、持续改进©2013Websense,Inc.Page24管理流程制定©2013Websense,Inc.Page25TRITONSTOPSMORETHREATS.WECANPROVEIT.数据防泄漏项目成功要素©2013Websense,Inc.Page26以风险为导向找到亟需解决的问题•指导原则–决定资产–衡量影响–确认相应威胁–影响无法改变–关注降低可能性•降低发生率•缩短实现价值的时间风险=(影响x%可能性)影响可能性风险©2013Websense,Inc.Page27行为监控数据泄露渠道报表审计日志记录数据防泄漏(DLP)电子文档(doc、pdf、rar、xls、txt、图片等)数据库(Oracle、DB2、Informix)关键字定义正则表达式定义指纹采集数据保护对象传输/使用响应控制策略管理策略库策略匹配策略响应泄露渠道vInternet出口v公司邮件vVPNvUSBv打印&电子传真v移动设备vFTPv文件共享v等等AD域LDAP集中日志管理平台外部系统用户信息系统日志内容识别日志告警阻断数据发现数据分布扫描关键字正则表达式指纹终端符合性控制监控监控保护需求与策略方案设计技术选型实施和优化制定完整的项目计划©2013Websense,Inc.Page28数据防泄漏项目经验借鉴策略不贪多求全,先从最重要的客户数据保护开始先从1-2个部门开始初始阶段,优先选取3-5条监控策略,了解数据泄密的整体情况从最重要的数据保护开始不断的调整策略精准度,减少误报和事件处理工作量提供给相关部门和员工充分且有价值的信息,提升项目价值注重控制误报率定期生成数据泄漏统计分析报告和汇报制度,获得高层领导对执行策略的认同和支持单一部门无法牵头协调信息泄露防护的各项管理工作部门之间的协作和高层领导的认同©2013Websense,Inc.Page29TRITONSTOPSMORETHREATS.WECANPROVEIT.Websense数据防泄漏产品中国区成功案例©2013Websense,Inc.Page30©2013Websense,Inc.Page31