虹安DLP4.0数据泄露整体解决方案

虹安DLP4.0数据泄露防护系统整体解决方案公司名称：深圳市虹安信息技术有限公司公司地址：深圳市南山区高新南一道赋安科技大厦B座308邮政编码：518057公司网址：联系电话：+86(0755)86315156传真：+86(0755)26413060虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第2页/共33页目录1.背景概述......................................................42.应用现状......................................................43.DLP4.0方案....................................................53.1.安全概述................................................53.2.数据风险................................................63.3.DLP4.0解决思想..........................................93.4.DLP4.0系统安全架构.....................................123.5.DLP4.0解决效果.........................................133.6.DLP4.0解决方式.........................................133.6.1.基于PKI/CA体系的身份鉴别........................133.6.2.数据透明加密保护.................................143.6.3.构建数据安全区域.................................143.6.4.灵活人员访问权限.................................143.6.5.全面外设管控.....................................153.6.5.1.移动存储U口管控...........................153.6.5.2.外设及端口管控.............................163.6.6.文件发送管理.....................................163.6.7.文件外发控制.....................................183.6.8.安全日志审计.....................................193.6.9.数据备份恢复.....................................193.7.DLP4.0应用部署方案.....................................193.7.1.工作方式.........................................193.7.2.部署方式.........................................213.7.2.1.内部部署方式...............................213.7.2.2.外部部署方式...............................223.7.3.实施步骤.........................................22虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第3页/共33页3.8.方案特色...............................................233.9.方案价值...............................................243.10.系统安全性............................................263.11.运行环境..............................................284.供应商简介...................................................294.1.关于虹安...............................................294.2.技术和服务.............................................294.2.1.售后服务.........................................294.2.2.培训服务.........................................304.3.产品资质...............................................31虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第4页/共33页1.背景概述当前，企业内部的安全性要求仍然主要集中在系统安全性以及防病毒和黑客入侵等方面的网络安全性。对于传统PC终端而言，由于每台机器都有本地存储和网络功能，数据安全的短板效应无法避免，安全维护的成本也居高不下，而且效果往往不尽人意。因此需要在对现有应用业务模式不影响的情况下，能够对数据进行全面而有效的安全防护。现代企业规模庞大、分公司及分支机构繁多而且分布广泛，需要大量的业务数据信息作为支撑。企业信息化的飞速发展使得企业各部门之间能够迅速地获取、传递、处理和利用各自所需的信息，提高办公效率，节省办公费用，使管理者能实时、动态地了解到本单位各种资源的实施情况。但是由于业务上的需要，企业需要开放移动存储设备、计算机外设和网络的资源，企业部署的传统网络或者系统安全设备和系统已经不能够很好好适应信息安全形势的新变化。首先，为企业用户提供正常办公及处理内部业务使得文档交流传输过程难以安全可控，文档脱离内部管理平台容易造成文件的扩散和外泄。其次，内部终端用户的文档操作行为管理也不规范。最后，企业内部移动存储设备可以随意在任意物理终端计算机上使用，容易感染病毒和泄密；移动存储介质丢失后，极易导致敏感数据泄密。为提高企业内部数据协同和高效运作，实现内部办公文档交流过程安全可控，实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。对于内部文档使用范围、文档流转等进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。既防止文档外泄和扩散，又支持内部知识积累和文件共享的目的。另外，数据安全的同时更加注重用户操作体验的感受。2.应用现状根据企业信息化的业务应用需求，企业每个员工的业务操作方式主要集中在终端之上，但也会从OA应用系统、文件服务器或者邮件系统等应用服务系统中浏览数据或者下载文档，存在如下主要几个方面的数据安全隐患以及操作体验要求，如下图所示。1）、员工可以通过物理终端的U口以及各种外设端口将数据泄露出去，例如，通过U盘等移动存储以及打印机设备，可轻松进行数据的拷贝；2）、员工通过网络的形式将数据泄露出去，例如，通过邮件方式、IM即时通讯工具以及各种网络工作传送数据至外部。虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第5页/共33页3)、由于业务共享协作需要，外发出去的数据在安全保护的前提下，不影响正常使用；4）、企业内部人员之间的数据交互需要保持安全和流畅；5）、企业内部人员与外部客户之间的数据交互需要保持安全和流畅；6）、企业内部人员业务外出、在家办公等场景的数据交互安全和流畅；7）、分支机构、移动出差人员需要进行内部文件的方便快捷的审批。InternetInternet内部终端接入安全文控人员普通员工部门经理文控人员普通员工部门经理移动办公业务外出邮件服务器文件服务器域控服务器VPN连接临时人员协作厂商外部终端接入安全文件外发安全控制OA系统终端接入安全工艺设计部门生产制造部门分支机构网络黑客非法接入安全控制应用系统安全服务数据离线外发安全内部终端接入安全晚上加班效果演示普通员工部门经理行政财务部门文控人员企业内部文件交互流转分公司办事处移动出差人员外部终端接入安全U盘打印机U盘打印机U盘打印机图1、企业数据安全业务应用现状3.DLP4.0方案3.1.安全概述科技和商业飞速发展，企业机密数据和内部敏感信息的安全越来越重要，一旦这些信息和数据被泄密，企业往往会蒙受巨大的经济损失。随着信息技术的进步，计算机和网络已成为日常办公、通信交流和协作互动的必备工具。但信息技术提高人们工作效率的同时，也对信息安全防范提出了更高的要求。目前大多数用户对办公网络的安全防范方式，仍然停留在采用防火墙、入侵检测、防病毒等被动防护阶段。在过去一年中，全球98.2％的计算机用户使用杀毒软件，90.7％设有防火墙，75.1％使用反间谍程序的软件；有83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件，79.5％遭虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第6页/共33页遇过至少一次间谍程序攻击事件。而国家计算机信息安全测评中心数据显示：机密资料通过网络泄漏造成损失的单位中，其中被黑客窃取和被内部员工泄漏，两者的比例为：1：99。这是来自于国家计算机信息安全测评中心的一个数据，该调查显示，互联网接入单位由于内部机密通过网络泄漏而造成重大损失的事件中，只有1%是被黑客窃取的，另外的99%全部是由于内部员工有意或无意的泄密行为所导致。在外设管理方面，有50%的企业因USB使用不当而丢失数据。用户可以随意接入各类外设和移动存储设备，带走内部资料。如：U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机……这些外围设备容量越来越大，但体积越来越小，无疑提高了效率，给工作带来便捷。但在愉悦享受高科技产品带来的便利之时，也给信息安全带来严重威胁，让别有用心者有可乘之机。受利益驱使，可能会有内部员工直接参与盗取重要信息数据的行为，近年来，类似力拓“间谍门”的泄密事件时有发生。近年来，数据安全保护模式正悄然发生变化，由传统PC终端的系统或者网络安全防护逐渐面向以数据为中心的安全保护模式，如何防范内部泄密事件，安心享用现代科技的便捷？如何保护好企业的智力资产，保持市场信息优势呢？是摆在每一个信息化企业面前重要而紧迫的课题。3.2.数据风险根据国际权威机构Garnter调查数据表明，97%的泄漏事件源自企业内部：人员流失，以及任何有意或无意的操作行为，或管理疏漏，都有可能对企业造成巨大的经济损失。目前，基于企业内部现存网络流通的一系列文档，如果这类文档外泄、扩散、丢失，很有可能造成竞争对手先于市场得到企业的产品机密或者商业秘密，导致不可估量的损失。根据对企业现有数据业务应用模式，来自企业内部的安全威胁和风险主要有以下几类：数据泄密通道风险-U盘等移动存储设备以及打印机等外部设备序号数据风险类型数据风险描述说明1U盘等移动存储设备丢失/被盗据统计，高达80%以上的企业发生过U盘丢失。若内部人员随意拷贝文件必将导致内部机密文件泄密。2U盘等移动存储设备的交叉使用“轮渡”木马病毒对于U盘等移动存储介质的交叉感染危害非常严重。虹安DLP数据泄露防护整体解决方案深圳市虹安信息技术有限公司版权所有©2012内部资料,注意保密第7页/共33页3使用外部U盘等移动存储设备对USB端口没有集中管理，导致外部U盘也可以在内网使用，无疑存在着较大的泄密隐患。4外部人员恶意拷贝敏感信息同样是由于对USB端口没有集中管理的原因，