您的位置:360文档中心› 赛门铁克DLP数据防泄密方案2010

赛门铁克DLP数据防泄密方案2010

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

赛门铁克DLP数据防泄密方案

文档编号:

创建日期:2009-02-12

最后修改日期:2010-04-13

版本号:1.0.0

目录

1.设计思路 (1)

1.1.什么是数据防泄漏 (1)

1.2.机密信息的划分标准 (1)

1.2.1.基于权限 (1)

1.2.2.基于内容 (2)

1.3.全面的多层次防护 (2)

1.3.1.IT基础架构安全防护 (2)

1.3.2.数据防泄密 (2)

1.3.3.安全管理 (3)

1.4.首要解决大概率事件 (3)

2.数据防泄露技术介绍 (4)

2.1.概述 (4)

2.2.产品功能模块介绍 (5)

2.2.1.V ontu Enforce (5)

2.2.2.V ontu Network Monitor (5)

2.2.3.V ontu Network Prevent (5)

2.2.4.V ontu Endpoint Prevent (5)

2.2.5.V ontu Endpoint Discover (6)

2.2.6.V ontu Network Discover (6)

2.2.7.V ontu Network Protect (6)

3.数据防泄漏技术实现 (6)

3.1.定义企业机密信息:如何建立机密信息样本库 (7)

3.1.1.结构化数据:精确数据匹配 (7)

3.1.2.非结构化数据:索引文件匹配 (8)

3.1.3.补充:描述内容匹配 (8)

3.2.制定监视和防护策略 (9)

3.3.部署监视防护策略,检测敏感数据 (9)

3.3.1.网络DLP (10)

3.3.1.1.V ontu Network Monitor 的工作原理 (10)

3.3.1.2.V ontu Network Monitor 部署 (11)

3.3.1.3.V ontu Network Prevent 的工作原理和部署 (11)

3.3.1.3.1.V ontu Network Prevent for Email (12)

3.3.1.3.2.V ontu Network Prevent for Web (12)

3.3.2.端点DLP (13)

3.3.2.1.端点DLP架构 (13)

3.3.2.2.V ontu Endpoint Prevent 的工作原理 (14)

3.3.2.3.V ontu Endpoint Discover (15)

3.3.2.4.对网络和端点的影响 (16)

3.3.2.4.1.端点影响 (16)

3.3.2.4.2.网络影响 (16)

3.3.2.5.防篡改和安全性 (17)

3.3.3.存储DLP (17)

3.3.3.1.V ontu Network Discover 的工作原理 (17)

3.3.3.1.1.无代理 (18)

3.3.3.1.2.基于扫描程序 (18)

3.3.3.1.3.基于Windows 代理 (19)

3.3.3.2.玩网络 (19)

3.3.3.3.V ontu Network Protect 的工作原理 (19)

3.3.3.4.V ontu Storage DLP 部署 (20)

4.关于Gartner MQ (Magic Quadrant) (20)

4.1.赛门铁克DLP评估(摘自2008年6月的Gartner报告) (21)

4.2.什么是魔力象限(Magic Quadrant) (21)

1.设计思路

1.1.什么是数据防泄漏

对企业而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时,来自内部的数据泄露或许是一个更需要重视的问题。无论企业处于何种规模,都存在数据泄密的风险,而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中,大部分情况下都是员工在无意中泄露出去的,但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员,可能有意或无意地通过无线网络泄漏公司机密信息。与此同时,大量支持USB连接的设备不断涌现,也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。当发生数据泄密时,在安全专家忙于恢复敏感数据和修补泄密漏洞期间,企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中:当原来的泄密漏洞刚刚得到控制,新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。

企业信息化目的是为了信息和数据的共享,而数据的生命周期中包括存储(生成数据的服务器和存储设备)、使用(数据的使用者对数据进行操作)和传输(数据从一个地点传送到到另外一个地点)三个基本的生命过程。

数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。

1.2.机密信息的划分标准

显然,如果对企业内各种各样的海量数据全部进行同样级别的保护,等于没有任何保护。因此数据防泄漏的一个基本点是确定信息的机密性分类。对于可以完全对外公开的数据,不需要任何的信息防泄漏防护措施;对于关系到企业生存、发展、声誉的重要数据,应当严格控制其存储位置,使用方式和传输方式。

如何对信息进行机密性的分类呢?最根本思想的是依据信息的内容来判断其机密性级别。信息的所有者(如业务人员)可以根据个人或者企业的相关规范理解自己创建的信息内容的机密性级别。至于如何操作,实现方式包括以下两种:

1.2.1.基于权限

信息所有者对信息载体(数据库或者文件)进行权限设定,即什么样的人可以访问什么样的信息。这是一种最直观的信息保护模型,但是其实践和操作具有很大的局限性。首先,被保护的对象不是数据的内容,而是数据的载体,因此一旦载体发生变化,原有的权限设定和控制就失去效力。比如,从数据库查询到信息存成文件格式,则对数据库表的权限设置即失去意义。另外,当把文件中的某些关键信息拷贝粘贴到其他文档,或者转换成其他格式,对于原有文件的权限设定也同样失去防护意义。其次,权限设定在操作中将极大地影响现有的工作流程管理和用户使用习惯。显然,越大型的网络环境复杂度将呈现指数型上升,这也是基于数字权限的防护技术一直不能在市场上大规模应用的主要原因。特别是对于非结构数据,如文件,设想一下,

相关文档
最新文档