Symantec 年会内部稿件_8-防止数据外泄(DLP)的案例分享

赛门铁克DLP数据防泄密方案文档编号：创建日期：2009-02-12最后修改日期：2010-04-13版本号：1.0.0目录1.设计思路 (1)1.1.什么是数据防泄漏 (1)1.2.机密信息的划分标准 (1)1.2.1.基于权限 (1)1.2.2.基于内容 (2)1.3.全面的多层次防护 (2)1.3.1.IT基础架构安全防护 (2)1.3.2.数据防泄密 (2)1.3.3.安全管理 (3)1.4.首要解决大概率事件 (3)2.数据防泄露技术介绍 (4)2.1.概述 (4)2.2.产品功能模块介绍 (5)2.2.1.V ontu Enforce (5)2.2.2.V ontu Network Monitor (5)2.2.3.V ontu Network Prevent (5)2.2.4.V ontu Endpoint Prevent (5)2.2.5.V ontu Endpoint Discover (6)2.2.6.V ontu Network Discover (6)2.2.7.V ontu Network Protect (6)3.数据防泄漏技术实现 (6)3.1.定义企业机密信息：如何建立机密信息样本库 (7)3.1.1.结构化数据：精确数据匹配 (7)3.1.2.非结构化数据：索引文件匹配 (8)3.1.3.补充：描述内容匹配 (8)3.2.制定监视和防护策略 (9)3.3.部署监视防护策略，检测敏感数据 (9)3.3.1.网络DLP (10)3.3.1.1.V ontu Network Monitor 的工作原理 (10)3.3.1.2.V ontu Network Monitor 部署 (11)3.3.1.3.V ontu Network Prevent 的工作原理和部署 (11)3.3.1.3.1.V ontu Network Prevent for Email (12)3.3.1.3.2.V ontu Network Prevent for Web (12)3.3.2.端点DLP (13)3.3.2.1.端点DLP架构 (13)3.3.2.2.V ontu Endpoint Prevent 的工作原理 (14)3.3.2.3.V ontu Endpoint Discover (15)3.3.2.4.对网络和端点的影响 (16)3.3.2.4.1.端点影响 (16)3.3.2.4.2.网络影响 (16)3.3.2.5.防篡改和安全性 (17)3.3.3.存储DLP (17)3.3.3.1.V ontu Network Discover 的工作原理 (17)3.3.3.1.1.无代理 (18)3.3.3.1.2.基于扫描程序 (18)3.3.3.1.3.基于Windows 代理 (19)3.3.3.2.玩网络 (19)3.3.3.3.V ontu Network Protect 的工作原理 (19)3.3.3.4.V ontu Storage DLP 部署 (20)4.关于Gartner MQ (Magic Quadrant) (20)4.1.赛门铁克DLP评估（摘自2008年6月的Gartner报告） (21)4.2.什么是魔力象限(Magic Quadrant) (21)1.设计思路1.1.什么是数据防泄漏对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。

1. 引言数据泄密是当今信息时代面临的重大安全挑战之一。

随着互联网的普及和数据存储技术的发展，企业和个人都面临着数据泄露的风险。

为了保护机密信息的安全，各种数据防泄密方案被开发出来。

本文将介绍一种常见的数据防泄密方案：数据丢失预防（DLP）方案。

2. DLP概述DLP方案（Data Loss Prevention）是通过策略、技术和流程的组合来防止敏感数据在企业内部和外部泄露的一种安全控制方法。

DLP方案主要用于监测、识别、阻止和报告数据泄密事件，保护企业核心数据的安全。

3. DLP方案的基本原理DLP方案的基本原理是通过技术手段和管理策略来监测和阻止数据泄密的行为。

下面是DLP方案中常用的几种技术手段：3.1 数据分类和标记数据分类和标记是DLP方案的基础。

通过对企业数据进行分类和标记，可以明确不同级别的数据的敏感程度，并根据需要对这些敏感数据进行特殊处理，比如加密、限制访问权限等。

3.2 数据监测与识别数据监测与识别是DLP方案的核心功能。

通过监测企业内部和外部的网络通信流量和存储设备，识别敏感数据的流动和存储，及时发现数据泄密行为。

3.3 数据加密与访问控制数据加密与访问控制是DLP方案中保护敏感数据的重要手段。

通过加密敏感数据，即使数据泄露，也能够保证泄露的数据不可被直接访问。

同时，通过访问控制机制，限制只有授权的人员才能访问敏感数据，提高数据的安全性。

3.4 数据泄密事件的阻止和报告一旦发现数据泄密行为，DLP方案需要能够及时阻止泄密行为，并生成报告，以便后续进行溯源和取证。

阻止泄密行为可以通过技术手段或管理策略来实现。

4. DLP方案的实施步骤下面是DLP方案的实施步骤概述：4.1 制定政策和流程制定数据安全政策和防泄密流程是DLP方案的第一步。

政策和流程应该明确规定敏感数据的分类和标记规范、数据监测与识别的方法和工具、数据加密与访问控制的要求，以及数据泄密事件的处置和报告程序。

4.2 选择合适的技术方案根据企业的实际需求和预算限制，选择适合的DLP技术方案。

Symantec 终端数据防泄露DLP---解决方案2018.7.211 方案概述1.1 产品推荐Symantec Data Loss Prevention (下面简称DLP) 解决方案是业界第一个全面覆盖终端、网络和存储的数据防泄漏解决方案。

它集发现，监控和保护于一体，为机密数据的存储和使用提供管理。

无论是存储在网络的、还是不联网终端上的机密数据，DLP都可以发现它们，并且可以防止数据从存储、网关和终端处泄漏。

●发现: 发现机密数据存储在哪里，创建敏感数据的资产清单，帮助管理废弃数据清除。

●监控: 帮助理解机密数据是如何被使用的，无论用户是在企业网络还是在外网。

获得机密数据使用的企业全局视图。

●保护: 自动强制安全策略，主动式保护机密数据，防止其流失出企业。

●管理: 所有工作在一个统一的平台上完成。

如为整个企业制定统一的策略，修复和报告事件，执行高精度检查等。

通过部署DLP从而更好地保护客户信息、知识产权；更好地遵从法规；维护品牌和声誉。

1.2 竞争优势分析1.2.1 公司方面1.2.1.1全球最大的信息安全厂商和服务提供商赛门铁克公司（Nasdaq:上市公司，代号SYMC）成立于1982 年4 月，于1989年6月23日首次发行股票上市。

全球总部位于美国加利福尼亚州Cupertino，现已在40 多个国家设有分支机构，全球员工数量超过17,500 人。

赛门铁克有限公司（Symantec）是世界互联网安全技术和整体解决方案领域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。

赛门铁克是安全威胁防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。

为全球超过五千万用户提供综合性的互联网安全产品，方案和服务，包括大型企业，政府机构，教育机构，小型企业和个人。

98 %的“财富（Fortune） 100 公司”使用赛门铁克的安全方案。

诺顿品牌领先世界零售市场，在业界颇受赞誉。

Symantec 终端数据防泄露DLP---解决方案2018.7.211 方案概述1.1 产品推荐Symantec Data Loss Prevention (下面简称DLP) 解决方案是业界第一个全面覆盖终端、网络和存储的数据防泄漏解决方案。

它集发现，监控和保护于一体，为机密数据的存储和使用提供管理。

无论是存储在网络的、还是不联网终端上的机密数据，DLP都可以发现它们，并且可以防止数据从存储、网关和终端处泄漏。

●发现: 发现机密数据存储在哪里，创建敏感数据的资产清单，帮助管理废弃数据清除。

●监控: 帮助理解机密数据是如何被使用的，无论用户是在企业网络还是在外网。

获得机密数据使用的企业全局视图。

●保护: 自动强制安全策略，主动式保护机密数据，防止其流失出企业。

●管理: 所有工作在一个统一的平台上完成。

如为整个企业制定统一的策略，修复和报告事件，执行高精度检查等。

通过部署DLP从而更好地保护客户信息、知识产权；更好地遵从法规；维护品牌和声誉。

1.2 竞争优势分析1.2.1 公司方面1.2.1.1全球最大的信息安全厂商和服务提供商赛门铁克公司（Nasdaq:上市公司，代号SYMC）成立于1982 年4 月，于1989年6月23日首次发行股票上市。

全球总部位于美国加利福尼亚州Cupertino，现已在40 多个国家设有分支机构，全球员工数量超过17,500 人。

赛门铁克有限公司（Symantec）是世界互联网安全技术和整体解决方案领域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。

赛门铁克是安全威胁防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。

为全球超过五千万用户提供综合性的互联网安全产品，方案和服务，包括大型企业，政府机构，教育机构，小型企业和个人。

98 %的“财富（Fortune） 100 公司”使用赛门铁克的安全方案。

诺顿品牌领先世界零售市场，在业界颇受赞誉。

Symantec DLP Vontu 8数据丢失防护技术简介（DLP：Data Loss Prevent 数据丢失防护）Vontu 8 产品概述Vontu DLP 8 使企业能够保护客户数据、公司信息、知识产权及敏感或机密信息的安全，无论它们是通过电子邮件、web 邮件或其它因特网协议（网络DLP）退出网络，还是通过USB/CD/DVD 退出端点或保存在端点上（端点DLP），或者是保存在共享服务器和数据存储库中（存储DLP）。

Vontu DLP 8 软件套件包含Vontu Enforce 管理应用和六个产品：Vontu Network Monitor 和Vontu Network Prevent（网络DLP）、Vontu Endpoint Discover 和Vontu Endpoint Prevent（端点DLP）、以及Vontu Network Discover 和Vontu Network Protect（存储DLP）。

尽管所有这六个产品既可以作为独立的产品进行部署，也可以联合部署，但它们一般都通过Vontu Enforce 管理应用进行实施。

Vontu EnforceVontu Enforce 是所有Vontu 产品的中心管理应用，用于自动实施企业的数据安全策略。

在Vontu Enforce，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理。

Vontu Enforce 用通用的策略和报告来统一Vontu 产品套件。

单个数据丢失策略可以部署在所有Vontu 产品上，报告中包含统一的仪表板，可以将来自所有Vontu 产品的信息组合到用户界面的一个页面上。

Vontu Network MonitorVontu Network Monitor 安装在网络出口处，负责监视网络数据。

涉及的协议包括电子邮件（SMTP）、web（HTTP）、即时消息（IM）、文件传输（FTP）和通过任何端口的所有其它TCP 会话。

XXXX数据防泄漏解决方案目录第1章设计思路 (1)1.1什么是数据防泄漏 (1)1.2机密信息的划分标准 (1)1.3全面的多层次防护 (2)1.4首要解决大概率事件 (4)第2章数据防泄露技术介绍 (5)2.1概述 (5)2.2产品功能模块介绍 (5)第3章数据防泄漏技术实现 (8)3.1定义企业机密信息：如何建立机密信息样本库 (8)3.2制定监视和防护策略 (11)3.3部署监视防护策略，检测敏感数据 (12)3.3.1网络DLP (14)3.3.2端点DLP (18)3.3.3存储DLP (23)附录一：VONTU DLP支持的文件类型 (29)第1章设计思路1.1 什么是数据防泄漏对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。

无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。

在这些数据泄露情况中，大部分情况下都是员工在无意中泄露出去的，但还有一些则是由员工有意为之。

一个使用没有安全防护的笔记本电脑的移动办公人员，可能有意或无意地通过无线网络泄漏公司机密信息。

与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。

当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。

企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。

企业信息化目的是为了信息和数据的共享，而数据的生命周期中包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）三个基本的生命过程。

数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。

1.2 机密信息的划分标准显然，如果对企业内各种各样的海量数据全部进行同样级别的保护，等于没有任何保护。

赛门铁克平板电脑的数据泄露防护解决方案
佚名
【期刊名称】《个人电脑》
【年(卷),期】2011(17)12
【摘要】赛门铁克公司宣布，计划推出针对平板电脑的全新数据泄露防护解决方案（Symantec Data Loss Preventionfor Tablet），这是业界首个专门用于监控和保护平板电脑中敏感信息的全面数据泄露防护（DLP）解决方案。

【总页数】1页(P81-81)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.赛门铁克推出全新的入侵检测与防护解决方案 [J],
2.赛门铁克为LotusNotes／Domino数据库推出病毒防护综合解决方案 [J],
3.赛门铁克证券行业数据防泄露案例 [J],
4.数据丢失防护:无法回避的信息安全问题——访赛门铁克公司DLP解决方案全球高级主管Ken Kim [J], 李勇
5.赛门铁克推出数据丢失防护全新解决方案DLPv.10 [J], 陈冬雨
因版权原因，仅展示原文概要，查看原文内容请购买。

密级：商业秘密文档编号：XX集团数据防泄密解决方案技术建议书专供 XX集团2013年11月2013年11月4日尊敬的XX集团用户，您好！赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者，可帮助XX集团保护和管理信息。

我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案，从而帮助我们的客户提前预防新出现的威胁。

另外，我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险，从而帮助客户保护他们的基础架构、信息和交互。

赛门铁克致力于：与您携手合作，共同打造一个全面且可持续的解决方案，从而满足您的全部需求。

确保项目取得成功并最大程度地降低风险。

在部署后向 XX集团提供支持与建议，从而确保平稳运营和持续防护。

如果您在阅读完本产品技术方案后仍有疑问，请与我联系。

如果您在决策过程中需要赛门铁克的任何其他支持，也请尽管告诉我。

我期待着与您合作，并为这个重要项目的成功而尽力。

保密声明与用途本产品技术方案包含“保密信息”（如下定义）。

本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和（或）服务的相关。

本产品技术方案专向XX集团（以下简称“您”或“您的”）提供，因为赛门铁克认为“您”与赛门铁克公司（以下简称“赛门铁克”）达成交易。

赛门铁克努力确保本产品技术方案中包含的信息正确无误，对于此类信息中的任何错误或疏漏，赛门铁克不承担责任，并在此就任何准确性或其他方面的暗示保证提出免责。

“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识的任何“保密信息”。

赛门铁克有权就任意及所有客户协议的条款与条件进行协商。

“您”与赛门铁克之间有书面保密协议，但“您”阅读赛门铁克建议书即表明，在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内，包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息，无论书面还是口头形式（以下简称“保密信息”），“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。

DLP账户、角色设计上海云道信息技术股份有限公司目录1、角色 (2)1.1角色说明 (2)1.2角色设计 (3)1.3账户设计 (4)1.4角色设置 (4)1、角色1.1角色说明DLP系统常规角色，主要包括系统管理员、用户管理员、策略管理员、策略作者、事件响应人员。

实施案例中，通常设置系统管理员、用户管理员和事件响应人员。

角色权限说明：■系统管理员此角色提供对Enforce Server 管理控制台中的“系统”模块及相关菜单选项的访问权限。

此角色中的用户可以监控和管理Enforce Server 和检测服务器。

此角色中的用户还可以部署检测服务器和运行 Network Discover 扫描。

但是，此角色中的用户无法查看详细的事件信息或作者策略。

所有解决方案软件包都会创建具有系统管理员权限的“系统管理”角色。

■用户管理员该角色授予用户管理用户和角色的权限。

通常该角色不授予任何其他访问权限。

由于可能存在滥用权限的现象，因此，我们建议将此角色最多分配给组织中的两个人（主要和候选）。

■事件响应人员此角色提供对Enforce Server 管理控制台中的“事件”模块及相关菜单选项的访问权限。

此角色中的用户可以跟踪和补救事件。

企业通常至少具有两个事件响应人员角色，提供两层权限，分别是查看和响应事件。

■策略管理员此角色授予用户管理策略和响应规则的权限。

通常该角色不授予任何其他访问权限。

由于可能存在滥用权限的现象，因此，我们建议将此角色最多分配给组织中的两个人（主要和候选）。

■策略作者此角色提供对Enforce Server 管理控制台中的“策略”模块及相关菜单选项的访问权限。

该角色适合信息安全管理员跟踪事件并对风险趋势做出响应。

信息安全管理员可以创建新策略或修改现有策略，以防止数据丢失。

所有解决方案软件包都会创建具有策略创建权限的“信息安全管理员”(ISM) 角色。

1.2角色设计需根据XXX用户组制定标准设计1.3账户设计设置DLP用户对应相应权限的角色。

McAfee终端数据丢失防护解决方案功能介绍版本历史目录一、前言 (3)二、方案介绍 (3)2.1、数据泄漏的渠道广泛 (3)2.2、McAfee的数据防泄漏（DLP）解决方案 (3)三、保护策略介绍 (5)3.1、ePolicy Orchestrator 4.5 控制台中的Host DLP 策略管理器 (5)3.2、定义保护目标 (6)●外接设备控制 (6)●基于位置的保护 (7)●基于应用程序的保护 (8)●基于内容的保护 (8)●基于注册文档指纹的保护 (9)3.3、保护行为定义及举例 (10)●外设控制 (10)●可移动存储保护规则 (11)●WEB发布保护规则 (12)●打印保护规则 (13)●电子邮件发送保护规则 (14)●PDF/图像转换器保护规则 (15)●屏幕捕捉保护规则 (15)●剪贴板保护规则 (16)●文件系统保护规则 (16)●网络通信保护规则 (17)3.4、策略分配 (18)●基于用户分配 (18)●基于计算机分配 (18)3.5、审计报告过滤 (19)一、前言为了让您更好的认识企业数据保护的重要性，以及如何保护企业核心数据，避免数据泄漏事件的发生，本文档将对McAfee终端数据防泄密解决方案进行举例介绍，希望可以借助本文档让您借助McAfee寻找到适合于您企业的数据保护方法。

二、方案介绍2.1、数据泄漏的渠道广泛无论是黑客攻击，还是内部人员故意泄漏，数据泄漏的途径由以下三个途径组成：1、物理途径——从桌面计算机、便携式计算机和服务器拷贝数据到USB，光驱和移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机外发。

功能介绍2、网络途径——通过局域网、无限网络、FTP、HTTP发送数据，这种方式可以是黑客攻击“穿透”计算机造成，也可能是内部员工有意或无意从计算机上外发，造成泄密。

3、应用途径——通过电子邮件、IM即时、屏幕拷贝，P2P应用或者“间谍程序”窃取信息。