企业业务数据防泄露方案

内部网络
内部应用系统
精选ppt
11
业务数据如何被泄露
结构化数据 转换
非结构化数据
1.便携存储
• U盘、移动硬盘、光盘、闪存卡、软盘等
2.终端数据传输端口 3.网络应用程序 4.传输中被截获
• 多网卡、USB端口、红外、火线、串/并口、 Modem、PCMCIA卡等
• 共享文件,网络应用程序（FTP，P2P，IM……） • 公司/个人电子邮件等
2021/3/1
联软科技全国行业与区域合作伙伴
精选ppt
38
部分行业客户名录
证券
基金 保险 银行
精选ppt
39
部分行业客户名录
电信
政府
甘肃省政府 山东省地方税务局
能源
军工
制造
精选ppt
40
案例介绍：XX省地方税务局
精选ppt
41
此课件下载可自行编辑修改，供参考！ 感谢您的支持，我们努力做得更好！
• 经授权导出的数据采取密文的方式保存，防止数据二 次泄露
精选ppt
27
网络访问控制（NAC）总体流程
终端接入
➢自动发现网络上的所有终端 ➢发现哪些终端安装了Agent ➢哪些没有安装Agent
• 隔离
无Agent • 指引安装Agent
有Agent
• 验证使用者身份 • 检查终端状态
• 是否为合法终端 • 安全状态检查
立项报告
促销计划
非结构化数据 设计图纸
财务报表
精选ppt
8
数据泄露风险如何评估
机密数据位于何处 机密数据如何流转 机密数据如何被泄露
CONFIDENTIAL
CONFIDENTIAL
CONFIDENTIAL
精选ppt
9
业务数据存放位置及形式
存储中的数据
传输中的数据
使用中的数据
•Windows file shares •Unix file shares •NAS / SAN storage •Windows 2000, 2003, 2008 / Windows XP, Win 7 •Oracle •SQL Server •CMS •SharePoint
精选ppt
23
完美的数据防泄露解决方案
精选ppt
24
内容纲要
企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软业务数据防泄露解决方案 联软科技介绍
精选ppt
26
业务数据防泄露解决方案核心
• 通过NAC（网络访问控制）技术，确保只有受控计算 机和认证人员才能够接入企业的业务网络
• 通过AAC（应用访问控制）技术，确保只有受控计算 机程全面受控
深圳市联软科技有限公司 2012/1/12
内容纲要
企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联软科技介绍
精选ppt
2
数据泄露事件日益增多
数据泄露的背后往往是巨大的商业和政治利益 下一个会是 ？
精选ppt
3
InsightExpress 2008年的调研数据
2%
0%
0%
2%
2%
0%
1%
2%
0%
以上都不是 89% 96% 85% 93% 79% 93% 87% 82% 96% 84% 94%
精选ppt
6
数据泄露风险
安全策略
政策法规 业务需求 预算资金
精选ppt
7
业务系统中数据的分类
客户名单
财务报表
信用卡号
工资表
结消费记构录 化数账据单
配置信息
投标文件
发现
2
监控
3
保护
4
• 确定所要扫描的目标
• 在网络或终端上扫描敏感信 息
1
• 制订安全策略
• 监控发送的数据 • 监控网络或终端上的事件
MANAGE 管理
5
• 阻断，删除 • 隔离、复制 • 提示、告警
• 审计
精选ppt
15
DLP方案的优缺点
• DLP的方法
– 通过深度内容分析，按照统一安全策略，识别、监控和保 护静态存储的数据、使用中或传输中的数据
• DLP的优点
– 保护内容比较广 – 部署较简单
• DLP的缺点
– 无法阻止主动式泄密 – 不适用多通道的网络环境（例如个人接入的3G网卡） – 对硬件要求高（否则无法进行深度分析） – 对外发的密文无法管控
精选ppt
16
DRM方案的实现方式
创建
2
传送
3
接收
4
• 文档作者创建文档 • 加密、设置权限
精选ppt
35
内容纲要
企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联软科技介绍
精选ppt
36
公司概况
• 2003年成立，总部位于深圳 • 联软科技是全球领先的网络安全软件厂商。我们专注于基于IT服务管
理(ITSM)的信息安全产品和解决方案的设计与开发，是为数不多的通 过自主研发实现技术领先国外同类产品的中国企业 • 联软科技一直专注于自有品牌产品LeagView的研发、销售、服务和品 牌建设
情景
TOTAL US BRA UK FRA DEU ITA CHN JPN IND AUS
知道有人访问 过非授权资料
6%
3%
7%
4% 14% 4%
3%
8%
0% 10% 6%
比较而言，中国的数据泄露问题比较严 本人访问过
非授权资料
5%
1%
7%
3% 12% 2%
5% 11% 1%
4%
重！ 知道有人偷取
0%
20
EFS方案的优缺点
• 加密的方法
– 文件、文件夹、磁盘加密
• EFS的优点
– 操作简单，易普及 – 即使存储设备丢失，也不用担心信息泄露
• EFS的缺点
– 无法防止用户主动泄密 – 密钥管理
• 密钥如何存储 • 密钥丢失后如何恢复加密文件
精选ppt
21
数据库审计方案
数据库服务器
审计引擎 端口镜像
有内部员工可以
打开
内部员工可以打 开该文档
“marketing.docx”
非法用户得到该 文档后不能打开
精选ppt
18
DRM方案的优缺点
• DRM的方法
– 在文件中标记权限 – 需要额外的身份认证、权限管理、日志审计等技术
• DRM的优点
– 能够防范用户的主动式泄密和二次泄密 – 便于理解
• DRM的缺点
摄拍记忆转换12精选课件内容纲要企业面临的数据泄露安全风险如何选择适合自身的数据防泄露方案联软数据防泄露解决方案联软科技介绍13精选课件主要的数据防泄露方案datalosspreventdatarightmanagementencryptingfilesystemdrivedbaudit方案dbaudit14精选课件dlp方案的实现方式manage管理发现审计监控112233保护4455提示告警15精选课件dlp方案的优缺点通过深度内容分析按照统一安全策略识别监控和保护静态存储的数据使用中或传输中的数据对外发的密文无法管控16精选课件drm方案的实现方式manage管理创建审计传送112233接收4455通过邮件或其他方式发送给接收者下载到本地打开17精选课件微软rms方案的工作流程非法用户得到该文档后不能打开55内部员工可以打开该文档marketingdocx4433rms将该文档保护并限制为只有内部员工可以打开文件分类架构表标识该文档为22用户创建office文marketingdocx1118精选课件drm方案的优缺点权限管理19精选课件efs加密文件系统4433用户选择加密文22用户创建office文marketingdocx11用户可以打开该文档marketingdocx非法用户得到该文档后不能打开20精选课件efs方案的优缺点密钥丢失后如何恢复加密文件21精选课件数据库审计方案数据库服务器审计引擎端口镜像审计控制22精选课件数据库审计方案的优缺点数据库自带的审计功能会耗费大量的资源第三方的审计软件通常存在审计不全的问题23精选课件完美的数据防泄露解决方案24精选课件选择一个最适合的方案多种因素的平衡25精选课件内容纲要企业面临的数据泄露安全风险如何选择适合自身的数据防泄露方案联软业务数据防泄露解决方案联软科技介绍26精选课件业务数据防泄露解决方案核心通过nac网络访问控制技术确保只有受控计算机和认证人员才能够接入企业的业务网络通过aac应用访问控制技术确保只有受控计算机上的受控程序才能连接服务器和接收来自服务器的数据并且数据的导出和下载过程全面受控经授权导出的数据采取密文的方式保存防止数据二次泄露27精选课件网络访问控制nac总体流程无agent?隔离?指引安装agent有agent?验证使用者身份?检查终端状态?是否为合法终端?安全状态检查正常接入?资产管理终端安全管理?行为审计上网行为文件操作行为
2021/3/1
精选ppt
37
机构设置
联软科技
深圳总部
• 总裁办 • 销售部 • 市场渠道部 • 战略事业部 • 人力资源部 • 财务部 • 研发部 • 技术支持部
华北大区
• 营销中心 • 技术服务中
心 • 北京市联软
基业 • 济南办事处 • 石家庄办事
处 • 沈阳办事处
华东大区
• 营销中心 • 技术服务中
受控进程 • 无法将应用系统中的数据保存在本地
合规导出
• 满足导出条件的用户可以导出应用系统中 的数据
• 导出的数据可以强制加密
进程可控
管理目标 资源访问可控
数据可控
精选ppt
30
未采用AAC的数据传输方式
终端
1. 客户端软件访问 应用系统数据
应用系统
客 户 端
2. 应用系统应答， 数据返回给客户端
审计控制
精选ppt
22
数据库审计方案的优缺点
• 数据库审计的内容
– 可以跟踪数据库管理员的全部详细操作
• 数据库审计的优点
– 可以追溯事件原因 – 技术较简单、易部署
• 数据库审计的缺点
– 只是一种威慑，不能确保阻止泄露行为 – 数据库自带的审计功能会耗费大量的资源，第三方
的审计软件通常存在审计不全的问题
• 资产管理、终端安全管理
• 行为审计（上网行为、文件操作行为、即 时通信行为）
正常接入 • 终端数据防泄露
管理目标 不漏一终端 不漏一端口 不漏一策略 不漏一数据
精选ppt
28
网络访问控制技术示意图
访客区
工作区
修复区
＋
建立终端接入管理机制
➢ 注册登记 ➢ 接入检查 ➢ 安全隔离 ➢ 安全通知 ➢ 安全修复
精选ppt
13
主要的数据防泄露方案
• DLP方案
– Data Loss Prevent
• DRM方案
– Data Right Management
• EFS方案
– Encrypting File System/Drive
• DB Audit方案
– DB Audit
精选ppt
14
DLP方案的实现方式
3）出口位置通常能够固定
外部系统
VPN
网络外设
网络的特点：
ROUTER
1）覆盖面广，信息量大 智能2终）端信息以比特流的方式呈现，人不可阅读
3）有专用工具可以截获网络上信息
WLAN
业务系统 内部应用系统的特点：
1）设备位置相对固定
2）管理人员相对固定 3）比较容易通过管理规范O、A系制统度等约束
终端外设
含公司资料的 3% 1% 3% 2% 4% 2% 8% 3% 0% 6% 0%
设备
知道有人卖公
司数据外资 部料中给 国3%的数0% 据5%泄露1%更3多% 的3%是主1% 动5/% 内3部% 泄4% 1%
露！ 本人偷过
公司的设备
1%
0%
0%
0%
1%
0%
2%
0%
0%
3%
0%
本人卖过 公司的资料
1%
0%
不外合安来规全终终终端端端
认证服务器
外来终端无法接入
➢ 或自动进入访客区
身份＋安全状态+硬件ID
不安全的终端访问受限
➢ 只能访问指定的服务器和网络
精选ppt
29
应用访问控制（AAC）总体流程
终端访问应用系统
• 禁止访问业务系统
非受控进程
➢自动将应用访问控制策略下 发到受控终端
• 授权访问应用系统
精选ppt
10
数据泄露风险点
终端系统的特点： 1）数量多，操作人员复杂（岗位、部门、H级U别B ） 2）位置分散，多种接入方式 3）终端类型复杂：台式机、笔记本、打印机、扫描仪…. 4）数据泄露途径多，特别是网络泄露途径S不W可ITC统H计
个人电脑
外部系统的特点：
1）数量有限
应用系统
2）信息流有限
•SMTP email •Exchange, Lotus, etc. •Webmail •MSN Messenger •QQ •FTP •HTTP •HTTPS •TCP/IP
•Local printers •Network printers •Burn to CDs/DVDs •External hard drives •Memory sticks •Removable media •Copy to Network shares •Copy to external drives
• 明文方式的数据传输（例如HTTP、FTP等）
5.载体转换
• 打印、传真
6.非授权外联
• 3G, 蓝牙、Wi-Fi等
7.废弃物理载体
• 废弃硬盘、光盘、U盘、软盘、纸张等载体
8.摄拍、记忆
• 记忆、手工誊抄、屏幕拍照/摄像
精选ppt
12
内容纲要
企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联软科技介绍
– 无法防止作者泄密 – 需要改变用户的使用习惯 – 权限管理
精选ppt
19
EFS加密文件系统
1
2
3
4
用户创建office文 档
“marketing.docx”
c
用户选择加密文 档
”marketing.docx”
用户可以打开该 文档
“marketing.docx”
非法用户得到该 文档后不能打开
精选ppt
• 支持所有浏览器IE/Firefox/Chrome …
• C/S类型的支应持用几系乎统所有的应用
– SQL Plus, … (数据库客户端连接方式) – telnet/ftp/ssh, …(常用网络服务连接方式) – 远程文件共享, …(文件共享连接方式)
精选ppt
33
AAC控制过程示意
精选ppt
心 • 上海办事处 • 南京办事处 • 杭州办事处 • 合肥办事处
华南大区
• 营销中心 • 技术服务中
心 • 广州办事处 • 福州办事处 • 武汉办事处
西南大区
• 营销中心 • 技术服务中
心 • 成都办事处 • 重庆办事处 • 贵阳办事处 • 昆明办事处
西北大区
• 营销中心 • 技术服务中