数据防泄漏方案ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主动泄密 • 仅适用于笔记本或者少
量文件服务器
主流数据保护方法
DLP
(数据泄漏保护)
DRM
(数据权限保护)
Data 企业数据
Encryption
(加密)
Management
(管理)
.
6
一般原理
• DRM可以决定数据的访 问和使用方式,功能强 大
• 仅限于特定的文档类型 • 需要与企业应用紧密集
成,大量依靠人工参与 • 部署实施十分复杂并难
加密
密钥管理 自动加密 文档分级
针对个体的机密文档
.
10
10
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
11
11பைடு நூலகம்
数据全生命周期保护
方案
创建/获取
使用
销毁
传递
存 储 /备份
数据安全不仅是目的, 更是动态的过程!
.
12
数据一致性保护
方案
产生
存
备份与
获取
传输
使用
储
恢复
销毁
➢ 电子数据、纸质数据: • 数据密级保持一致 • 只能由预先定义的岗位角色才能阅读/创建/修改/传输/销毁 • 业务流程内的保护级别一致
不同数据源,不同载体,不同类别的数据。 缺点:不能对整个硬盘进行加密;不能解决非授权用户的数据外泄问题;不能解决内部恶意的数据外泄。
以文档透明加密和权限管理为核心,对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘 级的加密保护。
优点:实现企业内部敏感数据的统一管理,防止未授权使用、防篡改和防拷贝;可以实现动态透明加解密。 缺点:功能单一,无法实现全方位的数据保密;策略制定较为简单。
国外:以防止无意泄漏为目标。内容识别、审计是核心手段。
国内:以防止任何方式的泄漏为目标。文档加密是核心手段。
.
8
数据识别是保护的前提
一般原理
数据的两种形式 结构化数据:存储在数据库中,
包括智能卡、移动用户资料等关 键并且敏感的信息。 非结构化数据:主要存储在文件 服务器以及大量的工作终端。
数据保护的核心思路 定义企业的机密信息 制定对不同等级机密信息的监视和
I
存储、使用、传输过程中不会被非授 权篡改,防止授权用户或实体不恰当
地修改信息,保持信息内部和外部的
一致性。
秘密
保密性 (Confidentiality)
A
可用性(Availability)—— 确保授权 用户或实体对信息及资源的正常使用不
会被异常拒绝,允许其可靠而及时地访
完整性 (Integrity)
防护策略 部署策略监控阻断信息泄漏
.
9
数据保护建议流程
一般原理
抓大放小 先简后繁 拾漏补遗
DLP
网络
端点
存储
DRM
文档分类
文档授权
http ftp Webmail IM …
USB DVD 共享 …
数据库 文件服务器 …
文档级别 文档类型 文档位置 应用程序 …
用户权限 应用程序 …
识别企业整体风险并有效阻止 针对个别部门的重要文档
以持续运维 • 仅适用于研发等少数小
组
• 技术不能解决所有的问 题,仍然需要以下辅助
• 风险教育 • 行政管理 • 物理安全 • 刑事诉讼
6
DLP监控的数据流转途径 一般原理
CD/DVD USB Web Email
邮件安全
FTP
即时消息
打印/传真 粘贴/拷贝
数据挖掘
DLP 策略
监控 发现
预防 保护
• 统一制定防泄漏策略 • 遵从监管法案法规 • 实施和部署简单,无需
更改流程,无需人工参 与,可在企业范围应用 • 能够有效的与DRM/加 密工具集成使用,使得 后者更有效
• 能够阻止没有权限的人 非法获取信息,即使丢 失也没关系
• 依赖手工进行 • 密钥的管理是个复杂问
题 • 不能解决无意识泄密和
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
1
信息安全保护什么
一般原理
保护信息资产的机密性、完整性和可用性(C.I.A)让组织的业务运作 顺畅、安全
C
机密性(Confidentiality)—— 确保信 息在存储、使用、传输过程中不会泄漏给
非授权用户或实体。
完整性(Integrity)—— 确保信息在
Web 安全
FTP 安全
P2P
即时信息 安全
Sharepoint/ Web
Exchange/ Domino
文件服务器 安全
数据库 安全
DLP的方法 ➢ 它通过内容分析,按照中央策略, 识别、监控和保护数据
关键特征 ➢ 深度内容分析 ➢ 中央策略管理 ➢ 广泛内容覆盖
内容相关是其最大的优势 ➢ 与文件格式和类型无关 ➢ 与网络协议无关 ➢ 支持模糊匹配,关键字匹配 ➢ 支持高精度匹配,误报低 ➢ 支持相似度匹配 ➢ 支持统计分析,关联分析 ➢ 策略可根据敏感数据类型分类,并 预置大量分类策略模板
一般原理
1 5
4
•1 发现和评估
发现保存在所有位置的敏感数据, 对风险进行评估
2
•2 数据分类
确保安全的数据处理流程正常运转
•3 定义有效的策略
创建策略用于保护数据,并且确保
策略的有效性
•4 实施控制
控制机密数据的授权访问和安全传 输
3
•5 监控, 报告和审计
通过报警和事件管理来确保成功的 数据安全防护
问信息及资源。
.
2
可用性 (Availability)
数据是企业信息安全的核心目标 一般原理
企业秘密
• 业务报表 • 设计资料 • 客户资料 • 财务报告 • 战略报告 • 审计报告 • 重要邮件 • 会议纪要
.
合规数据
• 客户信息 • 知识产权 • 隐私数据 • 健康数据 • 信用卡号 •…
3
数据保护最佳实践
DLP的缺点 ➢ 仅具备基本的主动式防泄漏能力, 不善于阻止 ➢ 对硬件的要求很高 ➢ 不符合用户最直接的思维习惯 ➢ 隐藏数据可以逃避
.
7
国内外DLP产品对比
一般原理
将敏感数据防泄漏产品分为终端防泄漏专控软件、防泄漏网关,通过这两者的配合来完成数据防泄漏功能。 解决方案主要是以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露。 优点:对使用、存储和移动中的数据,实现全方位数据防泄漏;具有较强的敏感数据检测机制;全面保护来自于
.
4
数据保护需要动态和全面 一般原理
数据 来源
用户 操作
执行 策略
目的地控制
存储中 使用中 传输中
拷贝到设备
刻录光盘 剪切复制 拷贝 打印 上传
加密
网络传送
教育
发布到Web
监控
带出工作地点
.
5
• 全面评估信息风险,包 括网络、端点和存储
• 全面检测数据库、文件、 邮件、文字等泄密通道, 及时报警或阻止
量文件服务器
主流数据保护方法
DLP
(数据泄漏保护)
DRM
(数据权限保护)
Data 企业数据
Encryption
(加密)
Management
(管理)
.
6
一般原理
• DRM可以决定数据的访 问和使用方式,功能强 大
• 仅限于特定的文档类型 • 需要与企业应用紧密集
成,大量依靠人工参与 • 部署实施十分复杂并难
加密
密钥管理 自动加密 文档分级
针对个体的机密文档
.
10
10
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
11
11பைடு நூலகம்
数据全生命周期保护
方案
创建/获取
使用
销毁
传递
存 储 /备份
数据安全不仅是目的, 更是动态的过程!
.
12
数据一致性保护
方案
产生
存
备份与
获取
传输
使用
储
恢复
销毁
➢ 电子数据、纸质数据: • 数据密级保持一致 • 只能由预先定义的岗位角色才能阅读/创建/修改/传输/销毁 • 业务流程内的保护级别一致
不同数据源,不同载体,不同类别的数据。 缺点:不能对整个硬盘进行加密;不能解决非授权用户的数据外泄问题;不能解决内部恶意的数据外泄。
以文档透明加密和权限管理为核心,对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘 级的加密保护。
优点:实现企业内部敏感数据的统一管理,防止未授权使用、防篡改和防拷贝;可以实现动态透明加解密。 缺点:功能单一,无法实现全方位的数据保密;策略制定较为简单。
国外:以防止无意泄漏为目标。内容识别、审计是核心手段。
国内:以防止任何方式的泄漏为目标。文档加密是核心手段。
.
8
数据识别是保护的前提
一般原理
数据的两种形式 结构化数据:存储在数据库中,
包括智能卡、移动用户资料等关 键并且敏感的信息。 非结构化数据:主要存储在文件 服务器以及大量的工作终端。
数据保护的核心思路 定义企业的机密信息 制定对不同等级机密信息的监视和
I
存储、使用、传输过程中不会被非授 权篡改,防止授权用户或实体不恰当
地修改信息,保持信息内部和外部的
一致性。
秘密
保密性 (Confidentiality)
A
可用性(Availability)—— 确保授权 用户或实体对信息及资源的正常使用不
会被异常拒绝,允许其可靠而及时地访
完整性 (Integrity)
防护策略 部署策略监控阻断信息泄漏
.
9
数据保护建议流程
一般原理
抓大放小 先简后繁 拾漏补遗
DLP
网络
端点
存储
DRM
文档分类
文档授权
http ftp Webmail IM …
USB DVD 共享 …
数据库 文件服务器 …
文档级别 文档类型 文档位置 应用程序 …
用户权限 应用程序 …
识别企业整体风险并有效阻止 针对个别部门的重要文档
以持续运维 • 仅适用于研发等少数小
组
• 技术不能解决所有的问 题,仍然需要以下辅助
• 风险教育 • 行政管理 • 物理安全 • 刑事诉讼
6
DLP监控的数据流转途径 一般原理
CD/DVD USB Web Email
邮件安全
FTP
即时消息
打印/传真 粘贴/拷贝
数据挖掘
DLP 策略
监控 发现
预防 保护
• 统一制定防泄漏策略 • 遵从监管法案法规 • 实施和部署简单,无需
更改流程,无需人工参 与,可在企业范围应用 • 能够有效的与DRM/加 密工具集成使用,使得 后者更有效
• 能够阻止没有权限的人 非法获取信息,即使丢 失也没关系
• 依赖手工进行 • 密钥的管理是个复杂问
题 • 不能解决无意识泄密和
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
1
信息安全保护什么
一般原理
保护信息资产的机密性、完整性和可用性(C.I.A)让组织的业务运作 顺畅、安全
C
机密性(Confidentiality)—— 确保信 息在存储、使用、传输过程中不会泄漏给
非授权用户或实体。
完整性(Integrity)—— 确保信息在
Web 安全
FTP 安全
P2P
即时信息 安全
Sharepoint/ Web
Exchange/ Domino
文件服务器 安全
数据库 安全
DLP的方法 ➢ 它通过内容分析,按照中央策略, 识别、监控和保护数据
关键特征 ➢ 深度内容分析 ➢ 中央策略管理 ➢ 广泛内容覆盖
内容相关是其最大的优势 ➢ 与文件格式和类型无关 ➢ 与网络协议无关 ➢ 支持模糊匹配,关键字匹配 ➢ 支持高精度匹配,误报低 ➢ 支持相似度匹配 ➢ 支持统计分析,关联分析 ➢ 策略可根据敏感数据类型分类,并 预置大量分类策略模板
一般原理
1 5
4
•1 发现和评估
发现保存在所有位置的敏感数据, 对风险进行评估
2
•2 数据分类
确保安全的数据处理流程正常运转
•3 定义有效的策略
创建策略用于保护数据,并且确保
策略的有效性
•4 实施控制
控制机密数据的授权访问和安全传 输
3
•5 监控, 报告和审计
通过报警和事件管理来确保成功的 数据安全防护
问信息及资源。
.
2
可用性 (Availability)
数据是企业信息安全的核心目标 一般原理
企业秘密
• 业务报表 • 设计资料 • 客户资料 • 财务报告 • 战略报告 • 审计报告 • 重要邮件 • 会议纪要
.
合规数据
• 客户信息 • 知识产权 • 隐私数据 • 健康数据 • 信用卡号 •…
3
数据保护最佳实践
DLP的缺点 ➢ 仅具备基本的主动式防泄漏能力, 不善于阻止 ➢ 对硬件的要求很高 ➢ 不符合用户最直接的思维习惯 ➢ 隐藏数据可以逃避
.
7
国内外DLP产品对比
一般原理
将敏感数据防泄漏产品分为终端防泄漏专控软件、防泄漏网关,通过这两者的配合来完成数据防泄漏功能。 解决方案主要是以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露。 优点:对使用、存储和移动中的数据,实现全方位数据防泄漏;具有较强的敏感数据检测机制;全面保护来自于
.
4
数据保护需要动态和全面 一般原理
数据 来源
用户 操作
执行 策略
目的地控制
存储中 使用中 传输中
拷贝到设备
刻录光盘 剪切复制 拷贝 打印 上传
加密
网络传送
教育
发布到Web
监控
带出工作地点
.
5
• 全面评估信息风险,包 括网络、端点和存储
• 全面检测数据库、文件、 邮件、文字等泄密通道, 及时报警或阻止