银行业数据安全数据防泄漏-行业解决方案案例分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过部署Symantec Network Prevent for Mail、SMG邮件网关及邮件审批系统,实现外发邮件的信 息泄露防护。对包含机密数据的电子邮件通信进行审批及阻止。
通过部署Symantec Enforce,实现统一管理。
02方案规划
总体架构设计
互联网接入区
主数据中心
Internet
敏感信息安全现状
1. 内部人员有意泄密这类情况发生概率最高,尤其是员工离职拷贝资料和通过IM软件的涉密文件外发; 2. 外部竞争对手采用收买方式窃取机密,这种方式直接损害了企业的核心资产,给企业带来致命的打击; 3. 病毒或木马; 4. 黑客和间谍窃密; 5. 内部文档权限失控失密,跨级别访问; 6. 存储设备丢失和维修失密;
如果机密数据遭内部用户无意或主动泄密,会极大影响企业竞争力,并可能导致严重的负面社会影 响和法律诉讼。
【IT管理者的担心】 如何提供有效的IT控制,阻止机密数据无意或主动泄密; 如何有效的进行审计,做到有据可查。 无法掌握敏感数据的存放位置; 无法对整体的数据敏感程度进行统计; 敏感数据可能随意的外发,造成严重的泄密事故; 无法跟踪涉密文件的变动情况; 一旦发生泄密事故,无法追踪和控制;
03项目计划
项目计划
策略调研
系统部署
策略测试及 部署
策略推广实 施
试运行/项目 验收
• 系统部署环境调 研;
• 敏感数据分类、 分级;
• 策略调研(调研 表&现场访谈);
• DLP Endpoint Server系统部署;
• DLP Network Monitor系统部 署;
• 部署测试终端 (3-5台),进 行策略测试;
SMG
SMG
Monitor
办公隔离区
广域网
数据中心互联 总部分行互联
OA服务器区
数据中心 核心区
VM
VM
DLP Enforce+Endpoint 邮件审批
虚拟化核心区
VM
DLP Oracle
VM Prevent for Mail
NetApp FAS
广域网
数据中心互联 总部分行互联
灾备数据中心
Internet
银行业数据Байду номын сангаас全 DLP数据防泄漏解决方案案例分析
2018年3月16日
目录
CONTENTS
01
项目背景
02
方案规划
03
项目计划
01项目背景
项目背景
XX银行是致力于服务科技创新型企业的一家中美合资银行。在XX银行企业中,数据资产是最具有价值 的无形资产。企业内部的数据,包括文本文件、格式化的文档、数据表单、演示文稿、图片、照片、网页、 设计文稿、电子邮件以及其他与业务应用相关的文件。 【管理层的担心】
2、虚拟化核心区部署一台 DLP数据库服务器;
1、主数据中心互联网接入区 部署一台Network Monitor, 对外发敏感信息进行监控;
2、主数据中心OA区部署一台 Prevent for Mail,与SMG、 邮件审批进行配置联动,对 外发邮件进行监控、阻止和 审批;
1、主数据中心互联网接入区 部署两台SMG,用于邮件防护 和邮件DLP策略重定向、阻止 等动作;更换现有Mcafee邮 件网关;
项目目标
通过部署Symantec Endpoind Prevent,主动发现终端主机存在的公司敏感信息。针对敏感信息设 置安全策略,监控终端用户访问敏感信息的行为以及对违规行为进行阻断控制。
通过在互联网出口部署Symantec Network Monitor,实现对外发邮件及其他包含敏感信息的互联网 访问行为进行监控,主动发现违规行为和协议类型,防止信息泄露。
• Network Monitor功能及 策略测试;
• 事件告警响应测 试;
• 部署终端DLP Agent;
• 策略优化;
• DLP系统深度健 康检查;
• 系统使用培训; • 项目验收;
主要里程碑事件
策略制定方法
DCM(指定内容匹配) 对数据标识,采用关键字组合
IDM(索引文档匹配) 非结构化数据根据数据存储位置,建
立索引,采用指纹检测策略
策略调研
策略调研表 资产识别与评估表
策略 调研表 提交
通过访谈/部门访谈接口人 依据策略模板,进行补充
现场 访谈
1.内容依据策略调研表; 2.各部门协调一位访谈接口人(要求 对部门业务熟悉),访谈时间约1h; 3.现场确定各部门策略设计模板;
策略设计报告
若有遗漏
策略 设计方 案
2、两台SMG为主备冗余,正 常为主SMG工作,另一台为冷 备;
1、Network Monitor冗余。
主和容灾数据中心各一台 Monitor;
2、邮件网关冗余。
主数据中心两台SMG为主 备冗余,现有Mcafee迁移至 容灾数据中心;
3、DLP系统冗余。
灾备数据中心DR区部署 Enforce+Endpoint和DLP Oracle服务器。
Mcafee
Monitor
数据中心 核心区
VM
VM
DR区域
DLP Oracle
DLP Enforce+Endpoint
架构说明
端点信息防护
网络信息防护
SMG及邮件审批
容灾设计
1、主数据中心OA区部署一台 Enforce+Endpoint Prevent 服务器;服务器挂载存储资 源,用于存储DLP事件;
修订策略 设计方案
策略 方案评 审
不通过
判定
通过
策略设计报告
判定
策略 初步定 稿
调研结束
THANK YOU
通过部署Symantec Enforce,实现统一管理。
02方案规划
总体架构设计
互联网接入区
主数据中心
Internet
敏感信息安全现状
1. 内部人员有意泄密这类情况发生概率最高,尤其是员工离职拷贝资料和通过IM软件的涉密文件外发; 2. 外部竞争对手采用收买方式窃取机密,这种方式直接损害了企业的核心资产,给企业带来致命的打击; 3. 病毒或木马; 4. 黑客和间谍窃密; 5. 内部文档权限失控失密,跨级别访问; 6. 存储设备丢失和维修失密;
如果机密数据遭内部用户无意或主动泄密,会极大影响企业竞争力,并可能导致严重的负面社会影 响和法律诉讼。
【IT管理者的担心】 如何提供有效的IT控制,阻止机密数据无意或主动泄密; 如何有效的进行审计,做到有据可查。 无法掌握敏感数据的存放位置; 无法对整体的数据敏感程度进行统计; 敏感数据可能随意的外发,造成严重的泄密事故; 无法跟踪涉密文件的变动情况; 一旦发生泄密事故,无法追踪和控制;
03项目计划
项目计划
策略调研
系统部署
策略测试及 部署
策略推广实 施
试运行/项目 验收
• 系统部署环境调 研;
• 敏感数据分类、 分级;
• 策略调研(调研 表&现场访谈);
• DLP Endpoint Server系统部署;
• DLP Network Monitor系统部 署;
• 部署测试终端 (3-5台),进 行策略测试;
SMG
SMG
Monitor
办公隔离区
广域网
数据中心互联 总部分行互联
OA服务器区
数据中心 核心区
VM
VM
DLP Enforce+Endpoint 邮件审批
虚拟化核心区
VM
DLP Oracle
VM Prevent for Mail
NetApp FAS
广域网
数据中心互联 总部分行互联
灾备数据中心
Internet
银行业数据Байду номын сангаас全 DLP数据防泄漏解决方案案例分析
2018年3月16日
目录
CONTENTS
01
项目背景
02
方案规划
03
项目计划
01项目背景
项目背景
XX银行是致力于服务科技创新型企业的一家中美合资银行。在XX银行企业中,数据资产是最具有价值 的无形资产。企业内部的数据,包括文本文件、格式化的文档、数据表单、演示文稿、图片、照片、网页、 设计文稿、电子邮件以及其他与业务应用相关的文件。 【管理层的担心】
2、虚拟化核心区部署一台 DLP数据库服务器;
1、主数据中心互联网接入区 部署一台Network Monitor, 对外发敏感信息进行监控;
2、主数据中心OA区部署一台 Prevent for Mail,与SMG、 邮件审批进行配置联动,对 外发邮件进行监控、阻止和 审批;
1、主数据中心互联网接入区 部署两台SMG,用于邮件防护 和邮件DLP策略重定向、阻止 等动作;更换现有Mcafee邮 件网关;
项目目标
通过部署Symantec Endpoind Prevent,主动发现终端主机存在的公司敏感信息。针对敏感信息设 置安全策略,监控终端用户访问敏感信息的行为以及对违规行为进行阻断控制。
通过在互联网出口部署Symantec Network Monitor,实现对外发邮件及其他包含敏感信息的互联网 访问行为进行监控,主动发现违规行为和协议类型,防止信息泄露。
• Network Monitor功能及 策略测试;
• 事件告警响应测 试;
• 部署终端DLP Agent;
• 策略优化;
• DLP系统深度健 康检查;
• 系统使用培训; • 项目验收;
主要里程碑事件
策略制定方法
DCM(指定内容匹配) 对数据标识,采用关键字组合
IDM(索引文档匹配) 非结构化数据根据数据存储位置,建
立索引,采用指纹检测策略
策略调研
策略调研表 资产识别与评估表
策略 调研表 提交
通过访谈/部门访谈接口人 依据策略模板,进行补充
现场 访谈
1.内容依据策略调研表; 2.各部门协调一位访谈接口人(要求 对部门业务熟悉),访谈时间约1h; 3.现场确定各部门策略设计模板;
策略设计报告
若有遗漏
策略 设计方 案
2、两台SMG为主备冗余,正 常为主SMG工作,另一台为冷 备;
1、Network Monitor冗余。
主和容灾数据中心各一台 Monitor;
2、邮件网关冗余。
主数据中心两台SMG为主 备冗余,现有Mcafee迁移至 容灾数据中心;
3、DLP系统冗余。
灾备数据中心DR区部署 Enforce+Endpoint和DLP Oracle服务器。
Mcafee
Monitor
数据中心 核心区
VM
VM
DR区域
DLP Oracle
DLP Enforce+Endpoint
架构说明
端点信息防护
网络信息防护
SMG及邮件审批
容灾设计
1、主数据中心OA区部署一台 Enforce+Endpoint Prevent 服务器;服务器挂载存储资 源,用于存储DLP事件;
修订策略 设计方案
策略 方案评 审
不通过
判定
通过
策略设计报告
判定
策略 初步定 稿
调研结束
THANK YOU