价值信息安全防护体系建设思路祥解

建立事前预防控制、事中控制、事后审计机制
建立整体防护体系
第三方运维区
终端易用性 数据安全性
保证数据安全性同时最大限度开放终端权限
建立整体防护体系
移动办公区
移动办公
手机安全 资源控制 通讯加密 安全接入 充分考虑到移动办公的实效性 对移动办公设备进行合理保护
安全力度-L2
数据加密
虚拟化
关键字过滤
建立整体防护体系
核心数据区
U盘拷贝 @ 非法/强行外带 乱码
硬盘拔插
网络外发 明文外带 非法访问
外设传输
审批外带管理 核心数据区 外发者 密文外带
建立严格的终端DLP防护体系，规范约束数据对外交互的出口
建立整体防护体系
服务器区域
服务器区域
OA系统
X
未知人员/终端
信息 生成
本地生成
系统生成
分析安全现状
信息存储方式
集中结构化存储
信息 存储
集中非结构化存储
终端分散存储
分析安全现状
信息传输方式
局部封闭传输
信息 传输
内部开放传输 对外受控传输
对外开放传输
分析安全现状
现状汇总
信息保密意识是否具备 数据 生成 数据 存储 数据 传输
信息保密手段 是否缺乏
信息保密制度是否健全
建立整体防护体系
体系建设基础
规章制度
安全措施
保密意识
信息安全防护体系的建设绝非单一某个产品或者某一种技术可以解决， 而是需要从技术和制度等多方面进行合理整合，形成统一的DLP体系
建立整体防护体系
数据分布区域划分-风险差异化
建立整体防护体系
技术手段
安全力度-L1
桌面管理 网络准入 Windows域控
构建全方位数据安全防护体系
宣讲人：李元勋
2012 5/31
目录
1 2
引言 分析安全现状
3
3 4 4 5
定位泄密风险
建立保护体系 项目实施维护
引言
无论是过去的2011，还是今年的3.15晚会，各种信 息泄密事件不胜枚举，这当中，无论是主动泄密还是被 动泄密，都给相关的组织带来了严重的损失。面对严峻 的信息保密形势和日渐升级的保密要求，企业该如何担 负核心数据的保卫工作呢？
引言
数据防泄密范畴
引言
防泄密技术发展历程
2012 2006 2008 2010 2005年 蜕变——防水墙 核武器——加密 新生——整体信息防泄漏时代 插曲——上网行为管理 2003 年 延伸——多元化信息防泄漏时代 争议——行为监管
2006 2010 2005 2008 2012 2003
2003 2005
泄密性质
被动泄密
不同的泄密性质决定了所应采取的技术手段
风险汇总
定义泄密风险等级
意识形态 泄密风险 U盘使用 网络外发 外设传输 第三方泄密
主动
1级 1级 1级 1级
被动
移动智能终端泄密
笔记本丢失 口令攻破 木马病毒
1级
2级 2级 2级
备注：对于无法明确定义出主动还是被动的泄密行为，均列入主动泄密范围，进入1级风险类别中。
随着各行业信息化建设的拓进，信息化的建设呈现以‘终 2008 索尼 PSN 开始的金融危机，让一大批企业倒了下去。艰难 泄密、富士康ipad图纸泄密等，频繁曝光的泄 安然会计丑闻爆发，随之而来的塞班斯法案对企业信息 年初，公安部颁布《信息安全等级保护办法（试行）》， 6月，我国宽带用户首次超过拨号； 12月，公安部82 时期， 密事件，让信息防泄漏渐成内网安全的焦点。从终端安全 端为基础、应用为核心、移动办公为扩展’的整体发展模 IT管理者却更关注安全，只因机密信息关系到 系统内控提出了要求，对邮件、网络等 IT系统的审计需求， 并选择银行等严重依赖信息化的部门进行试点； 号令，上网行为监管有了正式的规章。同时，钓鱼欺 7月， 核心竞争力。防水墙堵漏不及，新安全威胁不断扩展， 到监控，从防水墙到加密，内网安全的焦点逐渐清晰，市 式，且‘加密、虚拟化、关键字过滤’等技术不断发展和 让邮件、上网监控产品开始井喷，内网安全注重“人” 塞班斯法案大限，众多上市企业面临合规性要求开始考 诈、病毒木马让网管头痛不已，上网行为管理作为内 痛定思痛，号称彻底解决安全威胁的加密开始全面热 场也更加理性。意识到这些问题的厂商和用户，开始在更 融合导致现在和将来的信息安全规划建设日新月异，因此 的风险，由此开端。 虑和部署内部信息审计和防护产品，以防备来自网络、 网安全的分支开始蓬勃发展，并形成兼重效率与安全 卖。 深层面思考内网安全，准入控制、数据保密、操作授权、 今后的信息安全产业链将呈现多元化特性，根据市场各行 终端、外设等多样化的安全威胁，信息防泄漏 的独立品类延续至今。 1.0版本 行为审计等结合的整体解决方案，正当其时。 业不同的信息化应用模式和发展规划，构建完整且有针对 ——防水墙登上舞台。 性的信息安全解决方案才能适应客户的需求。
2006
2008
2010
2012
引言百度文库
小结
信息安全系统如何适应高速发展的信息化系统？ 企业如何选择适合自己的信息安全管理系统？
分析安全现状
价值信息
业务类
• • • • 客户资料 财务信息 交易数据 分析统计数 据
行政类
• 市场宣传计 划 • 采购成本 • 合同定单 • 物流信息 • 管理制度 • • • •
机要类
公文 统计数据 机要文件 会议机要 • • • • • •
科研类
调查报告 咨询报告 招投标文件 专利 客户资料 价格 • • • • •
设计类
设计图纸 设计方案 策划文案 源代码 软件程序
分析安全现状
• 价值信息如何生成？
• 价值信息如何存储？
• 价值信息如何传输？
分析安全现状
信息生成方式
只读
禁用
正常
防止业务系统服务器中的数据扩散和非法访问
建立整体防护体系
普通办公区
网络监控： 邮件收发 网址访问 网络共享 IP地址绑定等 外设管理： 移动存储设备 光驱、软驱 蓝牙、红外、无线网卡 新增外设控制等 终端行为管理： 应用程序控制 打印监控 远程实时监控/截屏 补丁分发等 综合审计： 网址访问 文件操作记录 邮件收发审计 软/硬件资产审计 U盘使用记录等
信息安全现状
风险汇总
风险分析
数据产生 数据存储 数据应用 数据交换
分析可能的风险点
数据创建者主动泄密 数据越权使用 病毒木马感染
.服务器失窃泄密 移动存储介质丢失 笔记本丢失或被盗
网络非法外发 终端外设传输 合作伙伴恶意传播 …..
归类总结形成泄密风险库
风险汇总
泄密性质
主动泄密