McAfee数据泄漏保护技术解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX
McAfee数据泄露保护方案
文档说明
非常感谢XX给予McAfee公司机会参与《数据泄漏保护》子项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。
需要指出的是,本文档所涉及到的文字、图表等,仅限于McAfee 公司和XX内部使用,未经McAfee公司书面许可,请勿扩散到第三方。
目录
1方案概述 4
2中铁信托数据保护需求分析 6
2.1.1系统终端面临的数据泄露风险 6
2.1.2不可管理终端的数据泄漏威胁 7
2.1.3安全管理问题 7
2.2需求分析 7
2.2.1数据流失保护 7
3McAfee 数据保护整体解决方案 8
3.1McAfee Total Protection for Data解决方案 8
3.1.1McAfee Total Protection for Data的具体功能 8
3.2McAfee Total Protection for Data工作流程 9
4McAfee Total Protection for Data的部署 12
4.1部署架构及工作流程 12
1 方案概述
中铁信托有限公司和大部分金融企业一样,经营和管理过程中会产生大量的数据,如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据,这些重要数据就像是生命中的“血液”一样重要,是企业生存的基础。如果这些数据一旦遭到泄漏,将给公司的信誉和资产造成重大损失。
自2004年以来,数据泄漏事件正以1700%的速度增长,平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有:
1)TJX--攻击者窃取了4570 万个信用卡和借记卡数据,造成的后果是企业形象受损和法律诉讼;
2)CardSystems公司--网络罪犯攻击了 4 千万个 Visa/ MC/Amex 用户;后果是CardSyestems 现在已宣告破产;
3)ChoicePoint公司--诈骗公司使用购买ChoicePoint 产品的消费者记录;后果是2600万美元的罚款以及股票市值缩水8 亿多美元;
4)Wells Fargo--泄露了3300 万个客户的帐户;后果是为了符合州数据泄露法案的要求,仅邮寄的成本就高达 1900 万美元。
数据泄露造成的根源来自外部黑客攻击和内部数据泄漏,据FBI的统计,70%的数据泄漏是由于内部人员造成的,而这些内部人员大都是有权限访问这些数据,然后窃取滥用这些数据。
无论是黑客攻击、还是内部故意泄露,数据泄漏有以下三个途径造成:
1) 物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到
USB,CD/DVD和移动硬盘等移动存储介质上;通过打印机打
印带出公司或者通过传真机发送。
2) 网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发
送数据,这种方式可以是黑客攻击“穿透”计算机后造成,也可
能是内部员工从计算机上发送。
3) 应用途径——通过电子邮件、IM即时信息、屏幕拷贝,P2P应
用或者“特洛伊木马”窃取信息。
图1.1数据泄漏的三种途径
McAfee Data Loss Prevention(以下简称DLP)解决方案可以有效保护企业的重要机密数据,免于数据泄漏的风险。DLP通过监控机密信息和防止未经授权的传输保护数据免于泄漏,来支持员工共遵守企业数据保护法规和企业安全策略。McAfee DLP Host具有内容感知功能,当数据在网络、物理设备和应用程序等易导致数据丢失的渠道中传输时,根据预先定义的策略,提供全面的保护。
McAfee数据保护解决方案通过基于主机和基于网关的两层保护提供了全面的防护:
基于主机的保护(产品名称:McAfee Data Loss Prevention
Host)——保护公司和移动中(在家里和在路上)的终端、服
务器上的数据;
我们建议中铁信托有限公司在网络和终端层面全面部署McAfee Total Protection for Data解决方案,对核心的数据实现全面的安全保护功能,防止数据的非授权泄露。
2 中铁信托数据保护需求分析
2.0.1 系统终端面临的数据泄露风险
企业的各类机密数据和敏感信息可能通过网络传输、共享文
件、移动存储、邮件、应用程序等多种方式进行传播,造成
数据的泄漏;
内部人员可能通过各类新型的应用程序(如截图工具、内容
复制工具等)把文件或数据传输出去;
企业员工也可能在无意之间将数据遗留在某些移动存储介质
之上,造成泄漏;
某些物理打印机及扫描仪的使用,也可能造成企业机密信息
的泄漏;
数据一旦泄漏,可能给企业带来无法估量的损失;
笔记本电脑及各类移动终端的丢失,可能造成的数据遗失;
U盘的非法使用带来的机密数据的泄漏;
终端层面的数据保护往往面临着难以想象的复杂性,给管理
和配置带来一定难度,一定程度上造成数据保护产品的使用
效果难以保证。
2.0.2 不可管理终端的数据泄漏威胁
企业内部除了可以管理的计算机终端之外,往往还有很多外来接入的计算机,例如外来访问人员、合作伙伴、供应商以及我们的客户,这些计算终端我们往往没有权利安装任何客户端程序,但是他们也很可能造成机密信息的泄漏:
(1) 不可管理终端在使用企业数据的过程中无意的泄漏(通过网络
访问);
(2) 不可管理终端的使用人员有意造成的数据泄漏;
(3) 泄漏行为难以审计和记录;
2.0.3 安全管理问题
部署的数据防泄漏产品,在切实保护数据泄漏并完成数据加密之后;还需要在整体上实现部署、管理和审计,并实现主动的信息安全策略。
2.1 需求分析
结合上面的威胁分析,我们可以看到当前网络存在数据泄漏的风