XXXX客户Symantec DLP 数据防泄漏技术解决方案

XXXX
数据防泄漏解决方案
目录
第1章设计思路 (1)
1.1什么是数据防泄漏 (1)
1.2机密信息的划分标准 (1)
1.3全面的多层次防护 (2)
1.4首要解决大概率事件 (4)
第2章数据防泄露技术介绍 (5)
2.1概述 (5)
2.2产品功能模块介绍 (5)
第3章数据防泄漏技术实现 (8)
3.1定义企业机密信息：如何建立机密信息样本库 (8)
3.2制定监视和防护策略 (11)
3.3部署监视防护策略，检测敏感数据 (12)
3.3.1网络DLP (14)
3.3.2端点DLP (18)
3.3.3存储DLP (23)
附录一：VONTU DLP支持的文件类型 (29)
第1章设计思路
1.1 什么是数据防泄漏
对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。

无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。

在这些数据泄露情况中，大部分情况下都是员工在无意中泄露出去的，但还有一些则是由员工有意为之。

一个使用没有安全防护的笔记本电脑的移动办公人员，可能有意或无意地通过无线网络泄漏公司机密信息。

与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。

当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。

企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。

企业信息化目的是为了信息和数据的共享，而数据的生命周期中包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）三个基本的生命过程。

数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。

1.2 机密信息的划分标准
显然，如果对企业内各种各样的海量数据全部进行同样级别的保护，等于没有任何保护。

因此数据防泄漏的一个基本点是确定信息的机密性分类。

对于可以完全对外公开的数据，不需要任何的信息防泄漏防护措施；对于关系到企业生存、发展、声誉的重要数据，应当严格控制其存储位置，使用方式和传输方式。

如何对信息进行机密性的分类呢？最根本思想的是依据信息的内容来判断其机密性级别。

信息的所有者（如业务人员）可以根据个人或者企业的相关规范理解自己创建的信息内容的机密性级别。

至于如何操作，实现方式包括以下两种：
1.基于权限。

信息所有者对信息载体（数据库或者文件）进行权限设定，
即什么样的人可以访问什么样的信息。

这是一种最直观的信息保护模型，但是其实践和操作具有很大的局限性。

首先，被保护的对象不是数据的
内容，而是数据的载体，因此一旦载体发生变化，原有的权限设定和控
制就失去效力。

比如，从数据库查询到信息存成文件格式，则对数据库
表的权限设置即失去意义。

另外，当把文件中的某些关键信息拷贝粘贴
到其他文档，或者转换成其他格式，对于原有文件的权限设定也同样失
去防护意义。

其次，权限设定在操作中将极大地影响现有的工作流程管
理和用户使用习惯。

显然，越大型的网络环境复杂度将呈现指数型上升，
这也是基于数字权限的防护技术一直不能在市场上大规模应用的主要原
因。

特别是对于非结构数据，如文件，设想一下，对不计其数的文件进
行权限的管理，为每个文件设定可以访问、阅读、修改等权限，最终用
户和管理员将不堪负重。

最后，并不是所有的文件类型都可以象pdf文
档一样进行权限设定，因此为了保证有效性经常需要进行格式转换，这
又带了了转化后数据无法逆转，格式失真，用户使用习惯更改等更多问
题。

2.基于内容。

显然，信息防泄漏关注的根本在于信息的内容。

基于内容的
机密信息分级将大大地减少管理实施难度，确保防护的有效性。

管理员
只需要知道我们的机密信息应当存储在数据库的那个表中，或者服务器
上的哪个目录下，就可以完成对信息机密性级别的定义。

显然，信息的
所有者很容易提供以上信息，并且无需费神去设定权限。

一旦确定了机
密信息的存储位置，则可以自动地建立机密信息样本数据库，进而在存
储、网络、终端各个层面发现机密信息泄漏事件。

1.3 全面的多层次防护
信息防泄漏不是单独地依靠一种产品或者一种技术就可以完善解决的任务，必须建立全面的多层次防护体系，并辅以适当的管理、流程和培训，才能确保我们实现数据防护的目标。

从防护层次上包括IT基础架构安全、数据安全、安全管理三个方面：
❒IT基础架构安全防护
IT基础架构安全包括网络、服务器和终端的安全。

对于大型网络首先要划分安全域，在安全域之间的边界实施监视和访问控制，做到看得见、管得着。

细粒度的网络访问权限控制是信息防泄密的基础。

服务器往往是存储机密信息的基础平台。

因此我们需要在信息泄露事件发生之前能够预警、提前防范；在信息泄露事件发生时能够主动实时地防护；在信息泄露事件发生之后做到及时告警、快速响应和恢复。

即在预警、防护和响应三个层次上进行主动防护。

以响应为例，用户、管理员、集成商人员等对于服务器的访问和操作应当建立完备的审计机制，无论是通过网络登陆还是本机操作，都可以查询管理人员操作的历史记录。

通过详细记录用户行为，约束使用者对服务器上信息的操作，避免越权操作，并且可以确保安全事件发生时可以快速响应。

对于终端，严格地管理和约束终端行为，落实确保合法用户和合归操作。

通过采用准入控制技术，使用技术手段进行控制，对于违反企业安全策略的终端限制其访问网络资源，从而保证所有接入网络内部的终端符合企业安全策略要求，特别信息防泄密的要求。

❒数据防泄露
企业需要重点保护客户数据、公司信息、知识产权及敏感或机密信息的安全，无论它们是通过电子邮件、web 邮件或其它因特网协议传出网络，还是通过USB/CD/DVD 传出端点或保存在端点上，或者是保存在共享服务器和数据存储库中。

本方案将重点介绍Symantec公司Vontu数据防泄漏技术方案。

V ontu Data Loss Prevention (DLP) 8是业界第一个结合了终端和网络功能的软件，它为机密数据的存储和使用提供保护。

无论是存储在网络的、还是不联网终端上的数据，V ontu都可以发现它们，并且可以防止数据从网络网关和终端泄密。

V ontu网络数据丢失防护功能全面覆盖面很广，包含了email, Web, Secure Web (HTTPS), IM, FTP, P2P and Generic TCP。

它使得企业可以更好地保护知识产权、遵从法规、维护品牌和声誉。

安全管理
针对一系列的安全问题和相应的人员职责，需要出台的更为具体的安全管理规范和制度，通过规范制度约束企业内各种人员角色的安全行为。

安全规范为企业的“人”提供了安全行为的规范和制度，解决了应该做什么不应该做什么的问题。

通过逐步建立适应中华保险组织结构、业务环境和业务流程的安全组织架构，重点考虑如何实现集中的安全控制和管理需求，明确从管理员到最终用户人员等各种角色的职责。

尤为关键的，通过技术的手段确保管理规范的落实和强制执行。

此外，安全管理不同一般的企业管理，制度的落实需要较强的安全意识和相关技术技能，这除了需要完善安全培训教育机制，为实施安全的管理人员或者最终用户提供安全操作的具体指南和手册也是至关重要的。

1.4 首要解决大概率事件
所有的“安全”都是相对的，都是有成本的。

过于安全会牺牲系统运行效率、牺牲用户的方便性。

显然通过物理隔离的方式把存有机密文件的电脑网络与外隔绝是最佳的信息防泄漏方案，但同时也违背了信息可用的进本原则。

层次化的数据防泄漏方案需要通过完善的管理，多种技术共同配合实现。

这就需要我们在现有安全架构基础上，妥善分析各种安全风险优先级别，首先解决大概率安全事件。

分清哪些是大概率事件，哪些是小概率事件？对于类似用手机抓拍计算机屏幕的信息偷窃方式，显然属于小概率事件。

在设计防泄露方案时对于这些极端的数据泄露情况不可能也没必要完全防护。

必须把握“抓大放小”的建设原则，重点解决大概率事件。

通过一系列的技术手段培养用户的信息保密意识，避免由于用户的无意识泄密或者随意泄密。

第2章数据防泄露技术介绍
2.1 概述
数据保护领域，涉及诸多技术，其中最有代表性的主要有两种：第一种是针对含有机密数据的电子文档（或称文件）加强保护，方法主要是加密或者版权管理；第二种是针对机密数据内容本身加强保护，方法是对机密数据的存储、使用和传输进行监控和管理。

赛门铁克的数据丢失防护解决方案V ontu Data Loss Prevention采用的是第二种技术，适合在整个企业部署，以微小的性能代价，实现牢固的机密数据保护。

V ontu 检测基于实际的机密内容，而不是文件本身。

因此，V ontu 不仅能检测敏感数据的摘录和派生内容，而且能识别文件格式与指纹识别信息不同的敏感数据。

例如，如果某个机密Microsoft Word 文档经过了指纹识别，则当该文档以PDF 附件通过电子邮件发送时，V ontu 同样能精确检测到这一相同内容。

如前文所述，为了全面保护客户的信息，还需要全面的多层次化防护技术，特别是终端完整性管理、网络准入控制等的解决方案配合。

赛门铁克的网络准入控制产品在这两个领域提供了业界最好的解决方案。

因此，赛门铁克数据丢失防护解决方案结合终端保护功能，可以为客户提供最全面的数据保护。

2.2 产品功能模块介绍
V ontu DLP 8 软件套件包含V ontu Enforce 管理应用和六个产品：V ontu Network Monitor 和V ontu Network Prevent（网络DLP）、V ontu Endpoint Discover 和V ontu Endpoint Prevent（端点DLP）、以及V ontu Network Discover 和V ontu Network Protect（存储DLP）。

尽管所有这六个产品既可以作为独立的产品进行部署，也可以联合部署，但它们都通过V ontu Enforce 管理应用进行实施。

Vontu Enforce
V ontu Enforce 是所有V ontu 产品的中心管理应用，用于自动实施企业的数据安全策略。

在V ontu Enforce，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理。

V ontu Enforce 用通用的策略和报告来统一V ontu 产品套件。

单个数据丢失策略可以部署在所有V ontu 产品上，报告中包含统一的仪表板，可以将来自所有V ontu 产品的信息组合到用户界面的一个页面上。

❒Vontu Network Monitor
V ontu Network Monitor 安装在网络出口处，负责监视网络数据。

涉及的协议包括电子邮件（SMTP）、web（HTTP）、即时消息（IM）、文件传输（FTP）和通过任何端口的所有其它TCP 会话。

❒Vontu Network Prevent
V ontu Network Prevent 安装在网络出口处，负责监视并拦截／修改网络数据。

涉及的协议包括电子邮件（SMTP）、web 和安全web（HTTP/HTTPS）以及文件传输（FTP）。

❒Vontu Endpoint Prevent
V ontu Endpoint Prevent 安装在员工的笔记本和台式机上，负责监视下载到内部硬盘驱动器上的数据，同时监视和拦截复制到USB 设备、iPod 和CD/DVD 的数据。

❒Vontu Endpoint Discover
V ontu Endpoint Discover 安装在员工的笔记本和台式机上，负责扫描内部硬盘驱动器上的保密数据，以便可以采取措施来存储、保护或重新定位这些数据。

❒Vontu Network Discover
V ontu Network Discover 通常位在数据中心，负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据。

❒Vontu Network Protect
V ontu Network Protect 通常位在数据中心，它会自动重新定位、复制或隔离泄露的保密数据。

下图显示了这六个V ontu 产品是如何被归为“网络DLP”、“端点DLP”和“存储DLP”，V ontu Enforce 是所有产品的通用管理平台。

此外，所有的产品还共享一个通用的底层技术平台。

第3章数据防泄漏技术实现用户的数据存在的形式包括两种：结构化数据和非结构化数据。

结构化数据存储在数据库中，包括智能卡、移动用户资料等关键并且敏感的信息。

非结构化数据主要存储在文件服务器以及大量的工作终端。

所有的数据都面临着信息泄漏的风险，授权用户由于具备相关的账户信息，可以访问这些重要数据，并通过外设或者网络将数据拷贝离开规定的信息存储位置。

数据防泄露方案的技术实现包括以下三个流程：定义企业的机密信息，制定对不同等级机密信息的监视和防护策略，部署策略监控阻断信息泄漏。

以下分别阐述以上三个流程：
3.1 定义企业机密信息：如何建立机密信息样本库
防止这种信息泄漏威胁的首要前提是定义哪些是企业的机密信息。

这是信息泄漏防护体系的最核心部分。

V ontu通过建立机密信息样本库的方式自动化地定义企业的机密信息。

针对不同类型的数据可以采用不同的方式定义机密信息和检测：无论是具有结构化格式的数据，如客户或员工数据库记录；还是非结构化数据，如Microsoft Word 或PowerPoint 文档，或者CAD 绘图。

保密数据首先经业务或者系统管理员确认，然后由V ontu Enforce 进行自动化的指纹识别。

指纹识别过程包括V ontu Enforce接入和提取文本和数据、对其进行标准化并使用不可逆散列保护其安全。

V ontu Enforce 可以配置为定期自动更新，保证机密样本数据库始终是最新的。

结构化数据：精确数据匹配
V ontu通过精确数据匹配（EDM）保护客户和员工数据，以及一般存储在数据库中的其它结构化数据。

业务或者系统管理员可以将数据库中的包含机密信息的表和字段标志出来加以保护。

例如，客户可以用EDM 检测编写一条策略，从客户数据库中查找与一条消息中同时出现的“姓”、“名”、“身份证号码”、“帐
号”或“电话号码”中的任意三个相对应的记录。

EDM 技术能够扩展至非常大的数据集，在每个客户部署的单台服务器上保护 3 亿多条客户记录。

实际案例中，在一台服务器上，V ontu 已经在一个拥有 5 亿行数据的数据库测试了EDM，这些数据每行都有四列，总共20 亿个单独的数据元。

该容量可以随服务器的增加而线性扩展。

EDM 允许在给定数据行的的任意列组合的基础上进行检测，即给定记录的M字段中的N。

它可以针对“元组”，或指定的数据类型组进行发。

例如，可以接受“名”和“身份证号码”字段的组合，但不能接受“姓”和“身份证号码”字段的组合。

EDM 还允许使用更加复杂的规则，如查找M 字段中的N，但指定的元组除外。

例如，可以要求姓、名和以下字段的任意一个：身份证号码、银行帐号、信用卡号或驾驶证号。

每个数据单元都保存有独立的散列，因此，查找不同数据组合的检测策略只能由一行中的相应数据触发。

例如，要求“名+ 姓+ 身份证号码”的EDM 策略将由“Joe + Smith + [Joe Smith 的身份证号码]”触发，但不能由“Joe + Smith + [Jane Doe 的身份证号码]”触发，即使Jane Doe 也在同一个数据库中。

EDM 还支持近接逻辑，以减少潜在的误报。

对于检测过程中正在处理的自由格式文本，指纹的某一行中所有数据的字数都必须在可配置的字数范围内才会被视为匹配。

例如，默认情况下，要达到匹配，所检测电子邮件正文中的“Joe”、“Smith”和“[Joe Smith 的身份证号码]”的字数必须在所选字数范围内。

对于包含表格数据的文本（如来自Excel 电子表格的数据），指纹某一行中的所有数据都必须在表格文本的同一行中才会被视为匹配，以减少总体误报。

对于安全性极高的环境，V ontu 提供了一个独立工具“External EDM Indexer”，它允许用户在存储系统上直接创建密码索引，然后再将其移动到V ontu Enforce 服务器。

External EDM Indexer 还能够直接连接到SQL 数据来创建EDM 配置文件。

非结构化数据：索引文件匹配
索引文件匹配（IDM）确保精确检测非结构化数据，这些数据以Microsoft Word 和PowerPoint 文件、PDF 文档、设计规划、源码文件、CAD/CAM 图像、
财务报告、并购文档和其它敏感或专利信息形式保存。

业务或者系统管理只需要定义机敏信息应当存储的目录，IDM即可以对该目录下的文件建立索引，类似与google搜索引擎的方式，形成企业机敏信息的内容索引。

IDM 创建文档指纹来检测源文档、草稿或不同版本受保护文档的摘录部分，以及与二进制内容的精确匹配。

V ontu IDM 还有将某些内容（如标准样板文本）列入“白名单”的能力，以减少误报。

在一台服务器上，V ontu 已通过IDM 指纹成功创建并检测了超过两百万个文档。

与EDM 一样，其容量也可以随服务器的增加而线性扩展。

部分文档匹配是V ontu IDM 技术的一个特点。

因为IDM 注册和指纹识别文档的已摘录和已标准化的文本的不同部分，所以它允许在派生文档（如修订和版本）和段落（如粘贴到其它文档中的大块受保护内容）上进行可配置的匹配。

如果指纹中检测到所有散列段，则同样的技术也用于文本文档的精确文档匹配。

IDM 还支持以所有语言进行检测，包括那些拥有双字节字符集的语言。

策略编写UI允许完全控制部分文档检测背后的设置，特别是触发事故所需的原指纹识别文件与检测信息匹配的百分比。

内容被标准化，以除去标点符号和格式，这样对内容表示方法的修改就不会中断检测。

V ontu IDM 使用统计取样方法来存储指纹识别文档的散列段，因此并非所有文本都存储在文档配置文件中。

这种方法使IDM 同时具有极高的准确率和可扩展性。

V ontu 没有使用一些不是很先进的非结构化数据匹配技术，包括对从文档创建的散列进行过度采样，这种方法非常低效且浪费系统资源，或者是对散列进行随机取样，这将导致较高的漏报率。

IDM 检测技术的第二个特点是能够精确匹配二进制内容。

除了创建针对部分文档匹配的内容散列之外，再创建一个二进制内容的MD5 散列可以实现这一点。

这种形式的检测可以用于任何文件类型，包括那些不能破解和已提取文本内容的文件，如媒体文件或一些专用文件格式。

补充：描述内容匹配
精确数据匹配和索引文件匹配两种方式都是从现有的数据中提取信息建立样本库。

当不可能或难以获取信息副本进行索引，或者当精确内容未知但可以描述时，可以采用描述内容匹配（DCM）辅助建立样本库。

不同于精确数据匹配
和索引文件匹配自动建立样本哭的方式，DCM需要业务或者系统管理手工输入机密信息的关键内容。

描述内容匹配（DCM）具有高度准确性，对结构化和非结构化数据同样适用，它通过用户输入V ontu Enforce 中的V ontu 数据标识符、关键字、词典、模式匹配、文件类型、文件大小、发送人、接收人、用户名和网络协议信息来检测数据丢失事故。

DCM 包含20 多个现成的数据识别符，准确识别基于敏感模式的数据，如信用卡号、社保编号或驾驶证号。

数据识别符利用检测算法，将模式匹配与其它准确性检查和验证相结合，如用于信号卡号的Luhn 检查。

与只用正则表达式识别模式的解决方案不同，数据识别符还包括有关不同数据类型有效编号范围的内置智能功能。

例如，只有合法的身份证号码才会被检测。

这种额外的智能功能使客户能够在屏幕上显示出测试数据和其它频繁发生的误报，并识别特定于各种行业、国家和地区的数据类型，包括信用卡号、符合支付卡行业（PCI）数据安全标准的磁条数据、银行卡发卡行标识代码（BIN）、社保编号和保险编号等。

例如，社保编号的数据识别器将不仅查找九位数字的编号，它还将查找以破折号或空格分隔的DDD-DD-DDDD 模式，其中的编号是处于有效分配编号范围内的公共测试编号（如123456789），或者已经排除了所有相同的阿拉伯数字，显示社保相关的关键字。

V ontu 的关键字检测提供匹配任意单字或短语的功能，包括那些使用任何普通字定界符，如空格、逗号、短划线或斜杠等。

用户可以针对每种情况配置区分大小写的关键字匹配。

可以针对每种情况单独配置定义事故的匹配关键字或关键字短语的数量。

3.2 制定监视和防护策略
V ontu Enforce 提供一种集中用户界面，用户可以从中快速方便地构建可以在所有V ontu 产品中应用的数据丢失策略。

每种策略都是检测规则和响应规则
的组合。

当违反一种或多种检测规则时，将生成事故。

V ontu 支持布尔逻辑来构造复杂的检测规则，允许用户使用AND、OR 和NOT 逻辑运算符来组合多条规则和条件，还可以在单个策略中结合不同的检测技术。

在异常中将会考虑特定数据和发送人／接收人的“白名单”。

这些高度可配置的检测规则和异常规则的最终结果准确性非常高，且误报最少。

策略中的每个检测规则都被指定一个严重性等级，事故的总体严重性由所引发的最高严重性级别确定。

用户还可以定义消息组件，如正文、标题或附件，针对这些组件可以出现任何检测规则。

另外，经过指纹识别的数据配置文件在特定的策略外部定义，这使得可以在多个策略中引用经指纹识别的内容。

客户可以创建他们自己的策略，或者利用V ontu 提供的60 多个预先构建的策略模板，这些模板覆盖多个行业和规章，以帮助客户尽快开始工作。

当违反了数据丢失策略时，那么就评估该策略相对应的自动响应规则。

自动响应规则可以由不同的条件触发，包括事故严重性、事故匹配计数、消息的通信协议以及检测到该事故的V ontu 产品类型。

V ontu DLP 8 中提供15 个自动响应规则，包括发送电子邮件通知（向最终用户和／或其经理等）、设置事故的状态、拦截文件被复制到USB 设备中并向员工显示屏幕弹出消息、拦截数据传送（SMTP/HTTP/HTTPS/FTP）、修改SMTP 电子邮件（这样就可以将它重新路由到电子邮件加密网关等），或者复制或重新定位休眠的文件。

这些自动响应规则提供多种方法来自动划分入局事故的优先等级，以关注纠正工作并确保有适当级别的响应。

例如，某些事故（如来自高净值客户的数据或流入竞争对手的敏感设计规划）可能会自动触发拦截规则，且该事故可能会升级为引起立即关注的特殊工作流。

或者客户可能会希望区别对待涉及1000 条客户记录的事故和涉及10 条客户记录的事故。

响应规则是在特定的策略外部定义的，因此可以使用相同的响应，而无需为每个单独策略重新定义响应。

3.3 部署监视防护策略，检测敏感数据
在V ontu Enforce 中创建或更新了EDM 或IDM 指纹和策略后，它们被立即推送到所有其它适当的V ontu 服务器（V ontu Network Monitor 和V ontu Network Discover 等）那里。

它们将留在这些服务器的物理内存中，以进行快速。