数据防泄漏方案(DLP)
信息安全现状:
随着计算机、互联网以及企业信息化建设的深入,企业的绝大多数信息是以电子文件的形式被管理和存储,信息化使企业信息的生产、存储、获取、共享和传播更加便利,然而,与此同时,非常重要需要保护的内部研发技术文件、自主知识产权文件等,伴随网络和办公设备的自由使用却因为缺乏有效的信息安全管理机制造成保密信息泄漏,给企业信息安全带来更多的威胁,随着企业内部信息安全问题日益严重,信息系统的数据安全成为信息科技建设的重中之重。
建设数据泄露防护(DLP)系统的必要性:
随着企业信息化的建设和不断深化,创造价值的同时也带来了新的风险,尤其是内部研发技术文件、自主知识产权文件,运营资料,财务、人资资料等的自由使用缺乏有效的信息安全管控造成保密信息泄漏,给企业信息安全带来更多的威胁,数据的安全已是目前急需解决的问题。
终端电脑数据泄漏风险:
l 企业的研发源代码,财务、政券信息,运营资料,人资等敏感数据以不同的文件形式存在于每个人的终端电脑及SVN服务器中,很难准确定位和分析发现。
l 用户可因无意识行为,或有意识行为将终端的文件通过打印,共享文件,QQ传送,U盘拷贝,硬盘对拷,光盘刻录等多种应用程序方式进行传播,造成数据的泄漏。
l 仅限公司或部门内部流传的机密文件被散发至约束范围以外。
l 对于存在大量用户电脑里的敏感文件不了解,没有预知,准备。
l 重要文件由于需求被外发后,无法进行控制,会超出本设定的流动限制。
l 外部人员通过自带电脑,连接公司内部SVN服务器进行敏感数据下载。
l 数据若发生泄漏,造成事故后,无法进行查找,追溯。
l 终端层面的数据保护往往面临着难以想象的复杂性,给管理和配置带来一定难度,一定程度上造成数据保护产品的使用效果难以保证。
网络渠道数据泄漏威胁:
l 企业内部的敏感数据除了可通过终端的打印,拷贝,刻录等途径进行外泄外,还可以通过网络的流通进行外泄,如网盘发送网络共享,微博,论坛等的发送都会造成敏感数据的泄漏。
l 大量的敏感信息可通过邮件方式进行相互发送。
l 并且,公司内部敏感的文件被下载至个人终端电脑时,也会对敏感数据的泄漏带来很大的隐患。
l 外部电脑随意登录公司内网,访问内部服务器,也会对公司内部的敏感信息造成威胁。
l 对发生过的泄漏事件及敏感数据的流向没有审计,做为事后分析追溯的依据。
安全管理问题:
l 对于常被操作的敏感文件,常产生的泄漏渠道,以及常做敏感动作的用户没有一个分析,参考机制。
l 所有信息都加密带来不便,所有信息都不加密存在安全隐患。
l 用户可通过解除终端进程来避免被监控。
l 当网络意外断开后,客户端失效,日志丢失。
l 管理员失误或者有意识行为对用户进行放过产生漏洞。
l 针对高级领导,需有独立防护系统,不被其它人员监控、管理。
建设目标:
通过建设数据泄漏防护系统,打造一个安全、可信、规范的工作环境,实现对数据的安全管控及泄漏防护保障。
l 终端数据泄露防护
杜绝主机漏洞隐患
拷贝敏感内容到USB设备时数据自动加密,确保介质使用可管、可控、可查
在终端上识别和发现敏感内容
针对发现的敏感内容文件进行分类、加密和统计
针对发现的敏感内容外发事件做记录和警示
禁止敏感文档通过外设端口外传泄密
提供对泄密行为的主动防御能力,并可进行事后审计
l 网络数据泄漏防护
在网络出口处识别和发现敏感内容
针对发现的敏感内容外发事件做记录和警示
禁止敏感文档通过网络非法外传泄密
可识别终端数据泄露防护系统制作的加密文件
提供对泄密行为的主动防御能力,并可进行事后审计
整体解决方案:
方案设计原则:
在设计整体解决方案之前,首先要考虑的是DLP与加解密产品的兼容性问题,第二要考虑对敏感数据的识别、检索、加密管控能力,第三要考虑数据审计的完整性及事件报告展示效果的简洁性,形成一套更完整庞大的安全系统,全面对泄漏隐患进行防护,最后还要考虑部署安全设备及软件系统的可靠性、可用性;因此,在本次方案的设计过程中,均遵循以下设计原则:
1) DLP与加解密产品的兼容性
2) 对敏感数据的定位能力
3) 对各类文件的解析能力
4) 对发现的文件的加密能力
5) 始终考虑敏感事件安全审计及保护、展示原则需求;
6) 实施后不会影响现有计算机安全性,不会降低现有系统的可靠性和可用性,不影响现有系统的性能;
7) 数据审计及保护所采用的产品及方案高效安全;
8) 确保网络不会因为数据审计及保护设备故障而造成中断;
9) 不会因此出现性能瓶颈;
系统部署:
DLP服务器对全网所有终端及网络数据进行数据防护与审计。
加解密服务器对所有终端中敏感数据进行加解密控制
l DLP服务器
DLP服务器内包含SIP智能管理平台、DLP内容扫描服务。
管理员可通过管理平台对所有办公区域的终端/网络DLP系统进行统一的管理,如策略管理,事件管理,用户管理,日志展现等。
当客户端与DLP服务器正常建立通信后,即可通过管理员的配置,开始敏感数据的保护工作。
l DLP网络监控服务器部署
DLP网络监控服务器提供对数据的外发监控能力
需准备一台可镜像的交换机部署在需要网络传输保护的数据出口处,镜像至DLP网络监控服务器的数据口,来对需监控的通讯口的数据做镜像。
当网络监控DLP设备接收到管理平台下发的策略后,即可开始工作,对所有数据流过的数据进行分析,识别敏感数据,产生事件后通过网络服务器上传至管理平台供管理员进行查看,分析。
当有多台交换机需要镜像时,DLP网络监控服务器可以对多个口进行镜像,也可横向扩充,扩大DLP网络监控服务器的数理来支持多台交换机需要监控的需求。
DLP网络监控服务器分为两个档,最大支持数据流量500M流量和1G流量。
l 加解密服务器
加解密服务器提供数据加解密能力(由绿盟全资收购的亿赛通公司提供),当DLP下发对敏感数据进行加密控制的策略时,将调用加解密服务器中的密钥,对需要加密的文件进行加密,非指定文件不做加密处理。
l AD域服务器
统一管理的用户信息,DLP服务器和加解密服务器的组织架构通过AD域服务器进行同步统一。
l 客户端
被管理计算机中将安装两个客户端程序,分别为DLP客户端和加解密客户端,DLP客户端主要作用为内容识别(托盘可隐藏),加解密客户端主要作用为加密授权管控(托盘可隐藏)。
方案优势:
l 领先的本地化设计;针对国内用户加强了部分泄密途径管控,如支持国内用户量最大的聊天工具QQ、FOXMAIL邮件系统等国内用户大量使用的工具或网络应用;剪贴板控制支持内容向终端外粘贴时进行防护,而在终端内不做处理等功能优化。更好的支持国内用户习惯。
l 强大的文件扫描功能;DLP提供文件扫描功能,采用核心的扫描技术,快速扫描海量数据,为敏感文档进行发现,并展示,对敏感信息的预知提供了很好的支持。
l 全面保护各种数据类型;除常用的各类文档及结构化数据之外,还能有效保护源代码、二进制库及图片类型数据
l 支持文档加密,外发管理;采用绿盟科技领先的透明加解密技术,为用户提供更全面的数据加密、外发保护能力,确保关键数据的实体安全可靠。数据加解密技术通过国家密码管理部门的检测和批准。
l 准确高效的识别引擎;基于中文识别的检测引擎支持多种编码方式,更好的支持中文,效率和准确率更高 ,不但实现了关键字检索、正则表达式匹配,也实现了文件指纹、文档分类及数据库指纹等更多数据检测能力。
l 优秀的体系结构;三层结构加中心管理的体系结构,支持灵活快速的部署和扩展能力,有效支持大规模部署;支持与业务系统的对接、专用软件和文档内容定制能力,为用户量身打造数据安全系统
