Your SlideShare is downloading. ×
分会场三赛门铁克 Data loss prevention产品介绍
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

分会场三赛门铁克 Data loss prevention产品介绍

1,429
views

Published on

Symentac 2010 @ BJ

Symentac 2010 @ BJ

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,429
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 赛门铁克 Data Loss Prevention产品介绍Jacky Bo 薄一峰SE,China SE SWAT TeamDec 2 2010
  • 2. 加密、DRM和DLP产品的分析 Symantec Data Loss Prevention 产品介绍 Symantec DLP 案例介绍Symantec Data Loss Prevention产品介绍 2
  • 3. 常见的防泄密选择• 全面评估信息风险,包 • DRM可以决定数据的 括网络、端点和存储 访问和使用方式,功能• 全面检测数据库、文件 强大 、邮件、文字等泄密通 • 仅限于特定的文档类型 道,及时报警或阻止 DLP DRM • 需要与企业应用紧密集• 统一制定防泄漏策略 (数据泄漏保护) (数字权限保护) 成,大量依靠人工参与• 遵从SOX等法案法规 • 部署实施十分复杂并难• 实施和部署简单,无需 以持续运维 更改流程,无需人工参 • 仅适用于研发等少数小 与,可在企业范围应用 组• 能够有效的与DRM/加 密工具集成使用,使得 后者更有效 DATA 企业信息• 能够阻止没有权限的人 非法获取信息,即使丢 失也没关系 • 技术不能解决所有的问• 依赖手工进行 题,仍然需要以下辅助 Encryption Management • 风险教育• 密钥的管理是个复杂问 (加密) (管理) 题 • 行政管理 • 物理安全• 不能解决无意识泄密和 主动泄密 • 刑事诉讼• 仅适用于笔记本或者少 量文件服务器 Symantec Data Loss Prevention产品介绍 3
  • 4. 加密、DRM和DLP• Encryption(加密) – 整盘加密或者基于文件/文件夹的加密 – 邮件加密 – 一旦文件被打开,里面的内容就不再被保护 – 和DRM类似,需要用户仔细考虑哪些文件需要加密 – 不能基于内容来自动加密 – 密钥需要妥善的保管,系统维护成本高 Symantec Data Loss Prevention产品介绍 4
  • 5. 加密、DRM和DLP• Data Rights Management (DRM) – 提供文件级别的访问控制:“谁”可以对文件做“什么” – 是否可以打开,内容拷贝,编辑,打印,等 – 你不能DRM所有类型的文档(主要针对Office文档) – 不能进行内容识别和智能化的管理 – 由于文件需要定义访问等级,所以很难快速的部署和实现 – 如何对文件定级也是一个需要仔细考虑的问题(通过文档模板?关键字? 文档生成环境?水印?标签?。。。前期需要大量的咨询工作) – DRM过的文档只限于公司内部交流,如果要给外部人员访问,则需要复 杂的文档权限分配流程 Symantec Data Loss Prevention产品介绍 5
  • 6. 加密、DRM和DLP• Data Loss Prevention (DLP) – 当敏感信息在企业内使用时发现并且保护他们 – Email, HTTP, FTP, USB, CD/DVD, Print, etc – 在服务器、数据库和数据应用仓库中发现敏感信息 – 内容检测,不依赖于文件类型 – 基本上不会影响到现有用户 Symantec Data Loss Prevention产品介绍 6
  • 7. 数据保护建议流程 1 DLP 2 DRM 3 加密 网络 端点 存储 文档分类 文档授权 密钥管理 自动加密 http USB 数据库 文档级别 用户权限 文档分级 ftp DVD 文件服务器 文档类型 应用程序 Webmail 共享 … 文档位置 … IM … 应用程序 … … 识别企业风险并有效阻止 针对个别部门的重要文档 针对个别部门的机密文档Symantec Data Loss Prevention产品介绍 7
  • 8. 加密、DRM和DLP产品的分析 Symantec Data Loss Prevention 产品介绍 Symantec DLP 案例介绍Symantec Data Loss Prevention产品介绍 8
  • 9. 两分钟介绍• 什么是DLP(Data Loss Prevention)?• Symantec DLP的历史?(Vontu)• 目前的版本?(10.5)• 2011年1月份V11版本正式release,现在进行beta版本测试Symantec Data Loss Prevention产品介绍 9
  • 10. 它是如何工作的? 发现 监控 保护2 3 4 • 定义扫描目标 • 检查被发送的数据 • 阻止、移除或者加密 • 运行扫描来发现存储和 • 监控网络和终端的事件 • 隔离或者拷贝文件 终端上的机密信息 • 通知员工和上级经理 MANAGE 1 • 启用或者自定义 策略模板 MANAGE 5 • 响应和针对风险降 低的报告Symantec Data Loss Prevention产品介绍 10
  • 11. Symantec Data Loss Prevention 10.5产品家族 Symantec Data Loss Prevention DLP Suite DLP Standard Enforce Endpoint DLP Network DLP Storage DLP Platform Endpoint Network Network Discover Monitor Discover Network Endpoint Prevent for Data Insight Prevent Email Network Network Prevent for Protect WebSymantec Data Loss Prevention产品介绍 11
  • 12. Symantec DLP 架构:管理平台 + 存储 + 终端 + 网络 MTA or Proxy SPAN Port or Tap离线客户端 企业网络 DMZ区域 Symantec Data Loss Prevention产品介绍 12
  • 13. 保护方法:高精度的内容识别专利技术Symantec DLP TrueMatch™ 检测技术 描述内容匹配 精确数据匹配 索引文件匹配 DCM EDM IDM Described Content Matching Exact Data Matching Indexed Document Matching 结构化数据 非结构化数据 内容描述数据 客户数据 知识产权 • 非索引数据 • 客户/雇员/报价 • 设计/源代码/财报 • 词典 • 部分行匹配 • 扩展的段匹配 • 数据标识 • 接近100%的精确性 • 接近100%的精确性 • 300M+ rows per server • 5M+ docs per server 误报率< 1% 误报率< 10的16次方分之一 误报率< 1.68* 10的12次方分之一 Symantec Data Loss Prevention产品介绍 13
  • 14. Symantec DLP产品Vontu的操作界面Symantec Data Loss Prevention产品介绍 14
  • 15. 加密、DRM和DLP产品的分析 Symantec Data Loss Prevention 产品介绍 Symantec DLP 案例介绍Symantec Data Loss Prevention产品介绍 15
  • 16. XX公司数据保护方案• 之前已经使用国内厂商的DRM方案 – 内部实现了文档访问控制(在公司内部对于需要保护的文档进行了统一 的权限管理,公司内部的员工只能打开查看文档的内容,但是不能进行 编辑、打印、复制/粘贴等操作); – DRM方案只针对Office办公文档,不能对业务数据进行保护; – 有些Office文档需要在与其他公司之间流动,所以在发出去之前先要将文 档的权限控制去除; – 有员工将一些DRM保护的文档外发(据说DRM保护的文档还是可以被破 解); – 在DRM系统的实际运行过程中,无法全面的将机密的文件进行保护(相 关流程的制定对公司来说始终是个挑战,控制太严格,企业效率就会下 降;控制太松,就会导致部分机密信息泄密出去);Symantec Data Loss Prevention产品介绍 16
  • 17. XX公司数据保护方案• XX公司的顾虑 – 离开公司的数据(包括在网络侧和客户端侧出去的数据)没有进行审计; – 即便对外发的邮件进行归档,也只是保存历史性的记录,不能实时的检测邮件正文和 附件的内容; – 即便对HTTP上网的记录进行保存,目前能够实现的也就是保存历史性的URL访问记录 以及相应的时间和用户名,对于HTTP上传的内容和附件一般没有记录; – 上述的邮件和HTTP上网记录审计,都只能进行事后的记录查看,并且时间滞后比较 长,而且由于其数量之大,计划定期查看的工作,实际上也没有人会定期去确认这些 记录; – 终端侧由于公司的企业文化,无法实现强控制,所以U盘拷贝、打印、FTP外发等操作 都是不受控制的,机密数据很多都是在终端侧泄密出去,但是目前终端侧的操作都没 有审计; – 相关重要信息的泄密事件时有发生,来自高层领导和业务部门的压力越来越大,需要 一套系统对外发的数据进行实时的风险评估,将可能造成泄密风险的一些事件记录下 来,包括相关源文件,并且能够实现实时的通知和告警。 Symantec Data Loss Prevention产品介绍 17
  • 18. XX公司数据保护方案• 现在使用了Symantec公司的DLP方案 – 实时监控和审计外发的机密的明文Office文档; – 实时监控和审计业务数据的外发(主要针对移动用户信息,包括手机号码,身份证号 码,姓名,地址,等); – 实时监控和审计其他类型的文件(包括RAR,ZIP,DRM保护的文档,加密文档,等) – 终端侧U盘文件的拷贝以前是数据泄密的一大出口,现在可以对终端所有U盘拷贝的 文档进行实时的内容扫描,然后将违规的事件以及相关的源文件上传到DLP控制中心; – 提供实时的事件响应和邮件通知,并且将事件信息发送到SOC中心; – 对泄密事件按照各个部门进行统计,从宏观角度评估各个部门的泄密风险程度; – 定期扫描服务器和数据库,以及应用系统中的敏感信息(包括办公数据和业务数据), 获得最新的敏感信息分布图,从而可以制定系统加固的计划任务; – 联动DRM系统对明文存放的机密数据进行权限保护,使之符合SOX标准; – 对于高层领导的数据外发操作,不进行监控审计,实现策略的灵活应用。 Symantec Data Loss Prevention产品介绍 18
  • 19. 案例总结• DRM系统 – DRM不能百分之百的实现机密数据保护 – DRM流程会消耗企业大量的人力 – DRM不能实现数据泄漏的风险评估• DLP系统 – DLP能够实现数据的监控和审计 – DLP能够实时的进行通知和告警 – DLP能够发现机密数据的存放位置• 备注:虚拟化管理 – 适用于研发中心 – 对于企业内的各个部门使用,以及出差人员的电脑使用,网络连通性要 求很高 – 与其他公司的文档交换需要相关流程 Symantec Data Loss Prevention产品介绍 19
  • 20. 7.HR人事系统或者4A数 数据保护方案架构图8.DLP事件可以发送 据库员工相关信息到SOC中心,进行事 件的集中分析 6.网络侧和客户端侧, 3.网络出口侧外发的数据,主要包括HTTP上传和 以及机密文件位置发 邮件外发,进行DLP系统的实时内容检测,记录 现的DLP事件发送到 违规事件,并且进行邮件通知 DLP中央控制台 1.文档集中存放, 公司内各个部门 不同部门的文件通过各个目录进行权限控制 4.客户端侧 的数据外 市场部 市场部文件夹 发,包括 HTTP/S、 FTP、邮件、 IT部 IT部文件夹 2.目录中的文件进 U盘拷贝、 行加密,公司内员 打印、聊 财务部 财务部文件夹 工获得文件后可以 天工具传 解密,公司外人员 送文件等, 无法解密 进行DLP系 。。。 。。。 统的检测 全公司共享文件夹 5.对服务器和客户端上存放的机密 文件,通过DLP系统进行发现Symantec Data Loss Prevention产品介绍 20
  • 21. DLP系统检测技术和响应动作• 检测技术 – DCM(Describe Content Match,描述内容匹配)  关键字  正则表达式(主要针对身份证号码,电话号码,信用卡号码等) – IDM(Index Document Match,索引文档匹配)  对服务器上集中存放的文件进行索引 – EDM(Exact Data Match,完全数据匹配)  对数据库中的数据进行索引(主要针对VIP客户信息)• 响应动作 – 事件记录下来(默认) – 事件状态设定(按照事件类型,事件中违规的数据量,违规的内容类别,等)  高  中  低(默认级别) – 邮件通知管理员或者审计人员 – 邮件通知责任人(DLP项目第二阶段) – 所有事件发送到SOC中心 Symantec Data Loss Prevention产品介绍 21
  • 22. DLP项目小组人员编制主要角色 情况简介DLP 系 统 经 负责通过管理规定,事件响应启动,报告和作用,在风险防范机制理 时持续推进系统调优和扩展; 风险管理,隐私保护,合规管理或信息安全等部门的工作人员; 也可能负责领导事件响应小组。DLP 系 统 管 负责确保系统平稳运行,包括监测业务指标,调整系统以改善性能理员 或响应组织环境的变化; 来自系统管理,信息技术或信息安全部门的工作人员。DLP 系 统 支 当基础架构或系统架构变化影响赛门铁克的DLP系统时,提供必要持小组 的支持;提供专业知识,访问关键基础架构; 网络基础架构,服务器管理,桌面管理,存储管理,访问控制,信 息传递等方面的代表。DLP 事 件 审 当DLP事件生成后,对其内容进行审核,并判断后续的响应动作;计人员 来自法务部,审计部,或者业务部门的工作人员。Symantec Data Loss Prevention产品介绍 22
  • 23. DLP事件响应架构Symantec Data Loss Prevention产品介绍 23
  • 24. Thank you! 薄一峰 jacky_bo@symantec.com SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLY Copyright © 2010 Symantec Corporation. All rights reserved.Symantec Data Loss Prevention产品介绍 24