企业业务数据防泄露方案.pptx

1、业务系统数据防泄露解决方案,深圳市联软科技有限公司 2012/1/12,内容纲要,企业面临的数据泄露安全风险,如何选择适合自身的数据防泄露方案,联软数据防泄露解决方案,联软科技介绍,数据泄露事件日益增多,数据泄露的背后往往是巨大的商业和政治利益,下一个会是 ？,三菱UFJ证券泄密案（2009）,据日本朝日新闻4月9日报道，日本三菱UFJ金融集团(Mitsubishi UFJ Financial Group)经纪业务部门日前表示，该公司一名员工私下将近5万名客户的信息出售，其中包括客户的薪水等私人信息。目前这名员工已被解雇。 三菱UFJ证券公司表示，一名44岁的员工被发现将约5万名客户的详细信息

2、出售给了三家数据代理商。这名员工是该公司计算机与信息部门的负责人，不过他的身份没有被公开。三菱UFJ证券公司已经解雇了这名员工，并打算提起诉讼。 三菱UFJ证券公司就这起泄密事件向所有客户道歉，并表示已经报警。总经理Koji Maeda在新闻发布会上表示:“在此特向公司所有的客户致以最诚挚的道歉，我们将全力配合警方的调查，严防类似事件再次发生。” 据悉，这名员工事发前曾在未经授权的情况下，将多达1486651名客户的资料带回家中，这个数目几乎是三菱UFJ证券公司的所有个人客户的数量。随后，他将49159名客户的信息售出，用以偿还个人贷款。出售的信息包括客户的姓名、家庭住址、电话号码、职业、年收

3、入等。后来，大量客户投诉称，他们的电话号码被曝光，甚至频繁接到电话推销，此事才一点一点曝光。,日本Alico公司数据泄露事件（2009）,美国生命保险日本分公司“ALICO JAPAN”就泄露信用卡持有者信息一事，30日公布了截止29号怀疑卡被盗用的投诉事件，总数已从25日的2200件上升至2700件。 据ALICO报道，2700件非法盗用的信用卡都在公司的掌握之中，还没有发生要求实际持卡人付费的事件发生。 从7月初开始出现非法使用的信用卡，将在8月以后通知持卡人。 今后，还会有信用卡公司没有掌握的盗用部分要持卡人付费问题出现。ALICO今后将依次公布非法盗用的投诉事件。,InsightExp

4、ress 2008年的调研数据,中国的数据泄露更多的是主动/内部泄露！,比较而言，中国的数据泄露问题比较严重！,数据泄露风险,用户无处不在 企业全球化扩展、分支机构 人力外包，家庭办公,政策法规 业务需求 预算资金,数据无处不在 结构化数据，非结构化数据 客户名单，知识产权，财务报表,机密,业务系统中数据的分类,促销计划,立项报告,投标文件,配置信息,设计图纸,财务报表,财务报表,工资表,信用卡号,客户名单,消费记录,账单,结构化数据,非结构化数据,数据泄露风险如何评估,机密数据如何被泄露,机密数据如何流转,机密数据位于何处,CONFIDENTIAL,CONFIDENTIAL,CONFIDEN

5、TIAL,业务数据存放位置及形式,存储中的数据,传输中的数据,使用中的数据,Windows file shares Unix file shares NAS / SAN storage Windows 2000, 2003, 2008 / Windows XP, Win 7 Oracle SQL Server CMS SharePoint,Local printers Network printers Burn to CDs/DVDs External hard drives Memory sticks Removable media Copy to Network shares Copy t

6、o external drives,SMTP email Exchange, Lotus, etc. Webmail MSN Messenger QQ FTP HTTP HTTPS TCP/IP,数据泄露风险点,内部应用系统,VPN,应用系统,业务系统,外部系统,OA系统,ROUTER,WLAN,SWITCH,HUB,内部网络,智能终端,网络外设,个人电脑,终端外设,外部系统的特点： 1）数量有限 2）信息流有限 3）出口位置通常能够固定,内部应用系统的特点： 1）设备位置相对固定 2）管理人员相对固定 3）比较容易通过管理规范、制度等约束,网络的特点： 1）覆盖面广，信息量大 2）信息以比特

7、流的方式呈现，人不可阅读 3）有专用工具可以截获网络上信息,终端系统的特点： 1）数量多，操作人员复杂（岗位、部门、级别） 2）位置分散，多种接入方式 3）终端类型复杂：台式机、笔记本、打印机、扫描仪. 4）数据泄露途径多，特别是网络泄露途径不可统计,业务数据如何被泄露,非结构化数据,结构化数据,转换,内容纲要,企业面临的数据泄露安全风险,如何选择适合自身的数据防泄露方案,联软数据防泄露解决方案,联软科技介绍,主要的数据防泄露方案,DLP方案 Data Loss Prevent DRM方案 Data Right Management EFS方案 Encrypting File System/D

8、rive DB Audit方案 DB Audit,DLP方案的实现方式,MANAGE,发现,确定所要扫描的目标 在网络或终端上扫描敏感信息 data,制订安全策略,审计,监控,1,2,3,保护,4,5,监控发送的数据 监控网络或终端上的事件,阻断，删除 隔离、复制 提示、告警,DLP方案的优缺点,DLP的方法 通过深度内容分析，按照统一安全策略，识别、监控和保护静态存储的数据、使用中或传输中的数据 DLP的优点 保护内容比较广 部署较简单 DLP的缺点 无法阻止主动式泄密 不适用多通道的网络环境（例如个人接入的3G网卡） 对硬件要求高（否则无法进行深度分析） 对外发的密文无法管控,DRM方案的

9、实现方式,MANAGE,创建,文档作者创建文档 加密、设置权限 data,制订安全策略,审计,传送,1,2,3,接收,4,5,上传到服务器 通过邮件或其他方式发送给接收者,在服务器直接打开 下载到本地打开,微软RMS方案的工作流程,非法用户得到该文档后不能打开,5,内部员工可以打开该文档“marketing.docx”,4,3,RMS将该文档保护，并限制为只有内部员工可以打开,文件分类架构表标识该文档为“密文”,2,用户创建office文档 “marketing.docx”,1,DRM方案的优缺点,DRM的方法 在文件中标记权限 需要额外的身份认证、权限管理、日志审计等技术 DRM的优点 能够

10、防范用户的主动式泄密和二次泄密 便于理解 DRM的缺点 无法防止作者泄密 需要改变用户的使用习惯 权限管理,EFS加密文件系统,4,3,用户选择加密文档”marketing.docx”,2,用户创建office文档 “marketing.docx”,1,用户可以打开该文档“marketing.docx”,非法用户得到该文档后不能打开,EFS方案的优缺点,加密的方法 文件、文件夹、磁盘加密 EFS的优点 操作简单，易普及 即使存储设备丢失，也不用担心信息泄露 EFS的缺点 无法防止用户主动泄密 密钥管理 密钥如何存储 密钥丢失后如何恢复加密文件,数据库审计方案,数据库服务器,审计引擎,端口镜像,

11、审计控制,数据库审计方案的优缺点,数据库审计的内容 可以跟踪数据库管理员的全部详细操作 数据库审计的优点 可以追溯事件原因 技术较简单、易部署 数据库审计的缺点 只是一种威慑，不能确保阻止泄露行为 数据库自带的审计功能会耗费大量的资源，第三方的审计软件通常存在审计不全的问题,完美的数据防泄露解决方案,？,选择一个最适合的方案,合理的期望 多种因素的平衡,内容纲要,企业面临的数据泄露安全风险,如何选择适合自身的数据防泄露方案,联软业务数据防泄露解决方案,联软科技介绍,业务数据防泄露解决方案核心,通过NAC（网络访问控制）技术，确保只有受控计算机和认证人员才能够接入企业的业务网络 通过AAC（应用

12、访问控制）技术，确保只有受控计算机上的受控程序才能连接服务器和接收来自服务器的数据，并且数据的导出和下载过程全面受控 经授权导出的数据采取密文的方式保存，防止数据二次泄露,网络访问控制（NAC）总体流程,自动发现网络上的所有终端 发现哪些终端安装了Agent 哪些没有安装Agent,网络访问控制技术示意图,建立终端接入管理机制 注册登记 接入检查 安全隔离 安全通知 安全修复 外来终端无法接入 或自动进入访客区 不安全的终端访问受限 只能访问指定的服务器和网络,认证服务器,访客区,工作区,修复区,身份安全状态+硬件ID,外来终端,不安全终端,合规终端,应用访问控制（AAC）总体流程,自动将应用

13、访问控制策略下发到受控终端,未采用AAC的数据传输方式,终端,应用系统,客户端,1. 客户端软件访问应用系统数据,2. 应用系统应答，数据返回给客户端,3. 客户端程序将数据保存（导出）至终端本地存储,采用AAC后数据管控方式,终端,应用系统,客户端,1. 客户端软件访问应用系统数据,2. 应用系统应答，数据返回给客户端,3. 客户端程序将数据保存（导出）至终端本地存储,支持的应用系统类型,B/S类型的应用系统 通过浏览器访问的应用系统 支持所有浏览器IE/Firefox/Chrome C/S类型的应用系统 SQL Plus, (数据库客户端连接方式) telnet/ftp/ssh, (常用网

14、络服务连接方式) 远程文件共享, (文件共享连接方式),支持几乎所有的应用,AAC控制过程示意,联软业务数据防泄露方案的优势,最先进、最完整、最有效的业务数据防泄露解决方案 全面解决了结构化数据和非结构化数据的泄露问题 采用业界最先进的应用虚拟化和网络准入控制技术 易部署、易使用 无需改造网络，无需改造业务系统 使用简单，不改变用户习惯 可靠性 在终端进行管控，不影响业务系统，没有性能瓶颈 无灾难性故障,内容纲要,企业面临的数据泄露安全风险,如何选择适合自身的数据防泄露方案,联软数据防泄露解决方案,联软科技介绍,公司概况,2003年成立，总部位于深圳 联软科技是全球领先的网络安全软件厂商。我们专注于基于IT服务管理(ITSM)的信息安全产品和解决方案的设计与开发，是为数