数据泄漏保护方案

1、ABC有限公司数据泄露保护方案McAfee公司上海办事处Tel: 021-614588782021年12月8日本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第 16 页 共 16 页文档说明非常感谢ABC给予McAfee公司机会参与数据泄漏保护子项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和ABC内部使用，未经McAfee公司书面许可，请勿扩散到第三方。目 录 1方案概述42McAfee DLP部署方案82.1部署架构及工作流程82.2McAfee DLP部署流程112.

2、3McAfee DLP策略管理152.4McAfee DLP部署完成后的整合性功能152.5McAfee DLP能够防护的数据泄露行为161 方案概述ABC有限公司和大部分金融企业一样，经营和管理过程中会产生大量的数据，如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据，这些重要数据就像是生命中的“血液”一样重要，是企业生存的基础。如果这些数据一旦遭到泄漏，将给公司的信誉和资产造成重大损失。自2004年以来，数据泄漏事件正以1700%的速度增长，平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有：1）TJX-攻击者窃取了 4570 万个信

3、用卡和借记卡数据，造成的后果是企业形象受损和法律诉讼；2）CardSystems公司-网络罪犯攻击了 4 千万个 Visa/ MC/Amex 用户；后果是CardSyestems 现在已宣告破产；3）ChoicePoint公司-诈骗公司使用购买 ChoicePoint 产品的消费者记录； 后果是2600万美元的罚款以及股票市值缩水8 亿多美元；4）Wells Fargo-泄露了 3300 万个客户的帐户；后果是为了符合州数据泄露法案的要求，仅邮寄的成本就高达 1900 万美元。数据泄露造成的根源来自外部黑客攻击和内部数据泄漏，据FBI的统计，70%的数据泄漏是由于内部人员造成的，而这些内部人员

4、大都是有权限访问这些数据，然后窃取滥用这些数据。无论是黑客攻击、还是内部故意泄露，数据泄漏有以下三个途径造成：1）物理途径从桌面计算机、便捷计算机和服务器拷贝数据到USB，CD/DVD和移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机发送。1）网络途径通局域网、无线网络、FTP、HTTP、HTTPS发送数据，这种方式可以是黑客攻击“穿透”计算机后造成，也可能是内部员工从计算机上发送。2）应用途径通过电子邮件、IM即时信息、屏幕拷贝，P2P应用或者“特洛伊木马”窃取信息。图一、数据泄漏的三种途径McAfee® Data Loss Prevention（以下简称DLP） 解

5、决方案可以有效保护企业的重要机密数据，免于数据泄漏的风险。DLP通过监控机密信息和防止未经授权的传输保护数据免于泄漏，来支持员工共遵守企业数据保护法规和企业安全策略。McAfee DLP Host具有内容感知功能，当数据在网络、物理设备和应用程序等易导致数据丢失的渠道中传输时，根据预先定义的策略，提供全面的保护。McAfee® Data Loss Prevention (DLP) 数据泄漏防护解决方案通过基于主机和基于网关的两层保护提供了全面的防护：1) 基于主机的保护（产品名称：McAfee Data Loss Prevention Host）保护公司和移动中（在家里和在路上）的终

6、端、服务器上的数据；2) 基于网关的保护（McAfee DLP Gateway）辅助的保护，预防数据通过外来机器、非 Windows 系统和其他无代理程序的设备泄露出去。McAfee DLP从物理、网络和应用三个途径进行全面的绝对防护：1) 防范数据通过以下渠道丢失：电子邮件、IM、FTP、HTTP、HTTPS、gmail、hotmail、USB、CD、DVD、iPod、打印、复制/粘贴、屏幕抓取、P2P 等2) 保护 390 多种数据文件3) 即使数据被修改、复制、粘贴、压缩或加密，标记功能仍能使防护发挥作用4) 高度准确性：-独特的指纹算法-强大的正则表达式引擎-基于位置和基于环境的分类方

7、法DLP对企业范围数据提供实时和离线的完整监控，保护数据和发现策略违规：1) 及时收集详细的证据和报告 -发信人、收信人、时间戳、组、内容等2) 轻松实现全球、组和个人级别的控制 -监控（允许） -预防（拦截） -隔离（等待安全小组的授权） -加密（在数据传输之前进行加密） -警告（通知管理员和最终用户）3) 移动保护功能： -无论用户身在何处，均可防范通过便携式计算机转移敏感数据通过使用McAfee DLP数据泄漏保护，可以帮助企业实现： 保护机密数据、财务数据和知识产权； 机密用户数据-信用卡号、姓名、地址和个人身份信息等； 知识产权-专利、源代码、设计、商业秘密和公式； 支持法规遵从、留

8、住客户、保持竞争优势、保护品牌和客户信任； 法规遵从/品牌-职员复制/粘贴客户数据并无意中将这些数据通过电子邮件发送出去，DLP将实时拦截数据的发送； 客户-不如意的销售人员在去竞争对手那里工作之前计划将客户信息打印出来，McAfee DLP将阻止这些信息的打印； 优势-用户试图通过 U 盘窃取公司的源代码，然后带去另一个公司，DLP将阻止这些保护的源码 避免罚款、法律诉讼和整理等成本 您会因解决了一个巨大的业务问题而备受重视2 McAfee DLP部署方案2.1 部署架构及工作流程McAfee 数据保护包含的主要组件及功能：McAfee 终端加密整个硬盘加密，移动介质、文件和文件夹的强加密

9、笔记本电脑，桌面机和移动介质的全面防护 符合审计-合规性要求的审计记录 支持全面的强加密保护 认证：FIPS 140-2, Common Criteria Level 4 (highest level for software products), BITS, CSIA, 等. 更丰富的定制策略和整个硬盘加密相比 Windows浏览器级别的整合 自动加密/解密，对用户完全透明，没有性能损失 在桌面，笔记本，服务器上保护文件和文件夹 保护移动介质上的数据 在手机上创建加密的，受保护的空间 支持多种加密算法 当移动介质遗失时依旧保证数据不丢失 集中管理手机上的加密策略McAfee 数据流失保护全面

10、的控制和基于用户操作的绝对可见 在日常工作中保护数据避免出现突然泄漏 监测数据的操作 详细的记录，事件搜集 实时防护和阻挡 通知用户和管理员 隔离敏感数据McAfee DLP具有统一的数据管理平台，同时，通过在各个系统终端部署DLP客户端实现对客户端数据的全面保护，其主要部署架构如下图所示：McAfee 设备控制防止未授权的移动介质的使用 全面控制数据和设备 仅允许指定的设备 指定什么数据可以被复制 基于用户，组，部门 进行策略制定，例如允许CEO连接任何U盘，而其他员工只能使用特定的U盘 详细记录用户和设备的访问信息以符合审计和合规的要求 基于McAfee数据流失保护(DLP)技术 全面的基

11、于内容和上下文摘要的阻挡能力 限定用户如何复制数据到外部设备 增加U盘使用的控制能力和效率 确保外部设备的使用受到控制McAfee 加密U盘安全，可以被做外部使用的存储介质 一系列的安全移动介质 强制的访问保护和加密 U盘的集中管理 内部和外部合规性的要求 在整个公司层面的快速推广 通过管理界面可以追踪使用状况 简化使用流程 匹配域环境对U盘和用户进行绑定 流动数据的防护2.2 McAfee DLP部署流程(1) 在企业网络内部安装McAfee DLP管理控制端，并在需要进行数据保护的终端上部署DLP代理程序；McAfee DLP支持多种部署模式，可以实现对多数操作系统平台的支持。(2) 定义

12、需要的各类数据防窃取策略以及策略组，如按照用户、区域等进行划分、如下图所示：(3) 对需要保护的数据进行数据分类，以方便实现各个不同的保护策略，数据包含多个类别，可以根据数据类型、数据内容等进行分类，如下图所示：(4) 定义发现数据泄漏问题时所采取的动作，如阻挡或警告等，当McAfee DLP发现违反数据保护策略的行为时，根据策略采取相应动作，如下图所示：(5) 通过DLP的管理平台，对数据保护情况进行实时监控，查看各类告警信息，如下图所示：(6) 定期生成数据保护状况报告；(7) 通过对DLP系统的整合性管理，实现全面的数据防窃取保护。2.3 McAfee DLP策略管理· 第一步：定义全局的数据防窃取策略，通过McAfee DLP管理平台· 第二步：对需要保护的数据进行分类 (可以基于多个配置规则)：o 根据数据所在的物理地点；o 根据数据包含的内容；o 根据存储数据的文件类型。· 第三步：当发现违反策略的事件时，所采取的动作类型：o 可以只是监控报警并记录各类信息；o 通过Agent直接阻断非法行为，实现对数据的实时防护。2.4 McAfee DLP部署完成后的整合性功能(1) 防止丢失客户数据和机密数据，如：· 信用卡记