配置手册prevention一个真实的场景

1、Data Loss PreventionChapter一个真实的场景一个真实的场景用户业务部门主要有3个销售部设计部财务部邮件是其中的业务应用启用邮件数据泄密保护软件刀片只监测，不控制一周后查看结果DMZMail systemInternalSales Dep./24Design Dep./24Finance Dep./24internet启用邮件数据泄密保护软件刀片一个真实的场景(一周后.)平均每20封邮件就有一封违规多种违规方式向外发送带有信用卡与账务信息的xls文件密抄内部邮件到外面免费邮箱发送大文件到外面免费邮箱发送设计文件到外部免费邮箱发送密码保护文件到外部免费邮箱一个真实的场景(分

2、析1:密抄外部邮箱)现象密抄现象比较普遍部分员工密抄的情况尤其严重密抄外部通常都是使用大容量免费邮箱分析用户使用习惯。使用外部免费邮箱作为私人存档方法用户第二种使用习惯，把数据发到外部邮箱，回家后从外部邮箱取回继续工作大部分公司信息将暴露在互联网企业员工并不知道这个是一种非常危险的违规行为，所以普遍使用公司IT与管理层也不知道这种事情发生一个真实的场景(分析2:外发设计文件)现象部分设计部员工会外发设计图纸到公网免费邮箱分析用户第二种使用习惯，把数据发到外部邮箱，回家后从外部邮箱取回继续工作发送给客户其他原因企业核心资料有机会被竞争对手获取公司管理层对此并不知情一个真实的场景(分析3:外发财务

3、文件)现象有财务人员发送包含信用卡数据的文件到公网免费邮箱发送报表信息到公网邮箱分析用户第二种使用习惯，把数据发到外部邮箱，回家后从外部邮箱取回继续工作其他原因财务数据的敏感度是非常高，泄密很容易造成严重问题公司管理层对此并不知情一个真实的场景(数据违规)80到 90%的 数据违规都是非故意的用户泄密的情况是比较普遍的用户没有足够重视没有正确和高效的手段引导用户避免此问题 Corporate StrategyGreen World Strategy Plan 2010有意或无心发错收件人 RE: Your latest service requestPayment details电邮内容有信用

4、卡资料，泄触PCI Compliant.数据安全保护防止敏感数据的丢失数据丢失的后果品牌损坏和公众影响公司机密和知识产权财务数据和预计收入机密客户数据监管处罚法律责任为什么需要数据安全保护?John, Lets review the corporate strategy in our morning meeting.Green World Strategy Plan 2010 Corporate StrategyData Loss Prevention AlertAn email that you have just sent has been quarantined.Reason: atta

5、ched document contains confidential internal dataThe message is being held until further action.Send , Discard , or Review IssueCheck Point 数据防泄安全保护介绍教育用户面对企业数据策略执行数据泄漏流程阻断从检测发展到阻断Check Point整合技术和流程使DLP 工作NEW!Check Point 实现DLP Corporate StrategyJohn, Lets review the corporate strategy in our morning

6、 meeting.Green World Strategy Plan 2010John Data Loss Prevention AlertAn email that you have just sent has been quarantined.Reason: attached document contains confidential internal dataThe message is being held until further action.Send , Discard , or Review Issue机密数据发送至错误收件人!用户迅速采取行动用户采取补救措施防御帮助用户实

7、时补救泄露事件教育教育用户，无需IT员工辅助UserCheck 场景阻断机密信息上传到外部网站需要用户确认并且纠正潜在的违规操作基于策略过滤机密信息的通信 场景 1: 阻止场景 3:警告, 询问 和教育场景 2:执行Bypass选项桥模式支持 (L2)单一 硬件集成到网关易于办理低 TCO低碳软件刀片部署DLP 方案选择Ask User DB4. Execute user action 3. Review Issue 2. Ask UserDLP 例子InternetMail ServerCheck Point Security GatewayCheck Point DLP Software

8、BladeWWWSmart Center and Logs1. Incident DetectedConfidential data sent to GMAILMikea customer listUserCheck 解析你为什么需要发送邮件UserCheck 隔离UserCheck 隔离教育特别的策略询问用户- UserCheck用户会被重定向到一个web页面，哪里会有更多的信息告诉用户多数信息会存储在日志中简单容易管理策略管理Action当前dlp事件安全Email domainNetworkUsersVPN domain描述你的业务安全指定谁拥有数据预定义的数据类型Management&

9、 Log ServerDLP AdministratorDLP LogFirewall AdministratorFW Log管理员角色管理员角色: DLP_Admin管理员角色: Firewall_AdminThe DLP PolicyDLP Deployment ftp, http & smtpInternetAppliance with DLP Software BladeDedicated Data Loss Prevention ApplianceMail Serverftp, http and smtpHow does DLP Gateway doExample ftp: copy

10、 fromafilezippedprotected byapasswordHow does DLP Gateway doftp put zipped_password_protected.zip200 PORT command successful.150 Opening BINARY mode data connection for test.zip.450 DLP has rejected the connection according to user request.ftp: 157 bytes sent in 0,00Seconds 157000,00Kbytes/sec.ftpEx

11、ample ftp: copy fromafilezippedprotected byapasswordViewing Event as Firewall AdminViewing an Event as SuperAdminViewing an Event as DLP AdminViewing an Event as DLP AdminAudit Logging delle attivit DLPLog Message: ftp discardedLog Message: ftp send启用DLP 软件刀片启用DLP 软件刀片定义邮件域启用DLP 软件刀片定义用户处理界面启用DLP 软件

12、刀片完成，安装策略其他配置Specify the internal mail domain其他配置其他配置Verify SmartView TrackerSee your first DLP EventDLP Looking at the Policy默认策略默认的策略可以让您在客户第一次测试时可以捕捉事件匹配策略 动作如果策略匹配：DLP ActionMessage to userMessage to Data OwnerTrackingSeverity您的訊息可能包含機密的客戶資料,機密資料在未經加密之前不得離開本單位。其他两种标志:Improve accuracy 需要根据环境定义的:E

13、mployee listCustomer listFollow up 需要跟踪.Follow up 标志会记录在log上一些不确认的规则Detect 变成 Ask 时候DLP Policy Matching Multi MatchDLP Policy Matching Multi Match每个文件可以匹配多个规则Multi-match 最严格的规则会被执行多个日志，但只会通知用户一次每匹配一个规则会产生一个日志规则循序并不重要Self-Learning 自学习Mail Sent用户警告用户教育Mail Sent系统学习第一次发生1相同的发件人与接收者2没有额外操作No Burden on User!Enable UserCheckJust click the checkboxMake sure to specify an email address for the internal usersConfiguration DetailsW