数据防泄密整体解决方案

1、数据防泄密整体处理方案第1页/10/62议题数据安全风险分析McAfee 全方面数据防泄密方案主机数据防泄密网络数据防泄密成功案例分享Q & A第2页3数据安全风险- 越来越严重威胁“TJX 价值十亿美金数据安全风险”“杜邦企业研究员在去竞争对手工作之前下载了超出2个机密文档”“ChoicePoint to因为数据安全风险支付了150万美金”FSA在丢失笔记本以后，在全国范围内损失超出980,000NATO一个包含有北大西洋条约组织机密数据U盘在斯德哥尔摩一个图书馆被发觉第3页October 6, 4数据安全问题当前处理方案极难处理上面全部问题“信息”到底在哪里？怎样尽快布署足够防护伎俩?怎样

2、将流程自动化以节约审计成本?需要保护哪些信息？什么人需要访问这些信息可能知道问题可能未知问题笔记本电脑丢失 USB设备丢失 员工教育 设备控制第4页常见数据安全风险包含笔记本电脑或者移动设备丢失与被盗1将数据非授权拷贝到USB等外设设备上2不能准确地定位和保护敏感数据3内部员工偷窃企业机密4员工缺乏保护意识造成上网、邮件等方式散布数据6木马程序、键盘监视、恶意软件5非授权用户访问到敏感数据文件7第5页数据安全风险分析与小结按数据丢失路径分类内部泄漏：内部员工经过各种行为，如网页浏览、邮件、USB、网络共享、打印等方式散布数据；非授权用户访问敏感数据；敏感数据存放位置非法等；外部偷窃：笔记本电脑

3、、U盘以外丢失，商业间谍偷窃笔记本电脑、移动硬盘、PDA等非可控环境下数据丢失主要数据传递给合作搭档后被非法传输：员工在私人电脑上经过外部远程连接访问企业内部获取数据后非法传输按数据生命周期分类数据存放：应用程序生成数据存放在不安全位置下数据使用：非法应用使用敏感数据造成数据散播数据传输：经过邮件、USB、CD等数据存放设备传输过程中媒介丢失造成数据丢失Anti-spywareAuthenticationAnti-virusThreatDetectionChange/PatchManagementClientsServersLANFirewallAnti-virusWebFilteringVP

4、N第6页October 6, 7McAfee数据保护平台存放传输使用监控,通告与阻止执行,审计与响应识别,分类与保护事件和case管理工作流和汇报Network DLP ManagerMcAfee ePO全方面终端管理与布署Network DLP Discover Endpoint Encryption Encrypted MediaNetwork DLPMonitorNetwork DLPPreventDLP HostDLP HostDeviceControlEncrypted Media第7页October 6, 8McAfee数据保护平台存放传输使用监控,通告与阻止执行,审计与响应识别,

5、分类与保护事件和case管理工作流和汇报Network DLP ManagerMcAfee ePO全方面终端管理与布署Network DLP Discover Endpoint Encryption Encrypted MediaNetwork DLPMonitorNetwork DLPPreventDLP HostDLP HostDeviceControlEncrypted Media第8页数据丢失保护设备控制加密U盘终端加密McAfee 终端加密 加密全磁盘，手机设备，文件和文件夹，强身份认证McAfee 数据丢失保护 全方面控制和透晰用户操作机密数据行为McAfee 加密U盘集中管理安全

6、U盘McAfee 设备控制 预防移动存放设备滥用端口滥用McAfee 主机数据保护处理方案McAfee Total Protection for DataIntegrated technologies for a total data protection solution.第9页McAfee 终端加密（Endpoint Encryption）客户需求在笔记本和手机设备上进行全磁盘加密或文件夹加密即使设备丢失敏感数据也不会曝光加密数据丢失无丑闻和公开披露McAfee 方案对笔记本和移动设备广泛支持全方面审计统计满足合规性和审计需求支持各种强身份认证方法证书: FIPS 140-2, Commo

7、n Criteria Level 4 (软件产品最高级别), BITS, CSIA, 等.Data Loss PreventionDeviceControlEncrypted USB终端加密第10页October 6, 11McAfee端点加密McAfee 处理方案: 设备加密广泛支持笔记本电脑，台式机，移动设备支持各种强认证方式经过最高等级软件产品安全认证Common Criteria Level 4，以及其它相关认证.能够方便地经过中央管理台进行管理、布署、升级、审计、撤消、恢复等非入侵式、系统改变小其它类似软件客户端代理程序大约需要超出30MB，McAfee仅仅需要3MB最小化用户干预

8、在客户端设备处没有管理负担McAfee集成处理方案统一集成在在ePO框架下，实现快速布署采取最小工作量获取最大程度安全收益与品牌提升第11页McAfee端点加密文件和文件夹加密（ Encryption for Files and Folders）相比较全硬盘加密，内容加密能够定义愈加精细策略，能够有选择加密一些敏感数据 自动加密与解密过程不会降低操作系统性能，对于用户来说是完全透明过程保护桌面机，笔记本，服务器文件和文件夹提升工作效率，预防因加密带来终端性能下降第12页McAfee 数据丢失防护（Data Loss Prevention）客户需求预防用户有意无意泄漏数据全方面透晰和控制用户使用

9、和移动敏感数据行为保护数据本身McAfee 方案预防用户在日常工作中意外泄漏机密检测到泄密意图并快速采取办法：详细日志统计和证据实时防护和阻止用户和管理员提醒功效机密信息隔离监督使用方式U盘拷贝屏幕拷贝Printer数据丢失防护DeviceControlEncrypted USBEndpointEncryption第13页10月6日星期三14数据流转过程从文件服务器拷贝 应用程序创建用户创建数据分类规则 (Enforce Tagging Rules) 泄密防护 (Enforce Reaction Rules)EmailsWeb上传打印移动介质 DLP agent跟踪信息流向: 文件更名修改文件

10、格式内容拷贝文件打包归档加密文档终端机器内容跟踪 (Maintain Tags)（共10种路径）指纹提取第14页October 6, 15McAfee 主机数据防泄密（HDLP）McAfee 处理方案基于内容及上下文先进防护方法:预定义内容分级应用程序分级基于位置分级手工用户分级中央定义存放数据发觉规则保护范围涵盖各种协议，适合用于在线与离线经过响应规则改变用户行为当发觉存放中关键数据时，以及发觉这些数据要拷贝到移动存放介质时，能够应用加密策略经过ePO实现中央审计、汇报、工作流管理第15页McAfee 数据丢失防护（Data Loss Prevention）按位置按内容按指纹按文件类型机密数

11、据分类方法监督敏感数据传输基于内容响应规则预防机密信息离开企业隔离机密信息提醒用户和管理员强制加密第16页McAfee 设备控制（Device Control）客户需求监控并只允许特定设备连接到企业终端限制使用未授权设备控制数据拷贝McAfee 方案精准控制数据和设备：只允许使用企业指定设备控制数据拷贝策略能够基于用户，组和部门来实施生成信息使用和设备日志以满足审计及合规性要求FireWireData Loss Prevention设备控制Encrypted USBEndpointEncryption第17页McAfee 设备控制（Device Control）完整内容识别和设备拦截功效规范用

12、户拷贝数据安全使用U盘确保全方面监控外接设备Serial/ParallelCD/DVDFireWireUSBBluetoothWI/IRDAOtherePO Management ConsolePoliciesDevice and Data Events第18页McAfee加密USB客户需要对于一些特殊用户确保外部存放设备安全能够确保被拷贝走敏感数据依然被保护易于实施McAfee提供一整套可携带安全存放设备强大访问控制功效加上加密确保安全保护敏感数据传输过程安全集中管理易于实施Data Loss PreventionDeviceControlEncrypted USBEndpointEncry

13、ption第19页McAfee加密USB企业范围内易于实施使用单一监控界面能够跟踪设备使用情况支持各种硬件加密算法 (AES 256-bit, FIPS 140-2 validated)支持密码重置，自恢复，数据恢复易于携带，即插即用集成审计功效实现遵从性与现有各种身份识别系统实现了完全集成与同时第20页2110/6/终端防泄密优势集中管理ePO Agent安全合规审计防病毒主机防火墙主机入侵防御数据防泄密全盘加密防间谍软件ePO中央管理服务器文件加密主机准入控制变更控制第21页10月6日星期三22防泄密网关企业内网网络边界MTA or ProxySPAN Port or Tap离线设备Net

14、work DLP MonitorNetwork DLP PreventNetwork DLP DiscoverHost DLPDevice ControlEndpoint EncryptionHost DLPDevice ControlEndpoint EncryptionEncrypted MediaCentral ManagementePolicy Orchestrator (ePO)Network DLP Manager第22页October 6, 23网络数据保护设备23Confidential McAfee Internal Use Only23PREVENT 防范经过邮件和Web路

15、径数据泄漏MANAGER 中央管理，分权管理，事件管理DISCOVER 识别在数据库和存放中敏感信息MONITOR 当数据在网络中传输时进行监控和索引第23页October 6, 24McAfee DLP整体处理方案构架图Confidential McAfee Internal Use OnlyMcAfee ePO McAfee DLP Manager SwitchDatabases or Repositories使用中McAfee NDLP PreventMcAfee Firewall McAfee IPSMcAfee HDLP ICAP integratedMcAfee NDLP Prev

16、entMcAfee NDLP Monitor移动中移动中McAfee Web GatewaySMTP integratedMcAfee Email GatewayMcAfee HDLP McAfee NDLP Discover存放中第24页自动发觉机密信息研发部门FTP Servers, Extranet销售部门外包部门1扫描已知机密文档生成指纹Windows, UNIX, Linux, Mac, Novell (CIFS, NFS)等文件服务器，FTP3将指纹分发给Monitor设备2发觉存放中机密文档第25页监控网络出口2探测网络流量异常Monitor研发部门FTP Servers, Ex

17、tranet销售部门外包部门Mail Transfer Agent (MTA)1监控全部用户行为4优化规则消除误报False-Positive3浏览风险汇报第26页Title of presentation阻止Monitor研发部门FTP Servers, Extranet销售部门1找出全部相关部门正在外泄数据2对应数据保护策略3阻断，隔离同时经过邮件通知发送者外包部门!5生成Syslog,发邮件给管理员，发送者4对于经过Webmail, HTTP公布方式也进行阻断!ActionICAPMail Transfer Agent (MTA)SMTPProxyPrevent!第27页October

18、6, 28怎样发觉网络中传输数据？28Confidential McAfee Internal Use Only第28页October 6, 29传统数据泄漏保护处理方案会丢失主要数据29ViolationsBit BucketDataViolations数据知识Data捕捉策略创建快速准确调查分析快速深入McAfee 数据泄漏防护处理方案很好地利用了数据第29页透析信息流谁在什么时间发送什么数据给谁？CNNSSNHIPAA我所知道创建规则其它知识产权信息?销售报表?产品计划?设计文档?我不知道创建规则Google价值:对Internet内容进行索引当你查询时，它告诉你需要内最相关容在何处Mc

19、Afee价值:对企业内部以及从企业内部传输出去全部数据进行索引和分类对捕捉数据进行索引:提升规则准确度, 执行调查分析, 定义数据访问控制策略学习功效：许多数据防泄露产品需要用户明确知道需要保护什么样数据不过：怎样保护那些你也不知道数据？比如产品计划或营销计划知识产权客户信息财务统计设计文档McAfee“学习” 功效是实现自适应防护关键之处Google价值在于对Internet上数据进行索引NDLP含有类似于Google学习功效，用于对传输中以及存放中数据进行发觉和保护“学习” 功效从大量数据中提取关键内容，用于强化数据保护功效第30页透析信息流谁在什么时间发送什么数据给谁？搜索关心关键字谁发

20、送到什么地方去了？这些信息在网络中存放在什么地方？McAfee处理方案监控全部网络流量，而且对其进行索引。能够同时应用预定义规则允许每一个业务部门应用自己工作流和事件响应机制能够采取历史数据快速地对新策略进行调优能够采取经索引历史数据进行鉴证分析能够对于文档管理系统设置一个发觉式扫描，对其中存放敏感文档进行指纹分析，方便于进行自动策略应用。比如，假如要经过邮件发送其中一个敏感文件，那么就在发送之前自动加密。预防那些高机密度文档传输出去利用“捕捉”和“索引”技术，能够在数周之内到达数据安全保护策略高适用性。第31页丰富灵活防护策略设定第32页丰富灵活防护策略设定第33页October 6, 34

21、McAfee 数据保护最正确实践发觉和评定数据分类定义有效策略实施控制监控, 汇报和审计1234512345发觉保留在全部位置敏感数据，对风险进行评定确保安全数据处理流程正常运转创建策略用于保护数据，而且确保策略有效性控制机密数据授权访问和安全传输经过报警和事件管理来确保成功数据安全防护第34页October 6, 35移动中数据风险摘要CUSTOMER NAME OR LOGO第35页October 6, 36移动中数据风险 违规和内容类别CUSTOMER NAME OR LOGO第36页McAfee NDLP产品特点总结数据捕捉和实时索引不需要用户明确知道什么数据需要保护，即可对全部相关数

22、据实现捕捉和索引，方便于后续检验。本特点对于防范未知数据安全威胁尤为主要；友商同类产品往往需要实现定义需要监控哪些数据，在出现漏报时候，无法对过往数据进行追溯能够针对离线历史数据创建强大索引，针对离线数据进行规则优化，从而缩短实施周期、节约了实施和维护成本友商同类产品需要管理员定义或设置大量规则，依据这些规则进行分析和优化，往往花费大量时间在策略变更、或者需要监控新主要数据、员工离职审计时候，能够随时对历史数据进行回溯，不会遗漏历史违规行为第37页McAfee NDLP产品特点总结即插即用设备设备安装不需要依赖于第三方软件，包含操作系统、数据库等为了实现Discover功效，我们具备两种方式布署方式，agent-base（HDLP）和agent-less（NDLP）两种方式，后者完全不需要agent，防止了对目标系统尤其是生产系统产生影响）不需要特殊动作即能够对没有运行在标准端口和协议上数据进行识别McAfee NDLP在默认情况下即能够对全部运行在TCP协议上数据进行识别和捕捉，不需要任何额外操作和资源浪费。我们不但对文本类型文件检测提供强大支持，而且对于二进制文件支持，我们能够经过concept方式进行定义识别任意类型数据，技术完全自有。与McAfee 其它数据安全防护产品统一控制台功效，统一策略路线图第38页中国区成功案例第39页成功案例第一期布署：