数据防泄密整体解决方案

1、数据防泄密整体解决方案 2 0 2 0 2 2019/12/9 2 议题 ?数据安全风险分析 ?McAfee 全面数据防泄密方案 ?主机数据防泄密 ?网络数据防泄密 ?成功案例分享 ?Q & A 5 常见的数据安全风险包括 笔记本电脑或者移动设备的丢失与被盗 1 将数据非授权的拷贝到USB等外设设备上 2 不能准确地定位和保护敏感数据 3 内部员工盗窃公司机密 4 员工缺乏保护意识导致上网、邮件等方式散布数据 6 木马程序、键盘监视、恶意软件 5 非授权用户访问到敏感数据文件 7 6 数据安全风险分析与小结 ?按数据丢失的途径分类 ?内部泄漏：内部员工通过各种行为，如网页浏览、邮件、USB、网

2、络共享、打印等方式散布数据；非授权用户访问敏感数据；敏感数据存储位置非法等； ?外部盗窃：笔记本电脑、U盘以外丢失，商业间谍盗窃笔记本电脑、移动硬盘、PDA等 ?非可控环境下的数据丢失 ?重要数据传递给合作伙伴后被非法传播：员工在私人电脑上通过外部远程连接访问企业内部获取数据后非法传播 ?按数据的生命周期分类 ?数据存储：应用程序生成的数据存放在不安全的位置下 ?数据使用：非法应用使用敏感数据导致数据散播 ?数据传播：通过邮件、USB、CD等数据存储设备传播过程中媒介丢失导致数据丢失 Anti-spyware Authentication Anti-virus Threat Detection

3、 Change/Patch Management Clients Servers LAN Firewall Anti-virus Web Filtering VPN 7 December 9, 2019 7 McAfee数据保护平台 存储 传播 使用 监控,通告与阻止 执行,审计与响应 识别,分类与保护 事件和case管理 工作流和报告 Network DLP Manager McAfee ePO 全面的终端管理与部署 Network DLP Discover Endpoint Encryption Encrypted Media Network DLP Monitor Network DLP

4、 Prevent DLP Host DLP Host Device Control Encrypted Media 8 December 9, 2019 8 McAfee数据保护平台 存储 传播 使用 监控,通告与阻止 执行,审计与响应 识别,分类与保护 事件和case管理 工作流和报告 Network DLP Manager McAfee ePO 全面的终端管理与部署 Network DLP Discover Endpoint Encryption Encrypted Media Network DLP Monitor Network DLP Prevent DLP Host DLP Hos

5、t Device Control Encrypted Media 9 数据丢失保护 设备控制 加密U盘 终端加密 McAfee 终端加密 加密全磁盘，手机设备，文件和文件夹，强身份认证 McAfee 数据丢失保护 全面控制和透晰用户操作机密数据的行为 McAfee 加密U盘 集中管理的安全U盘 McAfee 设备控制 防止移动存储设备的滥用 端口滥用 McAfee 主机数据保护解决方案 McAfee Total Protection? for Data Integrated technologies for a total data protection solution. 10 McAfee

6、 终端加密（Endpoint Encryption） 客户需求 ?在笔记本和手机设备上进行全磁盘加密或文件夹加密 ?即使设备丢失敏感数据也不会曝光 ?加密数据丢失无丑闻和公开披露 McAfee 方案 ?对笔记本和移动设备的广泛支持 ?全面的审计记录满足合规性和审计需求 ?支持多种强身份认证方法 ?证书: FIPS 140-2, Common Criteria Level 4 (软件产品最高级别), BITS, CSIA, 等. Data Loss Prevention Device Control Encrypted USB 终端加密 11 December 9, 2019 11 McAfee

7、端点加密 McAfee 解决方案: 设备加密 ?广泛支持笔记本电脑，台式机，移动设备 ?支持多种强认证方式 ?通过最高等级的软件产品安全认证Common Criteria Level 4，以及其它相关认证. ?可以方便地通过中央管理台进行管理、部署、升级、审计、撤销、恢复等 ?非入侵式、系统变化小 其它类似软件的客户端代理程序大约需要超过30MB，McAfee仅仅需要3MB 最小化用户干预 在客户端设备处没有管理负担 McAfee集成解决方案 ?统一集成在在ePO框架下，实现快速部署 ?采用最小的工作量获取最大程度的安全收益与品牌提升 12 McAfee端点加密 文件和文件夹加密（ Encry

8、ption for Files and Folders） ?相比较全硬盘加密，内容加密能够定义更加精细的策略，可以有选择的加密某些敏感数据 ?自动的加密与解密过程不会降低操作系统的性能，对于用户来说是完全透明的过程 ?保护桌面机，笔记本，服务器的文件和文件夹 ?提高工作效率，防止因加密带来的终端性能下降 13 McAfee 数据丢失防护（Data Loss Prevention） 客户需求 ?防止用户有意无意泄漏数据 ?全面透晰和控制用户使用和移动敏感数据的行为 ?保护数据本身 McAfee 方案 ?防止用户在日常工作中意外泄漏机密 ?检测到泄密意图并快速采取措施：?详细的日志记录和证据 ?实

9、时防护和阻止 ?用户和管理员提示功能 ?机密信息隔离 Copy & Paste 监督使用方式 U盘拷贝 屏幕拷贝 Printer 数据丢失 防护 Device Control Encrypted USB Endpoint Encryption 14 2019年12月9日星期一 14 数据流转过程 从文件服务器拷贝 应用程序创建 用户创建 数据分类规则 (Enforce Tagging Rules) 泄密防护 (Enforce Reaction Rules) Emails Web上传 打印 移动介质 DLP agent跟踪信息流向: ?文件改名 ?修改文件格式 ?内容拷贝 ?文件打包归档 ?加密

10、文档 终端机器 内容跟踪 (Maintain Tags) （共10种途径） 指纹提取 15 December 9, 2019 15 McAfee 主机数据防泄密（HDLP） McAfee 解决方案 ?基于内容及上下文的先进防护方法: ?预定义的内容分级 ?应用程序分级 ?基于位置的分级 ?手工用户分级 ?中央定义的存储数据发现规则 ?保护范围涵盖多种协议，适用于在线与离线 ?通过响应规则改变用户行为 ?当发现存储中的关键数据时，以及发现这些数据要拷贝到移动存储介质时，可以应用加密策略 ?通过ePO实现中央的审计、报告、工作流管理 16 McAfee 数据丢失防护（Data Loss Preve

11、ntion） 按位置 按内容 按指纹 按文件类型 机密数据分类方法 监督敏感数据传输 基于内容的响应规则 防止机密信息离开公司 隔离机密信息 提醒用户和管理员 强制加密 17 McAfee 设备控制（Device Control） 客户需求 ?监控并只允许特定的设备连接到公司的终端 ?限制使用未授权设备 ?控制数据拷贝 McAfee 方案 ?精准控制数据和设备： ?只允许使用公司指定的设备 ?控制数据拷贝 ?策略可以基于用户，组和部门来实施 ?生成信息的使用和设备日志以满足审计及合规性要求 ? FireWire Data Loss Prevention 设备控制 Encrypted USB E

12、ndpoint Encryption 18 McAfee 设备控制（Device Control） ?完整的内容识别和设备拦截功能 ?规范用户拷贝数据 ?安全使用U盘 ?确保全面监控外接设备 Serial/Parallel CD/DVD FireWire USB Bluetooth WI/IRDA Other ePO Management Console Policies Device and Data Events 19 McAfee加密USB 客户需要 ?对于某些特殊用户保证外部存储设备的安全 ?能够保证被拷贝走的敏感数据仍然被保护 ?易于实施 McAfee提供 ?一整套可携带的安全存储设

13、备 ?强大的访问控制功能加上加密保证安全 ?保护敏感数据传播过程的安全 ?集中管理易于实施 Data Loss Prevention Device Control Encrypted USB Endpoint Encryption 20 McAfee加密USB ?公司范围内易于实施 ?使用单一的监控界面能够跟踪设备的使用状况 ?支持多种硬件加密算法 (AES 256-bit, FIPS 140-2 validated) ?支持密码重置，自恢复，数据恢复 ?易于携带，即插即用 ?集成的审计功能实现遵从性 ?与现有的各种身份识别系统实现了完全的集成与同步 21 21 12/9/2019 终端防泄密

14、优势集中管理 ePO Agent 安全合规审计 防病毒 主机防火墙 主机入侵防御 数据防泄密 全盘加密 防间谍软件 ePO中央管理服务器 文件加密 主机准入控制 变更控制 22 2019年12月9日星期一 22 防泄密网关 公司内网 网络边界 MTA or Proxy SPAN Port or Tap 离线设备 ?Network DLP Monitor ?Network DLP Prevent ?Network DLP Discover ?Host DLP ?Device Control ?Endpoint Encryption ?Host DLP ?Device Control ?Endpo

15、int Encryption ?Encrypted Media Central Management ?ePolicy Orchestrator (ePO) ?Network DLP Manager 23 December 9, 2019 23 网络数据保护设备 Confidential McAfee Internal Use Only 23 PREVENT 防范通过邮件和Web途径的数据泄漏 MANAGER 中央管理，分权管理，事件管理 DISCOVER 识别在数据库和存储中的敏感信息 MONITOR 当数据在网络中传输时进行监控和索引 24 December 9, 2019 24 McAf

16、ee DLP整体解决方案构架图 Confidential McAfee Internal Use Only McAfee ePO McAfee DLP Manager Switch Databases or Repositories 使用中 McAfee NDLP Prevent McAfee Firewall McAfee IPS McAfee HDLP ICAP integrated McAfee NDLP Prevent McAfee NDLP Monitor 移动中 移动中 McAfee Web Gateway SMTP integrated McAfee Email Gateway

17、McAfee HDLP McAfee NDLP Discover 存储中 25 自动发现机密信息 研发部门 FTP Servers, Extranet 销售部门 外包部门 1 扫描已知机密文档生成指纹 Windows, UNIX, Linux, Mac, Novell (CIFS, NFS)等文件服务器，FTP 3 将指纹分发给Monitor设备 2 发现存储中的机密文档 26 监控网络出口 2 探测网络流量的异常 Monitor 研发部门 FTP Servers, Extranet 销售部门 外包部门 Mail Transfer Agent (MTA) 1 监控所有用户的行为 4 优化规则消

18、除误报 False-Positive 3 浏览风险报告 27 Title of presentation 阻止 Monitor 研发部门 FTP Servers, Extranet 销售部门 1 找出所有相关部门正在外泄的数据 2 对应数据保护的策略 3 阻断，隔离同时通过邮件通知发送者 外包部门 ! 5 生成Syslog,发邮件给管理员，发送者 4 对于通过Webmail, HTTP发布的方式也进行阻断 Action ICAP Mail Transfer Agent (MTA) SMTP Proxy Prevent ! 28 December 9, 2019 28 如何发现网络中传输的数据？

19、 28 Confidential McAfee Internal Use Only 29 December 9, 2019 29 传统的数据泄漏保护解决方案会丢失重要数据 29 Bit Bucket Violations 数据知识 Data 捕获 策略创建快速准确 调查分析迅速深入 McAfee 数据泄漏防护解决方案很好地利用了数据 30 透析信息流 谁在什么时间发送什么数据给谁？ CNN SSN HIPAA 我所知道的 创建 规则 其它知识产权信息 ? 销售报表 ? 产品计划 ? 设计文档 ? ? 我不知道的 创建 规则 Google的价值: ?对Internet内容进行索引 ?当你查询时，

20、它告诉你需要的内最相关的容在何处 McAfee的价值: 1.对企业内部以及从企业内部传输出去的所有的数据进行索引和分类 2.对捕获数据进行索引: 提高规则的准确度, 执行调查分析, 定义数据的访问控制策略 学习功能： ?许多数据防泄露产品需要用户明确知道需要保护什么样的数据 ?但是：如何保护那些你也不知道的数据？比如 产品计划或营销计划 知识产权 客户信息 财务记录 设计文档 ?McAfee的“学习” 功能是实现自适应防护的关键之处 Google的价值在于对Internet上的数据进行索引 NDLP具有类似于Google的学习功能，用于对传输中以及存储中的数据进行发现和保护 “学习” 功能从大

21、量数据中提取关键内容，用于强化数据保护功能 31 透析信息流 谁在什么时间发送什么数据给谁？ 搜索关心的关键字 谁发送到什么地方去了？ 这些信息在网络中存储在什么地方？ McAfee解决方案 ?监控所有的网络流量，并且对其进行索引。可以同时应用预定义的规则 ?允许每一个业务部门应用自己的工作流和事件响应机制 ?可以采用历史数据快速地对新策略进行调优 ?可以采用经索引的历史数据进行鉴证分析 ?可以对于文档管理系统设置一个发现式扫描，对其中存储的敏感文档进行指纹分析，以便于进行自动策略应用。例如，如果要通过邮件发送其中的一个敏感文件，那么就在发送之前自动加密。防止那些高机密度的文档传输出去 ?利用

22、“捕获”和“索引”的技术，可以在数周之内达到数据安全保护策略的高适用性。 32 丰富灵活的防护策略设定 33 丰富灵活的防护策略设定 34 December 9, 2019 34 McAfee 数据保护的最佳实践 ?发现和评估 ?数据分类 ?定义有效的策略 ?实施控制 ?监控, 报告和审计 1 2 3 4 5 1 2 3 4 5 发现保存在所有位置的敏感数据，对风险进行评估 确保安全的数据处理流程正常运转 创建策略用于保护数据，并且确保策略的有效性 控制机密数据的授权访问和安全传输 通过报警和事件管理来确保成功的数据安全防护 35 December 9, 2019 35 移动中的数据风险摘要

23、CUSTOMER NAME OR LOGO 36 December 9, 2019 36 移动中的数据风险 违规和内容类别 CUSTOMER NAME OR LOGO 37 McAfee NDLP产品特点总结 ?数据捕获和实时索引 ?不需要用户明确知道什么数据需要保护，即可对所有相关数据实现捕获和索引，以便于后续的检查。本特点对于防范未知数据安全威胁尤为重要； ?友商同类产品往往需要实现定义需要监控哪些数据，在出现漏报的时候，无法对过往数据进行追溯 ?能够针对离线的历史数据创建强大的索引，针对离线数据进行规则优化，从而缩短实施周期、节约了实施和维护成本 ?友商同类产品需要管理员定义或设置大量的

24、规则，根据这些规则进行分析和优化，往往耗费大量时间 ?在策略变更、或者需要监控新的重要数据、员工离职审计的时候，可以随时对历史数据进行回溯，不会遗漏历史违规行为 38 McAfee NDLP产品特点总结 ?即插即用的设备 ?设备安装不需要依赖于第三方的软件，包括操作系统、数据库等 ?为了实现Discover功能，我们具备两种方式的部署方式，agent-base（HDLP）和agent-less（NDLP）两种方式，后者完全不需要agent，避免了对目标系统尤其是生产系统产生影响） ?不需要特殊动作即可以对没有运行在标准端口和协议上的数据进行识别McAfee NDLP在默认情况下即可以对所有运行在TCP协议上的数据进行识别和捕获，不需要任何额外的操作和资源浪费。 ?我们不仅对文本类型的文件检测提供强大支持，而且对于二进