SymantecDLP應(yīng)用案例.ppt

Symantec DLP 在電信和金融應(yīng)用的十個(gè)場(chǎng)景,1,場(chǎng)景1：對(duì)外發(fā)的郵件進(jìn)行監(jiān)控和阻止 場(chǎng)景2：對(duì)員工通過Web或者FTP外發(fā)的內(nèi)容進(jìn)行監(jiān)控和阻止 場(chǎng)景3：對(duì)終端用戶的操作進(jìn)行監(jiān)控和阻止 場(chǎng)景4：對(duì)內(nèi)部的存儲(chǔ)服務(wù)器進(jìn)行掃描 場(chǎng)景5：對(duì)內(nèi)部的終端電腦硬盤進(jìn)行掃描 場(chǎng)景6：對(duì)Citrix環(huán)境中的用戶進(jìn)行監(jiān)控/阻止 場(chǎng)景7：通過Data Insight模塊來增強(qiáng)Network Discover/Protect的功能 場(chǎng)景8：事件信息集成到第三方平臺(tái) 場(chǎng)景9：事件責(zé)任人信息自動(dòng)關(guān)聯(lián) 場(chǎng)景10：DLP+SEP+SMP的集成工作流對(duì)客戶端本機(jī)硬件實(shí)現(xiàn)自動(dòng)鎖定,2,場(chǎng)景1：對(duì)外發(fā)的郵件進(jìn)行監(jiān)控和阻止,將網(wǎng)絡(luò)模塊部署在網(wǎng)絡(luò)出口處，可以實(shí)時(shí)的對(duì)公司外發(fā)的郵件數(shù)據(jù)進(jìn)行監(jiān)控和分析，在RA中發(fā)現(xiàn)很多外發(fā)郵件中都有大量的客戶名單信息； 將那些違規(guī)的郵件記錄到DLP系統(tǒng)中，記錄的信息遵循國(guó)際審計(jì)標(biāo)準(zhǔn)來進(jìn)行開發(fā)和設(shè)計(jì)，包含事件產(chǎn)生的時(shí)間、違規(guī)策略、發(fā)件人地址、收件人地址、郵件主題、詳細(xì)內(nèi)容、匹配到策略的內(nèi)容會(huì)被高亮顯示等； 對(duì)于嚴(yán)重違規(guī)的郵件可以實(shí)時(shí)的阻止，并且通知相關(guān)郵件管理人員或者發(fā)件者本人； 可以與第三方郵件網(wǎng)關(guān)集成，例如SBG，IronPort，IronMail，Exchange，Lotus，SendMail等。,3,場(chǎng)景2：對(duì)員工通過Web或者FTP外發(fā)的內(nèi)容進(jìn)行監(jiān)控和阻止,將網(wǎng)絡(luò)模塊部署在網(wǎng)絡(luò)出口處，可以實(shí)時(shí)的對(duì)員工通過Web和FTP外發(fā)的內(nèi)容進(jìn)行監(jiān)控和分析，在RA中發(fā)現(xiàn)有部分員工會(huì)將客戶的信息列表上傳到Internet； 員工會(huì)通過Web Mail或者FTP站點(diǎn)上傳公司的敏感文檔，這些行為都可以被DLP分析到； DLP會(huì)將其上傳的源文件都記錄到DLP數(shù)據(jù)庫(kù)中，對(duì)于嚴(yán)重違規(guī)的一些上傳內(nèi)容可以實(shí)時(shí)的阻止； 可以與第三方Web Proxy服務(wù)器集成，例如：BlueCoat，Ironport Web Gateway，McAfee Webwasher，ISA Server，Squid Server等。,4,場(chǎng)景3：對(duì)終端用戶的操作進(jìn)行監(jiān)控和阻止,在終端上安裝DLP Agent模塊，對(duì)用戶的操作進(jìn)行監(jiān)控和阻止，在RA中發(fā)現(xiàn)有很多員工都會(huì)將一些敏感的文檔拷貝到USB，最后造成泄密； 監(jiān)控的內(nèi)容包括：USB拷貝，CD/DVD刻錄，打印/傳真，將文件下載到本地硬盤，拷貝/粘貼操作，通過Outlook或者Lotus發(fā)送郵件，HTTP(s)或者FTP上傳，MSN，AIM等； 可以將違規(guī)操作的源文件記錄到DLP數(shù)據(jù)庫(kù)中存檔，審計(jì)員可以通過保存的源文件進(jìn)行二次分析； 對(duì)應(yīng)的事件信息包括：事件產(chǎn)生時(shí)間，終端用戶名，機(jī)器名，機(jī)器ip地址，用戶操作類型，目的地地址（http地址、ftp地址、郵件收件人、文件復(fù)制到的位置等），操作的文件名稱，違規(guī)的策略名等； Agent支持的操作系統(tǒng)：XP，Vista，2003，Windows7（32位+64位），Citrix。,5,場(chǎng)景4：對(duì)內(nèi)部的存儲(chǔ)服務(wù)器進(jìn)行掃描,通過存儲(chǔ)發(fā)現(xiàn)模塊對(duì)公司內(nèi)部的服務(wù)器進(jìn)行合規(guī)性掃描； 電信和金融的內(nèi)部文件服務(wù)器，都需要按照國(guó)際的標(biāo)準(zhǔn)，對(duì)所存放的不同安全等級(jí)的文件進(jìn)行合規(guī)處理。例如： 在移動(dòng)的BOSS系統(tǒng)，按照SOX標(biāo)準(zhǔn)，定期自動(dòng)生成的賬單文件會(huì)在服務(wù)器上存放一段特定的時(shí)間，過期之后需要將其隔離到訪問受限位置，這樣就可以避免賬單信息的泄密； 在銀行的文件服務(wù)器上，按照PCI標(biāo)準(zhǔn)，包含有用戶卡信息的文件都應(yīng)該被安全隔離起來，或者是進(jìn)行加密存放； DLP存儲(chǔ)發(fā)現(xiàn)模塊通過預(yù)先設(shè)定的策略，對(duì)服務(wù)器上的文件進(jìn)行掃描，并且可以自動(dòng)的將違規(guī)的文件隔離到安全區(qū)域，或者集成第三方軟件對(duì)這些文件進(jìn)行加密或者加權(quán)限。 可以集成的第三方軟件包括： MS RMS，Oracle IRM，Liquid Machines，GigaTrust，PGP等。,6,場(chǎng)景5：對(duì)內(nèi)部的終端電腦硬盤進(jìn)行掃描,公司員工通過應(yīng)用系統(tǒng)訪問公司的敏感信息，有些是系統(tǒng)級(jí)管理員，可以直接到系統(tǒng)及平臺(tái)接觸機(jī)密數(shù)據(jù)；公司有相關(guān)制度禁止員工下載敏感信息到自己的電腦硬盤，許多員工還是在工作時(shí)會(huì)有意無意的將敏感信息下載到本地； 少數(shù)員工有意將數(shù)據(jù)下載下來之后，通過郵件、Web和USB拷貝的方式將敏感數(shù)據(jù)發(fā)送出去； 通過Agent可以對(duì)電腦硬盤上的文件進(jìn)行發(fā)現(xiàn)，來判斷其是否包含有違規(guī)的數(shù)據(jù)，在最后生成的報(bào)表中可以按照風(fēng)險(xiǎn)級(jí)別或者違規(guī)類型進(jìn)行統(tǒng)計(jì)和排序； 可以集成郵件服務(wù)器自動(dòng)對(duì)違規(guī)的員工發(fā)送郵件通知； 在一段時(shí)間的郵件通知和事件二次響應(yīng)后，強(qiáng)制員工遵從公司的數(shù)據(jù)安全策略，同時(shí)也可以讓員工的安全意識(shí)普遍提高。,7,場(chǎng)景6：對(duì)Citrix環(huán)境中的用戶進(jìn)行監(jiān)控/阻止,有些公司為了安全，提供Citrix的工作平臺(tái)，用戶使用虛擬桌面進(jìn)行辦公； 由于員工所有的操作最終都在Citrix服務(wù)器上完成，管理員無法針對(duì)每個(gè)用戶的行為進(jìn)行監(jiān)控和管理； 將Agent程序在Citrix服務(wù)器上安裝一次，其就會(huì)以Windows服務(wù)的形式開始運(yùn)行； Agent不僅可以監(jiān)控到所有虛擬桌面中用戶的操作行為，在記錄的事件中也能夠包含各個(gè)桌面對(duì)應(yīng)的用戶名； 通過策略綁定到不同的用戶，可以對(duì)一些特定的員工實(shí)現(xiàn)不同的響應(yīng)機(jī)制。,8,場(chǎng)景7：通過Data Insight模塊來增強(qiáng)Network Discover/Protect的功能,通過Network Discover/Protect可以發(fā)現(xiàn)并且保護(hù)存儲(chǔ)服務(wù)器上的敏感信息； 在生成的事件中，用戶可以得到對(duì)應(yīng)文件的一些基本信息，例如文件名稱，文件位置，文件的訪問權(quán)限，創(chuàng)建時(shí)間，最后訪問時(shí)間等，最后修改時(shí)間等； 通過Data Insight模塊，可以讓Vontu到對(duì)應(yīng)的文件存儲(chǔ)設(shè)備（例如EMC，NetApp等）中獲得違規(guī)文件的所有訪問記錄的詳細(xì)信息，方便管理員調(diào)整存儲(chǔ)設(shè)備的設(shè)定及對(duì)應(yīng)的文件安全機(jī)制。,9,場(chǎng)景8：事件信息集成到第三方平臺(tái),在違規(guī)事件發(fā)生后，Vontu可以將事件的信息記錄到自己的數(shù)據(jù)庫(kù)中，也可以將這些信息集成到第三方平臺(tái)； 通過Reporting API，第三方平臺(tái)可以通過接口來調(diào)用Vontu數(shù)據(jù)庫(kù)中的各個(gè)信息，并且形成用戶自定義的報(bào)表，也可以將該報(bào)表內(nèi)嵌到其自己的報(bào)表平臺(tái)； 通過Syslog響應(yīng)規(guī)則，可以將事件信息發(fā)送到外部第三方syslog服務(wù)器，例如：Symantec SSIM日志收集系統(tǒng)，ArcSight，億陽(yáng)4A的日志審計(jì)系統(tǒng)，安氏SEM審計(jì)系統(tǒng)和聯(lián)創(chuàng)L-Securer審計(jì)系統(tǒng)等； 通過郵件響應(yīng)機(jī)制，可以將事件信息發(fā)送到指定的管理員郵箱； 第三方平臺(tái)可以將收集到的事件信息，按照用戶特定的需求進(jìn)行統(tǒng)計(jì)匯總，并且自動(dòng)觸發(fā)對(duì)應(yīng)的響應(yīng)機(jī)制。,10,場(chǎng)景9：事件責(zé)任人信息自動(dòng)關(guān)聯(lián),用戶希望在泄密事件產(chǎn)生時(shí)，DLP服務(wù)器能夠聯(lián)動(dòng)第三方系統(tǒng)自動(dòng)將事件責(zé)任人的關(guān)聯(lián)信息檢索出來，包括用戶姓名、員工號(hào)碼、所在部門、聯(lián)系電話、郵件地址、主機(jī)名稱、主機(jī)ip地址、上級(jí)經(jīng)理姓名、經(jīng)理郵件地址等； 用戶可以通過這些信息對(duì)DLP事件進(jìn)行快速響應(yīng)，也可以根據(jù)這些條件對(duì)事件報(bào)表進(jìn)行定制，例如：統(tǒng)計(jì)各個(gè)部門的泄密事件總量，通過ip地址段對(duì)事件進(jìn)行篩選等； DLP系統(tǒng)目前可以通過讀取CSV文件信息，查詢外部LDAP服務(wù)器，或者通過運(yùn)行自定義腳本的方式（例如：Python，Perl，C等）來檢索第三方信息平臺(tái)，運(yùn)行腳本大大增強(qiáng)了DLP事件關(guān)聯(lián)信息查詢的靈活性； DLP系統(tǒng)也可以將這些關(guān)聯(lián)到的信息發(fā)送到外部平臺(tái)，進(jìn)行信息的綜合統(tǒng)計(jì)。,11,場(chǎng)景10：DLP+SEP+SMP的集成工作流對(duì)客戶端本機(jī)硬件實(shí)現(xiàn)自動(dòng)鎖定,用戶希望客戶端能夠在發(fā)生敏感信息泄密事件時(shí)，自動(dòng)觸發(fā)預(yù)先設(shè)定的工作流來實(shí)時(shí)的對(duì)敏感信息進(jìn)行保護(hù)； 準(zhǔn)備DLP、SEP和SMP系統(tǒng)，同時(shí)在終端上安裝DLP、SEP和SMP客戶端程序； 系統(tǒng)設(shè)定 1. 在SEPM上設(shè)定強(qiáng)制策略；2. 在DLP Enforce上設(shè)定響應(yīng)規(guī)則；3. 在SMP上設(shè)定工作流，例如：安裝和配置SEP的lockdown方案。 工作流運(yùn)行 1. SEP客戶端從SEPM服務(wù)器上獲得最新策略；2. 當(dāng)客戶端通過DLP客戶端生成DLP事件時(shí)會(huì)將其發(fā)送到DLP服務(wù)器；3. DLP服務(wù)器根據(jù)響應(yīng)規(guī)則向SMP服務(wù)器發(fā)送郵件；4. SMP服務(wù)器在收到對(duì)應(yīng)郵件后觸發(fā)客戶端上的SMP計(jì)劃任務(wù)；5. SMP客戶端根據(jù)任務(wù)修改注冊(cè)表中的鍵值；6. SEP客戶端根據(jù)修改的鍵值觸發(fā)本機(jī)硬件鎖定策略（例如：停止USB口）；7. 最后管理員可以在SMP服務(wù)器上對(duì)該客戶端的鎖定進(jìn)行釋放。 通過類似的方式，DLP和SMP還可以和其他第三方終端軟件集成，例如：終端加密產(chǎn)品，終端權(quán)限管理產(chǎn)品等。,12,Thank You,Symantec and Sym