1、1赛门铁赛门铁克数据信息泄露防护解决方案克数据信息泄露防护解决方案-DLP李炜李炜系统工程师目录目录2数据泄露背景介绍1DLP项目的成功案例及经验分享3赛门铁克DLP解决方案介绍234信息泄漏的现状信息泄漏的现状泄密其实很容易每400封邮件中就有1封包含敏感信息 每50份通过网络传输的文件中就有1份包含敏感数据每2个USB盘中就有一个包含敏感信息泄密的损失超乎想象全球有80%的企业存在着信息泄漏的风险在发达国家,泄漏一条客户信息带来的损失高达200美金泄密防护迫在眉睫在所有被调查的公司中,进行常规性安全检查的公司不到50,而采取技术措施进行控制的公司只有 30%,国内的比例更低在泄密事件的调查
2、统计中,有96是因为流程缺陷和内部员工的无意识泄密所致信息保护正日益成为企业安全管理和风险控制的核心内容试问你自己试问你自己6How 我是如何防止数据丢失的?How 机密数据是怎样被使用的?Where 机密数据存放在那里?What 机密数据是什么?7What 机密数据是什么?机密数据是什么?客户、员工、隐私的数据法规遵从 客户信息 客户帐号 客户电话 联系地址 知识产权核心竞争力 研发图纸、产品设计 招投标文档 战略规划、营销计划 咨询报告、设计文案公司机密声誉 中报、年报 CEO 邮件、会议纪要 预算、采购计划 融资、投资计划 对于失业以及跳槽等行为,企业组织必须格外谨慎,确保离职员工所接触
3、过的信息系统已经部署了防泄密解决方案。再者,心怀不满的员工可能带走资料或为竞争对手做情报搜集。Where&How数据数据流失的主要途径和分类流失的主要途径和分类DLP(数据泄漏保护)DRM(数字权限保护)Encryption(加密)Management(管理)DATA企业信息 DRM可以决定数据的访问和使用方式,功能强大 仅限于特定的文档类型 需要与企业应用紧密集成,大量依靠人工参与 部署实施十分复杂并难以持续运维 仅适用于研发等少数小组 技术不能解决所有的问题,仍然需要以下辅助 风险教育 行政管理 物理安全 刑事诉讼 全面评估信息风险,包括网络、端点和存储 全面检测数据库、文件、邮件、文字等
4、泄密通道,及时报警或阻止 统一制定防泄漏策略 遵从SOX等法案法规 实施和部署简单,无需更改流程,无需人工参与,可在企业范围应用 能够有效的与DRM/加密工具集成使用,使得后者更有效 能够阻止没有权限的人非法获取信息,即使丢失也没关系 依赖手工进行 密钥的管理是个复杂问题 不能解决无意识泄密和主动泄密 仅适用于笔记本或者少量文件服务器常见的防泄密选择常见的防泄密选择9目录目录10数据信息泄漏事件背景介绍1DLP项目的成功案例及经验分享3赛门铁克DLP解决方案介绍211加密/权限管理并非对信息防泄漏工作的正确理解信息泄漏的可知、可控、可管管理上要解决的问题技术上要解决的问题信息的保密性问题途径主
5、要手段产生/存放访问传输传播/使用加密DRMDLP识别监控控制审计基于内容面向风险基于文件面向控制 发现敏感信息在哪里?监控敏感信息如何被传播?敏感信息如何控制与保护?发生信息泄漏事件的响应和弥补手段敏感信息定义与策略 确保对敏感信息受控与合法的访问 非法访问和泄密监控 敏感信息异常分布监控 泄密事件审计和取证支持敏感信息安全建设应覆盖数据安全的整体视图 信息生命周期管理注:源自于CSA云计算关键领域安全指南v2.1Presentation Identifier Goes Here12DLP技术在信息的生命周期安全管理中的作用 Presentation Identifier Goes Here
6、13“信息”的风险已成为业务风险的重要部分“信息”的安全管理必须是业务风险管理的重要部分1.敏感信息的定义2.管理策略方法论敏感信息安全管理理念信息泄漏风险管理 发现在哪里 识别异常分布 监控如何被使用 监控泄漏风险 泄漏风险事中控制 (阻断/隔离/加密)泄漏风险事前控制 (加密/访问控制)泄漏风险事后响应修正 违规事件事后审计定位信息的安全管理是业务风险管理的组成部分如何来防止数据泄漏?Symantec可以帮助您可以帮助您DISCOVERYMONITORINGPREVENTION数据在网络中如何流动?机密信息在什么位置?DATA LOSS PREVENTION(DLP)15赛门铁克赛门铁克D
7、LP产品家族产品家族16Symantec Data Loss Prevention DLP SuiteEnforce PlatformEndpoint DLPEndpoint DiscoverEndpoint PreventNetwork DLPNetwork MonitorNetwork Prevent for EmailNetwork Prevent for WebStorage DLPNetwork DiscoverData InsightNetwork ProtectDLP Standard产品架构:服务器产品架构:服务器/存储存储+终端终端+网关防护网关防护“三位一体三位一体”安全的
8、企业安全的企业 LANDMZ终端连接终端连接SPAN 端口或接点端口或接点MTA 或代理或代理17数据泄密策略数据泄密策略Secured Corporate LANDMZMTA or ProxySPAN Port or TapDisconnectedVontuDiscoverVontuDiscoverNetwork DiscoverNetwork ProtectVontuEnforceNetwork PreventVontuEnforceNetwork MonitorEnforcePlatformEndpoint DiscoverEndpoint Prevent1819 通知发送邮件到发件人,
9、上级经理,IT管理员屏幕弹出消息框标记匹配到的文件系统日志告警 阻止 SMTP,HTTP/S,FTP,USB,CD/DVD等 修改修改机密信息文件 归档文件1.两种方法探测关键字,数据标识符,正则表达式,文件类型2.指纹数据结构化数据机密数据,发件人和收件人组非结构化数据相似度匹配And/or/if 逻辑运算,包括 exception检测规则响应规则Data Loss Policy数据防泄密策略数据防泄密策略 自定义策略或者从60策略模板中选取 保存在Enforce服务器上,并且及时推送到Detection服务器保护方法:高精度的内容识别专利技术保护方法:高精度的内容识别专利技术 TrueMa
10、tch Detection SuiteIDMIndexed Document Matching非结构化数据知识产权EDMExact Data MatchingDCMDescribed Content Matching 5M+docs per server 设计/源代码/财报 扩展的段匹配 接近100%的精确性 300M+rows per server 客户/雇员/报价 部分行匹配 接近100%的精确性结构化数据客户数据 非索引数据 词典 数据标识内容描述数据描述内容匹配描述内容匹配精确数据匹配精确数据匹配索引文件匹配索引文件匹配误报率 10的16次方分之一 误报率 1.68*10的12次方分之
11、一 误报率 1%20VML:它是如何工作的?它是如何工作的?21肯定的样例肯定的样例否定的样例否定的样例特征特征分析分析+-特征库?教育教育相似比相似比0.0 到到 10.0检测检测22网络网络DLPSecured Corporate LANDMZMTA or ProxySPAN Port or TapDisconnectedVontuDiscoverVontuDiscoverNetwork DiscoverVontuNetwork ProtectVontuEnforceNetwork PreventVontuEnforceNetwork MonitorEnforce PlatformEndp
12、oint DiscoverEndpoint Prevent 全面的协议防护,包括SMTP,HTTP/S,and FTP 可选的邮件路由和加密 与Web 2.0 web sites 和应用无缝交互 MTA 以及 Web Proxy集成(MTA:SMTP标准)全面协议监控,包括 email,web,IM,FTP 和通常的 TCP 基于签名的协议识别(不根据文件类型)自动的sender/manager 通知 识别错误,再教育员工 更新中断的业务流程 (其他的数据安全管理方式都会中断业务流程)监控阻止网络Broad protocol coverageTrueMatch detectionIntegra
13、ted reporting网络监控和保护网络监控和保护2324DMZNetworkPreventInternet进行邮件检查,如果邮件违反了策略将会被修改4终端用户发送邮件12邮件服务器将邮件转发到MTAMTAEmail服务器终端用户3MTA将邮件路由到Vontu服务器DLP服务器将邮件发送回MTA56如果邮件没有被修改,MTA会将他发送到外部。如果header被修改了,MTA会作出反应:隔离,重路由,告警或者丢弃Corporate LAN*如何进行邮件阻断如何进行邮件阻断25DMZNetworkPrevent4如果数据违反了策略,DLP可以通知Proxy终端或者修改数据传输并且有选择性的将新
14、的Web Page发送到终端用户5终端用户发送数据1Web Proxy终端用户Proxy转发数据到DLP服务器6Corporate LAN3如果传输的数据没有违反策略,Proxy将其发送出去2数据传送到Web Proxy根据策略进行数据检查Internet*如何阻止如何阻止WEB信息信息262728Email Sent with Manufacturing Drawing28存储存储DLPSecured Corporate LANDMZMTA or ProxySPAN Port or TapDisconnectedVontuDiscoverVontuDiscoverNetwork Discov
15、erNetwork ProtectVontuEnforceNetwork PreventVontuEnforceNetwork MonitorEnforcePlatformEndpoint DiscoverEndpoint Prevent29机密数据发现的架构(存储)机密数据发现的架构(存储)Enforce Server终端机器Endpoint Agent 扫描使用环境 机器数量多、分布广泛 远程办公室 离线机器架构和衡量 分布式计算 本地内容提取 和 检测 10 TB/hour per Enforce ServerDocumentumMicrosoft ExchangeSharePoint分
16、布式服务器Server Agent 扫描使用环境 很多存储地点及服务器 多 OS 平台架构和衡量 分布式计算 本地内容提取 16.8+TB/day per Enforce Server集中的服务器NAS FilersCIFS/NFSFile ServersAgentless 扫描使用环境 扫描封闭的系统(NAS filers)不容许安装客户端代理架构和衡量 基于网络的扫描 多线程爬行和检测 1 TB/day per Enforce Server30数据发现的用途数据发现的用途“I dont know where my confidential data is.”“I am responsibl
17、e for reducing compliance risk around exposed customer data.”“Our eDiscovery process is time consuming and gives inaccurate results.”1.法规遵从(国家、行业、企业)2.机密数据分布视图“Our employees still have access to data that they shouldnt have access to.”“We do not know what confidential data was on the stolen laptop.”
18、3.证据收集/关联分析/取证4.风险报告、风险评估5.访问权限隐患6.笔记本丢失“I have no way to submit a risk accessment report to my boss.”31Network Discover/Protect实现方式实现方式Corporate LANNetworkDiscoverNetworkProtectDLP加载远程的文件系统12 DLP读取文件根据策略进行文件检查3Target File SystemsProtect 可以自动地copy或者重定向违反策略的文件Quarantine Location4The above diagram is
19、for the agent-less deployment option*For file servers that support CIFS protocol3233扫描暴露在共享文件夹的数据扫描暴露在共享文件夹的数据34标记文件或者隔离文件标记文件或者隔离文件3536什么是什么是Data InsightUsersNAS FilersFile System Monitoring TechnologyData Insight 从文件服务器或NAS存储上收集文件/目录的使用信息 针对文件/目录的访问历史进行跟踪和报告报表呈现 发现文件/目录的共享和本地权限 细粒度的文件操作审计功能 数据使用信息
20、共享给DLP Enforce 平台3738 删除1个文件的操作在windows上产生数十条日志,对服务器大量的访问行为使管理员根本无法进行分析38Data Insight让操作行为审计一目了然让操作行为审计一目了然3940共享目录共享目录Overview41详尽的审计详尽的审计Log42按按目目录录/文件访问行为的审计文件访问行为的审计43按按特定特定用户的访问行为审计用户的访问行为审计44按访问级别进行审计按访问级别进行审计45详尽的报告报表功能详尽的报告报表功能支持PDF、CSV、HTML多种格式支持手工、定时报表输出功能支持自动将报表发送至管理员或数据拥有者可按访问行 为、空间占用、用户
21、、权限、数据生命周期等多种视角审计Endpoint DLPSecured Corporate LANDMZMTA or ProxySPAN Port or TapDisconnectedVontuDiscoverVontuDiscoverNetwork DiscoverNetwork ProtectVontuEnforceNetwork PreventVontuEnforceNetwork MonitorEnforcePlatformEndpoint DiscoverEndpoint Prevent46广泛的事件覆盖 拷贝到USB和其他介质 下载到本地驱动器 刻录到CD/DVD 数据使用保护扫
22、描管理 可配置的扫描 增量式扫描 对端点和网络最小化的影响发现风险报告 识别风险最高的机器 排名前列的违规者(按部门或按策略分类)保护实时强制 阻止 屏幕提示 用户输入说明并行扫描1,000个端点 终端DLP policyTrueMatch detectionOnline and offlineScalable*端点端点发现和保护发现和保护471Agent根据策略检查写到内部驱动器,USB,CD/DVD的文件Agent将事件发送到Endpoint服务器,然后Endpoint服务器将其转发到DLP EnforceDisconnected当离线后Agent仍然起作用并且本地保存事件Endpoint
23、Server2终端用户3如果有违反策略,马上进行阻止然后弹出本地初始化的反应规则Corporate LANThe above diagram assumes DCM-only detection.Otherwise,inspection occurs at the server.端点保护的工作方式端点保护的工作方式4481Agent根据策略检查本地硬盘上的文件DisconnectedEndpointServer终端用户2Corporate LANThe above diagram assumes DCM-only detection.Otherwise,inspection occurs at
24、 the server.*端点发现的工作方式端点发现的工作方式Agent将事件发送到Endpoint服务器,然后Endpoint服务器将其转发到DLP Enforce当离线后Agent仍然起作用并且本地保存事件34950基于场景得信息泄漏防护场景一:终端泄漏防护基于场景得信息泄漏防护场景一:终端泄漏防护q 场景描述:内部员工办公终端,可以随时从公盘下载敏感信息,也可从其他同事终端上拷贝敏感文档。存储在本地得敏感文档可以通过U盘拷贝,刻录光盘,发送邮件,上传外部ftp等方式非法传输到外部。q 赛门铁克解决方案:在个人终端强制部署DLP客户端,监控用户从公盘批量下载敏感数据,或通过u盘等渠道将信息
25、外泄。不安装DLP得终端将无法正常接入办公网络。q 涉及产品:SNAC准入控制DLP客户端51源代码拷贝到源代码拷贝到USB52文件拷贝被阻止并且有屏幕弹出通知文件拷贝被阻止并且有屏幕弹出通知5354赛门铁克赛门铁克DLP的优势的优势 DLP整体方案,覆盖最全面 Data in Motion,Data at rest,Data in use 支持多种语言 支持多种协议 支持最广泛的数据存储库 终端覆盖技术多种多样 专利的检测技术 指纹匹配 无需理解数据内容 准确率高 支持相似度匹配 量变到质变的等级划分方式 策略灵活、适应性强 与其他安全系统有很好的集成性 业经证明、广泛应用的DLP方案55业
26、界证明最佳的业界证明最佳的DLP方案方案我们我们的的客户客户每4个财富100强的公司中有一个前11强的商业和投资银行中有8个前10强的保险公司中有6个前5强的医疗保健机构中有4个前4强信用卡公司中有3个 前7强的制造业企业前10强的技术公司前12强的零售品牌覆盖500万员工56赛门铁克赛门铁克DLP国内部分典型成功案例国内部分典型成功案例广东移动,广州移动,福建移动,辽宁移动,吉林移动,河南移动,甘肃移动,四川移动,青海移动,内蒙古移动,云南移动,山东移动,中国移动(深圳)分公司,重庆移动,新疆移动,贵州移动、重庆移动、浙江移动、陕西移动云南电力云南电力四川电力四川电力赛门铁克赛门铁克DLP部
27、分全球典型成功案例部分全球典型成功案例57目录目录58数据信息泄漏事件背景介绍1DLP项目的成功案例及经验分享3赛门铁克DLP解决方案介绍2l工程实施的项目管理牵头l系统运维,提供技术支持培训某某用户用户DLP案例案例明确主要部门明确主要部门的职责分工的职责分工 实施小组实施小组l牵头组织细化策略制定l向各部室提出具体的工作要求l检查办公室提出工作要求的落实情况l 检查评价各部室在各项信息安全管理过程中的进展情况安全审核岗总部办公室l 总部、一级分支、二级分支设立l 承担基本的违规事件检查、放行、报告、联系人职能人力资源部l制定、完善离职人员的检查策略内审部门内控部门信息科技部60Level
28、1Level 2Level 3Level 4Level 5Goal:IT SecurityPlatform/practice-basedExternally drivenReactive focusExpenseIT ownedTechnical problemGoal:Enterprise resilienceProcess-basedEnterprise-drivenIntegrated focusInvestmentEnterprise ownedEnterprise problem规划规划部署部署保护基准保护基准修复修复通知通知DLP项目的项目的6个标准过程个标准过程阻断与阻断与保护保
29、护达成目标、检达成目标、检测工作成测工作成果果DLP关键时期关键时期/整体规划整体规划并非要经历所有过程,并非要经历所有过程,但一定要管但一定要管理、技术、运行理、技术、运行并并重重逐步增加策略逐步增加对存储检查的数量逐步扩大对用户和端点的覆盖逐步增加检查协议和泄漏点的数量建议从这里开始建议从这里开始终端点 -可以接触高敏感资料的用户和处于风险中的员工网络-高数据量,高风险协议与泄漏点存储-高访问,高容量数据库从从最敏感的数据开始最敏感的数据开始这取决于成本的考虑。所有的“安全”都是相对的,都是有成本的。过于安全会牺牲系统运行效率、牺牲用户的方便性个人账户资料:银行卡号/存折号/磁条数据/身份
30、证号 用户交易:银行卡号/存折号其它衍生分析类数据:客户分析报表金融行业常见的防泄漏保护对象金融行业常见的防泄漏保护对象核心用户数据核心用户数据金融行业常见的防泄漏保护对象(续)金融行业常见的防泄漏保护对象(续)普密文档:秘密、绝密、机密 商密文档:商密一级、二级、三级 内幕、敏感信息:研究报告、投资顾问、销售交易、自营业务、资管业务企业内部机密文企业内部机密文档档金融行业常见的防泄漏保护对象金融行业常见的防泄漏保护对象(续)(续)开发代码开发代码 外包软件开发商的代码外泄防护:参考Symantec 源代码防护策略模板EndpointSocial EngineeringData-In-Moti
31、onData-At-RestPhysicalD Da at ta a L Lo os ss sLaptop/DesktopServerCD/DVDUSBiPodMemory StickPCMCIAMemory Card ReadersCommunicationBluetoothInfraredFirewireSerial/Parallel PortsVirtual MachineOther Threat VectorsScreen ScrapersTrojansKey LoggersPhishing/Spear Phishing PiggybackingDumpster(Skip)Diving
32、ContractorsRoad AppleEavesdroppingE-MailHTTP/SSSHFTPIMVoIPP2PBlogsDatabasesFile SystemsFile ServersNASSANs/iSCSI StorageVoice MailVideo SurveillancePrintersBackup Tapes/CD/DVDLaptop/Desktop/ServerFaxPhotocopierMobile Phone/PDADigital Camera(incl.Mobile Phone Cameras)Incorrect DisposalPrinted Reports
33、65从最容易泄露的途径开始从最容易泄露的途径开始社会工程服务器获取网络获取物理途径终端获取1.没有绝对的安全,没有绝对的安全,我们应该要有正确的预期我们应该要有正确的预期!2.预防为主,首要解决大概率事件预防为主,首要解决大概率事件!信息防泄漏推广的关键点信息防泄漏推广的关键点 策略不要贪多求全,先从最重要的客户数据保护开始 先从1-2个部门开始 初始阶段,优先选取3-5条监控策略,了解数据泄密的整体情况检查策略不要贪多 不断的调整策略精准度,减少误报和事件处理工作量 提供给相关部门和员工充分且有价值的信息,提升项目价值注重控制误报率 管理部门牵头协调信息泄露防护的各项管理工作管理部门牵头协调
34、形成定期的统计分析报告给各职能部门,作为和用户沟通的渠道之一形成定期的统计分析报告给各职能部门,作为和用户沟通的渠道之一 主要违规发件人 主要事件接收人 根据每种策略统计的违规事件数 严重性“高”的事件百分比面向各业务部门的报告 各业务部门事件下降 由于业务流程有问题造成的事件下降 因员工疏忽造成的事件下降 主要违规业务部门面向管理层的报告选择1-2个关键指标作为每季度风险降低的目标面向信息科技部门的报告 每条检查策略误报的%信息安全管理使用岗需要查看的“新”事件 DLP系统中未审查事件的平均列队大小信息防泄漏推广的关键点信息防泄漏推广的关键点(续续)数据保护建议流程数据保护建议流程 识别识别
35、企业企业风险并有效阻止风险并有效阻止httpftpWebmailIMUSBDVD共享数据库文件服务器网络网络端点端点存储存储1 DLP3 加密加密针对个别针对个别部门部门的机密文档的机密文档 密钥管理密钥管理文档分级文档分级自动加密自动加密针对个别针对个别部门部门的重要文档的重要文档用户权限应用程序文档分类文档分类2 DRM文档授权文档授权文档级别文档类型文档位置应用程序抓大放小先简后繁6869部署部署DLP带给企业的价值:将剩余风险压缩到最小带给企业的价值:将剩余风险压缩到最小Months创建例外创建例外评估策略精准度评估策略精准度建立相适应的建立相适应的规章制度和操作流程规章制度和操作流程
36、建立和业务部门及建立和业务部门及员工的沟通和教育机制员工的沟通和教育机制10008006004002000Number of Incidents0Baseline Period1 to 34 to 67 to 910 to 12Prevention/Protection找出有缺陷的业务找出有缺陷的业务流程并修正流程并修正RemediationBaseline发送者发送者收到自动通知收到自动通知Notification业务部门风险记分板业务部门风险记分板Refine Policies创建初始策略创建初始策略Refine PoliciesRefine Policies评估违规频度评估违规频度改变企
37、业改变企业的行为的行为改变员工改变员工的行为的行为震撼式教育震撼式教育洞察力洞察力Thank you!Copyright 2010 Symantec Corporation.All rights reserved.Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S.and other countries.Other names may be trademarks of their respective
38、 owners.This document is provided for informational purposes only and is not intended as advertising.All warranties relating to the information in this document,either express or implied,are disclaimed to the maximum extent allowed by law.The information in this document is subject to change without
39、 notice.70李炜TEL:13901246966Email:wilson_7172737475综合防护综合防护场景:合法文档拷贝管控场景:合法文档拷贝管控q 场景描述:企业内部存在一些员工,可以合法将敏感信息存储在U盘上,或将文档上传到公盘,如果只使用DLP终端防护,可能影响正常办公,如果使用例外策略,则失去对这些用户得管控能力,需要技术手段,确保办公正常得同时,数据也安全存储;q 赛门铁克解决方案:终端部署DLP客户端以及PGP客户端;当敏感文档拷贝到移动介质或公盘时,DLP自动联动PGP,使用制定人员公钥加密文档,这样,只有指定得人员可以使用私钥解开加密文档q 涉及产品:PGP客户端
40、DLP客户端 Flex Response如何实现终端如何实现终端DLP&PGP联动联动Presentation Identifier Goes Here76PGP NetshareDLP endpointFlex ResponseFile transferingContain sensitive dataDoes not contain sensitive dataNonencrypt FilesEncrypt Files With KeysEndpointDLP+PGPU DiskCorrelationDLP EnforceDecrypt with Key PGP UniversalServerCheck GroupKEY ID DLPPGP联动在联动在IBM中国的实际案例中国的实际案例Presentation Identifier Goes Here77我们实现了该功能的实际应用,联动效果见下图