企业业务数据防泄露方案.pptx

《企业业务数据防泄露方案.pptx》由会员分享，可在线阅读，更多相关《企业业务数据防泄露方案.pptx（41页珍藏版）》请在三一文库上搜索。

1、业务系统数据防泄露解决方案业务系统数据防泄露解决方案 内容纲要 企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联软科技介绍 数据泄露事件日益增多 数据泄露的背后往往是巨大的商数据泄露的背后往往是巨大的商业业业业和政治利益和政治利益 下一个会是下一个会是 ？ 三菱UFJ证券泄密案（2009） 据日本朝日新闻4月9日报道，日本三菱UFJ金融集团(Mitsubishi UFJ Financial Group)经纪 业务部门日前表示，该公司一名员工私下将近5万名客户的信息出售，其中包括客户的薪水等 私人信息。目前这名员工已被解雇。 三菱UFJ证券公司表示，一名4

2、4岁的员工被发现将约5万名客户的详细信息出售给了三家数据 代理商。这名员工是该公司计算机与信息部门的负责人，不过他的身份没有被公开。三菱UFJ 证券公司已经解雇了这名员工，并打算提起诉讼。 三菱UFJ证券公司就这起泄密事件向所有客户道歉，并表示已经报警。总经理Koji Maeda在新 闻发布会上表示:“在此特向公司所有的客户致以最诚挚的道歉，我们将全力配合警方的调查 ，严防类似事件再次发生。” 据悉，这名员工事发前曾在未经授权的情况下，将多达1486651名客户的资料带回家中，这个 数目几乎是三菱UFJ证券公司的所有个人客户的数量。随后，他将49159名客户的信息售出， 用以偿还个人贷款。出售

3、的信息包括客户的姓名、家庭住址、电话号码、职业、年收入等。 后来，大量客户投诉称，他们的电话号码被曝光，甚至频繁接到电话推销，此事才一点一点 曝光。 日本Alico公司数据泄露事件（2009） 美国生命保险日本分公司“ALICO JAPAN”就泄露信用卡持有 者信息一事，30日公布了截止29号怀疑卡被盗用的投诉事件，总 数已从25日的2200件上升至2700件。 据ALICO报道，2700件非法盗用的信用卡都在公司的掌握之中 ，还没有发生要求实际持卡人付费的事件发生。 从7月初开始出现非法使用的信用卡，将在8月以后通知持卡 人。 今后，还会有信用卡公司没有掌握的盗用部分要持卡人付费问 题出现。

4、ALICO今后将依次公布非法盗用的投诉事件。 InsightExpress 2008年的调研数据 情景 TOTALUSBRAUKFRADEUITACHNJPNINDAUS 知道有人访问 过非授权资料 6%3%7%4%14%4%3%8%0%10%6% 本人访问过 非授权资料 5%1%7%3%12%2%5%11%1%4%0% 知道有人偷取 含公司资料的 设备 3%1%3%2%4%2%8%3%0%6%0% 知道有人卖公 司数据资料给 外部 3%0%5%1%3%3%1%5%3%4%1% 本人偷过 公司的设备 1%0%0%0%1%0%2%0%0%3%0% 本人卖过 公司的资料 1%0%2%0%0%2%2

5、%0%1%2%0% 以上都不是89%96%85%93%79%93%87%82%96%84%94% 中国的数据泄露更多的是主动/内部泄露 ！ 比较而言，中国的数据泄露问题比较严重 ！ 数据泄露风险 海量数据海量数据 安全策略安全策略 无限地域无限地域 用户无处不在 企业全球化扩展、分支机构 人力外包，家庭办公 政策法规 业务需求 预算资金 数据无处不在 结构化数据，非结构化数据 客户名单，知识产权，财务报表 机密 业务系统中数据的分类 促销计划立项报告 投标文件配置信息 设计图纸财务报 表 财务报 表 工资表信用卡号 客户名单 消费记录账单 结构化数据非结构化数据 数据泄露风险如何评估 机密数据

6、如何被泄露机密数据如何流转机密数据位于何处 CONFIDENTIALCONFIDENTIALCONFIDENTIAL 业务数据存放位置及形式 存储中的数据 传输中的数据 使用中的数据 Windows file shares Unix file shares NAS / SAN storage Windows 2000, 2003, 2008 / Windows XP, Win 7 Oracle SQL Server CMS SharePoint Local printers Network printers Burn to CDs/DVDs External hard drives Memor

7、y sticks Removable media Copy to Network shares Copy to external drives SMTP email Exchange, Lotus, etc. Webmail MSN Messenger QQ FTP HTTP HTTPS TCP/IP 数据泄露风险点 内部应应用系统统 VPN 应应用系统统 业务系统 外部系统统 OA系统 ROUTER WLAN SWITCH HUB 内部网络络 智能终终端 网络络外设设 个人电脑电脑 终终端外设设 外部系统的特点： 1）数量有限 2）信息流有限 3）出口位置通常能够固定 内部应用系统的特点：

8、1）设备 位置相对固定 2）管理人员相对固定 3）比较容易通过管理规范、制度等约束 网络的特点： 1）覆盖面广，信息量大 2）信息以比特流的方式呈现，人不可阅读 3）有专用工具可以截获网络上信息 终端系统的特点： 1）数量多，操作人员复杂（岗位、部门、级别 ） 2）位置分散，多种接入方式 3）终端类型复杂：台式机、笔记本、打印机、扫描仪. 4）数据泄露途径多，特别是网络泄露途径不可统计 业务数据如何被泄露 非结构化数据 结构化数据 U盘、移动硬盘、光盘、闪存卡、软盘等 多网卡、USB端口、红外、火线、串/并口、 Modem、PCMCIA卡等 1.便携存储 共享文件,网络应用程序（FTP，P2P

9、，IM） 公司/个人电子邮件等 2.终端数据传输 端口 明文方式的数据传输（例如HTTP、FTP等） 3.网络应用程序 打印、传真 4.传输中被截获 3G, 蓝牙、Wi-Fi等 5.载体转换 废弃硬盘、光盘、U盘、软盘、纸张等载体 6.非授权外联 记忆、手工誊抄、屏幕拍照/摄像 7.废弃物理载体 8.摄拍、记忆 转换 内容纲要 企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联软科技介绍 主要的数据防泄露方案 DLP方案 Data Loss Prevent DRM方案 Data Right Management EFS方案 Encrypting File

10、System/Drive DB Audit方案 DB Audit DLP方案的实现方式 MANAGE 管理 发现 确定所要扫描的目标 在网络或终端上扫描敏感信 息 data 制订安全策略 审计 监控 1 23 保护 4 5 监控发送的数据 监控网络或终端上的事件 阻断，删除 隔离、复制 提示、告警 DLP方案的优缺点 DLP的方法 通过深度内容分析，按照统一安全策略，识别、监控和保护 静态存储的数据、使用中或传输中的数据 DLP的优点 保护内容比较广 部署较简单 DLP的缺点 无法阻止主动式泄密 不适用多通道的网络环境（例如个人接入的3G网卡） 对硬件要求高（否则无法进行深度分析） 对外发的密

11、文无法管控 DRM方案的实现方式 MANAGE 管理 创建 文档作者创建文档 加密、设置权限 data 制订安全策略 审计 传送 1 23 接收 4 5 上传到服务器 通过邮件或其他方式发送给 接收者 在服务器直接打开 下载到本地打开 微软RMS方案的工作流程 非法用户得到该 文档后不能打开 5 内部员工可以打 开该文档 “marketing.docx” 4 c 3 RMS将该文档保 护，并限制为只 有内部员工可以 打开 文件分类架构表 标识该文档为“ 密文” c 2 用户创建office文 档 “marketing.docx” 1 DRM方案的优缺点 DRM的方法 在文件中标记权限 需要额外

12、的身份认证、权限管理、日志审计等技术 DRM的优点 能够防范用户的主动式泄密和二次泄密 便于理解 DRM的缺点 无法防止作者泄密 需要改变用户的使用习惯 权限管理 EFS加密文件系统 43 用户选择加密文 档 ”marketing.docx” c 2 用户创建office文 档 “marketing.docx” 1 用户可以打开该 文档 “marketing.docx” 非法用户得到该 文档后不能打开 EFS方案的优缺点 加密的方法 文件、文件夹、磁盘加密 EFS的优点 操作简单，易普及 即使存储设备丢失，也不用担心信息泄露 EFS的缺点 无法防止用户主动泄密 密钥管理 密钥如何存储 密钥丢失

13、后如何恢复加密文件 数据库审计方案 数据库服务器 审计引擎 端口镜像 审计控制 数据库审计方案的优缺点 数据库审计的内容 可以跟踪数据库管理员的全部详细操作 数据库审计的优点 可以追溯事件原因 技术较简单、易部署 数据库审计的缺点 只是一种威慑，不能确保阻止泄露行为 数据库自带的审计功能会耗费大量的资源，第三方 的审计软件通常存在审计不全的问题 完美的数据防泄露解决方案 DLP DRM EFS DB Audit ？ 选择一个最适合的方案 合理的期望 多种因素的平衡 内容纲要 企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软业务数据防泄露解决方案 联软科技介绍 业务数据防泄露解

14、决方案核心 通过NAC（网络访问控制）技术，确保只有受控计 算机和认证人员才能够接入企业的业务网络 通过AAC（应用访问控制）技术，确保只有受控计 算机上的受控程序才能连接服务器和接收来自服务 器的数据，并且数据的导出和下载过程全面受控 经授权导出的数据采取密文的方式保存，防止数据 二次泄露 网络访问控制（NAC）总体流程 无Agent 隔离 指引安装Agent 有Agent 验证使用者身份 检查终 端状态 是否为合法终端 安全状态检查 正常接入 资产管理、终端安全管理 行为审计 （上网行为、文件操作行 为、即时通信行为） 终端数据防泄露 终端接入 管理目标 不漏一 终端 不漏一 端口 不漏一

15、 策略 不漏一 数据 自动发现网络上的所有终端 发现哪些终端安装了Agent 哪些没有安装Agent 网络访问控制技术示意图 n建立终端接入管理机制 注册登记 接入检查 安全隔离 安全通知 安全修复 n外来终端无法接入 或自动进入访客区 n不安全的终端访问受限 只能访问指定的服务器和网络 认证服务器 访客区工作区修复区 身份安全状态+硬件ID 外来终端 不安全终端 合规终端 应用访问控制（AAC）总体流程 非受控进程 禁止访问业务 系统 受控进程 授权访问应 用系统 无法将应用系统中的数据保存在本地 合规导 出 满足导出条件的用户可以导出应用系 统中的数据 导出的数据可以强制加密 终端访问应

16、用 系统 管理目标 进程可控 资源访问 可控 数据可控 自动将应用访问控制策略下 发到受控终端 未采用AAC的数据传输方式 终端应用系统 客 户 端 1. 客户端软件访问 应用系统数据 2. 应用系统应 答， 数据返回给客户端 3. 客户端程序将数 据保存（导出）至 终端本地存储 采用AAC后数据管控方式 终端应用系统 客 户 端 1. 客户端软件访问 应用系统数据 2. 应用系统应 答， 数据返回给客户端 3. 客户端程序将数 据保存（导出）至 终端本地存储 支持的应用系统类型 B/S类型的应用系统 通过浏览器访问的应用系统 支持所有浏览器IE/Firefox/Chrome C/S类型的应用

17、系统 SQL Plus, (数据库客户端连接方式) telnet/ftp/ssh, (常用网络服务连接方式) 远程文件共享, (文件共享连接方式) 支持几乎所有的应用 AAC控制过程示意 联软业务数据防泄露方案的优势 最先进、最完整、最有效的业务数据防泄露解决 方案 全面解决了结构化数据和非结构化数据的泄露问题 采用业界最先进的应用虚拟化和网络准入控制技术 易部署、易使用 无需改造网络，无需改造业务系统 使用简单，不改变用户习惯 可靠性 在终端进行管控，不影响业务系统，没有性能瓶颈 无灾难性故障 内容纲要 企业面临的数据泄露安全风险 如何选择适合自身的数据防泄露方案 联软数据防泄露解决方案 联

18、软科技介绍 公司概况 2003年成立，总部位于深圳 联软科技是全球领先的网络安全软件厂商。我们专注于基于IT服务管 理(ITSM)的信息安全产品和解决方案的设计与开发，是为数不多的通 过自主研发实现技术领先国外同类产品的中国企业 联软科技一直专注于自有品牌产品LeagView的研发、销售、服务和品 牌建设 2013-4-21构建有效IT安全运维体系 37 机构设置 深圳总部 总裁办 销售部 市场渠道部 战略事业部 人力资源部 财务部 研发部 技术支持部 华北大区 营销中心 技术服务中心 北京市联软基 业 济南办事处 石家庄办事处 沈阳办事处 华东 大区 营销中心 技术服务中心 上海办事处 南京办事处 杭州办事处 合肥办事处 华南大区 营销中心 技术服务中心 广州办事处 福州办事处 武汉办事处 西南大区 营销中心 技术服务中心 成都办事处 重庆办事处 贵阳办事处 昆明办事处 西北大区 营销中心 技术服务中心 西安办事处 兰州办事处 2013-4-21构建有效IT安全运维体系 38 联软科技全国行业与区域合作伙伴 联软科技 证券 银行 部分行业客户名录 基金 保险 部分行业客户名录 电信 政府 能源 军工 制造 甘肃省政府山东省地方税务局 案例介绍：XX省地方税务局 敬请期待！敬请期待！