常见的数据防泄漏方案.ppt

目录 信息安全保护什么 C 机密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。 可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。 保护信息资产的机密性、完整性和可用性（C.I.A）让组织的业务运作顺畅、安全 I A 一般原理 业务报表 设计资料 客户资料 财务报告 战略报告 审计报告 重要邮件 会议纪要 企业秘密 客户信息 知识产权 隐私数据 健康数据 信用卡号 … 合规数据 数据是企业信息安全的核心目标 一般原理 4 发现和评估 数据分类 定义有效的策略 实施控制 监控, 报告和审计 发现保存在所有位置的敏感数据，对风险进行评估 确保安全的数据处理流程正常运转 创建策略用于保护数据，并且确保策略的有效性 控制机密数据的授权访问和安全传输 通过报警和事件管理来确保成功的数据安全防护 数据保护最佳实践 一般原理 5 数据 来源 用户 操作 执行 策略 目的地控制 拷贝到设备 刻录光盘 剪切复制 拷贝 打印 上传 加密 教育 监控 数据保护需要动态和全面 一般原理 Data 企业数据 DRM可以决定数据的访问和使用方式，功能强大 仅限于特定的文档类型 需要与企业应用紧密集成，大量依靠人工参与 部署实施十分复杂并难以持续运维 仅适用于研发等少数小组 技术不能解决所有的问题，仍然需要以下辅助 风险教育 行政管理 物理安全 刑事诉讼 全面评估信息风险，包括网络、端点和存储 全面检测数据库、文件、邮件、文字等泄密通道，及时报警或阻止 统一制定防泄漏策略 遵从监管法案法规 实施和部署简单，无需更改流程，无需人工参与，可在企业范围应用 能够有效的与DRM/加密工具集成使用，使得后者更有效 能够阻止没有权限的人非法获取信息，即使丢失也没关系 依赖手工进行 密钥的管理是个复杂问题 不能解决无意识泄密和主动泄密 仅适用于笔记本或者少量文件服务器 主流数据保护方法 一般原理 6 7 终端 网络 CD/DVD USB 数据挖掘 邮件安全 Web 安全 即时信息 安全 存储 数据库 安全 Exchange/ Domino Sharepoint/ Web 文件服务器 安全 DLP 策略 监控 预防 发现 保护 Email FTP 安全 P2P Web 即时消息 打印/传真 粘贴/拷贝 FTP DLP监控的数据流转途径 一般原理 DLP的方法 它通过内容分析，按照中央策略，识别、监控和保护数据 关键特征 深度内容分析 中央策略管理 广泛内容覆盖 内容相关是其最大的优势 与文件格式和类型无关 与网络协议无关 支持模糊匹配，关键字匹配 支持高精度匹配，误报低 支持相似度匹配 支持统计分析，关联分析 策略可根据敏感数据类型分类，并预置大量分类策略模板 DLP的缺点 仅具备基本的主动式防泄漏能力，不善于阻止 对硬件的要求很高 不符合用户最直接的思维习惯 隐藏数据可以逃避 国内外DLP产品对比 一般原理 将敏感数据防泄漏产品分为终端防泄漏专控软件、防泄漏网关，通过这两者的配合来完成数据防泄漏功能。 解决方案主要是以信息分类为基础，结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露。 优点：对使用、存储和移动中的数据，实现全方位数据防泄漏；具有较强的敏感数据检测机制；全面保护来自于不同数据源，不同载体，不同类别的数据。 缺点：不能对整个硬盘进行加密；不能解决非授权用户的数据外泄问题；不能解决内部恶意的数据外泄。 以文档透明加密和权限管理为核心，对文档（数据）采用双重保护手段。一是文件级的加密权限保护，二是磁盘级的加密保护。 优点：实现企业内部敏感数据的统一管理，防止未授权使用、防篡改和防拷贝；可以实现动态透明加解密。 缺点：功能单一，无法实现全方位的数据必威体育官网网址；策略制定较为简单。 国外：以防止无意泄漏为目标。内容识别、审计是核心手段。 国内：以防止任何方式的泄漏为目标。文档加密是核心手段。 数据识别是保护的前提 一般原理 数据的两种形式 结构化数据：存储在数据库中，包括智能卡、移动用户资料等关键并且敏感的信息。 非结构化数据：主要存储在文件服务器以及大量的工作终端。 数据保护的核心思路 定义企业的机密信息 制定对不同等级机密信息的监视和防护策略 部署策略监控阻断信息泄漏 10 10 抓大放小 先简后繁 拾漏补遗 10 数据保护建议流程 一般原理 目录 11 数据安全不仅是目的， 更是动态的过程！ 数据全生命周期保护