企業(yè)業(yè)務數(shù)據(jù)防泄露方案

1、業(yè)務系統(tǒng)數(shù)據(jù)防泄露解決方案2012/1/121內容綱要企業(yè)面臨的數(shù)據(jù)泄露安全風險如何選擇適合自身的數(shù)據(jù)防泄露方案聯(lián)軟數(shù)據(jù)防泄露解決方案聯(lián)軟科技介紹2數(shù)據(jù)泄露事件日益增多數(shù)據(jù)泄露的背后往往是巨大的商業(yè)和政治利益下一個會是 ？3三菱UFJ證券泄密案（2009）據(jù)日本朝日新聞4月9日報道，日本三菱UFJ金融集團(Mitsubishi UFJ Financial Group)經(jīng)紀業(yè)務部門日前表示，該公司一名員工私下將近5萬名客戶的信息出售，其中包括客戶的薪水等私人信息。目前這名員工已被解雇。 三菱UFJ證券公司表示，一名44歲的員工被發(fā)現(xiàn)將約5萬名客戶的詳細信息出售給了三家數(shù)據(jù)代理商。這名員工是該公司

2、計算機與信息部門的負責人，不過他的身份沒有被公開。三菱UFJ證券公司已經(jīng)解雇了這名員工，并打算提起訴訟。 三菱UFJ證券公司就這起泄密事件向所有客戶道歉，并表示已經(jīng)報警?？偨?jīng)理Koji Maeda在新聞發(fā)布會上表示:“在此特向公司所有的客戶致以最誠摯的道歉，我們將全力配合警方的調查，嚴防類似事件再次發(fā)生?！?據(jù)悉，這名員工事發(fā)前曾在未經(jīng)授權的情況下，將多達1486651名客戶的資料帶回家中，這個數(shù)目幾乎是三菱UFJ證券公司的所有個人客戶的數(shù)量。隨后，他將49159名客戶的信息售出，用以償還個人貸款。出售的信息包括客戶的姓名、家庭住址、電話號碼、職業(yè)、年收入等。后來，大量客戶投訴稱，他們的電話號

3、碼被曝光，甚至頻繁接到電話推銷，此事才一點一點曝光。4日本Alico公司數(shù)據(jù)泄露事件（2009）美國生命保險日本分公司“ALICO JAPAN”就泄露信用卡持有者信息一事，30日公布了截止29號懷疑卡被盜用的投訴事件，總數(shù)已從25日的2200件上升至2700件。據(jù)ALICO報道，2700件非法盜用的信用卡都在公司的掌握之中，還沒有發(fā)生要求實際持卡人付費的事件發(fā)生。從7月初開始出現(xiàn)非法使用的信用卡，將在8月以后通知持卡人。今后，還會有信用卡公司沒有掌握的盜用部分要持卡人付費問題出現(xiàn)。ALICO今后將依次公布非法盜用的投訴事件。5InsightExpress 2008年的調研數(shù)據(jù)情景TOTALUS

4、BRAUKFRADEUITACHNJPNINDAUS知道有人訪問過非授權資料6%3%7%4%14%4%3%8%0%10%6%本人訪問過非授權資料5%1%7%3%12%2%5%11%1%4%0%知道有人偷取含公司資料的設備3%1%3%2%4%2%8%3%0%6%0%知道有人賣公司數(shù)據(jù)資料給外部3%0%5%1%3%3%1%5%3%4%1%本人偷過公司的設備1%0%0%0%1%0%2%0%0%3%0%本人賣過公司的資料1%0%2%0%0%2%2%0%1%2%0%以上都不是89%96%85%93%79%93%87%82%96%84%94% 中國的數(shù)據(jù)泄露更多的是主動/內部泄露！ 比較而言，中國的數(shù)據(jù)泄

5、露問題比較嚴重！6數(shù)據(jù)泄露風險海量數(shù)據(jù)安全策略無限地域用戶無處不在企業(yè)全球化擴展、分支機構人力外包，家庭辦公政策法規(guī)業(yè)務需求預算資金數(shù)據(jù)無處不在結構化數(shù)據(jù)，非結構化數(shù)據(jù)客戶名單，知識產(chǎn)權，財務報表機密7業(yè)務系統(tǒng)中數(shù)據(jù)的分類促銷計劃立項報告投標文件配置信息設計圖紙財務報表財務報表工資表信用卡號客戶名單消費記錄賬單結構化數(shù)據(jù)非結構化數(shù)據(jù)8數(shù)據(jù)泄露風險如何評估機密數(shù)據(jù)如何被泄露機密數(shù)據(jù)如何流轉機密數(shù)據(jù)位于何處CONFIDENTIALCONFIDENTIALCONFIDENTIAL9業(yè)務數(shù)據(jù)存放位置及形式存儲中的數(shù)據(jù)傳輸中的數(shù)據(jù)使用中的數(shù)據(jù)Windows Unix NAS / SAN storageW

6、indows 2000, 2003, 2008 / Windows XP, Win 7OracleSQL ServerCMSSharePointLocal printersNetwork printersBurn to CDs/DVDsExternal hard drivesMemory sticksRemovable mediaCopy to Network sharesCopy to external drivesSMTP emailExchange, Lotus, etc.WebmailMSN MessengerQQFTPHTTPHTTPSTCP/IP10數(shù)據(jù)泄露風險點內部應用系統(tǒng)VPN

7、應用系統(tǒng)業(yè)務系統(tǒng)外部系統(tǒng)OA系統(tǒng)ROUTERWLANSWITCHHUB內部網(wǎng)絡智能終端網(wǎng)絡外設個人電腦終端外設外部系統(tǒng)的特點：1）數(shù)量有限2）信息流有限3）出口位置通常能夠固定內部應用系統(tǒng)的特點：1）設備位置相對固定2）管理人員相對固定3）比較容易通過管理規(guī)范、制度等約束網(wǎng)絡的特點：1）覆蓋面廣，信息量大2）信息以比特流的方式呈現(xiàn)，人不可閱讀3）有專用工具可以截獲網(wǎng)絡上信息終端系統(tǒng)的特點：1）數(shù)量多，操作人員復雜（崗位、部門、級別）2）位置分散，多種接入方式3）終端類型復雜：臺式機、筆記本、打印機、掃描儀.4）數(shù)據(jù)泄露途徑多，特別是網(wǎng)絡泄露途徑不可統(tǒng)計11業(yè)務數(shù)據(jù)如何被泄露非結構化數(shù)據(jù)結構化數(shù)

8、據(jù)1.便攜存儲U盤、移動硬盤、光盤、閃存卡、軟盤等2.終端數(shù)據(jù)傳輸端口多網(wǎng)卡、USB端口、紅外、火線、串/并口、Modem、PCMCIA卡等3.網(wǎng)絡應用程序共享文件,網(wǎng)絡應用程序（FTP，P2P，IM）公司/個人電子郵件等4.傳輸中被截獲明文方式的數(shù)據(jù)傳輸（例如HTTP、FTP等）5.載體轉換打印、傳真6.非授權外聯(lián)3G, 藍牙、Wi-Fi等7.廢棄物理載體廢棄硬盤、光盤、U盤、軟盤、紙張等載體8.攝拍、記憶記憶、手工謄抄、屏幕拍照/攝像轉換12內容綱要企業(yè)面臨的數(shù)據(jù)泄露安全風險如何選擇適合自身的數(shù)據(jù)防泄露方案聯(lián)軟數(shù)據(jù)防泄露解決方案聯(lián)軟科技介紹13主要的數(shù)據(jù)防泄露方案DLP方案Data Los

9、s PreventDRM方案Data Right ManagementEFS方案Encrypting /DriveDB Audit方案DB Audit14DLP方案的實現(xiàn)方式MANAGE管理發(fā)現(xiàn)確定所要掃描的目標在網(wǎng)絡或終端上掃描敏感信息 data制訂安全策略審計監(jiān)控123保護45監(jiān)控發(fā)送的數(shù)據(jù) 監(jiān)控網(wǎng)絡或終端上的事件阻斷，刪除隔離、復制提示、告警15DLP方案的優(yōu)缺點DLP的方法通過深度內容分析，按照統(tǒng)一安全策略，識別、監(jiān)控和保護靜態(tài)存儲的數(shù)據(jù)、使用中或傳輸中的數(shù)據(jù)DLP的優(yōu)點保護內容比較廣部署較簡單DLP的缺點無法阻止主動式泄密不適用多通道的網(wǎng)絡環(huán)境（例如個人接入的3G網(wǎng)卡）對硬件要求高（

10、否則無法進行深度分析）對外發(fā)的密文無法管控16DRM方案的實現(xiàn)方式MANAGE管理創(chuàng)建文檔作者創(chuàng)建文檔加密、設置權限 data制訂安全策略審計傳送123接收45上傳到服務器通過郵件或其他方式發(fā)送給接收者在服務器直接打開下載到本地打開17微軟RMS方案的工作流程非法用戶得到該文檔后不能打開5內部員工可以打開該文檔“marketing.docx”4c3RMS將該文檔保護，并限制為只有內部員工可以打開文件分類架構表標識該文檔為“密文”c2用戶創(chuàng)建office文檔 “marketing.docx”118DRM方案的優(yōu)缺點DRM的方法在文件中標記權限需要額外的身份認證、權限管理、日志審計等技術DRM的優(yōu)

11、點能夠防范用戶的主動式泄密和二次泄密便于理解DRM的缺點無法防止作者泄密需要改變用戶的使用習慣權限管理19EFS加密文件系統(tǒng)43用戶選擇加密文檔”marketing.docx”c2用戶創(chuàng)建office文檔 “marketing.docx”1用戶可以打開該文檔“marketing.docx”非法用戶得到該文檔后不能打開20EFS方案的優(yōu)缺點加密的方法文件、文件夾、磁盤加密EFS的優(yōu)點操作簡單，易普及即使存儲設備丟失，也不用擔心信息泄露EFS的缺點無法防止用戶主動泄密密鑰管理密鑰如何存儲密鑰丟失后如何恢復加密文件21數(shù)據(jù)庫審計方案數(shù)據(jù)庫服務器審計引擎端口鏡像審計控制22數(shù)據(jù)庫審計方案的優(yōu)缺點數(shù)據(jù)庫

12、審計的內容可以跟蹤數(shù)據(jù)庫管理員的全部詳細操作數(shù)據(jù)庫審計的優(yōu)點可以追溯事件原因技術較簡單、易部署數(shù)據(jù)庫審計的缺點只是一種威懾，不能確保阻止泄露行為數(shù)據(jù)庫自帶的審計功能會耗費大量的資源，第三方的審計軟件通常存在審計不全的問題23完美的數(shù)據(jù)防泄露解決方案DLPDRMEFSDB Audit？24選擇一個最適合的方案合理的期望多種因素的平衡25內容綱要企業(yè)面臨的數(shù)據(jù)泄露安全風險如何選擇適合自身的數(shù)據(jù)防泄露方案聯(lián)軟業(yè)務數(shù)據(jù)防泄露解決方案聯(lián)軟科技介紹26業(yè)務數(shù)據(jù)防泄露解決方案核心通過NAC（網(wǎng)絡訪問控制）技術，確保只有受控計算機和認證人員才能夠接入企業(yè)的業(yè)務網(wǎng)絡通過AAC（應用訪問控制）技術，確保只有受控計

13、算機上的受控程序才能連接服務器和接收來自服務器的數(shù)據(jù)，并且數(shù)據(jù)的導出和下載過程全面受控經(jīng)授權導出的數(shù)據(jù)采取密文的方式保存，防止數(shù)據(jù)二次泄露27網(wǎng)絡訪問控制（NAC）總體流程無Agent隔離指引安裝Agent有Agent驗證使用者身份檢查終端狀態(tài)是否為合法終端安全狀態(tài)檢查正常接入資產(chǎn)管理、終端安全管理行為審計（上網(wǎng)行為、文件操作行為、即時通信行為）終端數(shù)據(jù)防泄露終端接入管理目標不漏一終端不漏一端口不漏一策略不漏一數(shù)據(jù)自動發(fā)現(xiàn)網(wǎng)絡上的所有終端發(fā)現(xiàn)哪些終端安裝了Agent哪些沒有安裝Agent28網(wǎng)絡訪問控制技術示意圖建立終端接入管理機制注冊登記接入檢查安全隔離安全通知安全修復外來終端無法接入或自動

14、進入訪客區(qū)不安全的終端訪問受限只能訪問指定的服務器和網(wǎng)絡認證服務器訪客區(qū)工作區(qū)修復區(qū)身份安全狀態(tài)+硬件ID外來終端不安全終端合規(guī)終端29應用訪問控制（AAC）總體流程非受控進程禁止訪問業(yè)務系統(tǒng)受控進程授權訪問應用系統(tǒng)無法將應用系統(tǒng)中的數(shù)據(jù)保存在本地合規(guī)導出滿足導出條件的用戶可以導出應用系統(tǒng)中的數(shù)據(jù)導出的數(shù)據(jù)可以強制加密終端訪問應用系統(tǒng)管理目標進程可控資源訪問可控數(shù)據(jù)可控自動將應用訪問控制策略下發(fā)到受控終端30未采用AAC的數(shù)據(jù)傳輸方式終端應用系統(tǒng)客戶端1. 客戶端軟件訪問應用系統(tǒng)數(shù)據(jù)2. 應用系統(tǒng)應答，數(shù)據(jù)返回給客戶端3. 客戶端程序將數(shù)據(jù)保存（導出）至終端本地存儲31采用AAC后數(shù)據(jù)管控方式

15、終端應用系統(tǒng)客戶端1. 客戶端軟件訪問應用系統(tǒng)數(shù)據(jù)2. 應用系統(tǒng)應答，數(shù)據(jù)返回給客戶端3. 客戶端程序將數(shù)據(jù)保存（導出）至終端本地存儲32支持的應用系統(tǒng)類型B/S類型的應用系統(tǒng)通過瀏覽器訪問的應用系統(tǒng)支持所有瀏覽器IE/Firefox/Chrome C/S類型的應用系統(tǒng)SQL Plus, (數(shù)據(jù)庫客戶端連接方式)telnet/, (常用網(wǎng)絡服務連接方式)遠程文件共享, (文件共享連接方式)支持幾乎所有的應用33AAC控制過程示意34聯(lián)軟業(yè)務數(shù)據(jù)防泄露方案的優(yōu)勢最先進、最完整、最有效的業(yè)務數(shù)據(jù)防泄露解決方案全面解決了結構化數(shù)據(jù)和非結構化數(shù)據(jù)的泄露問題采用業(yè)界最先進的應用虛擬化和網(wǎng)絡準入控制技術易

16、部署、易使用無需改造網(wǎng)絡，無需改造業(yè)務系統(tǒng)使用簡單，不改變用戶習慣可靠性在終端進行管控，不影響業(yè)務系統(tǒng)，沒有性能瓶頸無災難性故障35內容綱要企業(yè)面臨的數(shù)據(jù)泄露安全風險如何選擇適合自身的數(shù)據(jù)防泄露方案聯(lián)軟數(shù)據(jù)防泄露解決方案聯(lián)軟科技介紹36公司概況2003年成立，總部位于深圳聯(lián)軟科技是全球領先的網(wǎng)絡安全軟件廠商。我們專注于基于IT服務管理(ITSM)的信息安全產(chǎn)品和解決方案的設計與開發(fā)，是為數(shù)不多的通過自主研發(fā)實現(xiàn)技術領先國外同類產(chǎn)品的中國企業(yè)聯(lián)軟科技一直專注于自有品牌產(chǎn)品LeagView的研發(fā)、銷售、服務和品牌建設2022/9/23IT安全運維體系37機構設置深圳總部總裁辦銷售部市場渠道部戰(zhàn)略事業(yè)部人力資源部財務部研發(fā)部技術支持部華北大區(qū)營銷中心技術服務中