SymantecDLP應用案例.ppt

Symantec DLP 在電信和金融應用的十個場景,1,場景1：對外發(fā)的郵件進行監(jiān)控和阻止 場景2：對員工通過Web或者FTP外發(fā)的內容進行監(jiān)控和阻止 場景3：對終端用戶的操作進行監(jiān)控和阻止 場景4：對內部的存儲服務器進行掃描 場景5：對內部的終端電腦硬盤進行掃描 場景6：對Citrix環(huán)境中的用戶進行監(jiān)控/阻止 場景7：通過Data Insight模塊來增強Network Discover/Protect的功能 場景8：事件信息集成到第三方平臺 場景9：事件責任人信息自動關聯 場景10：DLP+SEP+SMP的集成工作流對客戶端本機硬件實現自動鎖定,2,場景1：對外發(fā)的郵件進行監(jiān)控和阻止,將網絡模塊部署在網絡出口處，可以實時的對公司外發(fā)的郵件數據進行監(jiān)控和分析，在RA中發(fā)現很多外發(fā)郵件中都有大量的客戶名單信息； 將那些違規(guī)的郵件記錄到DLP系統(tǒng)中，記錄的信息遵循國際審計標準來進行開發(fā)和設計，包含事件產生的時間、違規(guī)策略、發(fā)件人地址、收件人地址、郵件主題、詳細內容、匹配到策略的內容會被高亮顯示等； 對于嚴重違規(guī)的郵件可以實時的阻止，并且通知相關郵件管理人員或者發(fā)件者本人； 可以與第三方郵件網關集成，例如SBG，IronPort，IronMail，Exchange，Lotus，SendMail等。,3,場景2：對員工通過Web或者FTP外發(fā)的內容進行監(jiān)控和阻止,將網絡模塊部署在網絡出口處，可以實時的對員工通過Web和FTP外發(fā)的內容進行監(jiān)控和分析，在RA中發(fā)現有部分員工會將客戶的信息列表上傳到Internet； 員工會通過Web Mail或者FTP站點上傳公司的敏感文檔，這些行為都可以被DLP分析到； DLP會將其上傳的源文件都記錄到DLP數據庫中，對于嚴重違規(guī)的一些上傳內容可以實時的阻止； 可以與第三方Web Proxy服務器集成，例如：BlueCoat，Ironport Web Gateway，McAfee Webwasher，ISA Server，Squid Server等。,4,場景3：對終端用戶的操作進行監(jiān)控和阻止,在終端上安裝DLP Agent模塊，對用戶的操作進行監(jiān)控和阻止，在RA中發(fā)現有很多員工都會將一些敏感的文檔拷貝到USB，最后造成泄密； 監(jiān)控的內容包括：USB拷貝，CD/DVD刻錄，打印/傳真，將文件下載到本地硬盤，拷貝/粘貼操作，通過Outlook或者Lotus發(fā)送郵件，HTTP(s)或者FTP上傳，MSN，AIM等； 可以將違規(guī)操作的源文件記錄到DLP數據庫中存檔，審計員可以通過保存的源文件進行二次分析； 對應的事件信息包括：事件產生時間，終端用戶名，機器名，機器ip地址，用戶操作類型，目的地地址（http地址、ftp地址、郵件收件人、文件復制到的位置等），操作的文件名稱，違規(guī)的策略名等； Agent支持的操作系統(tǒng)：XP，Vista，2003，Windows7（32位+64位），Citrix。,5,場景4：對內部的存儲服務器進行掃描,通過存儲發(fā)現模塊對公司內部的服務器進行合規(guī)性掃描； 電信和金融的內部文件服務器，都需要按照國際的標準，對所存放的不同安全等級的文件進行合規(guī)處理。例如： 在移動的BOSS系統(tǒng)，按照SOX標準，定期自動生成的賬單文件會在服務器上存放一段特定的時間，過期之后需要將其隔離到訪問受限位置，這樣就可以避免賬單信息的泄密； 在銀行的文件服務器上，按照PCI標準，包含有用戶卡信息的文件都應該被安全隔離起來，或者是進行加密存放； DLP存儲發(fā)現模塊通過預先設定的策略，對服務器上的文件進行掃描，并且可以自動的將違規(guī)的文件隔離到安全區(qū)域，或者集成第三方軟件對這些文件進行加密或者加權限。 可以集成的第三方軟件包括： MS RMS，Oracle IRM，Liquid Machines，GigaTrust，PGP等。,6,場景5：對內部的終端電腦硬盤進行掃描,公司員工通過應用系統(tǒng)訪問公司的敏感信息，有些是系統(tǒng)級管理員，可以直接到系統(tǒng)及平臺接觸機密數據；公司有相關制度禁止員工下載敏感信息到自己的電腦硬盤，許多員工還是在工作時會有意無意的將敏感信息下載到本地； 少數員工有意將數據下載下來之后，通過郵件、Web和USB拷貝的方式將敏感數據發(fā)送出去； 通過Agent可以對電腦硬盤上的文件進行發(fā)現，來判斷其是否包含有違規(guī)的數據，在最后生成的報表中可以按照風險級別或者違規(guī)類型進行統(tǒng)計和排序； 可以集成郵件服務器自動對違規(guī)的員工發(fā)送郵件通知； 在一段時間的郵件通知和事件二次響應后，強制員工遵從公司的數據安全策略，同時也可以讓員工的安全意識普遍提高。,7,場景6：對Citrix環(huán)境中的用戶進行監(jiān)控/阻止,有些公司為了安全，提供Citrix的工作平臺，用戶使用虛擬桌面進行辦公； 由于員工所有的操作最終都在Citrix服務器上完成，管理員無法針對每個用戶的行為進行監(jiān)控和管理； 將Agent程序在Citrix服務器上安裝一次，其就會以Windows服務的形式開始運行； Agent不僅可以監(jiān)控到所有虛擬桌面中用戶的操作行為，在記錄的事件中也能夠包含各個桌面對應的用戶名； 通過策略綁定到不同的用戶，可以對一些特定的員工實現不同的響應機制。,8,場景7：通過Data Insight模塊來增強Network Discover/Protect的功能,通過Network Discover/Protect可以發(fā)現并且保護存儲服務器上的敏感信息； 在生成的事件中，用戶可以得到對應文件的一些基本信息，例如文件名稱，文件位置，文件的訪問權限，創(chuàng)建時間，最后訪問時間等，最后修改時間等； 通過Data Insight模塊，可以讓Vontu到對應的文件存儲設備（例如EMC，NetApp等）中獲得違規(guī)文件的所有訪問記錄的詳細信息，方便管理員調整存儲設備的設定及對應的文件安全機制。,9,場景8：事件信息集成到第三方平臺,在違規(guī)事件發(fā)生后，Vontu可以將事件的信息記錄到自己的數據庫中，也可以將這些信息集成到第三方平臺； 通過Reporting API，第三方平臺可以通過接口來調用Vontu數據庫中的各個信息，并且形成用戶自定義的報表，也可以將該報表內嵌到其自己的報表平臺； 通過Syslog響應規(guī)則，可以將事件信息發(fā)送到外部第三方syslog服務器，例如：Symantec SSIM日志收集系統(tǒng)，ArcSight，億陽4A的日志審計系統(tǒng)，安氏SEM審計系統(tǒng)和聯創(chuàng)L-Securer審計系統(tǒng)等； 通過郵件響應機制，可以將事件信息發(fā)送到指定的管理員郵箱； 第三方平臺可以將收集到的事件信息，按照用戶特定的需求進行統(tǒng)計匯總，并且自動觸發(fā)對應的響應機制。,10,場景9：事件責任人信息自動關聯,用戶希望在泄密事件產生時，DLP服務器能夠聯動第三方系統(tǒng)自動將事件責任人的關聯信息檢索出來，包括用戶姓名、員工號碼、所在部門、聯系電話、郵件地址、主機名稱、主機ip地址、上級經理姓名、經理郵件地址等； 用戶可以通過這些信息對DLP事件進行快速響應，也可以根據這些條件對事件報表進行定制，例如：統(tǒng)計各個部門的泄密事件總量，通過ip地址段對事件進行篩選等； DLP系統(tǒng)目前可以通過讀取CSV文件信息，查詢外部LDAP服務器，或者通過運行自定義腳本的方式（例如：Python，Perl，C等）來檢索第三方信息平臺，運行腳本大大增強了DLP事件關聯信息查詢的靈活性； DLP系統(tǒng)也可以將這些關聯到的信息發(fā)送到外部平臺，進行信息的綜合統(tǒng)計。,11,場景10：DLP+SEP+SMP的集成工作流對客戶端本機硬件實現自動鎖定,用戶希望客戶端能夠在發(fā)生敏感信息泄密事件時，自動觸發(fā)預先設定的工作流來實時的對敏感信息進行保護； 準備DLP、SEP和SMP系統(tǒng)，同時在終端上安裝DLP、SEP和SMP客戶端程序； 系統(tǒng)設定 1. 在SEPM上設定強制策略；2. 在DLP Enforce上設定響應規(guī)則；3. 在SMP上設定工作流，例如：安裝和配置SEP的lockdown方案。 工作流運行 1. SEP客戶端從SEPM服務器上獲得最新策略；2. 當客戶端通過DLP客戶端生成DLP事件時會將其發(fā)送到DLP服務器；3. DLP服務器根據響應規(guī)則向SMP服務器發(fā)送郵件；4. SMP服務器在收到對應郵件后觸發(fā)客戶端上的SMP計劃任務；5. SMP客戶端根據任務修改注冊表中的鍵值；6. SEP客戶端根據修改的鍵值觸發(fā)本機硬件鎖定策略（例如：停止USB口）；7. 最后管理員可以在SMP服務器上對該客戶端的鎖定進行釋放。 通過類似的方式，DLP和SMP還可以和其他第三方終端軟件集成，例如：終端加密產品，終端權限管理產品等。,12,Thank You,Symantec and Sym