SymantecDLP應(yīng)用案例.ppt

Symantec DLP 在電信和金融應(yīng)用的十個場景,1,場景1：對外發(fā)的郵件進行監(jiān)控和阻止 場景2：對員工通過Web或者FTP外發(fā)的內(nèi)容進行監(jiān)控和阻止 場景3：對終端用戶的操作進行監(jiān)控和阻止 場景4：對內(nèi)部的存儲服務(wù)器進行掃描 場景5：對內(nèi)部的終端電腦硬盤進行掃描 場景6：對Citrix環(huán)境中的用戶進行監(jiān)控/阻止 場景7：通過Data Insight模塊來增強Network Discover/Protect的功能 場景8：事件信息集成到第三方平臺 場景9：事件責(zé)任人信息自動關(guān)聯(lián) 場景10：DLP+SEP+SMP的集成工作流對客戶端本機硬件實現(xiàn)自動鎖定,2,場景1：對外發(fā)的郵件進行監(jiān)控和阻止,將網(wǎng)絡(luò)模塊部署在網(wǎng)絡(luò)出口處，可以實時的對公司外發(fā)的郵件數(shù)據(jù)進行監(jiān)控和分析，在RA中發(fā)現(xiàn)很多外發(fā)郵件中都有大量的客戶名單信息； 將那些違規(guī)的郵件記錄到DLP系統(tǒng)中，記錄的信息遵循國際審計標(biāo)準(zhǔn)來進行開發(fā)和設(shè)計，包含事件產(chǎn)生的時間、違規(guī)策略、發(fā)件人地址、收件人地址、郵件主題、詳細(xì)內(nèi)容、匹配到策略的內(nèi)容會被高亮顯示等； 對于嚴(yán)重違規(guī)的郵件可以實時的阻止，并且通知相關(guān)郵件管理人員或者發(fā)件者本人； 可以與第三方郵件網(wǎng)關(guān)集成，例如SBG，IronPort，IronMail，Exchange，Lotus，SendMail等。,3,場景2：對員工通過Web或者FTP外發(fā)的內(nèi)容進行監(jiān)控和阻止,將網(wǎng)絡(luò)模塊部署在網(wǎng)絡(luò)出口處，可以實時的對員工通過Web和FTP外發(fā)的內(nèi)容進行監(jiān)控和分析，在RA中發(fā)現(xiàn)有部分員工會將客戶的信息列表上傳到Internet； 員工會通過Web Mail或者FTP站點上傳公司的敏感文檔，這些行為都可以被DLP分析到； DLP會將其上傳的源文件都記錄到DLP數(shù)據(jù)庫中，對于嚴(yán)重違規(guī)的一些上傳內(nèi)容可以實時的阻止； 可以與第三方Web Proxy服務(wù)器集成，例如：BlueCoat，Ironport Web Gateway，McAfee Webwasher，ISA Server，Squid Server等。,4,場景3：對終端用戶的操作進行監(jiān)控和阻止,在終端上安裝DLP Agent模塊，對用戶的操作進行監(jiān)控和阻止，在RA中發(fā)現(xiàn)有很多員工都會將一些敏感的文檔拷貝到USB，最后造成泄密； 監(jiān)控的內(nèi)容包括：USB拷貝，CD/DVD刻錄，打印/傳真，將文件下載到本地硬盤，拷貝/粘貼操作，通過Outlook或者Lotus發(fā)送郵件，HTTP(s)或者FTP上傳，MSN，AIM等； 可以將違規(guī)操作的源文件記錄到DLP數(shù)據(jù)庫中存檔，審計員可以通過保存的源文件進行二次分析； 對應(yīng)的事件信息包括：事件產(chǎn)生時間，終端用戶名，機器名，機器ip地址，用戶操作類型，目的地地址（http地址、ftp地址、郵件收件人、文件復(fù)制到的位置等），操作的文件名稱，違規(guī)的策略名等； Agent支持的操作系統(tǒng)：XP，Vista，2003，Windows7（32位+64位），Citrix。,5,場景4：對內(nèi)部的存儲服務(wù)器進行掃描,通過存儲發(fā)現(xiàn)模塊對公司內(nèi)部的服務(wù)器進行合規(guī)性掃描； 電信和金融的內(nèi)部文件服務(wù)器，都需要按照國際的標(biāo)準(zhǔn)，對所存放的不同安全等級的文件進行合規(guī)處理。例如： 在移動的BOSS系統(tǒng)，按照SOX標(biāo)準(zhǔn)，定期自動生成的賬單文件會在服務(wù)器上存放一段特定的時間，過期之后需要將其隔離到訪問受限位置，這樣就可以避免賬單信息的泄密； 在銀行的文件服務(wù)器上，按照PCI標(biāo)準(zhǔn)，包含有用戶卡信息的文件都應(yīng)該被安全隔離起來，或者是進行加密存放； DLP存儲發(fā)現(xiàn)模塊通過預(yù)先設(shè)定的策略，對服務(wù)器上的文件進行掃描，并且可以自動的將違規(guī)的文件隔離到安全區(qū)域，或者集成第三方軟件對這些文件進行加密或者加權(quán)限。 可以集成的第三方軟件包括： MS RMS，Oracle IRM，Liquid Machines，GigaTrust，PGP等。,6,場景5：對內(nèi)部的終端電腦硬盤進行掃描,公司員工通過應(yīng)用系統(tǒng)訪問公司的敏感信息，有些是系統(tǒng)級管理員，可以直接到系統(tǒng)及平臺接觸機密數(shù)據(jù)；公司有相關(guān)制度禁止員工下載敏感信息到自己的電腦硬盤，許多員工還是在工作時會有意無意的將敏感信息下載到本地； 少數(shù)員工有意將數(shù)據(jù)下載下來之后，通過郵件、Web和USB拷貝的方式將敏感數(shù)據(jù)發(fā)送出去； 通過Agent可以對電腦硬盤上的文件進行發(fā)現(xiàn)，來判斷其是否包含有違規(guī)的數(shù)據(jù)，在最后生成的報表中可以按照風(fēng)險級別或者違規(guī)類型進行統(tǒng)計和排序； 可以集成郵件服務(wù)器自動對違規(guī)的員工發(fā)送郵件通知； 在一段時間的郵件通知和事件二次響應(yīng)后，強制員工遵從公司的數(shù)據(jù)安全策略，同時也可以讓員工的安全意識普遍提高。,7,場景6：對Citrix環(huán)境中的用戶進行監(jiān)控/阻止,有些公司為了安全，提供Citrix的工作平臺，用戶使用虛擬桌面進行辦公； 由于員工所有的操作最終都在Citrix服務(wù)器上完成，管理員無法針對每個用戶的行為進行監(jiān)控和管理； 將Agent程序在Citrix服務(wù)器上安裝一次，其就會以Windows服務(wù)的形式開始運行； Agent不僅可以監(jiān)控到所有虛擬桌面中用戶的操作行為，在記錄的事件中也能夠包含各個桌面對應(yīng)的用戶名； 通過策略綁定到不同的用戶，可以對一些特定的員工實現(xiàn)不同的響應(yīng)機制。,8,場景7：通過Data Insight模塊來增強Network Discover/Protect的功能,通過Network Discover/Protect可以發(fā)現(xiàn)并且保護存儲服務(wù)器上的敏感信息； 在生成的事件中，用戶可以得到對應(yīng)文件的一些基本信息，例如文件名稱，文件位置，文件的訪問權(quán)限，創(chuàng)建時間，最后訪問時間等，最后修改時間等； 通過Data Insight模塊，可以讓Vontu到對應(yīng)的文件存儲設(shè)備（例如EMC，NetApp等）中獲得違規(guī)文件的所有訪問記錄的詳細(xì)信息，方便管理員調(diào)整存儲設(shè)備的設(shè)定及對應(yīng)的文件安全機制。,9,場景8：事件信息集成到第三方平臺,在違規(guī)事件發(fā)生后，Vontu可以將事件的信息記錄到自己的數(shù)據(jù)庫中，也可以將這些信息集成到第三方平臺； 通過Reporting API，第三方平臺可以通過接口來調(diào)用Vontu數(shù)據(jù)庫中的各個信息，并且形成用戶自定義的報表，也可以將該報表內(nèi)嵌到其自己的報表平臺； 通過Syslog響應(yīng)規(guī)則，可以將事件信息發(fā)送到外部第三方syslog服務(wù)器，例如：Symantec SSIM日志收集系統(tǒng)，ArcSight，億陽4A的日志審計系統(tǒng)，安氏SEM審計系統(tǒng)和聯(lián)創(chuàng)L-Securer審計系統(tǒng)等； 通過郵件響應(yīng)機制，可以將事件信息發(fā)送到指定的管理員郵箱； 第三方平臺可以將收集到的事件信息，按照用戶特定的需求進行統(tǒng)計匯總，并且自動觸發(fā)對應(yīng)的響應(yīng)機制。,10,場景9：事件責(zé)任人信息自動關(guān)聯(lián),用戶希望在泄密事件產(chǎn)生時，DLP服務(wù)器能夠聯(lián)動第三方系統(tǒng)自動將事件責(zé)任人的關(guān)聯(lián)信息檢索出來，包括用戶姓名、員工號碼、所在部門、聯(lián)系電話、郵件地址、主機名稱、主機ip地址、上級經(jīng)理姓名、經(jīng)理郵件地址等； 用戶可以通過這些信息對DLP事件進行快速響應(yīng)，也可以根據(jù)這些條件對事件報表進行定制，例如：統(tǒng)計各個部門的泄密事件總量，通過ip地址段對事件進行篩選等； DLP系統(tǒng)目前可以通過讀取CSV文件信息，查詢外部LDAP服務(wù)器，或者通過運行自定義腳本的方式（例如：Python，Perl，C等）來檢索第三方信息平臺，運行腳本大大增強了DLP事件關(guān)聯(lián)信息查詢的靈活性； DLP系統(tǒng)也可以將這些關(guān)聯(lián)到的信息發(fā)送到外部平臺，進行信息的綜合統(tǒng)計。,11,場景10：DLP+SEP+SMP的集成工作流對客戶端本機硬件實現(xiàn)自動鎖定,用戶希望客戶端能夠在發(fā)生敏感信息泄密事件時，自動觸發(fā)預(yù)先設(shè)定的工作流來實時的對敏感信息進行保護； 準(zhǔn)備DLP、SEP和SMP系統(tǒng)，同時在終端上安裝DLP、SEP和SMP客戶端程序； 系統(tǒng)設(shè)定 1. 在SEPM上設(shè)定強制策略；2. 在DLP Enforce上設(shè)定響應(yīng)規(guī)則；3. 在SMP上設(shè)定工作流，例如：安裝和配置SEP的lockdown方案。 工作流運行 1. SEP客戶端從SEPM服務(wù)器上獲得最新策略；2. 當(dāng)客戶端通過DLP客戶端生成DLP事件時會將其發(fā)送到DLP服務(wù)器；3. DLP服務(wù)器根據(jù)響應(yīng)規(guī)則向SMP服務(wù)器發(fā)送郵件；4. SMP服務(wù)器在收到對應(yīng)郵件后觸發(fā)客戶端上的SMP計劃任務(wù)；5. SMP客戶端根據(jù)任務(wù)修改注冊表中的鍵值；6. SEP客戶端根據(jù)修改的鍵值觸發(fā)本機硬件鎖定策略（例如：停止USB口）；7. 最后管理員可以在SMP服務(wù)器上對該客戶端的鎖定進行釋放。 通過類似的方式，DLP和SMP還可以和其他第三方終端軟件集成，例如：終端加密產(chǎn)品，終端權(quán)限管理產(chǎn)品等。,12,Thank You,Symantec and Sym