配置手冊(cè)prevention一個(gè)真實(shí)的場(chǎng)景

1、Data Loss PreventionChapter一個(gè)真實(shí)的場(chǎng)景一個(gè)真實(shí)的場(chǎng)景用戶業(yè)務(wù)部門主要有3個(gè)銷售部設(shè)計(jì)部財(cái)務(wù)部郵件是其中的業(yè)務(wù)應(yīng)用啟用郵件數(shù)據(jù)泄密保護(hù)軟件刀片只監(jiān)測(cè)，不控制一周后查看結(jié)果DMZMail systemInternalSales Dep./24Design Dep./24Finance Dep./24internet啟用郵件數(shù)據(jù)泄密保護(hù)軟件刀片一個(gè)真實(shí)的場(chǎng)景(一周后.)平均每20封郵件就有一封違規(guī)多種違規(guī)方式向外發(fā)送帶有信用卡與賬務(wù)信息的xls文件密抄內(nèi)部郵件到外面免費(fèi)郵箱發(fā)送大文件到外面免費(fèi)郵箱發(fā)送設(shè)計(jì)文件到外部免費(fèi)郵箱發(fā)送密碼保護(hù)文件到外部免費(fèi)郵箱一個(gè)真實(shí)的場(chǎng)景(分

2、析1:密抄外部郵箱)現(xiàn)象密抄現(xiàn)象比較普遍部分員工密抄的情況尤其嚴(yán)重密抄外部通常都是使用大容量免費(fèi)郵箱分析用戶使用習(xí)慣。使用外部免費(fèi)郵箱作為私人存檔方法用戶第二種使用習(xí)慣，把數(shù)據(jù)發(fā)到外部郵箱，回家后從外部郵箱取回繼續(xù)工作大部分公司信息將暴露在互聯(lián)網(wǎng)企業(yè)員工并不知道這個(gè)是一種非常危險(xiǎn)的違規(guī)行為，所以普遍使用公司IT與管理層也不知道這種事情發(fā)生一個(gè)真實(shí)的場(chǎng)景(分析2:外發(fā)設(shè)計(jì)文件)現(xiàn)象部分設(shè)計(jì)部員工會(huì)外發(fā)設(shè)計(jì)圖紙到公網(wǎng)免費(fèi)郵箱分析用戶第二種使用習(xí)慣，把數(shù)據(jù)發(fā)到外部郵箱，回家后從外部郵箱取回繼續(xù)工作發(fā)送給客戶其他原因企業(yè)核心資料有機(jī)會(huì)被競(jìng)爭(zhēng)對(duì)手獲取公司管理層對(duì)此并不知情一個(gè)真實(shí)的場(chǎng)景(分析3:外發(fā)財(cái)務(wù)

3、文件)現(xiàn)象有財(cái)務(wù)人員發(fā)送包含信用卡數(shù)據(jù)的文件到公網(wǎng)免費(fèi)郵箱發(fā)送報(bào)表信息到公網(wǎng)郵箱分析用戶第二種使用習(xí)慣，把數(shù)據(jù)發(fā)到外部郵箱，回家后從外部郵箱取回繼續(xù)工作其他原因財(cái)務(wù)數(shù)據(jù)的敏感度是非常高，泄密很容易造成嚴(yán)重問題公司管理層對(duì)此并不知情一個(gè)真實(shí)的場(chǎng)景(數(shù)據(jù)違規(guī))80到 90%的 數(shù)據(jù)違規(guī)都是非故意的用戶泄密的情況是比較普遍的用戶沒有足夠重視沒有正確和高效的手段引導(dǎo)用戶避免此問題 Corporate StrategyGreen World Strategy Plan 2010有意或無心發(fā)錯(cuò)收件人 RE: Your latest service requestPayment details電郵內(nèi)容有信用

4、卡資料，泄觸PCI Compliant.數(shù)據(jù)安全保護(hù)防止敏感數(shù)據(jù)的丟失數(shù)據(jù)丟失的后果品牌損壞和公眾影響公司機(jī)密和知識(shí)產(chǎn)權(quán)財(cái)務(wù)數(shù)據(jù)和預(yù)計(jì)收入機(jī)密客戶數(shù)據(jù)監(jiān)管處罰法律責(zé)任為什么需要數(shù)據(jù)安全保護(hù)?John, Lets review the corporate strategy in our morning meeting.Green World Strategy Plan 2010 Corporate StrategyData Loss Prevention AlertAn email that you have just sent has been quarantined.Reason: atta

5、ched document contains confidential internal dataThe message is being held until further action.Send , Discard , or Review IssueCheck Point 數(shù)據(jù)防泄安全保護(hù)介紹教育用戶面對(duì)企業(yè)數(shù)據(jù)策略執(zhí)行數(shù)據(jù)泄漏流程阻斷從檢測(cè)發(fā)展到阻斷Check Point整合技術(shù)和流程使DLP 工作NEW!Check Point 實(shí)現(xiàn)DLP Corporate StrategyJohn, Lets review the corporate strategy in our morning

6、 meeting.Green World Strategy Plan 2010John Data Loss Prevention AlertAn email that you have just sent has been quarantined.Reason: attached document contains confidential internal dataThe message is being held until further action.Send , Discard , or Review Issue機(jī)密數(shù)據(jù)發(fā)送至錯(cuò)誤收件人!用戶迅速采取行動(dòng)用戶采取補(bǔ)救措施防御幫助用戶實(shí)

7、時(shí)補(bǔ)救泄露事件教育教育用戶，無需IT員工輔助UserCheck 場(chǎng)景阻斷機(jī)密信息上傳到外部網(wǎng)站需要用戶確認(rèn)并且糾正潛在的違規(guī)操作基于策略過濾機(jī)密信息的通信 場(chǎng)景 1: 阻止場(chǎng)景 3:警告, 詢問 和教育場(chǎng)景 2:執(zhí)行Bypass選項(xiàng)橋模式支持 (L2)單一 硬件集成到網(wǎng)關(guān)易于辦理低 TCO低碳軟件刀片部署DLP 方案選擇Ask User DB4. Execute user action 3. Review Issue 2. Ask UserDLP 例子InternetMail ServerCheck Point Security GatewayCheck Point DLP Software

8、BladeWWWSmart Center and Logs1. Incident DetectedConfidential data sent to GMAILMikea customer listUserCheck 解析你為什么需要發(fā)送郵件UserCheck 隔離UserCheck 隔離教育特別的策略詢問用戶- UserCheck用戶會(huì)被重定向到一個(gè)web頁面，哪里會(huì)有更多的信息告訴用戶多數(shù)信息會(huì)存儲(chǔ)在日志中簡(jiǎn)單容易管理策略管理Action當(dāng)前dlp事件安全Email domainNetworkUsersVPN domain描述你的業(yè)務(wù)安全指定誰擁有數(shù)據(jù)預(yù)定義的數(shù)據(jù)類型Management&

9、 Log ServerDLP AdministratorDLP LogFirewall AdministratorFW Log管理員角色管理員角色: DLP_Admin管理員角色: Firewall_AdminThe DLP PolicyDLP Deployment ftp, http & smtpInternetAppliance with DLP Software BladeDedicated Data Loss Prevention ApplianceMail Serverftp, http and smtpHow does DLP Gateway doExample ftp: copy

10、 fromafilezippedprotected byapasswordHow does DLP Gateway doftp put zipped_password_protected.zip200 PORT command successful.150 Opening BINARY mode data connection for test.zip.450 DLP has rejected the connection according to user request.ftp: 157 bytes sent in 0,00Seconds 157000,00Kbytes/sec.ftpEx

11、ample ftp: copy fromafilezippedprotected byapasswordViewing Event as Firewall AdminViewing an Event as SuperAdminViewing an Event as DLP AdminViewing an Event as DLP AdminAudit Logging delle attivit DLPLog Message: ftp discardedLog Message: ftp send啟用DLP 軟件刀片啟用DLP 軟件刀片定義郵件域啟用DLP 軟件刀片定義用戶處理界面啟用DLP 軟件

12、刀片完成，安裝策略其他配置Specify the internal mail domain其他配置其他配置Verify SmartView TrackerSee your first DLP EventDLP Looking at the Policy默認(rèn)策略默認(rèn)的策略可以讓您在客戶第一次測(cè)試時(shí)可以捕捉事件匹配策略 動(dòng)作如果策略匹配：DLP ActionMessage to userMessage to Data OwnerTrackingSeverity您的訊息可能包含機(jī)密的客戶資料,機(jī)密資料在未經(jīng)加密之前不得離開本單位。其他兩種標(biāo)志:Improve accuracy 需要根據(jù)環(huán)境定義的:E

13、mployee listCustomer listFollow up 需要跟蹤.Follow up 標(biāo)志會(huì)記錄在log上一些不確認(rèn)的規(guī)則Detect 變成 Ask 時(shí)候DLP Policy Matching Multi MatchDLP Policy Matching Multi Match每個(gè)文件可以匹配多個(gè)規(guī)則Multi-match 最嚴(yán)格的規(guī)則會(huì)被執(zhí)行多個(gè)日志，但只會(huì)通知用戶一次每匹配一個(gè)規(guī)則會(huì)產(chǎn)生一個(gè)日志規(guī)則循序并不重要Self-Learning 自學(xué)習(xí)Mail Sent用戶警告用戶教育Mail Sent系統(tǒng)學(xué)習(xí)第一次發(fā)生1相同的發(fā)件人與接收者2沒有額外操作No Burden on User!Enable UserCheckJust click the checkboxMake sure to specify an email address for the internal usersConfiguration DetailsW