DLPPGP数据防泄密解决方案.docx
《DLPPGP数据防泄密解决方案.docx》由会员分享,可在线阅读,更多相关《DLPPGP数据防泄密解决方案.docx(53页珍藏版)》请在冰点文库上搜索。
XX集团信息安全项目技术方案
密级:
商业秘密
文档编号:
XX集团数据防泄密解决方案
技术建议书
专供
XX集团
2013年11月
2013年11月4日
尊敬的XX集团用户,您好!
赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。
我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。
另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。
赛门铁克致力于:
·与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。
·确保项目取得成功并最大程度地降低风险。
·在部署后向XX集团提供支持与建议,从而确保平稳运营和持续防护。
如果您在阅读完本产品技术方案后仍有疑问,请与我联系。
如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。
我期待着与您合作,并为这个重要项目的成功而尽力。
XX集团信息安全项目技术方案
保密声明与用途
本产品技术方案包含“保密信息”(如下定义)。
本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。
本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。
赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。
“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。
赛门铁克有权就任意及所有客户协议的条款与条件进行协商。
“您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”),“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。
“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。
本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。
赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。
本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图,
除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。
一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。
条款与条件可在签订合同时进行协商。
Contents
1概述 6
1.1项目背景 6
1.2XX集团信息安全项目目标 6
1.3术语解释 8
2XX集团信息安全项目需求及实现 9
2.1XX集团信息安全涉密信息分级控管需求与实现 9
2.1.1分阶段推进方法 10
2.1.2管理要求建议 13
2.1.3人员岗位建议 15
2.1.3管理流程建议 16
2.3XX数据防泄密需求及实现 18
2.4XX集团DLP部署规划及效果 19
2.4.1部署场景一:
MAILPrevent监控管理场景 19
2.4.2部署场景二:
DLP客户端通过QQ聊天工具、FTP、U盘、网络共享、WEB、网盘等方式的监控场景 20
2.4.3部署场景三:
WEBPrevent监控及阻断WEBMAIL场景 21
2.4.4部署场景四:
WebPrevent监控及阻断Web论坛、FTP、YahooMessage、MSN、Web网盘等场景 22
2.4.5部署场景五:
米亚索能与XX集团数据防泄密系统兼容和可管控性场景 23
2.5DLPMailPrevent防护流程图 24
2.6DLPEndpoint防护流程图 25
2.7DLPWeb信息防泄漏系统流程说明 26
3 终端全盘加密及敏感数据加密解决方案 26
3.1XX集团DLP部署规划及效果 27
3.1.1部署场景一:
终端电脑丢失,PGP客户端安全防护场景 28
3.1.2部署场景二:
终端电脑文档自动加密与XXOA系统流转加密文档的场景 28
4 离职及长期脱网人员的审计及安全管理 28
5 Symantec产品主要技术特征 29
5.1SymantecDLP主要技术特性 29
5.2SymantecPGP主要技术特征 34
5.3XX集团信息防泄密系统方案设计 34
5.3.1系统总体结构 34
5.3.2XX集团信息防泄密方案可靠性、扩展性说明 36
5.3.3XX信息防泄密方案风险预估 36
5.4XX集团信息防泄密方案涉及产品模块功能介绍 37
6 方案与产品背景 39
6.1SymantecDLP产品介绍 39
6.2PGP产品介绍 45
1概述
1.1项目背景
XX集团目前已经成为世界顶级的新能源提供商,拥有大量的拥有自主产权的信息资产和研发创新能力。
同时,这种快速发展也带来了内部管理方面的问题,即如何管理和保护这些信息资产,如何保护和维持自己的研发创新能力,这是XX集团竞争力的根本基础。
对XX集团而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁的同时,来自内部的数据泄露或许是一个更需要重视的问题。
在当今竞争日趋激烈的商业社会,到处存在着陷阱和诱惑。
为了达到目的,一些不良企业或个人会不择手段来谋取自身利益的最大化。
他们有可能窥探XX集团的研发、生产、收入数据、客户数据、销售数据等核心信息。
这些信息关系企业生存与发展的命脉,一旦流失将会让XX集团面临信誉、经济、运营、隐私和法规遵从方面的威胁。
另外来自外部环境的数据泄漏的驱动力也越来越大。
自从力拓间谍门曝光后,媒体密集报导了大量不同性质的泄密事件,共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。
一旦有机密数据或者信息资产泄密,带来的损失和深远影响,将无可计量。
因此赛门铁克诚挚希望能够协助XX集团建立完善的信息泄露防护体系,满足当前的主要业务目标:
1、对机密文件完成文件指纹采集;2、实时检测从公司邮件系统发送到外网的邮件内容。
3、实时检测从公司网络送到外网的HTTP内容4、对终端进行泄密防护。
5、对终端机密数据进行加密。
并做好充分的准备为XX集团全网部署防泄密解决方案。
1.2XX集团信息安全项目目标
以XX集团信息安全涉密信息分级控管为技术先导,完成如下目标:
4定期对员工的信息安全进行普及教育,定期培训,以确保员工形成统一的信息安全意识;
4建立专门的信息安全管理部门、设置专人在各部门负责信息安全管理。
4增强信息安全相关技术;
4建立完善的信息安全制度及流程;
4建立完善的信息安全制度及流程;
4建立信息安全组织,设置信息安全管理部门,设置专人对各部门各业务信息安全进行管理;
4增强对重要信息资产进行分类及风险评估,根据其风险进行适当的管理。
4增强通信和操作管理;
4增强信息系统获取、开发和维护等相关技术支持;
4对信息资产进行风险评估,根据其风险建立可实施的保护策略;
4建立信息的处理及存储程序,对重要信息访问设置限制,以防止信息的未授权的泄漏或不正当使用;
4保存企业信息的介质应受到使用限制、控制和物理保护,以防止信息资源遭受未授权泄漏、修改、移动或销毁;
4完善现有信息安全制度;
4根据业务目标制定清晰的信息安全指导,建立针对性强、执行性强、详细的信息安全处理手册。
以XX集团信息安全项目技术解决方案为技术基础,完成如下目标:
4终端数据防泄密解决方案。
实现终端在线环境、终端离线环境中通过U盘、网盘、打印机、传真机、网络共享、相关加密压缩等途径传输敏感数据的监控和阻断功能;
4邮件防泄漏解决方案。
通过用户在企业内网使用企业邮箱等途径传输敏感数据的监控和阻断功能;
4Web防泄密解决方案。
通过用户在企业内网使用Internet向互联网上传敏感数据的监控和阻断功能;
4终端数据加密解决方案。
实现终端电脑的全盘加密及SSO-AD集成单点登录、常用文档自动加密等功能;
4离职人员或长期脱网人员审计解决方案。
1.3术语解释
序号
术语名称
术语解释
1
SymantecDataLossPrevention(DLP)信息泄漏防护系统管理服务器
Enforce,作为信息泄漏防护系统的中央管理平台,负责集中管理所有的软件模块。
主要提供策略管理、事件管理、日志汇总等功能。
2
SymantecDataLossPrevention(DLP)信息泄漏防护系统数据库
EnforceforDatabase,信息泄漏防护系统数据库,支持的数据库类型是Oracle11G。
3
SymantecDataLossPrevention(DLP)FORWEB信息泄漏防护系统防护服务器
WEBPreventServer,该服务器负责扫描从web代理程序接收的HTTP/S流量,使用标准的互联网内容适配协议(ICAP)接口,支持对违反所配置策略的内容进行请求修改(REQMOD)和响应修改(RESPMOD)检查。
REQMOD允许扫描出站HTTP、HTTPS和FTP请求,包括网站GETS、网络邮件POSTS。
RESPMOD允许扫描相应入站HTTP/HTTPS响应,从原始请求返回内容。
4
SymantecDataLossPrevention(DLP)邮件信息泄漏防护系统防护服务器
MailPrevent,该服务器需要与邮件代理SMG配合,实现对外发邮件的检查和隔离。
5
SymantecDataLossPrevention(DLP)端点信息泄漏防护系统防护服务器
EndpointServer,该服务器负责管理所有的端点信息泄漏防护软件,中转端点信息泄漏管理服务器和端点信息泄漏防护软件之间的通信流量。
6
SymantecDataLossPrevention(DLP)端点信息泄漏防护系统客户端软件
DLPAgent,该客户端软件需要安装在受控终端上,负责监控复制到USB设备或者是刻录到CD/DVD,以及从其他网络途径发送出去的数据;同时能够对存储在终端硬盘驱动器中的数据进行扫描,从而实现对受监控终端信息泄漏的防护。
7
SymantecMailGateway(SMG)
邮件网关服务器
SMG,负责邮件的接收和转发,和DLPMailPrevent结合,并根据DLPMailPrevent邮件信息泄漏管理服务器处理结果放行或阻断邮件。
8
SymantecWebGateway(SWG)
赛门铁克Web访问安全网关产品
SWG,负责终端上互联网的代理服务器,和DLPWebPrevent结合,并根据DLPWebPrevent处理结果放行或阻断Web相关访问。
9
PGP加密管理服务器
SYMANTECPGP加密系统客户端管理平台,包括策略设置,密钥管理等。
10
PGP终端加密软件
安装在终端上,对终端全盘进行加密。
对终端通过网络方式访问数据进行加密。
2XX集团信息安全项目需求及实现
2.1XX集团信息安全涉密信息分级控管需求与实现
作为XX信息安全项目之一,XX核心数据信息安全项目依赖于对核心信息防泄密管理要求制定的明确性和细化程度,依赖于XX涉密信息分级控管规则制定的准确性、符合性与精细度。
而涉密信息分级控管规则为了实现“降低XX集团总体规划重要信息系统涉密数据从内部外泄,积极抵御来自XX集团外部对XX总体规划、核心信息系统数据的窃取”这一目标,更需要逐步建立起包括:
信息内容防泄密管理要求,人员岗位与职责,配套运行管理流程,员工教育等在内的整套运行管理体系及持续改进计划等在内的风险管控机制,才能使本方案中的信息防泄密系统真正发挥有效的技术支撑作用。
因此,除了信息防泄密自身技术功能之外,以下几方面的内容是保障其有效运行的重要条件:
1.核心信息防泄漏的依据:
即要解决:
l核心信息内容的分类、分级是什么;
l针对这些内容在邮件外发、互联网使用过程、内部终端的存储分布方面的保护管理要求是什么;
l 针对这些要求相应的监控审计策略是什么等问题。
归结起来就是防泄密相关的管理要求问题。
2.核心数据防泄漏的执行:
即要解决:
l 审计策略的制定与更新及相关人员角色及流程;
l 监控与审计的执行及相关的人员角色及流程;
l 审计结果中的违规事件处理及相关的人员角色及流程等问题。
归结起来就是防泄密相关的人员岗位、管理流程问题。
3.持续改进及风险评价:
即要解决:
l 通过核心数据防泄漏如何推动企业行为的改善,改善状况如何
l 通过核心数据防泄漏如何推动员工行为的改善,改善状况如何
归结起来就是防泄密相关的评价与改进问题。
下文将结合Symantec信息防泄漏建设的管理运行方法论及最佳实践,就上述几个方面提出相应的运行管理建议。
2.1.1分阶段推进方法
XX集团已明确了采用信息防泄漏的方式来推进核心信息外泄的风险管理工作,并为此通过除本子系统之外的数据分类分级子系统、数据加密子系统,三个子系统共同完成这一管理目标。
理论上讲,信息防泄漏系统属于事后管理,是实现明确的审计需求的系统,即需要有明确的信息分类分级和明确的审计策略作为基础。
但如果这三个子系统是同步推进的过程,则需要通过分阶段的运行管理方式,不断循环推进,以最终达成目标。
而这其中,通过本子系统的信息内容监控功能为切入点,进行风险的识别尤为重要。
依照最佳实践经验,按照以下四个阶段的推进过程,并完成各阶段相应的运行管理活动,将有助于目标的达成:
1.风险识别与运行管理初始阶段。
风险识别阶段的主要任务就是收集资料,了解风险存在的状况。
赛门铁克建议最好在风险识别阶段停留足够长的时间,以保证可以为XX集团提供足够的数据,为分类分级子系统策略的定义、审计策略的制定等提供更为准确的支持,同时也为后续的泄漏风险降低制定切实可行的风险降低目标。
事实上,该阶段也是本信息防泄漏子系统能够发挥作用的最为关键和重要的阶段。
这个阶段的主要任务包括:
1)建立必要的管理团队:
建立类似XX集团信息防泄漏统筹管理委员会这样的团队,涉及并涵盖业务部门、审计核查职能部门、分类分级子系统建设部门等相关的必要的人员;统筹委员会可设置工作小组负责执行,同时建立事件响应团队,确保信息内容的审计结果得到高层管理人员的重视和支持,并推进相应的处理与改进。
2)建立初始策略和调优流程:
在制定并完善数据防泄密管理规定的同时,力争通过本子系统得到更加完整的泄漏风险视图,并结合分类分级子系统的输出,优先从最重要的数据和严重的风险事件的审计入手。
在建立了初始审计策略的基础上,明确策略调优的流程,并结合子系统之间的接口功能,制定跨子系统的相关策略管理流程。
建议将事件至少分成三类:
·有问题的业务流程
·员工疏忽
·潜在的恶意行为分类后,即可在后续的风险降低的所有响应及活动中更有针对性。
主要的活动包括:
修复:
主要针对解决第一点——因有问题的业务流程造成的事件,通过让这些问题引起业务部门的注意,并和他们一起工作,让流程变得更加安全。
通知:
主要针对解决第二点——解决由员工疏忽引起的事件,当一个行为违反了策略时,通过立即通知员工。
阻止及保护:
主要是针对解决第三点——防止某些可能潜在的恶意行为。
3)归类事件及针对性调研:
更深入地研究事件本身,并开始找出其潜在原因。
4)确立并开始跟踪指标:
该阶段结束时,该子系统应是一个最优的工作状
态,应达到了针对每个监控策略的目标指标,例如:
合规率(最初目标定义的)。
开始跟踪每个策略的这些指标,作为衡量成功运行的一种手段。
2.完善企业管理行为阶段该阶段的重点是改进风险评估阶段里发现的高风险业务流程,同时为所有事件进一步制定整治计划。
具体步骤包括:
1)修复有缺陷的业务流程。
例如机密数据明文存放,或出现在公共文件共享里,或者在您的员工、客户和合作伙伴之间来回传输。
大约有一半是因为有问题的业务流程。
他们是风险的主要缔造者,修复是最花时间。
2)建立和业务部门的沟通机制。
评估企业文化,以确定沟通的合适程度,并确定可能的影响。
与其他业务部门和公司领导进行沟通。
来自统筹委员会同等级别的高层管理人员的有力支持可以让所有努力事半功倍。
需要找到合适的人,坐在一起讨论需要进行的改变。
3)加强和完善适当的规章制度。
如签订保密合同、订立保密协议、制定及完善保密规章制度、制定及完善文件分类分级的标准,在保密资料上加印“机密”、“保密”之类的字样、限制文件的发放范围和数量、告知员工对哪些信息负有保密义务等。
此类制度可能企业已经有了,但需要进一步完善,并且需要在企业和员工中,通过各类活动进行宣传和强化。
4)建立合适的操作流程。
例如文档加密以后,我们如何和客户、合作伙伴交互文档?
不同的分公司、业务部门之间是否要限制使用?
文件又如何流转?
普通员工知道哪些文档需要加密吗?
加密的文件哪些人可以使用呢?
谁能对文件进行解密操作?
需要什么样的审批、审计流程呢?
5)持续监控指标和加强沟通。
当成功完成上述工作后,重要的是要继续跟踪运行指标和风险降低指标。
建议新增一些指标,测算一下完善企业管理行为后降低了多少风险。
3.改变个人使用习惯阶段本阶段的重点在于通知员工什么是违反公司规定的行为,以此促进他们改变
自己的行为方式。
对于网络事件来说,自动邮件通知就像是对于员工的违规行为立即给予“一巴掌”。
对于终端事件,自动弹出的屏幕通知他们违规了,并给他们更正的机会。
对员工来说,防泄密的措施应该是公开透明的。
这种公开的沟通是指要将员工纳入该项计划之中,鼓励组织内的每一个人积极主动地进行风险降低活动。
关键步骤包括:
1)制订员工推广和交流计划。
制定适当的信息交互方式,频率和提供渠道。
为数据保护重要性进行大型宣传活动。
至少考虑一下,在内部网张贴数据保护政策、常见问题、基于场景的示例,以及其他问题的沟通方式。
至少每年一次定期审查和更新数据保护培训计划。
2)通过自动策略违规通知提醒员工。
通常自动策略违规通知启用一个星期内,事件的数量下降了90%。
然而,要达到这样的效果,需要认真规划,并进行积极主动的沟通。
在任何情况下,企业都应该尽早开始思考要与员工沟通什么,何时开始沟通,怎样沟通,以及提供怎样的资源鼓励培养企业的安全文化等等。
主动告诉雇员信息内容审计解决方案重要性的公司会更快取得更好的成果。
4.泄密行为自动化阻断阶段预防恶意或非故意事件的发生是任何数据安全项目的终极目标。
本阶段,包括对机密文件进行授权、给明文敏感文件进行加密(数据加密子系统所实现的功能),也包括阻断网络通讯、文件传输、文件拷贝、隔离暴露的文件等活动(也是本信息防泄漏子系统由监控审计功能切换至未来的阻断功能)。
依据该阶段的功能,需要适当修订相应的管理考核要求,以及事件的响应处理流程等内容。
所应注意的是:
误报导致的阻止或移动文件会对业务产生消极影响,应不惜一切代价避免其发生(这里的误报是指未了解清楚业务流程中的规定导致的策略定义的不准确而导致事件结果与实际业务的不符)。
实际上,没有完成您的误报目标指标的策略不应该启用阻止的响应规则。
2.1.2管理要求建议
在上述分阶段的推进过程中,第一阶段就应努力完成大部分的信息防泄漏管理要求,从而为信息审计策略的制定及优化起到了好的保障和推动作用。
依据本项目目标,制定或者完善相关制度,包括但不限于:
制度名称
主要内容
《XX重要信息系统数据保护管理规定》
1.描述如何进行涉密数据管理,明确管理机构、管理方式等。
2.设置涉密数据分级保护支持组织和执行机构。
3.细化针对互联网上网的数据防泄密、邮
件外发防泄密、重要系统的数据分布等方面的管理要求
4.明确定义对于泄密行为的处罚措施
《XX重要信息系统数据分类分级数据规范》
1.数据分类分级属性定义及相应标准。
2.数据分类分级执行过程和审核过程规范。
《XX重要信息系统数据分类分级安全基线》
定义各级数据的最小安全控制策略要求。
《XX重要信息系统数据加密规范》
数据加密对象要求、加密方式定义以及加
密过程执行规范。
《XX重要信息系统数据分类分级审计规范》
依据保护管理规定和安全基线的内容,明确信息内容的审计要求和规范,如:
批量下载敏感信息人员审计、违规时间段访问敏感信息的人员审计等。
并以此作为信息内容审计子系统定义策略规则的依据
《XX重要信息系统数据泄密风险监控指标》
1.定义泄密风险的监控审计指标
以上建议内容可在分类分级子系统及加密子系统建设项目中完成,但其中第
一个《管理规定》以及最后两个《审计规范》、《监控指标》,则是本信息内容审计子系统非常重要和必要的输入,也会随着本子系统策略的不断优化,而逐步完善和改进。
XX集团信息安全项目技术方案
2.1.3人员岗位建议
围绕信息防泄漏子系统,除了需设置必要的维护该系统的系统维护岗位和人员外,对于监控和审计策略的制定与修订,事件的响应处理等相关活动也同样需要设置相应的人员和岗位,以确保制度的落实。
而人员及岗位的设定与XX集团企业内的IT运维组织架构、企业内审内控管理组织架构等密切相关。
赛门铁克依据企业防泄密工作的最佳实践,建议在人员岗位的设置上应充分考虑以下建议:
1.必要的组织与团队:
1)统筹管理委员会:
确保有来自业务部门、审计及内控等部门的相关人员,确保统筹管理委员会中有高层领导的介入。
这是实现信息泄密监控和审计的最高和最有权威的领导机构,同时也是协调三个子系统项目组的管理机构。
该机构可
下属具体执行的工作小组。
升级会员 