蘇州璞泰Forcepoint信息安全数据防泄漏解.docxVIP

苏州璞泰信息科技有限公司Forcepoint信息安全数据防泄漏解一、信息安全现状分析随着信息技术的飞速发展，计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及传输关键数据，如何有效防止其丢失和泄漏等一系列问题提出了安全需求。通常造成数据泄露的途径有：内部人员将涉密文件通过U盘等移动存储设备从电脑中拷出带出；内部人员将私人笔记本电脑接入公司网络，复制涉密文件到私人笔记本内；内部人员通过互联网将涉密文件通过邮件、QQ、MSN等发送出去；内部人员将涉密文件打印、复印后带出公司；内部人员通过将涉密文件光盘刻录或屏幕截图带出公司；内部人员把含有涉密文件的电脑或电脑硬盘带出公司；含有涉密文件的电脑因为丢失，维修等原因落到外部人员手中；外部电脑接入公司网络，访问公司涉密资源盗取涉密文件泄密；内部人员将通过Internet网络存储，进行保存。二、数据安全防护目标上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患，这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的，数据信息安全要立足于数据资产本身，才能从根本上解决安全问题因此，针对信息基础架构中敏感数据的生命周期进行保护，Websense方案能有效实现数据在不同阶段的防护要求。存储中的数据：可有效找到保密信息所在位置（笔记本电脑、台式机、文件服务器、数据库、存储设备等）并加以分类。数据发现可提供所存储的敏感数据的分布态势，并可根据数据安全策略进行处理。传输中的数据：监控网络中的通讯数据，识别通过特定通讯协议传输的敏感数据，比如：邮件、Web、FTP、即时通讯等等。使用中的数据：通过终端代理实时监控终端用户对于敏感数据的操作行为，比如：移动介质，打印，光盘刻录等等。在Websense防护平台上公司高层领导和各业务部门主管，可以通过定期的量化报告和报表，清晰了解信息安全事件发生的数量和趋势，员工的涉密数据泄露行为可立即发现，立即管控，并保留证据，用于事后审计追溯。随着信息安全管理制度更完善和有针对性，员工信息安全意识和工作习惯彻底改善。三、方案设计3.1方案拓扑说明3.2?数据泄漏防护架构3.2.1、体系架构Websense基于内容识别的数据防护解决方案，保护Web，Email，终端通道。分别在企业网络出口部署Email Security产品保护整个集团的Email通道，在企业部署Web Security产品覆盖Web通道（支持加密卸载）的安全和内容保护，并且在企业内部部署Endpoint终端来做到终端防护。3.2.2、功能模块TRITON AP-Web通过 Web 或电子邮件网关，发现并保护存储在服务器、端点或云服务（如 Microsoft Office 365#8482;）上以及处于使用状态或传输状态的敏感数据，AP-Web内置功能点：* ACE 七大分析引擎，先进的评分机制；* Websense Threatseek情报网；* 基于内容的深度识别http(s)；* 独有的支持最近.net 2.0模块分区识别；* 与现有环境集成度高，扩展性强。TRITON AP-Email找出针对性攻击、高风险用户和内部威胁，使移动员工可以采取应对措施:* 保护企业免受垃圾邮件的骚扰，垃圾邮件类型包含，广告推销类邮件，钓鱼类邮件，病毒邮件等有害邮件；* 保护企业在外发送邮件时，国际邮件经常会因为信誉过低的原因被对外拒收或拦截；* 邮件网关能够实现按照发件人、收件人、邮件标题、正文、附件及附件内容进行策略自定义，过滤特殊的类型的邮件；* 邮件网关能够实现病毒邮件的防护需求，对邮件中的病毒进行有效的识别和区分；* 邮件网关能够提供邮件报表功能，满足用户对日常的邮件报表需求；* 邮件网关能够提供邮件安全防护功能，对接入的IP进行连接数，邮件大小，邮件数量等内容的安全管控；* 邮件网关能够提高用户发件IP的信誉等级，避免用户发件IP被列入黑名单，解决无法发送海外邮箱的问题。TRITON AP-ENDPOINT保护漫游用户免受数据窃取，并保持对网络内外端点系统敏感信息的控制：* 采用专利指纹技术；* 可以做到指纹离线，终端用户离开公司网络，策略仍可生效。3.3?技术方案说明针对企业信息资产的生命周期中针对传输中的数据和使用中的数据提供完善的保护，因此数据防泄漏项目主要基于以下两方面的考虑：3.3.1、基于网络的数据泄漏安全保护依靠协议分析机制，通过部署在网络边界间的硬件设备，以流量过滤或代理的方式实现对进出特定网络区域的数据的发现、检查与过滤。基于网络的数据泄漏保护技术可以和基于主机的数据泄漏保护技术，提供更全面的数据泄露保护效果：数据监控：可提供所有内外部的业务通讯、邮件追踪、网络打印、FTP、HTTP、HTTPS