WFLD数据防泄漏方案.docVIP

WFLD数据防泄密框架 数据防泄密框架 1 一．需求 1 二．设计思路 1 2.1主动泄漏： 1 2.2被动泄漏： 2 2.3管理手段（震慑） 2 2.4技术手段 2 三．一期建议 3 3.1 建议产品 3 3.2 部署要求及功能实现 3 四．二期建议 4 4.1 建议产品 4 4.2 部署要求 4 一．需求 用户属于高科技含量的化工公司，产品在行业中处于领先地位，并且制造工艺精湛。 出于对本身技术的保护，用户需要实施数据防泄密保护。 需要保护的对象包括，office文档类的产品配方，cad文档类的工艺设计图纸等资料。 需要在保护对象的使用环节增加技术手段，避免泄漏，并做好审计工作，以方便回溯问题。 二．设计思路 首先分析文档泄漏的途径和分类： 2.1主动泄漏： 通过复制，粘帖； 通过上网过程，或网页邮件泄漏； 通过移动存储设备带走文件； 通过应用程序传输（MSN，QQ，飞鸽，FTP，P2P）； 通过无线设备连接外部网络传送； 通过打印，截取屏幕泄漏； 2.2被动泄漏： 木马等技术手段 设备遗失 其次，针对以上泄漏途径，整理主次排名，并找到对应的解决方法： 解决方法有两类： 2.3管理手段（震慑） 1.1签订保密协议， 1.2适当宣传，制造风气，让员工适当知道公司网络都处于保护，审计，监控中，当员工了解犯罪风险大于获得利益时减少大部分有意无意的泄漏情况 2.4技术手段 每项泄漏途径所对应的技术防护措施： 绿色表示实施要求低；橙色表示有一定要求；红色表示实施要求高 通过复制，粘帖； 文档审计；AD域权限控制；文档加密；DLP 通过上网过程，或网页邮件泄漏； 上网管理；文档审计；网关监控设备（监控敏感数据）；DLP（数据泄漏保护）；文件加密 通过移动存储设备带走文件； 文档审计；内网管理外设管理（控制U盘）；DLP；文档加密 通过应用程序传输（MSN，QQ，飞鸽，FTP，P2P）； 文档审计；内网管理进程管理；文档加密 通过无线设备连接外部网络传送； 文档审计；内网管理外设管理；文档加密 通过打印，截取屏幕泄漏； 文档审计；内网管理外设管理；DLP 木马等技术手段窃取 整体防病毒防护； 设备遗失 硬盘加密 三．一期建议 3.1 建议产品 3.1.1上网管理： Websense web security suite 3.1.2内网管理 IPDsms 外设管理，进程管理，文档审计，网络访问控制，远程管理 3.2 部署要求及功能实现 Websense，属于旁路设备，不会造成网络故障点，需要部署在一台windows 2003服务器上，连接交换机镜像口，控制整个出口上网数据，并能给出详细上网行为报告。不用安装客户端，对客户机影响小。 规则可以设置 谁，在什么时间，可以上什么类型的网站，不可以上什么类型的网站，并记录。可以管理上网协议，禁止IM即时通信，或者否允许MSN传输文件，及P2P，流媒体等协议的使用权限。 同时可以阻止访问恶意站点。 IPDsms，成熟的内网管理系统，功能包括了众多模块，架构属于CS架构，支持BS管理。 需要部署在windows2003服务器上，每个客户端需要部署代理。 外设管理：控制客户机上的外设使用，包括U盘，移动存储，还有3G上网卡和打印机使用，禁用光驱 进程管理：控制客户机允许和拒绝运行的程序，并能定期扫描，收集客户机的安装程序清单 文档审计：记录客户机对制定文件的操作行为，包括浏览，复制，修改，打印，删除，另存等动作（这个功能需要在员工中大力宣传）。同时可以开启定时截屏功能（这个功能取决于企业要求）。 网络访问控制：控制客户机对网络的访问权限，如包括外部网站和内部资源都可以通过这个模块控制 远程管理：提供远程管理功能，并且包括被管理知情和不知情2种模式。 3.4 实施后效果： 保护上网安全，对上网及终端行为进行审计控制，大大减少泄密可能。对具有操作权限的主动泄密行为有审计功能，并能记录相关操作，从管理上能震摄员工，形成良好安全意识。 欠缺：对于有操作权限的在职员工，虽然可以做到行为都有记录，但不能在行为发生的时候进行阻止。如需要彻底避免泄密损失，需要对保护的对象，及对象所在的环境做技术保护。这些需要在二期中实现。 隐患：上网管理及内网管理，都是建立在圣奥企业环境内，依托于应用程序的保护，如果一旦发生员工直接拔走硬盘的情况，或者使用PE光盘启动启动，那硬盘上的资料就处于不收审计状态。如需避免这种隐患，需要使用硬盘加密。 四．二期建议 4.1 建议产品 DLP数据泄漏保护：保护文档所在环境，实现在公司的资料，拿不走 TrendMicro Leakproof McAfee DLP Symantec Vontu 文档加密/硬盘加密：保护文档本身，实现拿走的资料，用不了 Mcafee Safeboot 4.2 部署要求