1、 密 级:商业 秘密 文档编号:XX集团数据防泄密解决方案技术建议书专供XX 集团2013年11月2013年11月4日尊敬的XX集团用户,您好!赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。赛门铁克致力于: 与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 确保项目取得成功并最大程度地降低风险。 在部署后向 XX集
2、团 提供支持与建议,从而确保平稳运营和持续防护。如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。 保密声明与用途本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其
3、他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信
4、息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图,除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。一经请求即可提供此处所述产品使用和(或)服务交付所适用的
5、赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。Contents1 概述 .61.1 项目背景 61.2 XX 集团信息安全项目目标 .61.3 术语解释 82XX 集团信息安全项目需求及实现 .92.1 XX 集团信息安全涉密信息分级控管需求与实现 .92.1.1 分阶段推进方法 .102.1.2 管理要求建议 .132.1.3 人员岗位建议 .152.1.3 管理流程建议 162.3 XX 数据防泄密需求及实现 .182.4 XX 集团 DLP 部署规划及效果 .192.4.1 部署场景一: MAIL Prevent 监控管理场景 192.4.2 部署场景二:DL
6、P 客户端通过 QQ 聊天工具、FTP、U 盘、网络共享、WEB、网盘等方式的监控场景 202.4.3 部署场景三:WEB Prevent 监控及阻断 WEB MAIL 场景 212.4.4 部署场景四:Web Prevent 监控及阻断 Web 论坛、FTP、Yahoo Message、MSN、Web网盘等场景 222.4.5 部署场景五:米亚索能与 XX 集团数据防泄密系统兼容和可管控性场景 .232.5 DLP Mail Prevent 防护流程图 .242.6 DLP Endpoint 防护流程图 .252.7 DLP Web 信息防泄漏系统流程说明 .263 终端全盘加密及敏感数据加
7、密解决方案 263.1XX 集团 DLP 部署规划及效果 273.1.1 部署场景一:终端电脑丢失,PGP 客户端安全防护场景 283.1.2 部署场景二:终端电脑文档自动加密与 XXOA 系统流转加密文档的场景 .284 离职及长期脱网人员的审计及安全管理 285 Symantec 产品主要技术特征 .295.1 Symantec DLP 主要技术特性 295.2 Symantec PGP 主要技术特征 .345.3XX 集团信息防泄密系统方案设计 345.3.1 系统总体结构 .345.3.2 XX 集团信息防泄密方案可靠性、扩展性说明 365.3.3 XX 信息防泄密方案风险预估 365
8、.4 XX 集团信息防泄密方案涉及产品模块功能介绍 .376 方案与产品背景 396.1 Symantec DLP 产品介绍 396.2 PGP 产品介绍 .451 概述1.1 项目背景XX 集团目前已经成为世界顶级的新能源提供商,拥有大量的拥有自主产权的信息资产和研发创新能力。同时,这种快速发展也带来了内部管理方面的问题,即如何管理和保护这些信息资产,如何保护和维持自己的研发创新能力,这是 XX 集团竞争力的根本基础。对 XX 集团而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁的同时,来自内部的数据泄露或许是一个更需要重视的问题。在当今竞争日趋激烈的商业社会,到处存在着陷阱和诱
9、惑。为了达到目的,一些不良企业或个人会不择手段来谋取自身利益的最大化。他们有可能窥探 XX 集团的研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉,一旦流失将会让 XX 集团面临信誉、经济、运营、隐私和法规遵从方面的威胁。另外来自外部环境的数据泄漏的驱动力也越来越大。自从力拓间谍门曝光后,媒体密集报导了大量不同性质的泄密事件,共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。一旦有机密数据或者信息资产泄密,带来的损失和深远影响,将无可计量。因此赛门铁克诚挚希望能够协助 XX 集团建立完善的信息泄露防护体系,满足当前的主要业务目标:1、对机密文件完成文
10、件指纹采集;2、实时检测从公司邮件系统发送到外网的邮件内容。3、实时检测从公司网络送到外网的 HTTP 内容 4、对终端进行泄密防护。5、对终端机密数据进行加密。并做好充分的准备为 XX 集团全网部署防泄密解决方案。1.2 XX 集团信息安全项目目标以 XX 集团信息安全涉密信息分级控管为技术先导,完成如下目标: 定期对员工的信息安全进行普及教育,定期培训,以确保员工形成统一的信息安全意识; 建立专门的信息安全管理部门、设置专人在各部门负责信息安全管理。 增强信息安全相关技术; 建立完善的信息安全制度及流程; 建立完善的信息安全制度及流程; 建立信息安全组织,设置信息安全管理部门,设置专人对各
11、部门各业务信息安全进行管理; 增强对重要信息资产进行分类及风险评估,根据其风险进行适当的管理。 增强通信和操作管理; 增强信息系统获取、开发和维护等相关技术支持; 对信息资产进行风险评估,根据其风险建立可实施的保护策略; 建立信息的处理及存储程序,对重要信息访问设置限制,以防止信息的未授权的泄漏或不正当使用; 保存企业信息的介质应受到使用限制、控制和物理保护,以防止信息资源遭受未授权泄漏、修改、移动或销毁; 完善现有信息安全制度; 根据业务目标制定清晰的信息安全指导,建立针对性强、执行性强、详细的信息安全处理手册。以 XX 集团信息安全项目技术解决方案为技术基础,完成如下目标: 终端数据防泄密
12、解决方案。实现终端在线环境、终端离线环境中通过 U 盘、网盘、打印机、传真机、网络共享、相关加密压缩等途径传输敏感数据的监控和阻断功能; 邮件防泄漏解决方案。通过用户在企业内网使用企业邮箱等途径传输敏感数据的监控和阻断功能; Web 防泄密解决方案。通过用户在企业内网使用 Internet 向互联网上传敏感数据的监控和阻断功能; 终端数据加密解决方案。实现终端电脑的全盘加密及 SSO-AD 集成单点登录、常用文档自动加密等功能; 离职人员或长期脱网人员审计解决方案。1.3 术语解释序号 术语名称 术语解释1 Symantec Data Loss Prevention (DLP)信息泄漏防护系统
13、管理服务器Enforce,作为信息泄漏防护系统的中央管理平台,负责集中管理所有的软件模块。主要提供策略管理、事件管理、日志汇总等功能。2 Symantec Data Loss Prevention (DLP)信息泄漏防护系统数据库Enforce for Database,信息泄漏防护系统数据库,支持的数据库类型是 Oracle 11G。3 Symantec Data Loss Prevention (DLP) FOR WEB 信息泄漏防护系统防护服务器WEB Prevent Server,该服务器负责扫描从 web 代理程序接收的 HTTP/S 流量,使用标准的互联网内容适配协议(ICAP)接
14、口,支持对违反所配置策略的内容进行请求修改(REQMOD)和响应修改(RESPMOD)检查。REQMOD 允许扫描出站 HTTP、HTTPS 和 FTP 请求,包括 网站 GETS、网络邮件 POSTS 。RESPMOD 允许扫描相应入站 HTTP/HTTPS 响应,从原始请求返回内容。4 Symantec Data Loss Prevention (DLP)邮件信息泄漏防护系统防护服务器Mail Prevent,该服务器需要与邮件代理 SMG 配合,实现对外发邮件的检查和隔离。5 Symantec Data Loss Prevention (DLP)端点信息泄漏防护系统防护服务器Endpoi
15、nt Server,该服务器负责管理所有的端点信息泄漏防护软件,中转端点信息泄漏管理服务器和端点信息泄漏防护软件之间的通信流量。6 Symantec Data Loss Prevention (DLP)端点信息泄漏防护系统客户端软件DLP Agent,该客户端软件需要安装在受控终端上,负责监控复制到 USB 设备或者是刻录到 CD/DVD,以及从其他网络途径发送出去的数据 ;同时能够对存储在终端硬盘驱动器中的数据进行扫描,从而实现对受监控终端信息泄漏的防护。7 Symantec Mail Gateway(SMG)邮件网关服务器SMG,负责邮件的接收和转发,和 DLP Mail Prevent
16、结合,并根据 DLP Mail Prevent 邮件信息泄漏管理服务器处理结果放行或阻断邮件。8 Symantec Web Gateway(SWG)赛门铁克 Web 访问安全网关产品SWG,负责终端上互联网的代理服务器,和 DLP Web Prevent 结合,并根据 DLP Web Prevent 处理结果放行或阻断 Web 相关访问。9 PGP 加密管理服务器 SYMANTEC PGP 加密系统客户端管理平台,包括策略设置,密钥管理等。10 PGP 终端加密软件 安装在终端上,对终端全盘进行加密。对终端通过网络方式访问数据进行加密。2XX 集团信息安全项目需求及实现2.1 XX 集团信息安
17、全涉密信息分级控管需求与实现作为 XX 信息安全项目之一,XX 核心数据信息安全项目依赖于对核心信息防泄密管理要求制定的明确性和细化程度,依赖于 XX 涉密信息分级控管规则制定的准确性、符合性与精细度。而涉密信息分级控管规则为了实现“降低 XX集团总体规划重要信息系统涉密数据从内部外泄,积极抵御来自 XX 集团外部对 XX 总体规划、核心信息系统数据的窃取”这一目标,更需要逐步建立起包括:信息内容防泄密管理要求,人员岗位与职责,配套运行管理流程,员工教育等在内的整套运行管理体系及持续改进计划等在内的风险管控机制,才能使本方案中的信息防泄密系统真正发挥有效的技术支撑作用。因此,除了信息防泄密自身
18、技术功能之外,以下几方面的内容是保障其有效运行的重要条件:1核心信息防泄漏的依据:即要解决:核心信息内容的分类、分级是什么;针对这些内容在邮件外发、互联网使用过程、内部终端的存储分布方面的保护管理要求是什么; 针对这些要求相应的监控审计策略是什么等问题。归结起来就是防泄密相关的管理要求问题。2 核心数据防泄漏的执行:即要解决: 审计策略的制定与更新及相关人员角色及流程; 监控与审计的执行及相关的人员角色及流程; 审 计 结 果 中 的 违 规 事 件 处 理 及 相 关 的 人 员 角 色 及 流 程 等 问 题。归结起来就是防泄密相关的 人 员岗 位、管 理流程 问题。3 持续改进及风险评价
19、:即要解决: 通过核心数据防泄漏如何推动企业行为的改善,改善状况如何 通过核心数据防泄漏如何推动员工行为的改善,改善状况如何 归结起来就是防泄密相关的评价与改进问题。下文将结合 Symantec 信息防泄漏建设的管理运行方法论及最佳实践,就上述几个方面提出相应的运行管理建议。2.1.1 分阶段推进方法XX 集团已明确了采用信息防泄漏的方式来推进核心信息外泄的风险管理工作,并为此通过除本子系统之外的数据分类分级子系统、数据加密子系统,三个子系统共同完成这一管理目标。理论上讲,信息防泄漏系统属于事后管理,是实现明确的审计需求的系统,即需要有明确的信息分类分级和明确的审计策略作为基础。但如果这三个子
20、系统是同步推进的过程,则需要通过分阶段的运行管理方式,不断循环推进,以最终达成目标。而这其中,通过本子系统的信息内容监控功能为切入点,进行风险的识别尤为重要。依照最佳实践经验,按照以下四个阶段的推进过程,并完成各阶段相应的运行管理活动,将有助于目标的达成:1.风险识别与运行管理初始阶段。风险识别阶段的主要任务就是收集资料,了解风险存在的状况。赛门铁克建议最好在风险识别阶段停留足够长的时间,以保证可以为 XX 集团提供足够的数据,为分类分级子系统策略的定义、审计策略的制定等提供更为准确的支持,同时也为后续的泄漏风险降低制定切实可行的风险降低目标。事实上,该阶段也是本信息防泄漏子系统能够发挥作用的
21、最为关键和重要的阶段。这个阶段的主要任务包括:1)建立必要的管理团队:建立类似 XX 集团信息防泄漏统筹管理委员会这样的团队,涉及并涵盖业务部门、审计核查职能部门、分类分级子系统建设部门等相关的必要的人员;统筹委员会可设置工作小组负责执行,同时建立事件响应团队,确保信息内容的审计结果得到高层管理人员的重视和支持,并推进相应的处理与改进。2)建立初始策略和调优流程:在制定并完善数据防泄密管理规定的同时, 力争通过本子系统得到更加完整的泄漏风险视图,并结合分类分级子系统的输 出,优先从最重要的数据和严重的风险事件的审计入手。在建立了初始审计策略 的基础上,明确策略调优的流程,并结合子系统之间的接口
22、功能,制定跨子系统的相关策略管理流程。建议将事件至少分成三类: 有问题的业务流程 员工疏忽 潜在的恶意行为分类后,即可在后续的风险降低的所有响应及活动中更有针对性。主要的活动包括:修复:主要针对解决第一点因有问题的业务流程造成的事件,通过让这 些问题引起业务部门的注意,并和他们一起工作,让流程变得更加安全。通知:主要针对解决第二点解决由员工疏忽引起的事件,当一个行为违反了策略时,通过立即通知员工。阻止及保护:主要是针对解决第三点防止某些可能潜在的恶意行为。3)归类事件及针对性调研:更深入地研究事件本身,并开始找出其潜在原因。4)确立并开始跟踪指标:该阶段结束时,该子系统应是一个最优的工作状态,
23、应达到了针对每个监控策略的目标指标,例如:合规率(最初目标定义的) 。开始跟踪每个策略的这些指标,作为衡量成功运行的一种手段。2.完善企业管理行为阶段 该阶段的重点是改进风险评估阶段里发现的高风险业务流程,同时为所有事件进一步制定整治计划。具体步骤包括:1)修复有缺陷的业务流程。例如机密数据明文存放,或出现在公共文件共享里,或者在您的员工、客户和合作伙伴之间来回传输。大约有一半是因为有问 题的业务流程。他们是风险的主要缔造者,修复是最花时间。2)建立和业务部门的沟通机制。评估企业文化,以确定沟通的合适程度, 并确定可能的影响。与其他业务部门和公司领导进行沟通。来自统筹委员会同等 级别的高层管理
24、人员的有力支持可以让所有努力事半功倍。需要找到合适的人, 坐在一起讨论需要进行的改变。3)加强和完善适当的规章制度。如签订保密合同、订立保密协议、制定及 完善保密规章制度、制定及完善文件分类分级的标准,在保密资料上加印“机密” 、 “保密”之类的字样、限制文件的发放范围和数量、告知员工对哪些信息负有保 密义务等。此类制度可能企业已经有了,但需要进一步完善,并且需要在企业和 员工中,通过各类活动进行宣传和强化。4)建立合适的操作流程。例如文档加密以后,我们如何和客户、合作伙伴交互文档?不同的分公司、业务部门之间是否要限制使用?文件又如何流转?普通员工知道哪些文档需要加密吗?加密的文件哪些人可以使
25、用呢?谁能对文件进行解密操作?需要什么样的审批、审计流程呢?5)持续监控指标和加强沟通。当成功完成上述工作后,重要的是要继续跟 踪运行指标和风险降低指标。建议新增一些指标,测算一下完善企业管理行为后 降低了多少风险。3.改变个人使用习惯阶段 本阶段的重点在于通知员工什么是违反公司规定的行为,以此促进他们改变自己的行为方式。对于网络事件来说,自动邮件通知就像是对于员工的违规行为立即给予“一巴掌” 。对于终端事件,自动弹出的屏幕通知他们违规了,并给他们更正的机会。对员工来说,防泄密的措施应该是公开透明的。这种公开的沟通是指要将员工纳入该项计划之中,鼓励组织内的每一个人积极主动地进行风险降低活动。关
26、键步骤包括:1)制订员工推广和交流计划。制定适当的信息交互方式,频率和提供渠道。为数据保护重要性进行大型宣传活动。至少考虑一下,在内部网张贴数据保护政策、常见问题、基于场景的示例,以及其他问题的沟通方式。至少每年一次定期审查和更新数据保护培训计划。2)通过自动策略违规通知提醒员工。通常自动策略违规通知启用一个星期 内,事件的数量下降了 90。然而,要达到这样的效果,需要认真规划,并进 行积极主动的沟通。在任何情况下,企业都应该尽早开始思考要与员工沟通什么,何时开始沟通,怎样沟通,以及提供怎样的资源鼓励培养企业的安全文化等等。 主动告诉雇员信息内容审计解决方案重要性的公司会更快取得更好的成果。4
27、.泄密行为自动化阻断阶段预防恶意或非故意事件的发生是任何数据安全项目的终极目标。本阶段,包括对机密文件进行授权、给明文敏感文件进行加密(数据加密子系统所实现的功能) ,也包括阻断网络通讯、文件传输、文件拷贝、隔离暴露的文件等活动(也是本信息防泄漏子系统由监控审计功能切换至未来的阻断功能) 。依据该阶段的功能,需要适当修订相应的管理考核要求,以及事件的响应处理流程等内容。所应注意的是:误报导致的阻止或移动文件会对业务产生消极影响,应不惜 一切代价避免其发生(这里的误报是指未了解清楚业务流程中的规定导致的策略 定义的不准确而导致事件结果与实际业务的不符) 。实际上,没有完成您的误报 目标指标的策略
28、不应该启用阻止的响应规则。2.1.2 管理要求建议在上述分阶段的推进过程中,第一阶段就应努力完成大部分的信息防泄漏管 理要求,从而为信息审计策略的制定及优化起到了好的保障和推动作用。依据本项目目标,制定或者完善相关制度,包括但不限于:制度名称 主要内容XX 重要信息系统数据保护管理规定1描述如何进行涉密数据管理,明确管理机构、管理方式等。2设置涉密数据分级保护支持组织和执 行机构。3细化针对互联网上网的数据防泄密、邮件外发防泄密、重要系统的数据分布等方 面的管理要求4明确定义对于泄密行为的处罚措施XX 重要信息系统数据分类分级数据规范1数据分类分级属性定义及相应标准。2数据分类分级执行过程和审
29、核过程规 范。XX 重要信息系统数据分类分级安全基线定义各级数据的最小安全控制策略要求。XX 重要信息系统数据加密规范数据加密对象要求、加密方式定义以及加密过程执行规范。XX 重要信息系统数据分类分级审计规范依据保护管理规定和安全基线的内容,明 确信息内容的审计要求和规范,如:批量 下载敏感信息人员审计、违规时间段访问 敏感信息的人员审计等。并以此作为信息 内容审计子系统定义策略规则的依据XX 重要信息系统数据泄密风险监控指标1定义泄密风险的监控审计指标以上建议内容可在分类分级子系统及加密子系统建设项目中完成,但其中第一个管理规定以及最后两个审计规范 、 监控指标 ,则是本信息内容审 计子系统
30、非常重要和必要的输入,也会随着本子系统策略的不断优化,而逐步完 善和改进。2.1.3 人员岗位建议围绕信息防泄漏子系统,除了需设置必要的维护该系统的系统维护岗位和人员外,对于监控和审计策略的制定与修订,事件的响应处理等相关活动也同样 需要设置相应的人员和岗位,以确保制度的落实。而人员及岗位的设定与 XX 集团企业内的 IT 运维组织架构、企业内审内控管理组织架构等密切相关。赛门铁克依据企业防泄密工作的最佳实践,建议在人员岗位的设置上应充分考虑以下建议:1必要的组织与团队:1)统筹管理委员会:确保有来自业务部门、审计及内控等部门的相关人员, 确保统筹管理委员会中有高层领导的介入。这是实现信息泄密
31、监控和审计的最高 和最有权威的领导机构,同时也是协调三个子系统项目组的管理机构。该机构可下属具体执行的工作小组。2)审计监控执行团队:主要由集团总部、各区域中心相应的信息防泄漏子系 统系统运维人员组成,该小组的领导应是统筹管理委员会下属工作小组的成员, 从技术层面落实和执行工作小组的要求,并向工作小组汇报来自系统的审计监控 技术报告,提交相关报表。3)事件响应团队:应在集团总部、各区域中心、信息防泄漏范围内的业务系统中设置负责相关事件的响应与处理事务的岗位及人员,此类人员与审计监控执行团队对口的人员相互配合,了解事件信息,确认事件的原因,判定事件的违规性质。 推进持续的风险改进。2. 必要的岗
32、位设置:1)管理岗:在统筹管理委员会中来自不同的部门的人员中,通常建议应确保各部门有 1 人是该部门的运行管理岗。负责本部门信息内容监控与审计策略的决策,策略制定、优化、变更等流程的审批,参与统筹会员会的决策讨论,督促本部门的泄密风险管理工作。2)使用岗:负责本部门防泄密管理要求的执行,提出本部门相关信息内容的监控审计需求及防护要求,汇报给本部门管理岗,并与其一同提交并参与统筹委员会下属工作小组中,关于相关分类分级管理 制度、安全基线、审计规范等制度的修订工作。同时,该岗位对监控岗发现的本部门的泄密或违规事件应及时进行跟踪、追查、审核 并确认,对审计监控执行团队给予回馈,对于需要处理的严重泄密
33、事件,交由核查岗进行处理。3)核查岗:通常在集团或各区域中心的内审内控或合规管理部门、保密管理办公室、风险控制管理部等相关部门设立该岗,负责检查本单位或是全企业信息内容审计策略的执行、泄密事件的处理等工作,督促各部门的信息泄密防范工作的改进。4)监控岗:通常由信息技术部的人员承担该岗位的工作,可设置在集团或区域中心,依据 XX 集团的管理运维组织架构,既可通过集团统一的平台,在集团统一设置监控岗,也可赋予各区域中心权限,登录集团平台分区域监控。监控岗为技术岗,为使用岗提供事件,为管理岗及工作小组提交监控报告。5)维护岗:由信息技术部的人员承担该岗位的工作,完成信息内容防泄漏系统的维护工作,最重
34、要的是需要与使用岗合作,完成与分类分级子系统接口中,监控策略有效性、可行性的分析,参与分类分级子系统接口策略的分析、调优等工作。下表为各岗位在 XX 集团相关部门内设置及分布的建议:部门 岗位设置信息管理部门管理岗 使用岗监控岗维护岗业务部门 使用岗 管理岗内审内控部门 风险管理部门管理岗使用岗 核查岗2.1.3 管理流程建议在运行管理活动中,各岗位的人员通过管理流程落实制度,履行职责。围绕 信息防泄漏子系统,必要的管理流程包括但不限于:1. 监控及审计策略配置申请及变更管理流程 包括:例外事件申请审批流程2. 外发邮件泄密事件响应处理流程3. 互联网外发泄密事件响应处理流程 各流程至少涉及的
35、岗位,及各岗位在流程中的环节与作用如下表所示:流程名称 主要岗位 岗位作用监控及审计策略 配置申请及变更流 程使用岗 管理岗核查岗维护岗1 使用岗:提出本部门监控审计策略的新建及变更需 求,提交本部门管理岗,在核查岗报备。2 管理岗:对需求进行审批,判定是否需上报到统筹委 员会工作组,交由分类分级平台统一变更3 维护岗:1) 对使用岗提出的变更需求,进行必要的验证和测试,为管理岗或统筹委员会工作小组提供审批依 据;2) 依据管理岗或者统筹委员会工作小组的审批意 见,完成对审计系统的策略变更配置操作。4 核查岗:记录变更后的审计策略,并督促持续的策略执行泄密事件响应处 理流程监控岗使用岗管理岗
36、核查岗邮件系统管 理员网络管理员1监控岗:1) 将监控到的事件以规定的方式提交使用岗2) 根据使用岗/核查岗的回馈结果完成,进行事件处 理状态的关闭2使用岗:1) 根据得到的事件列表,进行必要的调查和事件判 定和确认,督促事件处理。2) 对于严重的泄密事件,交核查岗进行处理。3) 将事件处理结果反馈给监督岗,同时上报给相应 的管理岗3管理岗:接收并了解职责范围内的外发邮件、互联网 泄密事件的处理情况。4核查岗:对于确认是违规或者严重的泄密事件,核查 岗负责依据管理规定的要求进行相应的处理。并将处 理结果上报管理岗,反馈给监控岗。当从监控模式转变到阻断模式后: 邮件、网络、系统的管理员:需要依据
37、审计系统及流程 审批后的结果,进行必要的邮件放行/阻断确认,文件放 行/隔离等操作下图为事件响应流程示例,XX 集团项目组可依据企业的实际情况调整为更适宜的流程:2.3 XX 数据防泄密需求及实现本期项目需要实现的功能需求主要包括以下三个方面:序号 需求要点 实现方式 备注1检查办公环境下终端通过FTP、U 盘、移动硬盘、QQ 聊天工具、HTTP、HTTPS、网盘、打印机、刻录等方式传输或者拷贝已定义的敏感信息设计文档时,做记录和阻断在内网搭建信息防泄漏系统,包括ENDPOINT SERVER、ENFORCE SERVER,并在目标终端上安装 DLP AGENT,自动检测终端网络或本地行为是否
38、违反已定义的相关规则,如果违反,则做相关数据日志记录,并实现配套的技术审计及阻断2对办公终端使用互联网资源上传或散布敏感数据进行监控和阻断,并严格记录相关日志,为事后审计提供有效的证据。在互联网区搭建 WEB 信息防泄漏系统,包括 WEB Prevent Server、SWG。WEB Prevent 服务器和代理服务器(SWG、Blue Coat/Cisco/ISA 等)做相关集成,自动检测阻断办公终端使用 WEB Mail/BBS/MSN/微博/FTP 等互联网行为是否违反已定义的相关规则,如果违反,则做相关数据日志记录和行为阻断,并实现配套的技术审计。3对 XX 集团 MAIL 系统进行安
39、全信息防护,即使发现XX 用户通过 MAIL 向外发送敏感信息,并作报警和拦截在现有的 MAIL 系统上架构 Symantec Mail Gateway 防控系统,并设置 MAIL FOR PREVENT 服务器,通过对用户的MAIL 进行敏感信息泄露监控及报警拦截的方式,禁止用户通过 MAIL 方式向外散布 XX 集团相关核心数据。2.4 XX 集团 DLP 部署规划及效果XX 通过 MAIL PREVENT、端点监控、Web Prevent 三种机制,使用三位一体的安全防护手段,禁止内网用户向外散步敏感信息。2.4.1 部署场景一: MAIL Prevent 监控管理场景1、场景目标简述针
40、对 XX 集团内网用户发送 MAIL 进行监控,实现用户通过 MAIL 发送敏感信息进行监控和拦截,同时记录当前用户行为,并由相关部门做安全审计。2、场景管理范围MAIL 防泄密监控系统针对的是 XX 所有内网 MAIL 用户。因此,针对 XX 集团的敏感信息防泄漏的监控也是针对所有终端用户,为此在实际部署过程中需要对XX 集团现有 MAIL 系统环境下部署信息防泄密软件。3、相关涉及人员客户端使用者、敏感信息(核心设计文档)接收者。使用者将带有敏感信息(核心设计文档)的资料通过 MAIL 途径发布出去后,DLP MAIL 信息泄露防护自动记录、监控及阻断此行为,并作详细记录(包括时间、发送者
41、、接收者、内容等)。便于相关部门及负责人审核此相关日志,并作相关通报。4、详细工作流程及效果针对于客户端依照各部门敏感信息(核心设计文档)做相关检查策略,终端通过 MAIL(Lotus Notes、WEBMAIL 等)向外部客户发送带有敏感信息的邮件时(包括邮件标题、邮件正文、附件) ,DLP MAIL 信息泄露防护系统会自动记录此用户的行为,并匹配终端 IP 地址、用户名、邮件地址等,做详细的监控记录,记录内容包括此用户的账号、邮件地址、MAIL 标题、MAIL 正文、MAIL 所带附件、收件人地址等。相关部门依据相关报表的检查条件(可依据所定策略内容、组等方式进行检查) ,可列出每天、每月
42、、每半年所发此类邮件的综合统计数据,依据此类数据,相关部门可进行相关统计分析及通报。2.4.2 部署场景二: DLP 客户端通过 QQ 聊天工具、FTP、U盘、网络共享、WEB、网盘等方式的监控场景1、场景目标简述针对 XX 终端在办公环境或非办公环境中使用 QQ、FTP、U 盘、网络共享、WEB、网盘等方式进行监控,实现用户通过 QQ、FTP、U 盘、网络共享、WEB、网盘等发送敏感信息进行监控和阻断,同时记录当前用户行为,并由相关部门做相关审计。2、场景管理范围客户端的 QQ、FTP、U 盘、网络共享、WEB、网盘等防泄密监控针对的是XX 集团所有安装 DLP 客户端的终端在办公场所或非办
43、公场所。因此,针对 XX 的敏感信息防泄漏的监控同时监控办公场所及非办公场所,为此在实际部署过程中需要对 XX 全网终端进行部署。客户端在制定相关策略时,可依据客户端的场所进行敏感数据的监控和阻断。DLP 客户端会自动判断当前终端所处的场所,当在办公环境下,DLP 客户端执行办公场所策略;当终端电脑离开办公场所,DLP 客户端自动执行非办公场所策略,策略制定依照办公场所制定较为宽松的阻断策略,非办公场所实行严格的阻断策略。3、相关涉及人员客户端使用者、客户端使用何种行为进行数据传输、相关部门审计者。终端使用者在办公场所或非办公场所将带有敏感信息的资料通过 QQ、FTP、U 盘、网络共享、WEB
44、、网盘等途径发布出去后,DLP 客户端自动记录和监控此行为,并作详细记录(包括时间、内容等) 。当终端在非办公场所发生以上行为后,等终端连接到办公环境后,DLP 客户端自动会将此监控记录传到 DLP 管理服务器上,便于相关部门事后审核此相关日志,并作相关通报。4、详细工作流程及效果针对于客户端依照各部门敏感信息做相关检查策略,当内部员工的终端通过QQ、FTP 、U 盘、网络共享、WEB、网盘等等向外部客户传输或者拷贝带有核心资料时,DLP 客户端会自动记录和阻断此终端的行为,并匹配终端 IP 地址、主机名、使用何种手段传输数据做详细的监控记录。相关部门依据相关报表的检查条件(可依据所定策略内容
45、、IP 地址、主机名等方式进行检查) ,可列出 XX 员工每天、每月、每半年的综合统计数据,依据此类数据,相关部门可进行相关统计分析及通报。2.4.3 部署场景三:WEB Prevent 监控及阻断 WEB MAIL 场景1、场景目标简述针对 XX 集团办公终端通过代理服务器发送 WEB MAIL 进行监控和阻断,实现用户通过 WEB MAIL 发送敏感信息进行监控和阻断,同时记录当前用户行为并作提示,告知用户此 WEB MAIL 被拦截的原因。2、场景管理范围办公终端的 WEB MAIL 防泄密阻断针对 XX 集团办公终端使用互联网资源通过 WEB MAIL 发送敏感信息的办公终端,同时也是
46、针对所有可使用互联网的办公终端,为此在实际部署过程中需要对建行分行所有使用互联网资源的办公终端进行部署。3、相关涉及人员互联网资源使用者、敏感信息发送者、安全管理员。办公终端使用者将带有敏感信息的资料通过 WEB MAIL 途径发布出去后, DLP Web Prevent 自动记录和阻断此行为,并作详细记录(包括时间、发送者、接收者、内容等) 。便于审核此相关日志,并由安全管理员作相关通报。4、详细工作流程及效果当终端通过代理服务器使用 WEB MAIL 发送 MAIL 时,DLP Web Prevent 对符合 ICAP 的 web 代理集成,如 SWG、Blue Coat、Cisco 和
47、ISA 等。Web 代理被配置为排队出站数据传输,并将副本发送到 DLP WEB Prevent 进行扫描。如果数据传输不违反敏感数据阻断策略,DLP Network Prevent 将指示代理将数据传输到其指定的目的地。如果数据传输确实违反了 XX 集团所定义的策略,DLP WEB Prevent 可以选择告知代理终止传输,或者它可以选择仅把保密数据从 web 传输中删除。在后一种情况中,数据传输将继续传送到目的地,且不影响 web 浏览器。对 HTTP/HTTPS 来说,DLP WEB Prevent 可以选择显示一个新 web 页面,传回最终用户,通知最终用户违反了策略,传输被拦截。2.
48、4.4 部署场景四:Web Prevent 监控及阻断 Web 论坛、FTP、Yahoo Message、MSN、Web 网盘等场景1、场景目标简述针对 XX 集团办公终端通过代理服务器在 BBS/贴吧 /文库/FTP/Web 网盘上传敏感信息进行监控和阻断,终端使用 Yahoo Message/AIM/MSN 等聊天工具散步含有敏感数据进行监控和阻断。同时记录当前用户行为并作提示,告知用户此被拦截的原因。2、场景管理范围办公环境下使用 HTTP/HTTPS 的方式在 BBS/贴吧/文库/Web 网盘等上传敏感信息的终端、使用 FTP/Yahoo Message/AIM/MSN 等工具发布或上
49、传敏感数据的终端进行监控和有效地阻断。3、相关涉及人员互联网资源使用者、敏感信息发送者、安全管理员。办公终端使用者将带有敏感信息的资料通过 BBS/贴吧 /文库/Web 网盘等途径发布出去后,DLP Web Prevent自动记录和阻断此行为,并作详细记录(包括时间、发送者、接收者、内容等) 。便于审核此相关日志,并作相关通报。4、详细工作流程及效果当终端通过代理服务器使用 BBS/贴吧/文库/FTP/Yahoo Message/AIM/MSN 通过代理服务器时,DLP Web Prevent 对符合 ICAP 的 web 代理集成,如 SWG、Blue Coat、Cisco 和 ISA。Web 代理被配置为排队出站数据传输,并将副本发送到 DLP WEB Prevent 进行扫描。如果数据传输不违反敏感数据阻断策略, DLP Network Prevent 将指示代理将数据传输到其指定的目的地。如果数据传输确实违反了 XX集团所定义的策略,DLP WEB Prevent 可以选择告知代理终止传输,或者它可以选择仅把保密数据从 web 传输中删除。在后一种情况中,数据传输将继续传送到目的地,且不
