1、苏州璞泰信息科技有限公司Forcepoint 信息安全数据防泄漏解一、信息安全现状分析随着信息技术的飞速发展,计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及传输关键数据,如何有效防止其丢失和泄漏等一系列问题提出了安全需求。通常造成数据泄露的途径有:内部人员将涉密文件通过 U 盘等移动存储设备从电脑中拷出带出;内部人员将私人笔记本电脑接入公司网络,复制涉密文件到私人笔记本内;内部人员通过互联网将涉密文件通过邮件、QQ、MSN 等发送出去;内部人员将涉密文件打印、复印后带出公司;内部人员通过将涉密文件光盘刻录或屏幕截图带
2、出公司;内部人员把含有涉密文件的电脑或电脑硬盘带出公司;含有涉密文件的电脑因为丢失,维修等原因落到外部人员手中;外部电脑接入公司网络,访问公司涉密资源盗取涉密文件泄密;内部人员将通过 Internet 网络存储,进行保存。二、数据安全防护目标上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患,这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的,数据信息安全要立足于数据资产本身,才能从根本上解决安全问题因此,针对信息基础架构中敏感数据的生命周期进行保护,Websense 方案能有效实现数据在不同阶段的防护要求。存储中的数据:可有效找到保密信息所在位置(笔记本电脑、台
3、式机、文件服务器、数据库、存储设备等)并加以分类。数据发现可提供所存储的敏感数据的分布态势,并可根据数据安全策略进行处理。传输中的数据:监控网络中的通讯数据,识别通过特定通讯协议传输的敏感数据,比如:邮件、Web、FTP、即时通讯等等。使用中的数据:通过终端代理实时监控终端用户对于敏感数据的操作行为,比如:移动介质,打印,光盘刻录等等。在 Websense 防护平台上公司高层领导和各业务部门主管,可以通过定期的量化报告和报表,清晰了解信息安全事件发生的数量和趋势,员工的涉密数据泄露行为可立即发现,立即管控,并保留证据,用于事后审计追溯。随着信息安全管理制度更完善和有针对性,员工信息安全意识和工
4、作习惯彻底改善。三、方案设计3.1 方案拓扑说明3.2 数据泄漏防护架构3.2.1、体系架构Websense 基于内容识别的数据防护解决方案,保护 Web,Email,终端通道。分别在企业网络出口部署 Email Security 产品保护整个集团的 Email 通道,在企业部署 Web Security 产品覆盖 Web 通道(支持加密卸载)的安全和内容保护,并且在企业内部部署Endpoint 终端来做到终端防护。3.2.2、功能模块TRITON AP-Web通过 Web 或电子邮件网关,发现并保护存储在服务器、端点或云服务(如 Microsoft Office 365)上以及处于使用状态或
5、传输状态的敏感数据,AP-Web 内置功能点:* ACE 七大分析引擎,先进的评分机制;* Websense Threatseek 情报网;* 基于内容的深度识别 http(s);* 独有的支持最近.net 2.0 模块分区识别;* 与现有环境集成度高,扩展性强。TRITON AP-Email找出针对性攻击、高风险用户和内部威胁,使移动员工可以采取应对措施:* 保护企业免受垃圾邮件的骚扰,垃圾邮件类型包含,广告推销类邮件,钓鱼类邮件,病毒邮件等有害邮件;* 保护企业在外发送邮件时,国际邮件经常会因为信誉过低的原因被对外拒收或拦截;* 邮件网关能够实现按照发件人、收件人、邮件标题、正文、附件及附
6、件内容进行策略自定义,过滤特殊的类型的邮件;* 邮件网关能够实现病毒邮件的防护需求,对邮件中的病毒进行有效的识别和区分;* 邮件网关能够提供邮件报表功能,满足用户对日常的邮件报表需求;* 邮件网关能够提供邮件安全防护功能,对接入的 IP 进行连接数,邮件大小,邮件数量等内容的安全管控;* 邮件网关能够提高用户发件 IP 的信誉等级,避免用户发件 IP 被列入黑名单,解决无法发送海外邮箱的问题。TRITON AP-ENDPOINT保护漫游用户免受数据窃取,并保持对网络内外端点系统敏感信息的控制:* 采用专利指纹技术;* 可以做到指纹离线,终端用户离开公司网络,策略仍可生效。3.3 技术方案说明针
7、对企业信息资产的生命周期中针对传输中的数据和使用中的数据提供完善的保护,因此数据防泄漏项目主要基于以下两方面的考虑:3.3.1、基于网络的数据泄漏安全保护依靠协议分析机制,通过部署在网络边界间的硬件设备,以流量过滤或代理的方式实现对进出特定网络区域的数据的发现、检查与过滤。基于网络的数据泄漏保护技术可以和基于主机的数据泄漏保护技术,提供更全面的数据泄露保护效果:数据监控:可提供所有内外部的业务通讯、邮件追踪、网络打印、FTP、HTTP、HTTPS、IM 等的监控。数据监控通过采用一种高级策略框架来帮助企业审计业务流程,可识别“哪些人正从哪里发送哪些数据,他们是以哪种方式发送这些数据的”,可以降
8、低数据泄露风险并管理法规遵从情况。数据保护:可以根据文件内容控制网络中、终端上传输的涉密数据、客户资料等重要的数据资料以及隐私信息的泄露,提供安全合规性保证。3.3.2、基于主机的数据泄露安全保护对企业内部员工而言,导致数据泄露的途径很多,如通过打印机、传真、光盘刻录、IM 工具、网络文件传输工具、邮件、移动存储设备、USB、蓝牙、红外等接口等各种途径可以把关键信息传送到公司外部。基于主机的数据泄漏安全保护以信息分类为基础,通过部署在终端上的 Agent 实现对数据的控制。基于主机的数据保护机制结合终端设备接口及终端应用程序监控、信息过滤,信息加密等技术可以实现全面的数据防泄漏目标。3.3.3
9、、传输中的数据泄露防护邮件通道内容监控通过和现有的邮件服务器、邮件安全网关整合,建立基于邮件渠道的内容识别机制,从而确保所有外发邮件内容的安全过滤;由于邮件采用的是储存与转发的机制,因此在触发 DLP 策略的同时,可以通过多种策略强制手段,包括隔离、加密整合与过滤等来满足管理上的要求,处理上会比简单的阻挡同步通讯更为合理有效。通过 Websense Protector 内嵌的邮件传送代理程序 (MTA),将其部署作为邮件外发的一个中继站,识别过滤所有外发邮件中是否包含敏感内容,一旦发现,将可以结合公司管理制度进行相应的记录或隔离等措施,隔离后也可以同步发送隔离通知邮件至指定的审核人员进行审核,
10、审核完毕后只需简单的回复隔离通知邮件即可释放被隔离邮件,另外也可以结合企业的数据安全管理制度定义管理流程。与代理服务器整合除了对于外发邮件的控制,对于网络 DLP 还重点考虑监控通过代理服务器对外访问的通讯中是否包含敏感数据;利用 Websense Web Security Gateway 作为代理服务器,对外发的数据内容进行分析,一旦发现敏感内容,将结合策略要求执行相应的动作(记录、阻断),另外结合代理服务器自身的解包优势,当统一发布证书后,可以解包 https,确保Web 通道的深入检测。3.3.4、使用中的数据泄露防护DLP 通常都会从网络开始,因为这是对最大的涵盖范围取得最佳成本效益的
11、方式。但是很明显的,这不是完整的解决方案,因此考虑到终端数据泄露的防护;通过在企业及所辖范围内所有终端上部署 DLP Endpoint 代理程序,利用内建的分析引擎,同时结合从管理服务器上下载的策略和指纹信息,即可实现对于终端上利用 Web、打印、移动介质、光盘刻录、红外蓝牙等通道进行数据传递的操作,同时也可以实时监控用户利用复制/粘贴、截屏等操作来躲避检查的行为;Websense 终端 DLP 有效覆盖了终端上可能存在的数据泄露行为,同时也确保了终端无论是在何种环境中均可保持执行同样的策略,从而达到了企业在数据策略一致性方面的目的。使用以上的技术方案可实现:准确识别并记录谁(任何人)通过什么设备在哪个位置访问了哪些资源和数据,进行了什么操作,并可根据预设策略对上述行为的合规性进行判断,如有违规则及时记录,警告、拦截等。
