数据防泄漏方案ppt课件
合集下载
《数据安全》课件
《数据安全》PPT课件
数据安全的重要性
在数字化时代,数据安全是至关重要的。保护数据可以保障用户隐私、维护商业机密、防止信息泄漏,对个人 和组织都具有巨大的价值。
数据安全的定义
数据安全是指保护数据不被未经授权的访问、修改或破坏。它涉及各种安全 措施和技术,以确保数据的机密性、完整性和可用性。
常见的数据安全威胁
数据泄露的后果和应对措施
• 损害声誉和信任 • 法律责任和罚款 • 丢失业务机会
网络攻击
黑客入侵、恶意软件和DDoS攻击等网络威胁可能导致数据泄露或破坏。
内部威胁
员工泄露机密信息、故意破坏数据或滥用权限等内部威胁可能对数据安全造成威胁。
物理损坏
火灾、水灾、设备故障等物理事件可能导致数据丢失或无法访问。
数据保护的关键原则
1 机密性
确保只有授权人员能够访问敏感数据。
2 完整性
保护数据免受篡改,确保数据的准确性和可信度。
3 可用性
保障数据能够在需要时及时访问和使用。
密算法保护敏感数据,确保即使被盗取也无法被解密。
2
定期备份
定期备份数据,以防止数据丢失。
3
培训员工
提供数据安全培训,增加员工的安全意识。
建立数据安全策略的步骤
1. 评估数据安全需求 2. 确定数据安全目标 3. 开发数据安全策略 4. 部署和执行策略 5. 定期评估和改进
数据安全的重要性
在数字化时代,数据安全是至关重要的。保护数据可以保障用户隐私、维护商业机密、防止信息泄漏,对个人 和组织都具有巨大的价值。
数据安全的定义
数据安全是指保护数据不被未经授权的访问、修改或破坏。它涉及各种安全 措施和技术,以确保数据的机密性、完整性和可用性。
常见的数据安全威胁
数据泄露的后果和应对措施
• 损害声誉和信任 • 法律责任和罚款 • 丢失业务机会
网络攻击
黑客入侵、恶意软件和DDoS攻击等网络威胁可能导致数据泄露或破坏。
内部威胁
员工泄露机密信息、故意破坏数据或滥用权限等内部威胁可能对数据安全造成威胁。
物理损坏
火灾、水灾、设备故障等物理事件可能导致数据丢失或无法访问。
数据保护的关键原则
1 机密性
确保只有授权人员能够访问敏感数据。
2 完整性
保护数据免受篡改,确保数据的准确性和可信度。
3 可用性
保障数据能够在需要时及时访问和使用。
密算法保护敏感数据,确保即使被盗取也无法被解密。
2
定期备份
定期备份数据,以防止数据丢失。
3
培训员工
提供数据安全培训,增加员工的安全意识。
建立数据安全策略的步骤
1. 评估数据安全需求 2. 确定数据安全目标 3. 开发数据安全策略 4. 部署和执行策略 5. 定期评估和改进
企业信息数据防泄漏解决方案
非法用户随意接入内部网络 内部合法用户滥用权限 终端不能及时打系统补丁 员工私自安装软件、开启危险服务 员工私自访问与工作无关网站 员工绕过防火墙访问互联网 员工未安装防病毒软件 员工忘记设置必要的口令 ……
现有安全设备难以有效保护网络
无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏
2020年8月2日星期日
防水墙数据防泄漏系统的工作流程
2、安全验证 用户操作认证 证书和权限信息交互
禁止外部用户访问 无访问身份及访问权限
身份验证失败
防水墙服务器
12
无法下载权限信息
4
3、信息分发 通过Internet, 邮件附件, ftp下载,其他存储设备
外部用户
向 外 分 发 信 息
防水墙客户端
主机审计
•【打印审计】【外设使用审计】【外设内容审计】【删除审计】 •【操作审计】【审批审计】 •【硬件资产】【软件资产】 •【网络管理】【共享管理】 •【外设认证】【外设注册】【外设控制】【外设只读】 •【操作预警:管理者,审计者,使用者各种预先设置操作的报警:短信,Mail,界面】
2020/8/2
13
2020/8/2
14
2.1
2020/8/2
15
2.1
优点:自己的文件不必加密,其他人的密文也可以看,对工作效率无影响;
空加密 缺点:安全性取决于用户本人;电脑丢了因为数据不是加密的,可能会造成无意中的数据泄密。
一般仅仅用于企业最高管理层;[存在泄密风险]
优点:自己的文件放到加密目录就会自动加密,移动到非加密目录之外就自动变成明文;其他人的密文也可以看; 对工作效率无影响;电脑即使丢了原来是密文的数据还是得到了保护;
现有安全设备难以有效保护网络
无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏
2020年8月2日星期日
防水墙数据防泄漏系统的工作流程
2、安全验证 用户操作认证 证书和权限信息交互
禁止外部用户访问 无访问身份及访问权限
身份验证失败
防水墙服务器
12
无法下载权限信息
4
3、信息分发 通过Internet, 邮件附件, ftp下载,其他存储设备
外部用户
向 外 分 发 信 息
防水墙客户端
主机审计
•【打印审计】【外设使用审计】【外设内容审计】【删除审计】 •【操作审计】【审批审计】 •【硬件资产】【软件资产】 •【网络管理】【共享管理】 •【外设认证】【外设注册】【外设控制】【外设只读】 •【操作预警:管理者,审计者,使用者各种预先设置操作的报警:短信,Mail,界面】
2020/8/2
13
2020/8/2
14
2.1
2020/8/2
15
2.1
优点:自己的文件不必加密,其他人的密文也可以看,对工作效率无影响;
空加密 缺点:安全性取决于用户本人;电脑丢了因为数据不是加密的,可能会造成无意中的数据泄密。
一般仅仅用于企业最高管理层;[存在泄密风险]
优点:自己的文件放到加密目录就会自动加密,移动到非加密目录之外就自动变成明文;其他人的密文也可以看; 对工作效率无影响;电脑即使丢了原来是密文的数据还是得到了保护;
数据防泄漏方案
数据防泄漏通过识别、监控和控制敏 感数据的流动,确保数据的安全性和 完整性。
数据防泄漏的重要性
01
02
03
保护敏感数据
数据防泄漏可以防止敏感 数据被非法获取或滥用, 从而保护企业的声誉和利 益。
遵守法规要求
许多法规要求企业采取措 施保护敏感数据,数据防 泄漏可以帮助企业满足这 些法规要求。
提高安全性
培训员工
通过培训课程、手册和在线学习等方式,提高员工对数据保护的 意识和技能。
制定安全意识提升计划
定期开展安全意识提升活动,提醒员工关注数据安全,提高防范意 识。
建立应急响应机制
制定应急响应计划,明确在发生数据泄露事件时的处置流程和责任 人。
监控和审计
实施监控
通过部署监控设备和软件,实时 监控数据访问活动,及时发现异 常行为。
选择合适的技术和工具
选择加密方案
01
根据数据的重要性和敏感性,选择合适的加密方案,如端到端
加密、数据存储加密等。
选择审计工具
02
选择合适的审计工具,以监控和记录数据访问活动,及时发现
异常行为。
选择身份和访问管理机制,控制对数据的访问权限,防
止未经授权的访问。
培训和意识提升
数据审计技术
日志审计
记录所有对数据的访问和操作,以便 事后追溯和分析。
实时监控审计
实时监控数据的使用情况,及时发现 异常行为。
数据完整性审计
通过哈希值等技术,验证数据的完整 性。
风险评估审计
定期评估数据的安全风险,提出改进 措施。
数据水印技术
隐写水印
可见水印
将数据水印以隐蔽的方式嵌入到数据中, 用于证明数据的所有权。
数据防泄漏的重要性
01
02
03
保护敏感数据
数据防泄漏可以防止敏感 数据被非法获取或滥用, 从而保护企业的声誉和利 益。
遵守法规要求
许多法规要求企业采取措 施保护敏感数据,数据防 泄漏可以帮助企业满足这 些法规要求。
提高安全性
培训员工
通过培训课程、手册和在线学习等方式,提高员工对数据保护的 意识和技能。
制定安全意识提升计划
定期开展安全意识提升活动,提醒员工关注数据安全,提高防范意 识。
建立应急响应机制
制定应急响应计划,明确在发生数据泄露事件时的处置流程和责任 人。
监控和审计
实施监控
通过部署监控设备和软件,实时 监控数据访问活动,及时发现异 常行为。
选择合适的技术和工具
选择加密方案
01
根据数据的重要性和敏感性,选择合适的加密方案,如端到端
加密、数据存储加密等。
选择审计工具
02
选择合适的审计工具,以监控和记录数据访问活动,及时发现
异常行为。
选择身份和访问管理机制,控制对数据的访问权限,防
止未经授权的访问。
培训和意识提升
数据审计技术
日志审计
记录所有对数据的访问和操作,以便 事后追溯和分析。
实时监控审计
实时监控数据的使用情况,及时发现 异常行为。
数据完整性审计
通过哈希值等技术,验证数据的完整 性。
风险评估审计
定期评估数据的安全风险,提出改进 措施。
数据水印技术
隐写水印
可见水印
将数据水印以隐蔽的方式嵌入到数据中, 用于证明数据的所有权。
数据防泄漏安全管理解决方案PPT(45张)
已授权用户
其他用户
三、文档外发——控制身份、权限、时间、频次
•电子文件外发管理
外发文档管理员
制作外发文档
外发文档创建
口令认证方式
Key认证方式
机器绑定认证方式
文档访问权限认证
只读/打印/复制/修改/拷屏
213 文件彻底销毁 次
文档操作行为及时限控制
四、文档外带——密文存储,万无一失
•电子文档安全外带管理
亿赛通数据防泄漏安全管理解决方案 国内DLP的领航者
内容提要
1 数数据据安安全全面面临临的的威威胁胁 2 亿赛通数据安全解决方案 3 亿赛通公司介绍 4 经验分享
数据泄露事件频繁发生
数据泄露问题后果严重
公司
泄密内容
泄密原因
公司损失
泄密人员: 公司IT部管理人
广州好又多百货商业 有限公司
5年内的供货商名单、 员
文档外发管理
打印、传真控制 防止内容转换介质
数据生命周期管理 确保内容可销毁
六、应用集成——自动加解密、安全准入
•应用系统安全准入/加解密集成
B/S管理用户
文档安全 网关实现 下载加密 上传解密
应用系统数据 明文保存支持 查询便于应用
应用系统服务器
终端数据密文 保存防止扩散
确保安全
C/S应用用户
文档安全网关 防火墙
商品购销价格、公司经 营业绩及会员客户名单
方法:
约合4200万元人民币的
FTP下载/光碟拷贝/打印
损失
原因: 访问权限/信息管理不善
航空工业总公司某研 究所
国防重点工程详细资料
泄密人员: 内部研究人员
方法: 非法带出/在家上网
造成重大泄密,有期徒 刑8个月
其他用户
三、文档外发——控制身份、权限、时间、频次
•电子文件外发管理
外发文档管理员
制作外发文档
外发文档创建
口令认证方式
Key认证方式
机器绑定认证方式
文档访问权限认证
只读/打印/复制/修改/拷屏
213 文件彻底销毁 次
文档操作行为及时限控制
四、文档外带——密文存储,万无一失
•电子文档安全外带管理
亿赛通数据防泄漏安全管理解决方案 国内DLP的领航者
内容提要
1 数数据据安安全全面面临临的的威威胁胁 2 亿赛通数据安全解决方案 3 亿赛通公司介绍 4 经验分享
数据泄露事件频繁发生
数据泄露问题后果严重
公司
泄密内容
泄密原因
公司损失
泄密人员: 公司IT部管理人
广州好又多百货商业 有限公司
5年内的供货商名单、 员
文档外发管理
打印、传真控制 防止内容转换介质
数据生命周期管理 确保内容可销毁
六、应用集成——自动加解密、安全准入
•应用系统安全准入/加解密集成
B/S管理用户
文档安全 网关实现 下载加密 上传解密
应用系统数据 明文保存支持 查询便于应用
应用系统服务器
终端数据密文 保存防止扩散
确保安全
C/S应用用户
文档安全网关 防火墙
商品购销价格、公司经 营业绩及会员客户名单
方法:
约合4200万元人民币的
FTP下载/光碟拷贝/打印
损失
原因: 访问权限/信息管理不善
航空工业总公司某研 究所
国防重点工程详细资料
泄密人员: 内部研究人员
方法: 非法带出/在家上网
造成重大泄密,有期徒 刑8个月
数据安全管理培训材料PPT课件(精)
应急响应的实践案例
案例一
某公司数据泄露事件应急响应。该公司发现数据泄露后,立即启动应急响应计划,组织技术团队进行 排查和处置,同时向相关部门报告情况,最终成功控制了泄露范围并恢复了系统正常运行。
案例二
某政府机构网站被攻击事件应急响应。该机构发现网站被攻击后,迅速启动应急响应流程,组织专家 团队进行技术分析和处置,同时加强安全防护措施,最终成功抵御了攻击并保障了网站的正常运行。
框架组成
详细阐述数据安全管理体系的框架, 包括数据安全策略、数据安全组织、 数据安全流程和数据安全技术四个方 面。
数据安全管理制度和规范
管理制度
介绍数据安全相关的管理 制度,如数据安全管理规 定、数据安全审计制度等 。
操作规范
提供数据安全操作规范, 包括数据备份、数据加密 、数据传输等具体操作步 骤和注意事项。
建立完善的数据安全管理制度
加强数据安全技术防护
制定数据安全管理制度和操作规程,明确 各部门和人员的职责和权限。
采用加密、去标识化等安全技术措施,防 止数据泄露、篡改和损坏。
开展数据安全风险评估
强化员工数据安全意识培训
定期对数据处理活动进行风险评估,识别 潜在的安全隐患和风险点,及时采取防范 措施。
加强员工数据安全意识教育,提高员工对 数据安全的重视程度和风险防范意识。
备份所有数据,包括操作系统 、应用程序、数据文件等。
增量备份
只备份自上次备份以来有变化 的数据,减少备份时间和存储
空间。
差分备份
备份自上次完全备份以来有变 化的数据,比增量备份更快速
,但存储空间占用更多。
数据恢复
在数据丢失或损坏时,通过备 份文件恢复数据的过程。
数据防泄漏技术
数据防泄漏DLP解决方案
数据防泄漏可以保护客户隐私,提高企业的形象和信誉,增强客户 对企业的信任和忠诚度。
符合法律法规要求
数据防泄漏是企业遵守相关法律法规的必要条件,如GDPR、CCPA等。 不合规的数据泄露可能导致企业面临罚款、诉讼等法律风险。
02
数据防泄漏DLP解决方案概述
DLP解决方案的定义与特点
定义
数据防泄漏DLP(Data Loss Prevention)解决方案是一种用于防 止敏感数据泄露的技术和方法集合。
数据防泄漏dlp解决方案
• 引言 • 数据防泄漏DLP解决方案概述 • 数据防泄漏DLP解决方案的关键技
术 • 数据防泄漏DLP解决方案的实施步
骤
• 数据防泄漏DLP解决方案的案例分 析
• 数据防泄漏DLP解决方案的未来发 展与挑战
01
引言
背景介绍
随着信息技术的快速发展,数据已经成为企业的重要资产。然而,数据泄露事件频发,给企业带来了巨大的风险和损失。因此, 数据防泄漏(DLP)成为企业必须面对和解决的重要问题。
THANKS
感谢观看
特点
DLP解决方案提供了一套全面的防护 措施,包括数据识别、监控、访问控 制和安全审计等,以确保数据的机密 性和完整性。
DLP解决方案的原理与功能
原理
通过识别、分类和标记敏感数据,DLP解决方案能够在数据传输、存储和使用过程中实施严密的控制 和监管,从而防止数据泄露。
功能
DLP解决方案的功能包括数据识别、数据分类、数据监控、数据访问控制和安全审计等。
总结词
数据识别与分类是数据防泄漏DLP解决方 案的基础,能够有效地识别和分类企业 内的敏感数据,从而为后续的数据保护 措施提供依据。
VS
详细描述
符合法律法规要求
数据防泄漏是企业遵守相关法律法规的必要条件,如GDPR、CCPA等。 不合规的数据泄露可能导致企业面临罚款、诉讼等法律风险。
02
数据防泄漏DLP解决方案概述
DLP解决方案的定义与特点
定义
数据防泄漏DLP(Data Loss Prevention)解决方案是一种用于防 止敏感数据泄露的技术和方法集合。
数据防泄漏dlp解决方案
• 引言 • 数据防泄漏DLP解决方案概述 • 数据防泄漏DLP解决方案的关键技
术 • 数据防泄漏DLP解决方案的实施步
骤
• 数据防泄漏DLP解决方案的案例分 析
• 数据防泄漏DLP解决方案的未来发 展与挑战
01
引言
背景介绍
随着信息技术的快速发展,数据已经成为企业的重要资产。然而,数据泄露事件频发,给企业带来了巨大的风险和损失。因此, 数据防泄漏(DLP)成为企业必须面对和解决的重要问题。
THANKS
感谢观看
特点
DLP解决方案提供了一套全面的防护 措施,包括数据识别、监控、访问控 制和安全审计等,以确保数据的机密 性和完整性。
DLP解决方案的原理与功能
原理
通过识别、分类和标记敏感数据,DLP解决方案能够在数据传输、存储和使用过程中实施严密的控制 和监管,从而防止数据泄露。
功能
DLP解决方案的功能包括数据识别、数据分类、数据监控、数据访问控制和安全审计等。
总结词
数据识别与分类是数据防泄漏DLP解决方 案的基础,能够有效地识别和分类企业 内的敏感数据,从而为后续的数据保护 措施提供依据。
VS
详细描述
网络安全保密教育ppt课件(图文)可编辑全文
要加大警示教育力度,充分认清网上失泄 密的危害,消除麻木和侥幸心理;
新形势我们该怎么做
秘密是与公开相对而言的
秘密是与公开相对而言的,是个人或集团在一定的 时间和范围内,为保护自身的安全和利益,需要加 以隐蔽、保护、限制、不让外界客体知悉的事项的 总称。秘密都是暂时的、相对的和有条件的。现代 意义上,根据涉及内容的不同,秘密可分为:
渗透泄密方式有哪些
按对方要求在网上注册会员,开立了账户,案发前,朱先后18次向对方提供各种情报数十份。某出版社副 科级干部韩某,违反有关规定与地方人员做生意负债20万元,遂产生了出卖情报赚钱的想法,在网上提出35 万元为对方提供感兴趣的东西,对方以衡量一下韩的身份和能量为由提出先提供一些看看,韩借口出版 《将校传经》为由,到档案室抄录了部份师以上干部名单及个人资料
认清严峻形势强化网络安全意识
01
反泄密面临严峻形势
02
渗透泄密方式有哪些
03
防间保密的薄弱环节
04
新形势我们该怎么做
反泄密面临严峻形势
随着信息技术的发展,网络已经迅速 的走入了我们的工作和生活,与此同 时,网络窃密也成为敌特分子攻取情 报的重要途径。今天我就以如何做好 新形势下涉网防间保密工作与大家做 一一次交流,题目是“认清严峻形势, 强化网络安全意识,切实提高涉网防 间保密能力”。
反泄密面临严峻形势
众所周知,互联网具有国际化、开放性和互通互联等特点,而安全性和开 放性永远矛与盾的关系。因特网 本身并未提供安全保障,现有的安全防护 能力也很有限。虽然目前我们可以利用防火墙、杀毒软件、入侵 监测等技 术手段来抵御非法入侵,但至今这些防护措施都还存在看许多漏洞,还不 能确保内部网的绝对安 全。据报道, 1999年美国曾针对五角大楼的网络作了一个安全测试
企业数据安全管理方案ppt课件
2019
-
13
安全措施小例
• 1、提示语:“请擦去黑板并将你所有的秘密文件处理掉,工业 间谍在你之后预定了这一房间。”
• 2、办公区放置了碎纸机,员工需要将所有用过的废纸进行处理。
2019
-
14
三、数据安全体系
管理层面
安全管理制度 业务处理流程
应用层面
业务应用系统 数据库应用系统
数
据
安 全
系统层面
工而言,重要的是基础培训,而不是一切信息告知。
2019
-
26
企业职工具体数据安全防范措施
• 6、公用设备——不等于公用信息 ,例如移动硬盘公用,那数据 可能会泄密。
• 7、光盘刻录——资料在备份过程中流失,要求重新备份,大多情 况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司。
• 8、会议记录——被忽视的黄金,提醒:行政要有安全意识。 • 9、应该按照一定的规则设置桌面系统的登录密码,并且定期修
2019
-
9
例如U盘泄露数据
2019
-
10
数据泄密统计分析表
2019
-
11
数据泄露防范措施
• 1、切断源头,设立信息级别制度——对公司的机密文件进行级别 划分,确定机密文件传播的范围,让所有人了解信息的传播界限, 员工由自身的岗位确定相应的信息级别,低层次的岗位级别不能 查阅、了解、拷贝、接触到高层次的信息级别。
件,一旦发现有攻击的迹象或其它不正常现象就采取截断、报警等方 式进行处理并通知管理员,同时详细记录有关的事件日志,以备分析 取证。它的实时监控和反应大大增强了网络系统的安全性。 • 2.2、入侵检测系统一般分为主机型和网络型,前者监控宿主机系统上 的攻击特征,后者监控网络上有符合入侵特征的数据包,当前的入侵 检测系统大多都可以与防火墙和反病毒软件连动,从而更有效地阻断 黑客或病毒的入侵
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
问信息及资源。
.
2
可用性 (Availability)
数据是企业信息安全的核心目标 一般原理
企业秘密
• 业务报表 • 设计资料 • 客户资料 • 财务报告 • 战略报告 • 审计报告 • 重要邮件 • 会议纪要
.
合规数据
• 客户信息 • 知识产权 • 隐私数据 • 健康数据 • 信用卡号 •…
3
数据保护最佳实践
I
存储、使用、传输过程中不会被非授 权篡改,防止授权用户或实体不恰当
地修改信息,保持信息内部和外部的
一致性。
秘密
保密性 (Confidentiality)
A
可用性(Availability)—— 确保授权 用户或实体对信息及资源的正常使用不
会被异常拒绝,允许其可靠而及时地访
完整性 (Integrity)
防护策略 部署策略监控阻断信息泄漏
.
9
数据保护建议流程
一般原理
抓大放小 先简后繁 拾漏补遗
DLP
网络
端点
存储Leabharlann DRM文档分类文档授权
http ftp Webmail IM …
USB DVD 共享 …
数据库 文件服务器 …
文档级别 文档类型 文档位置 应用程序 …
用户权限 应用程序 …
识别企业整体风险并有效阻止 针对个别部门的重要文档
Web 安全
FTP 安全
P2P
即时信息 安全
Sharepoint/ Web
Exchange/ Domino
文件服务器 安全
数据库 安全
DLP的方法 ➢ 它通过内容分析,按照中央策略, 识别、监控和保护数据
关键特征 ➢ 深度内容分析 ➢ 中央策略管理 ➢ 广泛内容覆盖
内容相关是其最大的优势 ➢ 与文件格式和类型无关 ➢ 与网络协议无关 ➢ 支持模糊匹配,关键字匹配 ➢ 支持高精度匹配,误报低 ➢ 支持相似度匹配 ➢ 支持统计分析,关联分析 ➢ 策略可根据敏感数据类型分类,并 预置大量分类策略模板
加密
密钥管理 自动加密 文档分级
针对个体的机密文档
.
10
10
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
11
11
数据全生命周期保护
方案
创建/获取
使用
销毁
传递
存 储 /备份
数据安全不仅是目的, 更是动态的过程!
.
12
数据一致性保护
方案
产生
存
备份与
获取
传输
使用
储
恢复
销毁
➢ 电子数据、纸质数据: • 数据密级保持一致 • 只能由预先定义的岗位角色才能阅读/创建/修改/传输/销毁 • 业务流程内的保护级别一致
目录
1 数据防泄漏保护一般原理 2 易聆科数据防泄漏方案
.
1
信息安全保护什么
一般原理
保护信息资产的机密性、完整性和可用性(C.I.A)让组织的业务运作 顺畅、安全
C
机密性(Confidentiality)—— 确保信 息在存储、使用、传输过程中不会泄漏给
非授权用户或实体。
完整性(Integrity)—— 确保信息在
.
4
数据保护需要动态和全面 一般原理
数据 来源
用户 操作
执行 策略
目的地控制
存储中 使用中 传输中
拷贝到设备
刻录光盘 剪切复制 拷贝 打印 上传
加密
网络传送
教育
发布到Web
监控
带出工作地点
.
5
• 全面评估信息风险,包 括网络、端点和存储
• 全面检测数据库、文件、 邮件、文字等泄密通道, 及时报警或阻止
不同数据源,不同载体,不同类别的数据。 缺点:不能对整个硬盘进行加密;不能解决非授权用户的数据外泄问题;不能解决内部恶意的数据外泄。
以文档透明加密和权限管理为核心,对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘 级的加密保护。
优点:实现企业内部敏感数据的统一管理,防止未授权使用、防篡改和防拷贝;可以实现动态透明加解密。 缺点:功能单一,无法实现全方位的数据保密;策略制定较为简单。
以持续运维 • 仅适用于研发等少数小
组
• 技术不能解决所有的问 题,仍然需要以下辅助
• 风险教育 • 行政管理 • 物理安全 • 刑事诉讼
6
DLP监控的数据流转途径 一般原理
CD/DVD USB Web Email
邮件安全
FTP
即时消息
打印/传真 粘贴/拷贝
数据挖掘
DLP 策略
监控 发现
预防 保护
DLP的缺点 ➢ 仅具备基本的主动式防泄漏能力, 不善于阻止 ➢ 对硬件的要求很高 ➢ 不符合用户最直接的思维习惯 ➢ 隐藏数据可以逃避
.
7
国内外DLP产品对比
一般原理
将敏感数据防泄漏产品分为终端防泄漏专控软件、防泄漏网关,通过这两者的配合来完成数据防泄漏功能。 解决方案主要是以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露。 优点:对使用、存储和移动中的数据,实现全方位数据防泄漏;具有较强的敏感数据检测机制;全面保护来自于
国外:以防止无意泄漏为目标。内容识别、审计是核心手段。
国内:以防止任何方式的泄漏为目标。文档加密是核心手段。
.
8
数据识别是保护的前提
一般原理
数据的两种形式 结构化数据:存储在数据库中,
包括智能卡、移动用户资料等关 键并且敏感的信息。 非结构化数据:主要存储在文件 服务器以及大量的工作终端。
数据保护的核心思路 定义企业的机密信息 制定对不同等级机密信息的监视和
主动泄密 • 仅适用于笔记本或者少
量文件服务器
主流数据保护方法
DLP
(数据泄漏保护)
DRM
(数据权限保护)
Data 企业数据
Encryption
(加密)
Management
(管理)
.
6
一般原理
• DRM可以决定数据的访 问和使用方式,功能强 大
• 仅限于特定的文档类型 • 需要与企业应用紧密集
成,大量依靠人工参与 • 部署实施十分复杂并难
一般原理
1 5
4
•1 发现和评估
发现保存在所有位置的敏感数据, 对风险进行评估
2
•2 数据分类
确保安全的数据处理流程正常运转
•3 定义有效的策略
创建策略用于保护数据,并且确保
策略的有效性
•4 实施控制
控制机密数据的授权访问和安全传 输
3
•5 监控, 报告和审计
通过报警和事件管理来确保成功的 数据安全防护
• 统一制定防泄漏策略 • 遵从监管法案法规 • 实施和部署简单,无需
更改流程,无需人工参 与,可在企业范围应用 • 能够有效的与DRM/加 密工具集成使用,使得 后者更有效
• 能够阻止没有权限的人 非法获取信息,即使丢 失也没关系
• 依赖手工进行 • 密钥的管理是个复杂问
题 • 不能解决无意识泄密和