信息安全数据泄漏防护DLP解决方案

信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS

目录

信息安全数据泄露防护DLP解决方案 (1)

一、概述 (3)

1.背景 (3)

2.数据泄露防护技术DLP (3)

二、解决方案 (4)

1.目标 (4)

2.分析信息外泄的途径 (4)

3.DLP防护指导思想 (5)

4.信息安全的特点和保护策略 (6)

三、产品功能介绍 (7)

1.Windows数据防丢失子系统功能列表 (7)

2.Linux数据防丢失子系统功能列表 (10)

3.安全网关子系统功能列表 (11)

四、产品规格 (12)

1.Windows系统支持规格 (12)

2.Linux系统支持规格 (13)

3.Windows 加密与Linux加密兼容 (13)

五、产品技术 (13)

1. Windows文件加密系统优势 (13)

六、项目实施 (15)

1.确认可信域 (15)

2.信息安全评估 (15)

3.选择部署策略 (15)

4.软件实施过程 (16)

一、概述

1.背景

有一农户在杀鸡前的晚上喂鸡，不经意地说：快吃吧，这是你最后一顿！第二日，见鸡已躺倒并留遗书：爷已吃老鼠药，你们别想吃爷了，爷他妈也不是好惹的。

当对手知道了你的决定之后，就能做出对自己最有利的决定。——纳什均衡理论

所以加强信息内容安全的管理很重要。

当今信息技术高度发达，人们早已习惯了用电子化平台获取信息，企业的数据、信息以电子档案形式处理，传输，存储已成主流。但是信息化就像一把双刃剑，给企业运营带来极大便利的同时，也相应地存在安全隐患。威胁企业信息安全的方式多种多样，计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误，甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全，一方面是要加强内部管理，提高人员道德修养和技术水平，防止内部泄密或者因技术水准不高而引发的失误性损害；另一方面是加强信息技术软硬件建设，做好信息安全防护工作。

实际上，随着信息化发展，企业的信息安全管理开始重视，可是相关调查显示，多数企业并未设立专业的信息管理团队，因此信息安全形势不容乐观。一旦信息被破坏或泄露，要挽回损失，将面临取证困难和法律规范将是两大难点。因此，企业建立完备的信息安全体系势在必行。

2.数据泄露防护技术DLP

信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵，但是事实上90%以上的信息泄密事件源于企业内部，针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护，DLP的是由内而外的信息安全防护，两者相辅相成，一起构筑了企业的信息安全环境。

安极（SecEInfo）是一款数据泄漏防护DLP安全系统，是新一代的数据安全产品，“以信息数据安全为中心，以密码技术为支撑，以安全管理为保障，以业务需求为导向”，从“服务器区数据保护、核心网络系统安全管理、外网边界数据传输管理、终端主机文档透明加密、移动存储管理、身份认证与授权”六维化管理出发，对数据的创建、使用、存储、传输、归档以及销毁的全生命周期中每个环节安全“保驾护航”。

二、解决方案

1.目标

在安全领域普遍认为：“除了台风、地震等不可抗力因素导致的信息损失外，人是最大的漏洞！”，信息可能因为人的疏忽而被无意间泄露，或是因为信任关系被破坏，被有目的的复制、损坏或篡改等，我们提供的解决方案就是防护人为的无意或有意的信息泄露，避免公司因此造成的直接投资损失或竞争力下降。解决方案同时关注用户的体验，所以方案要达成的目标是：保障公司重要信息安全，让公司在健康安全的信息化环境下办公；同时，不影响现有业务流程，不改变员工工作习惯。

2.分析信息外泄的途径

无意泄露信息一般是因为手机、笔记本或移动硬盘等具备存储功能的设备被盗或丢失，设备里面的信息可能被有心人利用，通常通过加密手段进行防范，例如文档加密，磁盘加密等。而有意泄露信息的途径可就多样化，可分为三类：物理、网络和应用程序。如下图所示：

具体的行为举例如下：

● 邮件传输：包括Email 附件发送；通过Web mail 粘帖内容。

● 聊天工具：通过MSN ；QQ 等聊天工具发送内容或者附件。

● 移动媒体拷贝：通过U 盘；移动硬盘；刻录光盘；手机等手段传输文件。 ● 恶意打印：通过大量打印文件，外带导致资料泄密。

● 屏幕打印：把文档通过截图的方式保存为图像文件以此绕过安全系统。

3. DLP 防护指导思想

● 可以对磁盘上的所有文件加密，但是建议只对敏感数据文件进行加密。

● 可以禁止对所有文件进行拷贝、打印、外发等操作的行为，但是建议只对敏感数据

文件进行管控。

● 可能会让一些敏感数据文件离开可信区域，但是在不可区域打开文件是密文（既显

示乱码）。

● 可对敏感文件进行解密、外发行为进行监管，有日志记录可查。

● 敏感文件从新建到删除的全生命周期都是加密的。

聊天工具 点对点

传输

电子

邮件 嘿，你好木马

网络浏览

文件

传输 无线

应用程序

物理 打印机

复制/粘贴 USB 网络

私密数据

●外发敏感文件到不可信区域可以设置文件的打开次数、打开时间、是否允许打印等

等。

●在受控的客户端上使用不改变之前的习惯。

4.信息安全的特点和保护策略

信息的安全主要特性表现在：完整性、机密性、可用性、不可否人性、可控性等，其中最重要的是完整性、机密性、可用性。通过分析信息安全的特性针对性的采取不同的策略。

(1)完整性

完整性：是指信息在存储或传输的过程中保持未经授权不能改变的特性，要求保护

数据内容是完整、没有被篡改的。所以保证完整性的目标是防止数据被非法用户修

改和破坏。

安全措施：

访问认证。安极的安全网关的身份识别准入功能可以防止非法终端访问公司网络或服务器。

最小权限原则要求系统只授予使用者必要的权限，而不要过度授权，有效地减少出错的机会。通过安极的DLP系统的安全策略配置可以对敏感信息的整全生

命周期进行加密，以及对其的读、写、删除、复制、传输等行为的管控。

应用场景举例：

(2)机密性

机密性要求保护数据内容不能泄露给未经授权者。

安全措施：

通过配安全策略可以管控数据从物理、网络和应用程序等途径泄露。

透明加密功能。终端安装系统后，所有指定类型文件都是强制加密的；一旦文