DLP+PGP数据防泄密解决方案

密级：商业秘密

文档编号：

XX集团数据防泄密解决方案

技术建议书

专供XX集团

2013年11月

2013年11月4日

尊敬的XX集团用户，您好！

赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者，可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案，从而帮助我们的客户提前预防新出现的威胁。另外，我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险，从而帮助客户保护他们的基础架构、信息和交互。

赛门铁克致力于：

与您携手合作，共同打造一个全面且可持续的解决方案，从而满足您的全部需求。

确保项目取得成功并最大程度地降低风险。

在部署后向 XX集团提供支持与建议，从而确保平稳运营和持续防护。

如果您在阅读完本产品技术方案后仍有疑问，请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持，也请尽管告诉我。

我期待着与您合作，并为这个重要项目的成功而尽力。

保密声明与用途

本产品技术方案包含“保密信息”（如下定义）。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和（或）服务的相关。本产品技术方案专向XX集团（以下简称“您”或“您的”）提供，因为赛门铁克认为“您”与赛门铁克公司（以下简称“赛门铁克”）达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误，对于此类信息中的任何错误或疏漏，赛门铁克不承担责任，并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。

“您”与赛门铁克之间有书面保密协议，但“您”阅读赛门铁克建议书即表明，在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内，包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息，无论书面还是口头形式（以下简称“保密信息”），“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”，除非因需知晓该信息而必须提供，但必须遵守此类“保密信息”使用的管理条款与条件，而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件，且在任何情况下绝不低于合理的商业保护。

本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有，未经赛门铁克事先书面许可，不得拷贝、复制或分发。赛门铁克提供本产品技术方案，但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图，

除非“您”已经获得赛门铁克的事先书面许可，否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。

一经请求即可提供此处所述产品使用和（或）服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。

Contents

1 概述 (6)

1.1项目背景 (6)

1.2 XX集团信息安全项目目标 (6)

1.3 术语解释 (8)

2XX集团信息安全项目需求及实现 (9)

2.1 XX集团信息安全涉密信息分级控管需求与实现 (9)

2.1.1分阶段推进方法 (10)

2.1.2 管理要求建议 (13)

2.1.3 人员岗位建议 (15)

2.1.3 管理流程建议 (16)

2.3 XX数据防泄密需求及实现 (18)

2.4 XX集团DLP部署规划及效果 (19)

2.4.1 部署场景一： MAIL Prevent监控管理场景 (19)

2.4.2 部署场景二：DLP客户端通过QQ聊天工具、FTP、U盘、网络共享、WEB、网盘

等方式的监控场景 (20)

2.4.3部署场景三：WEB Prevent监控及阻断WEB MAIL场景 (21)

2.4.4部署场景四：Web Prevent监控及阻断Web论坛、FTP、Yahoo Message、MSN、

Web网盘等场景 (22)

2.4.5部署场景五：米亚索能与XX集团数据防泄密系统兼容和可管控性场景 (23)

2.5 DLP Mail Prevent防护流程图 (24)

2.6 DLP Endpoint防护流程图 (26)

2.7 DLP Web信息防泄漏系统流程说明 (27)

3终端全盘加密及敏感数据加密解决方案27

3.1XX集团DLP部署规划及效果 (29)

3.1.1部署场景一：终端电脑丢失，PGP客户端安全防护场景 (29)

3.1.2部署场景二：终端电脑文档自动加密与XXOA系统流转加密文档的场景 (29)

4离职及长期脱网人员的审计及安全管理29

5Symantec 产品主要技术特征30

5.1 Symantec DLP主要技术特性 (30)

5.2 Symantec PGP主要技术特征 (35)

5.3XX集团信息防泄密系统方案设计 (35)

5.3.1 系统总体结构 (35)

5.3.2 XX集团信息防泄密方案可靠性、扩展性说明 (37)

5.3.3 XX信息防泄密方案风险预估 (37)

5.4 XX集团信息防泄密方案涉及产品模块功能介绍 (38)

6方案与产品背景41

6.1 Symantec DLP产品介绍 (41)

6.2 PGP产品介绍 (47)

1 概述

1.1项目背景

XX集团目前已经成为世界顶级的新能源提供商，拥有大量的拥有自主产权的信息资产和研发创新能力。同时，这种快速发展也带来了内部管理方面的问题，即如何管理和保护这些信息资产，如何保护和维持自己的研发创新能力，这是XX集团竞争力的根本基础。

对XX集团而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁的同时，来自内部的数据泄露或许是一个更需要重视的问题。在当今竞争日趋激烈的商业社会，到处存在着陷阱和诱惑。为了达到目的，一些不良企业或个人会不择手段来谋取自身利益的最大化。他们有可能窥探XX集团的研发、生产、收入数据、客户数据、销售数据等核心信息。这些信息关系企业生存与发展的命脉，一旦流失将会让XX集团面临信誉、经济、运营、隐私和法规遵从方面的威胁。另外来自外部环境的数据泄漏的驱动力也越来越大。自从力拓间谍门曝光后，媒体密集报导了大量不同性质的泄密事件，共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。

一旦有机密数据或者信息资产泄密，带来的损失和深远影响，将无可计量。因此赛门铁克诚挚希望能够协助XX集团建立完善的信息泄露防护体系，满足当前的主要业务目标：1、对机密文件完成文件指纹采集；2、实时检测从公司邮件系统发送到外网的邮件内容。3、实时检测从公司网络送到外网的HTTP内容4、对终端进行泄密防护。5、对终端机密数据进行加密。并做好充分的准备为XX集团全网部署防泄密解决方案。

1.2 XX集团信息安全项目目标

以XX集团信息安全涉密信息分级控管为技术先导，完成如下目标：

定期对员工的信息安全进行普及教育，定期培训，以确保员工形成统一的信息安全意识；