McAfee数据泄漏保护技术解决方案

浙江盾安集团有限公司McAfee数据泄露保护方案上海幸博信息技术有限公司杭州办事处Composer:吴耀东Tel:0571-85806571Mobile:153258822272008年10月30日本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第2页共43页文档说明非常感谢浙江盾安集团有限公司给予McAfee公司机会参与《数据泄漏保护》子项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，浙江盾安集团有限公司内部使用，未经McAfee公司书面许可，请勿扩散到第三方。本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第3页共43页目录1方案概述...................................................................................................................................52浙江盾安数据保护需求分析...................................................................................................82.1已经部署的安全产品...............................................................................................82.2仍然存在的数据安全威胁.......................................................................................82.2.1系统终端面临的数据泄露风险.......................................................................82.2.2不可管理终端的数据泄漏威胁.......................................................................92.2.3安全管理问题...................................................................................................92.3需求分析...................................................................................................................92.3.1数据流失保护...................................................................................................92.3.2设备控制.........................................................................................................102.3.3磁盘和数据加密.............................................................................................102.3.4数据保护网关.................................................................................................103McAfee数据保护整体解决方案..........................................................................................113.1方案设计原则.........................................................................................................113.2McAfeeTotalProtectionforData解决方案...........................................................113.2.1我们需要什么.................................................................................................113.2.2McAfeeTotalProtectionforData数据保护解决方案...................................123.2.3McAfeeTotalProtectionforData的具体功能...............................................143.3McAfeeTotalProtectionforData的统一管理.......................................................174McAfeeTotalProtectionforData的部署...............................................................................20本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第4页共43页4.1部署架构及工作流程.............................................................................................204.2McAfee数据保护解决方案的部署........................................................................234.3McAfee数据保护组件的部署................................................................................244.3.1McAfeeDLPHost的部署...............................................................................244.3.2McAfeeDeviceControl的部署......................................................................284.3.3终端加密产品的部署.....................................................................................294.3.4数据保护网关的部署.....................................................................................314.3.5加密U盘的使用..............................................................................................324.4McAfee数据保护解决方案的优势........................................................................325McAfee数据保护产品实施方案............................................................................................345.1实施人员组成.........................................................................................................345.2实施过程.................................................................................................................355.3项目验收.................................................................................................................386成功案例.................................................................................................................................40本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第5页共43页1方案概述浙江盾安集团有限公司和大部分金融企业一样，经营和管理过程中会产生大量的数据，如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据，这些重要数据就像是生命中的“血液”一样重要，是企业生存的基础。如果这些数据一旦遭到泄漏，将给公司的信誉和资产造成重大损失。自2004年以来，数据泄漏事件正以1700%的速度增长，平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有：1）TJX--攻击者窃取了4570万个信用卡和借记卡数据，造成的后果是企业形象受损和法律诉讼；2）CardSystems公司--网络罪犯攻击了4千万个Visa/MC/Amex用户；后果是CardSyestems现在已宣告破产；3）ChoicePoint公司--诈骗公司使用购买ChoicePoint产品的消费者记录；后果是2600万美元的罚款以及股票市值缩水8亿多美元；4）WellsFargo--泄露了3300万个客户的帐户；后果是为了符合州数据泄露法案的要求，仅邮寄的成本就高达1900万美元。数据泄露造成的根源来自外部黑客攻击和内部数据泄漏，据FBI的统计，70%的数据泄漏是由于内部人员造成的，而这些内部人员大都是有权限访问这些数据，然后窃取滥用这些数据。无论是黑客攻击、还是内部故意泄露，数据泄漏有以下三个途径造成：1)物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到USB，CD/DVD和移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机发送。2)网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发送数据，这种方式可以是黑客攻击“穿透”计算机后造成，也可能是内部员工从计算机上发送。3)应用途径——通过电子邮件、IM即时信息、屏幕拷贝，P2P应用或者“特洛伊木本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第6页共43页马”窃取信息。图1.1数据泄漏的三种途径McAfeeDataLossPrevention（以下简称DLP）解决方案可以有效保护企业的重要机密数据，免于数据泄漏的风险。DLP通过监控机密信息和防止未经授权的传输保护数据免于泄漏，来支持员工共遵守企业数据保护法规和企业安全策略。McAfeeD