McAfee数据泄漏保护技术解决方案

XXMcAfee数据泄露保护方案第2页共12页文档说明非常感谢XX给予McAfee公司机会参与《数据泄漏保护》子项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和XX内部使用，未经McAfee公司书面许可，请勿扩散到第三方。第3页共12页目录1方案概述...................................................................................................................................42中铁信托数据保护需求分析...................................................................................................62.1.1系统终端面临的数据泄露风险.......................................................................62.1.2不可管理终端的数据泄漏威胁.......................................................................72.1.3安全管理问题...................................................................................................72.2需求分析...................................................................................................................72.2.1数据流失保护...................................................................................................73McAfee数据保护整体解决方案............................................................................................83.1McAfeeTotalProtectionforData解决方案............................................................83.1.1McAfeeTotalProtectionforData的具体功能................................................83.2McAfeeTotalProtectionforData工作流程............................................................94McAfeeTotalProtectionforData的部署..............................................................................124.1部署架构及工作流程.............................................................................................12第4页共12页1方案概述中铁信托有限公司和大部分金融企业一样，经营和管理过程中会产生大量的数据，如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据，这些重要数据就像是生命中的“血液”一样重要，是企业生存的基础。如果这些数据一旦遭到泄漏，将给公司的信誉和资产造成重大损失。自2004年以来，数据泄漏事件正以1700%的速度增长，平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有：1）TJX--攻击者窃取了4570万个信用卡和借记卡数据，造成的后果是企业形象受损和法律诉讼；2）CardSystems公司--网络罪犯攻击了4千万个Visa/MC/Amex用户；后果是CardSyestems现在已宣告破产；3）ChoicePoint公司--诈骗公司使用购买ChoicePoint产品的消费者记录；后果是2600万美元的罚款以及股票市值缩水8亿多美元；4）WellsFargo--泄露了3300万个客户的帐户；后果是为了符合州数据泄露法案的要求，仅邮寄的成本就高达1900万美元。数据泄露造成的根源来自外部黑客攻击和内部数据泄漏，据FBI的统计，70%的数据泄漏是由于内部人员造成的，而这些内部人员大都是有权限访问这些数据，然后窃取滥用这些数据。无论是黑客攻击、还是内部故意泄露，数据泄漏有以下三个途径造成：1)物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到USB，CD/DVD和移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机发送。2)网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发送数据，这种方式可以是黑客攻击“穿透”计算机后造成，也可能是内部员工从计算机上发送。3)应用途径——通过电子邮件、IM即时信息、屏幕拷贝，P2P应用或者“特洛伊木马”窃取信息。第5页共12页图1.1数据泄漏的三种途径McAfeeDataLossPrevention（以下简称DLP）解决方案可以有效保护企业的重要机密数据，免于数据泄漏的风险。DLP通过监控机密信息和防止未经授权的传输保护数据免于泄漏，来支持员工共遵守企业数据保护法规和企业安全策略。McAfeeDLPHost具有内容感知功能，当数据在网络、物理设备和应用程序等易导致数据丢失的渠道中传输时，根据预先定义的策略，提供全面的保护。McAfee数据保护解决方案通过基于主机和基于网关的两层保护提供了全面的防护：基于主机的保护（产品名称：McAfeeDataLossPreventionHost）——保护公司和移动中（在家里和在路上）的终端、服务器上的数据；我们建议中铁信托有限公司在网络和终端层面全面部署McAfeeTotalProtectionforData解决方案，对核心的数据实现全面的安全保护功能，防止数据的非授权泄露。第6页共12页2中铁信托数据保护需求分析2.1.1系统终端面临的数据泄露风险企业的各类机密数据和敏感信息可能通过网络传输、共享文件、移动存储、邮件、应用程序等多种方式进行传播，造成数据的泄漏；内部人员可能通过各类新型的应用程序（如截图工具、内容复制工具等）把文件或数据传输出去；企业员工也可能在无意之间将数据遗留在某些移动存储介质之上，造成泄漏；某些物理打印机及扫描仪的使用，也可能造成企业机密信息的泄漏；数据一旦泄漏，可能给企业带来无法估量的损失；笔记本电脑及各类移动终端的丢失，可能造成的数据遗失；U盘的非法使用带来的机密数据的泄漏；终端层面的数据保护往往面临着难以想象的复杂性，给管理和配置带来一定难度，一定程度上造成数据保护产品的使用效果难以保证。第7页共12页2.1.2不可管理终端的数据泄漏威胁企业内部除了可以管理的计算机终端之外，往往还有很多外来接入的计算机，例如外来访问人员、合作伙伴、供应商以及我们的客户，这些计算终端我们往往没有权利安装任何客户端程序，但是他们也很可能造成机密信息的泄漏：(1)不可管理终端在使用企业数据的过程中无意的泄漏（通过网络访问）；(2)不可管理终端的使用人员有意造成的数据泄漏；(3)泄漏行为难以审计和记录；2.1.3安全管理问题部署的数据防泄漏产品，在切实保护数据泄漏并完成数据加密之后；还需要在整体上实现部署、管理和审计，并实现主动的信息安全策略。2.2需求分析结合上面的威胁分析，我们可以看到当前网络存在数据泄漏的风险；因此，需要采取相应的措施来消除这些威胁，降低整体安全风险，确保OA和应用网络的数据安全，具体需求可以归纳为以下几个方面：2.2.1数据流失保护通过部署先进的数据保护类产品，在所有的客户端实现数据保护，并完成统一管理；通过数据保护客户端对用户的网络行为进行检测，阻断数据泄漏行为；通过数据保护客户端对具体应用进行检测，阻断数据泄漏行为；通过客户端程序，有效的审计各类数据调用行为，并记录全部用户行为；数据防护产品必须具有同一的管理平台，且只有一个客户端代理，以最大限度的节省系统资源，提升管理效率；第8页共12页3McAfee数据保护整体解决方案3.1McAfeeTotalProtectionforData解决方案McAfee基于国际信息安全标准，结合中铁信托的现实，建议客户在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的数据保护解决方案，明确数据保护的四个重要方面及控制手段，有计划有步骤的加强整个数据保护体系的建设，才能达到最好的效果。3.1.1McAfeeTotalProtectionforData的具体功能McAfeeTOPSforData的四个组件，分别完成了数据保护流程里边的重要方面，如下所述：(1)数据流失保护——McAfeeDLPHost保护敏感资料不被有意或无意的泄漏全面控制数据的使用和存储使得基础架构和数据本身拥有防护能力详细的记录，事件搜集实时防护和阻挡通知用户和管理员隔离敏感数据(2)设备控制——McAfeeDeviceControl监控并且只允许授权的设备连接到内网；限制并且阻挡未授权的设备连接，比如外部的MP3，U盘；强制控制可以被复制到授权设备上的数据内容；全面控制数据和设备；仅允许指定的设备；第9页共12页指定什么数据可以被复制；基于用户，组，部门进行策略制定，例如允许CEO连接任何U盘，而其他员工只能使用特定的U盘；详细记录用户和设备的访问信息以符合审计和合规的要求。综上所述，通过McAfeeTOPSforData，McAfee可以帮助中铁信托建立全面的数据保护体系，从软件系统到硬件的边界防护，从内部人员的有意泄露到外部人员的非授权访问，均能够实现全面的保护。3.2McAfeeTotalProtectionforData工作流程McAfeeDLP从物理、网络和应用三个途径进行全面的绝对防护：第10页共12页McAfeeDLP具体工作流程图1)防范数据通过以下渠道丢失：电子邮件、IM、FTP、HTTP、HTTPS、gmail、hotmail、USB、CD、DVD、iPod、打印、复制/粘贴、屏幕抓取、P2P等2)保护390多种数据文件3)即使数据被修改、复制、粘贴、压缩或加密，标记功能仍能使防护发挥作用4)高度准确性：--独特的指纹算法--强大的正则表达式引擎--基于位置和基于环境的分类方法DLP对企业范围数据提供实时和离线的完整监控，保护数据和发现策略违规：1)及时收集详细的证据和报告--发信人、收信人、时间戳、组、内容等2)轻松实现全球、组和个人级别的控制--监控（允许）--预防（拦截）第11页共12页--隔离（等待安全小组的授权）--加密（在数据传输之前进行加密）--警告（通知管理员和最终用户）3)移动保护功能：--无论用户身在何处，均可防范通过便携式计算机转移敏感数据通过使用McAfeeDLP数据泄漏保护，可以帮助企业实现：•保护机密数据、财务数据和知识产权；•机密用户数据--信用卡号、姓名、地址和个人身份信息等；•知识产权--专利、源代码、设计、商业秘密和公式；•支持法规遵从、留住客户、保持竞争优势、保护品牌和客户信任；•法规遵从/品牌--职员复制/粘贴客户数据并无意中将这些数据通过电子邮件发送出去，DLP将实时拦截数据的发送；•客户--不如意的销售人员在去竞争对手那里工作之前计划将客户信息打印出来