賽門鐵克Vontu數(shù)據(jù)丟失防護(hù)技術(shù)DLP及其特色

1、賽門鐵克Vontu數(shù)據(jù)丟失防護(hù)技術(shù)DLP及其特色(1)發(fā)布時(shí)間：2008.06.15 12:30 來源：賽迪網(wǎng) 作者：木淼鑫【賽迪網(wǎng)-IT技術(shù)報(bào)道】Kenneth Kim：首先感謝各位光臨，我主要是負(fù)責(zé)Vontu在亞 太區(qū)、歐洲、中東以及非洲地區(qū)的業(yè)務(wù)。也就是說我基本上是負(fù)責(zé)Vontu美國之外其他國家 的業(yè)務(wù)。我是五年前加入Vontu的，也就是在Vontu剛剛創(chuàng)立不久，當(dāng)時(shí)我們沒有具體的客 戶，在只有產(chǎn)品雛形的時(shí)候，我就加入了 Vontu，我們非常高興成為了賽門鐵克的客戶，也 成為了日益全球化的公司。在我接下來的介紹中，我會向大家介紹一下數(shù)據(jù)丟失防護(hù)以及整 個市場對數(shù)據(jù)丟失防護(hù)的需求，這個產(chǎn)品

2、我們有什么特別之處，以及為什么Vontu會成為賽 門鐵克的一員，我們可以說明為什么客戶會選擇我們的數(shù)據(jù)丟失防護(hù)產(chǎn)品以及解決方案，以 及會介紹一下中國市場的情況，再接下來是大家的提問時(shí)間。我們現(xiàn)在看到數(shù)據(jù)丟失已經(jīng)成為人們越來越關(guān)注的問題，這不僅僅是我們得出的結(jié)論， 也是所有專業(yè)人士，包括安全高管人員、CIO甚至是CEO們越來越關(guān)注的問題。特別是對信 息安全官和負(fù)責(zé)安全的主管人員來說，這是一個最重要的考慮因素。因?yàn)閷@些主管來說， 在他們的公司中很多人都經(jīng)歷過數(shù)據(jù)丟失的事件，有的公司經(jīng)歷過多起這樣的事件，所以人 們對這個問題越來越關(guān)注。我們在這里也可以看到有2億多條個人記錄因?yàn)樾孤﹩栴}而不必 要的

3、暴露。實(shí)際上我認(rèn)為這個數(shù)字會更大，這些事件在全世界以及在中國都有報(bào)告，我們在 考慮一家公司可能發(fā)生數(shù)據(jù)丟失的潛在領(lǐng)域時(shí)，不僅要考慮這個公司的員工，還包括它的合 作伙伴，比如說承包商，甚至子公司都要考慮進(jìn)去。過去在歷史上，特別是在聯(lián)網(wǎng)系統(tǒng)中， 人人往往擔(dān)心的是黑客，害怕他們潛入網(wǎng)絡(luò)，但這個行業(yè)的趨勢發(fā)生了變化。也就是內(nèi)部人 員的威脅變得越來越嚴(yán)重，一家公司的員工和合作伙伴會怎樣對待公司的數(shù)據(jù)。所以對內(nèi)部 威脅人們越來越關(guān)注，至少在這個領(lǐng)域有一半的擔(dān)心是內(nèi)部人員的威脅，這是我們這個行業(yè) 轉(zhuǎn)變的根本趨勢。大家看一下下面的調(diào)查，我在這家公司已經(jīng)做了 5年了，我們過去也作過很多的試點(diǎn)項(xiàng) 目和實(shí)施，我們發(fā)

4、現(xiàn)大部分的問題都是員工在正常工作中可能產(chǎn)生的問題，只有很小的一部 分問題是惡意的行為。惡意的行為占的比例還不到1%，大部分的情況是在員工的正常工作中， 需要發(fā)送電子郵件和信息的時(shí)候，在無意和不知情的情況下犯的錯誤。也和公司的業(yè)務(wù)流程 不完善有關(guān)。比如說網(wǎng)絡(luò)和FTP的站點(diǎn)不安全，造成公司信息不安全的泄漏，從而產(chǎn)生嚴(yán)重 損失。下面我們談一下在數(shù)據(jù)丟失防護(hù)中，市場的驅(qū)動是什么，人們的關(guān)注點(diǎn)是什么。雖然 對每一個公司中，他們關(guān)注三個層：客戶數(shù)據(jù)、公司數(shù)據(jù)和知識產(chǎn)權(quán)。我們來舉一個客戶信 息的例子，比如說客戶的帳戶信息、客戶的信用卡、客戶的密碼，這些客戶的信息是不應(yīng)該 不正當(dāng)?shù)谋┞兜摹Ｖ虚g講的是公司信息、

5、公司數(shù)據(jù)，包括公司的財(cái)務(wù)報(bào)表，公司的并購計(jì)劃、 公司打算收購別的公司，還是打算拆分公司的組成部分，以及公司的裁員計(jì)劃，所有的信息 都是高度敏感的。我們再來看一下知識產(chǎn)權(quán)，知識產(chǎn)權(quán)有可能是源代碼，比如說銀行的交易 系統(tǒng)和交易使用的模式本身也是一種知識產(chǎn)權(quán)，另外是一些公司的新產(chǎn)品的推廣計(jì)劃、市場 營銷計(jì)劃，以及新產(chǎn)品的定價(jià)信息，這些都是不希望提前在市場上泄漏的。數(shù)據(jù)安全威脅的轉(zhuǎn)變下面我們很快的看一下風(fēng)險(xiǎn)，每400條信息中，就有一條不必要發(fā)送的機(jī)密信息。每 50個網(wǎng)絡(luò)文件中都有一個不安全的錯誤暴露文件，還有80%的企業(yè)是由于筆記本電腦造成的 數(shù)據(jù)丟失，二分之一以上的企業(yè)因?yàn)閁SB存儲設(shè)施被拿走而造成

6、數(shù)據(jù)的丟失。數(shù)據(jù)丟失防護(hù)驅(qū)動因素我們看到所有的這些領(lǐng)域在中國受關(guān)注的水平也是同樣之高，比如說我們賽門鐵克， 在對客戶的訪問中發(fā)現(xiàn)對于這些問題的關(guān)注中國和美國、英國、日本都是一樣的，大家都希 望有世界一流的數(shù)據(jù)丟失的保護(hù)。下面我們來看一下數(shù)據(jù)丟失防護(hù)。我認(rèn)為開始談數(shù)據(jù)丟失 防護(hù)必須要問三個問題：首先是你的機(jī)密信息在哪兒？在公司是放在什么地方，是在筆記本電腦中還是在數(shù)據(jù) 庫中？還是出現(xiàn)在不應(yīng)該出現(xiàn)的地方。第二個問題是，公司的機(jī)密信息是怎么樣來使用的。比如說公司的機(jī)密信息是不是通 過不安全的郵箱發(fā)出去的，是不是通過即時(shí)消息發(fā)出來的，還有一個常見的是，員工要加班， 可能他在回家以后打開個人的郵箱使用公

7、司的文件，這樣就使文件的泄漏有了一定的條件。最后一個問題是我如何保護(hù)這些信息并防止其丟失，大部分公司有相應(yīng)的政策和流程， 都有一些事項(xiàng)是禁止做的，但是不是有這樣一套系統(tǒng)使作為的工作有足夠的透明度和可見性。 這張幻燈片是最重要的，我經(jīng)常用。也就是說當(dāng)我們談到數(shù)據(jù)丟失防護(hù)的時(shí)候不僅僅對我個 人，對于賽門鐵克來說，我們必須要看到各個方面像端點(diǎn)、網(wǎng)絡(luò)、存儲，并且把所有的因素 要結(jié)合在一起，完整的去看待。有的人會說我能夠幫你防止數(shù)據(jù)丟失，只要我把端點(diǎn)解決好， 只要我阻截不恰當(dāng)?shù)泥]件，只要我能夠?qū)︱?qū)動程序進(jìn)行掃描，但是這幾方面工作單獨(dú)做哪一 項(xiàng)都是不夠的，這幾方面都要做的同樣的好。數(shù)據(jù)丟失防護(hù)威脅覆蓋范圍

8、當(dāng)中的圓圈指的是要有統(tǒng)一的數(shù)據(jù)丟失防護(hù)的政策，這種政策必須適用到所有的三個 領(lǐng)域中，而不是在三個領(lǐng)域中單獨(dú)的做，而是要形成一個整體Vontu加入賽門鐵克一個非 常大的優(yōu)勢是我們可以把Vontu過去的全線的能力再加上賽門鐵克強(qiáng)大的實(shí)力，特別是賽門 鐵克強(qiáng)大的全線的業(yè)務(wù)，把我們數(shù)據(jù)丟失防護(hù)解決方案交給全球的客戶。Vontu提供的是一種軟件解決方案，這種軟件解決方案是6年前開發(fā)出來的，我們5 年前進(jìn)行銷售。而且現(xiàn)在我們這個軟件解決方案已經(jīng)遍布世界各地。下面大家看一下我們?nèi)娼鉀Q方案套件，主要是包括六大產(chǎn)品，涵蓋了三個威脅領(lǐng)域， 在每個威脅領(lǐng)域中我們有兩款產(chǎn)品。這六大產(chǎn)品可以作為一個套件去購買也可以單

9、獨(dú)購買。我們認(rèn)為最終對客戶來說所有這六個產(chǎn)品都是需要的，我們這樣一個產(chǎn)品設(shè)置給了客 戶足夠的選擇，能夠讓他們逐漸把這些產(chǎn)品部署到位，而且所有的產(chǎn)品都是建立在統(tǒng)一的執(zhí) 行平臺上來進(jìn)行管理。所以在我們整個、統(tǒng)一的平臺中我們具有集中的、中心化的管理功能， 是能夠部署到所有的產(chǎn)品中，無論是在搜索方面、在對違規(guī)情況的反應(yīng)方面還是在系統(tǒng)管理 方面都放在同一個平臺上直接進(jìn)行。所以政策只要創(chuàng)建一次，就可以集中執(zhí)行，不需要多次 創(chuàng)建。下面我們簡單的介紹一下我們DLP的架構(gòu)，這個架構(gòu)中是執(zhí)行平臺，實(shí)際上就是我們 中心管理的部分。這種中心管理的部分是生成、執(zhí)行政策的地方，也在這個模塊中形成報(bào)告。 大家可以看到在我們

10、的架構(gòu)中可以有一個或者是多個模塊部署到位，我們從網(wǎng)絡(luò)監(jiān)控看起。 在我們的網(wǎng)絡(luò)監(jiān)控模塊中，通過這個產(chǎn)品我們可以探測到任何不應(yīng)該離開公司的機(jī)密被發(fā)送 到公司之外的情況，無論是通過什么方式，這個網(wǎng)絡(luò)監(jiān)控產(chǎn)品都能夠發(fā)現(xiàn)?，F(xiàn)在請大家看一 下右下角的產(chǎn)品，就是Vontu的網(wǎng)絡(luò)防護(hù)，這個產(chǎn)品是和右上角的產(chǎn)品放在一起用的，它具 有一個阻截的功能，也就是可以阻截機(jī)密信息通過電子郵件、即時(shí)消息和FTP的方式去傳送， 一般來說客戶會同時(shí)購買網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)防護(hù)。左上角是我們的一個網(wǎng)絡(luò)搜索的產(chǎn)品，這實(shí)際上是一種數(shù)據(jù)存儲掃描產(chǎn)品，能夠找到 在公司中機(jī)密信息在什么地方，是在臺式機(jī)中還是在筆記本電腦中，是在服務(wù)器中還是在分

11、支機(jī)構(gòu)中。左下角是我們的一個端點(diǎn)一級的解決方案，能夠在各種端點(diǎn)中比如說筆記本電腦、 甚至是播放器，或者是USB當(dāng)中去尋找機(jī)密信息或者是敏感信息，防止這些信息通過這些端 點(diǎn)離開公司。所以我們在談到DLP數(shù)據(jù)丟失防護(hù)的時(shí)候，我們談到的是要把所有方面完整的 集成在一起，這樣一個集成解決方案，同時(shí)具有高度的可伸縮性，能夠擴(kuò)展到最大規(guī)模的公 司，包括中國的公司。Vontu DLP 8 架構(gòu)大家可能會問賽門鐵克Vontu的DLP數(shù)據(jù)丟失防護(hù)有什么樣的與眾不同的地方。我們 的技術(shù)已經(jīng)申請了專利，專利即將獲批，這個技術(shù)非常的獨(dú)特。 ij1 ij1 一 I 若蚓雌iHAVontu TrueMatch 監(jiān)測套件在

12、這里我先從EDM講起，叫做精確數(shù)據(jù)匹配。這樣的一個EDM它能夠做得是把客戶的 敏感信息的備份拿到我們的系統(tǒng)中，比如說關(guān)于客戶資料的數(shù)據(jù)庫中的信息拿到我們的系統(tǒng) 中做一個精確的數(shù)據(jù)匹配。在這里我們并不是說把實(shí)際的數(shù)據(jù)都取出來，而是把數(shù)據(jù)的索引 給拿出來，當(dāng)然我們在這兒有數(shù)據(jù)的備份可以進(jìn)行一個檢查做一個精確的匹配，在很多情況 下這種匹配的精確度可以高達(dá)100%。當(dāng)然了我們講的這種用在精確數(shù)據(jù)匹配中的數(shù)據(jù)都是 結(jié)構(gòu)化數(shù)據(jù)，在數(shù)據(jù)庫中都是以行的形式出現(xiàn)的，比如說客戶的信息姓名、帳戶號、密碼等 等。當(dāng)然了大家可能會問在用我們技術(shù)的時(shí)候會不會對系統(tǒng)的性能產(chǎn)生影響，在我們的用戶 案例中我們實(shí)時(shí)對用戶3億多行

13、的記錄進(jìn)行了索引的處理，而對于系統(tǒng)因?yàn)槭菍?shí)時(shí)做的，對 系統(tǒng)的性能沒有產(chǎn)生任何的影響，所以在性能方面大家不要有任何的擔(dān)心。最右手是的是 IDM的索引文件，它和剛才的精確數(shù)據(jù)匹配是一樣的道理。這部分IDM索引文件匹配，是用 于非結(jié)構(gòu)化數(shù)據(jù)的，比如說CAD做出來的圖，或者是關(guān)于公司并購的通知。也就是說客戶把 他們認(rèn)為重要的或者是需要保密的信息給我們，我們會針對這樣的信息和數(shù)據(jù)創(chuàng)建一個索引， 創(chuàng)建好索引之后一旦有關(guān)的信息要被發(fā)送到公司之外，我們的索引就能夠進(jìn)行一個匹配來看一看是不是需要保密的信息，這樣的索引匹配可以自己去設(shè)置，是一個完全匹配還是部分匹 配。有了我們的技術(shù)特別是把這些技術(shù)優(yōu)勢放在一起，意

14、味著匹配的準(zhǔn)確性大幅度提高，這 樣可以節(jié)省我們的成本，同時(shí)我們的客戶不需要再像以前那樣用那么多的錢做保密了。這也 是我們的解決方案在市場上的獨(dú)特競爭力之一。執(zhí)行策略來降低風(fēng)險(xiǎn)這張幻燈片談到了我們的客戶用方法部署我們的技術(shù)，并且用我們的技術(shù)加以實(shí)施以 后，得到了什么樣的結(jié)果。我們在多家客戶的實(shí)施中已經(jīng)總結(jié)出了一套非常成功的實(shí)施方法 論，首先，每一家客戶都應(yīng)該先做一個基線情況的判斷，看看自己的基線情況是什么樣的。 首先第一步對突發(fā)事件也就是說對安全政策的違反的情況出現(xiàn)之后，我們要進(jìn)行糾正，要對 有關(guān)員工作出通報(bào)，這樣我們今后才能夠降低風(fēng)險(xiǎn)。剛才我講的是第一步，第二步是要讓系統(tǒng)能夠自動的為你工作，也就是說我們剛才講 的這種違規(guī)的警告它是由系統(tǒng)來生成報(bào)告，而且這些信息當(dāng)由系統(tǒng)自動生成以后，這些是員 工可以看到的，他看到了這些信息以后，今后也會改善自己的行為。最后是把這個系統(tǒng)中的所有的功能也加以實(shí)施，整個系統(tǒng)可以大大降低風(fēng)險(xiǎn)，讓人可 以通過阻截和移除來避免機(jī)密信息的泄漏。在很多客戶實(shí)際的實(shí)施中我們都發(fā)現(xiàn)能夠幫助客 戶大幅度的降低風(fēng)險(xiǎn)，不是說要上年頭才可以降低風(fēng)險(xiǎn)，而是在短短的幾個月之內(nèi)可以馬上 取得成效。我們的解決方案已經(jīng)在世界上最強(qiáng)大的公司中得到了廣泛的驗(yàn)證，比如說世界上規(guī)模 最大的一些銀行、制造企業(yè)、高科技企業(yè)、醫(yī)療產(chǎn)品企業(yè)。最終，正是客戶的成功