數(shù)據(jù)防泄密整體解決方案

1、數(shù)據(jù)防泄密整體解決方案 2 0 2 0 2 2019/12/9 2 議題 ?數(shù)據(jù)安全風(fēng)險(xiǎn)分析 ?McAfee 全面數(shù)據(jù)防泄密方案 ?主機(jī)數(shù)據(jù)防泄密 ?網(wǎng)絡(luò)數(shù)據(jù)防泄密 ?成功案例分享 ?Q & A 5 常見的數(shù)據(jù)安全風(fēng)險(xiǎn)包括 筆記本電腦或者移動(dòng)設(shè)備的丟失與被盜 1 將數(shù)據(jù)非授權(quán)的拷貝到USB等外設(shè)設(shè)備上 2 不能準(zhǔn)確地定位和保護(hù)敏感數(shù)據(jù) 3 內(nèi)部員工盜竊公司機(jī)密 4 員工缺乏保護(hù)意識(shí)導(dǎo)致上網(wǎng)、郵件等方式散布數(shù)據(jù) 6 木馬程序、鍵盤監(jiān)視、惡意軟件 5 非授權(quán)用戶訪問到敏感數(shù)據(jù)文件 7 6 數(shù)據(jù)安全風(fēng)險(xiǎn)分析與小結(jié) ?按數(shù)據(jù)丟失的途徑分類 ?內(nèi)部泄漏：內(nèi)部員工通過各種行為，如網(wǎng)頁(yè)瀏覽、郵件、USB、網(wǎng)

2、絡(luò)共享、打印等方式散布數(shù)據(jù)；非授權(quán)用戶訪問敏感數(shù)據(jù)；敏感數(shù)據(jù)存儲(chǔ)位置非法等； ?外部盜竊：筆記本電腦、U盤以外丟失，商業(yè)間諜盜竊筆記本電腦、移動(dòng)硬盤、PDA等 ?非可控環(huán)境下的數(shù)據(jù)丟失 ?重要數(shù)據(jù)傳遞給合作伙伴后被非法傳播：?jiǎn)T工在私人電腦上通過外部遠(yuǎn)程連接訪問企業(yè)內(nèi)部獲取數(shù)據(jù)后非法傳播 ?按數(shù)據(jù)的生命周期分類 ?數(shù)據(jù)存儲(chǔ)：應(yīng)用程序生成的數(shù)據(jù)存放在不安全的位置下 ?數(shù)據(jù)使用：非法應(yīng)用使用敏感數(shù)據(jù)導(dǎo)致數(shù)據(jù)散播 ?數(shù)據(jù)傳播：通過郵件、USB、CD等數(shù)據(jù)存儲(chǔ)設(shè)備傳播過程中媒介丟失導(dǎo)致數(shù)據(jù)丟失 Anti-spyware Authentication Anti-virus Threat Detection

3、 Change/Patch Management Clients Servers LAN Firewall Anti-virus Web Filtering VPN 7 December 9, 2019 7 McAfee數(shù)據(jù)保護(hù)平臺(tái) 存儲(chǔ) 傳播 使用 監(jiān)控,通告與阻止 執(zhí)行,審計(jì)與響應(yīng) 識(shí)別,分類與保護(hù) 事件和case管理 工作流和報(bào)告 Network DLP Manager McAfee ePO 全面的終端管理與部署 Network DLP Discover Endpoint Encryption Encrypted Media Network DLP Monitor Network DLP

4、 Prevent DLP Host DLP Host Device Control Encrypted Media 8 December 9, 2019 8 McAfee數(shù)據(jù)保護(hù)平臺(tái) 存儲(chǔ) 傳播 使用 監(jiān)控,通告與阻止 執(zhí)行,審計(jì)與響應(yīng) 識(shí)別,分類與保護(hù) 事件和case管理 工作流和報(bào)告 Network DLP Manager McAfee ePO 全面的終端管理與部署 Network DLP Discover Endpoint Encryption Encrypted Media Network DLP Monitor Network DLP Prevent DLP Host DLP Hos

5、t Device Control Encrypted Media 9 數(shù)據(jù)丟失保護(hù) 設(shè)備控制 加密U盤 終端加密 McAfee 終端加密 加密全磁盤，手機(jī)設(shè)備，文件和文件夾，強(qiáng)身份認(rèn)證 McAfee 數(shù)據(jù)丟失保護(hù) 全面控制和透晰用戶操作機(jī)密數(shù)據(jù)的行為 McAfee 加密U盤 集中管理的安全U盤 McAfee 設(shè)備控制 防止移動(dòng)存儲(chǔ)設(shè)備的濫用 端口濫用 McAfee 主機(jī)數(shù)據(jù)保護(hù)解決方案 McAfee Total Protection? for Data Integrated technologies for a total data protection solution. 10 McAfee

6、 終端加密（Endpoint Encryption） 客戶需求 ?在筆記本和手機(jī)設(shè)備上進(jìn)行全磁盤加密或文件夾加密 ?即使設(shè)備丟失敏感數(shù)據(jù)也不會(huì)曝光 ?加密數(shù)據(jù)丟失無(wú)丑聞和公開披露 McAfee 方案 ?對(duì)筆記本和移動(dòng)設(shè)備的廣泛支持 ?全面的審計(jì)記錄滿足合規(guī)性和審計(jì)需求 ?支持多種強(qiáng)身份認(rèn)證方法 ?證書: FIPS 140-2, Common Criteria Level 4 (軟件產(chǎn)品最高級(jí)別), BITS, CSIA, 等. Data Loss Prevention Device Control Encrypted USB 終端加密 11 December 9, 2019 11 McAfee

7、端點(diǎn)加密 McAfee 解決方案: 設(shè)備加密 ?廣泛支持筆記本電腦，臺(tái)式機(jī)，移動(dòng)設(shè)備 ?支持多種強(qiáng)認(rèn)證方式 ?通過最高等級(jí)的軟件產(chǎn)品安全認(rèn)證Common Criteria Level 4，以及其它相關(guān)認(rèn)證. ?可以方便地通過中央管理臺(tái)進(jìn)行管理、部署、升級(jí)、審計(jì)、撤銷、恢復(fù)等 ?非入侵式、系統(tǒng)變化小 其它類似軟件的客戶端代理程序大約需要超過30MB，McAfee僅僅需要3MB 最小化用戶干預(yù) 在客戶端設(shè)備處沒有管理負(fù)擔(dān) McAfee集成解決方案 ?統(tǒng)一集成在在ePO框架下，實(shí)現(xiàn)快速部署 ?采用最小的工作量獲取最大程度的安全收益與品牌提升 12 McAfee端點(diǎn)加密 文件和文件夾加密（ Encry

8、ption for Files and Folders） ?相比較全硬盤加密，內(nèi)容加密能夠定義更加精細(xì)的策略，可以有選擇的加密某些敏感數(shù)據(jù) ?自動(dòng)的加密與解密過程不會(huì)降低操作系統(tǒng)的性能，對(duì)于用戶來(lái)說(shuō)是完全透明的過程 ?保護(hù)桌面機(jī)，筆記本，服務(wù)器的文件和文件夾 ?提高工作效率，防止因加密帶來(lái)的終端性能下降 13 McAfee 數(shù)據(jù)丟失防護(hù)（Data Loss Prevention） 客戶需求 ?防止用戶有意無(wú)意泄漏數(shù)據(jù) ?全面透晰和控制用戶使用和移動(dòng)敏感數(shù)據(jù)的行為 ?保護(hù)數(shù)據(jù)本身 McAfee 方案 ?防止用戶在日常工作中意外泄漏機(jī)密 ?檢測(cè)到泄密意圖并快速采取措施：?詳細(xì)的日志記錄和證據(jù) ?實(shí)

9、時(shí)防護(hù)和阻止 ?用戶和管理員提示功能 ?機(jī)密信息隔離 Copy & Paste 監(jiān)督使用方式 U盤拷貝 屏幕拷貝 Printer 數(shù)據(jù)丟失 防護(hù) Device Control Encrypted USB Endpoint Encryption 14 2019年12月9日星期一 14 數(shù)據(jù)流轉(zhuǎn)過程 從文件服務(wù)器拷貝 應(yīng)用程序創(chuàng)建 用戶創(chuàng)建 數(shù)據(jù)分類規(guī)則 (Enforce Tagging Rules) 泄密防護(hù) (Enforce Reaction Rules) Emails Web上傳 打印 移動(dòng)介質(zhì) DLP agent跟蹤信息流向: ?文件改名 ?修改文件格式 ?內(nèi)容拷貝 ?文件打包歸檔 ?加密

10、文檔 終端機(jī)器 內(nèi)容跟蹤 (Maintain Tags) （共10種途徑） 指紋提取 15 December 9, 2019 15 McAfee 主機(jī)數(shù)據(jù)防泄密（HDLP） McAfee 解決方案 ?基于內(nèi)容及上下文的先進(jìn)防護(hù)方法: ?預(yù)定義的內(nèi)容分級(jí) ?應(yīng)用程序分級(jí) ?基于位置的分級(jí) ?手工用戶分級(jí) ?中央定義的存儲(chǔ)數(shù)據(jù)發(fā)現(xiàn)規(guī)則 ?保護(hù)范圍涵蓋多種協(xié)議，適用于在線與離線 ?通過響應(yīng)規(guī)則改變用戶行為 ?當(dāng)發(fā)現(xiàn)存儲(chǔ)中的關(guān)鍵數(shù)據(jù)時(shí)，以及發(fā)現(xiàn)這些數(shù)據(jù)要拷貝到移動(dòng)存儲(chǔ)介質(zhì)時(shí)，可以應(yīng)用加密策略 ?通過ePO實(shí)現(xiàn)中央的審計(jì)、報(bào)告、工作流管理 16 McAfee 數(shù)據(jù)丟失防護(hù)（Data Loss Preve

11、ntion） 按位置 按內(nèi)容 按指紋 按文件類型 機(jī)密數(shù)據(jù)分類方法 監(jiān)督敏感數(shù)據(jù)傳輸 基于內(nèi)容的響應(yīng)規(guī)則 防止機(jī)密信息離開公司 隔離機(jī)密信息 提醒用戶和管理員 強(qiáng)制加密 17 McAfee 設(shè)備控制（Device Control） 客戶需求 ?監(jiān)控并只允許特定的設(shè)備連接到公司的終端 ?限制使用未授權(quán)設(shè)備 ?控制數(shù)據(jù)拷貝 McAfee 方案 ?精準(zhǔn)控制數(shù)據(jù)和設(shè)備： ?只允許使用公司指定的設(shè)備 ?控制數(shù)據(jù)拷貝 ?策略可以基于用戶，組和部門來(lái)實(shí)施 ?生成信息的使用和設(shè)備日志以滿足審計(jì)及合規(guī)性要求 ? FireWire Data Loss Prevention 設(shè)備控制 Encrypted USB E

12、ndpoint Encryption 18 McAfee 設(shè)備控制（Device Control） ?完整的內(nèi)容識(shí)別和設(shè)備攔截功能 ?規(guī)范用戶拷貝數(shù)據(jù) ?安全使用U盤 ?確保全面監(jiān)控外接設(shè)備 Serial/Parallel CD/DVD FireWire USB Bluetooth WI/IRDA Other ePO Management Console Policies Device and Data Events 19 McAfee加密USB 客戶需要 ?對(duì)于某些特殊用戶保證外部存儲(chǔ)設(shè)備的安全 ?能夠保證被拷貝走的敏感數(shù)據(jù)仍然被保護(hù) ?易于實(shí)施 McAfee提供 ?一整套可攜帶的安全存儲(chǔ)設(shè)

13、備 ?強(qiáng)大的訪問控制功能加上加密保證安全 ?保護(hù)敏感數(shù)據(jù)傳播過程的安全 ?集中管理易于實(shí)施 Data Loss Prevention Device Control Encrypted USB Endpoint Encryption 20 McAfee加密USB ?公司范圍內(nèi)易于實(shí)施 ?使用單一的監(jiān)控界面能夠跟蹤設(shè)備的使用狀況 ?支持多種硬件加密算法 (AES 256-bit, FIPS 140-2 validated) ?支持密碼重置，自恢復(fù)，數(shù)據(jù)恢復(fù) ?易于攜帶，即插即用 ?集成的審計(jì)功能實(shí)現(xiàn)遵從性 ?與現(xiàn)有的各種身份識(shí)別系統(tǒng)實(shí)現(xiàn)了完全的集成與同步 21 21 12/9/2019 終端防泄密

14、優(yōu)勢(shì)集中管理 ePO Agent 安全合規(guī)審計(jì) 防病毒 主機(jī)防火墻 主機(jī)入侵防御 數(shù)據(jù)防泄密 全盤加密 防間諜軟件 ePO中央管理服務(wù)器 文件加密 主機(jī)準(zhǔn)入控制 變更控制 22 2019年12月9日星期一 22 防泄密網(wǎng)關(guān) 公司內(nèi)網(wǎng) 網(wǎng)絡(luò)邊界 MTA or Proxy SPAN Port or Tap 離線設(shè)備 ?Network DLP Monitor ?Network DLP Prevent ?Network DLP Discover ?Host DLP ?Device Control ?Endpoint Encryption ?Host DLP ?Device Control ?Endpo

15、int Encryption ?Encrypted Media Central Management ?ePolicy Orchestrator (ePO) ?Network DLP Manager 23 December 9, 2019 23 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)設(shè)備 Confidential McAfee Internal Use Only 23 PREVENT 防范通過郵件和Web途徑的數(shù)據(jù)泄漏 MANAGER 中央管理，分權(quán)管理，事件管理 DISCOVER 識(shí)別在數(shù)據(jù)庫(kù)和存儲(chǔ)中的敏感信息 MONITOR 當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)進(jìn)行監(jiān)控和索引 24 December 9, 2019 24 McAf

16、ee DLP整體解決方案構(gòu)架圖 Confidential McAfee Internal Use Only McAfee ePO McAfee DLP Manager Switch Databases or Repositories 使用中 McAfee NDLP Prevent McAfee Firewall McAfee IPS McAfee HDLP ICAP integrated McAfee NDLP Prevent McAfee NDLP Monitor 移動(dòng)中 移動(dòng)中 McAfee Web Gateway SMTP integrated McAfee Email Gateway

17、McAfee HDLP McAfee NDLP Discover 存儲(chǔ)中 25 自動(dòng)發(fā)現(xiàn)機(jī)密信息 研發(fā)部門 FTP Servers, Extranet 銷售部門 外包部門 1 掃描已知機(jī)密文檔生成指紋 Windows, UNIX, Linux, Mac, Novell (CIFS, NFS)等文件服務(wù)器，F(xiàn)TP 3 將指紋分發(fā)給Monitor設(shè)備 2 發(fā)現(xiàn)存儲(chǔ)中的機(jī)密文檔 26 監(jiān)控網(wǎng)絡(luò)出口 2 探測(cè)網(wǎng)絡(luò)流量的異常 Monitor 研發(fā)部門 FTP Servers, Extranet 銷售部門 外包部門 Mail Transfer Agent (MTA) 1 監(jiān)控所有用戶的行為 4 優(yōu)化規(guī)則消

18、除誤報(bào) False-Positive 3 瀏覽風(fēng)險(xiǎn)報(bào)告 27 Title of presentation 阻止 Monitor 研發(fā)部門 FTP Servers, Extranet 銷售部門 1 找出所有相關(guān)部門正在外泄的數(shù)據(jù) 2 對(duì)應(yīng)數(shù)據(jù)保護(hù)的策略 3 阻斷，隔離同時(shí)通過郵件通知發(fā)送者 外包部門 ! 5 生成Syslog,發(fā)郵件給管理員，發(fā)送者 4 對(duì)于通過Webmail, HTTP發(fā)布的方式也進(jìn)行阻斷 Action ICAP Mail Transfer Agent (MTA) SMTP Proxy Prevent ! 28 December 9, 2019 28 如何發(fā)現(xiàn)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)？

19、 28 Confidential McAfee Internal Use Only 29 December 9, 2019 29 傳統(tǒng)的數(shù)據(jù)泄漏保護(hù)解決方案會(huì)丟失重要數(shù)據(jù) 29 Bit Bucket Violations 數(shù)據(jù)知識(shí) Data 捕獲 策略創(chuàng)建快速準(zhǔn)確 調(diào)查分析迅速深入 McAfee 數(shù)據(jù)泄漏防護(hù)解決方案很好地利用了數(shù)據(jù) 30 透析信息流 誰(shuí)在什么時(shí)間發(fā)送什么數(shù)據(jù)給誰(shuí)？ CNN SSN HIPAA 我所知道的 創(chuàng)建 規(guī)則 其它知識(shí)產(chǎn)權(quán)信息 ? 銷售報(bào)表 ? 產(chǎn)品計(jì)劃 ? 設(shè)計(jì)文檔 ? ? 我不知道的 創(chuàng)建 規(guī)則 Google的價(jià)值: ?對(duì)Internet內(nèi)容進(jìn)行索引 ?當(dāng)你查詢時(shí)，

20、它告訴你需要的內(nèi)最相關(guān)的容在何處 McAfee的價(jià)值: 1.對(duì)企業(yè)內(nèi)部以及從企業(yè)內(nèi)部傳輸出去的所有的數(shù)據(jù)進(jìn)行索引和分類 2.對(duì)捕獲數(shù)據(jù)進(jìn)行索引: 提高規(guī)則的準(zhǔn)確度, 執(zhí)行調(diào)查分析, 定義數(shù)據(jù)的訪問控制策略 學(xué)習(xí)功能： ?許多數(shù)據(jù)防泄露產(chǎn)品需要用戶明確知道需要保護(hù)什么樣的數(shù)據(jù) ?但是：如何保護(hù)那些你也不知道的數(shù)據(jù)？比如 產(chǎn)品計(jì)劃或營(yíng)銷計(jì)劃 知識(shí)產(chǎn)權(quán) 客戶信息 財(cái)務(wù)記錄 設(shè)計(jì)文檔 ?McAfee的“學(xué)習(xí)” 功能是實(shí)現(xiàn)自適應(yīng)防護(hù)的關(guān)鍵之處 Google的價(jià)值在于對(duì)Internet上的數(shù)據(jù)進(jìn)行索引 NDLP具有類似于Google的學(xué)習(xí)功能，用于對(duì)傳輸中以及存儲(chǔ)中的數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和保護(hù) “學(xué)習(xí)” 功能從大

21、量數(shù)據(jù)中提取關(guān)鍵內(nèi)容，用于強(qiáng)化數(shù)據(jù)保護(hù)功能 31 透析信息流 誰(shuí)在什么時(shí)間發(fā)送什么數(shù)據(jù)給誰(shuí)？ 搜索關(guān)心的關(guān)鍵字 誰(shuí)發(fā)送到什么地方去了？ 這些信息在網(wǎng)絡(luò)中存儲(chǔ)在什么地方？ McAfee解決方案 ?監(jiān)控所有的網(wǎng)絡(luò)流量，并且對(duì)其進(jìn)行索引。可以同時(shí)應(yīng)用預(yù)定義的規(guī)則 ?允許每一個(gè)業(yè)務(wù)部門應(yīng)用自己的工作流和事件響應(yīng)機(jī)制 ?可以采用歷史數(shù)據(jù)快速地對(duì)新策略進(jìn)行調(diào)優(yōu) ?可以采用經(jīng)索引的歷史數(shù)據(jù)進(jìn)行鑒證分析 ?可以對(duì)于文檔管理系統(tǒng)設(shè)置一個(gè)發(fā)現(xiàn)式掃描，對(duì)其中存儲(chǔ)的敏感文檔進(jìn)行指紋分析，以便于進(jìn)行自動(dòng)策略應(yīng)用。例如，如果要通過郵件發(fā)送其中的一個(gè)敏感文件，那么就在發(fā)送之前自動(dòng)加密。防止那些高機(jī)密度的文檔傳輸出去 ?利用

22、“捕獲”和“索引”的技術(shù)，可以在數(shù)周之內(nèi)達(dá)到數(shù)據(jù)安全保護(hù)策略的高適用性。 32 豐富靈活的防護(hù)策略設(shè)定 33 豐富靈活的防護(hù)策略設(shè)定 34 December 9, 2019 34 McAfee 數(shù)據(jù)保護(hù)的最佳實(shí)踐 ?發(fā)現(xiàn)和評(píng)估 ?數(shù)據(jù)分類 ?定義有效的策略 ?實(shí)施控制 ?監(jiān)控, 報(bào)告和審計(jì) 1 2 3 4 5 1 2 3 4 5 發(fā)現(xiàn)保存在所有位置的敏感數(shù)據(jù)，對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估 確保安全的數(shù)據(jù)處理流程正常運(yùn)轉(zhuǎn) 創(chuàng)建策略用于保護(hù)數(shù)據(jù)，并且確保策略的有效性 控制機(jī)密數(shù)據(jù)的授權(quán)訪問和安全傳輸 通過報(bào)警和事件管理來(lái)確保成功的數(shù)據(jù)安全防護(hù) 35 December 9, 2019 35 移動(dòng)中的數(shù)據(jù)風(fēng)險(xiǎn)摘要

23、CUSTOMER NAME OR LOGO 36 December 9, 2019 36 移動(dòng)中的數(shù)據(jù)風(fēng)險(xiǎn) 違規(guī)和內(nèi)容類別 CUSTOMER NAME OR LOGO 37 McAfee NDLP產(chǎn)品特點(diǎn)總結(jié) ?數(shù)據(jù)捕獲和實(shí)時(shí)索引 ?不需要用戶明確知道什么數(shù)據(jù)需要保護(hù)，即可對(duì)所有相關(guān)數(shù)據(jù)實(shí)現(xiàn)捕獲和索引，以便于后續(xù)的檢查。本特點(diǎn)對(duì)于防范未知數(shù)據(jù)安全威脅尤為重要； ?友商同類產(chǎn)品往往需要實(shí)現(xiàn)定義需要監(jiān)控哪些數(shù)據(jù)，在出現(xiàn)漏報(bào)的時(shí)候，無(wú)法對(duì)過往數(shù)據(jù)進(jìn)行追溯 ?能夠針對(duì)離線的歷史數(shù)據(jù)創(chuàng)建強(qiáng)大的索引，針對(duì)離線數(shù)據(jù)進(jìn)行規(guī)則優(yōu)化，從而縮短實(shí)施周期、節(jié)約了實(shí)施和維護(hù)成本 ?友商同類產(chǎn)品需要管理員定義或設(shè)置大量的

24、規(guī)則，根據(jù)這些規(guī)則進(jìn)行分析和優(yōu)化，往往耗費(fèi)大量時(shí)間 ?在策略變更、或者需要監(jiān)控新的重要數(shù)據(jù)、員工離職審計(jì)的時(shí)候，可以隨時(shí)對(duì)歷史數(shù)據(jù)進(jìn)行回溯，不會(huì)遺漏歷史違規(guī)行為 38 McAfee NDLP產(chǎn)品特點(diǎn)總結(jié) ?即插即用的設(shè)備 ?設(shè)備安裝不需要依賴于第三方的軟件，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)等 ?為了實(shí)現(xiàn)Discover功能，我們具備兩種方式的部署方式，agent-base（HDLP）和agent-less（NDLP）兩種方式，后者完全不需要agent，避免了對(duì)目標(biāo)系統(tǒng)尤其是生產(chǎn)系統(tǒng)產(chǎn)生影響） ?不需要特殊動(dòng)作即可以對(duì)沒有運(yùn)行在標(biāo)準(zhǔn)端口和協(xié)議上的數(shù)據(jù)進(jìn)行識(shí)別McAfee NDLP在默認(rèn)情況下即可以對(duì)所有運(yùn)行在TCP協(xié)議上的數(shù)據(jù)進(jìn)行識(shí)別和捕獲，不需要任何額外的操作和資源浪費(fèi)。 ?我們不僅對(duì)文本類型的文件檢測(cè)提供強(qiáng)大支持，而且對(duì)于二進(jìn)