目录数据防泄漏保护一般原理1易聆科数据防泄漏方案2信息安全保护什么C机密性(Confidentiality)——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性(Integrity)——确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。可用性(Availability)——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。保护信息资产的机密性、完整性和可用性(C.I.A)让组织的业务运作顺畅、安全IA秘密保密性(Confidentiality)完整性(Integrity)可用性(Availability)一般原理•业务报表•设计资料•客户资料•财务报告•战略报告•审计报告•重要邮件•会议纪要企业秘密•客户信息•知识产权•隐私数据•健康数据•信用卡号•…合规数据数据是企业信息安全的核心目标一般原理4•发现和评估•数据分类•定义有效的策略•实施控制•监控,报告和审计1234512345发现保存在所有位置的敏感数据,对风险进行评估确保安全的数据处理流程正常运转创建策略用于保护数据,并且确保策略的有效性控制机密数据的授权访问和安全传输通过报警和事件管理来确保成功的数据安全防护数据保护最佳实践一般原理5数据来源用户操作执行策略目的地控制存储中使用中传输中拷贝到设备刻录光盘剪切复制拷贝打印上传加密教育监控带出工作地点发布到Web网络传送数据保护需要动态和全面一般原理DLP(数据泄漏保护)DRM(数据权限保护)Encryption(加密)Management(管理)Data企业数据•DRM可以决定数据的访问和使用方式,功能强大•仅限于特定的文档类型•需要与企业应用紧密集成,大量依靠人工参与•部署实施十分复杂并难以持续运维•仅适用于研发等少数小组•技术不能解决所有的问题,仍然需要以下辅助•风险教育•行政管理•物理安全•刑事诉讼•全面评估信息风险,包括网络、端点和存储•全面检测数据库、文件、邮件、文字等泄密通道,及时报警或阻止•统一制定防泄漏策略•遵从监管法案法规•实施和部署简单,无需更改流程,无需人工参与,可在企业范围应用•能够有效的与DRM/加密工具集成使用,使得后者更有效•能够阻止没有权限的人非法获取信息,即使丢失也没关系•依赖手工进行•密钥的管理是个复杂问题•不能解决无意识泄密和主动泄密•仅适用于笔记本或者少量文件服务器主流数据保护方法一般原理67CD/DVDUSB数据挖掘邮件安全Web安全即时信息安全数据库安全Exchange/DominoSharepoint/Web文件服务器安全DLP策略监控预防发现保护EmailFTP安全P2PWeb即时消息打印/传真粘贴/拷贝FTPDLP监控的数据流转途径一般原理DLP的方法它通过内容分析,按照中央策略,识别、监控和保护数据关键特征深度内容分析中央策略管理广泛内容覆盖内容相关是其最大的优势与文件格式和类型无关与网络协议无关支持模糊匹配,关键字匹配支持高精度匹配,误报低支持相似度匹配支持统计分析,关联分析策略可根据敏感数据类型分类,并预置大量分类策略模板DLP的缺点仅具备基本的主动式防泄漏能力,不善于阻止对硬件的要求很高不符合用户最直接的思维习惯隐藏数据可以逃避国内外DLP产品对比一般原理将敏感数据防泄漏产品分为终端防泄漏专控软件、防泄漏网关,通过这两者的配合来完成数据防泄漏功能。解决方案主要是以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露。优点:对使用、存储和移动中的数据,实现全方位数据防泄漏;具有较强的敏感数据检测机制;全面保护来自于不同数据源,不同载体,不同类别的数据。缺点:不能对整个硬盘进行加密;不能解决非授权用户的数据外泄问题;不能解决内部恶意的数据外泄。以文档透明加密和权限管理为核心,对文档(数据)采用双重保护手段。一是文件级的加密权限保护,二是磁盘级的加密保护。优点:实现企业内部敏感数据的统一管理,防止未授权使用、防篡改和防拷贝;可以实现动态透明加解密。缺点:功能单一,无法实现全方位的数据保密;策略制定较为简单。国外:以防止无意泄漏为目标。内容...
