数据泄漏保护方案.doc

ABC有限公司
数据泄露保护方案
McAfee公司上海办事处
Tel: 021-61458878
2017年12月8日
文档说明
非常感谢ABC给予McAfee公司机会参与《数据泄漏保护》子项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。
需要指出的是,本文档所涉及到的文字、图表等,仅限于McAfee公司和ABC内部使用,未经McAfee公司书面许可,请勿扩散到第三方。
目录

1 方案概述 4
2 McAfee DLP部署方案 8
部署架构及工作流程 8
McAfee DLP部署流程 11
McAfee DLP策略管理 15
McAfee DLP部署完成后的整合性功能 15
McAfee DLP能够防护的数据泄露行为 16
方案概述
ABC有限公司和大部分金融企业一样,经营和管理过程中会产生大量的数据,如大量的客户数据、经营交易数据、财务数据和其他重要的管理数据,这些重要数据就像是生命中的“血液”一样重要,是企业生存的基础。如果这些数据一旦遭到泄漏,将给公司的信誉和资产造成重大损失。
自2004年以来,数据泄漏事件正以1700%的速度增长,平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有:
1)TJX--攻击者窃取了 4570 万个信用卡和借记卡数据,造成的后果是企业形象受损和法律诉讼;
2)CardSystems公司--网络罪犯攻击了 4 千万个 Visa/ MC/Amex 用户;后果是CardSyestems 现在已宣告破产;
3)ChoicePoint公司--诈骗公司使用购买 ChoicePoint 产品的消费者记录; 后果是2600万美元的罚款以及股票市值缩水8 亿多美元;
4)Wells Fargo--泄露了 3300 万个客户的帐户;后果是为了符合州数据泄露法案的要求,仅邮寄的成本就高达 1900 万美元。
数据泄露造成的根源来自外部黑客攻击和内部数据泄漏,据FBI的统计,70%的数据泄漏是由于内部人员造成的,而这些内部人员大都是有权限访问这些数据,然后窃取滥用这些数据。
无论是黑客攻击、还是内部故意泄露,数据泄漏有以下三个途径造成:
1)物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到USB,CD/DVD和移动硬盘等移动存储介质上;通过打印机打印带出公司或者通过传真机发送。
1)网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发送数据,这种方式可以是黑客攻击“穿透”计算机后造成,也可能是内部员工从计算机上发送。
2)应用途径——通过电子邮件、IM即时信息、屏幕拷贝,P2P应用或者“特洛伊木马”窃取信息。
图一、数据泄漏的三种途径
McAfee® Data Loss Prevention(以下简称DLP) 解决方案可以有效保护企业的重要机密数据,免于数据泄漏的风险。DLP通过监控机密信息和防止未经授权的传输保护数据免于泄漏,来支持员工共遵守企业数据保护法规和企业安全策略。McAfee DLP Host具有内容感知功能,当数据在网络、物理设备和应用程序等易导致数据丢失的渠道中传输时,根据预先定义的策略,提供全面的保护。
McAfee® Data Loss Prevention (DLP) 数据泄漏防护解决方案通过基于主机和基于网关的两层保护提供了全面的防护:
基于主机的保护(产品名称:McAfee Data Loss Prevention Host)——保护公司和移动中(在家里和在路上)的终端、服务器上的数据;
基于网关的保护(McAfee DLP Gateway)——辅助的保护,预防数据通过外来机器、非 Windows 系统和其他无代理程序的设备泄露出去。
McAfee DLP从物理、网络和应用三个途径进行全面的绝对防护:
防范数据通过以下渠道丢失:电子邮件、IM、FTP、HTTP、HTTPS、gmail、hotmail、USB、CD、DVD、iPod、打印、复制/粘贴、屏幕抓取、P2P 等
保护 390 多种数据文件
即使数据被修改、复制、粘贴、压缩或加密,标记功能仍能使防护发挥作用
高度准确性:
--独特的指纹算法
--强大的正则表达式引擎
--基于位置和基于环境的分类方法
DLP对企业范围数据提供实时和离线的完整监控,保护数据和发现策略违规:
及时收集详细的证据和报告
--发信人、收信人、时间戳、组、内容等
轻松实现全球、组和个人级别的控制
--监控(允许)
--预防(拦截)
--隔离(等待安全小组的授权)
--加密(在数据传输之前进行加密)
--警告(通知管理员和