项目背景

某企业对信息安全要求考虑,需要重点保护客户数据、公司信息、知识产权及敏感或机密信息的安全,无论它们是通过电子邮件、web 邮件或其它因特网协议传出网络,还是通过 USB/CD/DVD 传出端点或保存在端点上,或者是保存在共享服务器和数据存储库中,严格管数据,确保数据不被外泄,保护企业的知识产权,寻求专业的数据防泄漏解决方案。

项目需求

伊登通过与该客户多次沟通,确认一期客户具体需求如下:

•  实现防止USB泄密;

•  实现防止Web上传泄密;

•  实现定义指定的文件类型,防止外泄;

•  实现当数据外泄时候,保留副本,警告泄密者,将证据发送给审计管理员;

•  实现防止通讯工具泄密,如MSNQQSkype等;

•  实现防止文件服务器泄密;

•  实现扫描搜索终端关键文档分布;

解决方案

         赛门铁克的数据丢失防护解决方案 Vontu Data Loss Prevention采用的是第二种技术,适合在整个企业部署,以微小的性能代价,实现牢固的机密数据保护。Vontu 检测基于实际的机密内容,而不是文件本身。因此,Vontu 不仅能检测敏感数据的摘录和派生内容,而且能识别文件格式与指纹识别信息不同的敏感数据。例如,如果某个机密 Microsoft Word 文档经过了指纹识别,则当该文档以 PDF 附件通过电子邮件发送时,Vontu 同样能精确检测到这一相同内容。

        如前文所述,为了全面保护客户的信息,还需要全面的多层次化防护技术,特别是终端完整性管理、网络准入控制等的解决方案配合。赛门铁克的网络准入控制产品在这两个领域提供了业界最好的解决方案,因此,赛门铁克数据丢失防护解决方案结合终端保护功能,可以为客户提供最全面的数据保护。

如下为该方案架构拓扑图:

 

该解决方案所含系列产品及功能如下:

Vontu DLP 8 软件套件包含 Vontu Enforce 管理应用和六个产品:

•   Vontu Network Monitor 服务器:扫描从网络 SPAN 端口或分流器接收的数据副本;

•   Vontu Network Prevent for Email 服务器:扫描从 MTA 接收的电子邮件;

•   Vontu Network Prevent for Web 服务器:扫描从 web 代理程序接收的 HTTP/S 和 FTP 流量;

•   Vontu Endpoint Prevent/Discover 服务器:扫描从 Vontu Endpoint Agent 接收的文件副本;

•   Vontu Network Discover/Protect 服务器:扫描从数据存储库读出的文件和数据;

检测过程的明显例外就是当 Vontu Endpoint Agent 可以执行本地检测时并且该策略中只有有基于 DCM 的检测规则推送给它们。在此场景中,Vontu Endpoint Server 不执行检测,而只是将发送给它的事故从 Vontu Endpoint Agent 传递到 Vontu Enforce。本文的“端点 DLP”部分将讨论有关基于代理程序检测的更多内容。

如果识别到敏感数据且生成了事故,Vontu 服务器可以自动执行某些自动响应,如拦截/修改数据发生送或复制/重新定位文件。如果代理正在执行本地检测,则会启用 USB/CD/DVD 拦截的自动响应规则。在任何情况下,当检测到某事故时,相关事故信息都会立即发送给 Vontu Enforce,在这里,事故的详细信息将存储在 Vontu Enforce 数据库中,并可以激活其它自动响应规则(如电子邮件通知)。