DLP数据泄露防护系统
需求分析
为更好的实现企业信息安全防护,满足业务发展和监管合规要求,大多数客户经过多年的系统信息安全建设,防护能力已经基本覆盖了网络、终端、数据和应用安全,但是对于数据安全仍然采取的针对威胁本身的措施,缺乏内容识别相关的措施来配合防护,当前数据内容防护面临着识别难、定位难、防护难的问题,主要现状体现如下:
Ø 敏感数据识别难
1)业务系统数量多,数据关系复杂,难以进行梳理
2)当前无论是人工还是机器,都无法给出具体的敏感内容判断标准
3)无法判断出哪些数据是重要的
4)大量的结构化、半结构化、非结构化数据难于辨识
5)缺乏对数据内容的分类和敏感级别分级
6)保护措施无法和敏感重要级别挂钩,保护效能和效率较低
Ø 敏感数据定位难
1)对于重要敏感的数据存放位置无从知晓,保护难以下手
2)数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中
3)无法明确某类敏感数据在公司的整体分布情况
4)缺乏对不同数据在不同位置的风险评估视图
Ø 重要数据防护难
1)现有的以加密为主的防护容易造成过度加密,影响业务展开
2)以DRM方式为主的手动加密方式用户主动性差,容易防护失效
3)从网络、系统、终端多个维度都在管理,防护难以实现紧耦合
4)重要敏感的少部分核心数据缺乏整个流通通路的监控审计
产品概述
DLP 是一款内容识别安全技术,可解决敏感企业信息的三大关键问题:
1、敏感企业信息存储在何处?
2、敏感企业信息使用情况如何?
3、如何保护敏感企业信息,以防丢失和被窃?
无论处于下列哪种状况,SIP DLP 5 均可让组织保护客户数据、公司信息、知识财产及敏感或机密信息:通过电子邮件、Web 邮件或其他 Internet 协议离开网络 (网络 DLP);通过 USB/CD/DVD 离开终端或存储在终端 (终端 DLP);存储在共享服务器及数据存储库中 (存储设备 DLP)。
针对企业数据安全存在的薄弱环节,可从如下几个个层面构建一体化防护建设:
Ø 防泄密管控体系建设
1)建立健全组织商密数据防泄密管理体系
2)依据数据分级分类安全防护的思路进行建设
3)体系规划整体要从组织、管理、技术、运维四个层面展开管理体系建设
4)体系建设商密数据防泄密的管理制度、操作指导、流程表单等内容
5))防泄密系统平台的建设作为管理体系的落地保障
Ø 内容智能识别与监控
1)文件指纹对比需求
2)对文件在外设使用的监控需求
3)对文件终端离线监控需求
4)图片识别技术需求
5)文件标签标记需求
6)支持与同品牌的网关型数据防泄露系统联动防护
Ø 数据自动分类分级
1)明确细分敏感数据类别和级别,为数据保护做基础
2)定义不同级别数据的访问及使用规则和防护体系
3)能提供相关的保护措施支持数据分级的控制,确保达成安全
4)敏感关键信息的内容识别和判断规则支持机器自动学习和提取
5)建立起一套包括组织、人员和流程在内的数据泄漏事件响应机制
Ø 网络数据防护
1)实现通过网络边界的流量中敏感内容的发现和提醒
2)强化网络边界的深度内容安全检测
3)防止通过电子邮件、QQ、web上传、打印、刻录、文件改名
4)防止合法的用户私自拷贝数据等行为外泄
Ø 终端数据防护
1)对内部人员的无意泄漏进行警示及提醒
2)对恶意终端的恶意盗取及泄密行为进行主动发现、定位,识别
3)存储在用户终端的非结构化数据要能实现集中管控
4)终端用户对敏感数据的操作留有记录以便行为审计
5))确保终端敏感文件通过IM、邮件、网络等传送时阻断提醒和记录
实现效果
通过部署DLP系统基于数据安全治理的分级防护解决方案,实现智能主动防护的最终目的,实现敏感数据看得见、泄密风险看得见、数据泄漏防得住的整体效果。
Ø 敏感数据看得见
1)通过自然语言处理和机器检索识别敏感内容
2)根据内容特征判断准确快速识别敏感信息
3)可覆盖结构化、半结构化、非结构化数据的识别
4)保护控制手段和敏感重要级别挂钩
Ø 泄密风险看得见
1)了解数据存放位置,
2)数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中
3)无法明确某类敏感数据在公司的整体分布情况
4)缺乏对不同数据在不同位置的风险评估视图
Ø 数据泄漏防得住
1)敏感数据被定为和标记,提供多种视图方式检索查看
2)可以实现多用协议和应用下的数据泄漏阻断、告警和记录
3)针对重要数据设置多种防护策略,可对敏感文档加密控制
4)实现数据从系统、终端、网络、外设等流转通路的实施监控