深信服科技 数据防泄漏DLP解决方案

深信服科技 数据防泄漏DLP解决方案

2011-05-13 15:44:50

标签：深信服 SSLVPN 防泄密 NAC 重庆新威信

组织面临的信息安全挑战：

随着业务转向数据化，如何保证重要的数据和信息不被泄露已经成了企业最关键的安全保卫工作之一，而相关的行业法律法规，也越来越重视要求对相关企业实现防止数据泄密。国外比较著名的比如塞班斯法案（Sarbanes-Oxley）、健康保险携带与责任法案（HIPAA）、金融机构保护客户信息法案（GLBA）和支付卡行业数据安全标准（PCI-DSS），而在国内，多达18部法律法规全面规范信息安全，比如政府，证劵，金融相关行业的法规以及消费者权益保护法等等，也有相关规定明确必须保护行业或者涉及到消费者的关键信息。对于现在的网络信息传播能力来说，一旦有相关敏感信息泄露出去，将会在极端时间内传播开，带来的影响无可逆转。

另一方面，对重要数据的非法获取也变得非常具有针对性。如果说以前的黑客还是为了证明自己的技术来进行相关攻击行为的话，现在的入侵更多具备了非常明确的目的——为了经济利益或者达成其他影响，而越来越便利的网络通讯平台和越来越高明的数据获取技术，也让数据保护工作更具有挑战性，入侵一旦发生，都发生在悄无声息之中，发现时也为之晚矣。

常见的网络行为中存在比较常见的安全漏洞部分有如下：

难以优化的系统本身的安全功能缺失：

Ø 重要的企业资料、文件、程序可被随意留存在本地电脑的硬盘存储中，容易私自传播造成泄密；

Ø 由于软件系统本身的安全防范能力不足，而被破解用户名密码或者越权访问；

Ø 本地局域网中因为明文传输而很容易被非法进行信息复制泄露；

难以管理的个人行为：

Ø 通过USB便携存储设备私自拷贝，或利用打印机打印资料带走；

Ø 私自把资料和信息传给公司内部其他不相干的人；

Ø 私自通过其他的网络链路泄密，如私自使用3G网卡；

Ø 通过互联网泄密，比如利用网络邮箱、网络存储、通讯工具传输机密数据等；

Ø 在互联网言论上无意识泄密，包括不经意间在论坛或者个人的博客等公开区域透露公司机密；

难以防范的恶意攻击行为：

Ø 终端中了恶意的病毒或者木马，相关信息被窃取；

Ø 外部攻击行为；

要解决这些问题需要投入大量的研究和调研细节，使用文档加密办法来解决的过程中也颇为痛苦比如需要更改业务人员的系统使用习惯，推行防泄密意识困难重重。

 

深信服数据防泄密解决方案简介：

对于依照传统思维而选择的解决方案来说，存在了一些困扰难以解决：

1、  传统信息防泄密方案更多关注点在于企业内部文件的加密管理，而对于信息来说，存在管理的盲点。比如内部员工看了相关的文件资料之后，通过个人言论无意泄露出去，传统的信息防泄密方案是难以针对这种网络通讯做有效管理的；

2、  传统信息防泄密方案不重视对应用系统的保护，无法有效实现系统中存在或者产生的信息和相关文件进行保护；

3、  传统信息防泄密方案实施需要花费大量的精力，如必须进行前期的企业使用情况调研、初步实施、试点、最后再全部实施；

4、  传统信息防泄密方案会更改企业内部员工的文件使用习惯，从而带来业务效率降低，在推行时也会遇到相当的阻力；

更具效率的防泄密方案可以使用管理和安全的网络设备实现对企业数据和信息的高强度保护，以下采用VPN和网络管理产品都有很高市场占有率的深信服科技设备部署模式作为参考：

 

部署设备说明：

1、  部署SSLVPN设备在服务器群组，利用SSL VPN的认证技术、加密技术、授权访问控制、沙盒技术以及访问记录能力对资源实现高安全性保护；

2、  在互联网出口处部署上网行为管理 AC，利用AC的互联网行为管理能力，网络行为记录能力，实现对通过互联网泄密行为的严格管理，同时对来自外网的黑客攻击行为进行防范，实现危险流量的识别和过滤；

3、  单臂模式使用网络准入控制NAC，包括监控内网中PC终端的安全信息、网络接口行为、外设接口行为等，对终端防泄密进行管理控制；

整体方案主要优点在于能比较全面地解决数据防泄密问题，同时非常容易实施和部署，实施该工程的时候不需要在内网大力推行应用方面的改革，意味着可以在实现防泄密效果的同时不必面临着众多的内部教育、培训、沟通、细节问题处理等繁琐工作量。把困难的问题简单化解决，才是最具效率的工作思路。

 

深信服数据防泄密解决方案的效果：

    首先是弥补了系统重要数据的安全性：

1、保证了企业重要资料不被私自留存和传播：让承载重要资料的系统只能留存于服务器，不被拷贝带走。

2、重要数据在内网中也是使用加密形式传输。

其次管理组织中个人可能的泄密行为：

1、通过终端检测技术，管理防止终端发生泄密行为：

2、通过网络通讯内容的深度检测，阻止企业重要信息通过互联网泄露：

可以使用内部数据挖掘报表加强安全隐患的分析、管理：

1、    VPN以及NAC中数据中心丰富数据挖掘能力，能智能形成多达一千种以上报表，帮助进行网络通讯管理分析，提前规避法律法规风险，提前防范相关泄密问题。

2、    检测终端的安全信息，包括杀毒软件、系统补丁、非法的进程、注册表键值等，同时还可以主动阻断终端发出的危险链接流量，保证企业重要信息不因不稳定的内网终端而被泄露。