数据分级及防数据泄漏规划与实现
2018-12-23欧阳菲菲镇江市高等专科学校电气与电竞学院
欧阳菲菲 镇江市高等专科学校电气与电竞学院
1 引言
随着信息化建设的不断深入,保障各种敏感业务数据在生成、传输、存储以及销毁的整个生命周期中防止泄露,已成为企业信息化建设中的迫切需求。哪些数据要进行防护,如何防护,应该选用何种技术、平台以满足公司发展需要?本文基于数据分级及防泄漏技术的特点和实现原理,提出了规划方案及关键技术实现。
2 F公司的现状
F公司哈尔滨分公司为一个设计与制造型企业,为了系统和数据的安全性,结合自身对数据保护的要求和发展的迫切需要,需要对数据进行安全保护以及防数据泄漏工作。
3 数据安全及防数据泄漏方案规划设计
3.1 终端安全
F公司使用虚拟化服务器及桌面,McAfee终端解决方案能够让用户继续使用现有的McAfee VSE保护功能,并针对虚拟化环境来对其进一步优化。McAfee MOVE旨在在虚拟化环境中按访问扫描和更新,显著降低部署中对基础设施的影响。
3.2 应用安全
针对Web应用安全,通过MWG Web网关,基于公司的安全等级需求,制定安全策略,实现规范内部终端对网络合理使用。在DMZ区部署MEG邮件网关,通过端口转发,保证邮件先经过MEG扫描,做好病毒扫描和垃圾邮件防护。在防火墙和DMZ区串接McAfee IPS,进行应用层检测,保证网络应用和链路安全。
3.3 数据安全
数据泄露造成的根源来自外部黑客攻击和内部数据泄漏,据FBI的统计,70%的数据泄漏由于内部人员造成,而这些内部人员大都是有权限访问这些数据,然后窃取滥用这些数据[1]。
4 数据防护的关键策略
针对产品特性,我们将数据保护实施分为HDLP(HOST DLP)和 NDLP(network DLP)。
4.1 策略设定
标记规则:对所需保护的文件打上相应的标记;
内容规则:根据文档内部特征进行识别;
保护规则:对打上标记的文件进行保护;
第三方软件集成:TITUS
4.2 策略分配
针对于NDLP,需要对设备初始化、加固,对所有NDLP设备进行集中管理。
策略设置,针对所提供的关键字、表达式、文件类型、指纹进行相关的策略设定与McAfee Email Gateway及Web Gateway做策略联动:
5 关键技术应用
5.1 TITUS数据分级
TITUS解决方案使企业进行分级,并确定和保护非结构化数据满足法规所遵从的要求。在桌面、移动设备和SharePoint进行分级和保护敏感信息的文档等增强数据防护。
5.2 McAfee HDLP
McAfee HDLP软件通过部署由分级规则、标记规则、保护规则、设备规则以及用户和组分配组成的各类策略,保护企业敏感信息的安全。McAfee HDLP策略受到监视,并在必要时监视或阻止用标识为敏感信息的内容定义的操作。
5.3 McAfee NDLP
McAfee NDLP通过指纹识别技术、主动扫描技术,配合TITUS的文档分级标记以及HDLP的关键字内容过滤,与企业的邮件网关、互联网网关以及IPS联动,保护企业的敏感信息以及知识产权流出公司网络。
5.4 指纹识别技术
“指纹识别”是指依据文档的内容、终端信息、安全级别等等所产生的具有唯一性、保密性和安全性的标识以及算法。“指纹算法”被嵌入到目标文件以后,对于终端用户具有不可见性,用户端无法直接获取“指纹信息”,终端用户也无法直接对其进行修改或伪造,文件若是被修改后,“指纹”信息依旧保持其具有的完整性。
6 结论
基于McAfee的数据安全防护体系,保证了公司业务系统、各类终端、数据库和网络等数据在各环节中的安全,进而大幅降低有意、无意的数据泄漏行为。公司数据安全防护与防泄漏平台可避免组织内外数据在未经授权的情况下传输,从而保护企业远离风险。防数据泄漏软件使用高级发现技术、文本模式识别和预定义字典识别出敏感内容,而且合并设备管理及加密,从而提供多层控制。与TITUS等第三方保护软件集成来扩展数据的安全性。可配置在企业网络内部、外部或内外部应用的策略和规则,从而全面保护企业数据安全。
[1]喻欣:基于内容的移动存储设备信息防泄漏技术研究,2009.6