數(shù)據(jù)防泄漏解決方案
一種簡單�����、劃算的方法防止從企業(yè)網(wǎng)絡(luò)泄漏敏感信息
1.背景介紹
隨著電子信息化和網(wǎng)絡(luò)的發(fā)展�,從企業(yè)到個人、從公共到私人的信息都在電子化和網(wǎng)絡(luò)化�����,企業(yè)數(shù)據(jù)和個人信息泄漏已經(jīng)成為社會當今普遍的問題����。對于企業(yè)重要數(shù)據(jù)的泄漏,可能會直接或間接的給企業(yè)帶來重大的經(jīng)濟損失���。另外據(jù)統(tǒng)計90%的企業(yè)都是具有員工個人的重要信息(身份證號、社保號碼����、銀行卡號和手機號碼等),并且近幾年�,也常發(fā)生于從企業(yè)內(nèi)部泄漏大量個人敏感信息,隨著國家將立法對個人敏感信息泄漏進行保護�����,那么企業(yè)對員工的個人信息泄漏防護也是重點�。
2.數(shù)據(jù)防泄漏技術(shù)特點
數(shù)據(jù)防泄漏技術(shù)已經(jīng)被許多IT企業(yè)所關(guān)注和使用,并且?guī)椭灸軌驅(qū)χ匾兔舾袛?shù)據(jù)進行保護和管理��。但對于企業(yè)來說�,一個完整的數(shù)據(jù)防泄漏技術(shù)方案是復雜并且昂貴的���,技術(shù)方案上都涉及到文檔的加密��、內(nèi)部人員權(quán)限管理���、文檔外發(fā)管理�、桌面安全控制和管理�����、網(wǎng)絡(luò)準入控制�����、終端設(shè)備管控��、移動存儲管控和全面的操作審計內(nèi)容等等�,都會給企業(yè)帶來復雜的IT維護和高額資金投入�����,而對于一個IT投入成本受限的公司來說是沒有能力使用的技術(shù)方案�。另外,對于數(shù)據(jù)泄漏的防護上�,取決于整體防護強度中最為薄弱的一環(huán),而對于企業(yè)網(wǎng)絡(luò)邊界的防護通常是最為薄弱的環(huán)節(jié)之一����,主要是當今邊界的安全設(shè)備如防火墻、入侵防御���、防毒墻等���,都不是針對或有效地對數(shù)據(jù)泄漏進行防護。
3.網(wǎng)康下一代防火墻的數(shù)據(jù)防泄漏技術(shù)
3.1利用應(yīng)用和用戶識別技術(shù)控制數(shù)據(jù)泄漏的途徑
對于企業(yè)網(wǎng)絡(luò)邊界的數(shù)據(jù)泄漏防護上���,首先是選擇能夠控制會造成敏感數(shù)據(jù)泄漏的應(yīng)用。企業(yè)的應(yīng)用畢竟會從“利”和“弊”兩個方面來看待�,對于企業(yè)完全沒有任何好處的應(yīng)用就可以完全阻斷,而避免它造成數(shù)據(jù)泄漏�����,比如大部分企業(yè)需要禁止代理翻墻應(yīng)用或P2P下載應(yīng)用��,因為其對企業(yè)的IT業(yè)務(wù)來說是沒有任何好處的�,并且還會帶來很大的數(shù)據(jù)泄漏風險。而對于企業(yè)有“利”的應(yīng)用���,可能也存在對企業(yè)造成數(shù)據(jù)泄漏風險的動作�����,比如MSN Messenger�����,可以方便企業(yè)內(nèi)部員工與客戶進行即時溝通���,但其傳輸文件的應(yīng)用動作會給企業(yè)帶來重要數(shù)據(jù)泄漏的可能。網(wǎng)康下一代防火墻的應(yīng)用洞察和識別能力�,企業(yè)IT人員可通過對應(yīng)用的合理控制,能夠為企業(yè)大大減少數(shù)據(jù)泄漏的傳輸途徑����。
在發(fā)生的一些數(shù)據(jù)泄漏事件中,通常都會與企業(yè)內(nèi)部的“人”有關(guān)�����,傳統(tǒng)的邊界設(shè)備通?����?梢姾涂刂频氖恰癐P”地址�����,并且不能有效的對“人”進行管理和控制數(shù)據(jù)外發(fā)的行為�。網(wǎng)康下一代防火墻具有完善的用戶識別能力�����,通過一體化的安全策略可以基于“人“的維度��,控制高風險應(yīng)用的使用����、授權(quán)數(shù)據(jù)外發(fā)的行為和記錄數(shù)據(jù)傳輸?shù)氖录坏档土藳]有授權(quán)的”人“會造成數(shù)據(jù)泄漏的風險��,還會幫助企業(yè)對造成數(shù)據(jù)泄漏風險的”人“進行事后審計和處理���。
3.2基于應(yīng)用的文件類型和內(nèi)容過濾技術(shù)
隨著網(wǎng)絡(luò)應(yīng)用不斷豐富���,大量應(yīng)用會建立在HTTP等基礎(chǔ)協(xié)議之上,或者端口號隨機產(chǎn)生�����?�;趥鹘y(tǒng)基本協(xié)議的內(nèi)容過濾方式對現(xiàn)在的大量應(yīng)用失效性越來越嚴重�,比如對于電子郵件應(yīng)用(包括各WEB Mail的正文和附件)、應(yīng)用平臺應(yīng)用(各種流行的微博)���、P2P應(yīng)用�����、網(wǎng)盤應(yīng)用和論壇發(fā)貼應(yīng)用等等�。網(wǎng)康下一代防火墻基于應(yīng)用構(gòu)建文件類型和內(nèi)容的掃描能力��,并且支持幾百種常見應(yīng)用的文件類型和內(nèi)容控制����,能夠細粒度到應(yīng)用的動作級進行識別和控制,比如用戶選擇內(nèi)容過濾是針對MSN的聊天內(nèi)容還是文件傳輸���。其中對于文件內(nèi)容的掃描,網(wǎng)康提供給用戶自定義正則表達式的方式���,同時可指定關(guān)鍵信息的命中閥值來決策阻斷或告警���,另外���,還提供一些預(yù)訂義的特征方式給用戶選擇掃描,比如身份證號��、銀行卡號和手機號碼等�����。而對于文件類型的掃描�����,支持近百種常見的文件類型(包括各種Office文件��、音視頻文件��,圖片和壓縮文件等)����,文件類型的識別是采用文件特征匹配方式��,修改文件后綴仍可準確識別�。
4.網(wǎng)康下一代防火墻數(shù)據(jù)防泄漏配置指導
4.1利用安全策略來控制用戶權(quán)限降低數(shù)據(jù)泄漏風險
網(wǎng)康下一代防火墻支持安全策略來控制內(nèi)部網(wǎng)絡(luò)的用戶使用應(yīng)用的權(quán)限,可以通過對應(yīng)用和用戶兩個維度組合進行細粒度限制�����,來降低內(nèi)部數(shù)據(jù)泄漏的風險���。比如企業(yè)按照嚴格安全策略控制研發(fā)人員使用具有傳輸文件功能的應(yīng)用子功能(見下圖)���。
圖1:選擇研發(fā)部門的人員組進行權(quán)限控制
圖2:選擇具有文件傳輸能力的應(yīng)用
正如以上圖示的策略可以完成對特定人員使用應(yīng)用的權(quán)限控制,能夠很好避免重要用戶通過網(wǎng)絡(luò)泄漏敏感的企業(yè)數(shù)據(jù)���,。
4.2利用文件類型和內(nèi)容的過濾防止數(shù)據(jù)泄漏
網(wǎng)康下一代防火墻支持近300種應(yīng)用下的文件類型和內(nèi)容的過濾能力�����, 同時可支持64種以上主要的文件類型進行檢測�,還支持利用正則表達式的方法來定義敏感信息樣式,并且還預(yù)定義了包括 “身份證號碼”����、“銀行卡號”和“信用卡號”等關(guān)鍵字樣式。比如對于一個建筑公司來說工程圖是重要的電子資產(chǎn)�����,是禁止從網(wǎng)絡(luò)泄漏到外部的,那么可以根據(jù)文件類型過濾來防止工程圖泄漏(見下圖)���。
圖3:設(shè)置工程圖文件類型阻斷防止泄漏
另外���,對于一般公司都會有重要的電子文檔���,文檔頁面或內(nèi)容中也常常標注為“XX公司”和“機密”字樣等�����,那么通過網(wǎng)康的下一代防火墻的關(guān)鍵字內(nèi)容過濾,可以阻止這樣的文件被外發(fā)出去��。
圖4:敏感關(guān)鍵字設(shè)置
圖5:設(shè)置敏感信息泄漏配置
正如圖4中設(shè)定的關(guān)鍵字對象為文檔內(nèi)帶有”機密“和”網(wǎng)康科技“字樣的關(guān)鍵字��,并在圖5中配置防止敏感數(shù)據(jù)泄漏的數(shù)據(jù)過濾配置將此關(guān)鍵字關(guān)聯(lián)生效�,就可以實現(xiàn)既簡單還有效的數(shù)據(jù)防泄漏能力。
公司簡介
政府行業(yè)
您當前所在的位置:
