目前,金融行業的數據安全風險面臨著多方壓力,一是外部法律及合規要求越來越細化,二是機構內部缺乏針對數據泄漏的有效管理和技術手段,三是數據傳輸渠道不斷增加造成泄漏途徑增多。在這種大環境下,Websense提供了數據泄漏防護(DLP,Data Loss Prevention)解決方案。相對于傳統的基礎設施安全而言,Websense數據泄漏防護是一種更為先進的數據安全方案,利用先進的內容分析技術充分保護數據的安全。
gebsense DLP案例分析
Websense通過DLP項目教導客戶,并幫助用戶理解企業數據安全的策略。不少國際報告表明,從2007年至今,WebsensO無;論是產品技術還是性價比,在全球都是較為領先的品牌,并在數據保護方面有過不少成功的案例。
防護持卡人數據
東歐黑客們常設計惡意代碼來竊取中東各銀行信用卡的號碼偽造信用卡。Websense曾幫沙特阿拉伯的銀行防護持卡人數據,包括PCI-DSS記,錄的數據安全。Websense通過幾種方法來做數據安全的防護,如:在數據傳遞過程中經過開放式或公共的網絡時必須加密,跟蹤并監控所有訪問持卡人數據的行為,定期檢視數據傳送的流程。
保護源代碼
位于阿聯酋的銀行也是Websense的客戶之_,由于該銀行內部很多系統都是員工自主開發,曾經出現過其部分員工利用Web mail方式泄漏源代碼。因此,Websense協助其在眾多的渠道如網頁、郵件、FTP,ActiveSync及u盤,提供除保護客戶信息外也做源代碼的完整保護,確保銀行的數據安全。
防止點滴式數據泄漏
2007年Websense做了全球首個點滴式數據防泄漏的項目,服務對象是香港知名的一家中資銀行。中資銀行的業務特性是,客服人員必須每天與客戶溝通,平均每天大概需要對夕卜發送不超過500個客戶信息,然而銀行擔心這些員工將把大量客戶信息泄漏出去。該銀行希望通過自動化系統來達到防泄漏的目的。
針對銀行的要求,Websense提出這樣的策略:監控24小時內單一員工往外發出的客戶信息在超過某個數字時開始報警,比如控制數是500筆,那第501筆就會開始做警報和阻擋,但不對之前的業務采取任何阻擋,只會進行統計、制作事件,這樣就不必每天坐在機器前計算這500個事件。該銀行認為這種策略可行,而且確實可以降低事件量、輕松辨別真正可疑的數據泄漏行為。此外,在這個項目中,如果往外發的信息中包含機密數據或客戶信息,Websense DLP會強行將信息進行加密,以防重要信息泄漏,讓客戶在業務需求和安全中找到平衡點。
全面防范數據安全
上海一家保險公司需要一個全面的數據安全項目,要求保護的數據包括客戶數據、財務數據、精算、投資交易數據、戰略數據、員工、合規到審計等。然而,這么多數據的全面保護是沒有辦法一步到位的,于是Websense提供的策略是將這些數據分成3個層面來實現,利用高中低3個等級做風險控管。
Websense提供了全面的防泄密渠道,包括通過互聯網外發的郵件、U盤、剪貼打印、文件共享等。另外,隨著企業內部圖片文字的文檔愈來愈多,很多DLP的產品都不能有效地分辨出來。而Websense獨特的光學字符識別(OCR)技術就可以發現這樣的圖片,無論是掃描的還是剪切的都可以從中發現機密數據。
這個部署較大型,分成3階段進行:前期是策略設計,主要用于數據分類和調研,了解什么數據需要重點保護;中期是部署DLP方案;最后是策略優化管理,針對不同部門的不同需求調整策略,經過不斷優化,數據量從第一天大約2000條到現在已經不到一半,準確率達到98%以上。通過這個策略,Websense成功減少企業在事件管理的投入資源,讓客戶更快得到投資回報。
Websesne DLP優化數據流管理
Websense DLP不僅是防泄密產品,還可幫助銀行優化數據流管理(如圖1所示)。對銀行和企業來說,這是很有效的數據流優化管理方式。
圖1 Websense DLP幫助企業實現業務導向的數據安全防護
一是根據業務流程需求,靈活配置。按照策略中不同的數據內容、數據分級、不同的來源和傳輸途徑、目標地址等設計不同處理方法。
二是通過審計記錄,確定數據走向。通過記錄的事件,能夠和發送信息的人員組織資訊同步,從而挖掘其部門、主管、分行等信息,核查信息是什么時候通過什么途徑發送出去的。此外,DLP還可以深入分析發送的內容是什么,并將路徑、全文、數據等記錄到事件中,讓負責事件調研的人清楚出現的問題。最后還可以把接收人的網絡地址、郵箱地址記錄下來,讓負責事件調研的人快速分析這是一個數據外泄事件還是一個正常的商業行為。
三是常見的數據保護。比如營銷的數據下載、加密、壓縮到一個文檔中,無論是通過U盤還是網絡郵箱等方式發送出去,DLP都可以偵測、攔截并對其進行分析。文件服務器中的一些重要文件,其內容可能會被員工剪切到郵件或者復制到另一個文件發送出去。針對這種情況,DLP用一個主文分析方式將內容分析,無論通過什么發送方式都可以攔下來做審計或警報。就是說,即使是文件截屏往外發,DLP也可以把圖片內容還原成文字檢查。這種方式對HTTPs的內容同樣有效,如果網路有對HTTPs進行加密的。DLP可以對這個加密的HTTPs解密,檢查其內容是否有信息被外發。
四是點滴式的DLP防護方案。有的客戶要求在5分鐘內不可以外發超過5個不同的客戶信息,如果超過5個就要做阻擋。對此,DLP產品的設計是在發送前5個客戶信息的時候都是放行處理,但是會制作成事件記錄,通過事件記錄進行審計。當超過5條即第6條的時候就會馬上自動阻擋,不需要管理員翻看前面的信息量進行手動操作阻擋。
實現DLP價值的三要素
要成功部署并實現數據防泄漏的方案,需要做到以下3點。
一是做好風險導向,快速體現投資回報。如果銀行或企業要求一次性保護所有數據,首先要分析哪些數據存在最高的外泄風險,集中保護高價值信息,然后再總結經驗處理風險較高的數據,令銀行或企業能更快體驗投資回報。
二是DLP的方案必須重視管理和教育。比如讓員工參與跟用戶的互動,包括流程過程中的警報、處理等,讓他們理解銀行數據安全的標準。還可以通過郵件審批流程設置,讓業務部門人員無論何時何地都可自行管理違規事件,減輕IT管理負擔,增加員工參與度以避免負面情緒,通過違規提示郵件加強員工的信息保密教育,讓銀行或企業快速降低機密數據泄漏風險。
三是落實防御,非監聽了事。有的客戶表示他們的數據防泄漏產品只可以監聽不能防御,這表示只有等到事后才知道銀行的數據外泄,這時再翻查數據找原因為時已晚。
防范于未然,阻擋才能真正實現數據的防泄漏,才可以實現數據防泄密方案的價值。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:Websense數據泄露防護解決方案
本文網址:http://www.guhuozai8.cn/html/consultation/10839513552.html