文档介绍：Symantec DLP在电信和金融应用的十个场景
1
场景1:对外发的邮件进行监控和阻止
场景2:对员工通过Web或者FTP外发的内容进行监控和阻止
场景3:对终端用户的操作进行监控和阻止
场景4:对内部的存储服务器进行扫描
场景5:对内部的终端电脑硬盘进行扫描
场景6:对Citrix环境中的用户进行监控/阻止
场景7:通过Data work Discover/Protect的功能
场景8:事件信息集成到第三方平台
场景9:事件责任人信息自动关联
场景10:DLP+SEP+SMP的集成工作流对客户端本机硬件实现自动锁定
2
场景1:对外发的邮件进行监控和阻止
将网络模块部署在网络出口处,可以实时的对公司外发的邮件数据进行监控和分析,在RA中发现很多外发邮件中都有大量的客户名单信息;
将那些违规的邮件记录到DLP系统中,记录的信息遵循国际审计标准来进行开发和设计,包含事件产生的时间、违规策略、发件人地址、收件人地址、邮件主题、详细内容、匹配到策略的内容会被高亮显示等;
对于严重违规的邮件可以实时的阻止,并且通知相关邮件管理人员或者发件者本人;
可以与第三方邮件网关集成,例如SBG,IronPort,IronMail,Exchange,Lotus,SendMail等。
3
场景2:对员工通过Web或者FTP外发的内容进行监控和阻止
将网络模块部署在网络出口处,可以实时的对员工通过Web和FTP外发的内容进行监控和分析,;
员工会通过Web Mail或者FTP站点上传公司的敏感文档,这些行为都可以被DLP分析到;
DLP会将其上传的源文件都记录到DLP数据库中,对于严重违规的一些上传内容可以实时的阻止;
可以与第三方Web Proxy服务器集成,例如:BlueCoat,Ironport Web Gateway,McAfee Webwasher,ISA Server,Squid Server等。
4
场景3:对终端用户的操作进行监控和阻止
在终端上安装DLP Agent模块,对用户的操作进行监控和阻止,在RA中发现有很多员工都会将一些敏感的文档拷贝到USB,最后造成泄密;
监控的内容包括:USB拷贝,CD/DVD刻录,打印/传真,将文件下载到本地硬盘,拷贝/粘贴操作,通过Outlook或者Lotus发送邮件,HTTP(s)或者FTP上传,MSN,AIM等;
可以将违规操作的源文件记录到DLP数据库中存档,审计员可以通过保存的源文件进行二次分析;
对应的事件信息包括:事件产生时间,终端用户名,机器名,机器ip地址,用户操作类型,目的地地址(http地址、ftp地址、邮件收件人、文件复制到的位置等),操作的文件名称,违规的策略名等;
Agent支持的操作系统:XP,Vista,2003,Windows7(32位+64位),Citrix。
5
场景4:对内部的存储服务器进行扫描
通过存储发现模块对公司内部的服务器进行合规性扫描;
电信和金融的内部文件服务器,都需要按照国际的标准,对所存放的不同安全等级的文件进行合规处理。例如:
在移动的BOSS系统,按照SOX标准,定期自动生成的账单文件会在服务器上存放一段特定的时间,过期之后需要将其隔离到访问受限位置,这样就可以避免账单信息的泄密;
在银行的文件服务器上,按照PCI标准,包含有用户卡信息的文件都应该被安全隔离起来,或者是进行加密存放;
DLP存储发现模块通过预先设定的策略,对服务器上的文件进行扫描,并且可以自动的将违规的文件隔离到安全区域,或者集成第三方软件对这些文件进行加密或者加权限。
可以集成的第三方软件包括: MS RMS,Oracle IRM,Liquid Machines,GigaTrust,PGP等。
6
场景7:通过Data work Discover/Protect的功能
work Discover/Protect可以发现并且保护存储服务器上的敏感信息;
在生成的事件中,用户可以得到对应文件的一些基本信息,例如文件名称,文件位置,文件的访问权限,创建时间,最后访问时间等,最后修改时间等;
通过Data Insight模块,可以让Vontu到对应的文件存储设备(App等)中获得违规文件的所有访问记录的详细信息,方便管理员调整存储设备的设定及对应的文件安全机制。
9
场景8:事件信息集成到第三方平台
在违规事件发生后,Vontu可以将事件的信息记录到自己的数据库中,也可以将这些信息集成到第三方平台;
通过Reporting API,第三方平台可以通过接口来调用Vontu数据库中的各个信息,并且形成用户自定义的报表,也可以将该报表内嵌到其自己的报表平台;
通过Syslog响应规则,可以将事件信息发送到外部第三方syslog服务器,例如: