文档介绍:SymantecDLP应用案例
场景1:对外发的邮件进行监控和阻止
场景2:对员工通过Web或者FTP外发的内容进行监控和阻止
场景3:对终端用户的操作进行监控和阻止
场景4:对内部的存储服务器进行扫描
场景5:对内部的终端电脑硬ok或者Lotus发送邮件,HTTP(s)或者FTP上传,MSN,AIM等;
可以将违规操作的源文件记录到DLP数据库中存档,审计员可以通过保存的源文件进行二次分析;
对应的事件信息包括:事件产生时间,终端用户名,机器名,机器ip地址,用户操作类型,目的地地址(http地址、ftp地址、邮件收件人、文件复制到的位置等),操作的文件名称,违规的策略名等;
Agent支持的操作系统:XP,Vista,2003,Windows7(32位+64位),Citrix。
5
场景4:对内部的存储服务器进行扫描
通过存储发现模块对公司内部的服务器进行合规性扫描;
电信和金融的内部文件服务器,都需要按照国际的标准,对所存放的不同安全等级的文件进行合规处理。例如:
在移动的BOSS系统,按照SOX标准,定期自动生成的账单文件会在服务器上存放一段特定的时间,过期之后需要将其隔离到访问受限位置,这样就可以避免账单信息的泄密;
在银行的文件服务器上,按照PCI标准,包含有用户卡信息的文件都应该被安全隔离起来,或者是进行加密存放;
DLP存储发现模块通过预先设定的策略,对服务器上的文件进行扫描,并且可以自动的将违规的文件隔离到安全区域,或者集成第三方软件对这些文件进行加密或者加权限。
可以集成的第三方软件包括: MS RMS,Oracle IRM,Liquid Machines,GigaTrust,PGP等。
6
场景5:对内部的终端电脑硬盘进行扫描
公司员工通过应用系统访问公司的敏感信息,有些是系统级管理员,可以直接到系统及平台接触机密数据;公司有相关制度禁止员工下载敏感信息到自己的电脑硬盘,许多员工还是在工作时会有意无意的将敏感信息下载到本地;
少数员工有意将数据下载下来之后,通过邮件、Web和USB拷贝的方式将敏感数据发送出去;
通过Agent可以对电脑硬盘上的文件进行发现,来判断其是否包含有违规的数据,在最后生成的报表中可以按照风险级别或者违规类型进行统计和排序;
可以集成邮件服务器自动对违规的员工发送邮件通知;
在一段时间的邮件通知和事件二次响应后,强制员工遵从公司的数据安全策略,同时也可以让员工的安全意识普遍提高。
7
场景6:对Citrix环境中的用户进行监控/阻止
有些公司为了安全,提供Citrix的工作平台,用户使用虚拟桌面进行办公;
由于员工所有的操作最终都在Citrix服务器上完成,管理员无法针对每个用户的行为进行监控和管理;
将Agent程序在Citrix服务器上安装一次,其就会以Windows服务的形式开始运行;
Agent不仅可以监控到所有虚拟桌面中用户的操作行为,在记录的事件中也能够包含各个桌面对应的用户名;
通过策略绑定到不同的用户,可以对一些特定的员工实现不同的响应机制。
8
场景7:通过Data Insight模块来增强Network Discover/Protect的功能
通过Network Discover/Protect可以发现并且保护存储服务器上的敏感信息;
在生成的事件中,用户可以得到对应文件的一些基本信息,例如文件名称,文件位置,文件的访问权限,创建时间,最后访问时间等,最后修改时间等;
通过Data Insight模块,可以让Vontu到对应的文件存储设备(例如EMC,NetApp等)中获得违规文件的所有访问记录的详细信息,方便管理员调整存储设备的设定及对应的文件安全机制。
9
场景8:事件信息集成到第三方平台
在违规事件发生后,Vontu可以将事件的信息记录到自己的数据库中,也可以将这些信息集成到第三方平台;
通过Reporting API,第三方平台可以通过接口来调用Vontu数据库中的各个信息,并且形成用户自定义的报表,也可以将该报表内嵌到其自己的报表平台;
通过Syslog响应规则,可以将事件信息发送到外部第三方syslog服务器,例如:Symantec SSIM日志收集系统,ArcSight,亿阳4A的日志审计系统,安氏SEM审计系统和联创L-Securer审计系统等;
通过邮件响应机制,可以将事件信息发送到指定的管理员邮箱;
第三方平台可以将收集到的事件信息,按照用户特定的需求进行统计汇总,并且自动触发对应的响应机制。
10
场景9:事件责任人信息自动关联
用户希望在泄密事件产生时,DLP服务器能够联动第三方系统自动将事件责任人的关联信息检索出来,包括用户姓名、员工号码、所在部门、联系电话、邮件地址、主机名称、主机ip地址