DLPPGP数据防泄密解决方案.docx

1、 密 级：商业秘密 文档编号：XX集团数据防泄密处理方案技术提议书专供 XX集团20XX年11月20XX年11月4日尊敬XX集团用户，您好！ 赛门铁克是提供安全、存放和系统管了处理方案领域全球领先者，可帮助XX集团保护和管理信息。我们首要任务之一是认识数字世界改变趋势并快速找四处理方案，从而帮助我们用户提前预防新出现威胁。另外，我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面风险，从而帮助用户保护她们基础架构、信息和交互。赛门铁克致力于： 和您携手合作，共同打造一个全方面且可连续处理方案，从而满足您全部需求。 确保项目取得成功并最大程度地降低风险。 在布署后向 XX集团 提供支持和提议

2、，从而确保平稳运行和连续防护。 假如您在阅读完本产品技术方案后仍有疑问，请和我联络。假如您在决议过程中需要赛门铁克任何其它支持，也请尽管告诉我。 我期待着和您合作，并为这个关键项目标成功而尽力。 保密申明和用途 本产品技术方案包含“保密信息”（以下定义）。本产品技术方案意在提供赛门铁克提交本文之时提供产品和（或）服务相关。本产品技术方案专向XX集团（以下简称“您”或“您”）提供，因为赛门铁克认为“您”和赛门铁克企业（以下简称“赛门铁克”）达成交易。赛门铁克努力确保本产品技术方案中包含信息正确无误，对于这类信息中任何错误或疏漏，赛门铁克不负担责任，并在此就任何正确性或其它方面暗示确保提出免责。“

3、您”接收本文档并不代表“您”和赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识任何“保密信息”。赛门铁克有权就任意及全部用户协议条款和条件进行协商。 “您”和赛门铁克之间有书面保密协议，但“您”阅读赛门铁克提议书即表明，在因本产品技术方案而交换和接收赛门铁克保密信息和专有信息范围内，包含但不限于报价、方法、知识、数据、工作文件、技术和其它商业信息，不管书面还是口头形式（以下简称“保密信息”）， “您”同意依据“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其它方法向她人提供“保密信息”，除非因需知晓该信息而必需提供，但必需遵守这类“保密信

4、息”使用管理条款和条件，而且该条款和条件限制性必需最少相当于“您”用于保护自有同类信息所用条款和条件，且在任何情况下绝不低于合理商业保护。 本产品技术方案及已提供任何其它赛门铁克相关信息仍归赛门铁克独自全部，未经赛门铁克事先书面许可，不得拷贝、复制或分发。赛门铁克提供本产品技术方案，但并不负责为“您”提供任何产品或任何服务。本产品技术方案叙述赛门铁克就本文所述专题而言通常意图， 除非“您”已经取得赛门铁克事先书面许可，不然赛门铁克谨请“您”不要联络本产品技术方案中可能提及任何赛门铁克用户。 一经请求即可提供此处所述产品使用和（或）服务交付所适用赛门铁克条款和条件副本以供查阅和审议。条款和条件可

5、在签署协议时进行协商。Contents1 概述61.1项目背景61.2 XX集团信息安全项目目标61.3 术语解释82XX集团信息安全项目需求及实现92.1 XX集团信息安全涉密信息分级控管需求与实现92.1.1分阶段推进方法102.1.2 管理要求建议132.1.3 人员岗位建议152.1.3 管理流程建议162.3 XX数据防泄密需求及实现182.4 XX集团DLP部署规划及效果192.4.1 部署场景一： MAIL Prevent监控管理场景192.4.2 部署场景二：DLP客户端通过QQ聊天工具、FTP、U盘、网络共享、WEB、网盘等方式的监控场景202.4.3部署场景三：WEB Pr

6、event监控及阻断WEB MAIL场景212.4.4部署场景四：Web Prevent监控及阻断Web论坛、FTP、Yahoo Message、MSN、Web网盘等场景222.4.5部署场景五：米亚索能与XX集团数据防泄密系统兼容和可管控性场景232.5 DLP Mail Prevent防护流程图242.6 DLP Endpoint防护流程图252.7 DLP Web信息防泄漏系统流程说明263终端全盘加密及敏感数据加密解决方案263.1XX集团DLP部署规划及效果273.1.1部署场景一：终端电脑丢失，PGP客户端安全防护场景283.1.2部署场景二：终端电脑文档自动加密与XXOA系统流转

7、加密文档的场景284离职及长期脱网人员的审计及安全管理285Symantec 产品主要技术特征295.1 Symantec DLP主要技术特性295.2 Symantec PGP主要技术特征345.3XX集团信息防泄密系统方案设计345.3.1 系统总体结构345.3.2 XX集团信息防泄密方案可靠性、扩展性说明365.3.3 XX信息防泄密方案风险预估365.4 XX集团信息防泄密方案涉及产品模块功能介绍376方案与产品背景396.1 Symantec DLP产品介绍396.2 PGP产品介绍451 概述1.1项目背景XX集团现在已经成为世界顶级新能源提供商，拥有大量拥有自主产权信息资产和研

8、发创新能力。同时，这种快速发展也带来了内部管理方面问题，即怎样管理和保护这些信息资产，怎样保护和维持自己研发创新能力，这是XX集团竞争力根本基础。对XX集团而言，在面临来自外部病毒、木马、网络攻击等种种网络安全威胁同时，来自内部数据泄露或许是一个更需要重视问题。在当今竞争日趋猛烈商业社会，四处存在着陷阱和诱惑。为了达成目标，部分不良企业或个人会不择手段来谋取本身利益最大化。她们有可能窥探XX集团研发、生产、收入数据、用户数据、销售数据等关键信息。这些信息关系企业生存和发展命脉，一旦流失将会让XX集团面临信誉、经济、运行、隐私和法规遵从方面威胁。另外来自外部环境数据泄漏驱动力也越来越大。自从力拓

9、间谍门曝光后，媒体密集报导了大量不一样性质泄密事件，共同暴露出了企业内部监管手段微弱和安全管理体系缺乏。一旦有机密数据或信息资产泄密，带来损失和深远影响，将无可计量。所以赛门铁克真挚期望能够帮助XX集团建立完善信息泄露防护体系，满足目前关键业务目标：1、对机密文件完成文件指纹采集；2、实时检测从企业邮件系统发送到外网邮件内容。3、实时检测从企业网络送到外网HTTP内容4、对终端进行泄密防护。5、对终端机密数据进行加密。并做好充足准备为XX集团全网布署防泄密处理方案。1.2 XX集团信息安全项目目标 以XX集团信息安全涉密信息分级控管为技术先导，完成以下目标： 4 定时对职员信息安全进行普及教育

10、，定时培训，以确保职员形成统一信息安全意识；4 建立专门信息安全管理部门、设置专员在各部门负责信息安全管理。4 增强信息安全相关技术；4 建立完善信息安全制度及步骤；4 建立完善信息安全制度及步骤；4 建立信息安全组织，设置信息安全管理部门，设置专员对各部门各业务信息安全进行管理；4 增强对关键信息资产进行分类及风险评定，依据其风险进行合适管理。4 增强通信和操作管理；4 增强信息系统获取、开发和维护等相关技术支持；4 对信息资产进行风险评定，依据其风险建立可实施保护策略；4 建立信息处理及存放程序，对关键信息访问设置限制，以预防信息未授权泄漏或不正当使用；4 保留企业信息介质应受到使用限制、

11、控制和物理保护，以预防信息资源遭受未授权泄漏、修改、移动或销毁；4 完善现有信息安全制度；4 依据业务目标制订清楚信息安全指导，建立针对性强、实施性强、具体信息安全处理手册。以XX集团信息安全项目技术处理方案为技术基础，完成以下目标：4 终端数据防泄密处理方案。实现终端在线环境、终端离线环境中经过U盘、网盘、打印机、传真机、网络共享、相关加密压缩等路径传输敏感数据监控和阻断功效；4 邮件防泄漏处理方案。经过用户在企业内网使用企业邮箱等路径传输敏感数据监控和阻断功效；4 Web防泄密处理方案。经过用户在企业内网使用Internet向互联网上传敏感数据监控和阻断功效；4 终端数据加密处理方案。实现

12、终端电脑全盘加密及SSO-AD集成单点登录、常见文档自动加密等功效；4 离职人员或长久脱网人员审计处理方案。1.3 术语解释序号术语名称术语解释1Symantec Data Loss Prevention (DLP)信息泄漏防护系统管理服务器Enforce，作为信息泄漏防护系统中央管理平台，负责集中管理全部软件模块。关键提供策略管理、事件管理、日志汇总等功效。2Symantec Data Loss Prevention (DLP)信息泄漏防护系统数据库Enforce for Database，信息泄漏防护系统数据库，支持数据库类型是Oracle 11G。3Symantec Data Loss

13、Prevention (DLP) FOR WEB信息泄漏防护系统防护服务器WEB Prevent Server，该服务器负责扫描从 web 代理程序接收 HTTP/S 流量，使用标准互联网内容适配协议（ICAP）接口，支持对违反所配置策略内容进行请求修改（REQMOD）和响应修改（RESPMOD）检验。REQMOD 许可扫描出站 HTTP、HTTPS 和 FTP 请求，包含 网站 GETS、网络邮件 POSTS。RESPMOD 许可扫描对应入站 HTTP/HTTPS 响应，从原始请求返回内容。4Symantec Data Loss Prevention (DLP)邮件信息泄漏防护系统防护服务器

14、Mail Prevent，该服务器需要和邮件代理SMG配合，实现对外发邮件检验和隔离。5Symantec Data Loss Prevention (DLP)端点信息泄漏防护系统防护服务器Endpoint Server，该服务器负责管理全部端点信息泄漏防护软件，中转端点信息泄漏管理服务器和端点信息泄漏防护软件之间通信流量。6Symantec Data Loss Prevention (DLP)端点信息泄漏防护系统用户端软件DLP Agent，该用户端软件需要安装在受控终端上，负责监控复制到 USB 设备或是刻录到 CD/DVD，和从其它网络路径发送出去数据 ；同时能够对存放在终端硬盘驱动器中数

15、据进行扫描，从而实现对受监控终端信息泄漏防护。7Symantec Mail Gateway（SMG）邮件网关服务器SMG，负责邮件接收和转发，和DLP Mail Prevent结合，并依据DLP Mail Prevent邮件信息泄漏管理服务器处理结果放行或阻断邮件。8Symantec Web Gateway(SWG)赛门铁克Web访问安全网关产品SWG，负责终端上互联网代理服务器，和DLP Web Prevent结合，并依据DLP Web Prevent处理结果放行或阻断Web相关访问。9PGP加密管理服务器SYMANTEC PGP加密系统用户端管理平台，包含策略设置，密钥管理等。10PGP终

16、端加密软件安装在终端上，对终端全盘进行加密。对终端经过网络方法访问数据进行加密。2XX集团信息安全项目需求及实现2.1 XX集团信息安全涉密信息分级控管需求和实现作为XX信息安全项目之一，XX关键数据信息安全项目依靠于对关键信息防泄密管理要求制订明确性和细化程度，依靠于XX涉密信息分级控管规则制订正确性、符合性和精细度。而涉密信息分级控管规则为了实现“降低XX集团总体计划关键信息系统涉密数据从内部外泄，主动抵御来自XX集团外部对XX总体计划、关键信息系统数据窃取”这一目标，更需要逐步建立起包含：信息内容防泄密管理要求，人员岗位和职责，配套运行管理步骤，职员教育等在内整套运行管理体系及连续改善计

17、划等在内风险管控机制，才能使本方案中信息防泄密系统真正发挥有效技术支撑作用。所以，除了信息防泄密本身技术功效之外，以下几方面内容是保障其有效运行关键条件：1关键信息防泄漏依据：即要处理：l关键信息内容分类、分级是什么；l针对这些内容在邮件外发、互联网使用过程、内部终端存放分布方面保护管理要求是什么；l 针对这些要求对应监控审计策略是什么等问题。 归结起来就是防泄密相关管理要求问题。2 关键数据防泄漏实施：即要处理：l审计策略制订和更新及相关人员角色及步骤；l监控和审计实施及相关人员角色及步骤；l审计结果中违规事件处理及相关人员角色及步骤等问 题。归结起来就是防泄密相关人员岗位、管理步骤问题。

18、3 连续改善及风险评价：即要处理：l经过关键数据防泄漏怎样推进企业行为改善，改善情况怎样l经过关键数据防泄漏怎样推进职员行为改善，改善情况怎样 归结起来就是防泄密相关评价和改善问题。 下文将结合 Symantec 信息防泄漏建设管理运行方法论及最好实践，就上述多个方面提出对应运行管理提议。2.1.1分阶段推进方法XX集团已明确了采取信息防泄漏方法来推进关键信息外泄风险管理工作，并为此经过除本子系统之外数据分类分级子系统、数据加密子系统，三个子系统共同完成这一管理目标。理论上讲，信息防泄漏系统属于事后管理，是实现明确审计需求系统，即需要有明确信息分类分级和明确审计策略作为基础。但假如这三个子系统

19、是同时推进过程，则需要经过分阶段运行管理方法，不停循环推进，以最终达成目标。而这其中，经过本子系统信息内容监控功效为切入点，进行风险识别尤为关键。依据最好实践经验，根据以下四个阶段推进过程，并完成各阶段对应运行管理活动，将有利于目标达成： 1.风险识别和运行管理初始阶段。风险识别阶段关键任务就是搜集资料，了解风险存在情况。赛门铁克提议最好在风险识别阶段停留足够长时间，以确保能够为XX集团提供足够数据，为分类分级子系统策略定义、审计策略制订等提供更为正确支持，同时也为后续泄漏风险降低制订切实可行风险降低目标。 实际上，该阶段也是本信息防泄漏子系统能够发挥作用最为关键和关键阶段。这个阶段关键任务包

20、含： 1）建立必需管理团体：建立类似XX集团信息防泄漏统筹管理委员会这么团体，包含并涵盖业务部门、审计核查职能部门、分类分级子系统建设部门等相关必需人员；统筹委员会可设置工作小组负责实施，同时建立事件响应团体，确保信息内容审计结果得到高层管理人员重视和支持，并推进对应处理和改善。 2）建立初始策略和调优步骤：在制订并完善数据防泄密管理要求同时， 努力争取经过本子系统得到愈加完整泄漏风险视图，并结合分类分级子系统输 出，优先从最关键数据和严重风险事件审计入手。在建立了初始审计策略 基础上，明确策略调优步骤，并结合子系统之间接口功效，制订跨子系统相关策略管理步骤。提议将事件最少分成三类： 有问题业

21、务步骤 职员疏忽 潜在恶意行为分类后，即可在后续风险降低全部响应及活动中更有针对性。关键活动包含： 修复：关键针对处理第一点因有问题业务步骤造成事件，经过让这 些问题引发业务部门注意，并和她们一起工作，让步骤变得愈加安全。通知：关键针对处理第二点处理由职员疏忽引发事件，当一个行为违反了策略时，经过立即通知职员。 阻止及保护：关键是针对处理第三点预防一些可能潜在恶意行为。 3）归类事件及针对性调研：更深入地研究事件本身，并开始找出其潜在原因。 4）确立并开始跟踪指标：该阶段结束时，该子系统应是一个最优工作状态，应达成了针对每个监控策略目标指标，比如：合规率（最初目标定义）。 开始跟踪每个策略这些

22、指标，作为衡量成功运行一个手段。 2.完善企业管理行为阶段 该阶段关键是改善风险评定阶段里发觉高风险业务步骤，同时为全部事件深入制订整改计划。具体步骤包含： 1）修复有缺点业务步骤。比如机密数据明文存放，或出现在公共文件共享里，或在您职员、用户和合作伙伴之间往返传输。大约有二分之一是因为有问 题业务步骤。她们是风险关键缔造者，修复是最花时间。 2）建立和业务部门沟通机制。评定企业文化，以确定沟通适宜程度， 并确定可能影响。和其它业务部门和企业领导进行沟通。来自统筹委员会相同 等级高层管理人员有力支持能够让全部努力事半功倍。需要找到适宜人， 坐在一起讨论需要进行改变。 3）加强和完善合适规章制度

23、。如签署保密协议、签订保密协议、制订及 完善保密规章制度、制订及完善文件分类分级标准，在保密资料上加印“机密”、 “保密”之类字样、限制文件发放范围和数量、通知职员对哪些信息负有保 密义务等。这类制度可能企业已经有了，但需要深入完善，而且需要在企业和 职员中，经过各类活动进行宣传和强化。 4）建立适宜操作步骤。比如文档加密以后，我们怎样和用户、合作伙伴交互文档？不一样分企业、业务部门之间是否要限制使用？文件又怎样流转？一般职员知道哪些文档需要加密吗？加密文件哪些人能够使用呢？谁能对文件进行解密操作？需要什么样审批、审计步骤呢？ 5）连续监控指标和加强沟通。当成功完成上述工作后，关键是要继续跟

24、踪运行指标和风险降低指标。提议新增部分指标，测算一下完善企业管理行为后 降低了多少风险。3.改变个人使用习惯阶段 本阶段关键在于通知职员什么是违反企业要求行为，以此促进她们改变自己行为方法。对于网络事件来说，自动邮件通知就像是对于职员违规行为立即给“一巴掌”。对于终端事件，自动弹出屏幕通知她们违规了，并给她们更正机会。对职员来说，防泄密方法应该是公开透明。这种公开沟通是指要将职员纳入该项计划之中，激励组织内每一个人主动主动地进行风险降低活动。关键步骤包含：1）制订职员推广和交流计划。制订合适信息交互方法，频率和提供渠道。为数据保护关键性进行大型宣传活动。最少考虑一下，在内部网张贴数据保护政策、

25、常见问题、基于场景示例，和其它问题沟通方法。最少每十二个月一次定时审查和更新数据保护培训计划。2）经过自动策略违规通知提醒职员。通常自动策略违规通知启用一个星期 内，事件数量下降了90。然而，要达成这么效果，需要认真计划，并进 行主动主动沟通。在任何情况下，企业全部应该尽早开始思索要和职员沟通什么， 何时开始沟通，怎样沟通，和提供怎样资源激励培养企业安全文化等等。 主动告诉雇员信息内容审计处理方案关键性企业会愈加快取得愈加好结果。4.泄密行为自动化阻断阶段预防恶意或非有意事件发生是任何数据安全项目标终极目标。本阶段，包含对机密文件进行授权、给明文敏感文件进行加密（数据加密子系统所实现功效），也

26、包含阻断网络通讯、文件传输、文件拷贝、隔离暴露文件等活动（也是本信息防泄漏子系统由监控审计功效切换至未来阻断功效）。依据该阶段功效，需要合适修订对应管理考评要求，和事件响应处理步骤等内容。所应注意是：误报造成阻止或移动文件会对业务产生消极影响，应不惜 一切代价避免其发生（这里误报是指未了解清楚业务步骤中要求造成策略 定义不正确而造成事件结果和实际业务不符）。实际上，没有完成您误报 目标指标策略不应该启用阻止响应规则。2.1.2 管理要求提议在上述分阶段推进过程中，第一阶段就应努力完成大部分信息防泄漏管 理要求，从而为信息审计策略制订及优化起到了好保障和推进作用。依据本项目目标，制订或完善相关制

27、度，包含但不限于： 制度名称关键内容XX关键信息系统数据保护管理要求1描述怎样进行涉密数据管理，明确管理机构、管理方法等。2设置涉密数据分级保护支持组织和执 行机构。3细化针对互联网上网数据防泄密、邮件外发防泄密、关键系统数据分布等方 面管理要求4明确定义对于泄密行为处罚方法XX关键信息系统数据分类分级数据规范1数据分类分级属性定义及对应标准。2数据分类分级实施过程和审核过程规 范。XX关键信息系统数据分类分级安全基线定义各级数据最小安全控制策略要求。XX关键信息系统数据加密规范数据加密对象要求、加密方法定义和加密过程实施规范。XX关键信息系统数据分类分级审计规范依据保护管理要求和安全基线内容

28、，明 确信息内容审计要求和规范，如：批量 下载敏感信息人员审计、违规时间段访问 敏感信息人员审计等。并以此作为信息 内容审计子系统定义策略规则依据XX关键信息系统数据泄密风险监控指标1定义泄密风险监控审计指标以上提议内容可在分类分级子系统及加密子系统建设项目中完成，但其中第一个管理要求和最终两个审计规范、监控指标，则是本信息内容审 计子系统很关键和必需输入，也会伴随本子系统策略不停优化，而逐步完 善和改善。2.1.3 人员岗位提议 围绕信息防泄漏子系统，除了需设置必需维护该系统系统维护岗位和人员外，对于监控和审计策略制订和修订，事件响应处理等相关活动也一样 需要设置对应人员和岗位，以确保制度落

29、实。而人员及岗位设定和XX集团企业内 IT 运维组织架构、企业内审内控管理组织架构等亲密相关。赛门铁克依据企业防泄密工作最好实践，提议在人员岗位设置上应充足考虑以下提议： 1必需组织和团体： 1）统筹管理委员会：确保有来自业务部门、审计及内控等部门相关人员， 确保统筹管理委员会中有高层领导介入。这是实现信息泄密监控和审计最高 和最有权威领导机构，同时也是协调三个子系统项目组管理机构。该机构可下属具体实施工作小组。 2）审计监控实施团体：关键由集团总部、各区域中心对应信息防泄漏子系 统系统运维人员组成，该小组领导应是统筹管理委员会下属工作小组组员， 从技术层面落实和实施工作小组要求，并向工作小组

30、汇报来自系统审计监控 技术汇报，提交相关报表。 3）事件响应团体：应在集团总部、各区域中心、信息防泄漏范围内业务系统中设置负责相关事件响应和处理事务岗位及人员，这类人员和审计监控实施团体对口人员相互配合，了解事件信息，确定事件原因，判定事件违规性质。 推进连续风险改善。 2. 必需岗位设置： 1）管理岗：在统筹管理委员会中来自不一样部门人员中，通常提议应确保各部门有1人是该部门运行管理岗。负责本部门信息内容监控和审计策略决议，策略制订、优化、变更等步骤审批，参与统筹会员会决议讨论，督促本部门泄密风险管理工作。 2）使用岗：负责本部门防泄密管理要求实施，提出本部门相关信息内容监控审计需求及防护要

31、求，汇报给本部门管理岗，并和其一同提交并参与统筹委员会下属工作小组中，相关相关分类分级管理 制度、安全基线、审计规范等制度修订工作。同时，该岗位对监控岗发觉本部门泄密或违规事件应立即进行跟踪、追查、审核 并确定，对审计监控实施团体给回馈，对于需要处理严重泄密事件，交由核查岗进行处理。 3）核查岗：通常在集团或各区域中心内审内控或合规管理部门、保密管理办公室、风险控制管理部等相关部门设置该岗，负责检验本单位或是全企业信息内容审计策略实施、泄密事件处理等工作，督促各部门信息泄密防范工作改善。 4）监控岗：通常由信息技术部人员负担该岗位工作，可设置在集团或区域中心，依据XX集团管理运维组织架构，既可

32、经过集团统一平台，在集团统一设置监控岗，也可给予各区域中心权限，登录集团平台分区域监控。监控岗为技术岗，为使用岗提供事件，为管理岗及工作小组提交监控汇报。 5）维护岗：由信息技术部人员负担该岗位工作，完成信息内容防泄漏系统维护工作，最关键是需要和使用岗合作，完成和分类分级子系统接口中，监控策略有效性、可行性分析，参与分类分级子系统接口策略分析、调优等工作。下表为各岗位在XX集团相关部门内设置及分布提议：部门岗位设置 信息管理部门管理岗 使用岗监控岗维护岗业务部门使用岗 管理岗内审内控部门 风险管理部门管理岗使用岗 核查岗2.1.3 管理步骤提议在运行管理活动中，各岗位人员经过管理步骤落实制度，

33、推行职责。围绕 信息防泄漏子系统，必需管理步骤包含但不限于：1. 监控及审计策略配置申请及变更管理步骤 包含：例外事件申请审批步骤2. 外发邮件泄密事件响应处理步骤3.互联网外发泄密事件响应处理步骤 各步骤最少包含岗位，及各岗位在步骤中步骤和作用以下表所表示：步骤名称关键岗位岗位作用监控及审计策略 配置申请及变更流 程使用岗 管理岗核查岗维护岗1 使用岗：提出本部门监控审计策略新建及变更需 求，提交本部门管理岗，在核查岗报备。2 管理岗：对需求进行审批，判定是否需上报到统筹委 员会工作组，交由分类分级平台统一变更3 维护岗： 1） 对使用岗提出变更需求，进行必需验证和测试，为管理岗或统筹委员会

34、工作小组提供审批依 据； 2） 依据管理岗或统筹委员会工作小组审批意 见，完成对审计系统策略变更配置操作。4 核查岗：统计变更后审计策略，并督促连续策略实施泄密事件响应处 理步骤监控岗使用岗管理岗 核查岗邮件系统管 理员网络管理员1监控岗：1） 将监控到事件以要求方法提交使用岗2） 依据使用岗/核查岗回馈结果完成，进行事件处 理状态关闭2使用岗：1） 依据得到事件列表，进行必需调查和事件判 定和确定，督促事件处理。2） 对于严重泄密事件，交核查岗进行处理。3） 将事件处理结果反馈给监督岗，同时上报给对应 管理岗3管理岗：接收并了解职责范围内外发邮件、互联网 泄密事件处理情况。4核查岗：对于确定

35、是违规或严重泄密事件，核查 岗负责依据管理要求要求进行对应处理。并将处 理结果上报管理岗，反馈给监控岗。当从监控模式转变到阻断模式后： 邮件、网络、系统管理员：需要依据审计系统及步骤 审批后结果，进行必需邮件放行/阻断确定，文件放 行/隔离等操作下图为事件响应步骤示例，XX集团项目组可依据企业实际情况调整为更适宜步骤：2.3 XX数据防泄密需求及实现本期项目需要实现功效需求关键包含以下三个方面：序号需求关键点实现方法备注1检验办公环境下终端经过FTP、U盘、移动硬盘、QQ聊天工具、HTTP、HTTPS、网盘、打印机、刻录等方法传输或拷贝已定义敏感信息设计文档时，做统计和阻断在内网搭建信息防泄漏

36、系统，包含ENDPOINT SERVER、ENFORCE SERVER，并在目标终端上安装DLP AGENT，自动检测终端网络或当地行为是否违反已定义相关规则，假如违反，则做相关数据日志统计，并实现配套技术审计及阻断2对办公终端使用互联网资源上传或散布敏感数据进行监控和阻断，并严格统计相关日志，为事后审计提供有效证据。在互联网区搭建WEB信息防泄漏系统，包含WEB Prevent Server、SWG。WEB Prevent服务器和代理服务器（SWG、Blue Coat/Cisco/ISA等）做相关集成，自动检测阻断办公终端使用WEB Mail/BBS/MSN/微博/FTP等互联网行为是否违反

37、已定义相关规则，假如违反，则做相关数据日志统计和行为阻断，并实现配套技术审计。3对XX集团MAIL系统进行安全信息防护，即使发觉XX用户经过MAIL向外发送敏感信息，并作报警和拦截在现有MAIL系统上架构Symantec Mail Gateway防控系统，并设置MAIL FOR PREVENT服务器，经过对用户MAIL进行敏感信息泄露监控及报警拦截方法，严禁用户经过MAIL方法向外散布XX集团相关关键数据。2.4 XX集团DLP布署计划及效果 XX经过MAIL PREVENT、端点监控、Web Prevent三种机制，使用三位一体安全防护手段，严禁内网用户向外散步敏感信息。2.4.1 布署场景

38、一： MAIL Prevent监控管理场景1、场景目标简述 针对XX集团内网用户发送MAIL进行监控，实现用户经过MAIL发送敏感信息进行监控和拦截，同时统计目前用户行为，并由相关部门做安全审计。2、场景管理范围 MAIL防泄密监控系统针正确是XX全部内网MAIL用户。所以，针对XX集团敏感信息防泄漏监控也是针对全部终端用户，为此在实际布署过程中需要对XX集团现有MAIL系统环境下布署信息防泄密软件。3、相关包含人员 用户端使用者、敏感信息（关键设计文档）接收者。使用者将带有敏感信息（关键设计文档）资料经过MAIL路径公布出去后，DLP MAIL信息泄露防护自动统计、监控及阻断此行为，并作具体

39、统计（包含时间、发送者、接收者、内容等）。便于相关部门及责任人审核此相关日志，并作相关通报。4、具体工作步骤及效果 针对于用户端依据各部门敏感信息（关键设计文档）做相关检验策略，终端经过MAIL（Lotus Notes、WEBMAIL等）向外部用户发送带有敏感信息邮件时（包含邮件标题、邮件正文、附件），DLP MAIL信息泄露防护系统会自动统计此用户行为，并匹配终端IP地址、用户名、邮件地址等，做具体监控统计，统计内容包含此用户账号、邮件地址、MAIL标题、MAIL正文、MAIL所带附件、收件人地址等。相关部门依据相关报表检验条件（可依据所定策略内容、组等方法进行检验），可列出天天、每个月、每

40、六个月所发这类邮件综合统计数据，依据这类数据，相关部门可进行相关统计分析及通报。2.4.2 布署场景二：DLP用户端经过QQ聊天工具、FTP、U盘、网络共享、WEB、网盘等方法监控场景1、场景目标简述针对XX终端在办公环境或非办公环境中使用QQ、FTP、U盘、网络共享、WEB、网盘等方法进行监控，实现用户经过QQ、FTP、U盘、网络共享、WEB、网盘等发送敏感信息进行监控和阻断，同时统计目前用户行为，并由相关部门做相关审计。2、场景管理范围用户端QQ、FTP、U盘、网络共享、WEB、网盘等防泄密监控针正确是XX集团全部安装DLP用户端终端在办公场所或非办公场所。所以，针对XX敏感信息防泄漏监控

41、同时监控办公场所及非办公场所，为此在实际布署过程中需要对XX全网终端进行布署。用户端在制订相关策略时，可依据用户端场所进行敏感数据监控和阻断。DLP用户端会自动判定目前终端所处场所，当在办公环境下，DLP用户端实施办公场所策略；当终端电脑离创办公场所，DLP用户端自动实施非办公场所策略，策略制订依据办公场所制订较为宽松阻断策略，非办公场所实施严格阻断策略。3、相关包含人员用户端使用者、用户端使用何种行为进行数据传输、相关部门审计者。终端使用者在办公场所或非办公场所将带有敏感信息资料经过QQ、FTP、U盘、网络共享、WEB、网盘等路径公布出去后，DLP用户端自动统计和监控此行为，并作具体统计（包

42、含时间、内容等）。当终端在非办公场所发生以上行为后，等终端连接到办公环境后，DLP用户端自动会将此监控统计传到DLP管理服务器上，便于相关部门事后审核此相关日志，并作相关通报。4、具体工作步骤及效果针对于用户端依据各部门敏感信息做相关检验策略，当内部职员终端经过QQ、FTP、U盘、网络共享、WEB、网盘等等向外部用户传输或拷贝带相关键资料时，DLP用户端会自动统计和阻断此终端行为，并匹配终端IP地址、主机名、使用何种手段传输数据做具体监控统计。相关部门依据相关报表检验条件（可依据所定策略内容、IP地址、主机名等方法进行检验），可列出XX职员天天、每个月、每六个月综合统计数据，依据这类数据，相关

43、部门可进行相关统计分析及通报。2.4.3布署场景三：WEB Prevent监控及阻断WEB MAIL场景1、场景目标简述针对XX集团办公终端经过代理服务器发送WEB MAIL进行监控和阻断，实现用户经过WEB MAIL发送敏感信息进行监控和阻断，同时统计目前用户行为并作提醒，通知用户此WEB MAIL被拦截原因。2、场景管理范围办公终端WEB MAIL防泄密阻断针对XX集团办公终端使用互联网资源经过WEB MAIL发送敏感信息办公终端，同时也是针对全部可使用互联网办公终端，为此在实际布署过程中需要对建行分行全部使用互联网资源办公终端进行布署。3、相关包含人员互联网资源使用者、敏感信息发送者、安

44、全管理员。办公终端使用者将带有敏感信息资料经过WEB MAIL路径公布出去后，DLP Web Prevent自动统计和阻断此行为，并作具体统计（包含时间、发送者、接收者、内容等）。便于审核此相关日志，并由安全管理员作相关通报。4、具体工作步骤及效果当终端经过代理服务器使用WEB MAIL发送MAIL时，DLP Web Prevent对符合 ICAP web 代理集成，如SWG、Blue Coat、Cisco 和 ISA等。Web 代理被配置为排队出站数据传输，并将副本发送到 DLP WEB Prevent 进行扫描。假如数据传输不违反敏感数据阻断策略，DLP Network Prevent 将

45、指示代理将数据传输到其指定目标地。假如数据传输确实违反了XX集团所定义策略，DLP WEB Prevent 能够选择通知代理终止传输，或它能够选择仅把保密数据从 web 传输中删除。在后一个情况中，数据传输将继续传送到目标地，且不影响 web 浏览器。对 HTTP/HTTPS来说，DLP WEB Prevent 能够选择显示一个新 web 页面，传回最终用户，通知最终用户违反了策略，传输被拦截。2.4.4布署场景四：Web Prevent监控及阻断Web论坛、FTP、Yahoo Message、MSN、Web网盘等场景1、场景目标简述针对XX集团办公终端经过代理服务器在BBS/贴吧/文库/FTP/Web网盘上传敏感信息进行监控和阻断，终端使用Yahoo Message/AIM/MSN等聊天工具散步含有敏感数据进行监控和阻断。同时统计目前用户行为并作提醒，通知用户此被拦截原因。2、场景管理范围