<address id="vd555"><nobr id="vd555"></nobr></address>
<form id="vd555"></form>

<p id="vd555"></p>
    <form id="vd555"><th id="vd555"><track id="vd555"></track></th></form>

    <noframes id="vd555">

    <address id="vd555"><form id="vd555"><th id="vd555"></th></form></address>
    <address id="vd555"></address>

    電話咨詢

    PHONE CONSULTING

    400-850-3690

    售前服務

    ONLINE CONSULTING
    QQ客服 QQ客服

    售后服務

    ONLINE CONSULTING
    在線客服
    資源中心 SORCE
    用戶名:
    密 碼:
    資源中心
    您當前所在的位置:首頁 > 資源中心 > 詳細信息

    文件名稱:數據防泄漏解決方案
    下載分類:網絡信息安全
    瀏覽次數:71 次
    上傳時間:2013-9-22

    簡介:

    數據防泄漏解決方案


    一種簡單、劃算的方法防止從企業網絡泄漏敏感信息

    1.背景介紹

      隨著電子信息化和網絡的發展,從企業到個人、從公共到私人的信息都在電子化和網絡化,企業數據和個人信息泄漏已經成為社會當今普遍的問題。對于企業重要數據的泄漏,可能會直接或間接的給企業帶來重大的經濟損失。另外據統計90%的企業都是具有員工個人的重要信息(身份證號、社保號碼、銀行卡號和手機號碼等),并且近幾年,也常發生于從企業內部泄漏大量個人敏感信息,隨著國家將立法對個人敏感信息泄漏進行保護,那么企業對員工的個人信息泄漏防護也是重點。

    2.數據防泄漏技術特點

      數據防泄漏技術已經被許多IT企業所關注和使用,并且幫助公司能夠對重要和敏感數據進行保護和管理。但對于企業來說,一個完整的數據防泄漏技術方案是復雜并且昂貴的,技術方案上都涉及到文檔的加密、內部人員權限管理、文檔外發管理、桌面安全控制和管理、網絡準入控制、終端設備管控、移動存儲管控和全面的操作審計內容等等,都會給企業帶來復雜的IT維護和高額資金投入,而對于一個IT投入成本受限的公司來說是沒有能力使用的技術方案。另外,對于數據泄漏的防護上,取決于整體防護強度中最為薄弱的一環,而對于企業網絡邊界的防護通常是最為薄弱的環節之一,主要是當今邊界的安全設備如防火墻、入侵防御、防毒墻等,都不是針對或有效地對數據泄漏進行防護。

    3.網康下一代防火墻的數據防泄漏技術

    3.1利用應用和用戶識別技術控制數據泄漏的途徑

      對于企業網絡邊界的數據泄漏防護上,首先是選擇能夠控制會造成敏感數據泄漏的應用。企業的應用畢竟會從“利”和“弊”兩個方面來看待,對于企業完全沒有任何好處的應用就可以完全阻斷,而避免它造成數據泄漏,比如大部分企業需要禁止代理翻墻應用或P2P下載應用,因為其對企業的IT業務來說是沒有任何好處的,并且還會帶來很大的數據泄漏風險。而對于企業有“利”的應用,可能也存在對企業造成數據泄漏風險的動作,比如MSN Messenger,可以方便企業內部員工與客戶進行即時溝通,但其傳輸文件的應用動作會給企業帶來重要數據泄漏的可能。網康下一代防火墻的應用洞察和識別能力,企業IT人員可通過對應用的合理控制,能夠為企業大大減少數據泄漏的傳輸途徑。

      在發生的一些數據泄漏事件中,通常都會與企業內部的“人”有關,傳統的邊界設備通??梢姾涂刂频氖恰癐P”地址,并且不能有效的對“人”進行管理和控制數據外發的行為。網康下一代防火墻具有完善的用戶識別能力,通過一體化的安全策略可以基于“人“的維度,控制高風險應用的使用、授權數據外發的行為和記錄數據傳輸的事件,不但降低了沒有授權的”人“會造成數據泄漏的風險,還會幫助企業對造成數據泄漏風險的”人“進行事后審計和處理。

    3.2基于應用的文件類型和內容過濾技術

      隨著網絡應用不斷豐富,大量應用會建立在HTTP等基礎協議之上,或者端口號隨機產生?;趥鹘y基本協議的內容過濾方式對現在的大量應用失效性越來越嚴重,比如對于電子郵件應用(包括各WEB Mail的正文和附件)、應用平臺應用(各種流行的微博)、P2P應用、網盤應用和論壇發貼應用等等。網康下一代防火墻基于應用構建文件類型和內容的掃描能力,并且支持幾百種常見應用的文件類型和內容控制,能夠細粒度到應用的動作級進行識別和控制,比如用戶選擇內容過濾是針對MSN的聊天內容還是文件傳輸。其中對于文件內容的掃描,網康提供給用戶自定義正則表達式的方式,同時可指定關鍵信息的命中閥值來決策阻斷或告警,另外,還提供一些預訂義的特征方式給用戶選擇掃描,比如身份證號、銀行卡號和手機號碼等。而對于文件類型的掃描,支持近百種常見的文件類型(包括各種Office文件、音視頻文件,圖片和壓縮文件等),文件類型的識別是采用文件特征匹配方式,修改文件后綴仍可準確識別。

    4.網康下一代防火墻數據防泄漏配置指導

    4.1利用安全策略來控制用戶權限降低數據泄漏風險

      網康下一代防火墻支持安全策略來控制內部網絡的用戶使用應用的權限,可以通過對應用和用戶兩個維度組合進行細粒度限制,來降低內部數據泄漏的風險。比如企業按照嚴格安全策略控制研發人員使用具有傳輸文件功能的應用子功能(見下圖)。

    \

    圖1:選擇研發部門的人員組進行權限控制

    \

    圖2:選擇具有文件傳輸能力的應用

      正如以上圖示的策略可以完成對特定人員使用應用的權限控制,能夠很好避免重要用戶通過網絡泄漏敏感的企業數據,。

    4.2利用文件類型和內容的過濾防止數據泄漏

      網康下一代防火墻支持近300種應用下的文件類型和內容的過濾能力, 同時可支持64種以上主要的文件類型進行檢測,還支持利用正則表達式的方法來定義敏感信息樣式,并且還預定義了包括 “身份證號碼”、“銀行卡號”和“信用卡號”等關鍵字樣式。比如對于一個建筑公司來說工程圖是重要的電子資產,是禁止從網絡泄漏到外部的,那么可以根據文件類型過濾來防止工程圖泄漏(見下圖)。

    \

     圖3:設置工程圖文件類型阻斷防止泄漏

      另外,對于一般公司都會有重要的電子文檔,文檔頁面或內容中也常常標注為“XX公司”和“機密”字樣等,那么通過網康的下一代防火墻的關鍵字內容過濾,可以阻止這樣的文件被外發出去。

    \

    圖4:敏感關鍵字設置

    \

    圖5:設置敏感信息泄漏配置

      正如圖4中設定的關鍵字對象為文檔內帶有”機密“和”網康科技“字樣的關鍵字,并在圖5中配置防止敏感數據泄漏的數據過濾配置將此關鍵字關聯生效,就可以實現既簡單還有效的數據防泄漏能力。


    版權所有?2022 北京外思特科技有限公司.保留一切權利. 京ICP備10030852號