▽Symantec

Confidenceinaconnectedworld.

k-iST

l三i

u三Hs

.dEa

l=三

lH之

密級：商業(yè)秘密

文檔編號：

xx集團數(shù)據(jù)防泄密處理方案

技術(shù)提議書

專供

XX集團

20XX年11月

20XX年11月4日

尊敬XX集團用戶,您好!

賽門鐵克是提供安全、存放和系統(tǒng)管了處理方案領(lǐng)域全球領(lǐng)先者，可幫助XX集團保護和管理信息。

我們首要任務(wù)之一是認識數(shù)字世界改變趨勢并快速找四處理方案，從而幫助我們用戶提前預(yù)防新出現(xiàn)威

脅。另外，我們會提供軟件和服務(wù)來抵御安全、可用性、遵從性和性能方面風(fēng)險，從而幫助用戶保護她

們基礎(chǔ)架構(gòu)、信息和交互。

賽門鐵克致力于：

?和您攜手合作，共同打造一個全方面且可連續(xù)處理方案，從而滿足您全部需求。

?確保項目取得成功并最大程度地降低風(fēng)險。

?在布署后向XX集團提供支持和提議，從而確保平穩(wěn)運行和連續(xù)防護。

假如您在閱讀完本產(chǎn)品技犬方案后仍有疑問，請和我聯(lián)絡(luò)，假如您在決議過程中需要賽門鐵克任何

其它支持，也請盡管告訴我。

我期待著和您合作，并為這個關(guān)鍵項目標成功而盡力。

保密申明和用途

本產(chǎn)品技術(shù)方案包含“俁密信息”（以下定義）。本產(chǎn)品技術(shù)方案意在提供賽門鐵克提交本文

之時提供產(chǎn)品和（或）服務(wù)相關(guān)。本產(chǎn)品技術(shù)方案專向XX集團（以下簡稱“您”或“您”）槌供，

因為賽門鐵克認為“您”和賽門鐵克企業(yè)（以下簡稱“賽門鐵克”）達成交易。賽門鐵克努力確保

本產(chǎn)品技術(shù)方案中包含信息正確無誤，對于這類信息中任何錯誤或疏漏，賽門鐵克不負擔責任，并

在此就任何正確性或其它方面暗示確保提出免責?！澳苯邮漳疚臋n并不代表“您”和賽門鐵克之

間達成約束性協(xié)議，僅表明“您”有義務(wù)保護此處標識任何“保密信息”。賽門鐵克有權(quán)就任意及

全部用戶協(xié)議條款和條件進行協(xié)商。

“您”和賽門鐵克之間有書面保密協(xié)議，但“您”閱讀賽門鐵克提議書即表明，在因本產(chǎn)品技術(shù)

方案而交換和接收賽門鐵克俁密信息和專有信息范圍內(nèi)，包含但不限于報價、方法、知識、數(shù)據(jù)、

工作文件、技術(shù)和其它商業(yè)信息，不管書面還是口頭形式（以下簡稱‘‘保密信息”），

“您”同意依據(jù)“您”在申請函中所述用途僅在內(nèi)部閱讀本“保密信息”?！澳蓖獠恍孤?、俏

售、許可、分發(fā)或以任何其它方法向她人提供“保密信息”，除非因需知曉該信息而必需提供，但

必需遵守這類“保密信息”使用管理條款和條件?，而同該條款和條件限制性必需最少相當于“您”

用于保護自有同類信息所用條款和條件，旦在任何情況下絕不低于合理商業(yè)保護。

本產(chǎn)品技術(shù)方案及已提供任何其它賽門鐵克相關(guān)信息仍歸賽門鐵克獨自全部，未經(jīng)賽門鐵克事

先書面許可，不得拷貝、狂制或分發(fā)。賽門鐵克提供本產(chǎn)品技術(shù)方案，但并不負責為“您”提供任

何產(chǎn)品或任何服務(wù)。本產(chǎn)品技術(shù)方案敘述賽門鐵克就本文所述專題而言通常意圖，

除非‘‘您”已經(jīng)取得賽門鐵克事先書面許可，不然賽門鐵克謹請“您”不要聯(lián)絡(luò)本產(chǎn)品技術(shù)方

案中可能提及任何賽門鐵克用戶。

一經(jīng)請求即可提供此處所述產(chǎn)品使用和（或）服務(wù)交付所適用賽門鐵克條款和條件副本以供查閱

和審議。條款和條件可在簽署協(xié)議時進行協(xié)商。

Contents

1概述5

1.1項目背景5

1.2XX集團信息安全項目目標6

1.3術(shù)語解釋7

2XX集團信息安全項目需求及實現(xiàn)8

2.1XX集團信息安全涉密信息分級控管需求與實現(xiàn)8

2.1.1分階段推進方法9

2.1.2管理要求建議11

2.1.3人員崗位建議13

2.1.3管理流程建議14

2.3XX數(shù)據(jù)防泄密需求及實現(xiàn)16

2.4XX集團DLP部署規(guī)劃及效果17

2.4.1部署場景一：MAILPrevent監(jiān)控管理場景17

2.4.2部署場景二：DLP客戶端通過QQ聊天工具、FTP、U盤、網(wǎng)絡(luò)共享、WEB、網(wǎng)盤等

方式的監(jiān)控場景18

2.4.3部署場景三：WEBPrevent監(jiān)控及阻斷WEBMAIL場景18

2.4.4部署場景四：WebPrevent監(jiān)控及阻斷Web論壇、FTP、YahooMessage>MSN、Web

網(wǎng)盤等場景19

2.4.5部署場景五：米亞索能與XX集團數(shù)據(jù)防泄密系統(tǒng)兼容和可管控性場景19

2.5DLPMailPrevent防護流程圖20

2.6DLPEndpoint防護流程圖22

2.7DLPWeb信息防泄漏系統(tǒng)流程說明23

3終端全盤加密及敏感數(shù)據(jù)加密解決方案23

3.1XX集團DLP部署規(guī)劃及效果24

3.1.1部署場景一：終端電腦丟失，PGP客戶端安全防護場景24

3.1.2部署場景二：終端電腦文檔自動加密與XXOA系統(tǒng)流轉(zhuǎn)加密文檔的場景25

4離職及長期脫網(wǎng)人員的審計及安全管理25

5Symantec產(chǎn)品主要技術(shù)特征25

5.1SymantecDLP主要技術(shù)特性25

5.2SymantecPGP主要技術(shù)特征30

5.3XX集團信息防泄密系統(tǒng)方案設(shè)計31

5.3.1系統(tǒng)總體結(jié)構(gòu)31

5.3.2XX集團信息防泄密方案可靠性、擴展性說明32

5.3.3XX信息防泄密方案風(fēng)險預(yù)估32

5.4XX集團信息防泄密方案涉及產(chǎn)品模塊功能介紹32

6方案與產(chǎn)品背景35

6.1SymantecDLP產(chǎn)品介紹35

6.2PGP產(chǎn)品介紹39

1概述

L1項目背景

XX集團現(xiàn)在已經(jīng)成為世界頂級新能源提供商，擁有大量擁有自主產(chǎn)權(quán)信息資

產(chǎn)和研發(fā)創(chuàng)新能力。同時，這種快速發(fā)展也帶來了內(nèi)部管理方面問題，即怎樣管理

和保護這些信息資產(chǎn)，怎樣保護和維持自己研發(fā)創(chuàng)新能力，這是XX集團競爭力根

本基礎(chǔ)。

對xx集團而言，在面臨來自外部病毒、木馬、網(wǎng)絡(luò)攻擊等種種網(wǎng)絡(luò)安全威脅

同時，來自內(nèi)部數(shù)據(jù)泄露或許是一個更需要重視問題。在當今競爭日趨猛烈商業(yè)社

會，四處存在著陷阱和誘惑。為了達成目標，部分不良企業(yè)或個人會不擇手段來謀

取本身利益最大化。她們有可能窺探XX集團研發(fā)、生產(chǎn)、收入數(shù)據(jù)、用戶數(shù)據(jù)、

銷售數(shù)據(jù)等關(guān)鍵信息。這些信息關(guān)系企業(yè)生存和發(fā)展命脈，一旦流失將會讓XX集

團面臨信譽、經(jīng)濟、運行、隱私和法規(guī)遵從方面威脅。另外來自外部環(huán)境數(shù)據(jù)泄漏

驅(qū)動力也越來越大。自從力拓間諜門曝光后，媒體密集報導(dǎo)了大量不一樣性質(zhì)泄密

事件，共同暴露出了企業(yè)內(nèi)部監(jiān)管手段微弱和安全管理體系缺乏。

一旦有機密數(shù)據(jù)或信息資產(chǎn)泄密，帶來損失和深遠影響，將無可計量。所以賽

門鐵克真摯期望能夠幫助XX集團建立完善信息泄露防護體系，滿足目前關(guān)鍵業(yè)務(wù)

目標：1、對機密文件完成文件指紋采集；2、實時檢測從企業(yè)郵件系統(tǒng)發(fā)送到外網(wǎng)

郵件內(nèi)容。3、實時檢測從企業(yè)網(wǎng)絡(luò)送到外網(wǎng)HTTP內(nèi)容4、對終端進行泄密防護。

5、對終端機密數(shù)據(jù)進行加密。并做好充足準備為XX集團全網(wǎng)布署防泄密處理方案。

1.2XX集團信息安全項目目標

以xx集團信息安全涉密信息分級控管為技術(shù)先導(dǎo)，完成以下目標：

?定時對職員信息安全進行普及教育，定時培訓(xùn)，以確保職員形成統(tǒng)一信息

安全意識；

?建立專門信息安全管理部門、設(shè)置專員在各部門負責信息安全管理。

?增強信息安全相關(guān)技術(shù)；

?建立完善信息安全制度及步驟；

?建立完善信息安全制度及步驟；

?建立信息安全組織，設(shè)置信息安全管理部門，設(shè)置專員對各部門各業(yè)務(wù)信

息安全進行管理；

?增強對關(guān)鍵信息資產(chǎn)進行分類及風(fēng)險評定，依據(jù)其風(fēng)險進行合適管理。

?增強通信和操作管理；

?增強信息系統(tǒng)獲取、開發(fā)和維護等相關(guān)技術(shù)支持；

?對信息資產(chǎn)進行風(fēng)險評定，依據(jù)其風(fēng)險建立可實施保護策略；

?建立信息處理及存放程序，對關(guān)鍵信息訪問設(shè)置限制，以預(yù)防信息未授權(quán)

泄漏或不正當使用；

?保留企業(yè)信息介質(zhì)應(yīng)受到使用限制、控制和物理保護，以預(yù)防信息資源遭

受未授權(quán)泄漏、修改、移動或銷毀；

?完善現(xiàn)有信息安全制度；

?依據(jù)業(yè)務(wù)目標制訂清楚信息安全指導(dǎo)，建立針對性強、實施性強、具體信

息安全處理手冊。

以XX集團信息安全項目技術(shù)處理方案為技術(shù)基礎(chǔ)，完成以下目標：

?終端數(shù)據(jù)防泄密處理方案。實現(xiàn)終端在線環(huán)境、終端離線環(huán)境中經(jīng)過U盤、

網(wǎng)盤、打印機、傳真機、網(wǎng)絡(luò)共享、相關(guān)加密壓縮等路徑傳輸敏感數(shù)據(jù)監(jiān)

控和阻斷功效；

?郵件防泄漏處理方案。經(jīng)過用戶在企業(yè)內(nèi)網(wǎng)使用企業(yè)郵箱等路徑傳輸敏感

數(shù)據(jù)監(jiān)控和阻斷功效；

?Web防泄密處理方案。經(jīng)過用戶在企業(yè)內(nèi)網(wǎng)使用Internet向互聯(lián)網(wǎng)上傳敏

感數(shù)據(jù)監(jiān)控和阻斷功效；

?終端數(shù)據(jù)加密處理方案。實現(xiàn)終端電腦全盤加密及SSO-AD集成單點登錄、

常見文檔自動加密等功效；

?離職人員或長久脫網(wǎng)人員審計處理方案。

1.3術(shù)語解釋

序號術(shù)語名稱術(shù)語解釋

1SymantecDataLossEnforce,作為信息泄漏防護系統(tǒng)中央管理平臺，負

Prevention(DLP)信息泄責集中管理全部軟件模塊。關(guān)鍵提供策略管理、事

漏防護系統(tǒng)管理服務(wù)器件管理、日志匯總等功效。

2SymantecDataLossEnforceforDatabase,信息泄漏防護系統(tǒng)數(shù)據(jù)庫，

Prevention(DLP)信息泄支持數(shù)據(jù)庫類型是Oracle11G。

漏防護系統(tǒng)數(shù)據(jù)庫

3SymantecDataLossWEBPreventServer,該服務(wù)器負責掃描從web代

Prevention(DLP)FOR理程序接收HTTP/S流量，使用標準互聯(lián)網(wǎng)內(nèi)容適

信息泄漏防護系統(tǒng)

WEB配協(xié)議(ICAP)接FI,支持對違反所配置策略內(nèi)容

防護服務(wù)器

進行請求修改(REQMOD)和響應(yīng)修改

(RESPMOD)檢驗。REQMOD許可掃描出站

HTTP、HTTPS和FTP請求，包含網(wǎng)站GETS、網(wǎng)

絡(luò)郵件POSTS。RESPMOD許可掃描對應(yīng)入站

HTTP/HTTPS響應(yīng)，從原始請求返回內(nèi)容。

4SymantecDataLossMailPrevent,該服務(wù)器需要和郵件代理SMG配

Prevention(DLP)郵件信合，實現(xiàn)對外發(fā)郵件檢驗和隔離。

息泄漏防護系統(tǒng)防護服

務(wù)器

5SymantecDataLoss

Prevention(DLP)端點信EndpointServer,該服務(wù)器負責管理全部端點信息

息泄漏防護系統(tǒng)防護服泄漏防護軟件，中轉(zhuǎn)端點信息泄漏管理服務(wù)器和端

務(wù)器點信息泄漏防護軟件之間通信流量。

6SymantecDataLossDLPAgent,該用戶端軟件需要安裝在受控終端

Prevention(DLP)端點信上，負責監(jiān)控復(fù)制到USB設(shè)備或是刻錄到

息泄漏防護系統(tǒng)用戶端CD/DVD,和從其它網(wǎng)絡(luò)路徑發(fā)送出去數(shù)據(jù)；同時

軟件能夠?qū)Υ娣旁诮K端硬盤驅(qū)動器中數(shù)據(jù)進行掃描，從

而實現(xiàn)對受監(jiān)控終端信息泄漏防護。

7SymantecMailGatewaySMG,負責郵件接收和轉(zhuǎn)發(fā)，和DLPMailPrevent

(SMG)結(jié)合，并依據(jù)DLPMailPrevent郵件信息泄漏管理

郵件網(wǎng)關(guān)服務(wù)器服務(wù)器處理結(jié)果放行或阻斷郵件。

8SymantecWebSWG,負責終端上互聯(lián)網(wǎng)代理服務(wù)器，和DLPWeb

Gateway(SWG)Prevent結(jié)合，并依據(jù)DLPWebPrevent處理結(jié)果放

賽門鐵克訪問安全

Web行或阻斷Web相關(guān)訪問。

網(wǎng)關(guān)產(chǎn)品

9PGP加密管理服務(wù)器SYMANTECPGP加密系統(tǒng)用戶端管理平臺，包含

策略設(shè)置，密鑰管理等。

10PGP終端加密軟件安裝在終端上，對終端全盤進行加密。對終端經(jīng)過

網(wǎng)絡(luò)方法訪問數(shù)據(jù)進行加密。

2XX集團信息安全項目需求及實現(xiàn)

2.1XX集團信息安全涉密信息分級控管需求和實現(xiàn)

作為XX信息安全項目之一，XX關(guān)鍵數(shù)據(jù)信息安全項目依靠于對關(guān)鍵信息

防泄密管理要求制訂明確性和細化程度，依靠于XX涉密信息分級控管規(guī)則制

訂正確性、符合性和精細度。而涉密信息分級控管規(guī)則為了實現(xiàn)“降低XX集團

總體計劃關(guān)鍵信息系統(tǒng)涉密數(shù)據(jù)從內(nèi)部外泄，主動抵御來自XX集團外部對XX

總體計劃、關(guān)鍵信息系統(tǒng)數(shù)據(jù)竊取''這一目標，更需要逐步建立起包含：信息內(nèi)

容防泄密管理要求，人員崗位和職責，配套運行管理步驟，職員教育等在內(nèi)整

套運行管理體系及連續(xù)改善計劃等在內(nèi)風(fēng)險管控機制，才能使本方案中信息防

泄密系統(tǒng)真正發(fā)揮有效技術(shù)支撐作用。

所以，除了信息防泄密本身技術(shù)功效之外，以下幾方面內(nèi)容是保障其有效

運行關(guān)鍵條件：

1.關(guān)鍵信息防泄漏依據(jù)：即要處理：

?關(guān)鍵信息內(nèi)容分類、分級是什么；

?針對這些內(nèi)容在郵件外發(fā)、互聯(lián)網(wǎng)使用過程、內(nèi)部終端存放分布

方面保護管理要求是什么；

?針對這些要求對應(yīng)監(jiān)控審計策略是什么等問題。

歸結(jié)起來就是防泄密相關(guān)管理要求問題。

2.關(guān)鍵數(shù)據(jù)防泄漏實施：即要處理：

?審計策略制訂和更新及相關(guān)人員角色及步驟；

?監(jiān)控和審計實施及相關(guān)人員角色及步驟；

?審計結(jié)果中違規(guī)事件處理及相關(guān)人員角色及步驟等問題。

歸結(jié)起來就是防泄密相關(guān)人員崗位、管理步驟問題。

3.連續(xù)改善及風(fēng)險評價：即要處理：

?經(jīng)過關(guān)鍵數(shù)據(jù)防泄漏怎樣推進企業(yè)行為改善，改善情況怎樣

?經(jīng)過關(guān)鍵數(shù)據(jù)防泄漏怎樣推進職員行為改善，改善情況怎樣

歸結(jié)起來就是防泄密相關(guān)評價和改善問題。

下文將結(jié)合Symantec信息防泄漏建設(shè)管理運行方法論及最好實踐，就上述多

個方面提出對應(yīng)運行管理提議。

2.1.1分階段推進方法

XX集團已明確了采取信息防泄漏方法來推進關(guān)鍵信息外泄風(fēng)險管理工作，并

為此經(jīng)過除本子系統(tǒng)之外數(shù)據(jù)分類分級子系統(tǒng)、數(shù)據(jù)加密子系統(tǒng)，三個子系統(tǒng)共

同完成這一管理目標。理論上講，信息防泄漏系統(tǒng)屬于事后管理，是實現(xiàn)明確審

計需求系統(tǒng)，即需要有明確信息分類分級和明確審計策略作為基礎(chǔ)。但假如這三

個子系統(tǒng)是同時推進過程，則需要經(jīng)過分階段運行管理方法，不停循環(huán)推進，以

最終達成目標。而這其中，經(jīng)過本子系統(tǒng)信息內(nèi)容監(jiān)控功效為切入點，進行風(fēng)險

識別尤為關(guān)鍵。依據(jù)最好實踐經(jīng)驗，根據(jù)以下四個階段推進過程，并完成各階段

對應(yīng)運行管理活動，將有利于目標達成：

1.風(fēng)險識別和運行管理初始階段。風(fēng)險識別階段關(guān)鍵任務(wù)就是搜集資料，了

解風(fēng)險存在情況。賽門鐵克提議最好在風(fēng)險識別階段停留足夠長時間，以確保能

夠為XX集團提供足夠數(shù)據(jù)，為分類分級子系統(tǒng)策略定義、審計策略制訂等提供

更為正確支持，同時也為后續(xù)泄漏風(fēng)險降低制訂切實可行風(fēng)險降低目標。

實際上，該階段也是本信息防泄漏子系統(tǒng)能夠發(fā)揮作用最為關(guān)鍵和關(guān)鍵階段。

這個階段關(guān)鍵任務(wù)包含：

I）建立必需管理團體：建立類似XX集團信息防泄漏統(tǒng)籌管理委員會這么團

體，包含并涵蓋業(yè)務(wù)部門、審計核查職能部門、分類分級子系統(tǒng)建設(shè)部門等相

關(guān)必需人員；統(tǒng)籌委員會可設(shè)置工作小組負責實施，同時建立事件響應(yīng)團體，

確保信息內(nèi)容審計結(jié)果得到高層管理人員重視和支持，并推進對應(yīng)處理和改善。

2）建立初始策略和調(diào)優(yōu)步躲：在制訂并完善數(shù)據(jù)防泄密管理要求同時，努

力爭取經(jīng)過本子系統(tǒng)得到愈加完整泄漏風(fēng)險視圖，并結(jié)合分類分級子系統(tǒng)輸出，

優(yōu)先從最關(guān)鍵數(shù)據(jù)和嚴重風(fēng)險事件審計入手。在建立了初始審計策略基礎(chǔ)上，

明確策略調(diào)優(yōu)步驟，并結(jié)合子系統(tǒng)之間接口功效，制訂跨子系統(tǒng)相關(guān)策略管理

步驟。

提議將事件最少分成三類：

?有問題業(yè)務(wù)步驟

?職員疏忽

?潛在惡意行為分類后，即可在后續(xù)風(fēng)險降低全部響應(yīng)及活動中更有針對

性。關(guān)鍵活動包含：

修復(fù)：關(guān)鍵針對處理第一點一一因有問題業(yè)務(wù)步驟造成事件，經(jīng)過讓這些

問題引發(fā)業(yè)務(wù)部門注意，并和她們一起工作，讓步驟變得愈加安全。

通知：關(guān)鍵針對處理第二點一一處理由職員疏忽引發(fā)事件，當一個行為違反了

策略時，經(jīng)過立即通知職員。

阻止及保護：關(guān)鍵是針對處理第三點一一預(yù)防一些可能潛在惡意行為。

3）歸類事件及針對性調(diào)研：更深入地研究事件本身，并開始找出其潛在原因。

4）確立并開始跟蹤指標：該階段結(jié)束時，該子系統(tǒng)應(yīng)是一個最優(yōu)工作狀

態(tài)，應(yīng)達成了針對每個監(jiān)控策略目標指標，比如：合規(guī)率（最初目標定義）。

開始跟蹤每個策略這些指標，作為衡量成功運行一個手段。

2.完善企業(yè)管理行為階段該階段關(guān)鍵是改善風(fēng)險評定階段里發(fā)覺高風(fēng)險業(yè)

務(wù)步驟，同時為全部事件深入制訂整改計劃。具體步驟包含：

1）修復(fù)有缺點業(yè)務(wù)步驟。比如機密數(shù)據(jù)明文存放，或出現(xiàn)在公共文件共享里，

或在您職員、用戶和合作伙伴之間往返傳輸。人約有二分之一是因為有問題業(yè)

務(wù)步驟。她們是風(fēng)險關(guān)鍵締造者，修復(fù)是最花時間。

2）建立和業(yè)務(wù)部門溝通機制。評定企業(yè)文化，以確定溝通適宜程度，并確

定可能影響。和其它業(yè)務(wù)部門和企業(yè)領(lǐng)導(dǎo)進行溝通。來自統(tǒng)籌委員會相同等級

高層管理人員有力支持能夠讓全部努力事半功倍。需要找到適宜人，坐在一起

討論需要進行改變。

3）加強和完善合適規(guī)章制度。如簽署保密協(xié)議、簽訂保密協(xié)議、制訂及完善

保密規(guī)章制度、制訂及完善文件分類分級標準，在保密資料上加印“機密”、

“保密”之類字樣、限制文件發(fā)放范圍和數(shù)量、通知職員對哪些信息負有保密義

務(wù)等。這類制度口J能企業(yè)已經(jīng)有了，但需要深入完善，向且需要在企業(yè)和職員中，

經(jīng)過各類活動進行宣傳和強化。

4）建立適宜操作步驟。比如文檔加密以后，我們怎樣和用戶、合作伙伴交互

文檔？不一樣分企業(yè)、.業(yè)務(wù)部門之間是否要限制使用？文件又怎樣流轉(zhuǎn)？一般職

員知道哪些文檔需要加密嗎？加密文件哪些人能夠使用呢？誰能對文件進行解密

操作？需要什么樣審批、審計步驟呢？

5）連續(xù)監(jiān)控指標和加強溝通。當成功完成上述工作后，關(guān)鍵是要繼續(xù)跟蹤

運行指標和風(fēng)險降低指標。提議新增部分指標，測算一下完善企業(yè)管理行為后降

低了多少風(fēng)險。

3.改變個人使用習(xí)慣階段本階段關(guān)鍵在于通知職員什么是違反企業(yè)要求行為，

以此促進她們改變

自己行為方法。對于網(wǎng)絡(luò)事件來說，自動郵件通知就像是對于職員違規(guī)行為

立即給“一巴掌”。對于終端事件，自動彈出屏幕通知她們違規(guī)了，并給她們更正

機會。對職員來說，防泄密方法應(yīng)該是公開透明。這種公開溝通是指要將職員納

入該項計劃之中，激勵組織內(nèi)每一個人主動主動地進行風(fēng)險降低活動。關(guān)鍵步驟

包含：

1）制訂職員推廣和交流計劃。制訂合適信息交互方法，頻率和提供渠道。

為數(shù)據(jù)保護關(guān)鍵性進行大型宣傳活動。最少考慮一下，在內(nèi)部網(wǎng)張貼數(shù)據(jù)保

護政策、常見問題、基于場景示例，和其它問題溝通方法。最少每十二個月一次

定時審查和更新數(shù)據(jù)保護培訓(xùn)計劃。

2）經(jīng)過自動策略違規(guī)通知提醒職員。通常自動策略違規(guī)通知啟用一個星期

內(nèi)，事件數(shù)量下降了90%。然而，要達成這么效果，需要認真計劃，并進行主

動主動溝通。在任何情況下，企業(yè)全部應(yīng)該盡早開始思索要和職員溝通什么，何

時開始溝通，怎樣溝通，和提供怎樣資源激勵培養(yǎng)企業(yè)安全文化等等。主動告訴

雇員信息內(nèi)容審計處理方案關(guān)鍵性企業(yè)會愈加快取得愈加好結(jié)果。

4.泄密行為自動化阻斷階段預(yù)防惡意或非有意事件發(fā)生是任何數(shù)據(jù)安全項目

標終極目標。本階段，包含對機密文件進行授權(quán)、給明文敏感文件進行加密（數(shù)

據(jù)加密子系統(tǒng)所實現(xiàn)功效），也包含阻斷網(wǎng)絡(luò)通訊、文件傳輸、文件拷貝、隔離暴

露文件等活動（也是本信息防泄漏子系統(tǒng)由監(jiān)控審計功效切換至未來阻斷功效）。

依據(jù)該階段功效，需要合適修訂對應(yīng)管理考評要求，和事件響應(yīng)處理步驟等內(nèi)容。

所應(yīng)注意是：誤報造成阻止或移動文件會對業(yè)務(wù)產(chǎn)生消極影響，應(yīng)不惜一切

代價避免其發(fā)生（這里誤報是指未了解清楚業(yè)務(wù)步驟中要求造成策略定義不正確

而造成事件結(jié)果和實際業(yè)務(wù)不符）。實際上，沒有完成您誤報目標指標策略不應(yīng)

該啟用阻止響應(yīng)規(guī)則。

2.1.2管理要求提議

在上述分階段推進過程中，第一階段就應(yīng)努力完成大部分信息防泄漏管理要

求，從而為信息審計策略制訂及優(yōu)化起到了好保障和推進作用。

依據(jù)本項目目標，制訂或完善相關(guān)制度，包含但不限于：

制度名稱關(guān)鍵內(nèi)容

1.描述怎樣進行涉密數(shù)據(jù)管理，明確管

理機構(gòu)、管理方法等。

2.設(shè)置涉密數(shù)據(jù)分級保護支持組織和執(zhí)

行機構(gòu)。

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)保護管理要求》

3.細化針對互聯(lián)網(wǎng)上網(wǎng)數(shù)據(jù)防泄密、郵

件外發(fā)防泄密、關(guān)鍵系統(tǒng)數(shù)據(jù)分布等方

面管理要求

4.明確定義對于泄密行為處罰方法

1.數(shù)據(jù)分類分級屬性定義及對應(yīng)標準。

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)分類分級數(shù)據(jù)規(guī)2.數(shù)據(jù)分類分級實施過程和審核過程期

范》范。

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)分類分級安全基

線》定義各級數(shù)據(jù)最小安全控制策略要求。

數(shù)據(jù)加密對象要求、加密方法定義和加

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)加密規(guī)范》密過程實施規(guī)范。

依據(jù)保護管理要求和安全基線內(nèi)容，明

確信息內(nèi)容審計要求和規(guī)范，如：批量

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)分類分級審計規(guī)下載敏感信息人員審計、違規(guī)時間段證

范》問敏感信息人員審計等。并以此作為信

息內(nèi)容審計子系統(tǒng)定義策略規(guī)則依據(jù)

《XX關(guān)鍵信息系統(tǒng)數(shù)據(jù)泄密風(fēng)險監(jiān)控指

標》1.定義泄密風(fēng)險監(jiān)控審計指標

以上提議內(nèi)容可在分類分級子系統(tǒng)及加密子系統(tǒng)建設(shè)項目中完成，但其中第

一個《管理要求》和最終兩個《審計規(guī)范》、《監(jiān)控指標》，則是本信息內(nèi)容審計

子系統(tǒng)很關(guān)鍵和必需輸入，也會伴隨本子系統(tǒng)策略不停優(yōu)化，而逐步完善和改

善。

2.L3人員崗位提議

圍繞信息防泄漏子系統(tǒng)，除了需設(shè)置必需維護該系統(tǒng)系統(tǒng)維護崗位和人員外，

對于監(jiān)控和審計策略制訂和修訂，事件響應(yīng)處理等相關(guān)活動也一樣需要設(shè)置對應(yīng)人

員和崗位，以確保制度落實。而人員及崗位設(shè)定和XX集團企業(yè)內(nèi)IT運維組織架

構(gòu)、企業(yè)內(nèi)審內(nèi)控管理組織架構(gòu)等親密相關(guān)。賽門鐵克依據(jù)企業(yè)防泄密工作最好實

踐，提議在人員崗位設(shè)置上應(yīng)充足考慮以下提議：

1.必需組織和團體：

1）統(tǒng)籌管理委員會：確保有來自業(yè)務(wù)部門、審計及內(nèi)控等部門相關(guān)人員，確保

統(tǒng)籌管理委員會中有高層領(lǐng)導(dǎo)介入。這是實現(xiàn)信息泄密監(jiān)控和審計最高和最有權(quán)威

領(lǐng)導(dǎo)機構(gòu)，同時也是協(xié)調(diào)三個子系統(tǒng)項目組管理機構(gòu)。該機構(gòu)可

下屬具體實施工作小組。

2）審計監(jiān)控實施團體：關(guān)鍵由集團總部、各區(qū)域中心對應(yīng)信息防泄漏子系統(tǒng)系

統(tǒng)運維人員組成，該小組領(lǐng)導(dǎo)應(yīng)是統(tǒng)籌管理委員會下屬工作小組組員，從技術(shù)層面

落實和實施工作小組要求，并向工作小組匯報來自系統(tǒng)審計監(jiān)控技術(shù)匯報，提交相

關(guān)報表。

3）事件響應(yīng)團體：應(yīng)在集團總部、各區(qū)域中心、信息防泄漏范圍內(nèi)業(yè)務(wù)系統(tǒng)中

設(shè)置負責相關(guān)事件響應(yīng)和處理事務(wù)崗位及人員，這類人員和審計監(jiān)控實施團體對口

人員相互配合，了解事件信息，確定事件原因，判定事件違規(guī)性質(zhì)。推進連續(xù)風(fēng)險

改善。

2.必需崗位設(shè)置：

1）管理崗：在統(tǒng)籌管理委員會中來自不一樣部門人員中，通常提議應(yīng)確保各部

門有1人是該部門運行管理崗。負責本部門信息內(nèi)容監(jiān)控和審計策略決議，策略制

訂、優(yōu)化、變更等步驟審批，參與統(tǒng)籌會員會決議討論，督促本部門泄密風(fēng)險管理

工作0

2）使用崗：負責本部門防泄密管理要求實施，提出本部門相關(guān)信息內(nèi)容監(jiān)控審

計需求及防護要求，匯報給本部門管理崗，并和其一同提交并參與統(tǒng)籌委員會下屬

工作小組中，相關(guān)相關(guān)分類分級管理制度、安全基線、審計規(guī)范等制度修訂工作。

同時，該崗位對監(jiān)控崗發(fā)覺本部門泄密或違規(guī)事件應(yīng)立即進行跟蹤、追查、審核并

確定，對審計監(jiān)控實施團體給回饋，對于需要處理嚴重泄密事件，交由核查崗進行

處理。

3）核查崗：通常在集團或各區(qū)域中心內(nèi)審內(nèi)控或合規(guī)管理部門、保密管理辦公

室、風(fēng)險控制管理部等相關(guān)部門設(shè)置該崗，負責檢驗本單位或是全企業(yè)信息內(nèi)容審

計策略實施、泄密事件處理等工作，督促各部門信息泄密防范工作改善。

4）監(jiān)控崗：通常由信息技術(shù)部人員負擔該崗位工作，可設(shè)置在集團或區(qū)域中心,

依據(jù)XX集團管理運維組織架構(gòu)，既可經(jīng)過集團統(tǒng)一平臺，在集團統(tǒng)一設(shè)置監(jiān)控崗,

也可給予各區(qū)域中心權(quán)限，登錄集團平臺分區(qū)域監(jiān)控。監(jiān)控崗為技術(shù)崗，為使用崗

提供事件，為管理崗及二作小組提交監(jiān)控匯報。

5）維護崗：由信息技術(shù)部人員負擔該崗位工作，完成信息內(nèi)容防泄漏系統(tǒng)維護

工作，最關(guān)鍵是需要和使用崗合作，完成和分類分級子系統(tǒng)接口中，監(jiān)控策略有效

性、可行性分析，參與分類分級子系統(tǒng)接口策略分析、調(diào)優(yōu)等工作。

下表為各崗位在XX集團相關(guān)部門內(nèi)設(shè)置及分布提議:

部門崗位設(shè)置

管理崗

使用崗

信息管理部門

監(jiān)控崗

維護崗

業(yè)務(wù)剖門使用崗

管理崗

管理崗

內(nèi)審內(nèi)控部

使用崗

門風(fēng)險管理

核查崗

部門

2.1.3管理步驟提議

在運行管理活動中，各崗位人員經(jīng)過管理步驟落實制度，推行職責。圍繞

信息防泄漏子系統(tǒng)，必需管理步驟包含但不限于：

1.監(jiān)控及審計策略配置申請及變更管理步驟

包含：例外事件申請審批步驟

2.外發(fā)郵件泄密事件響應(yīng)處理步驟

3.互聯(lián)網(wǎng)外發(fā)泄密事件響應(yīng)處理步驟各步驟最少包含崗位，及各崗位

在步驟中步驟和作用以下表所表示：

步驟名稱關(guān)鍵崗位崗位作用

使用崗1.使用崗：提出本部門監(jiān)控審計策略新建及變

《監(jiān)控及審計策更需求，提交本部門管理崗，在核查崗報

管理崗

略配置申請及變備。

核查崗

更流程》管理崗：對需求進行審批，判定是否需上弗

維護崗2.

到統(tǒng)籌委員會工作組，交由分類分級平臺紈

一.變更

3.維護崗：

1）對使用崗提出變更需求，進行必需驗證和孤

試，為管理崗或統(tǒng)籌委員會工作小組提供審批保

據(jù).

,2）依據(jù)管理崗或統(tǒng)籌委員會工作小組審批意

見，完成對審計系統(tǒng)策略變更配置操作。

4.核查崗：統(tǒng)計變更后審計策略，并督促連續(xù)

策略實施

1.監(jiān)控崗：

1）將監(jiān)控到事件以要求方法提交使用崗

監(jiān)控崗

2）依據(jù)使用崗/核查崗回饋結(jié)果完成，進行理

使用崗

《泄密事件響應(yīng)件處理狀態(tài)關(guān)閉

管理崗

處理步驟》2.使用崗：

核查崗

1）依據(jù)得到事件列表，進行必需調(diào)查和事件

郵件系統(tǒng)判定和確定，督促事件處理。

管理員2）對于嚴重泄密事件，交核查崗進行處理。

網(wǎng)絡(luò)管理3）將事件處理結(jié)果反饋給監(jiān)督崗，問時上邦

員給對應(yīng)管理崗

3.管理崗：接收并了解職責范圍內(nèi)外發(fā)郵件、3

聯(lián)網(wǎng)泄密事件處理情況。

4.核查崗：對于確定是違規(guī)或嚴重泄密事件，核

查崗負責依據(jù)管理要求要求進行對應(yīng)處理。

并將處理結(jié)果上報管理崗，反饋給監(jiān)控崗。

當從監(jiān)控模式轉(zhuǎn)變到阻斷模式后：郵件、設(shè)

絡(luò)、系統(tǒng)管理員：需要依據(jù)審計系統(tǒng)及步驟審扣

后結(jié)果，進行必需郵件放行/阻斷確定，文件放行

/隔離等操作

下圖為事件響應(yīng)步驟示例，XX集團項目組可依據(jù)企業(yè)實際情況調(diào)整為更適宜

步驟：

2.3XX數(shù)據(jù)防泄密需求及實現(xiàn)

本期項目需要實現(xiàn)功效需求關(guān)鍵包含以下三個方面:

序號需求關(guān)鍵點實現(xiàn)方法備注

檢驗辦公環(huán)境下終端經(jīng)過在內(nèi)網(wǎng)搭建信息防泄漏系統(tǒng)，包含

FTP、U盤、移動硬盤、QQENDPOINTSERVER.ENFORCE

聊天工具、HTTP、SERVER,并在目標終端上安裝DLP

1HTTPS、網(wǎng)盤、打印機、刻AGENT,自動檢測終端網(wǎng)絡(luò)或當?shù)匦袨?/p>

錄等方法傳輸或拷貝已定義是否違反已定義相關(guān)規(guī)則，假如違反，則

敏感信息設(shè)計文檔時，做統(tǒng)做相關(guān)數(shù)據(jù)日志統(tǒng)計，并實現(xiàn)配套技術(shù)審

計和阻斷計及阻斷

在互聯(lián)網(wǎng)區(qū)搭建WEB信息防泄漏系統(tǒng)，包

對辦公終端使用互聯(lián)網(wǎng)資源含WEBPreventServerSWGoWEB

上傳或散布敏感數(shù)據(jù)進行監(jiān)Prevent服務(wù)器和代理服務(wù)器（SWG、

2控和阻斷，并嚴格統(tǒng)計相關(guān)BlueCoat/Cisco/ISA等）做相關(guān)集成,

日志，為事后審計提供有效自動檢測阻斷辦公終端使用WEB

證據(jù)。Mail/BBS/MSN/微博/FTP等互聯(lián)網(wǎng)行為是

否違反已定義相關(guān)規(guī)則，假如違反，則做

相關(guān)數(shù)據(jù)日志統(tǒng)計和行為阻斷，并實現(xiàn)配

套技術(shù)審計。

在現(xiàn)有MAIL系統(tǒng)上架構(gòu)SymantecMail

對XX集團MAIL系統(tǒng)進行

Gateway防控系統(tǒng)，并設(shè)置MAILFOR

安全信息防護，即使發(fā)覺

PREVENT服務(wù)器，經(jīng)過對用戶MAIL進

3XX用戶經(jīng)過MAIL向外發(fā)

行敏感信息泄露監(jiān)控及報警攔截方法，嚴

送敏感信息，并作報警和攔

禁用戶經(jīng)過MAIL方法向外散布XX集團

截

相關(guān)關(guān)鍵數(shù)據(jù)。

2.4XX集團DLP布署計劃及效果

XX經(jīng)過MAILPREVENT＞端點監(jiān)控、WebPrevent三種機制，使用三位一體

安全防護手段，嚴禁內(nèi)網(wǎng)用戶向外散步敏感信息。

2.4.1布署場景一：MAILPrevent監(jiān)控管理場景

1、場景目標簡述

針對XX集團內(nèi)網(wǎng)用戶發(fā)送MAIL進行監(jiān)控，實現(xiàn)用戶經(jīng)過MAIL發(fā)送敏感信

息進行監(jiān)控和攔截，同時統(tǒng)計目前用戶行為，并由相關(guān)部門做安全審計。

2、場景管理范圍

MAIL防泄密監(jiān)控系統(tǒng)針正確是XX全部內(nèi)網(wǎng)MAIL用戶。所以，針對XX集

團敏感信息防泄漏監(jiān)控也是針對全部終端用戶，為此在實際布署過程中需要對XX

集團現(xiàn)有MAIL系統(tǒng)環(huán)境下布署信息防泄密軟件。

3、相關(guān)包含人員

用戶端使用者、敏感信息（關(guān)鍵設(shè)計文檔）接收者。使用者將帶有敏感信息

（關(guān)鍵設(shè)計文檔）資料經(jīng)過MAIL路徑公布出去后，DLPMAIL信息泄露防折自動

統(tǒng)計、監(jiān)控及阻斷此行為，并作具體統(tǒng)計（包含時間、發(fā)送者、接收者、內(nèi)容等）。

便于相關(guān)部門及責任人審核此相關(guān)日志，并作相關(guān)通報。

4、具體工作步驟及效果

針對于用戶端依據(jù)各部門敏感信息（關(guān)鍵設(shè)計文檔）做相關(guān)檢驗策略，終端經(jīng)

過MAIL（LotusNotes、WEBMAIL等）向外部用戶發(fā)送帶有敏感信息郵件時（包

含郵件標題、郵件正文、附件），DLPMAIL信息泄露防護系統(tǒng)會自動統(tǒng)計此用戶

行為，并匹配終端IP地址、用戶名、郵件地址等，做具體監(jiān)控統(tǒng)計，統(tǒng)計內(nèi)容包

含此用戶賬號、郵件地址、MAIL標題、MAIL正文、MAIL所帶附件、收件人地

址等。相關(guān)部門依據(jù)相關(guān)報表檢驗條件（可依據(jù)所定策略內(nèi)容、組等方法進行檢

驗），可列出天天、每個月、每六個月所發(fā)這類郵件綜合統(tǒng)計數(shù)據(jù)，依據(jù)這類數(shù)據(jù),

相關(guān)部門可進行相關(guān)統(tǒng)計分析及通報。

2.4.2布署場景二：DLP用戶端經(jīng)過QQ聊天工具、FTP、U

盤、網(wǎng)絡(luò)共享、WEB、網(wǎng)盤等方法監(jiān)控場景

1、場景目標簡述

針對XX終端在辦公環(huán)境或非辦公環(huán)境中使用QQ、FTP、U盤、網(wǎng)絡(luò)共享、

WEB、網(wǎng)盤等方法進行監(jiān)控，實現(xiàn)用戶經(jīng)過QQ、FTP、U盤、網(wǎng)絡(luò)共享、WEB、

網(wǎng)盤等發(fā)送敏感信息進行監(jiān)控和阻斷，同時統(tǒng)計目前用戶行為，并由相關(guān)部門做相

關(guān)審計。

2、場景管理范圍

用戶端QQ、FTP、U盤、網(wǎng)絡(luò)共享、WEB、網(wǎng)盤等防泄密監(jiān)控針正確是XX

集團全部安裝DLP用戶端終端在辦公場所或非辦公場所。所以，針對XX敏感信

息防泄漏監(jiān)控同時監(jiān)控辦公場所及非辦公場所，為此在實際布署過程中需要對XX

全網(wǎng)終端進行布署。

用戶端在制訂相關(guān)策略時，可依據(jù)用戶端場所進行敏感數(shù)據(jù)監(jiān)控和阻斷c

DLP用戶端會自動判定目前終端所處場所，當在辦公環(huán)境下，DLP用戶端實施辦

公場所策略；當終端電腦離創(chuàng)辦公場所，DLP用戶端自動實施非辦公場所策略，

策略制訂依據(jù)辦公場所制訂較為寬松阻斷策略，非辦公場所實施嚴格阻斷策略。

3、相關(guān)包含人員

用戶端使用者、用戶端使用何種行為進行數(shù)據(jù)傳輸、相關(guān)部門審計者。終端使

用者在辦公場所或非辦公場所將帶有敏感信息資料經(jīng)過QQ、FTP、U盤、網(wǎng)絡(luò)共

享、WEB、網(wǎng)盤等路徑公布出去后，DLP用戶端自動統(tǒng)計和監(jiān)控此行為，并作具

體統(tǒng)計（包含時間、內(nèi)容等）。當終端在非辦公場所發(fā)生以上行為后，等終端連接

到辦公環(huán)境后，DLP用戶端自動會將此監(jiān)控統(tǒng)計傳到DLP管理服務(wù)器上，便于相

關(guān)部門事后審核此相關(guān)日志，并作相關(guān)通報。

4、具體工作步驟及效果

針對于用戶端依據(jù)各部門敏感信息做相關(guān)檢驗策略，當內(nèi)部職員終端經(jīng)過QQ、

FTP、U盤、網(wǎng)絡(luò)共享、WEB、網(wǎng)盤等等向外部用戶傳輸或拷貝帶相關(guān)鍵資料時，

DLP用戶端會自動統(tǒng)計和阻斷此終端行為，并匹配終端IP地址、主機名、使用何

種手段傳輸數(shù)據(jù)做具體監(jiān)控統(tǒng)計。相關(guān)部門依據(jù)相關(guān)報表檢驗條件（可依據(jù)所定策

略內(nèi)容、IP地址、主機名等方法進行檢驗），可列出XX職員天天、每個月、每六

個月綜合統(tǒng)計數(shù)據(jù)，依據(jù)這類數(shù)據(jù)，相關(guān)部門可進行相關(guān)統(tǒng)計分析及通報。

2.4.3布署場景三：WEBPrevent監(jiān)控及阻斷WEBMAIL場景

1、場景目標簡述

針對XX集團辦公終端經(jīng)過代理服務(wù)器發(fā)送WEBMAIL進行監(jiān)控和阻斷，實

現(xiàn)用戶經(jīng)過WEBMAIL發(fā)送敏感信息進行監(jiān)控和阻斷，同時統(tǒng)計目前用戶行為并

作提醒，通知用戶此WEBMAIL被攔截原因。

2、場景管理范圍

辦公終端WEBMAIL防泄密阻斷針對XX集團辦公終端使用互聯(lián)網(wǎng)資源經(jīng)過

WEBMAIL發(fā)送敏感信息辦公終端，同時也是針對全部可使用互聯(lián)網(wǎng)辦公終端，

為此在實際布署過程中需要對建行分行全部使用互聯(lián)網(wǎng)資源辦公終端進行布署。

3、相關(guān)包含人員

互聯(lián)網(wǎng)資源使用者、敏感信息發(fā)送者、安全管理員。辦公終端使用者將帶有敏

感信息資料經(jīng)過WEBMAIL路徑公布出去后，DLPWebPrevent自動統(tǒng)計和阻斷此

行為，并作具體統(tǒng)計（包含時間、發(fā)送者、接收者、內(nèi)容等）。便于審核此相關(guān)日

志，并由安全管理員作相關(guān)通報。

4、具體工作步驟及效果

當終端經(jīng)過代理服務(wù)器使用WEBMAIL發(fā)送MAIL時，DLPWebPrevent對符

合ICAPweb代理集成，如SWG、BlueCoat>Cisco和ISA等。Web代理被配置為

排隊出站數(shù)據(jù)傳輸，并將副本發(fā)送到DLPWEBPrevent進行掃描。假如數(shù)據(jù)傳輸

不違反敏感數(shù)據(jù)阻斷策略，DLPNetworkPrevenl將指示代理將數(shù)據(jù)傳輸?shù)狡渲付?/p>

目標地。假如數(shù)據(jù)傳輸確實違反了XX集團所定義策略，DLPWEBPrevent能夠選

擇通知代理終止傳輸，或它能夠選擇僅把保密數(shù)據(jù)從web傳輸中刪除。在后一個

情況中，數(shù)據(jù)傳輸將繼續(xù)傳送到目標地，且不影響web瀏覽器。對HTTP/HTTPS

來說，DLPWEBPrevent能夠選擇顯示一個新web頁面，傳回最終用戶，通知最終

用戶違反了策略，傳輸被攔截。

2.4.4布署場景四：WebPrevent監(jiān)控及阻斷Web論壇、FTP、

YahooMessage^MSN、Web網(wǎng)盤等場景

1、場景目標簡述

針對XX集團辦公終端經(jīng)過代理服務(wù)器在BBS/貼吧/文庫/FTP/Web網(wǎng)盤上傳敏

感信息進行監(jiān)控和阻斷，終端使用YahooMessage/AIM/MSN等聊天工具散步含有

敏感數(shù)據(jù)進行監(jiān)控和阻斷。同時統(tǒng)計目前用戶行為并作提醒，通知用戶此被攔截原

因。

2、場景管理范圍

辦公環(huán)境下使用HTTP/HTTPS方法在BBS/貼吧/文庫/Web網(wǎng)盤等上傳敏感信

息終端、使用FTP/YahooMessage/AIM/MSN等工具公布或上傳敏感數(shù)據(jù)終端進行

監(jiān)控和有效地阻斷。

3、相關(guān)包含人員

互聯(lián)網(wǎng)資源使用者、敏感信息發(fā)送者、安全管理員。辦公終端使用者將帶有敏

感信息資料經(jīng)過BBS/貼吧/文庫/Web網(wǎng)盤等路徑公布出去后，DLPWebPrevent自

動統(tǒng)計和阻斷此行為，并作具體統(tǒng)計（包含時間、發(fā)送者、接收者、內(nèi)容等）。便

于審核此相關(guān)日志，并作相關(guān)通報。

4、具體工作步驟及效果

當終端經(jīng)過代理服務(wù)港使用BBS/貼吧/文庫/FTP/YahooMessage/AIM/MSN經(jīng)過

代理服務(wù)器時，DLPWebPrevent對符合ICAPweb代理集成,如SWG、BlueCoal.

Cisco和ISAoWeb代理被配置為排隊出站數(shù)據(jù)傳輸，并將副本發(fā)送到DLPWEB

Prevent進行掃描。假如數(shù)據(jù)傳輸不違反敏感數(shù)據(jù)阻斷策略，DLPNetworkPrevent

將指示代理將數(shù)據(jù)傳輸?shù)狡渲付繕说?。假如?shù)據(jù)傳輸確實違反了XX集團所定義

策略，DLPWEBPrevent能夠選擇通知代理終止傳輸，或它能夠選擇僅把保密數(shù)

據(jù)從web傳輸中刪除。在后一個情況中，數(shù)據(jù)傳輸將繼續(xù)傳送到目標地，且不影

響web瀏覽器。對HTTP/HTTPS來說，DLPWEBPrevent能夠選擇顯示一個新

web頁面，傳回最終用戶，通知最終用戶違反了策略，傳輸被攔截。

2.4.5布署場景五：米亞索能和XX集團數(shù)據(jù)防泄密系統(tǒng)兼容和可

管控性場景

1、場景目標簡述

XX集團全資收購了美國米亞索能太陽能技術(shù)，而米亞索能太陽能技術(shù)在美國

總部及全球分企業(yè)全方面布署了SymantecDLP數(shù)據(jù)防泄密處理方案，假如在XX

集團布署SymantecDLP系統(tǒng)，則XX集團可無縫地和米亞索能現(xiàn)有DLP兼容和融

人口O

2、場景管理范圍

在XX集團布署DLP可全方面接管米亞索能已布署DLP,無需米亞索能重新

安裝用戶端軟件及其它防護設(shè)備，只需要米亞索能和XX集團網(wǎng)絡(luò)互通，經(jīng)過DLP

相關(guān)技術(shù)兼容性，XX集團就可完全將米亞索能現(xiàn)有DLP融入XX整體數(shù)據(jù)防泄密

處理方案中。

3、相關(guān)包含人員

米亞索能現(xiàn)有職員、互聯(lián)網(wǎng)資源使用者、敏感信息發(fā)送者、安全管理員。米亞

索能全部安全策略將會完全依據(jù)XX集團整體方案來實施。

4、具體工作步驟及效果

米亞索能和XX集團經(jīng)過專線或其它方法實現(xiàn)互聯(lián)，對米亞索能現(xiàn)有DLP系

統(tǒng)管理服務(wù)器進行數(shù)據(jù)和相關(guān)事件遷移，將這些數(shù)據(jù)完全遷移到XX集團DLP系

統(tǒng)中。并在確保不需在米亞索能重新布署任何DLP防護組件基礎(chǔ)上，經(jīng)過無縫遷

移技術(shù)方法，將米亞索能現(xiàn)有DLP防護處理方案遷移到XX集團總體數(shù)據(jù)防泄密

系統(tǒng)中，可完全實現(xiàn)XX集團全球化統(tǒng)一管理機制。

2.5DLPMailPrevent防護步驟圖

在很多情況下因為業(yè)務(wù)關(guān)系，有些敏感數(shù)據(jù)是必需經(jīng)過郵件方法向外進行

發(fā)送，所以這么郵件就必需經(jīng)過發(fā)送者主管或是安全審計人員審核后才允許對

外發(fā)送，所以MailPrevent一定是需要和郵件網(wǎng)關(guān)進行深度集成才能夠?qū)崿F(xiàn)郵件

審批發(fā)送功效。而在XX集團郵件系統(tǒng)中，提議使用賽門鐵克郵件網(wǎng)關(guān)SMG,

賽門鐵克MailPrevent及SMG系統(tǒng)中已經(jīng)完成了該深度集成工作，內(nèi)置了敏感

郵件審批步驟功效，MailPrevent布署上線后即可實現(xiàn)自動化郵件審批及放行、

阻斷聯(lián)動功效。

深度集成后實現(xiàn)郵件審批步驟以下：

和郵件網(wǎng)關(guān)深度集成實現(xiàn)郵件審批步驟圖

1.用戶經(jīng)過郵件用戶端發(fā)送郵件;

2.郵件服務(wù)器將郵件發(fā)送至SMG系統(tǒng)；

3.SMG系統(tǒng)將郵件轉(zhuǎn)發(fā)DLP進行內(nèi)容掃描;

4.DLP完成郵件內(nèi)容掃描后，將掃描結(jié)果反饋至SMG,沒有違反規(guī)則郵件

SMG立即被發(fā)出，假如違反規(guī)則SMG將郵件放入到隔離區(qū)中；

5.DLP系統(tǒng)發(fā)出通知郵件給審計人員，通知存在敏感郵件存在，需要審批；

6.審計人員登陸到DLP系統(tǒng)中，審核郵件內(nèi)容，進行確定操作（放行郵件

或拒絕發(fā)送）；

7.DLP系統(tǒng)和SMG系統(tǒng)更新操作統(tǒng)計信息。

2.6DLPEndpoint防護步驟圖

說明:

I、端點信息泄漏防護系統(tǒng)用戶端軟件（DLPAgent）實時監(jiān)控敏感信息，依據(jù)

策略進行阻斷、提醒、放行等操作；

2、用戶端將違規(guī)事件上傳至端點信息泄漏防護系統(tǒng)防護服務(wù)器（Endpoint

Server）,端點信息泄漏防護系統(tǒng)防護服務(wù)器（EndpointServer）再上傳事

件到端點信息泄漏防護系統(tǒng)管理服務(wù)器（Enforce）：

3、對于終端違規(guī)事件，端點信息泄漏防護系統(tǒng)管理服務(wù)器（Enforce）經(jīng)過終

端用戶信息進行查詢，得到違規(guī)用戶相關(guān)信息、；

2.7DLPWeb信息防泄漏系統(tǒng)步驟說明

CorporateLAN

說明：

（1）互聯(lián)網(wǎng)Web系統(tǒng)阻斷功效經(jīng)過DLPWeb阻斷服務(wù)器和代理服務(wù)器聯(lián)動實現(xiàn)。

（2）DLPWeb阻斷服務(wù)器連接到Enforce服務(wù)器接收策略和管理。

（3）代理服務(wù)器將Http或Https協(xié)議發(fā)送到互聯(lián)網(wǎng)Post請求轉(zhuǎn)發(fā)到DLPWeb阻

斷服務(wù)器進行內(nèi)容檢驗。假如沒有發(fā)覺敏感信息，DLP阻斷服務(wù)器發(fā)送指令

許可代理服務(wù)器將此WebPost放行；假如發(fā)覺敏感信息，DLP阻斷服務(wù)器

發(fā)送指令嚴禁代理服務(wù)器對此WebPost放行，并將事件發(fā)送到DLP

Enforce服務(wù)器進行統(tǒng)計，并發(fā)送告警郵件通知安全管理員。

（4）信息安全管理員在收到通知郵件后，管理員分析該郵件。并依據(jù)相關(guān)信息安

全規(guī)范統(tǒng)計和分析此郵件。

3終端全盤加密及敏感數(shù)據(jù)加密處理方案

本期項目需要實現(xiàn)功效需求關(guān)鍵包含以下三個方面:

序號需求關(guān)鍵點實現(xiàn)方法備注

在XX集團布署PGP管理服務(wù)器，和AD

辦公終端安裝PGP用戶結(jié)合，并在終端上安裝PGP用戶端，提

1端，實現(xiàn)終端全盤自動強制供包含預(yù)引導(dǎo)認證全盤加密（開機便要求

加密機制驗證密鑰密碼，不然整個磁盤數(shù)據(jù)全部被

PGP加密保護），當終端硬盤離開目前終

端環(huán)境，則被PGP加密硬盤在其它終端

無法被識別。

在PGP管理服務(wù)器設(shè)置日常使用文檔自

動加密機制，終端編根或新建文檔后，

PGP會自動加密這類文檔。當終端用戶

辦公終端使用PGP進行自動

2將PGP加密文檔上傳到XXOA辦公系

或手動數(shù)據(jù)加密

統(tǒng)，此時此PGP加密文檔會自動解密。

可依據(jù)不一樣AD組用戶，實現(xiàn)不一樣文

件加密策略。

PGPUniversalServer提供郵