目前，金融行業(yè)的數(shù)據(jù)安全風險面臨著多方壓力，一是外部法律及合規(guī)要求越來越細化，二是機構內部缺乏針對數(shù)據(jù)泄漏的有效管理和技術手段，三是數(shù)據(jù)傳輸渠道不斷增加造成泄漏途徑增多。在這種大環(huán)境下，Websense提供了數(shù)據(jù)泄漏防護(DLP，Data Loss Prevention)解決方案。相對于傳統(tǒng)的基礎設施安全而言，Websense數(shù)據(jù)泄漏防護是一種更為先進的數(shù)據(jù)安全方案，利用先進的內容分析技術充分保護數(shù)據(jù)的安全。

　　gebsense DLP案例分析

　　Websense通過DLP項目教導客戶，并幫助用戶理解企業(yè)數(shù)據(jù)安全的策略。不少國際報告表明，從2007年至今，WebsensO無；論是產品技術還是性價比，在全球都是較為領先的品牌，并在數(shù)據(jù)保護方面有過不少成功的案例。

　　防護持卡人數(shù)據(jù)

　　東歐黑客們常設計惡意代碼來竊取中東各銀行信用卡的號碼偽造信用卡。Websense曾幫沙特阿拉伯的銀行防護持卡人數(shù)據(jù)，包括PCI-DSS記,錄的數(shù)據(jù)安全。Websense通過幾種方法來做數(shù)據(jù)安全的防護，如：在數(shù)據(jù)傳遞過程中經過開放式或公共的網絡時必須加密，跟蹤并監(jiān)控所有訪問持卡人數(shù)據(jù)的行為，定期檢視數(shù)據(jù)傳送的流程。

　　保護源代碼

　　位于阿聯(lián)酋的銀行也是Websense的客戶之_，由于該銀行內部很多系統(tǒng)都是員工自主開發(fā)，曾經出現(xiàn)過其部分員工利用Web mail方式泄漏源代碼。因此，Websense協(xié)助其在眾多的渠道如網頁、郵件、FTP,ActiveSync及u盤，提供除保護客戶信息外也做源代碼的完整保護，確保銀行的數(shù)據(jù)安全。

　　防止點滴式數(shù)據(jù)泄漏

　　2007年Websense做了全球首個點滴式數(shù)據(jù)防泄漏的項目，服務對象是香港知名的一家中資銀行。中資銀行的業(yè)務特性是，客服人員必須每天與客戶溝通，平均每天大概需要對夕卜發(fā)送不超過500個客戶信息，然而銀行擔心這些員工將把大量客戶信息泄漏出去。該銀行希望通過自動化系統(tǒng)來達到防泄漏的目的。

　　針對銀行的要求，Websense提出這樣的策略：監(jiān)控24小時內單一員工往外發(fā)出的客戶信息在超過某個數(shù)字時開始報警，比如控制數(shù)是500筆，那第501筆就會開始做警報和阻擋，但不對之前的業(yè)務采取任何阻擋，只會進行統(tǒng)計、制作事件，這樣就不必每天坐在機器前計算這500個事件。該銀行認為這種策略可行，而且確實可以降低事件量、輕松辨別真正可疑的數(shù)據(jù)泄漏行為。此外，在這個項目中，如果往外發(fā)的信息中包含機密數(shù)據(jù)或客戶信息，Websense DLP會強行將信息進行加密，以防重要信息泄漏，讓客戶在業(yè)務需求和安全中找到平衡點。

　　全面防范數(shù)據(jù)安全

　　上海一家保險公司需要一個全面的數(shù)據(jù)安全項目，要求保護的數(shù)據(jù)包括客戶數(shù)據(jù)、財務數(shù)據(jù)、精算、投資交易數(shù)據(jù)、戰(zhàn)略數(shù)據(jù)、員工、合規(guī)到審計等。然而，這么多數(shù)據(jù)的全面保護是沒有辦法一步到位的，于是Websense提供的策略是將這些數(shù)據(jù)分成3個層面來實現(xiàn)，利用高中低3個等級做風險控管。

　　Websense提供了全面的防泄密渠道，包括通過互聯(lián)網外發(fā)的郵件、U盤、剪貼打印、文件共享等。另外，隨著企業(yè)內部圖片文字的文檔愈來愈多，很多DLP的產品都不能有效地分辨出來。而Websense獨特的光學字符識別(OCR)技術就可以發(fā)現(xiàn)這樣的圖片，無論是掃描的還是剪切的都可以從中發(fā)現(xiàn)機密數(shù)據(jù)。

　　這個部署較大型，分成3階段進行：前期是策略設計，主要用于數(shù)據(jù)分類和調研，了解什么數(shù)據(jù)需要重點保護；中期是部署DLP方案；最后是策略優(yōu)化管理，針對不同部門的不同需求調整策略，經過不斷優(yōu)化，數(shù)據(jù)量從第一天大約2000條到現(xiàn)在已經不到一半，準確率達到98％以上。通過這個策略，Websense成功減少企業(yè)在事件管理的投入資源，讓客戶更快得到投資回報。

　　Websesne DLP優(yōu)化數(shù)據(jù)流管理

　　Websense DLP不僅是防泄密產品，還可幫助銀行優(yōu)化數(shù)據(jù)流管理(如圖1所示)。對銀行和企業(yè)來說，這是很有效的數(shù)據(jù)流優(yōu)化管理方式。

圖1 Websense DLP幫助企業(yè)實現(xiàn)業(yè)務導向的數(shù)據(jù)安全防護

　　一是根據(jù)業(yè)務流程需求，靈活配置。按照策略中不同的數(shù)據(jù)內容、數(shù)據(jù)分級、不同的來源和傳輸途徑、目標地址等設計不同處理方法。

　　二是通過審計記錄，確定數(shù)據(jù)走向。通過記錄的事件，能夠和發(fā)送信息的人員組織資訊同步，從而挖掘其部門、主管、分行等信息，核查信息是什么時候通過什么途徑發(fā)送出去的。此外，DLP還可以深入分析發(fā)送的內容是什么，并將路徑、全文、數(shù)據(jù)等記錄到事件中，讓負責事件調研的人清楚出現(xiàn)的問題。最后還可以把接收人的網絡地址、郵箱地址記錄下來，讓負責事件調研的人快速分析這是一個數(shù)據(jù)外泄事件還是一個正常的商業(yè)行為。

　　三是常見的數(shù)據(jù)保護。比如營銷的數(shù)據(jù)下載、加密、壓縮到一個文檔中，無論是通過U盤還是網絡郵箱等方式發(fā)送出去，DLP都可以偵測、攔截并對其進行分析。文件服務器中的一些重要文件，其內容可能會被員工剪切到郵件或者復制到另一個文件發(fā)送出去。針對這種情況，DLP用一個主文分析方式將內容分析，無論通過什么發(fā)送方式都可以攔下來做審計或警報。就是說，即使是文件截屏往外發(fā)，DLP也可以把圖片內容還原成文字檢查。這種方式對HTTPs的內容同樣有效，如果網路有對HTTPs進行加密的。DLP可以對這個加密的HTTPs解密，檢查其內容是否有信息被外發(fā)。

　　四是點滴式的DLP防護方案。有的客戶要求在5分鐘內不可以外發(fā)超過5個不同的客戶信息，如果超過5個就要做阻擋。對此，DLP產品的設計是在發(fā)送前5個客戶信息的時候都是放行處理，但是會制作成事件記錄，通過事件記錄進行審計。當超過5條即第6條的時候就會馬上自動阻擋，不需要管理員翻看前面的信息量進行手動操作阻擋。

　　實現(xiàn)DLP價值的三要素

　　要成功部署并實現(xiàn)數(shù)據(jù)防泄漏的方案，需要做到以下3點。

　　一是做好風險導向，快速體現(xiàn)投資回報。如果銀行或企業(yè)要求一次性保護所有數(shù)據(jù)，首先要分析哪些數(shù)據(jù)存在最高的外泄風險，集中保護高價值信息，然后再總結經驗處理風險較高的數(shù)據(jù)，令銀行或企業(yè)能更快體驗投資回報。

　　二是DLP的方案必須重視管理和教育。比如讓員工參與跟用戶的互動，包括流程過程中的警報、處理等，讓他們理解銀行數(shù)據(jù)安全的標準。還可以通過郵件審批流程設置，讓業(yè)務部門人員無論何時何地都可自行管理違規(guī)事件，減輕IT管理負擔，增加員工參與度以避免負面情緒，通過違規(guī)提示郵件加強員工的信息保密教育，讓銀行或企業(yè)快速降低機密數(shù)據(jù)泄漏風險。

　　三是落實防御，非監(jiān)聽了事。有的客戶表示他們的數(shù)據(jù)防泄漏產品只可以監(jiān)聽不能防御，這表示只有等到事后才知道銀行的數(shù)據(jù)外泄，這時再翻查數(shù)據(jù)找原因為時已晚。

　　防范于未然，阻擋才能真正實現(xiàn)數(shù)據(jù)的防泄漏，才可以實現(xiàn)數(shù)據(jù)防泄密方案的價值。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.zudvwvb.cn/

本文標題：Websense數(shù)據(jù)泄露防護解決方案

本文網址：http://www.zudvwvb.cn/html/consultation/10839513552.html