Channel-DLP-培训(共47张).pptx

1、Vontu 方案介绍方案介绍2Agenda数据防泄露市场状况Vontu的产品介绍Vontu的优势Vontu Live Demo信息泄漏的现状信息泄漏的现状泄密其实很容易每400封邮件中就有1封包含敏感信息 每50份通过网络传输的文件中就有1份包含敏感数据每2个USB盘中就有一个包含敏感信息泄密的损失超乎想象全球有80%的企业存在着信息泄漏的风险在发达国家，泄漏一条客户信息带来的损失高达200美金泄密防护迫在眉睫在所有被调查的公司中，进行常规性安全检查的公司不到50，而采取技术措施进行控制的公司只有 30%，国内的比例更低在泄密事件的调查统计中，有96是因为流程缺陷和内部员工的无意识泄密所致信息

2、保护正日益成为企业安全管理和风险控制的核心内容4信息防泄漏是用户投资的重点信息防泄漏是用户投资的重点 中国IT市场分析与预测2007-2011中，IDC对用户投资重点调研显示：“29.8%的用户会考虑投资数据失泄密管理”IDC 2006报告用户现状与安全需求 综合型的安全网关（UTM）23.1%关键信息的保护和过滤 20.7%内网安全管理产品 20.4%5DLP：一个飞速成长的市场！：一个飞速成长的市场！6防泄密常见保护范围防泄密常见保护范围客户、员工、隐私的数据客户、员工、隐私的数据法规遵从法规遵从 身份证号码 信用卡号 联系信息 健康信息 知识产权知识产权核心竞争力核心竞争力 源代码 工程

3、技术规格 战略计划 设计文档 价格公司机密公司机密声誉声誉 季报 并购战略 CEO 邮件 会议纪要Vontu的产品介绍的产品介绍 8How to best prevent its loss?Vontu可以帮助您可以帮助您DISCOVERYMONITORINGENFORCEMENTHow is itbeing used?Where is yourconfidential data?DATA LOSS PREVENTION(DLP)9存储存储端点端点网络网络Vontu Network DiscoverVontu Network ProtectVontu Endpoint DiscoverVontu

4、 Endpoint PreventVontu Network MonitorVontu Network Prevent检测检测统一的统一的DLP策略策略响应响应Management&SecurityVontu Enforce PlatformWorkflow&ReportingVontu Data Loss Prevention Solution910DLP 可监控的数据流失途径可监控的数据流失途径CD/DVDUSB数据发现数据发现邮件安全邮件安全Web安全安全及时信息及时信息安全安全数据库数据库安全安全Exchange/DominoSharepoint/Web文件服务器文件服务器安全安全DL

5、P PolicyMonitoring&PreventionDiscovery&ProtectionEmailFTP安全安全P2PWeb及时消息及时消息打印打印/传真传真粘贴粘贴/拷贝拷贝FTP1111Vontu DLP 8 架构架构Secured Corporate LANDMZDisconnectedVontuNetwork DiscoverVontuNetwork ProtectVontuEndpoint DiscoverVontuEndpoint PreventMTA or ProxySPAN Port or TapVontuEnforcePlatformVontuNetwork Mon

6、itorVontuNetwork Prevent12 通知发送邮件到发件人，上级经理，IT管理员屏幕弹出消息框标记文件SysLog 告警 阻断：SMTP,HTTP/S,FTP,USB,CD/DVD 修改有条件加密设置事件状态 移动移走 或 复制文件两种主要的检测方式1.描述数据关键字,data identifiers,正则表达式,f文件类型2.提取数据指纹从文件提取Confidential data,groups of senders/recipients从数据库提取匹配计数阀值And/or/if 逻辑,还有例外Detection RulesResponse RulesData Loss Po

7、licyData Loss Policies 内置 60+策略模板13当你不知道要保当你不知道要保护的文件在哪里护的文件在哪里的时候的时候第一步：创建基于描述的检查策略第一步：创建基于描述的检查策略 基于内容描述的检查策略 按关键字，正则表达式，数据标识符 可复合以下条件等降低误报 按文件类型，格式，文件大小 协议、目标位置等 可通过And、OR、Exception、计数阀值等降低误报Presentation Identifier Goes Here14Content结构化数据数据库结构化数据数据库 客户资料 经营分析资料 充值卡信息 无线资源和性能数据 财务报表 市场 报告 公文信函 话单文

8、件可描述信息可描述信息非结构化数据非数据库非结构化数据非数据库15当你知道要保护当你知道要保护的文件在哪里的的文件在哪里的时候时候第一步：建立机密信息指纹库第一步：建立机密信息指纹库 精确数据匹配 实际案例：一台服务器上 5 亿行数据，这些数据每行都有四列，总共 20 亿个单独的数据元 容量可以随服务器的增加而线性扩展 允许用户在存储系统上直接创建加密索引，然后再将其移动到 Vontu Enforce 服务器 索引文件匹配 在一台服务器上，通过 IDM 指纹成功创建并检测了超过两百万个文档 容量可以随服务器的增加而线性扩展 部分文档匹配与精确二进制内容匹配Presentation Identi

9、fier Goes Here16Content结构化数据数据库结构化数据数据库 客户资料 经营分析资料 充值卡信息 无线资源和性能数据 财务报表 市场 报告 公文信函 话单文件可描述信息可描述信息非结构化数据非数据库非结构化数据非数据库17第二步第二步1818广泛的事件覆盖广泛的事件覆盖 拷贝到USB和其他介质 下载到本地驱动器 刻录到CD/DVD Copy&Paste Print/Fax Web/SMTP/IM/FTP扫扫描管理描管理 可配置的扫描 增量式扫描 对端点和网络最小化的影响发现发现风险报风险报告告 识别风险最高的机器 排名前列的违规者（按部门或按策略分类）保保护护实时强实时强制制

10、 阻止 屏幕提示 用户输入说明 终终端外端外发发的数据的数据进进行行实时监实时监控控 对对指定路径指定路径扫扫描，描，发现发现敏感文件的分布敏感文件的分布 Endpoint客户端资源占用可调节在线和离线都能工作如何发现和防护端点如何发现和防护端点1919 全面的协议防护，包括SMTP,HTTP/S,and FTP 可选的邮件路由和加密 与Web 2.0 web sites 和应用无缝交互 MTA and Web Proxy集成 支持的web proxy:Blue Coat SG Proxy,Cisco Content Engine,Network Appliance Netcache 全面协议

11、监控，包括 email,web,IM,FTP,PTP,and 通常的 TCP 基于签名的协议识别 自动的sender/manager 通知 识别错误，再教育员工 更新中断的业务流程监监控控保保护护NetworkBroad protocol coverageTrueMatch detectionIntegrated reporting如何发现和防护如何发现和防护网络网络20如何发现和防护如何发现和防护存储存储20Vontu ServerEnd-User机器机器Endpoint Agent 扫描扫描Use Cases 机器数量多、分布广泛 远程办公室 离线机器Architecture&Scale

12、分布式计算 本地内容提取 和 检测 10 TB/hour per Vontu ServerDocumentumMicrosoft ExchangeSharePoint分布式服务器分布式服务器Server Agent 扫描扫描Use Cases 很多存储地点 及 服务器 多 OS 平台Architecture&Scale 分布式计算 本地内容提取 16.8+TB/day per Vontu Server集中的服务器集中的服务器NAS FilersCIFS/NFSFile ServersAgentless 扫描扫描Use Cases 扫描封闭的系统(NAS filers)不容许安装客户端代理Arc

13、hitecture and Scale 基于网络的扫描 多线程爬行 和 检测 1 TB/day per Vontu Server21数据发现的用途数据发现的用途“I dont know where my confidential data is.”“I am responsible for reducing compliance risk around exposed customer data.”“Our eDiscovery process is time consuming and gives inaccurate results.”1.法规遵从(国家、行业、企业)2.机密数据分布视图“

14、Our employees still have access to data that they shouldnt have access to.”“We do not know what confidential data was on the stolen laptop.”3.证据收集/关联分析/取证4.风险报告、风险评估5.访问权限隐患6.笔记本丢失“I have no way to submit a risk accessment report to my boss.”22“Vontu如何杜绝愚蠢如何杜绝愚蠢”22几种泄密场景举例几种泄密场景举例邮件发送邮件发送开放共享开放共享USB

15、拷贝拷贝23Vontu Monitor/Prevent ProcessEncryption GatewayEmail ServerVontu EnforceVontu PreventInternetMTAIncidenteMaileMailNotification24Email Sent with Manufacturing Drawing25Network Prevent Incident Snapshot26Email Blocked and Email Notification27Vontu Discover ProcessSCANVontu EnforceVontu Discover/

16、ProtectQuarantine ServerFile ServerPointerProcess ExtractedContentIncident282930Vontu Endpoint Prevent ProcessVontu EnforceVontu EndpointVontu Endpoint PreventIncidentNotification313233Vontu的独特优势的独特优势 35Vontu的优势的优势 唯一的DLP整体方案，覆盖最全面 Data in Motion，Data at rest，Data in use 支持多种协议 支持最广泛的数据存储库 终端覆盖技术多种多

17、样 专利的检测技术 无需理解数据内容 准确率高 支持相似度匹配 量变到质变的等级划分方式 策略灵活、适应性强 业经证明、广泛应用的DLP方案36Vontu是唯一的整体是唯一的整体DLP解决方案解决方案Network&MessagingInfrastructureData StorageInfrastructureEndpointActivityEndpointStored Data Email,Web,FTP IM,P2P,TCP UDP Database Activity File System Transfers Voice over IP Shared File Servers NAS/

18、SAN Notes and Sharepoint DMS and Databases Archives Mainframes Removable Media CD/DVD ROM Application Misuse Un-trusted networks Print/Fax Copy/Paste Laptops/Workstations Distributed Servers Non-Visible Storage Volatile Storage Mobile DevicesEnforce37保护的内容覆盖最广泛保护的内容覆盖最广泛客户、员工、隐私的数据客户、员工、隐私的数据法规遵从法规遵

19、从 身份证号码 信用卡号 联系信息 健康信息 知识产权知识产权核心竞争力核心竞争力 源代码 工程技术规格 战略计划 设计文档 价格公司机密公司机密声誉声誉 季报 并购战略 CEO 邮件 会议纪要3838检测技术精度检测技术精度 Vontu TrueMatch Detection SuiteIDMIndexed Document MatchingUnstructured DataIntellectual PropertyEDMExact Data MatchingDCMDescribed Content Matching 5M+docs per server Designs/Source/Fin

20、ancials Derivative&passage match Near perfect accuracy 300M+rows per server Customer/Employee/Pricing Partial row matching Near perfect accuracyStructured DataCustomer Data Non-indexable data Lexicons Data identifiersDescribed Data描述内容匹配描述内容匹配精确数据匹配精确数据匹配索引文件匹配索引文件匹配误报率误报率 10的的16次方分之一次方分之一 误报率误报率 1.

21、68*10的的12次次方分之一方分之一 误报率误报率 1%39Document Fingerprinting文档集的检测对于一篇文档，系统首先要对文档进行处理，提取出每篇文档相应的指纹集。文档进行预处理后，生成若干个长度为k 的字符串，其中每相邻的两个字符串有连续的k-1 个字符是重叠的。系统中的Hash 函数采用串匹配中的Karp-Rabin 算法7，得到每个字符串相应的散列值。生成若干个散列值以后，为了降低系统的存储空间开销，加快检测的速度，需要用抽样的原理，选择散列值集合的一个较小的子集合作为文档的特征项集合。在该系统中，抽样算法的思想是定义一个窗口长度，把散列值序列分配在若干个窗口中，

22、在确保不和前一个窗口提取出的指纹发生冲突的情况下，在当前窗口中选择最小散列值作为指纹。在选取指纹时，不仅要记录下指纹，还要记录下产生指纹的散列值所在的全局位置，以便在最后的结果中显示文档中的相关描述信息40ContentContextScale策略灵活、适应性强策略灵活、适应性强+Structured PHI PII Inventory Design documents Source code Media files Financial results Credit Cards SSNs Dictionaries Keywords Departments Partners Contractor

23、s Country Department Branch office European Asian Document type Network protocol Encrypted Billions of records Millions of documents 100ms latency Gb+throughput Scan TBs per day 1000s of endpointsDescribedPeopleLocationLanguageVolumeNetworkStorageContainerUnstructured41业经证明的最佳业经证明的最佳DLP方案方案Vontu的客户的客户每4个财富100强的公司中有一个前11强的商业和投资银行中有8个前10强的保险公司中有6个前5强的医疗保健机构中有4个前4强信用卡公司中有3个 前7强的制造业企业前10强的技术公司前12强的零售品牌覆盖500万员工42Vontu:The Choice of Market LeadersVontu 报价报价 模块关系模块关系44八个模块全部按照客户有多少个PC客户端来计算license费用，而且对应模块的license数量必须一致，具体模块的依赖关系参见下图。Daniel_ Yao_wen_45Backup Slides 演讲完毕，谢谢观看！