Websense数据泄露防护解决方案

　　目前，金融行业的数据安全风险面临着多方压力，一是外部法律及合规要求越来越细化，二是机构内部缺乏针对数据泄漏的有效管理和技术手段，三是数据传输渠道不断增加造成泄漏途径增多。在这种大环境下，Websense提供了数据泄漏防护(DLP，Data Loss Prevention)解决方案。相对于传统的基础设施安全而言，Websense数据泄漏防护是一种更为先进的数据安全方案，利用先进的内容分析技术充分保护数据的安全。

　　gebsense DLP案例分析

　　Websense通过DLP项目教导客户，并帮助用户理解企业数据安全的策略。不少国际报告表明，从2007年至今，WebsensO无；论是产品技术还是性价比，在全球都是较为领先的品牌，并在数据保护方面有过不少成功的案例。

　　防护持卡人数据

　　东欧黑客们常设计恶意代码来窃取中东各银行信用卡的号码伪造信用卡。Websense曾帮沙特阿拉伯的银行防护持卡人数据，包括PCI-DSS记,录的数据安全。Websense通过几种方法来做数据安全的防护，如：在数据传递过程中经过开放式或公共的网络时必须加密，跟踪并监控所有访问持卡人数据的行为，定期检视数据传送的流程。

　　保护源代码

　　位于阿联酋的银行也是Websense的客户之_，由于该银行内部很多系统都是员工自主开发，曾经出现过其部分员工利用Web mail方式泄漏源代码。因此，Websense协助其在众多的渠道如网页、邮件、FTP,ActiveSync及u盘，提供除保护客户信息外也做源代码的完整保护，确保银行的数据安全。

　　防止点滴式数据泄漏

　　2007年Websense做了全球首个点滴式数据防泄漏的项目，服务对象是香港知名的一家中资银行。中资银行的业务特性是，客服人员必须每天与客户沟通，平均每天大概需要对夕卜发送不超过500个客户信息，然而银行担心这些员工将把大量客户信息泄漏出去。该银行希望通过自动化系统来达到防泄漏的目的。

　　针对银行的要求，Websense提出这样的策略：监控24小时内单一员工往外发出的客户信息在超过某个数字时开始报警，比如控制数是500笔，那第501笔就会开始做警报和阻挡，但不对之前的业务采取任何阻挡，只会进行统计、制作事件，这样就不必每天坐在机器前计算这500个事件。该银行认为这种策略可行，而且确实可以降低事件量、轻松辨别真正可疑的数据泄漏行为。此外，在这个项目中，如果往外发的信息中包含机密数据或客户信息，Websense DLP会强行将信息进行加密，以防重要信息泄漏，让客户在业务需求和安全中找到平衡点。

　　全面防范数据安全

　　上海一家保险公司需要一个全面的数据安全项目，要求保护的数据包括客户数据、财务数据、精算、投资交易数据、战略数据、员工、合规到审计等。然而，这么多数据的全面保护是没有办法一步到位的，于是Websense提供的策略是将这些数据分成3个层面来实现，利用高中低3个等级做风险控管。

　　Websense提供了全面的防泄密渠道，包括通过互联网外发的邮件、U盘、剪贴打印、文件共享等。另外，随着企业内部图片文字的文档愈来愈多，很多DLP的产品都不能有效地分辨出来。而Websense独特的光学字符识别(OCR)技术就可以发现这样的图片，无论是扫描的还是剪切的都可以从中发现机密数据。

　　这个部署较大型，分成3阶段进行：前期是策略设计，主要用于数据分类和调研，了解什么数据需要重点保护；中期是部署DLP方案；最后是策略优化管理，针对不同部门的不同需求调整策略，经过不断优化，数据量从第一天大约2000条到现在已经不到一半，准确率达到98％以上。通过这个策略，Websense成功减少企业在事件管理的投入资源，让客户更快得到投资回报。

　　Websesne DLP优化数据流管理

　　Websense DLP不仅是防泄密产品，还可帮助银行优化数据流管理(如图1所示)。对银行和企业来说，这是很有效的数据流优化管理方式。

图1 Websense DLP帮助企业实现业务导向的数据安全防护

　　一是根据业务流程需求，灵活配置。按照策略中不同的数据内容、数据分级、不同的来源和传输途径、目标地址等设计不同处理方法。

　　二是通过审计记录，确定数据走向。通过记录的事件，能够和发送信息的人员组织资讯同步，从而挖掘其部门、主管、分行等信息，核查信息是什么时候通过什么途径发送出去的。此外，DLP还可以深入分析发送的内容是什么，并将路径、全文、数据等记录到事件中，让负责事件调研的人清楚出现的问题。最后还可以把接收人的网络地址、邮箱地址记录下来，让负责事件调研的人快速分析这是一个数据外泄事件还是一个正常的商业行为。

　　三是常见的数据保护。比如营销的数据下载、加密、压缩到一个文档中，无论是通过U盘还是网络邮箱等方式发送出去，DLP都可以侦测、拦截并对其进行分析。文件服务器中的一些重要文件，其内容可能会被员工剪切到邮件或者复制到另一个文件发送出去。针对这种情况，DLP用一个主文分析方式将内容分析，无论通过什么发送方式都可以拦下来做审计或警报。就是说，即使是文件截屏往外发，DLP也可以把图片内容还原成文字检查。这种方式对HTTPs的内容同样有效，如果网路有对HTTPs进行加密的。DLP可以对这个加密的HTTPs解密，检查其内容是否有信息被外发。

　　四是点滴式的DLP防护方案。有的客户要求在5分钟内不可以外发超过5个不同的客户信息，如果超过5个就要做阻挡。对此，DLP产品的设计是在发送前5个客户信息的时候都是放行处理，但是会制作成事件记录，通过事件记录进行审计。当超过5条即第6条的时候就会马上自动阻挡，不需要管理员翻看前面的信息量进行手动操作阻挡。

　　实现DLP价值的三要素

　　要成功部署并实现数据防泄漏的方案，需要做到以下3点。

　　一是做好风险导向，快速体现投资回报。如果银行或企业要求一次性保护所有数据，首先要分析哪些数据存在最高的外泄风险，集中保护高价值信息，然后再总结经验处理风险较高的数据，令银行或企业能更快体验投资回报。

　　二是DLP的方案必须重视管理和教育。比如让员工参与跟用户的互动，包括流程过程中的警报、处理等，让他们理解银行数据安全的标准。还可以通过邮件审批流程设置，让业务部门人员无论何时何地都可自行管理违规事件，减轻IT管理负担，增加员工参与度以避免负面情绪，通过违规提示邮件加强员工的信息保密教育，让银行或企业快速降低机密数据泄漏风险。

　　三是落实防御，非监听了事。有的客户表示他们的数据防泄漏产品只可以监听不能防御，这表示只有等到事后才知道银行的数据外泄，这时再翻查数据找原因为时已晚。

　　防范于未然，阻挡才能真正实现数据的防泄漏，才可以实现数据防泄密方案的价值。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：Websense数据泄露防护解决方案

本文网址：http://www.toberp.com/html/consultation/10839513552.html