成功案例|数据泄露防护新升级，项目合作初期显成效

为落实信息化“十三五”规划中关于加强信息安全建设的要求，重点提升华润置地总部信息安全管控水平，华润置地联手绿盟科技联合打造，防泄密安全体系建设，从管理、技术、运作来提升华润置地商密数据安全防护能力，形成华润置地终端数据保密标准，识别并逐步开展管控。

绿盟科技基于华润置地业务特点、企业文化、信息化建设现状和发展趋势、信息安全控制现状和发展趋势的充分理解，分析华润置地目前和未来的信息安全需求，制定相应安全解决方案。 

项目一期技术方案重点落在终端安全控制方面

根据《全球泄密事件分析报告》中的统计数据，信息泄露行为85%源于内部；信息泄露行为中42%通过移动介质发生，15%是通过邮件发送，10%通过打印发生。从以上统计数据可以发现，信息泄露的控制重点在于移动介质、打印行为、邮件发送行为等方面，因此一期技术方案的工作控制重点在于终端安全控制方面。

对终端安全控制，有很多传统方案，但这些传统方案都存在着“影响工作效率、增加运维人员或安全漏洞此消彼长”等不足，与传统方案相比，敏感信息发布到外网的行为（包括邮件和WEB上传等）、敏感信息打印行为进行审计，需要通过数据防泄密技术手段解决。

绿盟数据泄露防护解决方案

根据项目目标和需求，绿盟科技制定了数据泄露防护方案，提供了保护终端(尤其是笔记本电脑及台式机计算机)上的机密数据所需的洞察力及掌控力。

绿盟数据泄露防护系统提供一个安装在终端上的一个代理程序进行安全管控，由DLP服务器进行统一策略下发，统一进行终端防护管控。收到策略后，即使终端未连接至企业网络，该代理也能让这些产品模块工作，从而提供“随时随地”的持续保护。

DLP是C/S的部署架构，B/S的管理架构，Server端通过分级来支持含有成千上万个终端的可扩展企业部署。在当前项目中只用到了一级的部署模式，如下图所示。  

DLP产品部署图

1. 通过多种手段对敏感信息进行全方位的定位，并从底层内容对文件进行分析，识别，判定是否为敏感文件，仅针对不同敏感等级的敏感文件进行相应的响应处理动作，减少过度控制带来的工作量。

2. 客户端电脑可通过部署先进的终端数据保护类系统，在客户端实现数据保护，包括敏感数据的打印，U盘拷贝，硬盘对拷，光盘刻录，QQ、OUTLOOK客户端的敏感信息发送等，进行相应的动作处理，如阻断，记录，警告，加密等，完成统一管理。

3. 针对未触发策略的隐藏敏感文件提供检索扫描功能，可预知敏感隐患的位置，以便提前做出预案准备。

4. 对特殊需要而外发出去的重要文件，可以进行审批外发控制。

5. 对包括终端、网络一体的系统中产生的敏感操作行为进行全面的事件审计，并提供详细的信息资料，以供事后的追溯及分析使用。

解决方案实施效果

• 原则上实现对华润置地总部关键部门、核心岗位终端电脑移动介质等外设的单向控制，即实现数据的“只进不出”。

• 对华润置地总部授权用户的敏感数据通过U盘等外设的拷出行为进行审计和阻挡。

• 对所有终端电脑敏感信息打印行为进行审计和阻挡。

• 实现对敏感信息发布到外网的行为（包括邮件和WEB上传等）进行审计和阻挡。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP