赛门铁克DLP数据防泄密方案2010.doc

赛门铁克DLP数据防泄密方案文档编号：创建日期：2009-02-12最后修改日期：2010-04-13版本号：1.0.0目 录1.设计思路11.1.什么是数据防泄漏11.2.机密信息的划分标准11.2.1.基于权限11.2.2.基于内容21.3.全面的多层次防护21.3.1.IT基础架构安全防护21.3.2.数据防泄密21.3.3.安全管理31.4.首要解决大概率事件32.数据防泄露技术介绍42.1.概述42.2.产品功能模块介绍52.2.1.Vontu Enforce52.2.2.Vontu Network Monitor52.2.3.Vontu Network Prevent52.2.4.Vontu Endpoint Prevent52.2.5.Vontu Endpoint Discover62.2.6.Vontu Network Discover62.2.7.Vontu Network Protect63.数据防泄漏技术实现63.1.定义企业机密信息：如何建立机密信息样本库73.1.1.结构化数据：精确数据匹配73.1.2.非结构化数据：索引文件匹配83.1.3.补充：描述内容匹配83.2.制定监视和防护策略93.3.部署监视防护策略，检测敏感数据93.3.1.网络 DLP.Vontu Network Monitor 的工作原理.Vontu Network Monitor 部署.Vontu Network Prevent 的工作原理和部署.1.Vontu Network Prevent for Email.2.Vontu Network Prevent for Web123.3.2.端点DLP.端点DLP架构.Vontu Endpoint Prevent 的工作原理.Vontu Endpoint Discover.对网络和端点的影响.1.端点影响.2.网络影响.防篡改和安全性173.3.3.存储DLP.Vontu Network Discover 的工作原理.1.无代理.2.基于扫描程序.3.基于 Windows 代理.玩网络.Vontu Network Protect 的工作原理.Vontu Storage DLP 部署204.关于Gartner MQ (Magic Quadrant)204.1.赛门铁克DLP评估（摘自2008年6月的Gartner报告）214.2.什么是魔力象限(Magic Quadrant)21Symantec Software (Beijing) Co.,Ltd All Rights Reserved Symantec Software (Beijing) Co.,Ltd All Rights Reserved Page 21 of 21 1. 设计思路1.1. 什么是数据防泄漏对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中，大部分情况下都是员工在无意中泄露出去的，但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员，可能有意或无意地通过无线网络泄漏公司机密信息。与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。企业信息化目的是为了信息和数据的共享，而数据的生命周期中包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）三个基本的生命过程。数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。1.2. 机密信息的划分标准显然，如果对企业内各种各样的海量数据全部进行同样级别的保护，等于没有任何保护。因此数据防泄漏的一个基本点是确定信息的机密性分类。对于可以完全对外公开的数据，不需要任何的信息防泄漏防护措施；对于关系到企业生存、发展、声誉的重要数据，应当严格控制其存储位置，使用方式和传输方式。如何对信息进行机密性的分类呢？最根本思想的是依据信息的内容来判断其机密性级别。信息的所有者（如业务人员）可以根据个人或者企业的相关规范理解自己创建的信息内容的机密性级别。至于如何操作，实现方式包括以下两种：1.2.1. 基于权限信息所有者对信息载体（数据库或者文件）进行权限设定，即什么样的人可以访问什么样的信息。这是一种最直观的信息保护模型，但是其实践和操作具有很大的局限性。首先，被保护的对象不是数据的内容，而是数据的载体，因此一旦载体发生变化，原有的权限设定和控制就失去效力。比如，从数据库查询到信息存成文件格式，则对数据库表的权限设置即失去意义。另外，当把文件中的某些关键信息拷贝粘贴到其他文档，或者转换成其他格式，对于原有文件的权限设定也同样失去防护意义。其次，权限设定在操作中将极大地影响现有的工作流程管理和用户使用习惯。显然，越大型的网络环境复杂度将呈现指数型上升，这也是基于数字权限的防护技术一直不能在市场上大规模应用的主要原因。特别是对于非结构数据，如文件，设想一下，对不计其数的文件进行权限的管理，为每个文件设定可以访问、阅读、修改等权限，最终用户和管理员将不堪负重。最后，并不是所有的文件类型都可以象pdf文档一样进行权限设定，因此为了保证有效性经常需要进行格式转换，这又带了了转化后数据无法逆转，格式失真，用户使用习惯更改等更多问题。1.2.2. 基于内容显然，信息防泄漏关注的根本在于信息的内容。基于内容的机密信息分级将大大地减少管理实施难度，确保防护的有效性。管理员只需要知道我们的机密信息应当存储在数据库的那个表中，或者服务器上的哪个目录下，就可以完成对信息机密性级别的定义。显然，信息的所有者很容易提供以上信息，并且无需费神去设定权限。一旦确定了机密信息的存储位置，则可以自动地建立机密信息样本数据库，进而在存储、网络、终端各个层面发现机密信息泄漏事件。1.3. 全面的多层次防护信息防泄漏不是单独地依靠一种产品或者一种技术就可以完善解决的任务，必须建立全面的多层次防护体系，并辅以适当的管理、流程和培训，才能确保我们实现数据防护的目标。从防护层次上包括IT基础架构安全、数据安全、安全管理三个方面：1.3.1. IT基础架构安全防护IT基础架构安全包括网络、服务器和终端的安全。对于大型网络首先要划分安全域，在安全域之间的边界实施监视和访问控制，做到看得见、管得着。细粒度的网络访问权限控制是信息防泄密的基础。服务器往往是存储机密信息的基础平台。因此我们需要在信息泄露事件发生之前能够预警、提前防范；在信息泄露事件发生时能够主动实时地防护；在信息泄露事件发生之后做到及时告警、快速响应和恢复。即在预警、防护和响应三个层次上进行主动防护。以响应为例，用户、管理员、集成商人员等对于服务器的访问和操作应当建立完备的审计机制，无论是通过网络登陆还是本机操作，都可以查询管理人员操作的历史记录。通过详细记录用户行为，约束使用者对服务器上信息的操作，避免越权操作，并且可以确保安全事件发生时可以快速响应。对于终端，严格地管理和约束终端行为，落实确保合法用户和合归操作。通过采用准入控制技术，使用技术手段进行控制，对于违反企业安全策略的终端限制其访问网络资源，从而保证所有接入网络内部的终端符合企业安全策略要求，特别信息防泄密的要求。1.3.2. 数据防泄密企业需要重点保护客户数据、公司信息、知识产权及敏感或机密信息的安全，无论它们是通过电子邮件、web 邮件或其它因特网协议传出网络，还是通过 USB/CD/DVD 传出端点或保存在端点上，或者是保存在共享服务器和数据存储库中。本方案将重点介绍Symantec公司Vontu数据防泄漏技术方案。Vontu Data Loss Prevention (DLP)是业界第一个结合了终端和网络功能的软件，它为机密数据的存储和使用提供保护。无论是存储在网络的、还是不联网终端上的数据，Vontu都可以发现它们，并且可以防止数据从网络网关和终端泄密。Vontu网络数据丢失防护功能全面覆盖面很广，包含了email, Web, Secure Web (HTTPS), IM, FTP, P2P and Generic TCP。它使得企业可以更好地保护知识产权、遵从法规、维护品牌和声誉。1.3.3. 安全管理针对一系列的安全问题和相应的人员职责，需要出台的更为具体的安全管理规范和制度，通过规范制度约束企业内各种人员角色的安全行为。安全规范为企业的“人”提供了安全行为的规范和制度，解决了应该做什么不应该做什么的问题。通过逐步建立适应中华保险组织结构、业务环境和业务流程的安全组织架构，重点考虑如何实现集中的安全控制和管理需求，明确从管理员到最终用户人员等各种角色的职责。尤为关键的，通过技术的手段确保管理规范的落实和强制执行。此外，安全管理不同一般的企业管理，制度的落实需要较强的安全意识和相关技术技能，这除了需要完善安全培训教育机制，为实施安全的管理人员或者最终用户提供安全操作的具体指南和手册也是至关重要的。1.4. 首要解决大概率事件所有的“安全”都是相对的，都是有成本的。过于安全会牺牲系统运行效率、牺牲用户的方便性。显然通过物理隔离的方式把存有机密文件的电脑网络与外隔绝是最佳的信息防泄漏方案，但同时也违背了信息可用的进本原则。层次化的数据防泄漏方案需要通过完善的管理，多种技术共同配合实现。这就需要我们在现有安全架构基础上，妥善分析各种安全风险优先级别，首先解决大概率安全事件。分清哪些是大概率事件，哪些是小概率事件？对于类似用手机抓拍计算机屏幕的信息偷窃方式，显然属于小概率事件。在设计防泄露方案时对于这些极端的数据泄露情况不可能也没必要完全防护。必须把握“抓大放小”的建设原则，重点解决大概率事件。通过一系列的技术手段培养用户的信息保密意识，避免由于用户的无意识泄密或者随意泄密。2. 数据防泄露技术介绍2.1. 概述数据保护领域，涉及诸多技术，其中最有代表性的主要有两种：第一种是针对含有机密数据的电子文档（或称文件）加强保护，方法主要是加密或者版权管理；第二种是针对机密数据内容本身加强保护，方法是对机密数据的存储、使用和传输进行监控和管理。赛门铁克的数据丢失防护解决方案 Vontu Data Loss Prevention采用的是第二种技术，适合在整个企业部署，以微小的性能代价，实现牢固的机密数据保护。Vontu 检测基于实际的机密内容，而不是文件本身。因此，Vontu 不仅能检测敏感数据的摘录和派生内容，而且能识别文件格式与指纹识别信息不同的敏感数据。例如，如果某个机密 Microsoft Word 文档经过了指纹识别，则当该文档以 PDF 附件通过电子邮件发送时，Vontu 同样能精确检测到这一相同内容。如前文所述，为了全面保护客户的信息，还需要全面的多层次化防护技术，特别是终端完整性管理、网络准入控制等的解决方案配合。赛门铁克的网络准入控制产品在这两个领域提供了业界最好的解决方案。因此，赛门铁克数据丢失防护解决方案结合终端保护功能，可以为客户提供最全面的数据保护。2.2. 产品功能模块介绍Vontu DLP软件套件包含 Vontu Enforce 管理应用和六个产品：Vontu Network Monitor 和 Vontu Network Prevent（网络 DLP）、Vontu Endpoint Discover 和 Vontu Endpoint Prevent（端点 DLP）、以及 Vontu Network Discover 和 Vontu Network Protect（存储 DLP）。尽管所有这六个产品既可以作为独立的产品进行部署，也可以联合部署，但它们都通过 Vontu Enforce 管理应用进行实施。2.2.1. Vontu EnforceVontu Enforce 是所有 Vontu 产品的中心管理应用，用于自动实施企业的数据安全策略。在 Vontu Enforce，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理。Vontu Enforce 用通用的策略和报告来统一Vontu 产品套件。单个数据丢失策略可以部署在所有 Vontu 产品上，报告中包含统一的仪表板，可以将来自所有 Vontu 产品的信息组合到用户界面的一个页面上。2.2.2. Vontu Network MonitorVontu Network Monitor 安装在网络出口处，负责监视网络数据。涉及的协议包括电子邮件（SMTP）、web（HTTP）、即时消息（IM）、文件传输（FTP）和通过任何端口的所有其它 TCP 会话。2.2.3. Vontu Network PreventVontu Network Prevent 安装在网络出口处，负责监视并拦截修改网络数据。涉及的协议包括电子邮件（SMTP）、web 和安全 web（HTTP/HTTPS）以及文件传输（FTP）。2.2.4. Vontu Endpoint PreventVontu Endpoint Prevent 安装在员工的笔记本和台式机上，负责监视下载到内部硬盘驱动器上的数据，同时监视和拦截复制到 USB 设备、iPod 和 CD/DVD 的数据。2.2.5. Vontu Endpoint DiscoverVontu Endpoint Discover 安装在员工的笔记本和台式机上，负责扫描内部硬盘驱动器上的保密数据，以便可以采取措施来存储、保护或重新定位这些数据。2.2.6. Vontu Network DiscoverVontu Network Discover 通常位在数据中心，负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据。2.2.7. Vontu Network ProtectVontu Network Protect 通常位在数据中心，它会自动重新定位、复制或隔离泄露的保密数据。下图显示了这六个 Vontu 产品是如何被归为“网络 DLP”、“端点 DLP”和“存储 DLP”，Vontu Enforce 是所有产品的通用管理平台。此外，所有的产品还共享一个通用的底层技术平台。3. 数据防泄漏技术实现用户的数据存在的形式包括两种：结构化数据和非结构化数据。结构化数据存储在数据库中，包括智能卡、移动用户资料等关键并且敏感的信息。非结构化数据主要存储在文件服务器以及大量的工作终端。所有的数据都面临着信息泄漏的风险，授权用户由于具备相关的账户信息，可以访问这些重要数据，并通过外设或者网络将数据拷贝离开规定的信息存储位置。数据防泄露方案的技术实现包括以下三个流程：定义企业的机密信息，制定对不同等级机密信息的监视和防护策略，部署策略监控阻断信息泄漏。以下分别阐述以上三个流程：3.1. 定义企业机密信息：如何建立机密信息样本库防止这种信息泄漏威胁的首要前提是定义哪些是企业的机密信息。这是信息泄漏防护体系的最核心部分。Vontu通过建立机密信息样本库的方式自动化地定义企业的机密信息。针对不同类型的数据可以采用不同的方式定义机密信息和检测：无论是具有结构化格式的数据，如客户或员工数据库记录；还是非结构化数据，如 Microsoft Word 或 PowerPoint 文档，或者 CAD 绘图。保密数据首先经业务或者系统管理员确认，然后由Vontu Enforce 进行自动化的指纹识别。指纹识别过程包括 Vontu Enforce接入和提取文本和数据、对其进行标准化并使用不可逆散列保护其安全。Vontu Enforce 可以配置为定期自动更新，保证机密样本数据库始终是最新的。3.1.1. 结构化数据：精确数据匹配Vontu通过精确数据匹配（EDM）保护客户和员工数据，以及一般存储在数据库中的其它结构化数据。业务或者系统管理员可以将数据库中的包含机密信息的表和字段标志出来加以保护。例如，客户可以用 EDM 检测编写一条策略，从客户数据库中查找与一条消息中同时出现的“姓”、“名”、“身份证号码”、“帐号”或“电话号码”中的任意三个相对应的记录。EDM 技术能够扩展至非常大的数据集，在每个客户部署的单台服务器上保护 3 亿多条客户记录。实际案例中，在一台服务器上，Vontu 已经在一个拥有 5 亿行数据的数据库测试了 EDM，这些数据每行都有四列，总共 20 亿个单独的数据元。该容量可以随服务器的增加而线性扩展。EDM 允许在给定数据行的的任意列组合的基础上进行检测，即给定记录的M字段中的N。它可以针对“元组”，或指定的数据类型组进行发。例如，可以接受“名”和“身份证号码”字段的组合，但不能接受“姓”和“身份证号码”字段的组合。EDM 还允许使用更加复杂的规则，如查找 M 字段中的 N，但指定的元组除外。例如，可以要求姓、名和以下字段的任意一个：身份证号码、银行帐号、信用卡号或驾驶证号。每个数据单元都保存有独立的散列，因此，查找不同数据组合的检测策略只能由一行中的相应数据触发。例如，要求“名 + 姓 + 身份证号码”的 EDM 策略将由“Joe + Smith + Joe Smith 的 身份证号码”触发，但不能由“Joe + Smith + Jane Doe 的 身份证号码”触发，即使 Jane Doe 也在同一个数据库中。EDM 还支持近接逻辑，以减少潜在的误报。对于检测过程中正在处理的自由格式文本，指纹的某一行中所有数据的字数都必须在可配置的字数范围内才会被视为匹配。例如，默认情况下，要达到匹配，所检测电子邮件正文中的“Joe”、“Smith”和“Joe Smith 的 身份证号码”的字数必须在所选字数范围内。对于包含表格数据的文本（如来自 Excel 电子表格的数据），指纹某一行中的所有数据都必须在表格文本的同一行中才会被视为匹配，以减少总体误报。对于安全性极高的环境，Vontu 提供了一个独立工具“External EDM Indexer”，它允许用户在存储系统上直接创建密码索引，然后再将其移动到 Vontu Enforce 服务器。External EDM Indexer 还能够直接连接到 SQL 数据来创建 EDM 配置文件。3.1.2. 非结构化数据：索引文件匹配索引文件匹配（IDM）确保精确检测非结构化数据，这些数据以 Microsoft Word 和 PowerPoint 文件、PDF 文档、设计规划、源码文件、CAD/CAM 图像、财务报告、并购文档和其它敏感或专利信息形式保存。业务或者系统管理只需要定义机敏信息应当存储的目录，IDM即可以对该目录下的文件建立索引，类似与google搜索引擎的方式，形成企业机敏信息的内容索引。IDM 创建文档指纹来检测源文档、草稿或不同版本受保护文档的摘录部分，以及与二进制内容的精确匹配。Vontu IDM 还有将某些内容（如标准样板文本）列入“白名单”的能力，以减少误报。在一台服务器上，Vontu 已通过 IDM 指纹成功创建并检测了超过两百万个文档。与 EDM 一样，其容量也可以随服务器的增加而线性扩展。部分文档匹配是 Vontu IDM 技术的一个特点。因为 IDM 注册和指纹识别文档的已摘录和已标准化的文本的不同部分，所以它允许在派生文档（如修订和版本）和段落（如粘贴到其它文档中的大块受保护内容）上进行可配置的匹配。如果指纹中检测到所有散列段，则同样的技术也用于文本文档的精确文档匹配。IDM 还支持以所有语言进行检测，包括那些拥有双字节字符集的语言。策略编写UI允许完全控制部分文档检测背后的设置，特别是触发事故所需的原指纹识别文件与检测信息匹配的百分比。内容被标准化，以除去标点符号和格式，这样对内容表示方法的修改就不会中断检测。Vontu IDM 使用统计取样方法来存储指纹识别文档的散列段，因此并非所有文本都存储在文档配置文件中。这种方法使 IDM 同时具有极高的准确率和可扩展性。Vontu 没有使用一些不是很先进的非结构化数据匹配技术，包括对从文档创建的散列进行过度采样，这种方法非常低效且浪费系统资源，或者是对散列进行随机取样，这将导致较高的漏报率。IDM 检测技术的第二个特点是能够精确匹配二进制内容。除了创建针对部分文档匹配的内容散列之外，再创建一个二进制内容的 MD5 散列可以实现这一点。这种形式的检测可以用于任何文件类型，包括那些不能破解和已提取文本内容的文件，如媒体文件或一些专用文件格式。3.1.3. 补充：描述内容匹配精确数据匹配和索引文件匹配两种方式都是从现有的数据中提取信息建立样本库。当不可能或难以获取信息副本进行索引，或者当精确内容未知但可以描述时，可以采用描述内容匹配（DCM）辅助建立样本库。不同于精确数据匹配和索引文件匹配自动建立样本哭的方式，DCM需要业务或者系统管理手工输入机密信息的关键内容。描述内容匹配（DCM）具有高度准确性，对结构化和非结构化数据同样适用，它通过用户输入Vontu Enforce 中的 Vontu 数据标识符、关键字、词典、模式匹配、文件类型、文件大小、发送人、接收人、用户名和网络协议信息来检测数据丢失事故。DCM 包含 20 多个现成的数据识别符，准确识别基于敏感模式的数据，如信用卡号、社保编号或驾驶证号。数据识别符利用检测算法，将模式匹配与其它准确性检查和验证相结合，如用于信号卡号的 Luhn 检查。与只用正则表达式识别模式的解决方案不同，数据识别符还包括有关不同数据类型有效编号范围的内置智能功能。例如，只有合法的身份证号码才会被检测。这种额外的智能功能使客户能够在屏幕上显示出测试数据和其它频繁发生的误报，并识别特定于各种行业、国家和地区的数据类型，包括信用卡号、符合支付卡行业（PCI）数据安全标准的磁条数据、银行卡发卡行标识代码（BIN）、社保编号和保险编号等。例如，社保编号的数据识别器将不仅查找九位数字的编号，它还将查找以破折号或空格分隔的 DDD-DD-DDDD 模式，其中的编号是处于有效分配编号范围内的公共测试编号（如 123456789），或者已经排除了所有相同的阿拉伯数字，显示社保相关的关键字。Vontu 的关键字检测提供匹配任意单字或短语的功能，包括那些使用任何普通字定界符，如空格、逗号、短划线或斜杠等。用户可以针对每种情况配置区分大小写的关键字匹配。可以针对每种情况单独配置定义事故的匹配关键字或关键字短语的数量。3.2. 制定监视和防护策略Vontu Enforce 提供一种集中用户界面，用户可以从中快速方便地构建可以在所有 Vontu 产品中应用的数据丢失策略。每种策略都是检测规则和响应规则的组合。当违反一种或多种检测规则时，将生成事故。Vontu 支持布尔逻辑来构造复杂的检测规则，允许用户使用 AND、OR 和 NOT 逻辑运算符来组合多条规则和条件，还可以在单个策略中结合不同的检测技术。在异常中将会考虑特定数据和发送人接收人的“白名单”。这些高度可配置的检测规则和异常规则的最终结果准确性非常高，且误报最少。策略中的每个检测规则都被指定一个严重性等级，事故的总体严重性由所引发的最高严重性级别确定。用户还可以定义消息组件，如正文、标题或附件，针对这些组件可以出现任何检测规则。另外，经过指纹识别的数据配置文件在特定的策略外部定义，这使得可以在多个策略中引用经指纹识别的内容。客户可以创建他们自己的策略，或者利用 Vontu 提供的 60 多个预先构建的策略模板，这些模板覆盖多个行业和规章，以帮助客户尽快开始工作。当违反了数据丢失策略时，那么就评估该策略相对应的自动响应规则。自动响应规则可以由不同的条件触发，包括事故严重性、事故匹配计数、消息的通信协议以及检测到该事故的 Vontu 产品类型。Vontu DLP 8 中提供 15 个自动响应规则，包括发送电子邮件通知（向最终用户和或其经理等）、设置事故的状态、拦截文件被复制到 USB 设备中并向员工显示屏幕弹出消息、拦截数据传送（SMTP/HTTP/HTTPS/FTP）、修改 SMTP 电子邮件（这样就可以将它重新路由到电子邮件加密网关等），或者复制或重新定位休眠的文件。这些自动响应规则提供多种方法来自动划分入局事故的优先等级，以关注纠正工作并确保有适当级别的响应。例如，某些事故（如来自高净值客户的数据或流入竞争对手的敏感设计规划）可能会自动触发拦截规则，且该事故可能会升级为引起立即关注的特殊工作流。或者客户可能会希望区别对待涉及 1000 条客户记录的事故和涉及 10 条客户记录的事故。响应规则是在特定的策略外部定义的，因此可以使用相同的响应，而无需为每个单独策略重新定义响应。3.3. 部署监视防护策略，检测敏感数据在 Vontu Enforce 中创建或更新了EDM 或 IDM 指纹和策略后，它们被立即推送到所有其它适当的 Vontu 服务器（Vontu Network Monitor 和 Vontu Network Discover 等）那里。它们将留在这些服务器的物理内存中，以进行快速处理。然后，执行检测的 Vontu 服务器将扫描入局消息或文件、提取破解的内容、对此数据应用 Vontu 散列算法，然后将此散列数据与该服务器的 RAM 中包含的检测规则进行比较。这种在所有 Vontu 服务器中进行分布式检测处理的方法是整个套件可扩展性的关键因素，当在任何大型企业中部署时，在管理服务器上进行集中检测的一些其它方法将会遇到严重的问题。最后，还有一个要点须注意，所有 Vontu 服务器产品在所有检测技术中均以相同的方式执行检测。各服务器产品的不同之处就在于 Vontu 产品接入将扫描的数据的方式：l Vontu Network Monitor 服务器：扫描从网络 SPAN 端口或分流器接收的数据副本。l Vontu Network Prevent for Email 服务器：扫描从 MTA 接收的电子邮件。l Vontu Network Prevent for Web 服务器：扫描从 web 代理程序接收的 HTTP/S 和 FTP 流量。l Vontu Endpoint Prevent/Discover 服务器：扫描从 Vontu Endpoint Agent 接收的文件副本。l Vontu Network Discover/Protect 服务器：扫描从数据存储库读出的文件和数据。该检测过程的明显例外就是当 Vontu Endpoint Agent 可以执行本地检测时并且该策略中只有有基于 DCM 的检测规则推送给它们。在此场景中，Vontu Endpoint Server 不执行检测，而只是将发送给它的事故从 Vontu Endpoint Agent 传递到 Vontu Enforce。本文的“端点 DLP”部分将讨论有关基于代理程序检测的更多内容。如果识别到敏感数据且生成了事故，Vontu 服务器可以自动执行某些自动响应，如拦截修改数据发生送或复制重新定位文件。如果代理正在执行本地检测，则会启用 USB/CD/DVD 拦截的自动响应规则。在任何情况下，当检测到某事故时，相关事故信息都会立即发送给 Vontu Enforce，在这里，事故的详细信息将存储在 Vontu Enforce 数据库中，并可以激活其它自动响应规则（如电子邮件通知）。3.3.1. 网络 DLPVontu Network DLP 产品位于 DMZ 中的网络出口，其中包括 Vontu Network Monitor 和 Vontu Network Prevent。Vontu Network Monitor 扫描离开企业的所有数据，以查看其是否包含敏感信息。Vontu Network Prevent 添加了为加密、隔离电子邮件和拦截包含敏感数据的 web 和 FTP 通信而重新定向电子邮件的功能。大多数 Vontu 客户在多个协议中都使用 Network DLP 产品，来确保数据丢失威胁的广泛覆盖。他们还看到了前后使用这两种产品的价值，因为 Vontu Network Prevent 增加了自动拦截的功能，且 Vontu Network Monitor 覆盖了 Vontu Network Prevent 没有覆盖的协议。Vontu 的网络 DLP 解决方案使企业能够监视离开企业的数据，以保护知识产权、证明其遵从性并保护他们的品牌和声誉。. Vontu Network Monitor 的工作原理Vontu Network Monitor 被动检查网络流量并针对所有的网络协议和内容类型，在保密信息离开网络之前对其进行检测，使企业能够限定和量化数据丢失风险。例如，Vontu Network Monitor 可以检测使用IM或公共 web 邮件提供商的员工向竞争对手发送产品计划和其工作的保密样本。它还可以识别中断的业务流程，该流程导致将社保编号未经加密发送到可靠的合作伙伴。Vontu Network Monitor 的基本操作非常简单。它位于网络出口处，分析网络信息包的副本，检测数据是否违反策略。网络协议在 Vontu Network Monitor 设置中进行配置，其中可以包括公共数据传输协议和交互协议，如SMTP、HTTP、FTP 流量（包括主动和被动方式发送的数据和控制会话）、IM 流量（AIM、Yahoo 和 MSN Messenger）、IRC 和 Internet News（NNTP）。通过Universal TCP协议定义，可以对非标准和专用协议进行定制式监视，如文件共享网络 Kazaa 或 FastTrack。Vontu Network Monitor 还可以监视加密的使用和类型，包括检测未经授权使用加密和验证是否遵守了加密策略。Vontu Network Monitor 是端口不可知论者，它基于协议签名识别应用程序级别的网络流量来执行策略，即使流量从非本机端口离开也不例外。例如，只要 TCP 连接的格式符合在 Vontu 系统中配置的 HTTP 协议签名，则不使用标准 TCP 80 端口的流量也仍将被分析和分类为 HTTP。类似地，根据 Vontu 基于协议签名匹配流量并识别隧道协议的功能，在 HTTP 内进行隧道传送的即时消息将会被正确识别为 IM 协议。Vontu Network Monitor 通常由客户配置，检查最有可能丢失保密数据的流量。在典型数据中心中，有大量低威胁流量（如 UDP 或安全 VPN 流量）以及与高威胁流量（如 SMTP、HTTP、FRP 和 IM）纠缠在一起的入站流量。在标准部署中，Vontu Network Monitor 被配置为过滤出低威胁流量，以确保不会花费 CPU 周期来处理低风险数据。可以免于分析的数据包括：加密的流量、流媒体或低风险自动管理业务（如 IM 持续连接）等。将检查网络流量的范围缩小为最高风险的通信是通过为 IP 网络和地址、应用层发送人和接收人以及数据头中的任意名称值对配置过滤器实现的。. Vontu Network Monitor 部署有两种方法可以实施 Vontu Network Monitor，通过使用端口镜像（SPAN）或网络分流器配置。在网络交换机上使用端口镜像方法，所有进出端口的网络数据包都将被复制到另一个与 Vontu Network Monitor连接的专用交换机端口。这样，Vontu Network Monitor 将获得所有流量的副本。还有一种备选方法是在物理网络中放置一个硬件网络分流器，使流量经过该分流器，将数据包的副本向外发送到 Vontu Network Monitor 的两个监视端口。该分流器方法会分离入站和出站流量，这样可以在不破坏流量的情况下，重新组合接近 Gb/s 速率的流量，以进行分析。Vontu Network Monitor 实时处理流量，因此它必须能够处理峰值负载。对于流量负载较高的网络，Vontu 建议使用高性能网络接口卡。高速网卡提供缓冲功能，这样对系统 CPU 的中断较少，支持在不丢失数据包的情况下提高 Gb/s 持续吞吐量。为了帮助高负载环境，Vontu Network Monitor 可以水平扩展，在多个 Vontu Network Monitor 间进行流量的负载均衡。可以将多个监视器连接到网络端口镜像或分流器，并配置单独的监视器来查找特定的协议或各种 IP 地址。还有一种选择是使用负载均衡设备在网络分流器和监视器之间引导流量。Vontu Network Monitor 扩展性好，一台服务器能够分析高达 1Gb/s 的流量，而不出现数据包丢失。在若干大型客户部署中，多台 Vontu Network Monitors 覆盖了超过 100,000 名用户，其中一位客户在 24 小时内处理了超过 10 亿条消息。有关产品硬件要求，请参阅附录。. Vontu Network Prevent 的工作原理和部署Vontu Network Prevent 可用于 SMTP（“Vontu Network Prevent for Email”）或 HTTP/HTTPS/FTP（“Vontu Network Prevent for Web”），并通过重定向、隔离或拦截包含保密数据的传输，主动防止保密数据丢失。HTTP 覆盖包括通信，如 web 邮件发送（如 Gmail 或 Hotmail）、网站 POST、博客或互联网论坛记录。就像“检测和准确性”节中描述的那样，Network Prevent 检查数据，以确定数据是否违反数据丢失策略。为了使 Vontu Network Prevent 拦截数据传输，实现对Vontu Network Prevent for Email 的有条件加密，要求与一些第三方产品集成。包括：.1. Vontu Network Prevent for EmailVontu Network Prevent 使用一个支持与各种企业级 MTA 兼容的 API，这些 MTA 支持标准 SMTP 和扩展 SMTP（eSMTP）消息及转发功能。这使得公司能够使用他们现有的基础设施，在出站 SMTP 消息传递流中无需其它步骤。Vontu Network Prevent 已经成功完成了与各公司 MTA 的集成测试，包括 Symantec、IronPort、Postfix、CipherTrust、Sendmail、Proofpoint、SonicWall 和 Clearswift。对于加密，Vontu Network Prevent 可以使用任何标准加密网关产品，包括 PGP、PostX、Zix、Voltage 和 Tumbleweed。部署在Vontu Network Prevent 服务器上的策略引导 Vontu Network Prevent 集成 MTA 根据具体的内容或其它消息属性，拦截、重新路由或改变电子邮件消息。例如，如果电子邮件符合策略，它将被发送回 MTA，不作任何改动地随电子邮件链发送。如果电子邮件违反数据丢失策略，Vontu Network Prevent 可以修改该电子邮件标题并将其发回 MTA。例如，某条拦截 SMTP 消息可能会返回 SMTP 5xx 故障响应代码，其中包含在策略响应规则中指定的文本。MTA 还可以丢弃消息、重定向消息到隔离文件夹，或者转发到电子邮件加密网关。重定向消息可以通过在主题行中添加关键字或由 Prevent 服务器创建一个经过修改的 RFC 2822 消息报头（如 X-CFilter: Encrypt）来完成。根据这些经修改的主题行或报头，MTA 可以做出消息转发决策，并包含从加密网关或其它下游消息系统处理所必需的任何其它消息格式。由于 Vontu Network Prevent 服务器会在出站消息流关闭前，一直保持入站消息流的打开，所以在接收 MTA 保存消息的备用副本之前，永远不会从发送 MTA 删除该消息。请注意，Vontu Network Prevent 服务器不是 MTA。它不会存储消息，也不会以任何方式重新路由消息 它只是将电子邮件“反射”或转发到 MTA。.2. Vontu Network Prevent for Web对 HTTP、HTTPS 和 FTP 来说，Vontu Network Prevent 与符合 ICAP 的 web 代理集成，如 Blue Coat、Cisco 和 Network Appliance。Web 代理被配置为排队出站数据传除，并将副本发送到 Vontu Network Prevent 进行扫描。如果数据传输不违反数据丢失策略，Vontu Network Prevent 将指示代理将数据传输到其指定的目的地。如果数据传输确实违反了策略，Vontu Network Prevent 可以选择告知代理终止传输，或者它可以选择仅把保密数据从 web 传输中删除。在后一种情况中，数据传输将继续传送到目的地，且不影响 web 浏览器。这在处理复杂的 Web 2.0 web 应用时特别有用，否则当拦截整个传输时就可能会挂断浏览器。对 HTTP/HTTPS来说，Vontu Network Prevent 可以选择显示一个新 web 页面，传回最终用户，通知最终用户违反了策略，传输被拦截。Vontu Network Prevent 使用标准的互联网内容适配协议（ICAP）接口，支持对违反所配置策略的内容进行请求修改（REQMOD）和响应修改（RESPMOD）检查。REQMOD 允许扫描出站 HTTP、HTTPS 和 FTP 请求，包括 网站 GETS、网络邮件 POSTS 和 FTP PUTS。RESPMOD 允许扫描相应入站 HTTP/HTTPS 响应，从原始请求返回内容。这种检查能够监视公司网络邮件访问和内联网应用，通过这些应用，可以将保密数据下载到非可靠机器、个人用户机器或远程位置。3.3.2. 端点DLPVontu Endpoint DLP 赋予数据安全团队在端点（特别是笔记本和台式机）上保护保密数据安全所需的洞察力和控制权。Vontu Endpoint DLP 包含两个产品。第一个是 Vontu Endpoint Prevent，它监视和拦截离开端点的保密数据。它还可以在屏幕上显示弹出通知，告知最终用户违反策略的情况。第二个产品是 Vontu Endpoint Discover，它扫描端点上已保存的保密数据。这两个产品都由单个服务器（“Vontu Endpoint Server”）和安装在端点上的单个代理（“Vontu Endpoint Agent”）支持，包含数据丢失策略并执行本地检测。即使当端点从公司网络断开连接时，该代理仍然支持这两个产品的运行，因此可以提供持续的“随时随地”的保护。. 端点DLP架构Vontu 使用三层架构和基于代理的检测，来支持拥有上万个端点的可扩展企业部署。这三层分别是 Vontu Enforce、Vontu Endpoint Server 和 Vontu Endpoint Agent。下图阐释的是一个使用多个 Vontu Endpoint Server 的大型企业部署。Vontu Endpoint Agent 安装在 Windows XP、Windows Vista 和 Windows Server 2003 上，占用约25MB 的磁盘空间和约20MB 的内存。它包含 Vontu Endpoint Server 向它推送的数据丢失策略和过滤器配置。这些数据丢失策略同时包含检测规则和响应规则。无论 Vontu Endpoint Agent 是否正在执行发现、监视或预防，它都以和本地检测相同的方式工作，通过“破解”开放文件并检查其中的数据来查看它是否违反策略。如果数据违反了策略，Vontu Endpoint Agent 将启动实时本地响应规则（如 USB/CD/DVD 拦截），然后通过 Vontu Endpoint Server 将事故数据发送到 Vontu Enforce。接下来，Vontu Enforce 将启动任何其它适用的自动响应规则，如对最终用户和或其经理的电子邮件通知。事故信息将保存起来用于报告和补救，为企业提供其端点上数据丢失风险的完整视图。如果推送到 Vontu Endpoint Agent 的所有策略都使用基于 DCM 或“基于描述”的检测规则（关键字、数据标识、正则表达式等），则Vontu Endpoint Agent只执行本地检测。如果策略包含任何基于 EDM