XXX数据防泄漏项目 -规划设计和实施方案
发表时间:2020-02-14
1 项目目标
为加XX科技(以下简称XXX)敏感数据的管理,对终端、网络数据出口进行严格、细致的控制。通过设置全行敏感资料数据库和安全防护策略,防止员工通过终端、网络传递敏感数据,同时记录并保存员工对邮件数据的存取和操作日志,为XXX提供终端和网络数据安全防护及审计依据,减少数据泄露风险。
本方案是描述Symantec向XXX提供的Symantec数据防泄密系统Data Loss Prevention(以下简称“DLP”)部署服务。方案中描述有关DLP设计和实施。此处提供的任何时间表、日期为估计得出,可能会根据实际部署情况产生变化。
DLP设计和实施涉及以下方面:
Oracle 12C设计和实施
Symantec DLP 设计和实施包含如下模块:
• Symantec DLP Platform (DLP管理控制台)
• Data Loss Prevention Endpoint Discover(DLP终端发现模块)
• Data Loss Prevention Endpoint Prevent(DLP终端保护模块)
• Data Loss Prevention Network Discover(DLP网络发现模块)
• Data Loss Prevention Network Monitor(DLP网络监控模块)
• Data Loss Prevention Sensitive Image Recognition Addon(DLPOCR模块)
VTAS Data Insight(文件访问审计模块)
策略及相应流程配置及调优
1.1 基础架构及基本需求
1.1.1 基础架构逻辑总图
XXX实施方案设计说明:
本次项目根据XXX采购DLP的模块不同来确定服务器数量,才采用三层架构方式部署,其中Oracle数据库服务器1台、DLP管理控制台服务器1台,DLP终端保护模块服务器2台,DLP网络发现服务器1台,DLP网络监控模块服务器3台(上海、南京、昆山),DLPOCR模块服务器3台(上海、南京、昆山)。各物理服务器之间至少需要百兆及以上网络连接。
a) 根据XXX现有情况,三地均部署Network Monitor 服务器一台,监控三地出口流量,主要监控协议为HTTPFTPSMTP,
b) 利用已有资源,分别在三地部署OCR服务器,增强对出口流量中图片的扫描识别的处理能力,
c) 考虑到Endpoint Server的高可用性,部署2台Endpoint Server的检测服务器,满足三地终端客户端的通信,当客户端在无法连接到其中一台检测服务器后,自动切换到第二台检测服务器,
d) 考虑到后期的项目的扩张性和维护性,DLP中各角色单独搭建。
1.1.2 基本需求
XXX在数据安全方面已有很多解决方案,但现有的解决方案均无法对数据的真实内容进行防护,Symantec DLP对数据真实内容进行分析与监控,对XXX现有的安全体系进行有效补充。
通过此次DLP项目,实现对终端、网络流出的敏感信息管控,提升XXX的数据安全防护级别,提升对数据的安全性、可管理性及可靠性。
为加XX科技(以下简称XXX)敏感数据的管理,对终端、网络数据出口进行严格、细致的控制。通过设置全行敏感资料数据库和安全防护策略,防止员工通过终端、网络传递敏感数据,同时记录并保存员工对邮件数据的存取和操作日志,为XXX提供终端和网络数据安全防护及审计依据,减少数据泄露风险。
本方案是描述Symantec向XXX提供的Symantec数据防泄密系统Data Loss Prevention(以下简称“DLP”)部署服务。方案中描述有关DLP设计和实施。此处提供的任何时间表、日期为估计得出,可能会根据实际部署情况产生变化。
DLP设计和实施涉及以下方面:
Oracle 12C设计和实施
Symantec DLP 设计和实施包含如下模块:
• Symantec DLP Platform (DLP管理控制台)
• Data Loss Prevention Endpoint Discover(DLP终端发现模块)
• Data Loss Prevention Endpoint Prevent(DLP终端保护模块)
• Data Loss Prevention Network Discover(DLP网络发现模块)
• Data Loss Prevention Network Monitor(DLP网络监控模块)
• Data Loss Prevention Sensitive Image Recognition Addon(DLPOCR模块)
VTAS Data Insight(文件访问审计模块)
策略及相应流程配置及调优
1.1 基础架构及基本需求
1.1.1 基础架构逻辑总图
XXX实施方案设计说明:
本次项目根据XXX采购DLP的模块不同来确定服务器数量,才采用三层架构方式部署,其中Oracle数据库服务器1台、DLP管理控制台服务器1台,DLP终端保护模块服务器2台,DLP网络发现服务器1台,DLP网络监控模块服务器3台(上海、南京、昆山),DLPOCR模块服务器3台(上海、南京、昆山)。各物理服务器之间至少需要百兆及以上网络连接。
a) 根据XXX现有情况,三地均部署Network Monitor 服务器一台,监控三地出口流量,主要监控协议为HTTPFTPSMTP,
b) 利用已有资源,分别在三地部署OCR服务器,增强对出口流量中图片的扫描识别的处理能力,
c) 考虑到Endpoint Server的高可用性,部署2台Endpoint Server的检测服务器,满足三地终端客户端的通信,当客户端在无法连接到其中一台检测服务器后,自动切换到第二台检测服务器,
d) 考虑到后期的项目的扩张性和维护性,DLP中各角色单独搭建。
1.1.2 基本需求
XXX在数据安全方面已有很多解决方案,但现有的解决方案均无法对数据的真实内容进行防护,Symantec DLP对数据真实内容进行分析与监控,对XXX现有的安全体系进行有效补充。
通过此次DLP项目,实现对终端、网络流出的敏感信息管控,提升XXX的数据安全防护级别,提升对数据的安全性、可管理性及可靠性。
