Symantec DLP实施项目工作说明书
发表时间:2020-02-14
三、 Policy
1 Symantec DLP Policy 介 绍
为确保较高的准确率,Symantec Data Loss Prevention 采用了三种主要的检测技术:
1.1 指定内容匹配 (DCM)
DCM 可与结构化和非结构化数据一起使用,它使用由用户输入到 Enforce Platform 的数据标识符、关键字、词典、模式匹配、正则表达式、文件类型、文件大小、収件人、收件人、用户名、端点用 户组(用于 Endpoint Prevent)等来检测数据泄漏亊件。这些文档形式包括 Microsoft Word 和
PowerPoint 文件、PDF 文档、设计方案、源代码文件、CAD/CAM 图像、财务报表、并购文档以及
其他敏感或专有信息等。
在上海某信息技术有限公司实施中,由于 DLP 与用户的AD 环境进行联动,可以基于端点用户组来实施策略,有效地按部门进行策略的定制和管理。同时,上海XX信息技术有限公司的涉密文档特征 性较明显,所以我们建议使用DCM 来做为主要的检测技术。
什么是端点用户组?
为确定目标“端点”用户组,Symantec Data Loss Prevention 提供了“端点用户组”检测规则。“端点用户组”规则利用端点代理在用户登彔到 Active Directory (AD) 时获得的目彔信息,指定要将策略应用到的特定 AD 用户和/或组。“端点用户组”规则是一种指定内容匹配 (DCM) 规则。“端点用户组”规则的主要用例是对不同用户(包括共享计算机环境中的用户)应用不同的策略。例如,研发部门的普通员工 可能无法将机密文件复制到 USB 中,而其主管却可以使用同一台计算机中复制该文件。“端点用户组” 规则可以用作检测规则,也可以用作仍策略中排除特定组的例外。“端点用户组”规则适用于 Endpoint
Prevent,它可与端点阻止规则结合使用。而且,即使端点计算机未违接到企业网络中,“端点用户组” 规则也可以发挥作用。
1.2 确切数据匹配 (EDM)
确切数据匹配 (EDM) 可以保护客户和员工数据,以及其他一般存储在数据库中的结极化数据。
1.3 索引文档匹配 (IDM)
索引文档匹配 (IDM) 可确保以文档形式存储的非结极化数据的准确检测,例如 Microsoft Word 或
PowerPoint 文档,或 CAD 绘图。指纹加密过程包括 Enforce Platform 访问和提取文本和数据,对其进行规范化,然后使用不可逆哈希为其提供保护,确保不会存在二次泄密。
2 Policy 的创建
Symantec DLP 的Policy是整个DLP系统的主要组成部分,它的创建与细化过程需要一段较长的时间,为减少实施周期我们在管理平台建立时可以导入Symantec为不同行业用户准备的通用性模版,可以在此模版的基础上,定制适合上海某信息技术有限公司的检测与响应策略。根据上海传英信息技术 有限公司的需求,我们通过以下步骤来建立Policy:
i. 用户提交部分涉密文档,这些文档可以是需要保护的市场信息文档、Project文档、源代码、
CAD文档等。
ii. 按照需求使用不同的检测技术定义检测策略。
iii. 测试Incident收集
iv. 简单细化检测策略并定义响应策略,比如初级邮件通知、终端用户通知
v. 提交Report报告
vi. 进一步细化检测策略与响应策略
vii. 提交效果展示Report报告
