一种客户信息防泄密系统及方法与流程
本发明涉及防泄密领域技术,尤其是指一种客户信息防泄密系统及方法。
背景技术:
对企业而言,在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时,来自内部的数据泄露或许是一个更需要重视的问题。无论企业处于何种规模,都存在数据泄密的风险,而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中,大部分情况下都是员工在无意中泄露出去的,但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员,可能有意或无意地通过无线网络泄漏公司机密信息。与此同时,大量支持usb连接的设备不断涌现,也使得企业的机密信息很可能便被装进u盘或者移动硬盘等方便地带走。当发生数据泄密时,在安全专家忙于恢复敏感数据和修补泄密漏洞期间,企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中:当原来的泄密漏洞刚刚得到控制,新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。
技术实现要素:
有鉴于此,本发明针对现有技术存在之缺失,其主要目的是提供一种客户信息防泄密系统及方法,适合在整个企业部署,实现牢固的机密数据保护。
为实现上述目的,本发明采用如下之技术方案:
一种客户信息防泄密系统,包括中心管理模块、分别与中心管理模块相连接的网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块,各模块联合部署,通过中心管理模块的管理应用进行实施;
所述中心管理模块是其它模块的中心管理应用,用于自动实施企业的数据安全策略,在中心管理模块,数据丢失策略被创建,以自动检测和保护敏感数据,执行事故工作流和纠正措施,生成报告并配置基于角色的接入和系统管理;中心管理模块用通用的策略和报告来统一各模块的套件;单个数据丢失策略可以部署在所有模块上,报告中包含统一的仪表板,可以将来自所有模块的信息组合到用户界面的一个页面上;
所述网络监视模块安装在网络出口处,负责监视网络数据;涉及的协议包括电子邮件smtp协议、webhttp协议、即时消息im协议、文件传输ftp协议和通过任何端口的所有其它tcp会话;
所述网络保护模块安装在网络出口处,负责监视并拦截/修改网络数据,涉及的协议包括电子邮件smtp协议、webhttp协议和安全webhttp/https协议以及文件传输ftp协议;
所述端点防范模块安装在员工的笔记本和台式机上,负责监视下载到内部硬盘驱动器上的数据,同时监视和拦截复制到usb设备、ipod和cd/dvd的数据;
所述端点发现模块安装在员工的笔记本和台式机上,负责扫描内部硬盘驱动器上的保密数据,以便可以采取措施来存储、保护或重新定位这些数据;
所述网络发现模块通常位在数据中心,负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据;
所述网络防范模块通常位在数据中心,它会自动重新定位、复制或隔离泄露的保密数据。
一种客户信息防泄密方法,基于权利要求1所述客户信息防泄密系统,按以下步骤进行
1)先建立机密信息样本库:通过建立机密信息样本库的方式自动化地定义企业的机密信息;
2)制定监视和防护策略:中心管理模块提供一种集中用户界面,用户可以从中快速方便地构建可以在其它模块中应用的数据丢失策略;每种策略都是检测规则和响应规则的组合;当违反一种或多种检测规则时,将生成事故;另外,经过指纹识别的数据配置文件在特定的策略外部定义,这使得可以在多个策略中引用经指纹识别的内容;
3)部署监视防护策略,检测敏感数据:在中心管理模块中创建或更新了精确数据匹配或索引文件匹配指纹和策略后,它们被立即推送到所有其它适当的系统服务器那里,包括但不仅限于端点防范模块和网络防范模块的服务器;它们将留在这些服务器的物理内存中,以进行快速处理;然后,执行检测的服务器将扫描入局消息或文件、提取破解的内容、对此数据应用散列算法,然后将此散列数据与该服务器的ram中包含的检测规则进行比较;最后,所有系统服务器产品在所有检测技术中均以相同的方式执行检测;如果识别到敏感数据且生成了事故,系统服务器将自动执行某些自动响应,包括拦截/修改数据发生送或复制/重新定位文件。
本发明与现有技术相比具有明显的优点和有益效果,具体而言,由上述技术方案可知,将中心管理模块、网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块共7大模块联合部署,通过中心管理模块的管理应用进行实施。该客户信息防泄密系统支持多种协议,支持最广泛的数据存储库,终端覆盖技术多种多样,支撑相似度匹配,可以将来自所有模块的信息组合到用户界面的一个页面上,客户口可以依据需要自由进行等级配置布署,使用简单方便。
为更清楚地阐述本发明的结构特征和功效,下面结合附图与具体实施例来对本发明进行详细说明。
附图说明
图1是本发明之实施例的系统结构框图。
附图标识说明:
1、中心管理模块2、网络发现模块
3、网络防范模块4、端点发现模块
5、端点防范模块6、网络监视模块
7、网络保护模块。
具体实施方式
请参照图1所示,其显示出了本发明之较佳实施例的具体结构,是一种客户信息防泄密系统,包括中心管理模块1、分别与中心管理模块1相连接的网络发现模块2、网络防范模块3、端点发现模块4、端点防范模块5、网络监视模块6、网络保护模块7,各模块联合部署,通过中心管理模块1的管理应用进行实施。
其中,所述中心管理模块1是其它模块的中心管理应用,用于自动实施企业的数据安全策略,在中心管理模块1,数据丢失策略被创建,以自动检测和保护敏感数据,执行事故工作流和纠正措施,生成报告并配置基于角色的接入和系统管理;中心管理模块1用通用的策略和报告来统一各模块的套件;单个数据丢失策略可以部署在所有模块上,报告中包含统一的仪表板,可以将来自所有模块的信息组合到用户界面的一个页面上。
所述网络监视模块6安装在网络出口处,负责监视网络数据。其涉及的协议包括电子邮件smtp协议、webhttp协议、即时消息im协议、文件传输ftp协议和通过任何端口的所有其它tcp会话。
工作时,网络监视模块6被动检查网络流量并针对所有的网络协议和内容类型,在保密信息离开网络之前对其进行检测,使企业能够限定和量化数据丢失风险。例如,网络监视模块6可以检测使用im或公共web邮件提供商的员工向竞争对手发送产品计划和其工作的保密样本。它还可以识别中断的业务流程,该流程导致将社保编号未经加密发送到可靠的合作伙伴。网络监视模块6的基本操作非常简单。它位于网络出口处,分析网络信息包的副本,检测数据是否违反策略。
网络监视模块6还可以监视加密的使用和类型,包括检测未经授权使用加密和验证是否遵守了加密策略。
网络监视模块6通常由客户配置,检查最有可能丢失保密数据的流量。在典型数据中心中,有大量低威胁流量(如udp或安全vpn流量)以及与高威胁流量(如smtp、http、frp和im)纠缠在一起的入站流量。在标准部署中,网络监视模块6被配置为过滤出低威胁流量,以确保不会花费cpu周期来处理低风险数据。可以免于分析的数据包括:加密的流量、流媒体或低风险自动管理业务(如im持续连接)等。
所述网络保护模块7安装在网络出口处,负责监视并拦截/修改网络数据。其涉及的协议包括电子邮件smtp协议、webhttp协议和安全webhttp/https协议以及文件传输ftp协议。
该网络保护模块7通过重定向、隔离或拦截包含保密数据的传输,主动防止保密数据丢失。http覆盖包括通信,如web邮件发送(如gmail或hotmail)、网站post、博客或互联网论坛记录。就像“检测和准确性”节中描述的那样,网络保护模块7检查数据,以确定数据是否违反数据丢失策略。使网络保护模块7拦截数据传输,实现对网络保护模块7到email的有条件加密。
客户信息防泄密系统赋予数据安全团队在端点(特别是笔记本和台式机)上保护保密数据安全所需的洞察力和控制权,其包含两个产品:第一个是端点防范模块5,第二个是端点发现模。
所述端点防范模块5安装在员工的笔记本和台式机上,负责监视下载到内部硬盘驱动器上的数据,同时监视和拦截复制到usb设备、ipod和cd/dvd的数据。它还可以在屏幕上显示弹出通知,告知最终用户违反策略的情况。
所述端点发现模块4安装在员工的笔记本和台式机上,负责扫描内部硬盘驱动器上的保密数据,以便可以采取措施来存储、保护或重新定位这些数据。即使当端点从公司网络断开连接时,该代理仍然支持这两个产品的运行,因此可以提供持续的“随时随地”的保护。
所述网络发现模块2通常位在数据中心,负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据。
网络发现模块2基本上可以扫描任何数据存储库,包括:
(1)文件服务器:windows、linux、unix、novell、solaris和nas文件等。
(2)数据库:oracle、microsoftsqlserver和ibmdb2等。
(3)协作平台:lotusnotes、microsoftexchange、sharepoint、documentum和livelink等。
(4)web站点:公共web站点、内联网、外联网、维客和基于web的应用等。
(5)式机和笔记本。
网络发现模块2利用与所有其它模块一样的代码库,并工作方式也类似。如在“检测和准确性”节中所述,网络发现模块2检查数据是否存在违反策略的情况。然而,网络监视模块6是通过停留在网络出口并分析离开网络的数据流副本扫描数据,而网络发现模块2则是通过网络连接数据库,然后读取文件及其包含的其它数据进行扫描。与所有其它模块类似,如果网络发现模块2发现违反预先制定的数据丢失策略的敏感数据,则会激活适用的自动响应规则,并向中心管理模块1发送事故通知,以进行事故补救和报告。
所述网络防范模块3通常位在数据中心,它会自动重新定位、复制或隔离泄露的保密数据。
网络防范模块3可以自动复制或重新定位(隔离)泄露的保密数据。当扫描支持cifs协议的文件服务器时,它和网络发现模块2的无代理扫描功能协力工作。复制或重新定位休眠文件的自动响应规则可以基于事故的多个标准,包括所违反的数据丢失策略、事故严重性级别和事故匹配计数。例如,可以对网络防范模块3进行配置,这样当它发现可能会带来具有“高”严重性级别(根据前面给出的策略定义)事故的敏感文件时,此文件可能会从目标服务器中删除并被重新定位到更加安全(可能加密)的文件共享中。隔离位置完全可以配置,并在中心管理模块1内设置。隔离位置保持一个反映源位置的目录结构,以简化管理。重新定位文档时,原文件被删除,网络防范模块3可以选择在该文件的原始位置上留下一个标记文本文件,说明隔离该文件的原因和隔离位置。该标记文件的内容是可以配置的,有助于确保业务流程的保护和员工对安全政策的了解。网络防范模块3的文件复制功能对于电子发现收集和履行诉讼保留也很有用。
基于权利要求1所述客户信息防泄密系统,本发明提出一种客户信息防泄密方法,按以下步骤进行
步骤1)先建立机密信息样本库:通过建立机密信息样本库的方式自动化地定义企业的机密信息。
针对不同类型的数据可以采用不同的方式定义机密信息和检测:无论是具有结构化格式的数据,如客户或员工数据库记录;还是非结构化数据,如microsoftword或powerpoint文档,或者cad绘图。机密信息首先经业务或者系统管理员确认,然后由中心管理模块1进行自动化的指纹识别,指纹识别过程包括中心管理模块1接入和提取文本和数据、对其进行标准化并使用不可逆散列保护其安全;中心管理模块1可以配置为定期自动更新,保证机密样本数据库始终是最新的。
步骤2)制定监视和防护策略:中心管理模块1提供一种集中用户界面,用户可以从中快速方便地构建可以在其它模块中应用的数据丢失策略;每种策略都是检测规则和响应规则的组合;当违反一种或多种检测规则时,将生成事故;另外,经过指纹识别的数据配置文件在特定的策略外部定义,这使得可以在多个策略中引用经指纹识别的内容。
更为具体的,监视和防护策略制定时,中心管理模块1支持布尔逻辑来构造复杂的检测规则,允许用户使用and、or和not逻辑运算符来组合多条规则和条件,还可以在单个策略中结合不同的检测技术;在异常中将会考虑特定数据和发送人/接收人的“白名单”;这些高度可配置的检测规则和异常规则的最终结果准确性非常高,且误报最少。策略中的每个检测规则都被指定一个严重性等级,事故的总体严重性由所引发的最高严重性级别确定。用户还可以定义消息组件,如正文、标题或附件,针对这些组件可以出现任何检测规则。
步骤3)部署监视防护策略,检测敏感数据:在中心管理模块1中创建或更新了精确数据匹配或索引文件匹配指纹和策略后,它们被立即推送到所有其它适当的系统服务器那里,包括但不仅限于端点防范模块5和网络防范模块3的服务器;它们将留在这些服务器的物理内存中,以进行快速处理;
然后,执行检测的服务器将扫描入局消息或文件、提取破解的内容、对此数据应用散列算法,然后将此散列数据与该服务器的ram中包含的检测规则进行比较;
最后,所有系统服务器产品在所有检测技术中均以相同的方式执行检测,各服务器产品的不同之处就在于防泄密系统产品接入将扫描的数据的方式:
(1)网络监视模块6服务器:扫描从网络span端口或分流器接收的数据副本;
(2)网络保护模块7到email服务器:扫描从mta接收的电子邮件;
(3)网络保护模块7到web服务器:扫描从web代理程序接收的http/s和ftp流量;
(4)端点防范模块5/端点发现模块4服务器:扫描从端点代理接收的文件副本;
(5)网络发现模块2/网络防范模块3服务器:扫描从数据存储库读出的文件和数据。
检测过程的明显例外就是当端点代理可以执行本地检测时并且该策略中只有有基于dcm的检测规则推送给它们;在此场景中,网络监视模块6不执行检测,而只是将发送给它的事故从端点代理传递到中心管理模块1。
如果识别到敏感数据且生成了事故,系统服务器将自动执行某些自动响应,包括拦截/修改数据发生送或复制/重新定位文件。如果代理正在执行本地检测,则会启用usb/cd/dvd拦截的自动响应规则;在任何情况下,当检测到某事故时,相关事故信息都会立即发送给中心管理模块1,在这里,事故的详细信息将存储在中心管理模块1数据库中,并可以激活其它自动响应规则,包括但不仅限于电子邮件通知。
以上所述,仅是本发明的较佳实施例而已,并非对本发明的技术范围作任何限制,故凡是依据本发明的技术实质对以上实施例所作的任何细微修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
- 还没有人留言评论。精彩留言会获得点赞!