新一代數據防泄密解決方案用戶案例

某知名企業屬于制造行業，生產資料和圖紙屬于公司機密文件，如果這些數據被泄露，將對用戶產生重大損失，并造成不可預料的影響。因此用戶希望通過業界知名安全廠商的數據防泄密方案來實現數據泄密管控。

用戶起初通過對內部文件加解密以及終端強管控的方式來實現數據防泄密。但實施之后發現，該強管控方式存在員工體驗差、無法識別IM 工具外發泄密、無法追溯泄密責任人等問題，并不能完全滿足公司對數據防泄密的訴求。

用戶痛點

用戶在使用終端強管控和加解密產品的過程中，具體痛點有以下幾個方面。

1.為了實現數據泄密防護效果，管控的策略設置得比較嚴格，代價則是部分員工的正常操作被視為違規行為，導致員工體驗較差，同時運維人員需要花費大量時間和精力處理“誤殺”問題，這就導致在企業內部大規模推廣困難。

2.主要進行終端上的泄密管控，缺乏網絡側的數據泄密審計措施，員工使用IM工具外發機密文件時無法有效識別，容易漏報。

3.用戶原有方案主要關注事中的阻斷、加密，對事前的風險預警、事后的快速追溯支持不足。一旦阻斷失敗，便意味著無法對泄密原因及責任人作出相應的處理措施，既找不到泄密原因，也找不到相應的泄密責任人。

4.由于業務的需求，需要給不少員工開放解密權限，導致加密解密的方案無法有效應用，達不到預期效果。

方案部署情況

深信服在了解用戶的詳細情況之后，提供了具體的解決方案：通過部署全網行為管理AC 與內部威脅管理系統TM 兩大組件來解決現有問題。

1.全程監控：在出口部署全網行為管理AC，對主要外發行為進行審計，包括HTTP、HTTPS、網盤、郵件以及IM 等。

2.外發管控：通過AC 對主流外發途徑做管控，如禁止IM、網盤、GitHub 上傳等。

3.泄密分析：上網日志同步給內部威脅分析平臺ITM 做泄密風險分析，同時配合管理制度，對發現的事件進行處罰，以提高全員防泄密意識。

4.終端管控：在不影響正常業務的情況下，適當放寬原有終端強管控措施，從而既不影響業務，又能執行部分必要的管控措施。

實施方案的具體拓撲如圖1 所示。

方案功能

深信服新一代數據防泄密解決方案提出“識別、管控、監測、追溯”四位一體的全周期數據防泄密理念，大幅降低配置維護的成本，同時補齊持續監測預警的能力，并確保全量審計對事后追責溯源提供有效的證據。

圖1 深信服新一代數據防泄密解決方案部署拓撲圖

1.識別：通過各種技術手段識別敏感數據，并對包含敏感數據的文件進行分級分類，包括機密文檔智能識別、文件類型識別、文件內容提取以及OCR 智能識別等方式。

2.管控：在原有的終端強管控的基礎上，額外對網絡行為等進行管控，防止有意或無意的數據泄密。

3.監測：基于UEBA 技術對終端行為、網絡數據進行監測和分析，及時發現敏感數據外發、業務數據泄密等行為，包括泄密風險監測預警、業務風險監測分析、異常行為監測分析等。

4.追溯：一旦發生敏感數據泄密事件(即終端管控措施失效)，通過相應技術手段追溯泄密原因及找到相應責任人，包括關鍵字搜索、文件相似度搜索、OCR 圖片追溯等技術。

方案實施效果與經驗價值

深信服數據防泄密解決方案根據用戶具體需求，提供全面的數據防泄密解決方案，方案價值如下。

1.全網審計：實行全網審計及日志留存，可以發現未事先定義的敏感數據泄密行為，幫助用戶改進泄密攔截策略。

2.有效溯源：在攔截功能之外提供溯源取證能力，幫助用戶分析泄密原因及找到責任人。

3.優化資源：方案中并未廢棄用戶原有終端防泄密產品，僅是在策略設置上作了一些調整，實現弱管控，強審計的目的。

該用戶有6 個分公司，深信服通過在每個分支部署AC 審計網絡行為日志，并通過專線把全網行為日志傳到總部進行泄密分析，幫助用戶構建總部-分支的防泄密整體方案。用戶利用這套解決方案實現了全員防泄密，并可以通過統一平臺進行管理，覆蓋全面，運維簡單。

編輯點評深信服新一代數據防泄密解決方案相較于業界同類型方案，在諸多方面實現了創新：數據外泄通路管控可識別業界最全的外發途徑；基于UEBA 的泄密風險識別技術可識別出偏離個人歷史基線的各種違規行為；基于大數據的泄密追蹤溯源技術，可提供關鍵字搜索、文件相似度搜索、OCR 圖片追溯功能，并展示出可能泄密的文件及用戶上下文信息。