Symantec Data Loss Prevention



Система Symantec DLP выполняет 3 основные функции:

  • Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры);
  • Контроль действий пользователей на своих локальных рабочих станциях (применительно только к операциям, связанным с отторжением конфиденциального содержимого — на USB-накопитель, запись на диски, через локальные сетевые соединения или печать);
  • Сканирование корпоративной сети предприятия (в том числе файловые сервера, порталы, системы документооборота и конечные рабочие станции) на предмет неупорядоченного хранения сведений конфиденциального характера.

 

Таков же и модульный состав продукта Symantec DLP.

 

Группа   модулей

Функциональные модули

Описание функционала

Способ лицензирования

Network

Symantec DLP Network Monitor (мониторинг)

Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры).

По количеству пользователей в корпоративной сети

Symantec DLP Email Prevent (контроль)

Symantec DLP Web Prevent (контроль)

Storage

Symantec DLP Network Discover (обнаружение)

Сканирование и защита корпоративной сети предприятия (файловые сервера, порталы, системы документооборота и конечные рабочие станции) от неупорядоченного хранения сведений конфиденциального характера.

Symantec DLP Network Protect (перемещение)

 

 

Endpoint

Symantec DLP Endpoint Discover

Контроль мобильных пользователей на локальных рабочих станциях (применительно к операциям, связанным с отторжением конфиденциального содержимого — на USB-накопитель, запись на диски, через локальные сетевые соединения или печать).

По количеству контролируемых рабочих станций пользователей, на которые будет установлены агентские программы

Symantec DLP Endpoint Prevent

Enforce Platform

Symantec DLP Enforce Platform

Центральная платформа управления и отчетности системы Symantec DLP

Входит в любой другой модуль

Oracle Standard Edition for Symantec DLP

База данных хранения инцидентов и ассоциированных с ними сообщений

Поставляется отдельно или можно использовать лицензию, имеющуюся в компании

 

Принцип работы продукта

  • Подготовка перечня секретной информации

Для того, чтобы решение Symantec DLP заработало у клиента, потребуется предварительно  выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде  необходимо сгруппировать по категориям (финансовые отчеты, персональные данные, и так далее), разложить по файловым папкам или сложить каждую группу в отдельный архив zip. Альтернативно, можно указать системе место хранения документов на сервере, например SharePoint.

  • Обучение системы на образцах секретной информации

Внедренная система обратится к хранилищу защищаемых документов, снимет цифровые отпечатки подготовленных документов.

  • Настройка политик

Администратор безопасности настраивает правила реагирования на перемещение секретных документов.

  • Обнаружение секретной информации

Система будет обнаруживать похожие документы в потоке трафика (электронная почта, web, ICQ, попытки записи на флешки).

  • Реагирование на инциденты

Если попадается конфиденциальный документ в потоке, то система Vontu DLP создаст инцидент безопасности, в котором будет указано, кто отправлял, по какому каналу и из какого источника взят этот защищаемый документ. Системе требуется, чтобы хотя бы 10% документа совпало с первоисточником.

Информация о нарушении передаётся ответственному лицу, которое может ознакомиться с письмом, отправленным его подчиненным,  принять решение о возбуждении расследования, либо (если действие легитимно) – об изменении правила реагирования.

По рекомендациям разработчика, на обслуживание системы требуется 1 администратор безопасности на 10 000 человек.


Пример страницы интерфейса системы Symantec DLP:

 

 

Архитектура развертывания Symantec DLP

 

Решение Vontu встраивается в существующую инфраструктуру заказчиков. В простейшем случае и наиболее востребованном варианте: «прозрачный режим» мониторинга почтового и web трафика:

 

 

Добавление функции перехвата не разрешенной к отправке корреспонденции, сканирования корпоративной сети, контроля устройств на рабочих станциях требует добавления по одному аппаратному модулю на каждый перехватчик.


Схема работы функции сканирования хранимой информации в сети: