XX银行DLP数据防泄密实施方案书
发表时间:2020-02-14
为加强XX银行敏感数据的管理,对邮件数据出口进行更严格、细致的控制。通过设置全行敏感资料数据库和安全防护策略,防止员工通过邮件传递敏感数据,同时记录并保存员工对邮件数据的存取和操作日志,为XX银行提供邮件数据安全防护及审计依据,减少数据泄露风险。
本方案是描述赛门铁克向和XX银行提供的Symantec数据防泄密DLP(以下简称“DLP”)部署服务。方案中描述有关DLP设计和实施。此处提供的任何时间表、日期为估计得出,可能会有变化。
DLP设计和实施涉及以下方面:
l Oracle 12C设计和实施
l Symantec DLP 设计和实施包含如下模块:
· Symantec DLP Platform (DLP管理控制台)
· Symantec Network Prevent For Email(邮件DLP)
l Symantec Messaging Gateway(赛门铁克邮件网关)部署
l 部门访谈、调研
l 策略及相应流程配置及调优
1.1 DLP基础架构
1.1.1 基础架构
本次项目根据XX银行采购DLP的模块不同来确定服务器数量,其中Oracle数据库服务器和DLP管理控制台共用一台服务器,Network Prevent For Email邮件DLP服务器和OCR服务器各自独占一台物理机。
各物理服务器之间至少需要千兆及以上网络连接。
对于Oracle服务器,后期需要DBA针对Oracle进行定期维护。
本次项目计划实施地点:XX银行。
1.1.2 软件硬件要求及可支持性能
本次项目需要两台服务器,分别为Oracle服务器、DLP管理服务器二合一;OCR服务器、邮件DLP服务器
各服务器规格以及可管理、可监控的带宽性能如下:
角色 |
硬件规格 |
软件规格 |
可支撑性能 |
|
Oracle服务器&DLP管理控制台 |
CPU: 16 core 内存:16 GB 硬盘:800 GB |
Windows Server 2008 R2及以上系统; |
NA |
物理机 |
OCR图像识别服务器 |
CPU: 32 core 内存:16GB 硬盘:200GB |
Windows Server 2008 R2及以上系统 |
|
虚拟机 |
Prevent For Email邮件保护DLP服务器 |
CPU: 16 core 内存:16GB 硬盘:200GB |
Windows Server 2008 R2及以上系统 |
联动SMG8340,支持每秒20封邮件分析 |
虚拟机 |
1.1.3 网络架构及架构说明
架构说明:
1. XX银行目前已经在用邮件网关进行垃圾邮件、病毒邮件过滤。此部分功能与SMG功能重叠。建议在项目初期,将SMG部署在现有邮件网关和邮件服务器之间。
2. 现有邮件网关依然进行垃圾邮件、病毒邮件过滤。
3. SMG可以视情况开启垃圾邮件、病毒邮件过滤,与现有的邮件网关形成异构防护平台。
4. 部署之后,外发邮件流如下:
a) 用户outlook客户端àExchange server àSMGà邮件DLPàSMGàà现有邮件网关à外网
接收的邮件流如下:
b) 外网à现有邮件网关àSMGàExchange
5. 邮件DLP只过滤外发邮件。不过滤入站邮件。
6. SMG联动邮件DLP后,处理能力在每秒10~20封左右,不会出现邮件延迟。对用户无感知。