邮箱数据防泄漏系统建设
邮件数据防泄漏主要用于明文协议解析、加密协议解析和MTA部署解决方案,而邮件采用HTTP、SMTP/S邮件协议传输。邮件数据防泄漏要达到的目标和任务是,对所有包含敏感信息的邮件进行监听、识别和管控,避免邮件通过网络传输泄漏的风险。本期内容重点讲述邮件数据防泄漏的三种方式,可实现对所有包含敏感信息的邮件在传输时,达到监听、识别、阻断和警告的效果。
邮件数据防泄漏系统的核心技术是互联网邮件协议的解析和敏感内容识别。通过对互联网邮件协议的解析,按业务进行还原,根据制定的策略进行敏感数据匹配,一旦触发策略,根据策略的规则处理并上报策略服务器供后续的事件分类查询与统计,及时发现违规邮件及时处理,从而实现对所保护范围内的邮件数据进行防护。
邮件防泄漏系统部署方式分为旁路部署和串联部署,旁路部署包括明文协议解析方式和加密协议解析方式,串联部署包括MTA方式,旁路部署不影响客户的现网业务运行,串联部署不影响客户的非邮件业务运行。
邮件数据防泄漏系统的核心价值:
1、敏感数据分布、分类和数据追踪;
2、保护客户隐私与知识产权、追溯和取证;
3、合规遵从、风险评估。
邮件数据防泄漏系统的应用场景是根据客户的实际需求,对邮件进行监控,掌握数据交换的情况并及时发现敏感数据的流向。可以推荐客户部署明文邮件DLP,通过对邮件数据流量的监测及时发现数据泄漏情况,支持SMTP/IMAP,支持对收发件人、邮件主题、邮件内容和附件检查。一旦发现违反策略的信息,会通过记录或者邮件告警的方式进行处理。记录信息上传到管理平台,管理员可在统一管理平台对邮件违规情况进行分析和查看。
事中控制:对所有敏感数据的邮件协议解析和敏感内容进行监视,根据策略管控要求进行放行并记录、邮件告警、阻断及警告等。
事后追溯:基于内容关键字快速检索的数据追踪技术,为快速定责和优化改进提供数据支撑。
邮件系统数据防泄漏技术架构
1、明文协议解析技术架构由3部分组成,包括:协议解析服务器、内容识别服务器、策略服务器(包含数据库),图形化显示如下:
图:明文协议解析技术架构图
2、密文协议技术架构由4部分组成,包括:协议解析服务器、密文协议解析服务器、内容识别服务器、策略服务器(包含数据库),图形化显示如下:
图:密文协议解析技术架构图
3、MTA技术架构由3部分组成,包括:MTA服务器、内容识别服务器、策略服务器(包含数据库),图形化显示如下:
图:MTA部署方式技术架构图
邮件系统数据防泄漏系统部署方式
图:旁路明文协议还原部署
旁路部署在所监视网络的边界,对通过网络边界的数据进行分析和检测。主要针对上行的明文邮件数据进行还原和检测。检测结果如存在违反策略情况则进行记录,最终由管理员对公司所有安全事件进行审计,从而达到确保公司所发的邮件的安全审计。
旁路模块不提供阻断功能,因此对实时性要求比阻断模块要低,其支持协议范围很广,基本覆盖常用网络应用协议,包括:HTTP、SMTP等多数基于TCP的协议上行业务进行还原。邮件DLP负责对所监视的单位网络出口邮件内容安全进行审计。
它对发往企业外以及企业内部之间所有邮件进行检测并审计,确保能及时发现携带敏感内容的邮件。邮件DLP可透明部署,对客户现网拓扑和业务没有影响,专注对企业邮件的安全管理,适应于比较高程度依赖邮件进行信息交互的企业和单位。
图:MDLP-加密邮件还原部署
与明文邮件协议相比,加密邮件的协议还原需要先对加密协议进行破解,再把明文数据送给协议解析服务器进行业务还原。该部署方式不仅支持基本的网络应用协议,比如:HTTP、SMTP等,此外,还对加密协议的业务进行还原,比如:SMTPS(端口:465)的加密邮件等。实现加密协议的还原,需要把加密协议的业务数据流强制引入加密协议破解服务器,由破解服务器对加密协议进行解密,把解密后的明文数据送给协议解析服务器进行业务还原,供后续的内容识别与处理。
图:MDLP-MTA部署
MTA部署方式是针对客户公司内部有自己的邮件服务器情况下的邮件数据防泄漏方案。从网络效率角度考虑,建议把邮件代理服务器部署在靠近客户邮件服务器侧,通过在邮件服务器设置发邮件的下一跳地址实现发送邮件的监管。相对旁路方式部署模式,MTA部署模式在满足旁路邮件DLP功能的基础上,增加对发送邮件的阻断功能,并给触发阻断策略的邮件发送人回复通知邮件。MTA部署模式还能够根据客户的应用需要,实现对触发策略的邮件发起审批功能,根据审批结果对邮件进行阻断或者发送,同时把审批的结果反馈给发送者。审批流程可在MTA上实现,也可结合客户既有审批系统实现。
- END -
上一篇: 第 4 章:市场结构理论说明
下一篇: 7.3 完全竞争市场中的企业均衡
推荐阅读
-
企业大数据系统建设实践:技术、架构、实施与应用 I 第 2 章 企业大数据功能规划 2.1 大数据组织架构系统
-
广联达:"数字建筑 "将推动建筑业向现代工业化水平迈进--一是全过程、全要素、全参与方的数字化。"数字建筑 "整合了人员、流程、数据、技术和业务系统,对建筑从规划设计到施工建设、运营维护的全生命周期进行管理。 二是数字化、在线化、智能化。这也是数字化建筑的三大典型特征。其中,数字化是基础,在线化是关键,智能化是目标。 三是新设计、新建设、新运维。试想,未来通过全数字化样板设计实现个性化最优方案,通过工业化施工提高效率精益求精,通过智能化运维提升建筑品质低碳宜居,将推动建筑业向现代工业化水平迈进。 广联达的一批标杆项目和应用案例备受关注。
-
企业大数据系统建设实践:技术、架构、实施和应用 I. 导言
-
基于 NFC 的无线电池管理 BMS - ● 主动读取内部传感器:利用 NFC 技术,BMS 能够主动读取内部传感器的数据 [... 考虑车辆外使用案例中的空闲状态场景:NFC 技术可用于处理闲置状态下的电池组读取,例如在第二次生命转移期间进行存储。 主动诊断读取:在邻近系统中部署了 BMS 的情况下,使用 NFC 技术进行主动诊断读取。 (ii) 系统结构 系统架构如图所示,在建立安全通道之前,需要对设备进行身份验证。数据链路通信层由 NDEF 记录处理,而数据存储可以是离线的,也可以是数据库中的在线存储。活动和空闲状态的诊断读数取决于设备和数据方向,需要与外部 NFC 阅读器进行通信。软件架构分为三层,包括硬件抽象层(HAL)、中间层(中间件)和应用层。HAL 处理硬件驱动组件,中间件执行设备验证,而应用层则由开发人员根据安全漏洞和格式扩展*定义。 为确保安全,系统采用了一个安全模型,为 BMS 和主动诊断读取情况格式化应用数据。安全考虑因素包括设备相互验证、使用安全通道(加密和防篡改)以及确保电池组内读数的安全。 考虑到不同的 BMS 拓扑,包括集中式、调制式、分布式和分散式,系统需要满足设备相互验证和使用安全通道的要求。对于每种拓扑结构,都必须考虑将性能开销降至最低。电池是封闭的,对其进行物理攻击不可行或成本太高。外部攻击可能也很困难。基于对称或非对称加密技术的自动验证可用于保护电池组读数。安全协议在验证阶段和会话密钥确认阶段采用双密钥加密,以抵御攻击。中间件在数据格式验证、确认和处理中发挥关键作用,确保数据传输安全。 (iii) 唤醒模型设计
-
专业历史地图数据服务系统建设
-
小红书大产品部架构 小红书产品概览--经过性能、稳定性、成本等多个维度的详细评估,小红书最终决定选择基于腾讯云星海自研硬件的SA2云服务器作为主力机型使用。结合其秒级的快速扩缩、超强兼容和平滑迁移能力,小红书在抵御上亿次用户访问、保证系统稳定运行的同时,也实现了成本的大幅降低。 星海SA2云服务器是基于腾讯云星海的首款自研服务器。腾讯云星海作为自研硬件品牌,通过创新的高兼容性架构、简洁可靠的自主设计,结合腾讯自身业务以及百万客户上云需求的特点,致力于为云计算时代提供安全、稳定、性能领先的基础架构产品和服务。如今,星海SA2云服务器也正在为越来越多的企业提供低成本、高效率、更安全的弹性计算服务。 以下是与小红书SRE总监陈敖翔的对话实录。 问:请您介绍一下小红书及其主要商业模式? 小红书是一个面向年轻人的生活方式平台,在这里,他们发现了向上、多元的真实世界。小红书日活超过 3500 万,月活跃用户超过 1 亿,日均笔记曝光量达 80 亿。小红书由社交平台和在线购物两大部分组成。与其他线上平台相比,小红书的内容基于真实的口碑分享,播种不止于线上,还为线下实体店赋能。 问:围绕业务发展,小红书的系统架构经历了怎样的变革和演进? 系统架构变化不大,影响最深的是资源开销。过去三年,资源开销大幅增加,同比增长约 10 倍。在此背景下,我们努力进行优化,包括很早就开始使用 K8S 进行资源调度。到 18 年年中,绝大多数服务已经完全实现了容器化。 问:目前小红书系统架构中的计算基础设施建设和布局是怎样的? 我们目前的建设方式可以简单描述为星型结构。腾讯云在上海的一个区是我们的计算中心,承载着我们的核心数据和在线业务。在外围,我们还有两个数据中心进行计算分流,同时承担灾备和线上业务双活的角色。 与其他新兴电子商务互联网公司类似,小红书的大部分计算能力主要用于线下数据分析、模型训练和在线推荐等平台。随着业务的发展,对算力的需求也在加速增长。
-
安防监控视频系统 EasyCVR + AI 算法智能分析助力智慧校园建设
-
数据中心建设(VI):数据系统建设
-
邮箱数据防泄漏系统建设
-
数据防泄漏 | “我就站在你面前,你看我有几分像从前?”