万科DLP项目设计方案v10.doc

万科DLP项目设计方案v10.doc:谢鹰时间:2016/1珑2>数据密级定义说明万科文档密级文档未分类文档定义方式:用户手动设置文档密级策略设定:文档保存前如果未定义密级自动弹出密级勾选框前置条件:1>客户端安装office2010,outlook20102、 用户清楚文档密级定义标准3、 AD域中创建用户组,与文档密级标记关联定义方式:DLP技术自动识别文档密级策略设定:基于内容,扩展名,应用程序,文档来源自动识別文档密级(内容指纹)前置条件:1>收集关键字,字典,文档类型,文档密级等信息2、AD域中创建用户组,与内容指纹标记关联用户手动分类的优势:用户最清楚文档的重要性,让用户参与分类工作是DLP项目最为重要的一项建设目标。通过强制分类的设定,培养用户文档密级划分的****惯。在全公司范围通过技术手段确保文档密级策略落地。手动分类的挑战:1、 改动用户文档保存****惯?2、 文档密级分类,邮件密级分类。手动分类是否具备推广条件?3、 用户将文档设置成非密级文档(没有密级)的监控方案参见未分类文档前置条件:1、 用户清楚文档分类标准2、 文档分类操作培训3、 文档分类与用户域账号关联授权DLP自动分类的优势:无需用户参与,后台基于策略自动识别。对于系统中的历史文档,定期执行全盘数据识别任务,后台自动将文档与密级指纹关联。自动分类的挑战:1、 误报,漏报不可避免,审计难度加大。2、 尝试修改文档内容,删除敏感字词来混淆识别策略。3、 后期的策略优化,还是需要业务部门的协助,提高准确性。过程繁琐,具有较大难度。前置条件:1、 调研数据结果2、 策略场景定义二、数据密级手动定义当新建一个office文档,点击保存时,弹出文档分类框,必须定义文档密级后才可以保存文档.-3W5!•苗占3近閉林・S«t-豪入躺祜式S53if*多髯用漓丐八f.、N金部门标记名称标记描述IT部门万科IT部绝密文档内部使用,不应外发到其他部门IT部门万科IT部机密文档部门内部重要文档IT部门万科IT部普通文档标记说明:手动应用的内容分类会在文件中嵌入一个物理标记,该标记可用于跟踪从任何位置复制的文件,但不会创建指纹签名,因此无法跟踪从这些文件复制到其他文件的内容。保存后,右键文档,查看数据保护,文件分类文档已经被标记,并且会显示添加标记的用户账号信息送择以下一个或多个分类来拯述文件內瞽•送定的分笑将祓嵌入到文件示身农件不包含黴惑信息•乐记为未分类。文件包含以下分类手动分类 揃述E万科部苦通文档L万科IT部机密文档 部门内却垂要文挡□万科ET部绝密文档 内却使用•不应外发討具他部i为佶息已迭择1个文件•耳中1个文件彼WMECHWey阳分类。如果换其他非IT部门的域账号登录此系统,看到文档的效果如下:原來的标记还在,而且显示之前标记的用户信息,无权限的用户无法修改此项。此处内部公开标记,是所有域账号有权限访问的。Qi部门松巒文档・PE手动分类2016/11/2216:59Microsoft迭桂以下一个或多个分类来描逑文件内容。选「交件不包含剽雕热掃记为未分类a文件包含咲下分类邹门內涕虫要文档内畝开己选择1个文件,旦中1个文件祓WJ/TECHgeyng分类。手动分类场景的应用场景说明:手动分类标记一直跟随着文档,即使外发出去,标记依然跟随。可以作为文档归属的追踪。所以在标记设定上加入了部门属性。文