數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)
數(shù)據(jù)泄露防護(hù)DLP整體解決方案
DLP數(shù)據(jù)泄露防護(hù)系列
N-DLP(網(wǎng)絡(luò)DLP)-硬件
N-DLP系統(tǒng)對(duì)網(wǎng)絡(luò)中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密等),實(shí)現(xiàn)網(wǎng)絡(luò)中敏感數(shù)據(jù)泄露防護(hù);
S-DLPForFileServers(存儲(chǔ)DLP)-硬件
S-DLPForFileServers系統(tǒng)對(duì)文件服務(wù)器中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、危險(xiǎn)監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密等),實(shí)現(xiàn)文件服務(wù)器中敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù);
S-DLPForEmail(郵件DLP)-硬件
S-DLPForEmail系統(tǒng)對(duì)郵件中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密等),實(shí)現(xiàn)郵件中敏感數(shù)據(jù)泄露防護(hù);
E-DLP(終端DLP)
E-DLP系統(tǒng)對(duì)終端中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密等),實(shí)現(xiàn)終端中敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù);
C-DLP(云DLP)-硬件
C-DLP系統(tǒng)對(duì)云端敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、危險(xiǎn)行為監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密...),在不影響使用的前提下,實(shí)現(xiàn)云端敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù);
M-DLP(移動(dòng)DLP)-硬件
M-DLP系統(tǒng)對(duì)應(yīng)用系統(tǒng)以及智能移動(dòng)終端(支持IOS、Android)中敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)(阻斷、提醒、告警、加密、模糊化...),實(shí)現(xiàn)數(shù)據(jù)泄露、擴(kuò)散防護(hù);
DLP風(fēng)險(xiǎn)監(jiān)控與態(tài)勢(shì)預(yù)警系統(tǒng)-硬件
在DLP平臺(tái)上同時(shí)構(gòu)建起敏感內(nèi)容識(shí)別、預(yù)警監(jiān)控、安全態(tài)勢(shì)、風(fēng)險(xiǎn)評(píng)測(cè)——縱深式動(dòng)態(tài)防御體系。DLP數(shù)據(jù)泄露防護(hù),更加注重智能化、更加注重安全管理。
DLP安全管理-硬件
在DLP平臺(tái)上,自動(dòng)強(qiáng)制實(shí)施通用的數(shù)據(jù)泄露防護(hù)策略,以便執(zhí)行檢測(cè)、事件補(bǔ)救工作流程和自動(dòng)化、報(bào)告、系統(tǒng)管理及安全保護(hù)。
借助統(tǒng)一平臺(tái)上提供的全面的系統(tǒng)管理和安全功能,可以跨網(wǎng)絡(luò)、存儲(chǔ)和端點(diǎn)集中管理數(shù)據(jù)安全策略,并執(zhí)行全局部署。只需定義一次策略,就可以將安全策略的管理和強(qiáng)制實(shí)施全面推送到各地的業(yè)務(wù)部門。可以針對(duì)高風(fēng)險(xiǎn)業(yè)務(wù)部門有重點(diǎn)地加強(qiáng)安全意識(shí)與培訓(xùn)。能夠針對(duì)違反策略的行為發(fā)出實(shí)時(shí)通知以改變員工行為。
DLP安全平臺(tái)-硬件
DLP安全平臺(tái)采用開放式體系架構(gòu)、模塊化設(shè)計(jì),簡(jiǎn)化了所有規(guī)模組織的風(fēng)險(xiǎn)與合規(guī)性管理,提升管理效率。N-DLP、S-DLP、E-DLP等均可在一個(gè)DLP安全平臺(tái)上;
1.背景概述
當(dāng)前,企業(yè)內(nèi)部的安全性要求仍然主要集中在系統(tǒng)安全性以及防病毒和黑客入侵等方面的網(wǎng)絡(luò)安全性。對(duì)于傳統(tǒng)PC終端而言,由于每臺(tái)機(jī)器都有本地存儲(chǔ)和網(wǎng)絡(luò)功能,數(shù)據(jù)安全的短板效應(yīng)無法避免,安全維護(hù)的成本也居高不下,而且效果往往不盡人意。因此需要在對(duì)現(xiàn)有應(yīng)用業(yè)務(wù)模式不影響的情況下,能夠?qū)?shù)據(jù)進(jìn)行全面而有效的安全防護(hù)。
現(xiàn)代企業(yè)規(guī)模龐大、分公司及分支機(jī)構(gòu)繁多而且分布廣泛,需要大量的業(yè)務(wù)數(shù)據(jù)信息作為支撐。企業(yè)信息化的飛速發(fā)展使得企業(yè)各部門之間能夠迅速地獲取、傳遞、處理和利用各自所需的信息,提高辦公效率,節(jié)省辦公費(fèi)用,使管理者能實(shí)時(shí)、動(dòng)態(tài)地了解到本單位各種資源的實(shí)施情況。
但是由于業(yè)務(wù)上的需要,企業(yè)需要開放移動(dòng)存儲(chǔ)設(shè)備、計(jì)算機(jī)外設(shè)和網(wǎng)絡(luò)的資源,企業(yè)部署的傳統(tǒng)網(wǎng)絡(luò)或者系統(tǒng)安全設(shè)備和系統(tǒng)已經(jīng)不能夠很好好適應(yīng)信息安全形勢(shì)的新變化。首先,為企業(yè)用戶提供正常辦公及處理內(nèi)部業(yè)務(wù)使得文檔交流傳輸過程難以安全可控,文檔脫離內(nèi)部管理平臺(tái)容易造成文件的擴(kuò)散和外泄。其次,內(nèi)部終端用戶的文檔操作行為管理也不規(guī)范。最后,企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備可以隨意在任意物理終端計(jì)算機(jī)上使用,容易感染病毒和泄密;移動(dòng)存儲(chǔ)介質(zhì)丟失后,極易導(dǎo)致敏感數(shù)據(jù)泄密。
為提高企業(yè)內(nèi)部數(shù)據(jù)協(xié)同和高效運(yùn)作,實(shí)現(xiàn)內(nèi)部辦公文檔交流過程安全可控,實(shí)現(xiàn)文檔脫離內(nèi)部管理平臺(tái)后能有效防止文件的擴(kuò)散和外泄。對(duì)于內(nèi)部文檔使用范圍、文檔流轉(zhuǎn)等進(jìn)行控制管理,以防止文檔內(nèi)部核心信息非法授權(quán)閱覽、拷貝、篡改。既防止文檔外泄和擴(kuò)散,又支持內(nèi)部知識(shí)積累和文件共享的目的。另外,數(shù)據(jù)安全的同時(shí)更加注重用戶操作體驗(yàn)的感受。
2.應(yīng)用現(xiàn)狀
根據(jù)企業(yè)信息化的業(yè)務(wù)應(yīng)用需求,企業(yè)每個(gè)員工的業(yè)務(wù)操作方式主要集中在終端之上,但也會(huì)從OA應(yīng)用系統(tǒng)、文件服務(wù)器或者郵件系統(tǒng)等應(yīng)用服務(wù)系統(tǒng)中瀏覽數(shù)據(jù)或者下載文檔,存在如下主要幾個(gè)方面的數(shù)據(jù)安全隱患以及操作體驗(yàn)要求,如下圖所示。
1)、員工可以通過物理終端的U口以及各種外設(shè)端口將數(shù)據(jù)泄露出去,例如,通過U盤等
移動(dòng)存儲(chǔ)以及打印機(jī)設(shè)備,可輕松進(jìn)行數(shù)據(jù)的拷貝;
2)、員工通過網(wǎng)絡(luò)的形式將數(shù)據(jù)泄露出去,例如,通過郵件方式、IM即時(shí)通訊工具以及各
種網(wǎng)絡(luò)工作傳送數(shù)據(jù)至外部。
3)、由于業(yè)務(wù)共享協(xié)作需要,外發(fā)出去的數(shù)據(jù)在安全保護(hù)的前提下,不影響正常使用;
4)、企業(yè)內(nèi)部人員之間的數(shù)據(jù)交互需要保持安全和流暢;
5)、企業(yè)內(nèi)部人員與外部客戶之間的數(shù)據(jù)交互需要保持安全和流暢;
6)、企業(yè)內(nèi)部人員業(yè)務(wù)外出、在家辦公等場(chǎng)景的數(shù)據(jù)交互安全和流暢;
7)、分支機(jī)構(gòu)、移動(dòng)出差人員需要進(jìn)行內(nèi)部文件的方便快捷的審批。
圖1、企業(yè)數(shù)據(jù)安全業(yè)務(wù)應(yīng)用現(xiàn)狀
3.方案
3.1.安全概述
科技和商業(yè)飛速發(fā)展,企業(yè)機(jī)密數(shù)據(jù)和內(nèi)部敏感信息的安全越來越重要,一旦這些信息和數(shù)據(jù)被泄密,企業(yè)往往會(huì)蒙受巨大的經(jīng)濟(jì)損失。
隨著信息技術(shù)的進(jìn)步,計(jì)算機(jī)和網(wǎng)絡(luò)已成為日常辦公、通信交流和協(xié)作互動(dòng)的必備工具。但信息技術(shù)提高人們工作效率的同時(shí),也對(duì)信息安全防范提出了更高的要求。
目前大多數(shù)用戶對(duì)辦公網(wǎng)絡(luò)的安全防范方式,仍然停留在采用防火墻、入侵檢測(cè)、防病毒等被動(dòng)防護(hù)階段。在過去一年中,全球98.2%的計(jì)算機(jī)用戶使用殺毒軟件,90.7%設(shè)有防火墻,75.1%使用反間諜程序的軟件;有83.7%的用戶遭遇過至少一次病毒、蠕蟲或木馬攻擊事件,79.5%遭遇過至少一次間諜程序攻擊事件。而國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示:機(jī)密資料通過網(wǎng)絡(luò)泄漏造成損失的單位中,其中被黑客竊取和被內(nèi)部員工泄漏,兩者的比例為:1:99。這是來自于國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心的一個(gè)數(shù)據(jù),該調(diào)查顯示,互聯(lián)網(wǎng)接入單位由于內(nèi)部機(jī)密通過網(wǎng)絡(luò)泄漏而造成重大損失的事件中,只有1%是被黑客竊取的,另外的99%全部是由于內(nèi)部員工有意或無意的泄密行為所導(dǎo)致。
在外設(shè)管理方面,有50%的企業(yè)因USB使用不當(dāng)而丟失數(shù)據(jù)。用戶可以隨意接入各類外設(shè)和移動(dòng)存儲(chǔ)設(shè)備,帶走內(nèi)部資料。如:U盤、移動(dòng)硬盤、手機(jī)/MP3/MP4、CF/MD/SD卡、數(shù)碼相機(jī)……這些外圍設(shè)備容量越來越大,但體積越來越小,無疑提高了效率,給工作帶來便捷。但在愉悅享受高科技產(chǎn)品帶來的便利之時(shí),也給信息安全帶來嚴(yán)重威脅,讓別有用心者有可乘之機(jī)。受利益驅(qū)使,可能會(huì)有內(nèi)部員工直接參與盜取重要信息數(shù)據(jù)的行為,近年來,類似力拓“間諜門”的泄密事件時(shí)有發(fā)生。
近年來,數(shù)據(jù)安全保護(hù)模式正悄然發(fā)生變化,由傳統(tǒng)PC終端的系統(tǒng)或者網(wǎng)絡(luò)安全防護(hù)逐漸面向以數(shù)據(jù)為中心的安全保護(hù)模式,如何防范內(nèi)部泄密事件,安心享用現(xiàn)代科技的便捷如何保護(hù)好企業(yè)的智力資產(chǎn),保持市場(chǎng)信息優(yōu)勢(shì)呢是擺在每一個(gè)信息化企業(yè)面前重要而緊迫的課題。
3.2.數(shù)據(jù)風(fēng)險(xiǎn)
根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Garnter調(diào)查數(shù)據(jù)表明,97%的泄漏事件源自企業(yè)內(nèi)部:人員流失,以及任何有意或無意的操作行為,或管理疏漏,都有可能對(duì)企業(yè)造成巨大的經(jīng)濟(jì)損失。
目前,基于企業(yè)內(nèi)部現(xiàn)存網(wǎng)絡(luò)流通的一系列文檔,如果這類文檔外泄、擴(kuò)散、丟失,很有可能造成競(jìng)爭(zhēng)對(duì)手先于市場(chǎng)得到企業(yè)的產(chǎn)品機(jī)密或者商業(yè)秘密,導(dǎo)致不可估量的損失。根據(jù)對(duì)企業(yè)現(xiàn)有數(shù)據(jù)業(yè)務(wù)應(yīng)用模式,來自企業(yè)內(nèi)部的安全威脅和風(fēng)險(xiǎn)主要有以下幾類:
l 數(shù)據(jù)泄密通道風(fēng)險(xiǎn)-U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備
表1、U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備風(fēng)險(xiǎn)
l 數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景
表2、數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景
l 數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)
表3、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)
l 應(yīng)用服務(wù)接入數(shù)據(jù)安全風(fēng)險(xiǎn)-分支機(jī)構(gòu)、臨時(shí)人員、網(wǎng)絡(luò)黑客、移動(dòng)辦公人員等不同類型人員對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)的安全接入,例如OA、郵件服務(wù)、文件集中存儲(chǔ)服務(wù)器等。
表4、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)
l 對(duì)重點(diǎn)部門核心數(shù)據(jù)進(jìn)行安全加固防護(hù)-例如三維設(shè)計(jì)、圖紙工藝等
1、現(xiàn)代企業(yè)普通使用文件服務(wù)器、郵件服務(wù)器、OA應(yīng)用服務(wù)器等業(yè)務(wù)應(yīng)用系統(tǒng),工作數(shù)據(jù)統(tǒng)一集中存放于這些服務(wù)器之中,其安全保護(hù)力度需要更加具有針對(duì)性并保證可用性。
2、重點(diǎn)部門的核心數(shù)據(jù)往往具有在固定團(tuán)隊(duì)和一定的范圍內(nèi)流通的顯著特點(diǎn),而且這些數(shù)據(jù)通常也涉及到企業(yè)的核心競(jìng)爭(zhēng)力,因此需要從存儲(chǔ)、使用、網(wǎng)絡(luò)三個(gè)層面全方位給予進(jìn)行安全分層、安全區(qū)域的保護(hù)。
上述風(fēng)險(xiǎn)分析中可以看出數(shù)據(jù)在使用、傳輸、存儲(chǔ)過程中最容易出現(xiàn)安全隱患。數(shù)據(jù)安全要立足于用戶終端,并延伸至網(wǎng)絡(luò),從數(shù)據(jù)安全源頭抓起,才能從根本上解決安全問題,才能做到有的放矢,更具針對(duì)性和前瞻性。
3.3.解決思想
三昶公司針對(duì)企業(yè)數(shù)據(jù)保護(hù)類型的重要程度,提出以數(shù)據(jù)特點(diǎn)為設(shè)計(jì)原則,以安全風(fēng)險(xiǎn)為驅(qū)動(dòng),以模塊化設(shè)計(jì)為思想,以服務(wù)客戶為目標(biāo)的整體安全解決方案。詳細(xì)分析客戶的管理模式和業(yè)務(wù)流程,評(píng)估存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn),并在客戶現(xiàn)有業(yè)務(wù)系統(tǒng)基礎(chǔ)之上,提供針對(duì)性的安全解決方案,幫助企業(yè)用戶改進(jìn)和規(guī)范客戶的數(shù)據(jù)風(fēng)險(xiǎn)管理體系。如下表圖所示。
圖、數(shù)據(jù)安全產(chǎn)品整體設(shè)計(jì)理念示意
表5、數(shù)據(jù)安全風(fēng)險(xiǎn)、安全產(chǎn)品、安全解決思想對(duì)應(yīng)關(guān)系
3.4.系統(tǒng)安全架構(gòu)
圖1、三昶DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)安全架構(gòu)
三昶DLP系統(tǒng)采用基于B/S+C/S的控制和管理模式,結(jié)合安全功能執(zhí)行與安全控制策略分離的思想,使得系統(tǒng)安全控制功能執(zhí)行更加有效,安全控制策略管理更加高效。
圖2、三昶DLP系統(tǒng)軟件架構(gòu)示意圖
三昶DLP數(shù)據(jù)泄露防護(hù)平臺(tái)采用開放式體系結(jié)構(gòu)的可擴(kuò)展的安全管理理念,簡(jiǎn)化了所有規(guī)模組織的風(fēng)險(xiǎn)與合規(guī)性管理的統(tǒng)一性和效率。平臺(tái)從辦公文檔、設(shè)計(jì)圖紙和數(shù)據(jù)使用環(huán)境隔離兩個(gè)核心層面進(jìn)行防護(hù),采用認(rèn)證、加密、標(biāo)簽、審計(jì)、內(nèi)核驅(qū)動(dòng)、沙箱、還原、訪問控制、應(yīng)用防火墻等技術(shù),對(duì)企業(yè)機(jī)密文檔、U盤外設(shè)、外發(fā)文件、瀏覽器應(yīng)用、移動(dòng)存儲(chǔ)設(shè)備、筆記本計(jì)算機(jī)、應(yīng)用系統(tǒng)機(jī)密信息進(jìn)行控制與保護(hù),從而構(gòu)建保護(hù)企業(yè)數(shù)據(jù)的完善的立體縱深防御系統(tǒng)。通過數(shù)據(jù)安全平臺(tái),可以輕松幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用和管理。
n 集中平臺(tái)管理
多角色的訪問控制技術(shù):系統(tǒng)維護(hù)、安全策略、安全審計(jì)三權(quán)分立;
統(tǒng)一安全框架:統(tǒng)一管理終端、數(shù)據(jù)、行為、設(shè)備的安全防護(hù),制定適合管理需要的策略
Web的單一界面:整合多層次體系結(jié)構(gòu)、強(qiáng)大安全策略設(shè)置、用戶及終端安全狀態(tài);
n 靈活部署
應(yīng)用按需添加:分層提供服務(wù)、功能組件模塊化應(yīng)用按需添加;
系統(tǒng)廣泛兼容:與Windows域無縫集成,兼容主流殺毒軟件,全面支持WIN7及64位操作系統(tǒng);
C/S+B/S架構(gòu):廣泛適應(yīng)于移動(dòng)辦公、異地管理、臨時(shí)接入等使用場(chǎng)景;
3.5.解決效果
圖3、數(shù)據(jù)安全解決整體解決方案效果示意圖
3.6.解決方式
3.6.1.基于PKI/CA體系的身份鑒別
圖4、基于于PKI/CA體系的用戶身份訪問認(rèn)證
嚴(yán)謹(jǐn)?shù)挠脩羯矸菰L問認(rèn)證:客戶端登錄使用時(shí),先在服務(wù)器端做身份認(rèn)證,當(dāng)確認(rèn)為企業(yè)合法用戶時(shí),會(huì)針對(duì)每人頒發(fā)一個(gè)證書。每次登錄時(shí),需要確認(rèn)是合法用戶,才能訪問服務(wù)器以及安全文件。
3.6.2.數(shù)據(jù)透明加密保護(hù)
高強(qiáng)度數(shù)據(jù)透明加密保護(hù):在用戶遠(yuǎn)程終端上,對(duì)需要保護(hù)的文檔進(jìn)行一次一密的高安全性加密方式,遵從國(guó)家密碼管理部門批準(zhǔn)的的加密算法加密文件內(nèi)容,只有指定授權(quán)用戶的密鑰才能解密文件。并用同時(shí)實(shí)現(xiàn)對(duì)文件簽名,保證文件的保密性,真實(shí)性和不可篡改性,同時(shí)滿足桌面云應(yīng)用辦公的數(shù)據(jù)加密性能要求。根據(jù)不同的安全保護(hù)要求,可以靈活選擇不同的透明加密保護(hù)方式,針對(duì)內(nèi)部文檔的安全流轉(zhuǎn)采用文件透明加密保護(hù)的方式,而針對(duì)重要部門核心數(shù)據(jù)則采用磁盤透明加密技術(shù)。
3.6.3.數(shù)據(jù)安全區(qū)域隔離
針對(duì)重點(diǎn)部門核心數(shù)據(jù)和臨時(shí)接入內(nèi)部網(wǎng)絡(luò)的設(shè)備實(shí)施數(shù)據(jù)安全加固的方式進(jìn)行保護(hù)。DLP可以在終端計(jì)算機(jī)上構(gòu)建安全區(qū)域,以此作為接入內(nèi)部資源,以及存放下載至終端的內(nèi)部敏感數(shù)據(jù)。同時(shí)在內(nèi)部重要部門網(wǎng)絡(luò)上,靈活建立以網(wǎng)絡(luò)安全區(qū)域?yàn)楣芾韺?duì)象的保密子網(wǎng),不同部門所形成的安全保密子網(wǎng)可以根據(jù)企業(yè)的策略設(shè)置和調(diào)整進(jìn)行數(shù)據(jù)的連通訪問。
數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離的管理規(guī)范,將計(jì)算機(jī)存儲(chǔ)設(shè)備分成不同的區(qū)域,控制和審計(jì)各區(qū)域間數(shù)據(jù)流向,結(jié)合外設(shè)和網(wǎng)絡(luò)管控,限制數(shù)據(jù)使用范圍,構(gòu)建安全保密子網(wǎng)以及各安全子網(wǎng)連接的安全網(wǎng)絡(luò)。系統(tǒng)采用安全穩(wěn)定的磁盤透明加密技術(shù),加密全盤或者分區(qū)的數(shù)據(jù),防護(hù)存儲(chǔ)設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密。
針對(duì)企業(yè)應(yīng)用服務(wù)器的安全保護(hù),可以將需要保護(hù)的應(yīng)用服務(wù)器集群納入到數(shù)據(jù)安全區(qū)域之中,通過一定的安全接入認(rèn)證或者部署安裝了數(shù)據(jù)安全保護(hù)程序的終端計(jì)算機(jī)才能夠正常接入到企業(yè)重要應(yīng)用服務(wù)器中。
3.6.4.靈活人員訪問權(quán)限
l 靈活調(diào)整人員訪問權(quán)限設(shè)置:可以依據(jù)各行政部門來定義角色,這樣角色就同實(shí)際的行政關(guān)系相對(duì)應(yīng),再根據(jù)不同部門的職能,為相應(yīng)的角色配置安全策略組合,控制用戶權(quán)限(指定進(jìn)程、數(shù)據(jù)和文件的訪問和使用權(quán)限、移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限、文件外發(fā)權(quán)限等),讓每個(gè)下屬企業(yè)的每個(gè)部門,甚至細(xì)分到每個(gè)人,都具有不同的安全保護(hù)權(quán)限。
l 在線、離線多應(yīng)用模式策略切換:策略配置時(shí),可以為同一用戶(組)授權(quán)在線和離線兩種策略。當(dāng)客戶端與服務(wù)器斷開連接時(shí),自動(dòng)切換至離線狀態(tài)。例如策略配置為:在線狀態(tài)時(shí),對(duì)加密文件有讀,寫權(quán)限;離線狀態(tài)時(shí),對(duì)加密文件有閱讀權(quán)限,不允許拷貝,截屏。離線時(shí)間可按照具體需求進(jìn)行設(shè)置。
l 基于“三權(quán)”分立構(gòu)建安全管理體系:對(duì)系統(tǒng)管理的權(quán)限劃分細(xì)粒度高。默認(rèn)為三種權(quán)限:日志管理員,系統(tǒng)管理員和普通管理員。其次可根據(jù)企業(yè)內(nèi)部需要,自行增加管理員權(quán)限。例如:超級(jí)管理員,可以設(shè)定二級(jí)管理員(可多人不同分工),授權(quán)其只允許設(shè)定其他人員權(quán)限及策略,但不允許讀取后臺(tái)操作日志。
3.6.5.全面外設(shè)管控
3.6.5.1.移動(dòng)存儲(chǔ)U口管控
圖5、U盤等移動(dòng)存儲(chǔ)設(shè)備安全管控
U盤等移動(dòng)存儲(chǔ)設(shè)備管控:客戶端使用的U盤,首次使用時(shí),需要在服務(wù)端進(jìn)行注冊(cè)。注冊(cè)
時(shí)區(qū)分“內(nèi)網(wǎng)專用模式”和“內(nèi)外網(wǎng)通用模式”;兩種模式下,匹配的使用權(quán)限策略可以針
對(duì)個(gè)人設(shè)定,也可以指定為單個(gè)移動(dòng)存儲(chǔ)設(shè)備。
3.6.5.2.外設(shè)及端口管控
圖6、終端外設(shè)及其端口管控
種類涵蓋全面的終端外設(shè)管控:對(duì)外設(shè)可按照在線和離線兩種模式進(jìn)行控制,并有使用日志記錄;打印留有副本可下載。
3.6.6.文件發(fā)送管理
文件發(fā)送分為內(nèi)發(fā)和外發(fā)兩種,兩種發(fā)送都可以設(shè)定審核員,只有審核通過后才可以發(fā)送,內(nèi)發(fā)一般可以不解密發(fā)送,外發(fā)已加密的文檔,審核通過可以解密為明文發(fā)送。外發(fā)的文件可已設(shè)定生命周期限制,如:一段時(shí)間內(nèi)可以打開,過后就無法產(chǎn)看;或者打開N次后文件即失效。在內(nèi)部避免審核員繁瑣操作,可進(jìn)行白名單設(shè)定,對(duì)于白名單可以直接發(fā)送。對(duì)于高層人員,可以授予解密權(quán)限,在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下:
圖7、文件發(fā)送管理示意
1、默認(rèn)情況:DLP系統(tǒng)提供不同部門之間的文檔是不能夠相互查看的。
2、內(nèi)發(fā)審核:企業(yè)不同部門之間的文檔需要互通時(shí),必須經(jīng)過一定的審核機(jī)制。根據(jù)第一審核人的在線情況,可以靈活指定一個(gè)臨時(shí)審核人,以接替第一審核人的審核工作。第一審核人可以收回臨時(shí)審核人審核權(quán)限。
3、外發(fā)審核:外發(fā)審核工作流程與內(nèi)發(fā)類似,同樣可以指定臨時(shí)審核人。
4、例外情況:
1)、針對(duì)領(lǐng)導(dǎo)等可信人員可以配置文件白名單或者設(shè)置密文查看權(quán)限策略,接收或者查看任何部門的密文文件均不需要通過審核流程。
2)、經(jīng)常向外部固定合作伙伴進(jìn)行郵件的往來時(shí),可以將客戶的郵箱聯(lián)系方式制作成郵件白名單,當(dāng)向此郵件地址發(fā)送郵件時(shí),自動(dòng)解密附件。
3)、由于工作業(yè)務(wù)性質(zhì)的原因,需要同客戶頻繁進(jìn)行文件往來時(shí),可以配置自動(dòng)審核的策略,外發(fā)給客戶的文件自動(dòng)解密,但同時(shí)會(huì)有詳細(xì)的操作日志記錄,并且保留發(fā)送的文件副本以作事后追蹤審計(jì)。
4)、為了方便授權(quán)用戶進(jìn)行加密文件的解密,DLP系統(tǒng)提供一種直接通過“右鍵菜單”形式的主動(dòng)解密功能,而不需要通過其它解密流程。
5、移動(dòng)辦公:企業(yè)領(lǐng)導(dǎo)或者一般員工外出辦公,既需要處理企業(yè)內(nèi)部加密受控的文檔,要不能夠像企業(yè)內(nèi)部一樣方便地進(jìn)行數(shù)據(jù)安全保護(hù)程序。針對(duì)這種移動(dòng)辦公數(shù)據(jù)安全保護(hù)的要求,DLP系統(tǒng)提供一種簡(jiǎn)便有效移動(dòng)數(shù)據(jù)安全解決方案,使用者只需要將裝載有安全保護(hù)程序的U盤插入終端設(shè)備后,就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù),避免麻煩的安裝部署和安全策略配置過程,進(jìn)一步提高使用者的安全應(yīng)用體驗(yàn)效果。
3.6.7.文件外發(fā)控制
圖8、外發(fā)文件全方位保護(hù)和全周期管理
外發(fā)文件全方位保護(hù)和全周期管理:對(duì)外發(fā)送的文件可以根據(jù)需要制作為可控文件發(fā)送。例如:指定客戶的某臺(tái)機(jī)器(或者U盤)閱讀文件,設(shè)定閱讀時(shí)間為一周(或者只能打開3次),不允許打印和復(fù)制文件內(nèi)容。
1、豐富認(rèn)證方式(誰(shuí)可以使用)
提供適合不同安全強(qiáng)度的外發(fā)文件使用認(rèn)證方式,比如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡(luò)認(rèn)證等,并且可自由組合使用認(rèn)證方式。
2、限制使用范圍(在哪里使用)
配合在線和離線認(rèn)證模式,可以實(shí)現(xiàn)限制外發(fā)文件在固定終端上、單位局域網(wǎng)內(nèi)、廣域互聯(lián)網(wǎng)中使用,以滿足不同的使用場(chǎng)景。
3、使用權(quán)限控制(如何被使用)
l 使用權(quán)限:限制文件只讀、可編輯、截屏、打開次數(shù)、另存為等;
l 使用期限:限制文件打開時(shí)長(zhǎng)、打開時(shí)間段、自動(dòng)銷毀等;
l 使用版權(quán):打印外發(fā)文件時(shí),可以添加單位版權(quán)水印信息;
4、安全日志審計(jì)(何時(shí)在使用)
記錄所有用戶的文件外發(fā)操作日志,泄密事件發(fā)生后可跟蹤追溯。
3.6.8.安全日志審計(jì)
圖9、全面而詳盡的安全日志審計(jì)
全面而詳盡的日志記錄:對(duì)客戶端操作行為以及U盤等外設(shè)設(shè)備的使用均有詳細(xì)的日志記錄。可以追溯某個(gè)特定人員對(duì)某個(gè)文檔的操作。
3.6.9.數(shù)據(jù)備份恢復(fù)
安全系統(tǒng)快速備份和恢復(fù):提供備份和恢復(fù)系統(tǒng)數(shù)據(jù)的功能,在系統(tǒng)升級(jí)過程中,能實(shí)現(xiàn)不同版本之間的數(shù)據(jù)遷移。
文件意外情況安全保護(hù):對(duì)所有的加密操作,都可以配置備份保護(hù),并根據(jù)需要配置實(shí)時(shí)更新,避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等原因損毀。備份服務(wù)器可以同DLP服務(wù)器集成部署,也可以使用專用文件服務(wù)器分別部署,用大容量的文件服務(wù)器來滿足海量存儲(chǔ)需求。
3.7.應(yīng)用部署方案
3.7.1.工作方式
三昶DLP系統(tǒng)架構(gòu)為C/S+B/S架構(gòu),由服務(wù)端、客戶端兩大部分組成。其中管理員在任何地方均可通過WEB方式進(jìn)行DLP服務(wù)器的系統(tǒng)設(shè)置、策略維護(hù)、日志審計(jì)等工作。而DLP客戶端程序自動(dòng)與DLP服務(wù)端程序通信連接,接收來自于服務(wù)端的安全控制策略,以及上傳用戶的操作日志記錄等內(nèi)容。
n 三權(quán)分立管理模式
1、系統(tǒng)管理員:進(jìn)行DLP系統(tǒng)服務(wù)端各種參數(shù)設(shè)置和狀態(tài)維護(hù),比如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權(quán)注冊(cè)信息、文件備份、郵件中轉(zhuǎn)服務(wù)等參數(shù)信息。
2、策略安全員:負(fù)責(zé)U盤、外設(shè)、文檔、郵件白名單、審核人員等與文檔安全保護(hù)有關(guān)的策略維護(hù)。為了策略維護(hù)和管理的方便,也可以設(shè)置一些部門策略安全人員。
3、安全審計(jì)員:擔(dān)當(dāng)客戶端文檔操作日志和服務(wù)端管理人員操作日志的審計(jì)角色。與域控管理相結(jié)合將域控服務(wù)器的人員列表快速導(dǎo)入DLP系統(tǒng)的用戶管理模塊中,實(shí)現(xiàn)DLP用戶與域控用戶管理服務(wù)相結(jié)合,減輕IT維護(hù)管理人員的工作復(fù)雜度,從而提高工作效率。
n DLP系統(tǒng)服務(wù)端
服務(wù)端采用伸縮性和可移植性非常好的JAVA語(yǔ)言編寫和構(gòu)建,既可以安裝部署在一般WINDOWS服務(wù)器中,又可以將植入硬件服務(wù)器中。DLP服務(wù)器主要進(jìn)行安全策略管理、權(quán)限管理、系統(tǒng)管理、部門及用戶管理等系統(tǒng)主要功能;另外可以根據(jù)企業(yè)實(shí)際安全需要和成本考慮單獨(dú)部署文件備份服務(wù)器來存儲(chǔ)備份的加密文件。
n DLP系統(tǒng)客戶端
終端用戶需安裝三昶DLP系統(tǒng)客戶端程序,在登錄Windows操作系統(tǒng)桌面的同時(shí)自動(dòng)進(jìn)行DLP系統(tǒng)身份認(rèn)證工作,認(rèn)證通過后根據(jù)服務(wù)端設(shè)置的安全控制策略,便可以使用擁有權(quán)限的數(shù)據(jù)資源,整個(gè)過程基本上由程序自動(dòng)完成,無需用戶參與。
圖10、三昶DLP泄露防護(hù)系統(tǒng)工作方式示意圖
3.7.2.部署方式
圖11、DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)平臺(tái)部署解決方案部署
備注:圖11中的“紅色虛框”即為方案中所涉及的數(shù)據(jù)安全加固部分。
3.7.2.1.內(nèi)部部署方式
1)建議內(nèi)部計(jì)算機(jī)終端使用在線策略的方式來安裝部署,各終端可以實(shí)時(shí)接收或者更新DLP服務(wù)器設(shè)置的各種策略,包括加密策略以及一些全局性的控制策略。
2)如果網(wǎng)絡(luò)出現(xiàn)短時(shí)間的故障時(shí),系統(tǒng)提供針對(duì)這種場(chǎng)景的離線自動(dòng)切換功能,保證業(yè)務(wù)的正常運(yùn)行不受影響。
3.7.2.2.外部部署方式
根據(jù)企業(yè)外出人員能否進(jìn)行方便的網(wǎng)絡(luò)連通來看,主要有如下幾種方式的靈活部署方式:
1)、外出員工可以正常的網(wǎng)絡(luò)連接
針對(duì)這種類型的外出辦公場(chǎng)景,DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供靈活的網(wǎng)絡(luò)連接方式,包括客戶端動(dòng)態(tài)IP的支持、通過有線或者無線的公網(wǎng)連接方式支持等。
2)、員工不可以進(jìn)行正常的網(wǎng)絡(luò)連接
針對(duì)這種類型的外出辦公場(chǎng)景,DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供多種方式的離線策略控制,用戶可以自行設(shè)置離線策略生效的時(shí)間,比如月、日、小時(shí)等,另外對(duì)于離線時(shí)間過期后,提供一個(gè)離線策略時(shí)間補(bǔ)時(shí)的授權(quán)文件,外出終端用戶可以方便導(dǎo)入些授權(quán)文件就可以輕松實(shí)現(xiàn)離線策略的延時(shí)授權(quán)。
3)、臨時(shí)需要進(jìn)行數(shù)據(jù)安全保護(hù)
針對(duì)離線不連網(wǎng)、移動(dòng)辦公性較強(qiáng)以及臨時(shí)性保護(hù)等應(yīng)用場(chǎng)景要求,DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供簡(jiǎn)單方便的安全保護(hù)方案,使用者只需要將事先制作好的U盤插入計(jì)算中就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù),避免了其它廠家需要進(jìn)行繁雜的安全部署以及設(shè)置設(shè)置過程,進(jìn)一步提高了工作效率和使用者的安全應(yīng)用體驗(yàn)。
3.7.3.實(shí)施步驟
1)DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的服務(wù)端,用于下發(fā)各種安全加密策略,并進(jìn)行身份認(rèn)證。
2)登錄服務(wù)端后臺(tái)Web管理界面,根據(jù)企業(yè)的行政組織結(jié)構(gòu),建立部門分組,按照管理要求,為部門綁定外設(shè)管理策略和文檔加密策略。
3)客戶端無需登錄后臺(tái)管理,即可在管理界面當(dāng)中自行注冊(cè)用戶并下載安裝客戶端。域管理結(jié)構(gòu)則可用域的策略自動(dòng)推送客戶端安裝。安裝完成后,客戶端所有安全策略和加密操作等,均由服務(wù)端自動(dòng)下發(fā),在后臺(tái)執(zhí)行,對(duì)用戶完全透明,不改變用戶的操作習(xí)慣。
4)外出人員的筆記本電腦可通過服務(wù)端配置的離線策略,讓外部使用的資料也受到保護(hù)。內(nèi)部敏感數(shù)據(jù)如果需要外發(fā)給陌生地址,需由管理者審核通過并記錄保存后,方可進(jìn)行發(fā)送。
5)所有的加密操作,管理員都可以配置明文備份保護(hù),并實(shí)時(shí)更新,避免重要數(shù)據(jù)因系統(tǒng)崩潰損毀。但從服務(wù)器取出明文備份文件,或接受外部發(fā)來的明文文件,在保存到本地時(shí)就立刻被加密保護(hù)。
3.8.方案特色
全面的外控支持功能:支持現(xiàn)有的所有已知的外設(shè)和移動(dòng)存儲(chǔ)設(shè)備,如:藍(lán)牙、打印機(jī)、數(shù)碼相機(jī)、紅外、光驅(qū)、串口、并口、攝像頭、刻錄機(jī)、SD卡槽、無線上網(wǎng)卡、U盤、無線網(wǎng)卡等等。
系統(tǒng)內(nèi)核驅(qū)動(dòng)技術(shù):采用Windows系統(tǒng)底層控制,同時(shí)實(shí)現(xiàn)文件加密和磁盤加密過濾驅(qū)動(dòng)兩種不同加密方式,控制響應(yīng)速度極快,占用系統(tǒng)資源低。系統(tǒng)客戶端具有防卸載、防刪除和自動(dòng)修復(fù)等功能。
推送安裝部署形式:通過后臺(tái)統(tǒng)一安裝客戶端,客戶端用戶感覺不到安裝過程,快速且易于部署;
系統(tǒng)擴(kuò)容簡(jiǎn)單方便:
1)、公司新增加分支機(jī)構(gòu)時(shí),可通過同級(jí)服務(wù)器機(jī)制直接導(dǎo)入到新增的分支機(jī)構(gòu)的應(yīng)用服務(wù)器,部署快捷方便;
2)、公司總部以及分支機(jī)構(gòu)新增客戶端應(yīng)用時(shí)可直接連接到就近服務(wù)器;同級(jí)服務(wù)器機(jī)制輕松解決新增分支機(jī)構(gòu)的不斷擴(kuò)展的安全需求;
3)、數(shù)據(jù)庫(kù)備份遷移:支持備份數(shù)據(jù)庫(kù)表、數(shù)據(jù)庫(kù)表組及整個(gè)數(shù)據(jù)庫(kù);不同版本之間可支持遷移備份,以便服務(wù)端升級(jí)后快速恢復(fù)服務(wù)端;數(shù)據(jù)庫(kù)支持遠(yuǎn)程備份。
文件流轉(zhuǎn)按需授權(quán):
1)、領(lǐng)導(dǎo)的文件別人無法查看;
2)、領(lǐng)導(dǎo)可以查看所有人的文件;
3)、部門內(nèi)部的文件可相互查看;
4)、部門經(jīng)理的文件只允許其領(lǐng)導(dǎo)及老板查看;
5)、HR等后勤保障的公共部門的文件各部門均可以查看;
6)、允許上級(jí)看下級(jí)的文件,不允許下級(jí)看上級(jí)的文件;
融合管理:
1)、與第三方交互的文件需要經(jīng)過授權(quán)或自動(dòng)審核記錄副本后方能外發(fā);
2)、重要的部門外發(fā)文件時(shí)通過領(lǐng)導(dǎo)審核,部門領(lǐng)導(dǎo)可指派多名候選審核者,并支持設(shè)置后選審核人的優(yōu)先級(jí),當(dāng)高優(yōu)先級(jí)的審核員外出時(shí),系統(tǒng)自動(dòng)分配審核任務(wù)到次優(yōu)先級(jí)審核員,依次類推;
3)、文檔密級(jí)較低的部門可通過配置自動(dòng)審核功能,無需人工干預(yù)且有副本記錄,必要時(shí)可提取副本進(jìn)行核查,確保快捷又安全;
4)、內(nèi)部各職能部門之間臨時(shí)共享文件可通過文檔內(nèi)發(fā)管理來實(shí)現(xiàn);
靈活便捷:
1)、當(dāng)客戶端在公司總部或各分支結(jié)構(gòu)使用時(shí),可按需配置在線策略;
2)、具有離線使用功能,部分人員需要外出辦公時(shí)可臨時(shí)授權(quán)離線策略;如:攜帶儲(chǔ)存有重要或機(jī)密文檔出差時(shí)可配置離線策略;
3)、離線終端的各種操作均會(huì)形成日志,并在連接到服務(wù)器時(shí)自動(dòng)上傳日志文件,方便后續(xù)審核;
簡(jiǎn)單易用:
1)、加解密對(duì)用戶透明,用戶感覺不到加解密過程;
2)、不需要對(duì)用戶進(jìn)行專項(xiàng)培訓(xùn);
3)、不改變用戶的操作習(xí)慣;
遠(yuǎn)程支撐:
1)、文件損壞:發(fā)現(xiàn)需要的文件損壞時(shí),可以連接至備份服務(wù)器進(jìn)行恢復(fù);
2)、密文解密:當(dāng)外發(fā)的文檔需要解密時(shí),可通過VPN連接至DLP服務(wù)器進(jìn)行外發(fā)審核,也可把文件通過網(wǎng)絡(luò)或其它方式發(fā)回公司,解密后再回傳;
三權(quán)分立:
1)、超級(jí)管理員擁有所有權(quán)限,普通管理員無操作日志權(quán)限,日志管理員進(jìn)行日志及副本的安全審計(jì),規(guī)避“監(jiān)守自盜”行為,老板放心,管理員省心;
2)、基于角色的訪問控制技術(shù),可以新建不同角色并分配各種權(quán)限;
3.9.方案價(jià)值
n 防止任何形式和途徑的機(jī)密外泄
DLP系統(tǒng)采用透明加密保密存儲(chǔ)的方式,全面管控計(jì)算機(jī)移動(dòng)數(shù)據(jù)存儲(chǔ)設(shè)備、外設(shè)資源、網(wǎng)絡(luò)等方面的泄密途徑,全程監(jiān)測(cè)數(shù)據(jù)應(yīng)用過程中的泄密方式(例如打印、截屏、另存為、拷貝等)。有效解決企業(yè)內(nèi)部主動(dòng)或者被動(dòng)泄密,企業(yè)外部非法入侵竊取,文檔安全協(xié)作共享安全、文檔移動(dòng)離線保護(hù)、存儲(chǔ)設(shè)備丟失防護(hù)和移動(dòng)介質(zhì)設(shè)備安全管控等方面的文檔安全問題。防止任何形式和途徑的機(jī)密外泄,安全保護(hù)企業(yè)數(shù)據(jù)安全。
n 最大程度消除員工抵觸情緒
1、文檔從產(chǎn)生、應(yīng)用、傳輸?shù)絼h除銷毀的生命周期內(nèi)所涉及的加密操作均由系統(tǒng)自動(dòng)完成,用戶無需進(jìn)行任何的干預(yù),不改變其使用文檔的操作習(xí)慣,而且也感覺不到加密動(dòng)作的存在,對(duì)用戶來說完全透明。
2、基于遠(yuǎn)程安全策略管控方式,釋放用戶對(duì)安全控制措施抵觸情緒。
3、針對(duì)文檔的內(nèi)部流轉(zhuǎn)、外部發(fā)送、離線辦公等業(yè)務(wù)場(chǎng)景設(shè)置靈活的例外解密策略,最大程度上降低對(duì)用戶工作的影響。
n 全面釋放管理維護(hù)人員壓力
1、客戶端程序采用網(wǎng)絡(luò)推送安裝方式,使得IT維護(hù)人員無需親臨現(xiàn)場(chǎng)指導(dǎo)安裝,為企業(yè)和個(gè)人節(jié)省了寶貴的人力資源成本和時(shí)間精力。
2、基于B/S的管理架構(gòu)設(shè)計(jì)以及與域控服務(wù)相結(jié)合的機(jī)制,可以幫助IT維護(hù)人員在任何地點(diǎn)、任何時(shí)間、復(fù)雜網(wǎng)絡(luò)環(huán)境下都能夠快速準(zhǔn)確地管理各種安全控制策略。
3、控制策略模板化、用戶與策略關(guān)聯(lián)綁定最大化和全局化等方面設(shè)計(jì),大大簡(jiǎn)化了安全控制策略配置的復(fù)雜程度,同時(shí)也將策略配置出錯(cuò)率降至最低水平。
4、IT維護(hù)人員可以為終端使用者配置文檔備份策略,避免因各種意外原因?qū)е碌臄?shù)據(jù)損壞丟失問題。另外,IT維護(hù)人員也可對(duì)DLP系統(tǒng)關(guān)鍵服務(wù)數(shù)據(jù)庫(kù)和主密鑰信息進(jìn)行備份,系統(tǒng)崩潰損毀后可快速進(jìn)行恢復(fù)工作,保持業(yè)務(wù)的連續(xù)性。
5、同級(jí)部署機(jī)制,使得IT維護(hù)人員在完成公司總部的系統(tǒng)配置后,將相關(guān)配置導(dǎo)入到企業(yè)各分支機(jī)構(gòu)的DLP服務(wù)器中,實(shí)現(xiàn)配置同步并且快速部署的效果。
6、多級(jí)服務(wù)器部署機(jī)制,上級(jí)單位可查看下級(jí)服務(wù)器上傳的操作日志,安全審計(jì)記錄和用戶結(jié)構(gòu)列表,讓IT安全管理者全局掌控企業(yè)的信息安全態(tài)勢(shì)。
n 持續(xù)降低企業(yè)信息安全成本
1、兼容企業(yè)主流的應(yīng)用系統(tǒng),如ERP、OA、SVN等,讓企業(yè)經(jīng)營(yíng)者無需更改任何的應(yīng)用系統(tǒng)即可實(shí)現(xiàn)與DLP系統(tǒng)相結(jié)合。
2、適應(yīng)企業(yè)IT架構(gòu)成長(zhǎng)性,解決不同規(guī)模企業(yè)的安全需求。
3、統(tǒng)一安全平臺(tái),可以與更多其它三昶安全產(chǎn)品的聯(lián)動(dòng)和配合。
3.10.系統(tǒng)安全性
n 數(shù)據(jù)加密
l 基于內(nèi)核級(jí)的數(shù)據(jù)強(qiáng)制透明加密,對(duì)數(shù)據(jù)和存儲(chǔ)位置雙重加密,保護(hù)在任何位置存儲(chǔ)的數(shù)據(jù)及任何指定進(jìn)程產(chǎn)生的文件,全方位保障數(shù)據(jù)的絕對(duì)安全。實(shí)時(shí)的透明加解密,操作過程透明,不影響用戶操作習(xí)慣。
——通過文件過濾驅(qū)動(dòng)技術(shù),實(shí)現(xiàn)進(jìn)程和文件的強(qiáng)制透明加密,在文件產(chǎn)生時(shí)即被強(qiáng)制加密,在文件使用(編輯、保存等)過程中進(jìn)行跟蹤加密,以任何方式泄漏出去的文件均為密文。
——通過磁盤驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)全盤強(qiáng)制透明加密。支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法,結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸,進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí),提高了加解密效率。SHA2、MD5摘要算法用于數(shù)字簽名,結(jié)合RSA公私鑰體系,防止文件被篡改、偽造及未授權(quán)使用。密鑰管理,基于PKI/CA認(rèn)證體系,銀行交易級(jí)別的密鑰管理,是目前最安全的密鑰管理體系,對(duì)密鑰的產(chǎn)生、存儲(chǔ)、分配、使用和銷毀的全過程進(jìn)行有效的管理,確保密鑰任何時(shí)期都是安全的。
n 端點(diǎn)控制
廣泛覆蓋所有端點(diǎn),控制數(shù)據(jù)泄漏途徑和方式,在數(shù)據(jù)泄漏之前,主動(dòng)防御控制。
終端端點(diǎn)控制:控制打印端口、傳真、截屏、USB端口等泄漏途徑;
網(wǎng)絡(luò)端點(diǎn)控制:FTP、HTTP、Email、MSN等;
存儲(chǔ)端點(diǎn)控制:外設(shè)驅(qū)動(dòng)設(shè)備、便攜設(shè)備、PDA、移動(dòng)存儲(chǔ)介質(zhì)(U盤)等。
n 身份認(rèn)證
通過對(duì)密鑰和數(shù)字證書的管理,來管理密鑰和證書對(duì)應(yīng)的用戶身份,對(duì)用戶進(jìn)行生命周期全過程(注冊(cè)、注銷、恢復(fù))的管理,安全、可靠、有效。
1、基于PKI/CA標(biāo)準(zhǔn)密鑰和數(shù)字證書體系,銀行交易級(jí)別的密鑰管理;
2、USBKey硬件標(biāo)識(shí)作為密鑰證書載體,結(jié)合密碼認(rèn)證登錄;
3、雙因子認(rèn)證登錄,增強(qiáng)身份認(rèn)證的可信度;
n 安全可靠
1、密鑰管理及身份認(rèn)證采用PKI/CA體系.支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法,結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸,進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí),提高了加解密效率;
2、經(jīng)過加密的文檔,即便被復(fù)制出去,也無法打開查看其內(nèi)容,不會(huì)造成機(jī)密泄漏。用戶正常的操作也都是在加密狀態(tài)下進(jìn)行,如果需要把文件解密成明文,則需要授權(quán)或?qū)徍恕?span>
3、打印及內(nèi)外發(fā)文件均可提取副本進(jìn)行事后分析.惡意泄露有據(jù)可依;
4、任何加密的文檔均在備份服務(wù)器上備份明文,文檔損壞、掉電丟失數(shù)據(jù)、惡意篡改及惡意刪除重要、機(jī)密文件,均可通過各自的客戶端在本地或VPN方式遠(yuǎn)程連接服務(wù)器進(jìn)行,無后顧之憂;
5、加密系統(tǒng)的應(yīng)用服務(wù)器崩潰后可使用離線策略正常工作,且通過備份機(jī)制快速修復(fù)服務(wù)器環(huán)境,可通過冷備方式快速解決服務(wù)器崩潰問題;
n 系統(tǒng)自身安全
- 關(guān)于我們
- 加入我們
- 聯(lián)系我們
- 新聞動(dòng)態(tài)
- 商業(yè)合作
- 公司業(yè)務(wù)
- 合作客戶
- 聯(lián)系我們
- 辦公時(shí)間:周一至周五 8:30-18:00
- 地址:上海虹橋商務(wù)區(qū)申昆路1899號(hào)C座808室
- 電話:400-021-2627
Copyright ? 2009 - 2014 Cld , All Rights Reserved 滬ICP備17024886號(hào)
Copyright allrights reserved