你當前所在的位置 :網站首頁 >> 云服務

數據泄露防護系統(DLP)


數據泄露防護DLP整體解決方案


DLP數據泄露防護系列

N-DLP(網絡DLP-硬件


N-DLP系統對網絡中的敏感數據進行內容識別、威脅監控與安全防護(阻斷、提醒、告警、加密等),實現網絡中敏感數據泄露防護;


S-DLPForFileServers(存儲DLP)-硬件

S-DLPForFileServers系統對文件服務器中的敏感數據進行內容識別、危險監控與安全防護(阻斷、提醒、告警、加密等),實現文件服務器中敏感數據泄露、擴散防護;


S-DLPForEmail(郵件DLP)-硬件

S-DLPForEmail系統對郵件中的敏感數據進行內容識別、威脅監控與安全防護(阻斷、提醒、告警、加密等),實現郵件中敏感數據泄露防護;


E-DLP(終端DLP)

E-DLP系統對終端中的敏感數據進行內容識別、威脅監控與安全防護(阻斷、提醒、告警、加密等),實現終端中敏感數據泄露、擴散防護;


C-DLP(云DLP)-硬件

C-DLP系統對云端敏感數據進行內容識別、危險行為監控與安全防護(阻斷、提醒、告警、加密...),在不影響使用的前提下,實現云端敏感數據泄露、擴散防護;


M-DLP(移動DLP)-硬件

M-DLP系統對應用系統以及智能移動終端(支持IOS、Android)中敏感數據進行內容識別、威脅監控與安全防護(阻斷、提醒、告警、加密、模糊化...),實現數據泄露、擴散防護;


DLP風險監控與態勢預警系統-硬件

在DLP平臺上同時構建起敏感內容識別、預警監控、安全態勢、風險評測——縱深式動態防御體系。DLP數據泄露防護,更加注重智能化、更加注重安全管理。


DLP安全管理-硬件

在DLP平臺上,自動強制實施通用的數據泄露防護策略,以便執行檢測、事件補救工作流程和自動化、報告、系統管理及安全保護。


借助統一平臺上提供的全面的系統管理和安全功能,可以跨網絡、存儲和端點集中管理數據安全策略,并執行全局部署。只需定義一次策略,就可以將安全策略的管理和強制實施全面推送到各地的業務部門??梢葬槍Ω唢L險業務部門有重點地加強安全意識與培訓。能夠針對違反策略的行為發出實時通知以改變員工行為。

DLP安全平臺-硬件

DLP安全平臺采用開放式體系架構、模塊化設計,簡化了所有規模組織的風險與合規性管理,提升管理效率。N-DLP、S-DLP、E-DLP等均可在一個DLP安全平臺上;




1.背景概述

當前,企業內部的安全性要求仍然主要集中在系統安全性以及防病毒和黑客入侵等方面的網絡安全性。對于傳統PC終端而言,由于每臺機器都有本地存儲和網絡功能,數據安全的短板效應無法避免,安全維護的成本也居高不下,而且效果往往不盡人意。因此需要在對現有應用業務模式不影響的情況下,能夠對數據進行全面而有效的安全防護。

現代企業規模龐大、分公司及分支機構繁多而且分布廣泛,需要大量的業務數據信息作為支撐。企業信息化的飛速發展使得企業各部門之間能夠迅速地獲取、傳遞、處理和利用各自所需的信息,提高辦公效率,節省辦公費用,使管理者能實時、動態地了解到本單位各種資源的實施情況。

但是由于業務上的需要,企業需要開放移動存儲設備、計算機外設和網絡的資源,企業部署的傳統網絡或者系統安全設備和系統已經不能夠很好好適應信息安全形勢的新變化。首先,為企業用戶提供正常辦公及處理內部業務使得文檔交流傳輸過程難以安全可控,文檔脫離內部管理平臺容易造成文件的擴散和外泄。其次,內部終端用戶的文檔操作行為管理也不規范。最后,企業內部移動存儲設備可以隨意在任意物理終端計算機上使用,容易感染病毒和泄密;移動存儲介質丟失后,極易導致敏感數據泄密。

為提高企業內部數據協同和高效運作,實現內部辦公文檔交流過程安全可控,實現文檔脫離內部管理平臺后能有效防止文件的擴散和外泄。對于內部文檔使用范圍、文檔流轉等進行控制管理,以防止文檔內部核心信息非法授權閱覽、拷貝、篡改。既防止文檔外泄和擴散,又支持內部知識積累和文件共享的目的。另外,數據安全的同時更加注重用戶操作體驗的感受。

2.應用現狀

根據企業信息化的業務應用需求,企業每個員工的業務操作方式主要集中在終端之上,但也會OA應用系統、文件服務器或者郵件系統等應用服務系統中瀏覽數據或者下載文檔,存在如下主要幾個方面的數據安全隱患以及操作體驗要求,如下圖所示。

1)、員工可以通過物理終端的U口以及各種外設端口將數據泄露出去,例如,通過U盤等

移動存儲以及打印機設備,可輕松進行數據的拷貝;

2)、員工通過網絡的形式將數據泄露出去,例如,通過郵件方式、IM即時通訊工具以及各

種網絡工作傳送數據至外部。

3)、由于業務共享協作需要,外發出去的數據在安全保護的前提下,不影響正常使用;

4)、企業內部人員之間的數據交互需要保持安全和流暢;

5)、企業內部人員與外部客戶之間的數據交互需要保持安全和流暢;

6)、企業內部人員業務外出、在家辦公等場景的數據交互安全和流暢;

7)、分支機構、移動出差人員需要進行內部文件的方便快捷的審批。

1、企業數據安全業務應用現狀

3.方案

3.1.安全概述

科技和商業飛速發展,企業機密數據和內部敏感信息的安全越來越重要,一旦這些信息和數據被泄密,企業往往會蒙受巨大的經濟損失。

隨著信息技術的進步,計算機和網絡已成為日常辦公、通信交流和協作互動的必備工具。但信息技術提高人們工作效率的同時,也對信息安全防范提出了更高的要求。

目前大多數用戶對辦公網絡的安全防范方式,仍然停留在采用防火墻、入侵檢測、防病毒等被動防護階段。在過去一年中,全球98.2%的計算機用戶使用殺毒軟件,90.7%設有防火墻,75.1%使用反間諜程序的軟件;有83.7%的用戶遭遇過至少一次病毒、蠕蟲或木馬攻擊事件,79.5%遭遇過至少一次間諜程序攻擊事件。而國家計算機信息安全測評中心數據顯示:機密資料通過網絡泄漏造成損失的單位中,其中被黑客竊取和被內部員工泄漏,兩者的比例為:199。這是來自于國家計算機信息安全測評中心的一個數據,該調查顯示,互聯網接入單位由于內部機密通過網絡泄漏而造成重大損失的事件中,只有1%是被黑客竊取的,另外的99%全部是由于內部員工有意或無意的泄密行為所導致。

在外設管理方面,有50%的企業因USB使用不當而丟失數據。用戶可以隨意接入各類外設和移動存儲設備,帶走內部資料。如:U盤、移動硬盤、手機/MP3/MP4、CF/MD/SD卡、數碼相機……這些外圍設備容量越來越大,但體積越來越小,無疑提高了效率,給工作帶來便捷。但在愉悅享受高科技產品帶來的便利之時,也給信息安全帶來嚴重威脅,讓別有用心者有可乘之機。受利益驅使,可能會有內部員工直接參與盜取重要信息數據的行為,近年來,類似力拓“間諜門”的泄密事件時有發生。

近年來,數據安全保護模式正悄然發生變化,由傳統PC終端的系統或者網絡安全防護逐漸面向以數據為中心的安全保護模式,如何防范內部泄密事件,安心享用現代科技的便捷如何保護好企業的智力資產,保持市場信息優勢呢是擺在每一個信息化企業面前重要而緊迫的課題。

3.2.數據風險

根據國際權威機構Garnter調查數據表明,97%的泄漏事件源自企業內部:人員流失,以及任何有意或無意的操作行為,或管理疏漏,都有可能對企業造成巨大的經濟損失。

目前,基于企業內部現存網絡流通的一系列文檔,如果這類文檔外泄、擴散、丟失,很有可能造成競爭對手先于市場得到企業的產品機密或者商業秘密,導致不可估量的損失。根據對企業現有數據業務應用模式,來自企業內部的安全威脅和風險主要有以下幾類:

數據泄密通道風險-U盤等移動存儲設備以及打印機等外部設備


1、U盤等移動存儲設備以及打印機等外部設備風險

數據離線外發風險-移動辦公、效果展示、協作外發等應用場景

2、數據離線外發風險-移動辦公、效果展示、協作外發等應用場景

數據內部流轉風險-部門之間、分公司之間的數據交換和流轉

3、數據內部流轉風險-部門之間、分公司之間的數據交換和流轉

應用服務接入數據安全風險-分支機構、臨時人員、網絡黑客、移動辦公人員等不同類型人員對企業內部應用服務的安全接入,例如OA、郵件服務、文件集中存儲服務器等。

4、數據內部流轉風險-部門之間、分公司之間的數據交換和流轉

對重點部門核心數據進行安全加固防護-例如三維設計、圖紙工藝等

1、現代企業普通使用文件服務器、郵件服務器、OA應用服務器等業務應用系統,工作數據統一集中存放于這些服務器之中,其安全保護力度需要更加具有針對性并保證可用性。

2、重點部門的核心數據往往具有在固定團隊和一定的范圍內流通的顯著特點,而且這些數據通常也涉及到企業的核心競爭力,因此需要從存儲、使用、網絡三個層面全方位給予進行安全分層、安全區域的保護。

上述風險分析中可以看出數據在使用、傳輸、存儲過程中最容易出現安全隱患。數據安全要立足于用戶終端,并延伸至網絡,從數據安全源頭抓起,才能從根本上解決安全問題,才能做到有的放矢,更具針對性和前瞻性。

3.3.解決思想

三昶公司針對企業數據保護類型的重要程度,提出以數據特點為設計原則,以安全風險為驅動,以模塊化設計為思想,以服務客戶為目標的整體安全解決方案。詳細分析客戶的管理模式和業務流程,評估存在的數據泄漏風險,并在客戶現有業務系統基礎之上,提供針對性的安全解決方案,幫助企業用戶改進和規范客戶的數據風險管理體系。如下表圖所示。

圖、數據安全產品整體設計理念示意

5、數據安全風險、安全產品、安全解決思想對應關系

3.4.系統安全架構

1、三昶DLP數據泄露防護系統安全架構

三昶DLP系統采用基于B/S+C/S的控制和管理模式,結合安全功能執行與安全控制策略分離的思想,使得系統安全控制功能執行更加有效,安全控制策略管理更加高效。

2、三昶DLP系統軟件架構示意圖

三昶DLP數據泄露防護平臺采用開放式體系結構的可擴展的安全管理理念,簡化了所有規模組織的風險與合規性管理的統一性和效率。平臺從辦公文檔、設計圖紙和數據使用環境隔離兩個核心層面進行防護,采用認證、加密、標簽、審計、內核驅動、沙箱、還原、訪問控制、應用防火墻等技術,對企業機密文檔、U盤外設、外發文件、瀏覽器應用、移動存儲設備、筆記本計算機、應用系統機密信息進行控制與保護,從而構建保護企業數據的完善的立體縱深防御系統。通過數據安全平臺,可以輕松幫助企業實現數據安全應用和管理。

集中平臺管理

多角色的訪問控制技術:系統維護、安全策略、安全審計三權分立;

統一安全框架:統一管理終端、數據、行為、設備的安全防護,制定適合管理需要的策略

Web的單一界面:整合多層次體系結構、強大安全策略設置、用戶及終端安全狀態;

靈活部署

應用按需添加:分層提供服務、功能組件模塊化應用按需添加;

系統廣泛兼容:Windows域無縫集成,兼容主流殺毒軟件,全面支持WIN764位操作系統;

C/S+B/S架構:廣泛適應于移動辦公、異地管理、臨時接入等使用場景;

3.5.解決效果

3、數據安全解決整體解決方案效果示意圖

3.6.解決方式

3.6.1.基于PKI/CA體系的身份鑒別

4、基于于PKI/CA體系的用戶身份訪問認證

嚴謹的用戶身份訪問認證:客戶端登錄使用時,先在服務器端做身份認證,當確認為企業合法用戶時,會針對每人頒發一個證書。每次登錄時,需要確認是合法用戶,才能訪問服務器以及安全文件。

3.6.2.數據透明加密保護

高強度數據透明加密保護:在用戶遠程終端上,對需要保護的文檔進行一次一密的高安全性加密方式,遵從國家密碼管理部門批準的的加密算法加密文件內容,只有指定授權用戶的密鑰才能解密文件。并用同時實現對文件簽名,保證文件的保密性,真實性和不可篡改性,同時滿足桌面云應用辦公的數據加密性能要求。根據不同的安全保護要求,可以靈活選擇不同的透明加密保護方式,針對內部文檔的安全流轉采用文件透明加密保護的方式,而針對重要部門核心數據則采用磁盤透明加密技術。

3.6.3.數據安全區域隔離

針對重點部門核心數據和臨時接入內部網絡的設備實施數據安全加固的方式進行保護。DLP可以在終端計算機上構建安全區域,以此作為接入內部資源,以及存放下載至終端的內部敏感數據。同時在內部重要部門網絡上,靈活建立以網絡安全區域為管理對象的保密子網,不同部門所形成的安全保密子網可以根據企業的策略設置和調整進行數據的連通訪問。

數據安全區域系統遵從數據分域隔離的管理規范,將計算機存儲設備分成不同的區域,控制和審計各區域間數據流向,結合外設和網絡管控,限制數據使用范圍,構建安全保密子網以及各安全子網連接的安全網絡。系統采用安全穩定的磁盤透明加密技術,加密全盤或者分區的數據,防護存儲設備丟失導致的數據泄密。

針對企業應用服務器的安全保護,可以將需要保護的應用服務器集群納入到數據安全區域之中,通過一定的安全接入認證或者部署安裝了數據安全保護程序的終端計算機才能夠正常接入到企業重要應用服務器中。

3.6.4.靈活人員訪問權限

靈活調整人員訪問權限設置:可以依據各行政部門來定義角色,這樣角色就同實際的行政關系相對應,再根據不同部門的職能,為相應的角色配置安全策略組合,控制用戶權限(指定進程、數據和文件的訪問和使用權限、移動存儲設備的使用權限、文件外發權限等),讓每個下屬企業的每個部門,甚至細分到每個人,都具有不同的安全保護權限。

l  在線、離線多應用模式策略切換:策略配置時,可以為同一用戶(組)授權在線和離線兩種策略。當客戶端與服務器斷開連接時,自動切換至離線狀態。例如策略配置為:在線狀態時,對加密文件有讀,寫權限;離線狀態時,對加密文件有閱讀權限,不允許拷貝,截屏。離線時間可按照具體需求進行設置。

l  基于“三權”分立構建安全管理體系:對系統管理的權限劃分細粒度高。默認為三種權限:日志管理員,系統管理員和普通管理員。其次可根據企業內部需要,自行增加管理員權限。例如:超級管理員,可以設定二級管理員(可多人不同分工),授權其只允許設定其他人員權限及策略,但不允許讀取后臺操作日志。

3.6.5.全面外設管控

3.6.5.1.移動存儲U口管控

5、U盤等移動存儲設備安全管控

U盤等移動存儲設備管控:客戶端使用的U盤,首次使用時,需要在服務端進行注冊。注冊

時區分“內網專用模式”和內外網通用模式;兩種模式下,匹配的使用權限策略可以針

對個人設定,也可以指定為單個移動存儲設備。

3.6.5.2.外設及端口管控

6、終端外設及其端口管控

種類涵蓋全面的終端外設管控:對外設可按照在線和離線兩種模式進行控制,并有使用日志記錄;打印留有副本可下載。

3.6.6.文件發送管理

文件發送分為內發和外發兩種,兩種發送都可以設定審核員,只有審核通過后才可以發送,內發一般可以不解密發送,外發已加密的文檔,審核通過可以解密為明文發送。外發的文件可已設定生命周期限制,如:一段時間內可以打開,過后就無法產看;或者打開N次后文件即失效。在內部避免審核員繁瑣操作,可進行白名單設定,對于白名單可以直接發送。對于高層人員,可以授予解密權限,在客戶端即可批量加密和批量解密。外發流程示意圖如下:

7、文件發送管理示意

1、默認情況:DLP系統提供不同部門之間的文檔是不能夠相互查看的。

2、內發審核:企業不同部門之間的文檔需要互通時,必須經過一定的審核機制。根據第一審核人的在線情況,可以靈活指定一個臨時審核人,以接替第一審核人的審核工作。第一審核人可以收回臨時審核人審核權限。

3、外發審核:外發審核工作流程與內發類似,同樣可以指定臨時審核人。

4、例外情況:

1)、針對領導等可信人員可以配置文件白名單或者設置密文查看權限策略,接收或者查看任何部門的密文文件均不需要通過審核流程。

2)、經常向外部固定合作伙伴進行郵件的往來時,可以將客戶的郵箱聯系方式制作成郵件白名單,當向此郵件地址發送郵件時,自動解密附件。

3)、由于工作業務性質的原因,需要同客戶頻繁進行文件往來時,可以配置自動審核的策略,外發給客戶的文件自動解密,但同時會有詳細的操作日志記錄,并且保留發送的文件副本以作事后追蹤審計。

4)、為了方便授權用戶進行加密文件的解密,DLP系統提供一種直接通過右鍵菜單形式的主動解密功能,而不需要通過其它解密流程。

5、移動辦公:企業領導或者一般員工外出辦公,既需要處理企業內部加密受控的文檔,要不能夠像企業內部一樣方便地進行數據安全保護程序。針對這種移動辦公數據安全保護的要求,DLP系統提供一種簡便有效移動數據安全解決方案,使用者只需要將裝載有安全保護程序的U盤插入終端設備后,就可以輕松實現數據的安全保護,避免麻煩的安裝部署和安全策略配置過程,進一步提高使用者的安全應用體驗效果。

3.6.7.文件外發控制

8、外發文件全方位保護和全周期管理

外發文件全方位保護和全周期管理:對外發送的文件可以根據需要制作為可控文件發送。例如:指定客戶的某臺機器(或者U盤)閱讀文件,設定閱讀時間為一周(或者只能打開3次),不允許打印和復制文件內容。

1、豐富認證方式(誰可以使用)

提供適合不同安全強度的外發文件使用認證方式,比如密碼口令、UID、終端物理MAC地址、在線網絡認證等,并且可自由組合使用認證方式。

2、限制使用范圍(在哪里使用)

配合在線和離線認證模式,可以實現限制外發文件在固定終端上、單位局域網內、廣域互聯網中使用,以滿足不同的使用場景。

3、使用權限控制(如何被使用)

使用權限:限制文件只讀、可編輯、截屏、打開次數、另存為等;

使用期限:限制文件打開時長、打開時間段、自動銷毀等;

使用版權:打印外發文件時,可以添加單位版權水印信息;

4、安全日志審計(何時在使用)

記錄所有用戶的文件外發操作日志,泄密事件發生后可跟蹤追溯。

3.6.8.安全日志審計

9、全面而詳盡的安全日志審計

全面而詳盡的日志記錄:對客戶端操作行為以及U盤等外設設備的使用均有詳細的日志記錄??梢宰匪菽硞€特定人員對某個文檔的操作。

3.6.9.數據備份恢復

安全系統快速備份和恢復:提供備份和恢復系統數據的功能,在系統升級過程中,能實現不同版本之間的數據遷移。

文件意外情況安全保護:對所有的加密操作,都可以配置備份保護,并根據需要配置實時更新,避免重要數據因系統崩潰、斷電等原因損毀。備份服務器可以同DLP服務器集成部署,也可以使用專用文件服務器分別部署,用大容量的文件服務器來滿足海量存儲需求。

3.7.應用部署方案

3.7.1.工作方式

三昶DLP系統架構為C/S+B/S架構,由服務端、客戶端兩大部分組成。其中管理員在任何地方均可通過WEB方式進行DLP服務器的系統設置、策略維護、日志審計等工作。而DLP客戶端程序自動與DLP服務端程序通信連接,接收來自于服務端的安全控制策略,以及上傳用戶的操作日志記錄等內容。

三權分立管理模式

1、系統管理員:進行DLP系統服務端各種參數設置和狀態維護,比如通信IP地址及端口、數據連接地址、系統授權注冊信息、文件備份、郵件中轉服務等參數信息。

2、策略安全員:負責U盤、外設、文檔、郵件白名單、審核人員等與文檔安全保護有關的策略維護。為了策略維護和管理的方便,也可以設置一些部門策略安全人員。

3、安全審計員:擔當客戶端文檔操作日志和服務端管理人員操作日志的審計角色。與域控管理相結合將域控服務器的人員列表快速導入DLP系統的用戶管理模塊中,實現DLP用戶與域控用戶管理服務相結合,減輕IT維護管理人員的工作復雜度,從而提高工作效率。

DLP系統服務端

服務端采用伸縮性和可移植性非常好的JAVA語言編寫和構建,既可以安裝部署在一般WINDOWS服務器中,又可以將植入硬件服務器中。DLP服務器主要進行安全策略管理、權限管理、系統管理、部門及用戶管理等系統主要功能;另外可以根據企業實際安全需要和成本考慮單獨部署文件備份服務器來存儲備份的加密文件。

DLP系統客戶端

終端用戶需安裝三昶DLP系統客戶端程序,在登錄Windows操作系統桌面的同時自動進行DLP系統身份認證工作,認證通過后根據服務端設置的安全控制策略,便可以使用擁有權限的數據資源,整個過程基本上由程序自動完成,無需用戶參與。

10、三昶DLP泄露防護系統工作方式示意圖

3.7.2.部署方式

11、DLP數據泄露防護系統平臺部署解決方案部署

備注:圖11中的紅色虛框即為方案中所涉及的數據安全加固部分。

3.7.2.1.內部部署方式

1)建議內部計算機終端使用在線策略的方式來安裝部署,各終端可以實時接收或者更新DLP服務器設置的各種策略,包括加密策略以及一些全局性的控制策略。

2)如果網絡出現短時間的故障時,系統提供針對這種場景的離線自動切換功能,保證業務的正常運行不受影響。

3.7.2.2.外部部署方式

根據企業外出人員能否進行方便的網絡連通來看,主要有如下幾種方式的靈活部署方式:

1)、外出員工可以正常的網絡連接

針對這種類型的外出辦公場景,DLP數據泄露防護系統提供靈活的網絡連接方式,包括客戶端動態IP的支持、通過有線或者無線的公網連接方式支持等。

2)、員工不可以進行正常的網絡連接

針對這種類型的外出辦公場景,DLP數據泄露防護系統提供多種方式的離線策略控制,用戶可以自行設置離線策略生效的時間,比如月、日、小時等,另外對于離線時間過期后,提供一個離線策略時間補時的授權文件,外出終端用戶可以方便導入些授權文件就可以輕松實現離線策略的延時授權。

3)、臨時需要進行數據安全保護

針對離線不連網、移動辦公性較強以及臨時性保護等應用場景要求,DLP數據泄露防護系統提供簡單方便的安全保護方案,使用者只需要將事先制作好的U盤插入計算中就可以輕松實現數據的安全保護,避免了其它廠家需要進行繁雜的安全部署以及設置設置過程,進一步提高了工作效率和使用者的安全應用體驗。

3.7.3.實施步驟

1)DLP數據泄漏防護系統的服務端,用于下發各種安全加密策略,并進行身份認證。

2)登錄服務端后臺Web管理界面,根據企業的行政組織結構,建立部門分組,按照管理要求,為部門綁定外設管理策略和文檔加密策略。

3)客戶端無需登錄后臺管理,即可在管理界面當中自行注冊用戶并下載安裝客戶端。域管理結構則可用域的策略自動推送客戶端安裝。安裝完成后,客戶端所有安全策略和加密操作等,均由服務端自動下發,在后臺執行,對用戶完全透明,不改變用戶的操作習慣。

4)外出人員的筆記本電腦可通過服務端配置的離線策略,讓外部使用的資料也受到保護。內部敏感數據如果需要外發給陌生地址,需由管理者審核通過并記錄保存后,方可進行發送。

5)所有的加密操作,管理員都可以配置明文備份保護,并實時更新,避免重要數據因系統崩潰損毀。但從服務器取出明文備份文件,或接受外部發來的明文文件,在保存到本地時就立刻被加密保護。

3.8.方案特色

全面的外控支持功能:支持現有的所有已知的外設和移動存儲設備,如:藍牙、打印機、數碼相機、紅外、光驅、串口、并口、攝像頭、刻錄機、SD卡槽、無線上網卡、U盤、無線網卡等等。

系統內核驅動技術:采用Windows系統底層控制,同時實現文件加密和磁盤加密過濾驅動兩種不同加密方式,控制響應速度極快,占用系統資源低。系統客戶端具有防卸載、防刪除和自動修復等功能。

推送安裝部署形式:通過后臺統一安裝客戶端,客戶端用戶感覺不到安裝過程,快速且易于部署;

系統擴容簡單方便:

1)、公司新增加分支機構時,可通過同級服務器機制直接導入到新增的分支機構的應用服務器,部署快捷方便;

2)、公司總部以及分支機構新增客戶端應用時可直接連接到就近服務器;同級服務器機制輕松解決新增分支機構的不斷擴展的安全需求;

3)、數據庫備份遷移:支持備份數據庫表、數據庫表組及整個數據庫;不同版本之間可支持遷移備份,以便服務端升級后快速恢復服務端;數據庫支持遠程備份。

文件流轉按需授權:

1)、領導的文件別人無法查看;

2)、領導可以查看所有人的文件;

3)、部門內部的文件可相互查看;

4)、部門經理的文件只允許其領導及老板查看;

5)、HR等后勤保障的公共部門的文件各部門均可以查看;

6)、允許上級看下級的文件,不允許下級看上級的文件;

融合管理:

1)、與第三方交互的文件需要經過授權或自動審核記錄副本后方能外發;

2)、重要的部門外發文件時通過領導審核,部門領導可指派多名候選審核者,并支持設置后選審核人的優先級,當高優先級的審核員外出時,系統自動分配審核任務到次優先級審核員,依次類推;

3)、文檔密級較低的部門可通過配置自動審核功能,無需人工干預且有副本記錄,必要時可提取副本進行核查,確??旖萦职踩?;

4)、內部各職能部門之間臨時共享文件可通過文檔內發管理來實現;

靈活便捷:

1)、當客戶端在公司總部或各分支結構使用時,可按需配置在線策略;

2)、具有離線使用功能,部分人員需要外出辦公時可臨時授權離線策略;如:攜帶儲存有重要或機密文檔出差時可配置離線策略;

3)、離線終端的各種操作均會形成日志,并在連接到服務器時自動上傳日志文件,方便后續審核;

簡單易用:

1)、加解密對用戶透明,用戶感覺不到加解密過程;

2)、不需要對用戶進行專項培訓;

3)、不改變用戶的操作習慣;

遠程支撐:

1)、文件損壞:發現需要的文件損壞時,可以連接至備份服務器進行恢復;

2)、密文解密:當外發的文檔需要解密時,可通過VPN連接至DLP服務器進行外發審核,也可把文件通過網絡或其它方式發回公司,解密后再回傳;

三權分立:

1)、超級管理員擁有所有權限,普通管理員無操作日志權限,日志管理員進行日志及副本的安全審計,規避監守自盜行為,老板放心,管理員省心;

2)、基于角色的訪問控制技術,可以新建不同角色并分配各種權限;

3.9.方案價值

防止任何形式和途徑的機密外泄

DLP系統采用透明加密保密存儲的方式,全面管控計算機移動數據存儲設備、外設資源、網絡等方面的泄密途徑,全程監測數據應用過程中的泄密方式(例如打印、截屏、另存為、拷貝等)。有效解決企業內部主動或者被動泄密,企業外部非法入侵竊取,文檔安全協作共享安全、文檔移動離線保護、存儲設備丟失防護和移動介質設備安全管控等方面的文檔安全問題。防止任何形式和途徑的機密外泄,安全保護企業數據安全。

最大程度消除員工抵觸情緒

1、文檔從產生、應用、傳輸到刪除銷毀的生命周期內所涉及的加密操作均由系統自動完成,用戶無需進行任何的干預,不改變其使用文檔的操作習慣,而且也感覺不到加密動作的存在,對用戶來說完全透明。

2、基于遠程安全策略管控方式,釋放用戶對安全控制措施抵觸情緒。

3、針對文檔的內部流轉、外部發送、離線辦公等業務場景設置靈活的例外解密策略,最大程度上降低對用戶工作的影響。

全面釋放管理維護人員壓力

1、客戶端程序采用網絡推送安裝方式,使得IT維護人員無需親臨現場指導安裝,為企業和個人節省了寶貴的人力資源成本和時間精力。

2、基于B/S的管理架構設計以及與域控服務相結合的機制,可以幫助IT維護人員在任何地點、任何時間、復雜網絡環境下都能夠快速準確地管理各種安全控制策略。

3、控制策略模板化、用戶與策略關聯綁定最大化和全局化等方面設計,大大簡化了安全控制策略配置的復雜程度,同時也將策略配置出錯率降至最低水平。

4、IT維護人員可以為終端使用者配置文檔備份策略,避免因各種意外原因導致的數據損壞丟失問題。另外,IT維護人員也可對DLP系統關鍵服務數據庫和主密鑰信息進行備份,系統崩潰損毀后可快速進行恢復工作,保持業務的連續性。

5、同級部署機制,使得IT維護人員在完成公司總部的系統配置后,將相關配置導入到企業各分支機構的DLP服務器中,實現配置同步并且快速部署的效果。

6、多級服務器部署機制,上級單位可查看下級服務器上傳的操作日志,安全審計記錄和用戶結構列表,讓IT安全管理者全局掌控企業的信息安全態勢。

持續降低企業信息安全成本

1、兼容企業主流的應用系統,如ERP、OA、SVN等,讓企業經營者無需更改任何的應用系統即可實現與DLP系統相結合。

2、適應企業IT架構成長性,解決不同規模企業的安全需求。

3、統一安全平臺,可以與更多其它三昶安全產品的聯動和配合。

3.10.系統安全性

數據加密

l  基于內核級的數據強制透明加密,對數據和存儲位置雙重加密,保護在任何位置存儲的數據及任何指定進程產生的文件,全方位保障數據的絕對安全。實時的透明加解密,操作過程透明,不影響用戶操作習慣。

——通過文件過濾驅動技術,實現進程和文件的強制透明加密,在文件產生時即被強制加密,在文件使用(編輯、保存等)過程中進行跟蹤加密,以任何方式泄漏出去的文件均為密文。

——通過磁盤驅動技術實現全盤強制透明加密。支持目前業界領先的128位、256DES、3DES、AES、RC4加密算法,結合RSA公私鑰體系實現密鑰安全傳輸,進行高強度數據加密的同時,提高了加解密效率。SHA2、MD5摘要算法用于數字簽名,結合RSA公私鑰體系,防止文件被篡改、偽造及未授權使用。密鑰管理,基于PKI/CA認證體系,銀行交易級別的密鑰管理,是目前最安全的密鑰管理體系,對密鑰的產生、存儲、分配、使用和銷毀的全過程進行有效的管理,確保密鑰任何時期都是安全的。

端點控制

廣泛覆蓋所有端點,控制數據泄漏途徑和方式,在數據泄漏之前,主動防御控制。

終端端點控制:控制打印端口、傳真、截屏、USB端口等泄漏途徑;

網絡端點控制:FTP、HTTP、Email、MSN等;

存儲端點控制:外設驅動設備、便攜設備、PDA、移動存儲介質(U盤)等。

身份認證

通過對密鑰和數字證書的管理,來管理密鑰和證書對應的用戶身份,對用戶進行生命周期全過程(注冊、注銷、恢復)的管理,安全、可靠、有效。

1、基于PKI/CA標準密鑰和數字證書體系,銀行交易級別的密鑰管理;

2、USBKey硬件標識作為密鑰證書載體,結合密碼認證登錄;

3、雙因子認證登錄,增強身份認證的可信度;

安全可靠

1、密鑰管理及身份認證采用PKI/CA體系.支持目前業界領先的128位、256DES、3DES、AES、RC4加密算法,結合RSA公私鑰體系實現密鑰安全傳輸,進行高強度數據加密的同時,提高了加解密效率;

2、經過加密的文檔,即便被復制出去,也無法打開查看其內容,不會造成機密泄漏。用戶正常的操作也都是在加密狀態下進行,如果需要把文件解密成明文,則需要授權或審核。

3、打印及內外發文件均可提取副本進行事后分析.惡意泄露有據可依;

4、任何加密的文檔均在備份服務器上備份明文,文檔損壞、掉電丟失數據、惡意篡改及惡意刪除重要、機密文件,均可通過各自的客戶端在本地或VPN方式遠程連接服務器進行,無后顧之憂;

5、加密系統的應用服務器崩潰后可使用離線策略正常工作,且通過備份機制快速修復服務器環境,可通過冷備方式快速解決服務器崩潰問題;

系統自身安全

關于我們
加入我們
聯系我們
新聞動態
商業合作
公司業務
合作客戶
聯系我們
辦公時間:周一至周五 8:30-18:00
地址:上海虹橋商務區申昆路1899號C座808室
電話:400-021-2627
友情鏈接
三昶科技    ICP工信部

Copyright ? 2009 - 2014 Cld , All Rights Reserved 滬ICP備17024886號

Copyright allrights reserved

国产精品大屁股白浆一区二区,欧美床戏,4.日本一 级 黄 色 片在线观看,亚洲综合色在线观看一区二区