..虹安DLP4.0數(shù)據(jù)泄露防護(hù)系統(tǒng)整體解決方案公司名稱：XX市虹安信息技術(shù)有限公司公司地址：XX市南山區(qū)高新南一道賦安科技大廈B座308郵政編碼：518057公司網(wǎng)址：：+86<0755>86315156傳真：+86<0755>26413060目錄TOC\o"1-5"\h\u311861.背景概述3272872.應(yīng)用現(xiàn)狀4251343.DLP4.0方案570783.1.安全概述 5216893.2.數(shù)據(jù)風(fēng)險(xiǎn) 6262353.3.DLP4.0解決思想 9291753.4.DLP4.0系統(tǒng)安全架構(gòu) 12261593.5.DLP4.0解決效果 13314113.6.DLP4.0解決方式 1325743.6.1.基于PKI/CA體系的身份鑒別 13214943.6.2.數(shù)據(jù)透明加密保護(hù) 14128703.6.3.構(gòu)建數(shù)據(jù)安全區(qū)域 14141933.6.4.靈活人員訪問(wèn)權(quán)限 1428333.6.5.全面外設(shè)管控 1523675.移動(dòng)存儲(chǔ)U口管控 1525163.外設(shè)及端口管控 1615013.6.6.文件發(fā)送管理 16211353.6.7.文件外發(fā)控制 177563.6.8.安全日志審計(jì) 18144073.6.9.數(shù)據(jù)備份恢復(fù) 18263583.7.DLP4.0應(yīng)用部署方案 19185313.7.1.工作方式 1939373.7.2.部署方式 207560.內(nèi)部部署方式 206875.外部部署方式 21307143.7.3.實(shí)施步驟 21153683.8.方案特色 2134683.9.方案價(jià)值 23287093.10.系統(tǒng)安全性 24292743.11.運(yùn)行環(huán)境 2780424.供應(yīng)商簡(jiǎn)介 27102734.1.關(guān)于虹安 2775464.2.技術(shù)和服務(wù) 2844514.2.1.售后服務(wù) 28293014.2.2.培訓(xùn)服務(wù) 29119774.3.產(chǎn)品資質(zhì) 29背景概述當(dāng)前,企業(yè)內(nèi)部的安全性要求仍然主要集中在系統(tǒng)安全性以及防病毒和黑客入侵等方面的網(wǎng)絡(luò)安全性。對(duì)于傳統(tǒng)PC終端而言,由于每臺(tái)機(jī)器都有本地存儲(chǔ)和網(wǎng)絡(luò)功能,數(shù)據(jù)安全的短板效應(yīng)無(wú)法避免,安全維護(hù)的成本也居高不下,而且效果往往不盡人意。因此需要在對(duì)現(xiàn)有應(yīng)用業(yè)務(wù)模式不影響的情況下,能夠?qū)?shù)據(jù)進(jìn)行全面而有效的安全防護(hù)?，F(xiàn)代企業(yè)規(guī)模龐大、分公司及分支機(jī)構(gòu)繁多而且分布廣泛,需要大量的業(yè)務(wù)數(shù)據(jù)信息作為支撐。企業(yè)信息化的飛速發(fā)展使得企業(yè)各部門之間能夠迅速地獲取、傳遞、處理和利用各自所需的信息,提高辦公效率,節(jié)省辦公費(fèi)用,使管理者能實(shí)時(shí)、動(dòng)態(tài)地了解到本單位各種資源的實(shí)施情況。但是由于業(yè)務(wù)上的需要,企業(yè)需要開放移動(dòng)存儲(chǔ)設(shè)備、計(jì)算機(jī)外設(shè)和網(wǎng)絡(luò)的資源,企業(yè)部署的傳統(tǒng)網(wǎng)絡(luò)或者系統(tǒng)安全設(shè)備和系統(tǒng)已經(jīng)不能夠很好好適應(yīng)信息安全形勢(shì)的新變化。首先,為企業(yè)用戶提供正常辦公及處理內(nèi)部業(yè)務(wù)使得文檔交流傳輸過(guò)程難以安全可控,文檔脫離內(nèi)部管理平臺(tái)容易造成文件的擴(kuò)散和外泄。其次,內(nèi)部終端用戶的文檔操作行為管理也不規(guī)范。最后,企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備可以隨意在任意物理終端計(jì)算機(jī)上使用,容易感染病毒和泄密；移動(dòng)存儲(chǔ)介質(zhì)丟失后,極易導(dǎo)致敏感數(shù)據(jù)泄密。為提高企業(yè)內(nèi)部數(shù)據(jù)協(xié)同和高效運(yùn)作,實(shí)現(xiàn)內(nèi)部辦公文檔交流過(guò)程安全可控,實(shí)現(xiàn)文檔脫離內(nèi)部管理平臺(tái)后能有效防止文件的擴(kuò)散和外泄。對(duì)于內(nèi)部文檔使用范圍、文檔流轉(zhuǎn)等進(jìn)行控制管理,以防止文檔內(nèi)部核心信息非法授權(quán)閱覽、拷貝、篡改。既防止文檔外泄和擴(kuò)散,又支持內(nèi)部知識(shí)積累和文件共享的目的。另外,數(shù)據(jù)安全的同時(shí)更加注重用戶操作體驗(yàn)的感受。應(yīng)用現(xiàn)狀根據(jù)企業(yè)信息化的業(yè)務(wù)應(yīng)用需求,企業(yè)每個(gè)員工的業(yè)務(wù)操作方式主要集中在終端之上,但也會(huì)從OA應(yīng)用系統(tǒng)、文件服務(wù)器或者郵件系統(tǒng)等應(yīng)用服務(wù)系統(tǒng)中瀏覽數(shù)據(jù)或者下載文檔,存在如下主要幾個(gè)方面的數(shù)據(jù)安全隱患以及操作體驗(yàn)要求,如下圖所示。、員工可以通過(guò)物理終端的U口以及各種外設(shè)端口將數(shù)據(jù)泄露出去,例如,通過(guò)U盤等移動(dòng)存儲(chǔ)以及打印機(jī)設(shè)備,可輕松進(jìn)行數(shù)據(jù)的拷貝；、員工通過(guò)網(wǎng)絡(luò)的形式將數(shù)據(jù)泄露出去,例如,通過(guò)郵件方式、IM即時(shí)通訊工具以及各種網(wǎng)絡(luò)工作傳送數(shù)據(jù)至外部。、由于業(yè)務(wù)共享協(xié)作需要,外發(fā)出去的數(shù)據(jù)在安全保護(hù)的前提下,不影響正常使用；4、企業(yè)內(nèi)部人員之間的數(shù)據(jù)交互需要保持安全和流暢；5、企業(yè)內(nèi)部人員與外部客戶之間的數(shù)據(jù)交互需要保持安全和流暢；6、企業(yè)內(nèi)部人員業(yè)務(wù)外出、在家辦公等場(chǎng)景的數(shù)據(jù)交互安全和流暢；7、分支機(jī)構(gòu)、移動(dòng)出差人員需要進(jìn)行內(nèi)部文件的方便快捷的審批。圖1、企業(yè)數(shù)據(jù)安全業(yè)務(wù)應(yīng)用現(xiàn)狀DLP4.0方案安全概述科技和商業(yè)飛速發(fā)展,企業(yè)機(jī)密數(shù)據(jù)和內(nèi)部敏感信息的安全越來(lái)越重要,一旦這些信息和數(shù)據(jù)被泄密,企業(yè)往往會(huì)蒙受巨大的經(jīng)濟(jì)損失。隨著信息技術(shù)的進(jìn)步,計(jì)算機(jī)和網(wǎng)絡(luò)已成為日常辦公、通信交流和協(xié)作互動(dòng)的必備工具。但信息技術(shù)提高人們工作效率的同時(shí),也對(duì)信息安全防范提出了更高的要求。目前大多數(shù)用戶對(duì)辦公網(wǎng)絡(luò)的安全防范方式,仍然停留在采用防火墻、入侵檢測(cè)、防病毒等被動(dòng)防護(hù)階段。在過(guò)去一年中,全球98.2％的計(jì)算機(jī)用戶使用殺毒軟件,90.7％設(shè)有防火墻,75.1％使用反間諜程序的軟件；有83.7％的用戶遭遇過(guò)至少一次病毒、蠕蟲或木馬攻擊事件,79.5％遭遇過(guò)至少一次間諜程序攻擊事件。而國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示：機(jī)密資料通過(guò)網(wǎng)絡(luò)泄漏造成損失的單位中,其中被黑客竊取和被內(nèi)部員工泄漏,兩者的比例為：1：99。這是來(lái)自于國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心的一個(gè)數(shù)據(jù),該調(diào)查顯示,互聯(lián)網(wǎng)接入單位由于內(nèi)部機(jī)密通過(guò)網(wǎng)絡(luò)泄漏而造成重大損失的事件中,只有1%是被黑客竊取的,另外的99%全部是由于內(nèi)部員工有意或無(wú)意的泄密行為所導(dǎo)致。在外設(shè)管理方面,有50%的企業(yè)因USB使用不當(dāng)而丟失數(shù)據(jù)。用戶可以隨意接入各類外設(shè)和移動(dòng)存儲(chǔ)設(shè)備,帶走內(nèi)部資料。如：U盤、移動(dòng)硬盤、手機(jī)/MP3/MP4、CF/MD/SD卡、數(shù)碼相機(jī)……這些外圍設(shè)備容量越來(lái)越大,但體積越來(lái)越小,無(wú)疑提高了效率,給工作帶來(lái)便捷。但在愉悅享受高科技產(chǎn)品帶來(lái)的便利之時(shí),也給信息安全帶來(lái)嚴(yán)重威脅,讓別有用心者有可乘之機(jī)。受利益驅(qū)使,可能會(huì)有內(nèi)部員工直接參與盜取重要信息數(shù)據(jù)的行為,近年來(lái),類似力拓"間諜門"的泄密事件時(shí)有發(fā)生。近年來(lái),數(shù)據(jù)安全保護(hù)模式正悄然發(fā)生變化,由傳統(tǒng)PC終端的系統(tǒng)或者網(wǎng)絡(luò)安全防護(hù)逐漸面向以數(shù)據(jù)為中心的安全保護(hù)模式,如何防范內(nèi)部泄密事件,安心享用現(xiàn)代科技的便捷？如何保護(hù)好企業(yè)的智力資產(chǎn),保持市場(chǎng)信息優(yōu)勢(shì)呢？是擺在每一個(gè)信息化企業(yè)面前重要而緊迫的課題。數(shù)據(jù)風(fēng)險(xiǎn)根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Garnter調(diào)查數(shù)據(jù)表明,97%的泄漏事件源自企業(yè)內(nèi)部：人員流失,以及任何有意或無(wú)意的操作行為,或管理疏漏,都有可能對(duì)企業(yè)造成巨大的經(jīng)濟(jì)損失。目前,基于企業(yè)內(nèi)部現(xiàn)存網(wǎng)絡(luò)流通的一系列文檔,如果這類文檔外泄、擴(kuò)散、丟失,很有可能造成競(jìng)爭(zhēng)對(duì)手先于市場(chǎng)得到企業(yè)的產(chǎn)品機(jī)密或者商業(yè)秘密,導(dǎo)致不可估量的損失。根據(jù)對(duì)企業(yè)現(xiàn)有數(shù)據(jù)業(yè)務(wù)應(yīng)用模式,來(lái)自企業(yè)內(nèi)部的安全威脅和風(fēng)險(xiǎn)主要有以下幾類：數(shù)據(jù)泄密通道風(fēng)險(xiǎn)-U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備1U盤等移動(dòng)存儲(chǔ)設(shè)備丟失/被盜據(jù)統(tǒng)計(jì),高達(dá)80%以上的企業(yè)發(fā)生過(guò)U盤丟失。若內(nèi)部人員隨意拷貝文件必將導(dǎo)致內(nèi)部機(jī)密文件泄密。2U盤等移動(dòng)存儲(chǔ)設(shè)備的交叉使用"輪渡"木馬病毒對(duì)于U盤等移動(dòng)存儲(chǔ)介質(zhì)的交叉感染危害非常嚴(yán)重。

3使用外部U盤等移動(dòng)存儲(chǔ)設(shè)備對(duì)USB端口沒(méi)有集中管理,導(dǎo)致外部U盤也可以在內(nèi)網(wǎng)使用,無(wú)疑存在著較大的泄密隱患。4外部人員惡意拷貝敏感信息同樣是由于對(duì)USB端口沒(méi)有集中管理的原因,會(huì)導(dǎo)致外部來(lái)訪人員,在停留期間可以非常容易的用U盤等移動(dòng)存儲(chǔ)設(shè)備,拷貝敏感信息。5內(nèi)部人員惡意拷貝內(nèi)部機(jī)密資料如離職人員等,此類案件已屢見不鮮。20XX4月,盧某擅自離職,并將某電器公司的各類硅鋼片特性參數(shù)及計(jì)算參數(shù)表等三項(xiàng)技術(shù)資料電子文件,拷貝到南海區(qū)松崗某電器廠,并任該廠技術(shù)負(fù)責(zé)人。6通過(guò)U盤等移動(dòng)存儲(chǔ)介質(zhì)泄密事后追溯困難大部分企業(yè),因缺乏必要的技術(shù)手段,使得使用者在內(nèi)部或者外部操作U盤時(shí)即使進(jìn)行違規(guī)操作,也無(wú)法有效審計(jì)和取證。7U盤等移動(dòng)存儲(chǔ)介質(zhì)報(bào)廢管理不善對(duì)已損壞需要報(bào)廢的涉密介質(zhì),沒(méi)有實(shí)行集中銷毀,隨意亂扔和丟棄等,都在不同程度上存在泄密隱患。8文件打印管控不力文件打印如果沒(méi)有進(jìn)行必要的管控,將會(huì)導(dǎo)致幾乎每臺(tái)計(jì)算機(jī)終端都具備打印的功能。9忽視紅外、藍(lán)牙、內(nèi)置MODEN、光驅(qū)、刻錄機(jī)等各類外部設(shè)備泄密一是內(nèi)部人員可以通過(guò)上述途徑,故意泄密；二是外部人員可以通過(guò)無(wú)線網(wǎng)絡(luò)信號(hào)接收網(wǎng)絡(luò)信息,導(dǎo)致泄密事件悄然發(fā)生。表1、U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備風(fēng)險(xiǎn)數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景1在制造業(yè)代工生產(chǎn)模式下,企業(yè)需要將設(shè)計(jì)資料發(fā)給外部代工企業(yè)進(jìn)行生產(chǎn)制造。被合作方有意或無(wú)意向外擴(kuò)散、泄露；2企業(yè)把各種關(guān)鍵產(chǎn)品文檔、內(nèi)部資料交給業(yè)務(wù)人員出差交流以及演示使用。被外出人員有意或無(wú)意向外擴(kuò)散、泄露；3產(chǎn)品項(xiàng)目投標(biāo)活動(dòng)中,企業(yè)往往需要將標(biāo)書發(fā)給招標(biāo)方開展相關(guān)活動(dòng)。被招標(biāo)方有意或無(wú)意向外擴(kuò)散、泄露；4企業(yè)將其設(shè)計(jì)成果提交給客戶使用。被使用方有意或無(wú)意向外擴(kuò)散、泄露；5企業(yè)將相關(guān)資料、課件或軟件提交給用戶使用。被使用方有意或無(wú)意向外擴(kuò)散、泄露；6企業(yè)內(nèi)部人員由于工作業(yè)務(wù)的需要,需要將相關(guān)設(shè)計(jì)或者制作的成果給有意向的客戶進(jìn)行效果的演示,容易發(fā)生成果泄露的情況；7企業(yè)內(nèi)部人員往往需要將與工作內(nèi)容有關(guān)文件帶回家進(jìn)行工作,需要既滿足方便工作的要求,又能防止數(shù)據(jù)的泄露。表2、數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)1身份認(rèn)證強(qiáng)度未經(jīng)授權(quán)的人員查看沒(méi)有權(quán)限的文檔；2合理訪問(wèn)授權(quán)權(quán)限不合理授權(quán)控制會(huì)導(dǎo)致文件"擴(kuò)散傳播"；3內(nèi)部主動(dòng)泄密、內(nèi)部人員主動(dòng)有意的泄密；、內(nèi)部人員被動(dòng)無(wú)意的泄密；4泄密方式監(jiān)測(cè)通過(guò)拷貝、另存、打印等方式保存文件副本；5外部非法竊取非法惡意人員通過(guò)網(wǎng)絡(luò)集中批量竊取內(nèi)部資料6存儲(chǔ)設(shè)備丟失、內(nèi)部人員惡意拆卸硬盤等存儲(chǔ)設(shè)備；、移動(dòng)出差辦公意外將筆記本電腦遺失；、筆記本維護(hù)人員故意將數(shù)據(jù)泄露出去；7文檔過(guò)期使用1、離職人員將存儲(chǔ)機(jī)密資料的筆記本帶走；2、臨時(shí)人員離開內(nèi)部環(huán)境后仍能使用資料；8使用范圍限制、文件需要保證在一個(gè)部門區(qū)域內(nèi)使用；、文件需求保證某一臺(tái)固定終端上使用；9文檔意外損壞備份機(jī)制、因意外掉電或者設(shè)備破壞導(dǎo)致文件損壞；、因不符合正常操作流程導(dǎo)致的文件損壞；、防止員工離職后惡意刪除電腦的文件；10文檔有序歸檔受保護(hù)文檔類型需要集中備份存儲(chǔ),而且容易進(jìn)行還原操作；11文檔安全審計(jì)記錄文件產(chǎn)生、使用到銷毀整個(gè)過(guò)程的行為。表3、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)應(yīng)用服務(wù)接入數(shù)據(jù)安全風(fēng)險(xiǎn)-分支機(jī)構(gòu)、臨時(shí)人員、網(wǎng)絡(luò)黑客、移動(dòng)辦公人員等不同類型人員對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)的安全接入,例如OA、郵件服務(wù)、文件集中存儲(chǔ)服務(wù)器等。1分支機(jī)構(gòu)分支機(jī)構(gòu)能夠通過(guò)不同形式的網(wǎng)絡(luò)快速接入到公司內(nèi)部網(wǎng)絡(luò),從而進(jìn)行數(shù)據(jù)的安全交換；2臨時(shí)人員在方便臨時(shí)人員加入內(nèi)部團(tuán)隊(duì)工作的同時(shí),需要控制臨時(shí)人員接入內(nèi)部網(wǎng)絡(luò)的安全時(shí)效性以及使用內(nèi)部資源的訪問(wèn)權(quán)限；3網(wǎng)絡(luò)黑客需要防止網(wǎng)絡(luò)黑客人員對(duì)內(nèi)部計(jì)算機(jī)終端或者應(yīng)用系統(tǒng)的攻擊訪問(wèn),造成數(shù)據(jù)集中泄露；4移動(dòng)辦公移動(dòng)辦公人員往往攜帶NoteBook、IPAD、Mobile等便攜式設(shè)備進(jìn)行內(nèi)部文件審批,郵件往來(lái)等業(yè)務(wù)；5離線調(diào)試/演示制造型企業(yè)由于業(yè)務(wù)的需求,通常需要對(duì)離線的控制終端電腦進(jìn)行程序或者參數(shù)的調(diào)試或者演示,因此既要滿足此種情況下的離線安裝部署和控制的需要,同時(shí)也要能夠?qū)?shù)據(jù)進(jìn)行有效保護(hù)；表4、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)對(duì)重點(diǎn)部門核心數(shù)據(jù)進(jìn)行安全加固防護(hù)-例如三維設(shè)計(jì)、圖紙工藝等現(xiàn)代企業(yè)普通使用文件服務(wù)器、郵件服務(wù)器、OA應(yīng)用服務(wù)器等業(yè)務(wù)應(yīng)用系統(tǒng),工作數(shù)據(jù)統(tǒng)一集中存放于這些服務(wù)器之中,其安全保護(hù)力度需要更加具有針對(duì)性并保證可用性。重點(diǎn)部門的核心數(shù)據(jù)往往具有在固定團(tuán)隊(duì)和一定的范圍內(nèi)流通的顯著特點(diǎn),而且這些數(shù)據(jù)通常也涉及到企業(yè)的核心競(jìng)爭(zhēng)力,因此需要從存儲(chǔ)、使用、網(wǎng)絡(luò)三個(gè)層面全方位給予進(jìn)行安全分層、安全區(qū)域的保護(hù)。上述風(fēng)險(xiǎn)分析中可以看出數(shù)據(jù)在使用、傳輸、存儲(chǔ)過(guò)程中最容易出現(xiàn)安全隱患。數(shù)據(jù)安全要立足于用戶終端,并延伸至網(wǎng)絡(luò),從數(shù)據(jù)安全源頭抓起,才能從根本上解決安全問(wèn)題,才能做到有的放矢,更具針對(duì)性和前瞻性。DLP4.0解決思想虹安公司針對(duì)企業(yè)數(shù)據(jù)保護(hù)類型的重要程度,提出以數(shù)據(jù)特點(diǎn)為設(shè)計(jì)原則,以安全風(fēng)險(xiǎn)為驅(qū)動(dòng),以模塊化設(shè)計(jì)為思想,以服務(wù)客戶為目標(biāo)的整體安全解決方案。詳細(xì)分析客戶的管理模式和業(yè)務(wù)流程,評(píng)估存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn),并在客戶現(xiàn)有業(yè)務(wù)系統(tǒng)基礎(chǔ)之上,提供針對(duì)性的安全解決方案,幫助企業(yè)用戶改進(jìn)和規(guī)范客戶的數(shù)據(jù)風(fēng)險(xiǎn)管理體系。如下表圖所示。圖、數(shù)據(jù)安全產(chǎn)品整體設(shè)計(jì)理念示意1數(shù)據(jù)泄密通道風(fēng)險(xiǎn)U盤外設(shè)安全管控采用設(shè)備訪問(wèn)控制、數(shù)據(jù)加密和安全審計(jì)等手段,針對(duì)每一類的外設(shè)設(shè)置控制策略,保證終端硬件的完整性,提供數(shù)據(jù)安全交換的通道。2數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)文件外發(fā)控制管理適應(yīng)企業(yè)業(yè)務(wù)外協(xié)合作和數(shù)據(jù)集成共享的數(shù)據(jù)資產(chǎn)保護(hù)需要,提供數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制等多層安全服務(wù),有效防止外發(fā)文件的擴(kuò)散傳播泄露。3數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)文檔安全管理系統(tǒng)采用文件透明加密的思想,結(jié)合以數(shù)字證書為核心的用戶身份認(rèn)證,利用文件訪問(wèn)授權(quán)和控制機(jī)制,全過(guò)程監(jiān)測(cè)數(shù)據(jù)的使用狀態(tài),并形成詳盡的安全審計(jì)日志供事后跟蹤。4應(yīng)用服務(wù)接入數(shù)據(jù)安全風(fēng)險(xiǎn)基于PKI/CA體系的數(shù)字證書認(rèn)證機(jī)制結(jié)合密碼口令、硬件USBKEY、數(shù)據(jù)軟證書、協(xié)議握手、安全標(biāo)識(shí)等不同手段保證應(yīng)用服務(wù)接入的唯一合法性以及可控性。5對(duì)重點(diǎn)部門核心數(shù)據(jù)進(jìn)行安全加固防護(hù)數(shù)據(jù)安全區(qū)域防護(hù)采用成熟安全的設(shè)備隔離、存儲(chǔ)隔離、應(yīng)用隔離、網(wǎng)絡(luò)隔離等終端多重安全隔離技術(shù),在個(gè)人終端存儲(chǔ)設(shè)備上構(gòu)建起數(shù)據(jù)安全區(qū)域和和非數(shù)據(jù)安全區(qū)域。有效解決安全性與易用性之間的矛盾。6其它層面數(shù)據(jù)安全風(fēng)險(xiǎn)能夠針對(duì)虛擬化應(yīng)用數(shù)據(jù)、瀏覽器呈現(xiàn)數(shù)據(jù)等安全風(fēng)險(xiǎn)的防護(hù)解決方案虛擬化應(yīng)用數(shù)據(jù):在終端基礎(chǔ)上構(gòu)建一個(gè)或者多個(gè)虛擬桌面,作為內(nèi)部網(wǎng)絡(luò)以及云端的安全接入端點(diǎn)。瀏覽器呈現(xiàn)數(shù)據(jù)：保護(hù)應(yīng)用系統(tǒng)以頁(yè)面形式呈現(xiàn)的機(jī)密信息可看但不被盜用,并在不改變現(xiàn)有應(yīng)用系統(tǒng)以及重新配置訪問(wèn)權(quán)限的前提之下,針對(duì)不同人員隱藏/顯示關(guān)鍵字段信息,解決重要信息在IT業(yè)務(wù)系統(tǒng)中的安全傳播問(wèn)題。表5、數(shù)據(jù)安全風(fēng)險(xiǎn)、安全產(chǎn)品、安全解決思想對(duì)應(yīng)關(guān)系DLP4.0系統(tǒng)安全架構(gòu)圖1、虹安DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)安全架構(gòu)虹安DLP系統(tǒng)采用基于B/S+C/S的控制和管理模式,結(jié)合安全功能執(zhí)行與安全控制策略分離的思想,使得系統(tǒng)安全控制功能執(zhí)行更加有效,安全控制策略管理更加高效。圖2、虹安DLP系統(tǒng)軟件架構(gòu)示意圖虹安DLP數(shù)據(jù)泄露防護(hù)平臺(tái)采用開放式體系結(jié)構(gòu)的可擴(kuò)展的安全管理理念,簡(jiǎn)化了所有規(guī)模組織的風(fēng)險(xiǎn)與合規(guī)性管理的統(tǒng)一性和效率。平臺(tái)從辦公文檔、設(shè)計(jì)圖紙和數(shù)據(jù)使用環(huán)境隔離兩個(gè)核心層面進(jìn)行防護(hù),采用認(rèn)證、加密、標(biāo)簽、審計(jì)、內(nèi)核驅(qū)動(dòng)、沙箱、還原、訪問(wèn)控制、應(yīng)用防火墻等技術(shù),對(duì)企業(yè)機(jī)密文檔、U盤外設(shè)、外發(fā)文件、瀏覽器應(yīng)用、移動(dòng)存儲(chǔ)設(shè)備、筆記本計(jì)算機(jī)、應(yīng)用系統(tǒng)機(jī)密信息進(jìn)行控制與保護(hù),從而構(gòu)建保護(hù)企業(yè)數(shù)據(jù)的完善的立體縱深防御系統(tǒng)。通過(guò)數(shù)據(jù)安全平臺(tái),可以輕松幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用和管理。集中平臺(tái)管理多角色的訪問(wèn)控制技術(shù):系統(tǒng)維護(hù)、安全策略、安全審計(jì)三權(quán)分立；統(tǒng)一安全框架:統(tǒng)一管理終端、數(shù)據(jù)、行為、設(shè)備的安全防護(hù),制定適合管理需要的策略Web的單一界面：整合多層次體系結(jié)構(gòu)、強(qiáng)大安全策略設(shè)置、用戶及終端安全狀態(tài)；靈活部署應(yīng)用按需添加：分層提供服務(wù)、功能組件模塊化應(yīng)用按需添加；系統(tǒng)廣泛兼容：與Windows域無(wú)縫集成,兼容主流殺毒軟件,全面支持WIN7及64位操作系統(tǒng)；C/S+B/S架構(gòu)：廣泛適應(yīng)于移動(dòng)辦公、異地管理、臨時(shí)接入等使用場(chǎng)景；DLP4.0解決效果圖3、數(shù)據(jù)安全解決整體解決方案效果示意圖DLP4.0解決方式基于PKI/CA體系的身份鑒別圖4、基于于PKI/CA體系的用戶身份訪問(wèn)認(rèn)證嚴(yán)謹(jǐn)?shù)挠脩羯矸菰L問(wèn)認(rèn)證：客戶端登錄使用時(shí),先在服務(wù)器端做身份認(rèn)證,當(dāng)確認(rèn)為企業(yè)合法用戶時(shí),會(huì)針對(duì)每人頒發(fā)一個(gè)證書。每次登錄時(shí),需要確認(rèn)是合法用戶,才能訪問(wèn)服務(wù)器以及安全文件。數(shù)據(jù)透明加密保護(hù)高強(qiáng)度數(shù)據(jù)透明加密保護(hù)：在用戶遠(yuǎn)程終端上,對(duì)需要保護(hù)的文檔進(jìn)行一次一密的高安全性加密方式,遵從國(guó)家密碼管理部門批準(zhǔn)的的加密算法加密文件內(nèi)容,只有指定授權(quán)用戶的密鑰才能解密文件。并用同時(shí)實(shí)現(xiàn)對(duì)文件簽名,保證文件的保密性,真實(shí)性和不可篡改性,同時(shí)滿足桌面云應(yīng)用辦公的數(shù)據(jù)加密性能要求。根據(jù)不同的安全保護(hù)要求,可以靈活選擇不同的透明加密保護(hù)方式,針對(duì)內(nèi)部文檔的安全流轉(zhuǎn)采用文件透明加密保護(hù)的方式,而針對(duì)重要部門核心數(shù)據(jù)則采用磁盤透明加密技術(shù)。數(shù)據(jù)安全區(qū)域隔離針對(duì)重點(diǎn)部門核心數(shù)據(jù)和臨時(shí)接入內(nèi)部網(wǎng)絡(luò)的設(shè)備實(shí)施數(shù)據(jù)安全加固的方式進(jìn)行保護(hù)。DLP可以在終端計(jì)算機(jī)上構(gòu)建安全區(qū)域,以此作為接入內(nèi)部資源,以及存放下載至終端的內(nèi)部敏感數(shù)據(jù)。同時(shí)在內(nèi)部重要部門網(wǎng)絡(luò)上,靈活建立以網(wǎng)絡(luò)安全區(qū)域?yàn)楣芾韺?duì)象的保密子網(wǎng),不同部門所形成的安全保密子網(wǎng)可以根據(jù)企業(yè)的策略設(shè)置和調(diào)整進(jìn)行數(shù)據(jù)的連通訪問(wèn)。數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離的管理規(guī)范,將計(jì)算機(jī)存儲(chǔ)設(shè)備分成不同的區(qū)域,控制和審計(jì)各區(qū)域間數(shù)據(jù)流向,結(jié)合外設(shè)和網(wǎng)絡(luò)管控,限制數(shù)據(jù)使用范圍,構(gòu)建安全保密子網(wǎng)以及各安全子網(wǎng)連接的安全網(wǎng)絡(luò)。系統(tǒng)采用安全穩(wěn)定的磁盤透明加密技術(shù),加密全盤或者分區(qū)的數(shù)據(jù),防護(hù)存儲(chǔ)設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密。針對(duì)企業(yè)應(yīng)用服務(wù)器的安全保護(hù),可以將需要保護(hù)的應(yīng)用服務(wù)器集群納入到數(shù)據(jù)安全區(qū)域之中,通過(guò)一定的安全接入認(rèn)證或者部署安裝了數(shù)據(jù)安全保護(hù)程序的終端計(jì)算機(jī)才能夠正常接入到企業(yè)重要應(yīng)用服務(wù)器中。靈活人員訪問(wèn)權(quán)限靈活調(diào)整人員訪問(wèn)權(quán)限設(shè)置：可以依據(jù)各行政部門來(lái)定義角色,這樣角色就同實(shí)際的行政關(guān)系相對(duì)應(yīng),再根據(jù)不同部門的職能,為相應(yīng)的角色配置安全策略組合,控制用戶權(quán)限〔指定進(jìn)程、數(shù)據(jù)和文件的訪問(wèn)和使用權(quán)限、移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限、文件外發(fā)權(quán)限等,讓每個(gè)下屬企業(yè)的每個(gè)部門,甚至細(xì)分到每個(gè)人,都具有不同的安全保護(hù)權(quán)限。在線、離線多應(yīng)用模式策略切換：策略配置時(shí),可以為同一用戶〔組授權(quán)在線和離線兩種策略。當(dāng)客戶端與服務(wù)器斷開連接時(shí),自動(dòng)切換至離線狀態(tài)。例如策略配置為：在線狀態(tài)時(shí),對(duì)加密文件有讀,寫權(quán)限；離線狀態(tài)時(shí),對(duì)加密文件有閱讀權(quán)限,不允許拷貝,截屏。離線時(shí)間可按照具體需求進(jìn)行設(shè)置?；?三權(quán)"分立構(gòu)建安全管理體系：對(duì)系統(tǒng)管理的權(quán)限劃分細(xì)粒度高。默認(rèn)為三種權(quán)限：日志管理員,系統(tǒng)管理員和普通管理員。其次可根據(jù)企業(yè)內(nèi)部需要,自行增加管理員權(quán)限。例如：超級(jí)管理員,可以設(shè)定二級(jí)管理員〔可多人不同分工,授權(quán)其只允許設(shè)定其他人員權(quán)限及策略,但不允許讀取后臺(tái)操作日志。全面外設(shè)管控移動(dòng)存儲(chǔ)U口管控圖5、U盤等移動(dòng)存儲(chǔ)設(shè)備安全管控U盤等移動(dòng)存儲(chǔ)設(shè)備管控：客戶端使用的U盤,首次使用時(shí),需要在服務(wù)端進(jìn)行注冊(cè)。注冊(cè)時(shí)區(qū)分"內(nèi)網(wǎng)專用模式"和"內(nèi)外網(wǎng)通用模式"；兩種模式下,匹配的使用權(quán)限策略可以針對(duì)個(gè)人設(shè)定,也可以指定為單個(gè)移動(dòng)存儲(chǔ)設(shè)備。外設(shè)及端口管控圖6、終端外設(shè)及其端口管控種類涵蓋全面的終端外設(shè)管控：對(duì)外設(shè)可按照在線和離線兩種模式進(jìn)行控制,并有使用日志記錄；打印留有副本可下載。文件發(fā)送管理文件發(fā)送分為內(nèi)發(fā)和外發(fā)兩種,兩種發(fā)送都可以設(shè)定審核員,只有審核通過(guò)后才可以發(fā)送,內(nèi)發(fā)一般可以不解密發(fā)送,外發(fā)已加密的文檔,審核通過(guò)可以解密為明文發(fā)送。外發(fā)的文件可已設(shè)定生命周期限制,如：一段時(shí)間內(nèi)可以打開,過(guò)后就無(wú)法產(chǎn)看；或者打開N次后文件即失效。在內(nèi)部避免審核員繁瑣操作,可進(jìn)行白名單設(shè)定,對(duì)于白名單可以直接發(fā)送。對(duì)于高層人員,可以授予解密權(quán)限,在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下：圖7、文件發(fā)送管理示意默認(rèn)情況：DLP系統(tǒng)提供不同部門之間的文檔是不能夠相互查看的。內(nèi)發(fā)審核：企業(yè)不同部門之間的文檔需要互通時(shí),必須經(jīng)過(guò)一定的審核機(jī)制。根據(jù)第一審核人的在線情況,可以靈活指定一個(gè)臨時(shí)審核人,以接替第一審核人的審核工作。第一審核人可以收回臨時(shí)審核人審核權(quán)限。外發(fā)審核：外發(fā)審核工作流程與內(nèi)發(fā)類似,同樣可以指定臨時(shí)審核人。例外情況：1、針對(duì)領(lǐng)導(dǎo)等可信人員可以配置文件白名單或者設(shè)置密文查看權(quán)限策略,接收或者查看任何部門的密文文件均不需要通過(guò)審核流程。2、經(jīng)常向外部固定合作伙伴進(jìn)行郵件的往來(lái)時(shí),可以將客戶的郵箱聯(lián) 系方式制作成郵件白名單,當(dāng)向此郵件地址發(fā)送郵件時(shí),自動(dòng)解密附件。3、由于工作業(yè)務(wù)性質(zhì)的原因,需要同客戶頻繁進(jìn)行文件往來(lái)時(shí),可以配置自動(dòng)審核的策略,外發(fā)給客戶的文件自動(dòng)解密,但同時(shí)會(huì)有詳細(xì)的操作日志記錄,并且保留發(fā)送的文件副本以作事后追蹤審計(jì)。4、為了方便授權(quán)用戶進(jìn)行加密文件的解密,DLP系統(tǒng)提供一種直接通 過(guò)"右鍵菜單"形式的主動(dòng)解密功能,而不需要通過(guò)其它解密流程。移動(dòng)辦公：企業(yè)領(lǐng)導(dǎo)或者一般員工外出辦公,既需要處理企業(yè)內(nèi)部加密受控的文檔,要不能夠像企業(yè)內(nèi)部一樣方便地進(jìn)行數(shù)據(jù)安全保護(hù)程序。針對(duì)這種移動(dòng)辦公數(shù)據(jù)安全保護(hù)的要求,DLP系統(tǒng)提供一種簡(jiǎn)便有效移動(dòng)數(shù)據(jù)安全解決方案,使用者只需要將裝載有安全保護(hù)程序的U盤插入終端設(shè)備后,就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù),避免麻煩的安裝部署和安全策略配置過(guò)程,進(jìn)一步提高使用者的安全應(yīng)用體驗(yàn)效果。文件外發(fā)控制圖8、外發(fā)文件全方位保護(hù)和全周期管理外發(fā)文件全方位保護(hù)和全周期管理：對(duì)外發(fā)送的文件可以根據(jù)需要制作為可控文件發(fā)送。例如：指定客戶的某臺(tái)機(jī)器〔或者U盤閱讀文件,設(shè)定閱讀時(shí)間為一周〔或者只能打開3次,不允許打印和復(fù)制文件內(nèi)容。豐富認(rèn)證方式〔誰(shuí)可以使用提供適合不同安全強(qiáng)度的外發(fā)文件使用認(rèn)證方式,比如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡(luò)認(rèn)證等,并且可自由組合使用認(rèn)證方式。限制使用范圍〔在哪里使用配合在線和離線認(rèn)證模式,可以實(shí)現(xiàn)限制外發(fā)文件在固定終端上、單位局域網(wǎng)內(nèi)、廣域互聯(lián)網(wǎng)中使用,以滿足不同的使用場(chǎng)景。使用權(quán)限控制〔如何被使用使用權(quán)限：限制文件只讀、可編輯、截屏、打開次數(shù)、另存為等；使用期限：限制文件打開時(shí)長(zhǎng)、打開時(shí)間段、自動(dòng)銷毀等；使用版權(quán)：打印外發(fā)文件時(shí),可以添加單位版權(quán)水印信息；安全日志審計(jì)〔何時(shí)在使用記錄所有用戶的文件外發(fā)操作日志,泄密事件發(fā)生后可跟蹤追溯。安全日志審計(jì)圖9、全面而詳盡的安全日志審計(jì)全面而詳盡的日志記錄：對(duì)客戶端操作行為以及U盤等外設(shè)設(shè)備的使用均有詳細(xì)的日志記錄?？梢宰匪菽硞€(gè)特定人員對(duì)某個(gè)文檔的操作。數(shù)據(jù)備份恢復(fù)安全系統(tǒng)快速備份和恢復(fù)：提供備份和恢復(fù)系統(tǒng)數(shù)據(jù)的功能,在系統(tǒng)升級(jí)過(guò)程中,能實(shí)現(xiàn)不同版本之間的數(shù)據(jù)遷移。文件意外情況安全保護(hù)：對(duì)所有的加密操作,都可以配置備份保護(hù),并根據(jù)需要配置實(shí)時(shí)更新,避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等原因損毀。備份服務(wù)器可以同DLP服務(wù)器集成部署,也可以使用專用文件服務(wù)器分別部署,用大容量的文件服務(wù)器來(lái)滿足海量存儲(chǔ)需求。DLP4.0應(yīng)用部署方案工作方式虹安DLP系統(tǒng)架構(gòu)為C/S+B/S架構(gòu),由服務(wù)端、客戶端兩大部分組成。其中管理員在任何地方均可通過(guò)WEB方式進(jìn)行DLP服務(wù)器的系統(tǒng)設(shè)置、策略維護(hù)、日志審計(jì)等工作。而DLP客戶端程序自動(dòng)與DLP服務(wù)端程序通信連接,接收來(lái)自于服務(wù)端的安全控制策略,以及上傳用戶的操作日志記錄等內(nèi)容。三權(quán)分立管理模式1、系統(tǒng)管理員：進(jìn)行DLP系統(tǒng)服務(wù)端各種參數(shù)設(shè)置和狀態(tài)維護(hù),比如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權(quán)注冊(cè)信息、文件備份、郵件中轉(zhuǎn)服務(wù)等參數(shù)信息。2、策略安全員：負(fù)責(zé)U盤、外設(shè)、文檔、郵件白名單、審核人員等與文檔安全保護(hù)有關(guān)的策略維護(hù)。為了策略維護(hù)和管理的方便,也可以設(shè)置一些部門策略安全人員。3、安全審計(jì)員：擔(dān)當(dāng)客戶端文檔操作日志和服務(wù)端管理人員操作日志的審計(jì)角色。與域控管理相結(jié)合將域控服務(wù)器的人員列表快速導(dǎo)入DLP系統(tǒng)的用戶管理模塊中,實(shí)現(xiàn)DLP用戶與域控用戶管理服務(wù)相結(jié)合,減輕IT維護(hù)管理人員的工作復(fù)雜度,從而提高工作效率。DLP系統(tǒng)服務(wù)端服務(wù)端采用伸縮性和可移植性非常好的JAVA語(yǔ)言編寫和構(gòu)建,既可以安裝部署在一般WINDOWS服務(wù)器中,又可以將植入硬件服務(wù)器中。DLP服務(wù)器主要進(jìn)行安全策略管理、權(quán)限管理、系統(tǒng)管理、部門及用戶管理等系統(tǒng)主要功能；另外可以根據(jù)企業(yè)實(shí)際安全需要和成本考慮單獨(dú)部署文件備份服務(wù)器來(lái)存儲(chǔ)備份的加密文件。DLP系統(tǒng)客戶端終端用戶需安裝虹安DLP系統(tǒng)客戶端程序,在登錄Windows操作系統(tǒng)桌面的同時(shí)自動(dòng)進(jìn)行DLP系統(tǒng)身份認(rèn)證工作,認(rèn)證通過(guò)后根據(jù)服務(wù)端設(shè)置的安全控制策略,便可以使用擁有權(quán)限的數(shù)據(jù)資源,整個(gè)過(guò)程基本上由程序自動(dòng)完成,無(wú)需用戶參與。圖10、虹安DLP泄露防護(hù)系統(tǒng)工作方式示意圖部署方式圖11、DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)平臺(tái)部署解決方案部署備注：圖11中的"紅色虛框"即為方案中所涉及的數(shù)據(jù)安全加固部分。內(nèi)部部署方式建議內(nèi)部計(jì)算機(jī)終端使用在線策略的方式來(lái)安裝部署,各終端可以實(shí)時(shí)接收或者更新DLP服務(wù)器設(shè)置的各種策略,包括加密策略以及一些全局性的控制策略。如果網(wǎng)絡(luò)出現(xiàn)短時(shí)間的故障時(shí),系統(tǒng)提供針對(duì)這種場(chǎng)景的離線自動(dòng)切換功能,保證業(yè)務(wù)的正常運(yùn)行不受影響。外部部署方式根據(jù)企業(yè)外出人員能否進(jìn)行方便的網(wǎng)絡(luò)連通來(lái)看,主要有如下幾種方式的靈活部署方式：、外出員工可以正常的網(wǎng)絡(luò)連接針對(duì)這種類型的外出辦公場(chǎng)景,DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供靈活的網(wǎng)絡(luò)連接方式,包括客戶端動(dòng)態(tài)IP的支持、通過(guò)有線或者無(wú)線的公網(wǎng)連接方式支持等。、員工不可以進(jìn)行正常的網(wǎng)絡(luò)連接針對(duì)這種類型的外出辦公場(chǎng)景,DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供多種方式的離線策略控制,用戶可以自行設(shè)置離線策略生效的時(shí)間,比如月、日、小時(shí)等,另外對(duì)于離線時(shí)間過(guò)期后,提供一個(gè)離線策略時(shí)間補(bǔ)時(shí)的授權(quán)文件,外出終端用戶可以方便導(dǎo)入些授權(quán)文件就可以輕松實(shí)現(xiàn)離線策略的延時(shí)授權(quán)。、臨時(shí)需要進(jìn)行數(shù)據(jù)安全保護(hù)針對(duì)離線不連網(wǎng)、移動(dòng)辦公性較強(qiáng)以及臨時(shí)性保護(hù)等應(yīng)用場(chǎng)景要求, DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供簡(jiǎn)單方便的安全保護(hù)方案,使用者只需要將 事先制作好的U盤插入計(jì)算中就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù),避免了其它廠家需要進(jìn)行繁雜的安全部署以及設(shè)置設(shè)置過(guò)程,進(jìn)一步提高了工作效率和使用者的安全應(yīng)用體驗(yàn)。實(shí)施步驟DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的服務(wù)端,用于下發(fā)各種安全加密策略,并進(jìn)行身份認(rèn)證。登錄服務(wù)端后臺(tái)Web管理界面,根據(jù)企業(yè)的行政組織結(jié)構(gòu),建立部門分組,按照管理要求,為部門綁定外設(shè)管理策略和文檔加密策略?？蛻舳藷o(wú)需登錄后臺(tái)管理,即可在管理界面當(dāng)中自行注冊(cè)用戶并下載安裝客戶端。域管理結(jié)構(gòu)則可用域的策略自動(dòng)推送客戶端安裝。安裝完成后,客戶端所有安全策略和加密操作等,均由服務(wù)端自動(dòng)下發(fā),在后臺(tái)執(zhí)行,對(duì)用戶完全透明,不改變用戶的操作習(xí)慣。外出人員的筆記本電腦可通過(guò)服務(wù)端配置的離線策略,讓外部使用的資料也受到保護(hù)。內(nèi)部敏感數(shù)據(jù)如果需要外發(fā)給陌生地址,需由管理者審核通過(guò)并記錄保存后,方可進(jìn)行發(fā)送。所有的加密操作,管理員都可以配置明文備份保護(hù),并實(shí)時(shí)更新,避免重要數(shù)據(jù)因系統(tǒng)崩潰損毀。但從服務(wù)器取出明文備份文件,或接受外部發(fā)來(lái)的明文文件,在保存到本地時(shí)就立刻被加密保護(hù)。方案特色全面的外控支持功能：支持現(xiàn)有的所有已知的外設(shè)和移動(dòng)存儲(chǔ)設(shè)備,如：藍(lán)牙、打印機(jī)、數(shù)碼相機(jī)、紅外、光驅(qū)、串口、并口、攝像頭、刻錄機(jī)、SD卡槽、無(wú)線上網(wǎng)卡、U盤、無(wú)線網(wǎng)卡等等。系統(tǒng)內(nèi)核驅(qū)動(dòng)技術(shù)：采用Windows系統(tǒng)底層控制,同時(shí)實(shí)現(xiàn)文件加密和磁盤加密過(guò)濾驅(qū)動(dòng)兩種不同加密方式,控制響應(yīng)速度極快,占用系統(tǒng)資源低。系統(tǒng)客戶端具有防卸載、防刪除和自動(dòng)修復(fù)等功能。推送安裝部署形式：通過(guò)后臺(tái)統(tǒng)一安裝客戶端,客戶端用戶感覺(jué)不到安裝過(guò)程,快速且易于部署；系統(tǒng)擴(kuò)容簡(jiǎn)單方便：1>、公司新增加分支機(jī)構(gòu)時(shí),可通過(guò)同級(jí)服務(wù)器機(jī)制直接導(dǎo)入到新增的分支機(jī)構(gòu)的應(yīng)用服務(wù)器,部署快捷方便；2、公司總部以及分支機(jī)構(gòu)新增客戶端應(yīng)用時(shí)可直接連接到就近服務(wù)器；同級(jí)服務(wù)器機(jī)制輕松解決新增分支機(jī)構(gòu)的不斷擴(kuò)展的安全需求；3、數(shù)據(jù)庫(kù)備份遷移：支持備份數(shù)據(jù)庫(kù)表、數(shù)據(jù)庫(kù)表組及整個(gè)數(shù)據(jù)庫(kù)；不同版本之間可支持遷移備份,以便服務(wù)端升級(jí)后快速恢復(fù)服務(wù)端；數(shù)據(jù)庫(kù)支持遠(yuǎn)程備份。文件流轉(zhuǎn)按需授權(quán)：1、領(lǐng)導(dǎo)的文件別人無(wú)法查看；2、領(lǐng)導(dǎo)可以查看所有人的文件；3、部門內(nèi)部的文件可相互查看；4、部門經(jīng)理的文件只允許其領(lǐng)導(dǎo)及老板查看；5、HR等后勤保障的公共部門的文件各部門均可以查看；6、允許上級(jí)看下級(jí)的文件,不允許下級(jí)看上級(jí)的文件；融合管理：1、與第三方交互的文件需要經(jīng)過(guò)授權(quán)或自動(dòng)審核記錄副本后方能外發(fā)；2、重要的部門外發(fā)文件時(shí)通過(guò)領(lǐng)導(dǎo)審核,部門領(lǐng)導(dǎo)可指派多名候選審核者,并支持設(shè)置后選審核人的優(yōu)先級(jí),當(dāng)高優(yōu)先級(jí)的審核員外出時(shí),系統(tǒng)自動(dòng)分配審核任務(wù)到次優(yōu)先級(jí)審核員,依次類推；3、文檔密級(jí)較低的部門可通過(guò)配置自動(dòng)審核功能,無(wú)需人工干預(yù)且有副本記錄,必要時(shí)可提取副本進(jìn)行核查,確?？旖萦职踩?；4、內(nèi)部各職能部門之間臨時(shí)共享文件可通過(guò)文檔內(nèi)發(fā)管理來(lái)實(shí)現(xiàn)；靈活便捷：1、當(dāng)客戶端在公司總部或各分支結(jié)構(gòu)使用時(shí),可按需配置在線策略；2、具有離線使用功能,部分人員需要外出辦公時(shí)可臨時(shí)授權(quán)離線策略；如：攜帶儲(chǔ)存有重要或機(jī)密文檔出差時(shí)可配置離線策略；3、離線終端的各種操作均會(huì)形成日志,并在連接到服務(wù)器時(shí)自動(dòng)上傳日志文件,方便后續(xù)審核；簡(jiǎn)單易用:1、加解密對(duì)用戶透明,用戶感覺(jué)不到加解密過(guò)程；2、不需要對(duì)用戶進(jìn)行專項(xiàng)培訓(xùn)；3、不改變用戶的操作習(xí)慣；遠(yuǎn)程支撐：1、文件損壞：發(fā)現(xiàn)需要的文件損壞時(shí),可以連接至備份服務(wù)器進(jìn)行恢復(fù)；2、密文解密：當(dāng)外發(fā)的文檔需要解密時(shí),可通過(guò)VPN連接至DLP服務(wù)器進(jìn)行外發(fā)審核,也可把文件通過(guò)網(wǎng)絡(luò)或其它方式發(fā)回公司,解密后再回傳；三權(quán)分立：1、超級(jí)管理員擁有所有權(quán)限,普通管理員無(wú)操作日志權(quán)限,日志管理員進(jìn)行日志及副本的安全審計(jì),規(guī)避"監(jiān)守自盜"行為,老板放心,管理員省心；2、基于角色的訪問(wèn)控制技術(shù),可以新建不同角色并分配各種權(quán)限；方案價(jià)值防止任何形式和途徑的機(jī)密外泄DLP系統(tǒng)采用透明加密保密存儲(chǔ)的方式,全面管控計(jì)算機(jī)移動(dòng)數(shù)據(jù)存儲(chǔ)設(shè)備、外設(shè)資源、網(wǎng)絡(luò)等方面的泄密途徑,全程監(jiān)測(cè)數(shù)據(jù)應(yīng)用過(guò)程中的泄密方式<例如打印、截屏、另存為、拷貝等>。有效解決企業(yè)內(nèi)部主動(dòng)或者被動(dòng)泄密,企業(yè)外部非法入侵竊取,文檔安全協(xié)作共享安全、文檔移動(dòng)離線保護(hù)、存儲(chǔ)設(shè)備丟失防護(hù)和移動(dòng)介質(zhì)設(shè)備安全管控等方面的文檔安全問(wèn)題。防止任何形式和途徑的機(jī)密外泄,安全保護(hù)企業(yè)數(shù)據(jù)安全。最大程度消除員工抵觸情緒1、文檔從產(chǎn)生、應(yīng)用、傳輸?shù)絼h除銷毀的生命周期內(nèi)所涉及的加密操作均由系統(tǒng)自動(dòng)完成,用戶無(wú)需進(jìn)行任何的干預(yù),不改變其使用文檔的操作習(xí)慣,而且也感覺(jué)不到加密動(dòng)作的存在,對(duì)用戶來(lái)說(shuō)完全透明。2、基于遠(yuǎn)程安全策略管控方式,釋放用戶對(duì)安全控制措施抵觸情緒。3、針對(duì)文檔的內(nèi)部流轉(zhuǎn)、外部發(fā)送、離線辦公等業(yè)務(wù)場(chǎng)景設(shè)置靈活的例外解密策略,最大程度上降低對(duì)用戶工作的影響。全面釋放管理維護(hù)人員壓力1、客戶端程序采用網(wǎng)絡(luò)推送安裝方式,使得IT維護(hù)人員無(wú)需親臨現(xiàn)場(chǎng)指導(dǎo)安裝,為企業(yè)和個(gè)人節(jié)省了寶貴的人力資源成本和時(shí)間精力。2、基于B/S的管理架構(gòu)設(shè)計(jì)以及與域控服務(wù)相結(jié)合的機(jī)制,可以幫助IT維護(hù)人員在任何地點(diǎn)、任何時(shí)間、復(fù)雜網(wǎng)絡(luò)環(huán)境下都能夠快速準(zhǔn)確地管理各種安全控制策略。3、控制策略模板化、用戶與策略關(guān)聯(lián)綁定最大化和全局化等方面設(shè)計(jì),大大簡(jiǎn)化了安全控制策略配置的復(fù)雜程度,同時(shí)也將策略配置出錯(cuò)率降至最低水平。4、IT維護(hù)人員可以為終端使用者配置文檔備份策略,避免因各種意外原因?qū)е碌臄?shù)據(jù)損壞丟失問(wèn)題。另外,IT維護(hù)人員也可對(duì)DLP系統(tǒng)關(guān)鍵服務(wù)數(shù)據(jù)庫(kù)和主密鑰信息進(jìn)行備份,系統(tǒng)崩潰損毀后可快速進(jìn)行恢復(fù)工作,保持業(yè)務(wù)的連續(xù)性。5、同級(jí)部署機(jī)制,使得IT維護(hù)人員在完成公司總部的系統(tǒng)配置后,將相關(guān)配置導(dǎo)入到企業(yè)各分支機(jī)構(gòu)的DLP服務(wù)器中,實(shí)現(xiàn)配置同步并且快速部署的效果。6、多級(jí)服務(wù)器部署機(jī)制,上級(jí)單位可查看下級(jí)服務(wù)器上傳的操作日志,安全審計(jì)記錄和用戶結(jié)構(gòu)列表,讓IT安全管理者全局掌控企業(yè)的信息安全態(tài)勢(shì)。持續(xù)降低企業(yè)信息安全成本1、兼容企業(yè)主流的應(yīng)用系統(tǒng),如ERP、OA、SVN等,讓企業(yè)經(jīng)營(yíng)者無(wú)需更改任何的應(yīng)用系統(tǒng)即可實(shí)現(xiàn)與DLP系統(tǒng)相結(jié)合。2、適應(yīng)企業(yè)IT架構(gòu)成長(zhǎng)性,解決不同規(guī)模企業(yè)的安全需求。3、統(tǒng)一安全平臺(tái),可以與更多其它虹安安全產(chǎn)品的聯(lián)動(dòng)和配合。系統(tǒng)安全性數(shù)據(jù)加密基于內(nèi)核級(jí)的數(shù)據(jù)強(qiáng)制透明加密,對(duì)數(shù)據(jù)和存儲(chǔ)位置雙重加密,保護(hù)在任何位置存儲(chǔ)的數(shù)據(jù)及任何指定進(jìn)程產(chǎn)生的文件,全方位保障數(shù)據(jù)的絕對(duì)安全。實(shí)時(shí)的透明加解密,操作過(guò)程透明,不影響用戶操作習(xí)慣?！ㄟ^(guò)文件過(guò)濾驅(qū)動(dòng)技術(shù),實(shí)現(xiàn)進(jìn)程和文件的強(qiáng)制透明加密,在文件產(chǎn)生 時(shí)即被強(qiáng)制加密,在文件使用〔編輯、保存等過(guò)程中進(jìn)行跟蹤加密,以任何 方式泄漏出去的文件均為密文?！ㄟ^(guò)磁盤驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)全盤強(qiáng)制透明加密。支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法,結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸,進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí),提高了加解密效率。SHA2、MD5摘要算法用于數(shù)字簽名,結(jié)合RSA公私鑰體系,防止文件被篡改、偽造及未授權(quán)使用。密鑰管理,基于PKI/CA認(rèn)證體系,銀行交易級(jí)別的密鑰管理,是目前最安全的密鑰管理體系,對(duì)密鑰的產(chǎn)生、存儲(chǔ)、分配、使用和銷毀的全過(guò)程進(jìn)行有效的管理,確保密鑰任何時(shí)期都是安全的。端點(diǎn)控制廣泛覆蓋所有端點(diǎn),控制數(shù)據(jù)泄漏途徑和方式,在數(shù)據(jù)泄漏之前,主動(dòng)防御控制。終端端點(diǎn)控制：控制打印端口、傳真、截屏、USB端口等泄漏途徑；網(wǎng)絡(luò)端點(diǎn)控制：FTP、HTTP、Email、MSN等；存儲(chǔ)端點(diǎn)控制：外設(shè)驅(qū)動(dòng)設(shè)備、便攜設(shè)備、PDA、移動(dòng)存儲(chǔ)介質(zhì)〔U盤等。身份認(rèn)證通過(guò)對(duì)密鑰和數(shù)字證書的管理,來(lái)管理密鑰和證書對(duì)應(yīng)的用戶身份,對(duì)用戶進(jìn)行生命周期全過(guò)程〔注冊(cè)、注銷、恢復(fù)的管理,安全、可靠、有效。 1、基于PKI/CA標(biāo)準(zhǔn)密鑰和數(shù)字證書體系,銀行交易級(jí)別的密鑰管理；2、USBKey硬件標(biāo)識(shí)作為密鑰證書載體,結(jié)合密碼認(rèn)證登錄；3、雙因子認(rèn)證登錄,增強(qiáng)身份認(rèn)證的可信度；安全可靠1、密鑰管理及身份認(rèn)證采用PKI/CA體系.支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法,結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸,進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí),提高了加解密效率；2、經(jīng)過(guò)加密的文檔,即便被復(fù)制出去,也無(wú)法打開查看其內(nèi)容,不會(huì)造成機(jī)密泄漏。用戶正常的操作也都是在加密狀態(tài)下進(jìn)行,如果需要把文件解密成明文,則需要授權(quán)或?qū)徍恕?、打印及內(nèi)外發(fā)文件均可提取副本進(jìn)行事后分析.惡意泄露有據(jù)可依；4、任何加密的文檔均在備份服務(wù)器上備份明文,文檔損壞、掉電丟失數(shù)據(jù)、惡意篡改及惡意刪除重要、機(jī)密文件,均可通過(guò)各自的客戶端在本地或VPN方式遠(yuǎn)程連接服務(wù)器進(jìn)行,無(wú)后顧之憂；5、加密系統(tǒng)的應(yīng)用服務(wù)器崩潰后可使用離線策略正常工作,且通過(guò)備份機(jī)制快速修復(fù)服務(wù)器環(huán)境,可通過(guò)冷備方式快速解決服務(wù)器崩潰問(wèn)題；系統(tǒng)自身安全身份認(rèn)證：身份認(rèn)證采用CA體系,為網(wǎng)銀級(jí)別安全,經(jīng)過(guò)審核合法的用戶才能接入DLP系統(tǒng)。密鑰管理：采用PKI體系的密鑰管理,為目前業(yè)內(nèi)最安全的密鑰管理模式。密鑰生成：支持分量密鑰、固定密鑰及隨機(jī)密鑰。在分量密鑰中,會(huì)根據(jù)分量及口令進(jìn)行100多道復(fù)雜的計(jì)算生成公司密鑰,由于每個(gè)客戶輸入的分量和口令各異,則生成的密鑰也各不相同；因此,實(shí)施虹安DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的任何客戶及虹安公司本身均無(wú)法解密其它公司的密文。密鑰分配：在服務(wù)端生成密鑰后,服務(wù)端通過(guò)1024位的RSA體系加密算法將加密過(guò)的密鑰分配到各合法客戶端,保障了密鑰分配過(guò)程的安全性。數(shù)據(jù)加密：數(shù)據(jù)加密采用128位和256位的RC4及AES對(duì)稱算法,在保障加密強(qiáng)度的前提下,更強(qiáng)調(diào)加密的效率,將大幅度降低對(duì)客戶應(yīng)用效率的影響。應(yīng)用程序保護(hù)文件過(guò)濾驅(qū)動(dòng)：實(shí)現(xiàn)進(jìn)程和文件的透明加密,也可做全盤加密操作