虹安數(shù)據(jù)泄露整體解決專項方案

虹安DLP4.0數(shù)據(jù)泄露防護系統(tǒng)整體解決方案公司名稱：深圳市虹安信息技術有限公司公司地址：深圳市南山區(qū)高新南一道賦安科技大廈B座308郵政編碼：518057公司網(wǎng)址：聯(lián)系電話：+86(0755)86315156傳真：+86(0755)26413060目錄TOC\o"1-5"\h\u311861.背景概述 3272872.應用現(xiàn)狀 4251343.DLP4.0方案 570783.1.安全概述 5216893.2.數(shù)據(jù)風險 6262353.3.DLP4.0解決思想 9291753.4.DLP4.0系統(tǒng)安全架構(gòu) 12261593.5.DLP4.0解決效果 13314113.6.DLP4.0解決方式 1325743.6.1.基于PKI/CA體系身份鑒別 13214943.6.2.數(shù)據(jù)透明加密保護 14128703.6.3.構(gòu)建數(shù)據(jù)安全區(qū)域 14141933.6.4.靈活人員訪問權(quán)限 1428333.6.5.全面外設管控 1523675.移動存儲U口管控 1525163.外設及端口管控 1615013.6.6.文獻發(fā)送管理 16211353.6.7.文獻外發(fā)控制 177563.6.8.安全日記審計 18144073.6.9.數(shù)據(jù)備份恢復 18263583.7.DLP4.0應用布置方案 19185313.7.1.工作方式 1939373.7.2.布置方式 207560.內(nèi)部布置方式 206875.外部布置方式 21307143.7.3.實行環(huán)節(jié) 21153683.8.方案特色 2134683.9.方案價值 23287093.10.系統(tǒng)安全性 24292743.11.運營環(huán)境 2780424.供應商簡介 27102734.1.關于虹安 2775464.2.技術和服務 2844514.2.1.售后服務 28293014.2.2.培訓服務 29119774.3.產(chǎn)品資質(zhì) 29背景概述當前，公司內(nèi)部安全性規(guī)定依然重要集中在系統(tǒng)安全性以及防病毒和黑客入侵等方面網(wǎng)絡安全性。對于老式PC終端而言，由于每臺機器均有本地存儲和網(wǎng)絡功能，數(shù)據(jù)安全短板效應無法避免，安全維護成本也居高不下，并且效果往往不盡人意。因而需要在對既有應用業(yè)務模式不影響狀況下，可以對數(shù)據(jù)進行全面而有效安全防護。當代公司規(guī)模龐大、分公司及分支機構(gòu)繁多并且分布廣泛，需要大量業(yè)務數(shù)據(jù)信息作為支撐。公司信息化飛速發(fā)展使得公司各部門之間可以迅速地獲取、傳遞、解決和運用各自所需信息，提高辦公效率，節(jié)約辦公費用，使管理者能實時、動態(tài)地理解到本單位各種資源實行狀況。但是由于業(yè)務上需要，公司需要開放移動存儲設備、計算機外設和網(wǎng)絡資源，公司布置老式網(wǎng)絡或者系統(tǒng)安全設備和系統(tǒng)已經(jīng)不可以較好好適應信息安全形勢新變化。一方面，為公司顧客提供正常辦公及解決內(nèi)部業(yè)務使得文檔交流傳播過程難以安全可控，文檔脫離內(nèi)部管理平臺容易導致文獻擴散和外泄。另一方面，內(nèi)部終端顧客文檔操作行為管理也不規(guī)范。最后，公司內(nèi)部移動存儲設備可以隨旨在任意物理終端計算機上使用，容易感染病毒和泄密；移動存儲介質(zhì)丟失后，極易導致敏感數(shù)據(jù)泄密。為提高公司內(nèi)部數(shù)據(jù)協(xié)同和高效運作，實現(xiàn)內(nèi)部辦公文檔交流過程安全可控，實現(xiàn)文檔脫離內(nèi)部管理平臺后能有效防止文獻擴散和外泄。對于內(nèi)部文檔使用范疇、文檔流轉(zhuǎn)等進行控制管理，以防止文檔內(nèi)部核心信息非法授權(quán)閱覽、拷貝、篡改。既防止文檔外泄和擴散，又支持內(nèi)部知識積累和文獻共享目。此外，數(shù)據(jù)安全同步更加注重顧客操作體驗感受。應用現(xiàn)狀依照公司信息化業(yè)務應用需求，公司每個員工業(yè)務操作方式重要集中在終端之上，但也會從OA應用系統(tǒng)、文獻服務器或者郵件系統(tǒng)等應用服務系統(tǒng)中瀏覽數(shù)據(jù)或者下載文檔，存在如下重要幾種方面數(shù)據(jù)安全隱患以及操作體驗規(guī)定，如下圖所示。、員工可以通過物理終端U口以及各種外設端口將數(shù)據(jù)泄露出去，例如，通過U盤等移動存儲以及打印機設備，可輕松進行數(shù)據(jù)拷貝；、員工通過網(wǎng)絡形式將數(shù)據(jù)泄露出去，例如，通過郵件方式、IM即時通訊工具以及各種網(wǎng)絡工作傳送數(shù)據(jù)至外部。、由于業(yè)務共享協(xié)作需要，外發(fā)出去數(shù)據(jù)在安全保護前提下，不影響正常使用；4）、公司內(nèi)部人員之間數(shù)據(jù)交互需要保持安全和流暢；5）、公司內(nèi)部人員與外部客戶之間數(shù)據(jù)交互需要保持安全和流暢；6）、公司內(nèi)部人員業(yè)務外出、在家辦公等場景數(shù)據(jù)交互安全和流暢；7）、分支機構(gòu)、移動出差人員需要進行內(nèi)部文獻以便快捷審批。圖1、公司數(shù)據(jù)安全業(yè)務應用現(xiàn)狀DLP4.0方案安全概述科技和商業(yè)飛速發(fā)展，公司機密數(shù)據(jù)和內(nèi)部敏感信息安全越來越重要，一旦這些信息和數(shù)據(jù)被泄密，公司往往會蒙受巨大經(jīng)濟損失。隨著信息技術進步，計算機和網(wǎng)絡已成為尋常辦公、通信交流和協(xié)作互動必備工具。但信息技術提高人們工作效率同步，也對信息安全防范提出了更高規(guī)定。當前大多數(shù)顧客對辦公網(wǎng)絡安全防范方式，依然停留在采用防火墻、入侵檢測、防病毒等被動防護階段。在過去一年中，全球98.2％計算機顧客使用殺毒軟件，90.7％設有防火墻，75.1％使用反間諜程序軟件；有83.7％顧客遭遇過至少一次病毒、蠕蟲或木馬襲擊事件，79.5％遭遇過至少一次間諜程序襲擊事件。而國家計算機信息安全測評中心數(shù)據(jù)顯示：機密資料通過網(wǎng)絡泄漏導致?lián)p失單位中，其中被黑客竊取和被內(nèi)部員工泄漏，兩者比例為：1：99。這是來自于國家計算機信息安全測評中心一種數(shù)據(jù)，該調(diào)查顯示，互聯(lián)網(wǎng)接入單位由于內(nèi)部機密通過網(wǎng)絡泄漏而導致重大損失事件中，只有1%是被黑客竊取，此外99%所有是由于內(nèi)部員工故意或無意泄密行為所導致。在外設管理方面，有50%公司因USB使用不當而丟失數(shù)據(jù)。顧客可以隨意接入各類外設和移動存儲設備，帶走內(nèi)部資料。如：U盤、移動硬盤、手機/MP3/MP4、CF/MD/SD卡、數(shù)碼相機……這些外圍設備容量越來越大，但體積越來越小，無疑提高了效率，給工作帶來便捷。但在愉悅享有高科技產(chǎn)品帶來便利之時，也給信息安全帶來嚴重威脅，讓別有專心者有可乘之機。受利益驅(qū)使，也許會有內(nèi)部員工直接參加盜取重要信息數(shù)據(jù)行為，近年來，類似力拓“間諜門”泄密事件時有發(fā)生。近年來，數(shù)據(jù)安全保護模式正悄然發(fā)生變化，由老式PC終端系統(tǒng)或者網(wǎng)絡安全防護逐漸面向以數(shù)據(jù)為中心安全保護模式，如何防范內(nèi)部泄密事件，安心享用當代科技便捷？如何保護好公司智力資產(chǎn)，保持市場信息優(yōu)勢呢？是擺在每一種信息化公司面前重要而急迫課題。數(shù)據(jù)風險依照國際權(quán)威機構(gòu)Garnter調(diào)查數(shù)據(jù)表白，97%泄漏事件源自公司內(nèi)部：人員流失，以及任何故意或無意操作行為，或管理疏漏，均有也許對公司導致巨大經(jīng)濟損失。當前，基于公司內(nèi)部現(xiàn)存網(wǎng)絡流通一系列文檔，如果此類文檔外泄、擴散、丟失，很有也許導致競爭對手先于市場得到公司產(chǎn)品機密或者商業(yè)秘密，導致不可預計損失。依照對公司既有數(shù)據(jù)業(yè)務應用模式，來自公司內(nèi)部安全威脅和風險重要有如下幾類：數(shù)據(jù)泄密通道風險-U盤等移動存儲設備以及打印機等外部設備序號數(shù)據(jù)風險類型數(shù)據(jù)風險描述闡明1U盤等移動存儲設備丟失/被盜據(jù)記錄，高達80%以上公司發(fā)生過U盤丟失。若內(nèi)部人員隨意拷貝文獻必將導致內(nèi)部機密文獻泄密。2U盤等移動存儲設備交叉使用“輪渡”木馬病毒對于U盤等移動存儲介質(zhì)交叉感染危害非常嚴重。

3使用外部U盤等移動存儲設備對USB端口沒有集中管理，導致外部U盤也可以在內(nèi)網(wǎng)使用，無疑存在著較大泄密隱患。4外部人員惡意拷貝敏感信息同樣是由于對USB端口沒有集中管理因素，會導致外部來訪人員，在停留期間可以非常容易用U盤等移動存儲設備，拷貝敏感信息。5內(nèi)部人員惡意拷貝內(nèi)部機密資料如離職人員等，此類案件已屢見不鮮。4月，盧某擅自離職，并將某電器公司各類硅鋼片特性參數(shù)及計算參數(shù)表等三項技術資料電子文獻，拷貝到南海區(qū)松崗某電器廠，并任該廠技術負責人。6通過U盤等移動存儲介質(zhì)泄密事后追溯困難大某些公司，因缺少必要技術手段，使得使用者在內(nèi)部或者外部操作U盤時雖然進行違規(guī)操作，也無法有效審計和取證。7U盤等移動存儲介質(zhì)報廢管理不善對已損壞需要報廢涉密介質(zhì)，沒有實行集中銷毀，隨意亂扔和丟棄等，都在不同限度上存在泄密隱患。8文獻打印管控不力文獻打印如果沒有進行必要管控，將會導致幾乎每臺計算機終端都具備打印功能。9忽視紅外、藍牙、內(nèi)置MODEN、光驅(qū)、刻錄機等各類外部設備泄密一是內(nèi)部人員可以通過上述途徑，故意泄密；二是外部人員可以通過無線網(wǎng)絡信號接受網(wǎng)絡信息，導致泄密事件悄然發(fā)生。表1、U盤等移動存儲設備以及打印機等外部設備風險數(shù)據(jù)離線外發(fā)風險-移動辦公、效果展示、協(xié)作外發(fā)等應用場景序號典型安全風險應用場景描述1在制造業(yè)代工生產(chǎn)模式下，公司需要將設計資料發(fā)給外部代工公司進行生產(chǎn)制造。被合伙方故意或無意向外擴散、泄露；2公司把各種核心產(chǎn)品文檔、內(nèi)部資料交給業(yè)務人員出差交流以及演示使用。被外出人員故意或無意向外擴散、泄露；3產(chǎn)品項目投標活動中，公司往往需要將標書發(fā)給招標方開展有關活動。被招標方故意或無意向外擴散、泄露；4公司將其設計成果提交給客戶使用。被使用方故意或無意向外擴散、泄露；5公司將有關資料、課件或軟件提交給顧客使用。被使用方故意或無意向外擴散、泄露；6公司內(nèi)部人員由于工作業(yè)務需要，需要將有關設計或者制作成果給故意向客戶進行效果演示，容易發(fā)生成果泄露狀況；7公司內(nèi)部人員往往需要將與工作內(nèi)容關于文獻帶回家進行工作，需要既滿足以便工作規(guī)定，又能防止數(shù)據(jù)泄露。表2、數(shù)據(jù)離線外發(fā)風險-移動辦公、效果展示、協(xié)作外發(fā)等應用場景數(shù)據(jù)內(nèi)部流轉(zhuǎn)風險-部門之間、分公司之間數(shù)據(jù)互換和流轉(zhuǎn)序號數(shù)據(jù)安全問題數(shù)據(jù)安全問題所帶來后果1身份認證強度未經(jīng)授權(quán)人員查看沒有權(quán)限文檔；2合理訪問授權(quán)權(quán)限不合理授權(quán)控制會導致文獻“擴散傳播”；3內(nèi)部積極泄密、內(nèi)部人員積極故意泄密；、內(nèi)部人員被動無意泄密；4泄密方式監(jiān)測通過拷貝、另存、打印等方式保存文獻副本；5外部非法竊取非法惡意人員通過網(wǎng)絡集中批量竊取內(nèi)部資料6存儲設備丟失、內(nèi)部人員惡意拆卸硬盤等存儲設備；、移動出差辦公意外將筆記本電腦遺失；、筆記本維護人員故意將數(shù)據(jù)泄露出去；7文檔過期使用1）、離職人員將存儲機密資料筆記本帶走；2）、暫時人員離開內(nèi)部環(huán)境后仍能使用資料；8使用范疇限制、文獻需要保證在一種部門區(qū)域內(nèi)使用；、文獻需求保證某一臺固定終端上使用；9文檔意外損壞備份機制、因意外掉電或者設備破壞導致文獻損壞；、因不符合正常操作流程導致文獻損壞；、防止員工離職后惡意刪除電腦文獻；10文檔有序歸檔受保護文檔類型需要集中備份存儲，并且容易進行還原操作；11文檔安全審計記錄文獻產(chǎn)生、使用到銷毀整個過程行為。表3、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風險-部門之間、分公司之間數(shù)據(jù)互換和流轉(zhuǎn)應用服務接入數(shù)據(jù)安全風險-分支機構(gòu)、暫時人員、網(wǎng)絡黑客、移動辦公人員等不同類型人員對公司內(nèi)部應用服務安全接入，例如OA、郵件服務、文獻集中存儲服務器等。序號典型應用場景數(shù)據(jù)安全風險描述1分支機構(gòu)分支機構(gòu)可以通過不同形式網(wǎng)絡迅速接入到公司內(nèi)部網(wǎng)絡，從而進行數(shù)據(jù)安全互換；2暫時人員在以便暫時人員加入內(nèi)部團隊工作同步，需要控制暫時人員接入內(nèi)部網(wǎng)絡安全時效性以及使用內(nèi)部資源訪問權(quán)限；3網(wǎng)絡黑客需要防止網(wǎng)絡黑客人員對內(nèi)部計算機終端或者應用系統(tǒng)襲擊訪問，導致數(shù)據(jù)集中泄露；4移動辦公移動辦公人員往往攜帶NoteBook、IPAD、Mobile等便攜式設備進行內(nèi)部文獻審批，郵件往來等業(yè)務；5離線調(diào)試/演示制造型公司由于業(yè)務需求，普通需要對離線控制終端電腦進行程序或者參數(shù)調(diào)試或者演示，因而既要滿足此種狀況下離線安裝布置和控制需要，同步也要可以將數(shù)據(jù)進行有效保護；表4、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風險-部門之間、分公司之間數(shù)據(jù)互換和流轉(zhuǎn)對重點部門核心數(shù)據(jù)進行安全加固防護-例如三維設計、圖紙工藝等當代公司普通使用文獻服務器、郵件服務器、OA應用服務器等業(yè)務應用系統(tǒng)，工作數(shù)據(jù)統(tǒng)一集中存儲于這些服務器之中，其安全保護力度需要更加具備針對性并保證可用性。重點部門核心數(shù)據(jù)往往具備在固定團隊和一定范疇內(nèi)流通明顯特點，并且這些數(shù)據(jù)普通也涉及到公司核心競爭力，因而需要從存儲、使用、網(wǎng)絡三個層面全方位予以進行安全分層、安全區(qū)域保護。上述風險分析中可以看出數(shù)據(jù)在使用、傳播、存儲過程中最容易浮現(xiàn)安全隱患。數(shù)據(jù)安全要立足于顧客終端，并延伸至網(wǎng)絡，從數(shù)據(jù)安全源頭抓起，才干從主線上解決安全問題，才干做到有放矢，更具針對性和前瞻性。DLP4.0解決思想虹安公司針對公司數(shù)據(jù)保護類型重要限度，提出以數(shù)據(jù)特點為設計原則，以安全風險為驅(qū)動，以模塊化設計為思想，以服務客戶為目的整體安全解決方案。詳細分析客戶管理模式和業(yè)務流程，評估存在數(shù)據(jù)泄漏風險，并在客戶既有業(yè)務系統(tǒng)基本之上，提供針對性安全解決方案，協(xié)助公司顧客改進和規(guī)范客戶數(shù)據(jù)風險管理體系。如下表圖所示。圖、數(shù)據(jù)安全產(chǎn)品整體設計理念示意序號數(shù)據(jù)安全風險相應數(shù)據(jù)安全產(chǎn)品安全解決思想及手段描述1數(shù)據(jù)泄密通道風險U盤外設安全管控采用設備訪問控制、數(shù)據(jù)加密和安全審計等手段，針對每一類外設設立控制方略，保證終端硬件完整性，提供數(shù)據(jù)安全互換通道。2數(shù)據(jù)離線外發(fā)風險文獻外發(fā)控制管理適應公司業(yè)務外協(xié)合伙和數(shù)據(jù)集成共享數(shù)據(jù)資產(chǎn)保護需要，提供數(shù)據(jù)加密、身份認證、訪問控制等多層安全服務，有效防止外發(fā)文獻擴散傳播泄露。3數(shù)據(jù)內(nèi)部流轉(zhuǎn)風險文檔安全管理系統(tǒng)采用文獻透明加密思想，結(jié)合以數(shù)字證書為核心顧客身份認證，運用文獻訪問授權(quán)和控制機制，全過程監(jiān)測數(shù)據(jù)使用狀態(tài)，并形成詳盡安全審計日記供事后跟蹤。4應用服務接入數(shù)據(jù)安全風險基于PKI/CA體系數(shù)字證書認證機制結(jié)合密碼口令、硬件USBKEY、數(shù)據(jù)軟證書、合同握手、安全標記等不同手段保證應用服務接入唯一合法性以及可控性。5對重點部門核心數(shù)據(jù)進行安全加固防護數(shù)據(jù)安全區(qū)域防護采用成熟安全設備隔離、存儲隔離、應用隔離、網(wǎng)絡隔離等終端多重安全隔離技術，在個人終端存儲設備上構(gòu)建起數(shù)據(jù)安全區(qū)域和和非數(shù)據(jù)安全區(qū)域。有效解決安全性與易用性之間矛盾。6其他層面數(shù)據(jù)安全風險可以針對虛擬化應用數(shù)據(jù)、瀏覽器呈現(xiàn)數(shù)據(jù)等安全風險防護解決方案虛擬化應用數(shù)據(jù):在終端基本上構(gòu)建一種或者各種虛擬桌面，作為內(nèi)部網(wǎng)絡以及云端安全接入端點。瀏覽器呈現(xiàn)數(shù)據(jù)：保護應用系統(tǒng)以頁面形式呈現(xiàn)機密信息可看但不被盜用，并在不變化既有應用系統(tǒng)以及重新配備訪問權(quán)限前提之下，針對不同人員隱藏/顯示核心字段信息，解決重要信息在IT業(yè)務系統(tǒng)中安全傳播問題。表5、數(shù)據(jù)安全風險、安全產(chǎn)品、安全解決思想相應關系DLP4.0系統(tǒng)安全架構(gòu)圖1、虹安DLP數(shù)據(jù)泄露防護系統(tǒng)安全架構(gòu)虹安DLP系統(tǒng)采用基于B/S+C/S控制和管理模式，結(jié)合安全功能執(zhí)行與安全控制方略分離思想，使得系統(tǒng)安全控制功能執(zhí)行更加有效，安全控制方略管理更加高效。圖2、虹安DLP系統(tǒng)軟件架構(gòu)示意圖虹安DLP數(shù)據(jù)泄露防護平臺采用開放式體系構(gòu)造可擴展安全管理理念，簡化了所有規(guī)模組織風險與合規(guī)性管理統(tǒng)一性和效率。平臺從辦公文檔、設計圖紙和數(shù)據(jù)使用環(huán)境隔離兩個核心層面進行防護，采用認證、加密、標簽、審計、內(nèi)核驅(qū)動、沙箱、還原、訪問控制、應用防火墻等技術，對公司機密文檔、U盤外設、外發(fā)文獻、瀏覽器應用、移動存儲設備、筆記本計算機、應用系統(tǒng)機密信息進行控制與保護，從而構(gòu)建保護公司數(shù)據(jù)完善立體縱深防御系統(tǒng)。通過數(shù)據(jù)安全平臺，可以輕松協(xié)助公司實現(xiàn)數(shù)據(jù)安全應用和管理。集中平臺管理多角色訪問控制技術:系統(tǒng)維護、安全方略、安全審計三權(quán)分立；統(tǒng)一安全框架:統(tǒng)一管理終端、數(shù)據(jù)、行為、設備安全防護，制定適合管理需要方略Web單一界面：整合多層次體系構(gòu)造、強大安全方略設立、顧客及終端安全狀態(tài)；靈活布置應用按需添加：分層提供服務、功能組件模塊化應用按需添加；系統(tǒng)廣泛兼容：與Windows域無縫集成，兼容主流殺毒軟件，全面支持WIN7及64位操作系統(tǒng)；C/S+B/S架構(gòu)：廣泛適應于移動辦公、異地管理、暫時接入等使用場景；DLP4.0解決效果圖3、數(shù)據(jù)安全解決整體解決方案效果示意圖DLP4.0解決方式基于PKI/CA體系身份鑒別圖4、基于于PKI/CA體系顧客身份訪問認證嚴謹顧客身份訪問認證：客戶端登錄使用時，先在服務器端做身份認證，當確以為公司合法顧客時，會針對每人頒發(fā)一種證書。每次登錄時，需要確認是合法顧客，才干訪問服務器以及安全文獻。數(shù)據(jù)透明加密保護高強度數(shù)據(jù)透明加密保護：在顧客遠程終端上，對需要保護文檔進行一次一密高安全性加密方式，遵從國家密碼管理部門批準加密算法加密文獻內(nèi)容，只有指定授權(quán)顧客密鑰才干解密文獻。并用同步實現(xiàn)對文獻簽名，保證文獻保密性，真實性和不可篡改性，同步滿足桌面云應用辦公數(shù)據(jù)加密性能規(guī)定。依照不同安全保護規(guī)定，可以靈活選取不同透明加密保護方式，針對內(nèi)部文檔安全流轉(zhuǎn)采用文獻透明加密保護方式，而針對重要部門核心數(shù)據(jù)則采用磁盤透明加密技術。數(shù)據(jù)安全區(qū)域隔離針對重點部門核心數(shù)據(jù)和暫時接入內(nèi)部網(wǎng)絡設備實行數(shù)據(jù)安全加固方式進行保護。DLP可以在終端計算機上構(gòu)建安全區(qū)域，以此作為接入內(nèi)部資源，以及存儲下載至終端內(nèi)部敏感數(shù)據(jù)。同步在內(nèi)部重要部門網(wǎng)絡上，靈活建立以網(wǎng)絡安全區(qū)域為管理對象保密子網(wǎng)，不同部門所形成安全保密子網(wǎng)可以依照公司方略設立和調(diào)節(jié)進行數(shù)據(jù)連通訪問。數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離管理規(guī)范，將計算機存儲設備提成不同區(qū)域，控制和審計各區(qū)域間數(shù)據(jù)流向，結(jié)合外設和網(wǎng)絡管控，限制數(shù)據(jù)使用范疇，構(gòu)建安全保密子網(wǎng)以及各安全子網(wǎng)連接安全網(wǎng)絡。系統(tǒng)采用安全穩(wěn)定磁盤透明加密技術，加密全盤或者分區(qū)數(shù)據(jù)，防護存儲設備丟失導致數(shù)據(jù)泄密。針對公司應用服務器安全保護，可以將需要保護應用服務器集群納入到數(shù)據(jù)安全區(qū)域之中，通過一定安全接入認證或者布置安裝了數(shù)據(jù)安全保護程序終端計算機才可以正常接入到公司重要應用服務器中。靈活人員訪問權(quán)限靈活調(diào)節(jié)人員訪問權(quán)限設立：可以根據(jù)各行政部門來定義角色，這樣角色就同實際行政關系相相應，再依照不同部門職能，為相應角色配備安全方略組合，控制顧客權(quán)限（指定進程、數(shù)據(jù)和文獻訪問和使用權(quán)限、移動存儲設備使用權(quán)限、文獻外發(fā)權(quán)限等），讓每個下屬公司每個部門，甚至細分到每個人，都具備不同安全保護權(quán)限。在線、離線多應用模式方略切換：方略配備時，可覺得同一顧客（組）授權(quán)在線和離線兩種方略。當客戶端與服務器斷開連接時，自動切換至離線狀態(tài)。例如方略配備為：在線狀態(tài)時，對加密文獻有讀，寫權(quán)限；離線狀態(tài)時，對加密文獻有閱讀權(quán)限，不容許拷貝，截屏。離線時間可按照詳細需求進行設立。基于“三權(quán)”分立構(gòu)建安全管理體系：對系統(tǒng)管理權(quán)限劃分細粒度高。默以為三種權(quán)限：日記管理員，系統(tǒng)管理員和普通管理員。另一方面可依照公司內(nèi)部需要，自行增長管理員權(quán)限。例如：超級管理員，可以設定二級管理員（可多人不同分工），授權(quán)其只容許設定其她人員權(quán)限及方略，但不容許讀取后臺操作日記。全面外設管控移動存儲U口管控圖5、U盤等移動存儲設備安全管控U盤等移動存儲設備管控：客戶端使用U盤，初次使用時，需要在服務端進行注冊。注冊時區(qū)別“內(nèi)網(wǎng)專用模式”和“內(nèi)外網(wǎng)通用模式”；兩種模式下，匹配使用權(quán)限方略可以針對個人設定，也可以指定為單個移動存儲設備。外設及端口管控圖6、終端外設及其端口管控種類涵蓋全面終端外設管控：對外設可按照在線和離線兩種模式進行控制，并有使用日記記錄；打印留有副本可下載。文獻發(fā)送管理文獻發(fā)送分為內(nèi)發(fā)和外發(fā)兩種，兩種發(fā)送都可以設定審核員，只有審核通過后才可以發(fā)送，內(nèi)發(fā)普通可以不解密發(fā)送，外發(fā)已加密文檔，審核通過可以解密為明文發(fā)送。外發(fā)文獻可已設定生命周期限制，如：一段時間內(nèi)可以打開，過后就無法產(chǎn)看；或者打開N次后文獻即失效。在內(nèi)部避免審核員繁瑣操作，可進行白名單設定，對于白名單可以直接發(fā)送。對于高層人員，可以授予解密權(quán)限，在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下：圖7、文獻發(fā)送管理示意默認狀況：DLP系統(tǒng)提供不同部門之間文檔是不可以互相查看。內(nèi)發(fā)審核：公司不同部門之間文檔需要互通時，必要通過一定審核機制。依照第一審核人在線狀況，可以靈活指定一種暫時審核人，以接替第一審核人審核工作。第一審核人可以收回暫時審核人審核權(quán)限。外發(fā)審核：外發(fā)審核工作流程與內(nèi)發(fā)類似，同樣可以指定暫時審核人。例外狀況：1）、針對領導等可信人員可以配備文獻白名單或者設立密文查看權(quán)限方略，接受或者查看任何部門密文文獻均不需要通過審核流程。2）、經(jīng)常向外部固定合伙伙伴進行郵件往來時，可以將客戶郵箱聯(lián) 系方式制作成郵件白名單，當向此郵件地址發(fā)送郵件時，自動解密附件。3）、由于工作業(yè)務性質(zhì)因素，需要同客戶頻繁進行文獻往來時，可以配備自動審核方略，外發(fā)給客戶文獻自動解密，但同步會有詳細操作日記記錄，并且保存發(fā)送文獻副本以作事后追蹤審計。 4）、為了以便授權(quán)顧客進行加密文獻解密，DLP系統(tǒng)提供一種直接通 過“右鍵菜單”形式積極解密功能，而不需要通過其他解密流程。移動辦公：公司領導或者普通員工外出辦公，既需要解決公司內(nèi)部加密受控文檔，要不可以像公司內(nèi)部同樣以便地進行數(shù)據(jù)安全保護程序。針對這種移動辦公數(shù)據(jù)安全保護規(guī)定，DLP系統(tǒng)提供一種簡便有效移動數(shù)據(jù)安全解決方案，使用者只需要將裝載有安全保護程序U盤插入終端設備后，就可以輕松實現(xiàn)數(shù)據(jù)安全保護，避免麻煩安裝布置和安全方略配備過程，進一步提高使用者安全應用體驗效果。文獻外發(fā)控制圖8、外發(fā)文獻全方位保護和全周期管理外發(fā)文獻全方位保護和全周期管理：對外發(fā)送文獻可以依照需要制作為可控文獻發(fā)送。例如：指定客戶某臺機器（或者U盤）閱讀文獻，設定閱讀時間為一周（或者只能打開3次），不容許打印和復制文獻內(nèi)容。豐富認證方式（誰可以使用）提供適合不同安全強度外發(fā)文獻使用認證方式，例如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡認證等，并且可自由組合使用認證方式。限制使用范疇（在哪里使用）配合在線和離線認證模式，可以實現(xiàn)限制外發(fā)文獻在固定終端上、單位局域網(wǎng)內(nèi)、廣域互聯(lián)網(wǎng)中使用，以滿足不同使用場景。使用權(quán)限控制（如何被使用）使用權(quán)限：限制文獻只讀、可編輯、截屏、打開次數(shù)、另存為等；有效期限：限制文獻打開時長、打開時間段、自動銷毀等；使用版權(quán)：打印外發(fā)文獻時，可以添加單位版權(quán)水印信息；安全日記審計（何時在使用）記錄所有顧客文獻外發(fā)操作日記，泄密事件發(fā)生后可跟蹤追溯。安全日記審計圖9、全面而詳盡安全日記審計全面而詳盡日記記錄：對客戶端操作行為以及U盤等外設設備使用均有詳細日記記錄。可以追溯某個特定人員對某個文檔操作。數(shù)據(jù)備份恢復安全系統(tǒng)迅速備份和恢復：提供備份和恢復系統(tǒng)數(shù)據(jù)功能，在系統(tǒng)升級過程中，能實現(xiàn)不同版本之間數(shù)據(jù)遷移。文獻意外狀況安全保護：對所有加密操作，都可以配備備份保護，并依照需要配備實時更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等因素損毀。備份服務器可以同DLP服務器集成布置，也可以使用專用文獻服務器分別布置，用大容量文獻服務器來滿足海量存儲需求。DLP4.0應用布置方案工作方式虹安DLP系統(tǒng)架構(gòu)為C/S+B/S架構(gòu)，由服務端、客戶端兩大某些構(gòu)成。其中管理員在任何地方均可通過WEB方式進行DLP服務器系統(tǒng)設立、方略維護、日記審計等工作。而DLP客戶端程序自動與DLP服務端程序通信連接，接受來自于服務端安全控制方略，以及上傳顧客操作日記記錄等內(nèi)容。三權(quán)分立管理模式1、系統(tǒng)管理員：進行DLP系統(tǒng)服務端各種參數(shù)設立和狀態(tài)維護，例如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權(quán)注冊信息、文獻備份、郵件中轉(zhuǎn)服務等參數(shù)信息。2、方略安全員：負責U盤、外設、文檔、郵件白名單、審核人員等與文檔安全保護關于方略維護。為了方略維護和管理以便，也可以設立某些部門方略安全人員。3、安全審計員：擔當客戶端文檔操作日記和服務端管理人員操作日記審計角色。與域控管理相結(jié)合將域控服務器人員列表迅速導入DLP系統(tǒng)顧客管理模塊中，實現(xiàn)DLP顧客與域控顧客管理服務相結(jié)合，減輕IT維護管理人員工作復雜度，從而提高工作效率。DLP系統(tǒng)服務端服務端采用伸縮性和可移植性非常好JAVA語言編寫和構(gòu)建，既可以安裝布置在普通WINDOWS服務器中，又可以將植入硬件服務器中。DLP服務器重要進行安全方略管理、權(quán)限管理、系統(tǒng)管理、部門及顧客管理等系統(tǒng)重要功能；此外可以依照公司實際安全需要和成本考慮單獨布置文獻備份服務器來存儲備份加密文獻。DLP系統(tǒng)客戶端終端顧客需安裝虹安DLP系統(tǒng)客戶端程序，在登錄Windows操作系統(tǒng)桌面同步自動進行DLP系統(tǒng)身份認證工作，認證通過后依照服務端設立安全控制方略，便可以使用擁有權(quán)限數(shù)據(jù)資源，整個過程基本上由程序自動完畢，無需顧客參加。圖10、虹安DLP泄露防護系統(tǒng)工作方式示意圖布置方式圖11、DLP數(shù)據(jù)泄露防護系統(tǒng)平臺布置解決方案布置備注：圖11中“紅色虛框”即為方案中所涉及數(shù)據(jù)安全加固某些。內(nèi)部布置方式建議內(nèi)部計算機終端使用在線方略方式來安裝布置，各終端可以實時接受或者更新DLP服務器設立各種方略，涉及加密方略以及某些全局性控制方略。如果網(wǎng)絡浮現(xiàn)短時間故障時，系統(tǒng)提供針對這種場景離線自動切換功能，保證業(yè)務正常運營不受影響。外部布置方式依照公司外出人員能否進行以便網(wǎng)絡連通來看，重要有如下幾種方式靈活布置方式：、外出員工可以正常網(wǎng)絡連接針對這種類型外出辦公場景，DLP數(shù)據(jù)泄露防護系統(tǒng)提供靈活網(wǎng)絡連接方式，涉及客戶端動態(tài)IP支持、通過有線或者無線公網(wǎng)連接方式支持等。、員工不可以進行正常網(wǎng)絡連接針對這種類型外出辦公場景，DLP數(shù)據(jù)泄露防護系統(tǒng)提供各種方式離線方略控制，顧客可以自行設立離線方略生效時間，例如月、日、小時等，此外對于離線時間過期后，提供一種離線方略時間補時授權(quán)文獻，外出終端顧客可以以便導入些授權(quán)文獻就可以輕松實現(xiàn)離線方略延時授權(quán)。、暫時需要進行數(shù)據(jù)安全保護針對離線不連網(wǎng)、移動辦公性較強以及暫時性保護等應用場景規(guī)定， DLP數(shù)據(jù)泄露防護系統(tǒng)提供簡樸以便安全保護方案，使用者只需要將 事先制作好U盤插入計算中就可以輕松實現(xiàn)數(shù)據(jù)安全保護，避免了其他廠家需要進行繁雜安所有署以及設立設立過程，進一步提高了工作效率和使用者安全應用體驗。實行環(huán)節(jié)DLP數(shù)據(jù)泄漏防護系統(tǒng)服務端，用于下發(fā)各種安全加密方略,并進行身份認證。登錄服務端后臺Web管理界面，依照公司行政組織構(gòu)造，建立部門分組，按照管理規(guī)定，為部門綁定外設管理方略和文檔加密方略?？蛻舳藷o需登錄后臺管理，即可在管理界面當中自行注冊顧客并下載安裝客戶端。域管理構(gòu)造則可用域方略自動推送客戶端安裝。安裝完畢后，客戶端所有安全方略和加密操作等，均由服務端自動下發(fā)，在后臺執(zhí)行，對顧客完全透明，不變化顧客操作習慣。外出人員筆記本電腦可通過服務端配備離線方略，讓外部使用資料也受到保護。內(nèi)部敏感數(shù)據(jù)如果需要外發(fā)給陌生地址，需由管理者審核通過并記錄保存后，方可進行發(fā)送。所有加密操作，管理員都可以配備明文備份保護，并實時更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰損毀。但從服務器取出明文備份文獻，或接受外部發(fā)來明文文獻，在保存到本地時就立即被加密保護。方案特色全面外控支持功能：支持既有所有已知外設和移動存儲設備，如：藍牙、打印機、數(shù)碼相機、紅外、光驅(qū)、串口、并口、攝像頭、刻錄機、SD卡槽、無線上網(wǎng)卡、U盤、無線網(wǎng)卡等等。系統(tǒng)內(nèi)核驅(qū)動技術：采用Windows系統(tǒng)底層控制，同步實現(xiàn)文獻加密和磁盤加密過濾驅(qū)動兩種不同加密方式，控制響應速度極快，占用系統(tǒng)資源低。系統(tǒng)客戶端具備防卸載、防刪除和自動修復等功能。推送安裝布置形式：通過后臺統(tǒng)一安裝客戶端，客戶端顧客感覺不到安裝過程，迅速且易于布置；系統(tǒng)擴容簡樸以便：1)、公司新增長分支機構(gòu)時，可通過同級服務器機制直接導入到新增分支機構(gòu)應用服務器，布置快捷以便；2）、公司總部以及分支機構(gòu)新增客戶端應用時可直接連接到就近服務器；同級服務器機制輕松解決新增分支機構(gòu)不斷擴展安全需求；3）、數(shù)據(jù)庫備份遷移：支持備份數(shù)據(jù)庫表、數(shù)據(jù)庫表組及整個數(shù)據(jù)庫；不同版本之間可支持遷移備份，以便服務端升級后迅速恢復服務端；數(shù)據(jù)庫支持遠程備份。文獻流轉(zhuǎn)按需授權(quán)：1）、領導文獻別人無法查看；2）、領導可以查看所有人文獻；3）、部門內(nèi)部文獻可互相查看；4）、部門經(jīng)理文獻只容許其領導及老板查看；5）、HR等后勤保障公共部門文獻各部門均可以查看；6）、容許上級看下級文獻，不容許下級看上級文獻；融合管理：1）、與第三方交互文獻需要通過授權(quán)或自動審核記錄副本后方能外發(fā)；2）、重要部門外發(fā)文獻時通過領導審核，部門領導可指派多名候選審核者，并支持設立后選審核人優(yōu)先級,當高優(yōu)先級審核員外出時，系統(tǒng)自動分派審核任務到次優(yōu)先級審核員，依次類推；3）、文檔密級較低部門可通過配備自動審核功能，無需人工干預且有副本記錄，必要時可提取副本進行核查，保證快捷又安全；4）、內(nèi)部各職能部門之間暫時共享文獻可通過文檔內(nèi)發(fā)管理來實現(xiàn)；靈活便捷：1）、當客戶端在公司總部或各分支構(gòu)造使用時，可按需配備在線方略；2）、具備離線使用功能，某些人員需要外出辦公時可暫時授權(quán)離線方略；如：攜帶儲存有重要或機密文檔出差時可配備離線方略；3）、離線終端各種操作均會形成日記，并在連接到服務器時自動上傳日記文獻，以便后續(xù)審核；簡樸易用:1）、加解密對顧客透明，顧客感覺不到加解密過程；2）、不需要對顧客進行專項培訓；3）、不變化顧客操作習慣；遠程支撐：1）、文獻損壞：發(fā)現(xiàn)需要文獻損壞時，可以連接至備份服務器進行恢復；2）、密文解密：當外發(fā)文檔需要解密時，可通過VPN連接至DLP服務器進行外發(fā)審核，也可把文獻通過網(wǎng)絡或其他方式發(fā)回公司，解密后再回傳；三權(quán)分立：1）、超級管理員擁有所有權(quán)限，普通管理員無操作日記權(quán)限，日記管理員進行日記及副本安全審計，規(guī)避“監(jiān)守自盜”行為，老板放心，管理員省心；2）、基于角色訪問控制技術，可以新建不同角色并分派各種權(quán)限；方案價值防止任何形式和途徑機密外泄DLP系統(tǒng)采用透明加密保密存儲方式，全面管控計算機移動數(shù)據(jù)存儲設備、外設資源、網(wǎng)絡等方面泄密途徑，全程監(jiān)測數(shù)據(jù)應用過程中泄密方式(例如打印、截屏、另存為、拷貝等)。有效解決公司內(nèi)部積極或者被動泄密，公司外部非法入侵竊取，文檔安全協(xié)作共享安全、文檔移動離線保護、存儲設備丟失防護和移動介質(zhì)設備安全管控等方面文檔安全問題。防止任何形式和途徑機密外泄，安全保護公司數(shù)據(jù)安全。最大限度消除員工抵觸情緒1、文檔從產(chǎn)生、應用、傳播到刪除銷毀生命周期內(nèi)所涉及加密操作均由系統(tǒng)自動完畢，顧客無需進行任何干預，不變化其使用文檔操作習慣，并且也感覺不到加密動作存在，對顧客來說完全透明。2、基于遠程安全方略管控方式，釋放顧客對安全控制辦法抵觸情緒。3、針對文檔內(nèi)部流轉(zhuǎn)、外部發(fā)送、離線辦公等業(yè)務場景設立靈活例外解密方略，最大限度上減少對顧客工作影響。全面釋放管理維護人員壓力1、客戶端程序采用網(wǎng)絡推送安裝方式，使得IT維護人員無需親臨現(xiàn)場指引安裝，為公司和個人節(jié)約了寶貴人力資源成本和時間精力。2、基于B/S管理架構(gòu)設計以及與域控服務相結(jié)合機制，可以協(xié)助IT維護人員在任何地點、任何時間、復雜網(wǎng)絡環(huán)境下都可以迅速精確地管理各種安全控制方略。3、控制方略模板化、顧客與方略關聯(lián)綁定最大化和全局化等方面設計，大大簡化了安全控制方略配備復雜限度，同步也將方略配備出錯率降至最低水平。4、IT維護人員可覺得終端使用者配備文檔備份方略，避免因各種意外因素導致數(shù)據(jù)損壞丟失問題。此外，IT維護人員也可對DLP系統(tǒng)核心服務數(shù)據(jù)庫和主密鑰信息進行備份，系統(tǒng)崩潰損毀后可迅速進行恢復工作，保持業(yè)務持續(xù)性。5、同級布置機制，使得IT維護人員在完畢公司總部系統(tǒng)配備后，將有關配備導入到公司各分支機構(gòu)DLP服務器中，實現(xiàn)配備同步并且迅速布置效果。6、多級服務器布置機制，上級單位可查看下級服務器上傳操作日記，安全審計記錄和顧客構(gòu)造列表，讓IT安全管理者全局掌控公司信息安全態(tài)勢。持續(xù)減少公司信息安全成本1、兼容公司主流應用系統(tǒng)，如ERP、OA、SVN等，讓公司經(jīng)營者無需更改任何應用系統(tǒng)即可實現(xiàn)與DLP系統(tǒng)相結(jié)合。2、適應公司IT架構(gòu)成長性，解決不同規(guī)模公司安全需求。3、統(tǒng)一安全平臺，可以與更多其他虹安安全產(chǎn)品聯(lián)動和配合。系統(tǒng)安全性數(shù)據(jù)加密基于內(nèi)核級數(shù)據(jù)強制透明加密，對數(shù)據(jù)和存儲位置雙重加密，保護在任何位置存儲數(shù)據(jù)及任何指定進程產(chǎn)生文獻，全方位保障數(shù)據(jù)絕對安全。實時透明加解密，操作過程透明，不影響顧客操作習慣?！ㄟ^文獻過濾驅(qū)動技術，實現(xiàn)進程和文獻強制透明加密，在文獻產(chǎn)生 時即被強制加密，在文獻使用（編輯、保存等）過程中進行跟蹤加密，以任何 方式泄漏出去文獻均為密文?！ㄟ^磁盤驅(qū)動技術實現(xiàn)全盤強制透明加密。支持當前業(yè)界領先128位、256位DES、3DES、AES、RC4加密算法，結(jié)合RSA公私鑰體系實現(xiàn)密鑰安全傳播，進行高強度數(shù)據(jù)加密同步，提高了加解密效率。SHA2、MD5摘要算法用于數(shù)字簽名，結(jié)合RSA公私鑰體系，防止文獻被篡改、偽造及未授權(quán)使用。密鑰管理，基于PKI/CA認證體系，銀行交易級別密鑰管理，是當前最安全密鑰管理體系，對密鑰產(chǎn)生、存儲、分派、使用和銷毀全過程進行有效管理，保證密鑰任何時期都是安全。端點控制廣泛覆蓋所有端點，控制數(shù)據(jù)泄漏途徑和方式，在數(shù)據(jù)泄漏之前，積極防御控制。終端端點控制：控制打印端口、傳真、截屏、USB端口等泄漏途徑；網(wǎng)絡端點控制：FTP、HTTP、Email、MSN等；存儲端點控制：外設驅(qū)動設備、便攜設備、PDA、移動存儲介質(zhì)（U盤）等。身份認證通過對密鑰和數(shù)字證書管理，來管理密鑰和證書相應顧客身份，對顧客進行生命周期全過程（注冊、注銷、恢復）管理，安全、可靠、有效。 1、基于PKI/CA原則密鑰和數(shù)字證書體系，銀行交易級別密鑰管理；2、USBKey硬件標記作為密鑰證書載體，結(jié)合密碼認證登錄；3、雙因子認證登錄，增強身份認證可信度；安全可靠1、密鑰管理及身份認證采用PKI/CA體系.支持當前業(yè)界領先128位、256位DES、3DES、AES、RC4加密算法，結(jié)合RSA公私鑰體系實現(xiàn)密鑰安全傳播，進行高強度數(shù)據(jù)加密同步，提高了加解密效率；2、通過加密文檔，即便被復制出去，也無法打開查看其內(nèi)容，不會導致機密泄漏。顧客正常操作也都是在加密狀態(tài)下進行，如果需要把文獻解密成明文，則需要授權(quán)或?qū)徍恕?、打印及內(nèi)外發(fā)文獻均可提取副本進行事后分析.惡意泄露有據(jù)可依；4、任何加密文檔均在備份服務器上備份明文，文檔損壞、掉電丟失數(shù)據(jù)、惡意篡改及惡意刪除重要、機密文獻，均可通過各自客戶端在本地或VPN方式遠程連接服務器進行，無后顧之憂；5、加密系統(tǒng)應用服務器崩潰后可使用離線方略正常工作，且通過備份機制迅速修復服務器環(huán)境，可通過冷備方式迅速解決服務器崩潰問題；系統(tǒng)自身安全身份認證：身份認證采用CA體系，為網(wǎng)銀級別安全，通過審核合法顧客才干接入DLP系統(tǒng)。密鑰管理：采用PKI體系密鑰管理，為當前業(yè)內(nèi)最安全密鑰管理模式。密鑰生成：支持分量密鑰、固定密鑰及隨機密鑰。在分量密鑰中，會依照分量及口令進行100多道復雜計算生成公司密鑰，由于每個客戶輸入分量和口令各異，則生成密鑰也各不相似；因而，實行虹安DLP數(shù)據(jù)泄漏防護系統(tǒng)任何客戶及虹安公司自身均無法解密其他公司密文。密鑰分派：在服務端生成密鑰后，服務端通過1024位RSA體系加密算法將加密過密鑰分派到各合法客戶端，保障了密鑰分派過程安全性。數(shù)據(jù)加密：數(shù)據(jù)加密采用128位和256位RC4及AES對稱算法，在保障加密強度前提下，更強調(diào)加密效率，將大幅度減少對客戶應用效率影響。應用程序保護文獻過濾驅(qū)動：實現(xiàn)進程和文獻透明加密，也可做全盤加密操作，文獻產(chǎn)生時即被強制加密，在文獻使用（編輯、保存等）過程中進行跟蹤加密，以任何方式泄漏出去文獻均為密文。進程保護驅(qū)動：防止進程被惡意終結(jié)，欺騙，注入襲擊等，同步避免內(nèi)存直接讀取漏洞。訪問控制驅(qū)動：對文獻和數(shù)據(jù)加以權(quán)限保護。設備外設保護設備文獻驅(qū)動：對移動存儲等文獻