数据防泄密产品建设方案

1、基于文件内容智能识别的数据防泄密建设方案北京北信源软件股份有限公司2015-10-15 通过一定的技术或管理手段，防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出 。(Dataleakageprevention,DLP) 2022/8/7基于网络的数据泄漏防御方案（NDLP) 基于终端的数据泄漏防御方案（HDLP)解决方案什么是数据泄漏防护（DLP）以文件内容智能识别为核心以企业内网为范围以终端、网络、邮件的数据防护为目标以检测、控制、警告、分析为手段VRV DLP：综合性智能化数据安全管理产品企业现状数据泄露现状数据泄漏其实很容易每400封邮件中就有一封包含敏感信息每50

2、份通过网络传输的文件中就有一份包含敏感数据每10个U盘中就有一个包含敏感信息数据防泄漏迫在眉睫在数据泄漏事件的调查统计中，有96%是因为内部员工无意识泄漏所致 数据保护正日益成为企业安全管理和风险控制的核心内容总部已部署内容过滤网关，对二级机构邮件及上网输出的数据进行检查，发现敏感内容就进行通报过滤网关二级机构 需要解决的问题：对Webmail进行检查，例如中石油邮箱、QQ邮箱、163邮箱、139邮箱等对邮件客户端进行检查，例如outlook、formail可检查邮件主题、正文、附件；发现敏感信息，需要阻断、提醒、并记录日志；端机信息防泄漏中石油现状VRV解决方案系统架构三大模块：DLP数据管

3、理平台终端安全管理服务器客户端DLP数据管理平台数据泄密场景展现Web proxyDNS技术源码设计图纸工程方案OAERP财务即时通讯邮件2-3层网关互联网边界区IT服务区通用业务区办公业务区高密生产区内部网络区终端区数据中心滥用外发分散三大难题：关键数据定位难数据泄密管控难有效数据分析难管控范围管控范围主要包括终端途径和网络途径：终端途径：移动介质、打印机、刻录机、文件共享和蓝牙等等网络途径：QQ、邮件、网盘或者论坛贴吧等等 滥用 外发数据外发01邮件对邮件主题、内容、附件进行敏感信息检查，发现泄密行为可阻断、提醒、记录02网盘对上传至网盘、云盘的文件进行敏感信息检查，发现泄密行为可阻断、提

4、醒、记录03IM对QQ聊天消息及发送文件进行敏感信息检查，发现泄密行为可阻断、提醒、记录CNPC、QQ、163、139、新浪、搜狐、Foxmail（ssl）、outlook（ssl）百度、新浪、QQ、360、华为、网易、金山、客户端QQWinXP / Win7 + IE 、Chrome、Firefox、360、搜狗外发数据防泄密流程敏感扫描智能识别引擎输出监视防护内容邮件:内容、标题、附件IM：聊天内容和上传的附件网盘：上传的附件邮箱：邮件客户端（foxmail、outlook）和Webmai（163、139、新浪、QQ邮箱、搜狐邮箱等）IM：QQ网盘：新浪、百度、QQ、360等提示是否阻断外

5、发操作提示是否允许外发提示是否加密外发（调用中石油文档加密系统）发现敏感内容记录审计阻断方式常见的文档类型：txt、office、WPS、pdf、zip、rar、7z支持关键字组合、支持正则表达式、支持模糊匹配支持文档嵌套发现敏感内容记录文件指纹标签泄密行为分析与审计滥用数据防泄密流程管控对象：移动存储介质、打印、刻录、FTP 和文件共享敏感扫描：常见的文档类型：txt、office、WPS、pdf、zip、rar、7z 支持关键字、 支持正则表达式、支持模糊匹配 支持文档嵌套 发现敏感内容记录文件指纹标签阻断方式： 提示是否阻断外发操作 提示是否允许外发 发现敏感内容记录审计 01敏感内容使

6、用监控02洞察重要数据资产分布 03关键数据流转追踪我们如何解决敏感信息分散的问题技术保障除支持基本的关键字、正则、指纹等识别技术，引擎附带了数据挖掘等智能算法，让发现更精确。采用国际先进的聚类和分类算法，轻松处理海量数据。自动收集分散在企业各处的敏感数据指纹库信息，覆盖台式机、笔记本、文件服务器等。安全策略可以预置不同条件选项，包括：数据分级、组织、用户、设备、网段、位置、应用、行为、时间等，能够快速设置满足监管与合规要求的安全策略，轻松实现数据泄漏防护管理的目的。先进的内容识别技术多维度安全策略自由组合高效的数据分类方法关键数据智能化归档基于文件内容智能识别引擎项目优势部署方式：在桌面安全

7、管理系统的服务器和客户端升级即可，升级过程对现有终端计算机用户不会产生影响，无需重新安装部署服务器和客户端，实施难度大大降低，实施效果得到保障。 兼容性：桌面安全管理系统的客户端在大港油田已经部署多年，客户端软件与终端上的其他软件兼容性较好，已经完全适应中石油的办公内网环境，不会与终端计算机上现有的其他软件发生冲突，且占用终端的资源不高；VRV DLP：北信源承建此项目优势人性化设计：北信源数据泄露防护系统在拦截敏感信息的逻辑上设计更为合理和人性化，不是简单的直接阻断，而是会给终端用户一个提示和告警，让用户自主选择和判断该文件是否是涉密文件，是否允许通过互联网外发。 与现有功能集成：北信源数据泄露防护系统能够与现有的中石油主动加密工具集成，当检测到外发文件（比如外发邮件中的附件）含有敏感信息时，可以自动调用加密工具对外发文件加密，最大程度的保