数据与网络安全方案

1、 数据与网络安全方案数据防泄露系统 DLP(Data Leakage Prevention)介绍信息泄漏威胁内部未授权存取金融诈骗通讯欺骗数据泄密病毒笔记本被盗内部人员滥用网络拒绝服务蓄意破坏系统渗透通讯窃听活动窃听全球数据安全威胁现状分析85% 以上的企业发生过 “内部人员造成的”数据流失23% 的数据流失是由于恶意程序92% 的人员使用公司邮箱发送过核心数据55% 的人员使用自己的设备将企业数据带出办公场所 “超过90%的严重安全事件都是由于内部数据泄露造成的” -Gartner Inc.Data Loss 分析85% 的组织泄密是由于“内部人员”1 该类事件从 2004年开始以每年170

2、0%的速度增加2三分之一的人的身份存在安全风险3由于信息泄露造成的支出不断加大41Source: 2012 CSI/FBI Computer Crime and Security Survey2Source: A3Source: Privacy Rights Clearinghouse4Source: Ponemon Institute “2006 Cost of Data Breach Study”3CorporateCarO1棱镜门： 约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自Adobe Acrobat,ColdFusion外加其它未说明产品的源代码惨遭窃取。2Adobe事

3、件：美国中情局前职员爱德华斯诺登爆料：美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。全美最具知名度的专业体育、娱乐外加五百强企业拥有大量用户个人资料、信用卡号码以及其它个人身份信息，名单中涉及不少大牌，包括汤姆汉克斯等。泄密途径数据存储Data at Rest数据使用Data in Use数据传输Data in Motion数据存储数据使用数据存储Data at Rest数据使用Data in Use数据传输Data in MotionName_Ctrl+V数据传输数据存储Data at Rest数据使用Data

4、in Use数据传输Data in Motion2.0数据安全剪切、复制、黏贴、另存、删除、重命名、格式转换笔记本电脑、智能手机、USB机房、数据库、终端系统Email、QQ/MSN、FTP、 RSS、Tag、WiFi、Print 数据使用 数据传输数据存储数据安全漏洞数据防泄露系统功能亮点透明加密系统采用高效的256位多缓存加密算法，不改变终端计算机使用习惯，透明加密指定机密文件。分级加密管理员可以给每个终端设置级别，不同级别的终端生成的文件，互相保密。级别高的终端使用者，可以打开级别低的终端使用者生成的文件。解密审批当终员工需要外发文件时，可以选择解密申请，向管理员进行申请。管理员同意后，

5、员工才可以将文件以明文的形式外发。防泄密外发当员工外发重要文件时，可以向管理员申请外发，同时可以设置外发出去的文件的打开次数，打开时间，是否以只读形式打开等属性。解密UKey管理员可以使用UKey对文件进行解密，同时可以应用UKey修改文件的级别离线策略对于外带计算机，系统提供了人性化的离线策略。默认计算机离线后，可以使用加密文件为72小时。当需要延长加密文件离线使用时间时，需要向管理进行申请。Boss端对于企业的管理者，可以设置其终端为老板客户端，此类终端打开加密文件后，自动解密。文件备份对于所有加密文件，系统提供了高效的定时备份策略。管理员可以设置保留几天的备份的加密文件信息，也可以设置只

6、保留几个加密文件副本。日志审计对于一切的外发操作，系统都保留了完整的日志，供管理员查看。剪切板控制系统对于终端安全进程的剪切板进行加密，防止员工通过复制、粘贴的方法泄露数据。禁止截屏禁止终端使用者的截屏操作核心服务器隔离不装加密客户端的计算机，禁止访问核心服务器。主要功能之一:文件透明加密保护加密文档安全策略 只有正常安装并启动了“鼎御-数据防泄露系统”的客户端的用户才能使用加密文档加密文档加密文档加密文档外发文档打包自解压包加密文档客户端客户端自解压主要功能之二:外发文件控制实现效果图透明加密主动加密授权强制加密+主动授权内部组织结构密文外发明文外发合法离网脱机外部正常合作竞争对手窃密员工离

7、职拷贝内部不当行为系统漏洞失密设备丢失失控非法脱机密文上传密文下载密文上传密文下载OAPDMERPCRM 外发管理员内部合法外出外发出口合法出口非法出口第三方管理软件的集成授权信息核心重要数据业务部门管理部门其他非法操作结合虚拟化的部署方式实现方法（以下指部署在虚拟桌面中）编辑文本服务器控制台策略客户端TestTesttest#￥#原文本/新建文本编辑后文本通过加密算法和唯一密钥设置策略（控制台）-下发策略（至客户终端）终端用户对相应类型的数据（文档）进行操作，操作后产生的文件，经特定算法转换后，改变原有的类型。未安装客户端或者没有匹配密钥的用户无法识别这一类型的文件。和管理系统结合方式终端数

8、据防护数据库终端上传数据下载数据终端加密加密从上图中，不难发现，对于终端数据的处理，我们可从两处着手：一、数据上传到服务器前。二、是从数据库将数据导出到本地终端用户。常规情况，客户少有考虑数据库防护这块，用到最多的是第二种方式，简单称之为“落地加密”。在虚拟个性化的环境中 Product List数据与网络安全业务线数据防泄露与内网安全产品（纯软件）网络监控应用管理系统 NMA（NetworkMonitoring ApplicationManagement System.) 屏幕快照可以查看整个部门当前屏幕快照。屏幕日志系统可以每隔一段时间记录客户端的屏幕情况。管理员可以设置抓屏间隔以及抓屏质

9、量。远程屏幕协助管理员可以远程监看或者控制客户端的计算机。多屏墙管理员可以实时查看多个计算机的电脑屏幕，最大支持25屏同时监看。同时支持25个屏幕定时轮播。屏幕质量设置可以设置屏幕日志保存成图片的质量。也可以设置屏幕控制时的屏幕质量。模块价值企业的核心管理者可以通过对于客户端屏幕的多渠道记录与监看，可以很好的了解企业员工的工作状态。管理者也可以通过多屏幕墙来同时查看多个员工的屏幕的实时画面。针对企业计算机数目众多，所在地比较分散的情况，IT管理员通过远程协助功能，远程给员工处理日常计算机故障，大幅度提高IT管理员的工作效率屏幕管控1网址管控网址访问黑名单可以禁止访问添加在黑名单中的网址。网址访

10、问白名单仅允许员工访问白名单网址库中的网址。网址访问记录自动记录客户端访问的网站地址，同时管理人员可以方便的打开记录网址。违规网址访问报警当客户端访问违规网址时，管理机会即时提示报警。网址访问报表以饼状图、柱状图等方式生成网址访问报表。网址库更新支持在线升级海量网址过滤库。模块价值系统提供了网址的黑、百名单的访问控制功能。管理员可以禁止掉与工作无关的网站如淘宝网、开心网等网站。可以设置员工只允许的网站，比如企业网站，技术资料网站，行业营销网站等。可以设置设置网址访问控制的时间段，使得管理控制更加的人性化。对于员工违规访问的网站，系统提供了及时报警功能。管理员可以针对报警信息，做出及时的异常处理

11、。2流量控制可以设置企业内部网络的连接Internet网络的流量。包括总流量、上行流量和下行流量。实时流量查看管理者随时查看当前时间网络内客户端的外网访问的实时流量。包括实时上行流量、实时下行流量和实时总流量。历史流量可以详细记录员工任意时段的使用的外网流量。模块价值随着企业日常办公针对网络的依赖增强，网络带宽的合理利用已经是企业管理者比较重视的问题。系统提供了流量控制功能，可以分配给每个员工指定的网络带宽，可以保证企业网络带宽的有效利用。同时系统提供了实时网络流量和历史网络流量等多种查询方式，可以很好的查看、分析当前企业的网络资源利用情况。流量管控3网络使用控制管理员可以设置指定的计算机禁止

12、访问外网。非法IP接入报警可以发现网络内是否有非法（非授权）计算机接入，可对检测到计算机设置授权、非法、保护状态。IP地址过滤管理员通过设置IP地址范围设置，禁止对特定IP地址的访问。端口过滤管理员可以设置禁止员工访问的端口。网络隔离管理员可以设置任意计算机分组，分组内的计算机才可以互相访问网络。对于未经授权的计算机无法对于保护计算机进行网络访问。模块价值可以针对企业的实际情况，设置某个员工禁止使用互联网以及禁止使用互联网的时间段。对于非法接入的计算机，系统提供了及时报警功能。管理员可以第一时间了解企业内存在非法计算机接入，同时禁止非法接入的计算机对于内网计算机的访问。网络管控4程序管控程序访

13、问控制管理者可以设置员工禁止访问的程序。程序访问审计详细记录客户端程序使用日志。程序违规访问报警对违规程序使用行为进行自动报警。程序日志查询统计针对程序访问日志提供了灵活的查询统计功能。程序访问报表以饼状图、柱状图等方式显示程序使用信息。程序库升级支持在线升级海量程序过滤库。模块价值管理员通过程序日志，清晰的了解员工每天运行了什么程序，针对游戏、木马进行严格的控制，保证内网安全。5文件管控文件操作记录客户端会自动记录用户文档的操作路径、所在磁盘和所使用的文档编辑程序等，包括复制、剪切、重命名、删除、外发等动作。文件外发记录客户端会自动记录用户文档外发行为。包括QQ外发、USB外发、浏览器外发等

14、，同是可以记录外发的源文件。文件操作报表系统生成文件操作统计报表。文件外发控制禁止用户通过浏览器外发文件、禁止QQ外发文件、禁止U盘外发文件禁止拷贝文件到USB设备、禁止拷贝文件到共享目录、禁止拷贝文件到网络硬盘、禁止从USB拷贝文件到本地计算机、从限制USB设备拷贝文件的大小等等。模块价值管理员可以很清晰掌控员工的文件操作与外发行为，严格控制外发途径。支持外发文件完整的备份一份到服务器上，员工通过改名、压缩将文件外发也难以逃脱追查。6邮件管控邮件客户端发送记录详细记录FOXMAIL、OUTLOOK等邮件客户端发送邮件的信息。包括主题、收件人、内容、附件等。Web邮件记录详细WEB邮箱记录，如

15、网易、雅虎、QQ邮箱、新浪、搜狐等WEB邮箱发送的邮件，包括主题、收件人、内容、附件等。模块价值信息外发的管控已成为企业领导者比较注重的问题，大多数企业信息外发都是通过邮件方式进行。系统提供了邮件记录的功能，可精准的记录员工外发的任何邮件，包括邮收件人、邮件地址、内容和附件等信息。7设备管控禁用USB管理者可以禁止客户端的USB接口的存储功能。同时保证非USB存储设备的正常使用。U盘读写控制设置终端使用U盘的读权限和写权限。保密U盘管理员可以制作保密U盘，制作好后的U盘，只能在制定的计算机上使用。非授权计算机插入U盘不识别。禁用光驱禁止客户端使用光驱。禁止使用打印机禁止使用打印机。打印操作记录

16、记录打印机的使用信息。模块价值系统提供了常规IT设备的控制功能，对于员工的设备使用权限进行合理的控制8资产管控硬件资产管理管理者可以查询硬件资产统计报表，自动收集硬件资产的变更情况。软件资产管理管理者可以查询软件统计报表，自动收集软件的变更情况。资产异动报警当客户端软硬件资产出现变动时，管理端会即时报警。资产变更查询对于终端计算机硬件资产的变更情况，提供组合方式查询。杀毒软件检测管理员可以按计算机模式查看所有客户端的杀毒软件状况，包括是否安装杀毒软件、杀毒软件状态、杀毒软件版本号等。模块价值系统提供方便的软件硬件资产信息统计查询功能。可以将所有信息导出成EXCEL表格。提供了硬件资产变化报警功

17、能，可以很好控制企业计算机硬件资产流失。9系统运维管控文件分发管理员可以对远程计算机进行文件传送、可以自定义文件分发位置，支持多人传送。软件安装管理员可以对计算机实行远程推送安装软件。系统信息管理端可以查看客户端的系统信息。正在运行进程可以查看客户端正在运行的程序。Windows服务查看客户端的windows服务状况，可以设置WINDOWS服务端状态，如禁用、启用服务等。共享目录查看客户端的共享目录情况。磁盘信息查看客户端的磁盘信息，可以设置磁盘空间小于一定的磁盘大小时，系统及时报警。窗口信息查看客户端的窗口信息，管理与可以对与非常规窗口进行远程关闭。禁止修改MAC管理员可以设置禁止修改终端的

18、MAC地址。禁止使用任务管理器管理员可以设置终端禁止使用任务管理器。禁止使用添加删除程序管理员可以设置终端禁止使用添加、删除程序。禁止使用注册表管理员可以设置终端禁止使用注册表。开始菜单控制管理员可以设置隐藏终端开始菜单中的运行、搜索、网上邻居等选项。降低终端用户的使用权限，大大降低了终端的故障率。系统盘还原软件提供了系统盘还原功能保护，如客户端计算机每次重启系统盘都恢复原始状态。模块价值企业内部常规计算机问题都是来源于计算机的非权限管控使用。系统提供了详尽的权限策略和分析工具，可以很好的降低计算机的故障率，大幅度提高员工的工作效率。10及时通讯管控QQ聊天记录可以详细记录QQ聊天内容。MSN聊天记录可以详细记录MSN聊天内容。阿里旺旺聊天记录可以详细记录阿里旺旺聊天内容。Skype聊天记录可以详细记录Skype聊天内容。模块价值可以详细记录主流聊天工具的聊天内容，防止敏感信息通过即时聊天工具泄露。11计算机管理部门、员工、计算机管理可以针对系统内计算机、员工和部门进行管理。每个计算机对应着一个员工，属于同一个部门。管