数据泄露防护解决方案

数据泄露防护（DLP）解决方案以数据资产为焦点、数据泄露风险为驱动，依据用户数据特点（源代码、设计图纸、Office文档等）与具体应用场景（数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等），在DLP平台上敏捷实行数据加密、隔离、内容识别等多种技术手段，为用户供应针对性数据泄露防护整体解决方案，保障数据平安，防止数据泄露。 其中包括：数据平安网关数据平安隔离桌面电子邮件数据平安防护U盘外设数据平安防护笔记本涉密数据隔离平安爱护系统笔记本电脑及移动办公平安文档数据外发限制平安1、数据平安网关背景：如今，企业正越来越多地运用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时，应用系统中的数据资产正受到前所未有的平安挑战。如何防止核心数据资产泄露，已成为信息平安建设的重点与难点。概述：数据平安网关是一款部署于应用系统与终端计算机之间的数据平安防护硬件设备。瞬间部署、无缝集成，全面实现ERP、OA、PLM等应用系统数据资产平安，保障应用系统中数据资产只能被合法用户合规运用，防止其泄露。具体可实现如下效果：应用平安准入采纳双向认证机制，保障终端以及服务器的真实性与合规性，防止数据资产泄露。非法终端用户禁止接入应用服务器，同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器，访问应用系统资源，不受限制；统一身份认证数据平安网关可与LDAP协议等用户认证系统无缝集成，对用户进行统一身份认证，并可进一步实现用户组织架构分级管理、角色管理等；下载加密上传解密下载时，对经过网关的文件自动透亮加密，下载的文档将以密文保存在本地，防止其泄露；上传时对经过网关的文件自动透亮解密，保障应用系统对文件的正常操作；供应黑白名单机制可依据实际管理须要，对用户运用权限做出具体规则限定，并以此为基础，供应白名单、黑名单等例外处理机制。如：对某些用户下载文档可不执行加密操作；供应丰富日志审计具体记录全部通过网关的用户访问应用系统的操作日志。包括：时间、服务器、客户端、传输文件名、传输方式等信息，并支持查询查看、导出、备份等操作；支持双机热备、负载均衡，并可与虹安DLP客户端协同运用，更大范围爱护企业数据资产平安；2、数据平安隔离桌面背景：爱护敏感数据的重要性已不言而喻，但如何避开平安爱护的“一刀切”模式（要么全爱护、要么全不爱护）？如何在平安爱护的同时不影响外部网络与资源的正常访问？如何在平安爱护的同时不损坏珍贵数据？概述：在终端中隔离出平安区用于爱护敏感数据，并在保障平安区内敏感数据不被泄露的前提下，创建平安桌面用于平安访问外部网络与资源。在保障敏感数据平安的同时，提升工作效率。具体可实现效果：1）只爱护平安区内敏感数据平安，其它数据不做处理；2）通过身份认证后，方可进入平安区；3）平安区内可干脆通过平安桌面访问外部网络与资源；4）平安区内敏感数据外发必需通过审核，数据不会通过网络、外设等途径外泄；5）敏感数据不出平安区不受限制，数据进入平安区是否受限，由用户自定义；

特色优势：1）避开平安爱护“一刀切”，可只爱护敏感数据；2）敏感数据爱护与自由上网，互不影响；3）不会损坏敏感数据，适合爱护各类敏感数据，包括源代码、设计图纸等动则上G的大文件；3、电子邮件数据平安防护背景：电子邮件已经成为日常工作中最常用的通信工具之一。然而，电子邮件在网络中是以明文形式传输和存储，就如同在信息高速马路上“裸奔”一样，企业敏感信息随时存在被截获和阅读的风险。端到端电子邮件加密服务已成为电子邮件市场的迫切需求。电子邮件加密客户端概述：电子邮件加密客户端是在实现一般邮件系统功能之上，综合运用身份认证、数字签名、邮件正文及附件加密等平安技术手段，为用户供应平安、可控、便捷的电子邮件服务.

电子邮件加密客户端主要实现效果：1）身份认证：保障电子邮件运用者身份的真实性；2）数字签名与摘要：保障电子邮件内容的不行否认性与完整性；3）正文及附件加密：可对电子邮件的正文以及附件进行加密，未通过身份认证无法运用，保障电子邮件内容的平安性；4）权限限制：细粒度管控用户对电子邮件的运用权限，并对下载至本地终端的邮件附件仍可进行平安管控,保障合法用户在授权范围内运用电子邮件；5)日志审计：具体记录对电子邮件的操作记录，泄露行为可追溯；电子邮件加密主要特色优势：1)邮件正文与附件均可加密爱护且不变更正常操作习惯；2)可与其它平安模块协同运用，更大范围保障用户数据平安；4、U盘外设数据平安防护部署结构图图2策略实现结构图针对移动存储设备的信息防泄露的平安需求，通过部署外设限制管理产品，可以有效解决前述的各种问题和冲突。首先，通过数据加密机制和外设端口管理，包括无线网卡、蓝牙、红外、打印机、光驱（或只禁止刻录）、软驱、1394、调制解调器等外设接口，对移存储设备中的工作文件进行平安防护，防止各种方式的泄露以及意外丢失所带来的平安风险。其次，通过分组注册机制，专用U盘(内部运用)，通用U盘(内外均可正常运用)，对策略进行细分，具体限制运用者的运用范围和运用权限，实现移动存储设备的统一管理和策略授权。再次，通过离线时间限制策略，依据在线和离线不同场景，防止外出人员出差时候移动电脑失控，随意运用U盘拷贝文件。协作网络防火墙限制和访问权限限制功能，防止外网连接带来的木马和病毒传播扩散风险。最终，对U盘拷贝数据的流量进行限制，给出报警信息，并生成违规日志上报到后台。客户端在离线和在线的状况下都会进行USB交换数据的记录，并在连线时自动连接服务器上传日志文件。USB交换数据的记录能够导出到Excel，便利进一步的流转和分析。策略实现外设限制管理系统已经在被多家大型企业长期运行，结合信息在不同企业不同的流转过程，基于全面的数据平安防护理念，建立主动的内网信息防泄露平台，有效管控了U盘等移动存储设备泄密的风险，运行稳定，与操作系统和各类应用软件完全兼容，丝毫不影响员工的工作习惯。运用外设限制管理系统可以有效爱护学问产权，防止企业核心数据通过移动存储设备泄密，系统简便、易操作，不变更现有运用习惯。外设限制管理系统与虹安数据泄露防护系统结合，可进一步提升平安管理水平。弹性的外部设备运用管理，无需完全禁用USB设备，平安享受移动存储设备为办公带来的便携性。建立移动存储设备运用规范，加强运用权限管理，规范信息转移，保证完整审计。通过透亮加密文档信息，保证移动存储设备中的敏感信息平安。限制新接入移动存储设备的运用，有效预防U盘病毒泛滥。5、笔记本涉密数据隔离平安爱护系统在笔记本终端上对涉密数据进行平安隔离爱护，全方位防止涉密数据泄密，具体实现如下效果：1、在笔记本终端构建涉密数据隔离爱护模式与正常工作模式在笔记本终端构建涉密数据隔离模式与正常工作模式。隔离爱护模式下爱护涉密数据，正常工作模式下不做处理，赐予用户自由空间，最大限度消退用户抵触心情，提升工作效率；2、须要进入笔记本涉密数据隔离爱护模式时插入硬件KEY即可在须要进入笔记本终端涉密数据隔离爱护模式时，仅须插入硬件KEY，通过身份认证即可进入隔离爱护模式。涉密数据平安爱护便利快捷；

3．爱护模式下多重隔离爱护体系全方位防止涉密数据泄密在涉密数据隔离爱护模式下，多重隔离防护体系，可全方位防止涉密数据泄密：3.1防止通过伪造身份途径泄密；通过硬件KEY加强用户身份认证，且KEY与用户终端绑定，进一步增加平安性；3.2防止通过卸解磁盘途径泄密；通过内核级磁盘加密技术，即使笔记本磁盘被卸载也不会导致涉密数据泄密；3.3防止通过拷贝、粘贴复制、另存为途径泄密；通过还原技术，防止涉密数据通过拷贝、粘贴复制、另存为等途径泄密；3.4防止通过网络、U盘外设途径泄密；通过网络、U盘外设隔离，防止涉密数据通过邮件、QQ、MSN、飞信、移动存储设备、打印机、红外、蓝牙、无形网卡等各种途径泄密；3.5涉密数据泄密行为可追溯；全面记录涉密数据的操作行为，据此可对泄密行为进行追溯。并可通过平安审计，检查系统所实施的平安策略是否恰当，寻求平安的持续改善；3.6只允许合法授权用户外发涉密数据；通过基于人员角色的权限限制，保障涉密数据外发必需通过合法授权且对外发行为进行记录；既不影响工作正常开展，也解决了涉密数据外发平安问题；4、支持笔记本移动办公场景，提升工作效率；通过离线策略，支持合法授权用户携带笔记本外出办公，既不影响工作正常开展，也解决了携带笔记本外出的数据平安问题；5、系统损耗低且不会损坏数据，稳定性好；通过隔离构建平安环境，而非对海量数据自身进行处理，来实现涉密数据平安爱护目的。系统性能损耗低且不会损坏涉密数据，稳定性好；6、笔记本电脑及移动办公平安如今，在企业或用户组织中，常常运用笔记本电脑或须要移动办公的人员，往往在组织中处在比较重要的地位。对于企业而言，最典型的笔记本或移动办公用户是企业管理层、核心员工、销售或支持人员。这些成员处理的信息往往具备较大的流淌性和重要性，有些甚至是公司的核心机密。由于这些人员的业务特征，其流淌性和敏捷性是必不行少的要求，因此，信息所面临的风险也就更加突出。笔记本或移动办公的信息平安问题也就成为大部分企业或组织的焦点问题。笔记本或移动办公的平安问题从管理角度来看，一般存在下列突出的冲突：♦

出差人员时常处理一些核心机密，而出差在外，信息面临的风险更大，须要更加严格的平安爱护。事实上，笔记本丢失，硬盘丢失，出差人员运用外网发送机密信息，出差人员违规将信息发送给不恰当的对象等等。这些无一不成为企业信息平安主管，甚至是企业领导担忧的焦点。♦

在出差或移动办公过程中，公司业务的连续性和刚好性须要得到更强的保障。而一般的平安解决方案，比如常见的离线策略、解密审批策略等往往缺乏时效性，平安是有了保障，业务却受到极大的干扰。♦

笔记本或移动办公用户往往会在处理公司正常业务的同时，须要处理一些个人私事，甚至一些商务工作也必须要在公共网络和平台上开展。平安方案的实施，应当在不影响个人事务的开展前提下进行。♦

运用笔记本出差或移动办公状况下，外发的文档和信息须要得到有效的监控和审计。概括上述问题，很多客户都陷入到一个逆境之中：沟通要顺畅，平安要保障，二者好像不行兼得。鱼和熊掌可以兼得，基于虹安Isolator信息平安隔离系统，虹安提出一个全新的笔记本和移动办公平安解决方案。平安方案隔离产品要求从存储隔离、运行隔离和网络隔离三个层次为用户信息建立完备的平安保障体系。首先，将用户电脑上的数据存储分为一般区和数据爱护区，数据爱护区进行数据加密处理。然后，针对两个存储区域数据的运用，分别形成一般模式和数据爱护模式，二者隔离共存，切换自如。最终，保证用户在数据爱护模式中只能够访问办公网络，数据爱护区的信息在外发时受到平安策略限制。在一般模式中可以随意访问外部网络，不受约束。策略部署结构图隔离产品须具有5大功能：♦

网络资源隔离♦

应用环境隔离♦

数据存储隔离♦

文件日志审计♦

磁盘分区加密针对网络隔离的须要，通过部署，可以有效解决前述的各种问题和冲突。首先，通过在员工电脑终端上安装管理软件，电脑磁盘被划分为两个区域——一般区和数据爱护区，数据爱护区进行数据加密处理。即使硬盘被盗，也不会导致由磁盘引起数据泄密。其次，员工在数据爱护模式开展工作，在一般模式下查阅资料，处理商务或个人事务。一般模式中的各种信息可以通过简洁的复制、粘贴或拖拽动作就很便利的拷贝到数据爱护区中。在一般模式下，各种外设端口都可以正常运用；而在数据爱护模式下，除了外发文件受到监控之外，全部外设端口都是禁用的。最终，员工在一般模式中可以随意上外部网络、运用即时通讯软件，但不能登录公司内部办公网络和运用公司内部即时通讯软件。相反，员工只能够在数据爱护模式中访问公司内部网络，全部内部网络上获得的信息也只会保存在数据爱护区中。从数据爱护模式向一般模式传递的任何信息都会受到平安策略的管理。依据权限，可能是禁止，也可能是申请审批或者事后审计。策略部署网络隔离信息平安解决方案，可以有效的解决网络隔离的平安性与便利性之间的冲突，使平安方案真正的被用户所接受，提高工作效率，工作舒适度，确保工作思路不被随意打断，平安策略得到理解和敬重。网络隔离信息平安解决方案在一个终端上实现了网络、应用环境和存储的隔离，极大的降低企业的管理、运维和IT成本。网络隔离方案在网络隔离的基础上，将信息外发简化为从数据爱护模式到一般模式的唯一通道，管理策略简洁一样，员工简洁理解和遵守，也极大的提高了平安策略的可维护性，降低管理难度，提高了管理效率。最终，最新的隔离产品一般都具有三重隔离手段，使网络隔离从存储加密起先，又在存储加密上落地，杜绝了一切特例和私自拷贝或外发的可能，提高了隔离的实效。7、文档数据外发限制平安信息化高速发展的今日，企业的各种数据均以电子文档的形式存储和运用，而现代企业的运作建立在分工协作的基础上。由此，工作中我们的文件资料常常须要在内部或者外部人员之间流通运用，电子文档易于传播和扩散的特点造成企业核心数据简洁泄露给竞争对手，导致企业的核心利益的损失。鉴于此，我们以企业日常沟通、协作过程中遇到的问题为例，说明文件外发所面临的信息泄露以及平安爱护问题。1.企业将内部重要数据发给客户后，客户会将这些核心资料传递给其他用户或者竞争对手运用，这些用户又会将资料传递给另外的人员运用。如此循环，企业商业文件将大范围不受限制地随意扩散、传播，会使企业机密遭遇恶意曝露；由此引起的商业纠纷，即使通过法律手段解决，也不好界定或者为时已晚。2.现行的操作系统，对企业外发文件没有运用权限的管理机制。致使企业外发文件具备被随意操作的权限，例如复制、剪切、编辑、另存等，便利企业人员在运用外发文件过程中有意或者无意将数据泄露。3.企业的外发文件即使实行身份认证、运用范围限制和运用权限的限制等手段来爱护外发文档的平安，但出差、外出办公等造成笔记本丢失等状况的发生，也会出现文件简洁被非法破解而导致数据的泄露。4.文件在整个外发运用过程中，不同的人员会参加其中，假如不对外发文件的生命周期内进行记录，则很难保证外发文件被平安运用。5.早期的一些外发文件限制系统，采纳格式转换的方式，配以专用的阅读阅读工具，运用权限限制强度不够，外发文件制作效率低下，用户运用起来很不便利。这类系统能够限制的文件类型也特别有限，导致这些产品不能很好地满意用户的需求。基于以上对企业外发文件的运用问题分析，一个良好的文件外发限制管理系统所须要满意用户的需求可以概括为：1.企业外发文件的运用须要验证运用者身份以及运用范围，从这两个方面入手，可以确保外发文件的传播扩散的速度和范围。2.验证外发文件运用者身份和运用范围可以在肯定程度上确保外发文件不为非授权用户非法运用；但对外发文件的运用进行相应的如打印、编辑、复制等权限授权限制，更杜绝了授权用户在运用过程中有意或无意将内容泄露的途径。3.为了保证外发文件的机密性和削减文件丢失所带来的平安威逼，须要对外发文件进行加密爱护处理，确保文件不因意外状况导致数据泄露。4.须要监控外发文件整个操作过程，具体记录外发文件的运用，并形成相应的日志记录，保证企业能清晰地知道外发出去的文档的受控状况。5.须要满意用户对外发文件制作流程困难度、文件格式支持以及外发限制平安性方面的要求，符合行业相关平安规范。平安系统设计方案系统要求文件外发限制管理系统，结合企业在协同工作过程中对外发文件的限制和管理要求，制定了针对性强的外发限制管理策略。该方案采纳目前成熟的加密机制，对外发文件的机密性进行爱护；同时考虑到市场对大文件外发限制的需求，增加了可对大文件的外发制作进行特别的加密压缩处理策略，极大节约了存储空间和网络带宽的占用。文件外发限制管理系统须要具有的核心功能如下：♦

丰富的授权认证♦

细粒度权限限制♦

严格的版权标记♦

统一的授权管理♦

敏捷的制作方式♦

具体的日志记录系统实施企业针对文件外发制作对于防止信息泄露的平安需求，通过文件外发限制管理系统的部署，可以有效解决前述的各种问题和平安威逼。首先，通过数据加密和压缩机制对须要外发的文件进行机密性防护处理，防止各种方式的泄露以及意外丢失所带来的平安风险。其次，通过外发文件的身份认证以及运用范围的限制，经过授权运用的用户、环境才能打开外发文件，非法用户或者非授权环境禁