硬件封堵与软件防护的区别_

硬件封堵与软件防护的区别在市面上没有出现数据泄露防护系统之前，国内很多企业都是采用封堵计算机硬件泄密途径为主，例如封堵U口、外设资源、网络通道等方式。然而控制这些计算硬件资源的方法是通过IT人工管理的手段来实现的，其带来的弊端是显而易见的，主要体现在如下的几个方面：1、严重影响了企业人员的操作习惯，企业内部人工对此颇有微词；2、降低了企业员工的工作效率，为获取某些计算机的使用授权，需要走严格的人工审核流程，由于是走人工申请和审批流程，出现人为耽搁的可能性非常大，需要使用计算机硬件资料的申请人经常由于人为因素得不到实时的审批，处于工作等待的现象。3、增加了数据流通的周期，从而降低了数据的使用价值；4、由于硬件封堵管理的核心是限制内部人员对数据本身的访问授权，但是数据一旦因为某种不预见的因素流出到企业外部，仍然会造成数据泄露发生风险的可能性。5、一些企业虽然采用一些计算机资源监控手段，实时检测计算机设备资源的使用情况，并对相关操作进行详细的日志记录，以备日后审查，但是数据本身俨然已经流出了不可控区域，所带来的安全风险还是不可小觑的，就应该引起高度的重视。另外，事后审核和追查也带来了相关繁杂的工作量，而且效果也不见得令人满意。这种手段的某种意义来说，只能起到一种阻吓和心理震慑的作用，不能从源头和实质上把握和掌控数据本身的安全。6、给相关的IT管理和维护人员带来繁琐的工作量，增加了企业的人力资源成本，同时计算机资源的申请和审核、计算机资源的管控和维护都是人工来完成，难免会出现人为疏漏的情况发生，这种由于人工管理所带来的数据泄露发生的安全风险同样不可忽视。7、还有其它方面的不方便和不安全因素存在，具体可能需要结合企业的工作流程来说明。在经过人们长期不断的实践和验证，慢慢地意识到通过封堵计算机资源的方式来保护数据安全是越来越不能适应数据频繁交互、人员组织结构复杂的高度信息化的现代企业环境。基于对数据和内部本身的安全防护的产品应运而生，数据泄露防护系统正好填补了这一块的空缺，我们简称其为DLP系统。下面我们将简要地说明一下我们产品设计思想和可以达到效果一、安全体系DLP通过内核级透明加密技术，整合端点数据泄露途径的严密管控技术[U盘、外设、网络、共享]，采用基于USBkey硬件的PKI/CA标准密钥和数字证书管理体系，同时配合数据访问控制机制和3A[认证、授权、审核]认证管理流程，借助数据安全风险评估和管理思想，对数据进行使用时间维度[使用前、使用时、使用中、使用后]、数据使用空间维度[存储、应用、网络]和数据使用防护维度[防泄密、防扩散、防丢失]上的立体化防护，确保内部资料和智慧资产在整个生命周期内的安全保障和自由流通，考虑安全性同时兼顾便捷性。二、设计理念一句话就是：“以数据内核级透加密为中心，围绕数据在使用时间维度、使用空间维度和使用防护维度进行立体化安全防护”。“以数据内核级透加密为中心”是指采用内核级的透明加密技术，从数据安全源头入手，保护数据安全同时，不影响使用习惯；“三个维度立体化”是指从数据使用时间维度、使用空间维度和使用防护维度进行数据安全的防护，全方位，多视角、立体化地保障数据的安全，不留下任何的数据泄露安全死角和隐患。三、产品原理DLP数据泄露防护系统采用集中化的平台管理架构，结合C/S和B/S的控制和管理模式，通过服务器平台集中统一对部署了客户端的终端下发安全控制策略，来集中管控计算机的使用情况并实时上报监控信息，可精准识别的所有移动存储设备和计算机外部设备，同时对所需要保护的数据类型进行透明加密安全保护，整个过程无需要人工干预且不影响用户的使用习惯。为了使安装部署和日常维护的便捷性，产品提供和支持网络推送自动安装、全系列操作系统和应用软件、多样化网络部署方式、按需定制国际化语言、域环境管理相结合、产品版本无缝升级、基本角色的管理员控制技术等功能，真正做到同时兼顾安全保障与维护便捷。四、具体功能虹安DLP数据泄漏防护系统主要功能列表：1)服务端功能移动外设策略管理内外网通用外设策略管理添加用户或部门（在、离线）通用U盘策略删除用户或部门（在、离线）通用U盘策略更新用户或部门（在、离线）通用U盘策略内网专用外设策略管理注册用户或部门（在、离线）专用U盘策略删除用户或部门（在、离线）专用U盘策略更新用户或部门（在、离线）专用U盘策略文档管理策略模板管理策略模板管理增加策略模板文件夹功能删除策略模板文件夹功能修改策略模板文件夹功能导入策略模板功能导出策略模板功能增加策略模板功能删除策略模板功能策略模板编辑增加策略模板访问策略规则功能修改策略模板访问策略规则功能调整策略模板访问策略规则优先级功能删除策略模板访问策略规则功能修改策略模板加密规则功能文件内外发管理文件内外发记录管理文件内外发日志接收功能文件内外发记录查询功能文件内外发备份文件下载功能文件内外发文件备份接收、下载功能白名单管理增加白名单功能删除白名单功能修改白名单功能下发白名单功能文件审核者管理设置用户或部门内外发自动审核权限功能取消用户或部门内外发自动审核权限功能设置用户或部门内外发审核者功能删除用户或部门内外发审核者功能备份服务器日志管理备份服务器日志记录记录文件备份记录功能备份服务器日志查询查询备份服务器日志记录功能备份服务器日志导出导出备份服务器日志功能备份服务器日志清空清空备份服务器日志功能2)客户端功能外设设备策略控制可用或禁用蓝牙设备CD-ROM设备CD-RW设备打印机设备无线网卡设备串口并口U盘移动设备内外网通用移动设备只读解密只读不解密拒绝访问自动加密不受控制且密文不能查看不受控制且可解密查看内网专用移动设备可读可写只读控制拒绝访问文件内外发内外发申请文件申请审核申请明文外发申请内发历史申请记录历史申请记录白名单文件申请审核文件申请审核历史申请记录历史申请记录内外发管理文件申请审核文件申请审核历史审核记录历史审核记录设置客户端离开或者在线手动设置客户端状态为离开或者在线文件备份文件备份功能服务器备份文件文件下载功能按照过滤条件或者备份时间进行查询批量加解密对文件进行加密解密加解密由策略决定u盘特殊工具解密文件到指定U盘使用权限由策略决定文件透明加解密文件加解密加解密由策略决定内外联控制网络控制策略控制允许/禁止连接互联网；允许/禁止连接公司内网；允许/禁止连接互联网公司内网文档外发管理系统外发文档控制可用数据泄露防护产品正是充分考虑到通过硬件封堵的方式来防止数据泄密的弊端，从数据源头入手，结合数据使用环境的访问控制，同时对计算机资源进行严密的管控，保证数据安全的同时，真正做到兼顾用户的操作习惯、业务流程、组织结构、网络拓扑、工作效率、安装维护等方面的内容。即就是做到安全与便捷的统一。