企业信息防泄密解决方案(DLP)

企业信息防泄密解决方案数据防泄露系统DLP(DataLeakagePrevention)信息泄漏威胁内部未授权存取金融诈骗通讯欺骗数据泄密病毒笔记本被盗内部人员滥用网络拒绝服务蓄意破坏系统渗透通讯窃听活动窃听全球数据安全威胁现状分析55%85%23%92%以上的企业发生过“内部人员造成的”数据流失的数据流失是由于恶意程序的人员使用公司邮箱发送过核心数据的人员使用自己的设备将企业数据带出办公场所“超过90%的严重安全事件都是由于内部数据泄露造成的”---GartnerInc.DataLoss分析05010015020025030035020072008200920102012NumberofReportedDataLossIncidents(attrition.org)•85%的组织泄密是由于“内部人员”1•该类事件从2004年开始以每年1700%的速度增加2•三分之一的人的身份存在安全风险3•由于信息泄露造成的支出不断加大41Source:2012CSI/FBIComputerCrimeandSecuritySurvey2Source:Attrition.org3Source:PrivacyRightsClearinghouse4Source:PonemonInstitute“2006CostofDataBreachStudy”3CorporateCarOnline.com1棱镜门：约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自AdobeAcrobat,ColdFusion外加其它未说明产品的源代码惨遭窃取。2Adobe事件：美国中情局前职员爱德华·斯诺登爆料：美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。全美最具知名度的专业体育、娱乐外加五百强企业拥有大量用户个人资料、信用卡号码以及其它个人身份信息，名单中涉及不少大牌，包括汤姆·汉克斯等。泄密途径数据存储DataatRest数据使用DatainUse数据传输DatainMotion数据存储DataatRest数据使用DatainUse数据传输DatainMotionName_Ctrl+V数据存储DataatRest数据使用DatainUse数据传输DatainMotion2.0数据安全剪切、复制、黏贴、另存、删除、重命名、格式转换……笔记本电脑、智能手机、USB……机房、数据库、终端系统……Email、QQ/MSN、FTP、RSS、Tag、WiFi、Print……数据使用数据传输数据存储数据安全漏洞笔记本电脑等移动终端遗失或失窃1跨部门或跨计算机的数据转移及外来计算机的非法连入2存储介质随意使用3网络外发程序（QQ、MSN、Mail…）的滥用4打印、CD-ROM、DVD刻录5数据的非法二次传播6Pad等移动办公终端对于办公系统的接入7电脑黑客驻外人员流程失控高级主管操作习惯离职员工合作伙伴商业间谍开发人员环境复杂数据防泄露系统功能亮点系统采用高效的256位多缓存加密算法，不改变终端计算机使用习惯，透明加密指定机密文件。透明加密管理员可以给每个终端设置级别，不同级别的终端生成的文件，互相保密。级别高的终端使用者，可以打开级别低的终端使用者生成的文件。分级加密当员工需要外发文件时，可以选择解密申请，向管理员进行申请。管理员同意后，员工才可以将文件以明文的形式外发。解密审批当员工外发重要文件时，可以向管理员申请外发，同时可以设置外发出去的文件的打开次数，打开时间，是否以只读形式打开等属性。防泄密外发管理员可以使用UKey对文件进行解密，同时可以应用UKey修改文件的级别解密UKey对于外带计算机，系统提供了人性化的离线策略。默认计算机离线后，可以使用加密文件为72小时。当需要延长加密文件离线使用时间时，需要向管理进行申请。离线策略数据防泄露系统功能亮点对于企业的管理者，可以设置其终端为老板客户端，此类终端打开加密文件后，自动解密。Boss端对于所有加密文件，系统提供了高效的定时备份策略。管理员可以设置保留几天的备份的加密文件信息，也可以设置只保留几个加密文件副本。文件备份对于一切的外发操作，系统都保留了完整的日志，供管理员查看。日志审计系统对于终端安全进程的剪切板进行加密，防止员工通过复制、粘贴的方法泄露数据。剪切板控制禁止终端使用者的截屏操作禁止截屏不装加密客户端的计算机，禁止访问核心服务器。核心服务器隔离主要功能之一:文件透明加密保护交换机管理中心互联网防火墙控制台加密文档客户端n客户端1加班用户出差用户加密文档加密文档ekeyekeyekey正常使用正常使用正常使用非法用户无法使用@#@#@@###$%@###在企业内部，客户端和管理中心联网使用对于外出用户，客户端配合ekey使用未安装客户端或客户端未正常启动的用户只有正常安装并启动了“以太信御-数据防泄露系统”的客户端的用户才能使用加密文档安全策略ekey加密文档主要功能之二:外发文件控制外发文档交换机管理中心互联网防火墙打包工具pc正常使用供应商客户客户端自解压包加密文档客户端实现效果图市分公司市办事处未授权单位√√×设计总部总部策略：所有涉密格式都会强制自动加密通过任何途径私自发送到公司外的文件都是密文所有的操作行为都有详细的日志记录未授权单位：任何电脑都打不开加密过的图纸得到的图纸没有办法打印、复制透明加密主动加密授权强制加密+主动授权内部组织结构密文外发明文外发合法离网脱机外部正常合作竞争对手窃密员工离职拷贝内部不当行为系统漏洞失密设备丢失失控非法脱机密文上传密文下载密文上传密文下载OAPDMERPCRM外发管理员内部合法外出外发出口合法出口非法出口第三方管理软件的集成授权信息核心重要数据业务部门管理部门其他非法操作……结合虚拟化的部署方式防火墙集团内部无主机终端外出人员终端交换机交换机核心交换上网行为管理设备路由互联网分公司1分公司2分公司3服务器群OA服务器ERP服务器HR服务器虚拟化服务器群在个性化中装载加密系统业务单元模块获取虚拟系统IT单元模块实现方法（以下指部署在虚拟桌面中）服务器控制台客户端TestTesttest@#……￥#@原文本/新建文本编辑后文本通过加密算法和唯一密钥设置策略（控制台）---下发策略（至客户终端）终端用户对相应类型的数据（文档）进行操作，操作后产生的文件，经特定算法转换后，改变原有的类型。未安装客户端或者没有匹配密钥的用户无法识别这一类型的文件。策略编辑文本和管理系统结合方式终端数据防护数据库终端终端从上图中，不难发现，对于终端数据的处理，我们可从两处着手：数据上传到服务器前。是从数据库将数据导出到本地终端用户。常规情况，客户少有考虑数据库防护这块，用到最多的是第二种方式，简单称之为“落地加密”。在虚拟个性化的环境中上传数据下载数据加密加密网络监控应用管理系统NMA（NetworkMonitoringApplicationManagementSystem.)系统可以每隔一段时间记录客户端的屏幕情况。管理员可以设置抓屏间隔以及抓屏质量。可以查看整个部门当前屏幕快照。管理员可以实时查看多个计算机的电脑屏幕，最大支持25屏同时监看。同时支持25个屏幕定时轮播。管理员可以远程监看或者控制客户端的计算机。可以设置屏幕日志保存成图片的质量。也可以设置屏幕控制时的屏幕质量。一、屏幕管控屏幕快照屏幕日志远程屏幕协助多屏墙屏幕质量设置模块价值：企业的核心管理者可以通过对于客户端屏幕的多渠道记录与监看，可以很好的了解企业员工的工作状态。管理者也可以通过多屏幕墙来同时查看多个员工的屏幕的实时画面。针对企业计算机数目众多，所在地比较分散的情况，IT管理员通过远程协助功能，远程给员工处理日常计算机故障，大幅度提高IT管理员工作效率仅允许员工访问白名单网址库中的网址。可以禁止访问添加在黑名单中的网址。当客户端访问违规网址时，管理机会即时提示报警。自动记录客户端访问的网站地址，同时管理人员可以方便的打开记录网址。支持在线升级海量网址过滤库。以饼状图、柱状图等方式生成网址访问报表。二、网址管控网址访问黑名单网址访问白名单网址访问记录违规网址访问报警网址访问报表网址库更新模块价值：系统提供了网址的黑、百名单的访问控制功能。管理员可以禁止掉与工作无关的网站如淘宝网、开心网等网站。可以设置员工只允许的网站，比如企业网站，技术资料网站，行业营销网站等。可以设置设置网址访问控制的时间段，使得管理控制更加的人性化。对于员工违规访问的网站，系统提供了及时报警功能。管理员可以针对报警信息，做出及时的异常处理。管理者随时查看当前时间网络内客户端的外网访问的实时流量。包括实时上行流量、实时下行流量和实时总流量。可以设置企业内部网络的连接Internet网络的流量。包括总流量、上行流量和下行流量。可以详细记录员工任意时段的使用的外网流量。三、流量管控流量控制实时流量查看历史流量模块价值：随着企业日常办公针对网络的依赖增强，网络带宽的合理利用已经是企业管理者比较重视的问题。系统提供了流量控制功能，可以分配给每个员工指定的网络带宽，可以保证企业网络带宽的有效利用。同时系统提供了实时网络流量和历史网络流量等多种查询方式，可以很好的查看、分析当前企业的网络资源利用情况。可以发现网络内是否有非法（非授权）计算机接入，可对检测到计算机设置授权、非法、保护状态。管理员可以设置指定的计算机禁止访问外网。管理员可以设置禁止员工访问的端口。管理员通过设置IP地址范围设置，禁止对特定IP地址的访问。管理员可以设置任意计算机分组，分组内的计算机才可以互相访问网络。对于未经授权的计算机无法对于保护计算机进行网络访问。四、网络管控网络使用控制非法IP接入报警IP地址过滤端口过滤网络隔离模块价值：可以针对企业的实际情况，设置某个员工禁止使用互联网以及禁止使用互联网的时间段。对于非法接入的计算机，系统提供了及时报警功能。管理员可以第一时间了解企业内存在非法计算机接入，同时禁止非法接入的计算机对于内网计算机的访问。详细记录客户端程序使用日志。管理者可以设置员工禁止访问的程序。针对程序访问日志提供了灵活的查询统计功能。对违规程序使用行为进行自动报警。支持在线升级海量程序过滤库。以饼状图、柱状图等方式显示程序使用信息。五、程序管控程序访问控制程序访问审计程序违规访问报警程序日志查询统计程序访问报表程序库升级模块价值：管理员通过程序日志，清晰的了解员工每天运行了什么程序，针对游戏、木马进行严格的控制，保证内网安全。客户端会自动记录用户文档外发行为。包括QQ外发、USB外发、浏览器外发等，同是可以记录外发的源文件。客户端会自动记录用户文档的操作路径、所在磁盘和所使用的文档编辑程序等，包括复制、剪切、重命名、删除、外发等动作。禁止用户通过浏览器外发文件、禁止QQ外发文件、禁止U盘外发文件、禁止拷贝文件到USB设备、禁止拷贝文件到共享目录、禁止拷贝文件到网络硬盘、禁止从USB拷贝文件到本地计算机、从限制USB设备拷贝文件的大小等等。系统生成文件操作统计报表。六、文件管控文件操作记录文件外发记录文件操作报表文件外发控制模块价值：管理员可以很清晰掌控员工的文件操作与外发行为，严格控制外发途径。支持外发文件完整的备份一份到服务器上，员工通过改名、压缩将文件外发也难以逃脱追查。详细WEB邮箱记录，如网易、雅虎、QQ邮箱、新浪、搜狐等WEB邮箱发送的邮件，包括主题、收件人、内容、附件等。详细记录FOXMAIL、OUTLOOK等邮件客户端发送邮件的信息。包括主题、收件人、内容、附件等。七、邮件管控邮件客户端发送记录Web邮件记录模块价值：信息外发的管控已成为企业领导者比较注重的问题，大多数企业信息外发都是通过邮件方式进行。系统提供了邮件记录的功能，可精准的记录员工外发的任何邮件，包括邮收件人、邮件地址、内容和附件等信息。设置终端使用U盘的读权限和写权限。管理者可以禁止客户端的USB接口的存储功能。同时保证非USB存储设备