DLP數據泄露防護系統

隨著信息技術的飛速發展，計算機和網路已成為日常辦公、通訊交流和協作互動的必備工具和途徑。但是，信息系統在提高人們工作效率的同時，也對信息的存儲、訪問控制及信息系統中的計算機終端及伺服器的訪問控制提出了安全需求。目前對內外安全的解決方案，還停留在防火牆、入侵檢測、網路防病毒等被動防護手段上。在過去的一年中，全球98.2%的計算機用戶使用防毒軟體，90.7%設有防火牆，75.1%使用反間諜程式軟體，但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程式攻擊事件。據國家計算機信息安全測評中心數據顯示，由於內部重要機密數據通過網路泄露而造成經濟損失的單位中，重要資料被黑客竊取和被內部員工泄露的比例為1：99. 這是來自於國家計算機信息安全測評中心的一個數據，據調查顯示，網際網路接入單位由於內部重要機密通過網路泄密而造成重大損失的事件中，只有1%是被黑客竊取造成的，而97%都是由於內部員工有意或者無意之間泄露而造成的。

目前，數據泄漏的途徑可歸類為三種：在使用狀態下的泄密、在存儲狀態下的泄密和在傳輸狀態下的泄密。一般企業可通過安裝防火牆、防毒軟體等方法來阻擋外部的入侵，但是事實上97%的信息泄密事件源於企業內部，所以就以上三種泄密途徑分析，信息外泄的根源在於：

1、使用泄漏；1）操作失誤導致技術數據泄漏或損壞；2）通過列印、剪下、複製、貼上、另外儲存為、重命名等操作泄漏數據。

2、存儲泄漏：1） 數據中心、伺服器、資料庫的數據被隨意下載、共享泄漏；2）離職人員通過隨身碟、CD/DVD、移動硬碟隨意拷走機密資料；3）移動筆記本被盜、丟失或維修造成數據泄漏。

3、傳輸泄漏：1）通過email、QQ、MSN等輕易傳輸機密資料；2）通過網路監聽、攔截等方式篡改、偽造傳輸數據。

以下是DLP數據泄漏防護系統的原理圖

通過身份認證和加密控制以及使用日誌的統計對內部檔案進行控制。目前，在數據泄漏防護市場裡面，國內具備自主智慧財產權的產品生產廠家為數不多，以上參考虹安信息的DLP數據泄漏防護系統。

數據泄漏防護技術（DLP）日漸成為目前市場上最為重要的安全技術之一。企業青睞數據泄漏防護技術來保護所有權數據和滿足法規遵從的需要，為想要接觸安全市場中最敏感部分的解決方案提供商提供了巨大的商機。數據泄漏防護技術也為安全產品銷售商帶來了大量機遇。

1. 效勞器加密維護

對效勞器群的維護，由DNetSec來完成。DNetSec由硬體和軟體兩大部分組成，各種硬體採用高機能的蒐集效勞器，軟體為文檔安全網關軟體。DNetSec對一切上傳到效勞器的文檔自動中止解密，對一切從效勞器下載文檔自動中止加密。

2. 辦公蒐集和手藝蒐集文檔維護

在辦公區域網路和手藝區域網路等內部蒐集中，採用透明加密敵手藝蒐集內的手藝文檔、設計圖紙、原始碼、電路圖等中間資料中止自動、強迫、實時加密。採用文檔許可權管理對管理部門的辦公信件、財務部門的財務數據、發賣部門的客戶資料、市場部門的謀劃方案等商業機密檔案中止許可權節制。經由兩種管理體式款式，確保內部蒐集終端安全，防止內部中間信息外泄。

3. 文檔外發節制

對企業內部發往出差人員、協作單位等系統外的文檔。當外發檔案掀開時，需經由用戶身份認證，方可閱讀檔案。同時，外發檔案可以限制回收者的閱讀次數和運用時分等細粒度的許可權，從而有效防止了客戶首要信息被非法擴散。

4. 離線脫機辦公管理

在人員出差或其他情況下，需求外帶筆記本電腦，經由計謀設定，可以確保對離線筆記本電腦數據的節制。

5. 筆記本電腦管理

對存有首要資料的筆記本電腦，採用磁碟加密。

6. 區域網路連線埠管理和移動設備管理

對區域網路中的一切連線埠和移動設備，對隨身碟、移動硬碟、紅外、WIFI、藍牙等輸出連線埠中止節制，並能對拷貝到移動存儲設備的文檔加密。

7. 文檔自動備份

文檔每次保管後均自動備份到備份效勞器中。文檔管理員可經由改動備份的方式和路子，完成備份管理。用戶在分開效勞器方式下的文檔，也將自動備份到當地硬碟中。經由備份，可有效避免因為各類意外招致的數據損失。

8. 日誌審計

能夠看管、跟蹤、記錄一切用戶的悉數操作，實時查看系統的運用情況，完成最高的系統安全。可以從嚴重的記錄數據中抽取有用的信息，對用戶的某些操作中止分類整理，經由操作記錄，回溯歷史活動，從而發現泄密渠道。經由跟蹤今朝用戶操作，能及時發現用戶的風險操作，在泄密工作發現前就獲得警報，遏止泄密工作的發生髮火。一旦泄密工作發生髮火，經由用戶操作記錄, 可以第一時分拿出最有力的證據。

安全網關是一款專用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客戶端的準入，從檔案在企業的使用流程入手，將數據泄露防護與企業現有 OA 系統、檔案服務系統、ERP 系統、CRM 系統等企業套用系統完美結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障。

完成安全網關和企業現有套用系統無縫集成，自動完成對經過網關的數據進行強制加解密——上傳解密，下載加密；

加密客戶端通過網關，正常訪問套用系統伺服器；

非涉密客戶端計算機，在通過安全網關時，會被安全網關篩選和拒絕，無法通過 網關 訪問 OA/PDM 伺服器

a.透明加密

產品特點

b.智慧型自動加密

c.高度的穩定性

d.強大的系統兼容性

e.詳盡的日誌審計

四、方案特徵：

1. 優盾DLP的一切功用基於一套無缺、和諧的系統，可以完成的統一管理和計謀聯動，在實施、管理、維護、升級等一系列活動中，便當靈活，極大地降低了成本;

2. DLP系統以數據加密為中間，別離了身份認證、日誌審計、文檔備份、文檔流程審批、外發節制等功用，系統本身具備容災管理功用，在基於用戶需求的基礎上，合營各類安全計謀，不只從來源上完成了文檔的失密，還有效完成蒐集邊境管理，是高效的分域安全架構;

3. 能與各套用平台集成，支撐通用檔案把戲如：office系列、PDF、CAD、原始碼、電路圖等。能與各類特徵平台集成，如各類OA系統，支撐各類認證系統(AD、CA、ED等)。

4. 該系統支撐大用戶管理系統，能知足10萬點以上大局限端點節制需求，可以完成負載均衡、熱備和多級管理方式等;

5. 具有高度的模組化和擴展性，可以根據製造企業展開的需求，擴展其他功用，比如：電子郵件加密，輸出內容監控等模組。

優盾文檔安全管理軟體自動加密版適用於對安全性、統一管理有很高要求的用戶。可滿足需要對主動泄密與被動泄密進行防護的用戶。 優盾智慧型信息防泄漏系統採用透明加解密技術，在完全不改變企業原有工作流程和檔案使用習慣的前提下，對企業內部的關鍵數據檔案實行監控和強制加密保護，有效的防止被動和主動泄密。

1.在靜態工作站鏡像上測試是非常不錯的，但數據丟失防護的大多數問題出現在首次DLP數據泄露防護系統的用戶。在你推出部署數據丟失防護解決方案的第一個部門確定一些關鍵用戶，根據需要對他們進行培訓，並在測試階段與他們密切合作。通過關鍵用戶的幫助，可以避免非技術業務部門測試中出現的問題，也可避免部署中沒有任何用戶反饋的情形發生。

2.確保你的目錄伺服器是最新和準確的（這實際適用於任何形式的DLP數據泄露防護系統）。大部分組織將他們的數據丟失防護策略設計成根據用戶角色套用不同的策略。即使一個計算機組已經映射到一個業務單元或該業務單元中的一個特定用戶，在下次更新時可能會破壞該策略。依據用戶以及組或者角色要比依據計算機來管理好得多，即使這意味著你首先需要花一些時間對你的目錄伺服器進行調整。

3.建立適套用戶在你的數DLP數據泄露防護系統。切換一個模式匹配策略，例如正則表達將會增加誤報，但會減少對電腦性能的影響。你也可以設定策略切換到監控/警告模式，而不是阻塞模式來進一步減少對用戶的影響，雖然安全風險較高。

4.首先關注終端發現和USB保護。在一系列的DLP數據泄露防護系統工具中，發現（查找本地硬碟上的敏感信息）和USB監控/阻塞是最重要的兩個功能。幫助跟蹤用戶在受認可的企業應用程式之外獲取敏感信息，和在本地存儲或共享敏感信息的行為也是終端數據丟失防護的重要特徵。一旦啟用終端發現，選擇增量掃描（如果你的產品提供了該功能）；沒有人希望他們的電腦因為每周三午間的防毒掃描而突然停止，而每周四又進行數據丟失防護掃描。

5.慢慢來，逐步推出代理和策略。在完成你的DLP數據泄露防護系統初步測試後，一個組一個組的推出那些策略來確保產品具有良好適用性，這樣以來不會給你的事件回響團隊造成太大壓力。當用戶第一次開始使用數據丟失防護時，幾乎每一個DLP數據泄露防護系統客戶都會出現大量的策略違反報告，直到用戶自我訓練到可以更好地管理受保護的信息之時這一情況才會得到緩解。。