当前位置：搜档网 › 虹安DLP4.0加密方案

虹安DLP4.0加密方案

虹安DLP4.0数据泄露防护系统整体解决方案
公司名称：深圳市虹安信息技术有限公司公司地址：深圳市南山区高新南一道赋安科技大厦B座308 邮政编码：518057 公司网址：https://www.sodocs.net/doc/1718263893.html,/ 联系电话：+86 (0755) 86315156 传真：+86 (0755) 26413060

虹安 DLP 数据泄露防护整体解决方案
目
录
1. 背景概述 ...................................................... 4 2. 应用现状 ...................................................... 4 3. DLP4.0 方案 .................................................... 5 3.1. 安全概述 ................................................ 5 3.2. 数据风险 ................................................ 6 3.3. DLP4.0 解决思想 .......................................... 9 3.4. DLP4.0 系统安全架构 ..................................... 12 3.5. DLP4.0 解决效果 ......................................... 13 3.6. DLP4.0 解决方式 ......................................... 13 3.6.1. 基于 PKI/CA 体系的身份鉴别 ........................ 13 3.6.2. 数据透明加密保护 ................................. 14 3.6.3. 构建数据安全区域 ................................. 14 3.6.4. 灵活人员访问权限 ................................. 14 3.6.5. 全面外设管控 ..................................... 15 3.6.5.1. 移动存储 U 口管控 ........................... 15 3.6.5.2. 外设及端口管控 ............................. 16 3.6.6. 文件发送管理 ..................................... 16 3.6.7. 文件外发控制 ..................................... 18 3.6.8. 安全日志审计 ..................................... 19 3.6.9. 数据备份恢复 ..................................... 19 3.7. DLP4.0 应用部署方案 ..................................... 19 3.7.1. 工作方式 ......................................... 19 3.7.2. 部署方式 ......................................... 21 3.7.2.1. 内部部署方式 ............................... 21 3.7.2.2. 外部部署方式 ............................... 22 3.7.3. 实施步骤 ......................................... 22
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 2 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3.8. 方案特色 ............................................... 23 3.9. 方案价值 ............................................... 24 3.10. 系统安全性 ............................................ 26 3.11. 运行环境 .............................................. 28 4. 供应商简介 ................................................... 29 4.1. 关于虹安 ............................................... 29 4.2. 技术和服务 ............................................. 29 4.2.1. 售后服务 ......................................... 29 4.2.2. 培训服务 ......................................... 30 4.3. 产品资质 ............................................... 31
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 3 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
1. 背景概述
当前，企业内部的安全性要求仍然主要集中在系统安全性以及防病毒和黑客入侵等方面的网络安全性。对于传统 PC 终端而言，由于每台机器都有本地存储和网络功能，数据安全的短板效应无法避免，安全维护的成本也居高不下，而且效果往往不尽人意。因此需要在对现有应用业务模式不影响的情况下，能够对数据进行全面而有效的安全防护。现代企业规模庞大、分公司及分支机构繁多而且分布广泛，需要大量的业务数据信息作为支撑。企业信息化的飞速发展使得企业各部门之间能够迅速地获取、传递、处理和利用各自所需的信息，提高办公效率，节省办公费用，使管理者能实时、动态地了解到本单位各种资源的实施情况。但是由于业务上的需要，企业需要开放移动存储设备、计算机外设和网络的资源，企业部署的传统网络或者系统安全设备和系统已经不能够很好好适应信息安全形势的新变化。首先，为企业用户提供正常办公及处理内部业务使得文档交流传输过程难以安全可控，文档脱离内部管理平台容易造成文件的扩散和外泄。其次，内部终端用户的文档操作行为管理也不规范。最后，企业内部移动存储设备可以随意在任意物理终端计算机上使用，容易感染病毒和泄密；移动存储介质丢失后，极易导致敏感数据泄密。为提高企业内部数据协同和高效运作，实现内部办公文档交流过程安全可控，实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。对于内部文档使用范围、文档流转等进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。既防止文档外泄和扩散，又支持内部知识积累和文件共享的目的。另外，数据安全的同时更加注重用户操作体验的感受。
2. 应用现状
根据企业信息化的业务应用需求，企业每个员工的业务操作方式主要集中在终端之上，但也会从 OA 应用系统、文件服务器或者邮件系统等应用服务系统中浏览数据或者下载文档，存在如下主要几个方面的数据安全隐患以及操作体验要求，如下图所示。 1）、员工可以通过物理终端的 U 口以及各种外设端口将数据泄露出去，例如，通过 U 盘等移动存储以及打印机设备，可轻松进行数据的拷贝； 2）、员工通过网络的形式将数据泄露出去，例如，通过邮件方式、IM 即时通讯工具以及各种网络工作传送数据至外部。
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 4 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3)、由于业务共享协作需要，外发出去的数据在安全保护的前提下，不影响正常使用； 4）、企业内部人员之间的数据交互需要保持安全和流畅； 5）、企业内部人员与外部客户之间的数据交互需要保持安全和流畅； 6）、企业内部人员业务外出、在家办公等场景的数据交互安全和流畅； 7）、分支机构、移动出差人员需要进行内部文件的方便快捷的审批。
OA系统
邮件服务器文件服务器域控服务器
Internet
应用系统安全服务
晚上加班
移动办公
内部终端接入安全
分公司办事处
VPN连接数据离线外发安全终端接入安全
分支机构
内部终端接入安全
文件外发安全控制
协作厂商
U盘
打印机
U盘
打印机
外部终端接入安全
临时人员
文控人员
普通员工
部门经理
文控人员
普通员工
部门经理
效果演示
业务外出
工艺设计部门生产制造部门企业内部文件交互流转
U盘打印机
非法接入安全控制
网络黑客
外部终端接入安全
移动出差人员
文控人员
普通员工
部门经理
行政财务部门
图 1、企业数据安全业务应用现状
3. DLP4.0 方案
3.1. 安全概述
科技和商业飞速发展，企业机密数据和内部敏感信息的安全越来越重要，一旦这些信息和数据被泄密，企业往往会蒙受巨大的经济损失。随着信息技术的进步，计算机和网络已成为日常办公、通信交流和协作互动的必备工具。但信息技术提高人们工作效率的同时，也对信息安全防范提出了更高的要求。目前大多数用户对办公网络的安全防范方式，仍然停留在采用防火墙、入侵检测、防病毒等被动防护阶段。在过去一年中，全球 98.2％的计算机用户使用杀毒软件，90.7％设有防火墙，75.1％使用反间谍程序的软件；有 83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件，79.5％遭
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 5 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
遇过至少一次间谍程序攻击事件。而国家计算机信息安全测评中心数据显示：机密资料通过网络泄漏造成损失的单位中，其中被黑客窃取和被内部员工泄漏，两者的比例为：1：99。这是来自于国家计算机信息安全测评中心的一个数据，该调查显示，互联网接入单位由于内部机密通过网络泄漏而造成重大损失的事件中，只有 1%是被黑客窃取的，另外的 99%全部是由于内部员工有意或无意的泄密行为所导致。在外设管理方面，有 50%的企业因 USB 使用不当而丢失数据。用户可以随意接入各类外设和移动存储设备，带走内部资料。如：U 盘、移动硬盘、手机/MP3/MP4、CF/MD/SD 卡、数码相机??这些外围设备容量越来越大，但体积越来越小，无疑提高了效率，给工作带来便捷。但在愉悦享受高科技产品带来的便利之时，也给信息安全带来严重威胁，让别有用心者有可乘之机。受利益驱使，可能会有内部员工直接参与盗取重要信息数据的行为，近年来，类似力拓“间谍门”的泄密事件时有发生。近年来，数据安全保护模式正悄然发生变化，由传统 PC 终端的系统或者网络安全防护逐渐面向以数据为中心的安全保护模式，如何防范内部泄密事件，安心享用现代科技的便捷？如何保护好企业的智力资产，保持市场信息优势呢？是摆在每一个信息化企业面前重要而紧迫的课题。
3.2. 数据风险
根据国际权威机构 Garnter 调查数据表明， 97%的泄漏事件源自企业内部：人员流失，以及任何有意或无意的操作行为，或管理疏漏，都有可能对企业造成巨大的经济损失。目前，基于企业内部现存网络流通的一系列文档，如果这类文档外泄、扩散、丢失，很有可能造成竞争对手先于市场得到企业的产品机密或者商业秘密，导致不可估量的损失。根据对企业现有数据业务应用模式，来自企业内部的安全威胁和风险主要有以下几类： ? 数据泄密通道风险-U 盘等移动存储设备以及打印机等外部设备数据风险类型 U 盘等移动存储设备丢失/被盗数据风险描述说明据统计，高达 80%以上的企业发生过 U 盘丢失。若内部人员随意拷贝文件必将导致内部机密文件泄密。 2 U 盘等移动存储设备的交叉使用
深圳市虹安信息技术有限公司
序号 1
“轮渡” 木马病毒对于 U 盘等移动存储介质的交叉感染危害非常严重。
内部资料, 注意保密第 6 页 /共 33 页
版权所有?2012

虹安 DLP 数据泄露防护整体解决方案
3
使用外部 U 盘等移动存储设备
对 USB 端口没有集中管理，导致外部 U 盘也可以在内网使用，无疑存在着较大的泄密隐患。同样是由于对 USB 端口没有集中管理的原因，会导致外部来访人员，在停留期间可以非常容易的用 U 盘等移动存储设备，拷贝敏感信息。如离职人员等，此类案件已屡见不鲜。2005
4
外部人员恶意拷贝敏感信息
内部人员恶意拷 5 贝内部机密资料
年 4 月，卢某擅自离职，并将某电器公司的各类硅钢片特性参数及计算参数表等三项技术资料电子文件，拷贝到南海区松岗某电器厂，并任该厂技术负责人。
6
通过 U 盘等移动存储介质泄密事后追溯困难
大部分企业，因缺乏必要的技术手段，使得使用者在内部或者外部操作 U 盘时即使进行违规操作，也无法有效审计和取证。对已损坏需要报废的涉密介质，没有实行集中销毁，随意乱扔和丢弃等，都在不同程度上存在泄密隐患。文件打印如果没有进行必要的管控，将会导致几乎每台计算机终端都具备打印的功能。
7
U 盘等移动存储介质报废管理不善
8
文件打印管控不力
9
忽视红外、蓝牙、一是内部人员可以通过上述途径，故意泄密；内置 MODEN 、光驱、刻录机等各类外部设备泄密表 1、U 盘等移动存储设备以及打印机等外部设备风险二是外部人员可以通过无线网络信号接收网络信息，导致泄密事件悄然发生。
?
数据离线外发风险-移动办公、效果展示、协作外发等应用场景典型安全风险应用场景描述在制造业代工生产模式下，企业需要将设计资料发给外部代工企业进行生产制造。被合作方有意或无意向外扩散、泄露； 2 企业把各种关键产品文档、内部资料交给业务人员出差交流以及演示使用。被外出人员有意或无意向外扩散、泄露； 3 产品项目投标活动中，企业往往需要将标书发给招标方开展相关活动。被招标方有意或无意向外扩散、泄露；
序号 1
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 7 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
4
企业将其设计成果提交给客户使用。被使用方有意或无意向外扩散、泄露；
5
企业将相关资料、课件或软件提交给用户使用。被使用方有意或无意向外扩散、泄露；
6
企业内部人员由于工作业务的需要，需要将相关设计或者制作的成果给有意向的客户进行效果的演示，容易发生成果泄露的情况；
7
企业内部人员往往需要将与工作内容有关文件带回家进行工作，需要既满足方便工作的要求，又能防止数据的泄露。
表 2、数据离线外发风险-移动办公、效果展示、协作外发等应用场景 ? 数据内部流转风险-部门之间、分公司之间的数据交换和流转数据安全问题身份认证强度合理访问授权内部主动泄密数据安全问题所带来的后果未经授权的人员查看没有权限的文档；权限不合理授权控制会导致文件“扩散传播” ； 1）、内部人员主动有意的泄密； 2）、内部人员被动无意的泄密； 4 5 泄密方式监测外部非法窃取通过拷贝、另存、打印等方式保存文件副本；非法恶意人员通过网络集中批量窃取内部资料 1）、内部人员恶意拆卸硬盘等存储设备； 6 存储设备丢失 2）、移动出差办公意外将笔记本电脑遗失； 3）、笔记本维护人员故意将数据泄露出去； 7 文档过期使用 1）、离职人员将存储机密资料的笔记本带走； 2）、临时人员离开内部环境后仍能使用资料； 8 使用范围限制 1）、文件需要保证在一个部门区域内使用； 2）、文件需求保证某一台固定终端上使用； 9 文档意外损坏备份机制 1）、因意外掉电或者设备破坏导致文件损坏； 2）、因不符合正常操作流程导致的文件损坏； 3）、防止员工离职后恶意删除电脑的文件； 10 文档有序归档受保护文档类型需要集中备份存储，而且容易进行还原操作； 11 文档安全审计记录文件产生、使用到销毁整个过程的行为。
序号 1 2 3
表 3、数据内部流转风险-部门之间、分公司之间的数据交换和流转 ? 应用服务接入数据安全风险-分支机构、临时人员、网络黑客、移动办公人员等不同类型人员对企业内部应用服务的安全接入，例如 OA、邮件服务、文件集中存储服务器等。
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 8 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
序号 1
典型应用场景分支机构
数据安全风险描述分支机构能够通过不同形式的网络快速接入到公司内部网络，从而进行数据的安全交换；
2
临时人员
在方便临时人员加入内部团队工作的同时，需要控制临时人员接入内部网络的安全时效性以及使用内部资源的访问权限；
3
网络黑客
需要防止网络黑客人员对内部计算机终端或者应用系统的攻击访问，造成数据集中泄露；移动办公人员往往携带 NoteBook 、 IPAD 、
4
移动办公
Mobile 等便携式设备进行内部文件审批，邮件往来等业务；制造型企业由于业务的需求，通常需要对离线的控制终端电脑进行程序或者参数的调试或者
5
离线调试/演示
演示，因此既要满足此种情况下的离线安装部署和控制的需要，同时也要能够将数据进行有效保护；
表 4、数据内部流转风险-部门之间、分公司之间的数据交换和流转 ? 对重点部门核心数据进行安全加固防护-例如三维设计、图纸工艺等
1、现代企业普通使用文件服务器、邮件服务器、OA 应用服务器等业务应用系统，工作数据统一集中存放于这些服务器之中，其安全保护力度需要更加具有针对性并保证可用性。 2、重点部门的核心数据往往具有在固定团队和一定的范围内流通的显著特点，而且这些数据通常也涉及到企业的核心竞争力，因此需要从存储、使用、网络三个层面全方位给予进行安全分层、安全区域的保护。上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患。数据安全要立足于用户终端，并延伸至网络，从数据安全源头抓起，才能从根本上解决安全问题，才能做到有的放矢，更具针对性和前瞻性。
3.3. DLP4.0 解决思想
虹安公司针对企业数据保护类型的重要程度，提出以数据特点为设计原则，以安全风险为驱动，以模块化设计为思想，以服务客户为目标的整体安全解决方案。详细分析客户的管理模式和业务流程，评估存在的数据泄漏风险，并在客户现有业务系统基础之上，提供针对性的安全解决方案，帮助企业用户改进和规范客户的数据风险管理体系。如下表图所示。
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 9 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
图、数据安全产品整体设计理念示意
序号
数据安全风险
对应数据安全产品
安全解决思想及手段描述采用设备访问控制、数据加密和安全审计等手段，针对每一类的外设设置控制策
1
数据泄密通道风险
U 盘外设安全管控
略，保证终端硬件的完整性，提供数据安全交换的通道。适应企业业务外协合作和数据集成共享的数据资产保护需要，提供数据加密、身份
2
数据离线外发风险
文件外发控制管理
认证、访问控制等多层安全服务，有效防止外发文件的扩散传播泄露。采用文件透明加密的思想，结合以数字证书为核心的用户身份认证，利用文件访问
3
数据内部流转风险
文档安全管理系统
授权和控制机制，全过程监测数据的使用状态，并形成详尽的安全审计日志供事后跟踪。结合密码口令、硬件
4
应用服务接入
基于 PKI/CA 体系
USBKEY、数据软证书、协
第 10 页 /共 33 页
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密

虹安 DLP 数据泄露防护整体解决方案
数据安全风险
的数字证书认证机制
议握手、安全标识等不同手段保证应用服务接入的唯一合法性以及可控性。采用成熟安全的设备隔离、存储隔离、应用隔离、网络
5
对重点部门核心数据进行安全加固防护数据安全区域防护
隔离等终端多重安全隔离技术，在个人终端存储设备上构建起数据安全区域和和非数据安全区域。有效解决安全性与易用性之间的矛盾。虚拟化应用数据 : 在终端基础上构建一个或者多个虚拟桌面，作为内部网络以及云端的安全接入端点。
其它层面数据 6 安全风险
能够针对虚拟化应用数据、浏览器呈现数据等安全风险的防护解决方案
浏览器呈现数据：保护应用系统以页面形式呈现的机密信息可看但不被盗用，并在不改变现有应用系统以及重新配置访问权限的前提之下，针对不同人员隐藏/显示关键字段信息，解决重要信息在 IT 业务系统中的安全传播问题。
表 5、数据安全风险、安全产品、安全解决思想对应关系
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 11 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3.4. DLP4.0 系统安全架构
图 1、虹安 DLP 数据泄露防护系统安全架构虹安 DLP 系统采用基于 B/S+C/S 的控制和管理模式，结合安全功能执行与安全控制策略分离的思想，使得系统安全控制功能执行更加有效，安全控制策略管理更加高效。
终端用户
用户操作层
安全登录 Windows操作系统访问授权 DSM系统安全应用用户接口网络通信策略下发
用户
用户日志
用户组
用户组日志
日志审计用户管理策略配置安全策略管理
文档内外发日志
接口调用层系统应用层内核驱动层对象设备层
用户组管理
DSM系统应用层
安全策略
DSM系统安全应用内核层接口日志上传磁盘、外设、U盘、网络、文档
加密策略设备策略访问策略
DSM系统客户端和服务端软件运行结构
图 2、虹安 DLP 系统软件架构示意图虹安 DLP 数据泄露防护平台采用开放式体系结构的可扩展的安全管理理念，简化了所有规模组织的风险与合规性管理的统一性和效率。平台从办公文档、设计图纸和数据使用环境隔离两个核心层面进行防护，采用认证、加密、标签、审计、内核驱动、沙箱、还原、访问控制、应用防火墙等技术，对企业机密文档、U 盘外设、外发文件、浏览器应用、移动存储设备、笔记本计算机、应用系统机密信息进行控制与保护，从而构建保护企业数据的完善的立体纵深防御系统。通过数据安全平台，可以轻松帮助企业实现数据安全应用和管理。 ? 集中平台管理
版权所有?2012 内部资料, 注意保密第 12 页 /共 33 页
深圳市虹安信息技术有限公司

虹安 DLP 数据泄露防护整体解决方案
多角色的访问控制技术:系统维护、安全策略、安全审计三权分立；统一安全框架:统一管理终端、数据、行为、设备的安全防护，制定适合管理需要的策略 Web 的单一界面：整合多层次体系结构、强大安全策略设置、用户及终端安全状态； ? 灵活部署
应用按需添加：分层提供服务、功能组件模块化应用按需添加；系统广泛兼容：与 Windows 域无缝集成，兼容主流杀毒软件，全面支持 WIN7 及 64 位操作系统； C/S+B/S 架构：广泛适应于移动办公、异地管理、临时接入等使用场景；
3.5. DLP4.0 解决效果
图 3、数据安全解决整体解决方案效果示意图
3.6. DLP4.0 解决方式
3.6.1. 基于 PKI/CA 体系的身份鉴别
图 4、基于于 PKI/CA 体系的用户身份访问认证
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 13 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
严谨的用户身份访问认证：客户端登录使用时，先在服务器端做身份认证，当确认为企业合法用户时，会针对每人颁发一个证书。每次登录时，需要确认是合法用户，才能访问服务器以及安全文件。
3.6.2. 数据透明加密保护
高强度数据透明加密保护：在用户远程终端上，对需要保护的文档进行一次一密的高安全性加密方式，遵从国家密码管理部门批准的的加密算法加密文件内容，只有指定授权用户的密钥才能解密文件。并用同时实现对文件签名，保证文件的保密性，真实性和不可篡改性，同时满足桌面云应用办公的数据加密性能要求。根据不同的安全保护要求，可以灵活选择不同的透明加密保护方式，针对内部文档的安全流转采用文件透明加密保护的方式，而针对重要部门核心数据则采用磁盘透明加密技术。
3.6.3. 数据安全区域隔离
针对重点部门核心数据和临时接入内部网络的设备实施数据安全加固的方式进行保护。DLP 可以在终端计算机上构建安全区域，以此作为接入内部资源，以及存放下载至终端的内部敏感数据。同时在内部重要部门网络上，灵活建立以网络安全区域为管理对象的保密子网，不同部门所形成的安全保密子网可以根据企业的策略设置和调整进行数据的连通访问。数据安全区域系统遵从数据分域隔离的管理规范，将计算机存储设备分成不同的区域，控制和审计各区域间数据流向，结合外设和网络管控，限制数据使用范围，构建安全保密子网以及各安全子网连接的安全网络。系统采用安全稳定的磁盘透明加密技术，加密全盘或者分区的数据，防护存储设备丢失导致的数据泄密。针对企业应用服务器的安全保护，可以将需要保护的应用服务器集群纳入到数据安全区域之中，通过一定的安全接入认证或者部署安装了数据安全保护程序的终端计算机才能够正常接入到企业重要应用服务器中。
3.6.4. 灵活人员访问权限
? 灵活调整人员访问权限设置：可以依据各行政部门来定义角色，这样角色就同实际的行政关系相对应，再根据不同部门的职能，为相应的角色配置安全策略组合，控制用户权限（指定进程、数据和文件的访问和使用权限、移动存储设备的使用权限、文件外发权限等），让每个下属企业的每个部门，甚至细分到每个人，都具有不同的安全保护权限。
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 14 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
?
在线、离线多应用模式策略切换：策略配置时，可以为同一用户（组）授权在线和离线两种策略。当客户端与服务器断开连接时，自动切换至离线状态。例如策略配置为：在线状态时，对加密文件有读，写权限；离线状态时，对加密文件有阅读权限，不允许拷贝，截屏。离线时间可按照具体需求进行设置。
?
基于“三权”分立构建安全管理体系：对系统管理的权限划分细粒度高。默认为三种权限：日志管理员，系统管理员和普通管理员。其次可根据企业内部需要，自行增加管理员权限。例如：超级管理员，可以设定二级管理员（可多人不同分工），授权其只允许设定其他人员权限及策略，但不允许读取后台操作日志。
3.6.5. 全面外设管控
3.6.5.1. 移动存储 U 口管控
图 5、U 盘等移动存储设备安全管控 U 盘等移动存储设备管控：客户端使用的 U 盘，首次使用时，需要在服务端进行注册。注册时区分“内网专用模式”和“内外网通用模式” ；两种模式下，匹配的使用权限策略可以针对个人设定，也可以指定为单个移动存储设备。
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 15 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3.6.5.2. 外设及端口管控
图 6、终端外设及其端口管控种类涵盖全面的终端外设管控：对外设可按照在线和离线两种模式进行控制，并有使用日志记录；打印留有副本可下载。
3.6.6. 文件发送管理
文件发送分为内发和外发两种，两种发送都可以设定审核员，只有审核通过后才可以发送，内发一般可以不解密发送，外发已加密的文档，审核通过可以解密为明文发送。外发的文件可已设定生命周期限制，如：一段时间内可以打开，过后就无法产看；或者打开 N 次后文件即失效。在内部避免审核员繁琐操作，可进行白名单设定，对于白名单可以直接发送。对于高层人员，可以授予解密权限，在客户端即可批量加密和批量解密。外发流程示意图如下：
图 7、文件发送管理示意 1、默认情况：DLP 系统提供不同部门之间的文档是不能够相互查看的。 2、内发审核：企业不同部门之间的文档需要互通时，必须经过一定的审
深圳市虹安信息技术有限公司版权所有?2012 内部资料, 注意保密第 16 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
核机制。根据第一审核人的在线情况，可以灵活指定一个临时审核人，以接替第一审核人的审核工作。第一审核人可以收回临时审核人审核权限。 3、外发审核：外发审核工作流程与内发类似，同样可以指定临时审核人。 4、例外情况：1）、针对领导等可信人员可以配置文件白名单或者设置密文查看权限策略，接收或者查看任何部门的密文文件均不需要通过审核流程。2）、经常向外部固定合作伙伴进行邮件的往来时，可以将客户的邮箱联系方式制作成邮件白名单，当向此邮件地址发送邮件时，自动
解密附件。3）、由于工作业务性质的原因，需要同客户频繁进行文件往来时，可以配置自动审核的策略，外发给客户的文件自动解密，但同时会有详细的操作日志记录，并且保留发送的文件副本以作事后追踪审计。 4）、为了方便授权用户进行加密文件的解密，DLP 系统提供一种直接通过“右键菜单”形式的主动解密功能，而不需要通过其它解密流程。 5、移动办公：企业领导或者一般员工外出办公，既需要处理企业内部加密受控的文档，要不能够像企业内部一样方便地进行数据安全保护程序。针对这种移动办公数据安全保护的要求， DLP 系统提供一种简便有效移动数据安全解决方案，使用者只需要将装载有安全保护程序的 U 盘插入终端设备后，就可以轻松实现数据的安全保护，避免麻烦的安装部署和安全策略配置过程，进一步提高使用者的安全应用体验效果。
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 17 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3.6.7. 文件外发控制
图 8、外发文件全方位保护和全周期管理外发文件全方位保护和全周期管理：对外发送的文件可以根据需要制作为可控文件发送。例如：指定客户的某台机器（或者 U 盘）阅读文件，设定阅读时间为一周（或者只能打开 3 次），不允许打印和复制文件内容。 1、丰富认证方式（谁可以使用）提供适合不同安全强度的外发文件使用认证方式，比如密码口令、 U 盘 ID、终端物理 MAC 地址、在线网络认证等，并且可自由组合使用认证方式。 2、限制使用范围（在哪里使用）配合在线和离线认证模式，可以实现限制外发文件在固定终端上、单位局域网内、广域互联网中使用，以满足不同的使用场景。 3、使用权限控制（如何被使用） ? ? ? 使用权限：限制文件只读、可编辑、截屏、打开次数、另存为等；使用期限：限制文件打开时长、打开时间段、自动销毁等；使用版权：打印外发文件时，可以添加单位版权水印信息；
4、安全日志审计（何时在使用）记录所有用户的文件外发操作日志，泄密事件发生后可跟踪追溯。
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 18 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
3.6.8. 安全日志审计
图 9、全面而详尽的安全日志审计全面而详尽的日志记录：对客户端操作行为以及 U 盘等外设设备的使用均有详细的日志记录。可以追溯某个特定人员对某个文档的操作。
3.6.9. 数据备份恢复
安全系统快速备份和恢复：提供备份和恢复系统数据的功能，在系统升级过程中，能实现不同版本之间的数据迁移。文件意外情况安全保护：对所有的加密操作，都可以配置备份保护，并根据需要配置实时更新，避免重要数据因系统崩溃、断电等原因损毁。备份服务器可以同 DLP 服务器集成部署，也可以使用专用文件服务器分别部署，用大容量的文件服务器来满足海量存储需求。
3.7. DLP4.0 应用部署方案
3.7.1. 工作方式
虹安 DLP 系统架构为 C/S+B/S 架构，由服务端、客户端两大部分组成。其中管理员在任何地方均可通过 WEB 方式进行 DLP 服务器的系统设置、策略维护、日志审计等工作。而 DLP 客户端程序自动与 DLP 服务端程序通信连接，接收来自于服务端的安全控制策略，以及上传用户的操作日志记录等内容。 ? 三权分立管理模式
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 19 页 /共 33 页

虹安 DLP 数据泄露防护整体解决方案
1、系统管理员：进行 DLP 系统服务端各种参数设置和状态维护，比如通信 IP 地址及端口、数据连接地址、系统授权注册信息、文件备份、邮件中转服务等参数信息。 2、策略安全员：负责 U 盘、外设、文档、邮件白名单、审核人员等与文档安全保护有关的策略维护。为了策略维护和管理的方便，也可以设置一些部门策略安全人员。 3、安全审计员：担当客户端文档操作日志和服务端管理人员操作日志的审计角色。 ? 与域控管理相结合
将域控服务器的人员列表快速导入 DLP 系统的用户管理模块中，实现 DLP 用户与域控用户管理服务相结合，减轻 IT 维护管理人员的工作复杂度，从而提高工作效率。 ? DLP 系统服务端
服务端采用伸缩性和可移植性非常好的 JAVA 语言编写和构建，既可以安装部署在一般 WINDOWS 服务器中，又可以将植入硬件服务器中。DLP 服务器主要进行安全策略管理、权限管理、系统管理、部门及用户管理等系统主要功能；另外可以根据企业实际安全需要和成本考虑单独部署文件备份服务器来存储备份的加密文件。 ? DLP 系统客户端
终端用户需安装虹安 DLP 系统客户端程序，在登录 Windows 操作系统桌面的同时自动进行 DLP 系统身份认证工作，认证通过后根据服务端设置的安全控制策略，便可以使用拥有权限的数据资源，整个过程基本上由程序自动完成，无需用户参与。
深圳市虹安信息技术有限公司
版权所有?2012
内部资料, 注意保密
第 20 页 /共 33 页

虹安DLP4.0加密方案

相关文档

最新文档