DLP數據泄露防護系統

隨着信息技術的飛速發展，計算機和網絡已成為日常辦公、通訊交流和協作互動的必備工具和途徑。但是，信息系統在提高人們工作效率的同時，也對信息的存儲、訪問控制及信息系統中的計算機終端及服務器的訪問控制提出了安全需求。對內外安全的解決方案，還停留在防火牆、入侵檢測、網絡防病毒等被動防護手段上。在過去的一年中，全球98.2%的計算機用户使用殺毒軟件，90.7%設有防火牆，75.1%使用反間諜程序軟件，但卻有83.7%的用户遭遇過至少一次病毒、蠕蟲或者木馬的攻擊，79.5%遭遇過至少一次間諜程序攻擊事件。

數據泄漏的途徑可歸類為三種：在使用狀態下的泄密、在存儲狀態下的泄密和在傳輸狀態下的泄密。一般企業可通過安裝防火牆、殺毒軟件等方法來阻擋外部的入侵，但是事實上97%的信息泄密事件源於企業內部，所以就以上三種泄密途徑分析，信息外泄的根源在於：

1、使用泄漏；（1）操作失誤導致技術數據泄漏或損壞；（2）通過打印、剪切、複製、粘貼、另存為、重命名等操作泄漏數據。

2、存儲泄漏：（1） 數據中心、服務器、數據庫的數據被隨意下載、共享泄漏；（2）離職人員通過U盤、CD/DVD、移動硬盤隨意拷走機密資料；（3）移動筆記本被盜、丟失或維修造成數據泄漏。

3、傳輸泄漏：（1）通過email、QQ、MSN等輕易傳輸機密資料；（2）通過網絡監聽、攔截等方式篡改、偽造傳輸數據。

以下是DLP數據泄漏防護系統的原理圖

通過身份認證和加密控制以及使用日誌的統計對內部文件進行控制。在數據泄漏防護市場裏面，國內具備自主知識產權的產品生產廠家為數不多。

數據泄漏防護技術（DLP）日漸成為市場上最為重要的安全技術之一。企業青睞數據泄漏防護技術來保護所有權數據和滿足法規遵從的需要，為想要接觸安全市場中最敏感部分的解決方案提供商提供了巨大的商機。數據泄漏防護技術也為安全產品銷售商帶來了大量機遇。

1. 服務器加密維護

對服務器羣的維護，由DNetSec來完成。DNetSec由硬件和軟件兩大部分組成，各種硬件採用高機能的蒐集服務器，軟件為文檔安全網關軟件。DNetSec對一切上傳到服務器的文檔自動中止解密，對一切從服務器下載文檔自動中止加密。

2. 辦公蒐集和手藝蒐集文檔維護

在辦公局域網和手藝局域網等內部蒐集中，採用透明加密敵手藝蒐集內的手藝文檔、設計圖紙、源代碼、電路圖等中間資料中止自動、強迫、實時加密。採用文檔權限管理對管理部門的辦公信件、財務部門的財務數據、發賣部門的客户資料、市場部門的謀劃方案等商業機密文件中止權限節制。經由兩種管理體式款式，確保內部蒐集終端安全，防止內部中間信息外泄。

3. 文檔外發節制

對企業內部發往出差人員、協作單位等系統外的文檔。當外發文件掀開時，需經由用户身份認證，方可閲讀文件。同時，外發文件可以限制回收者的閲讀次數和運用時分等細粒度的權限，從而有效防止了客户首要信息被非法擴散。

4. 離線脱機辦公管理

在人員出差或其他情況下，需求外帶筆記本電腦，經由計謀設定，可以確保對離線筆記本電腦數據的節制。

5. 筆記本電腦管理

對存有首要資料的筆記本電腦，採用磁盤加密。

6. 內網端口管理和移動設備管理

對內網中的一切端口和移動設備，對U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口中止節制，並能對拷貝到移動存儲設備的文檔加密。

7. 文檔自動備份

文檔每次保管後均自動備份到備份服務器中。文檔管理員可經由改動備份的方式和路子，完成備份管理。用户在分開服務器方式下的文檔，也將自動備份到當地硬盤中。經由備份，可有效避免因為各類意外招致的數據損失。

8. 日誌審計

能夠看管、跟蹤、記錄一切用户的悉數操作，實時查看系統的運用情況，完成最高的系統安全。可以從嚴重的記錄數據中抽取有用的信息，對用户的某些操作中止分類整理，經由操作記錄，回溯歷史活動，從而發現泄密渠道。經由跟蹤今朝用户操作，能及時發現用户的風險操作，在泄密工作發現前就獲得警報，遏止泄密工作的發生。一旦泄密工作發生，經由用户操作記錄, 可以第一時分拿出最有力的證據。

安全網關是一款專用於企業數據中心與辦公網絡有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客户端的准入，從文件在企業的使用流程入手，將數據泄露防護與企業現有 OA 系統、文件服務系統、ERP 系統、CRM 系統等企業應用系統完美結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脱離企業應用系統環境後的安全問題。為企業部署的所有應用系統提供有效的安全保障。

1.功能價值

完成安全網關和企業現有應用系統無縫集成，自動完成對經過網關的數據進行強制加解密——上傳解密，下載加密；

加密客户端通過網關，正常訪問應用系統服務器；

非涉密客户端計算機，在通過安全網關時，會被安全網關篩選和拒絕，無法通過 網關 訪問 OA/PDM 服務器

a.透明加密

b.智能自動加密

c.高度的穩定性

d.強大的系統兼容性

e.詳盡的日誌審計

四、方案特徵：

1. DLP的一切功用基於一套無缺、和諧的系統，可以完成的統一管理和計謀聯動，在實施、管理、維護、升級等一系列活動中，便當靈活，極大地降低了成本;

2. DLP系統以數據加密為中間，別離了身份認證、日誌審計、文檔備份、文檔流程審批、外發節制等功用，系統本身具備容災管理功用，在基於用户需求的基礎上，合營各類安全計謀，不只從來源上完成了文檔的失密，還有效完成蒐集邊境管理，是高效的分域安全架構;

3. 能與各應用平台集成，支撐通用文件把戲如：office系列、PDF、CAD、源代碼、電路圖等。能與各類特徵平台集成，如各類OA系統，支撐各類認證系統(AD、CA、ED等)。

4. 該系統支撐大用户管理系統，能知足10萬點以上大侷限端點節制需求，可以完成負載均衡、熱備和多級管理方式等;

5. 具有高度的模塊化和擴展性，可以根據製造企業展開的需求，擴展其他功用，比如：電子郵件加密，輸出內容監控等模塊。

優盾文檔安全管理軟件自動加密版適用於對安全性、統一管理有很高要求的用户。可滿足需要對主動泄密與被動泄密進行防護的用户。 信息防泄漏系統採用透明加解密技術，在完全不改變企業原有工作流程和文件使用習慣的前提下，對企業內部的關鍵數據文件實行監控和強制加密保護，有效的防止被動和主動泄密。

1.在靜態工作站鏡像上測試是非常不錯的，但數據丟失防護的大多數問題出現在首次DLP數據泄露防護系統的用户。在你推出部署數據丟失防護解決方案的第一個部門確定一些關鍵用户，根據需要對他們進行培訓，並在測試階段與他們密切合作。通過關鍵用户的幫助，可以避免非技術業務部門測試中出現的問題，也可避免部署中沒有任何用户反饋的情形發生。

2.確保你的目錄服務器是最新和準確的（這實際適用於任何形式的DLP數據泄露防護系統）。大部分組織將他們的數據丟失防護策略設計成根據用户角色應用不同的策略。即使一個計算機組已經映射到一個業務單元或該業務單元中的一個特定用户，在下次更新時可能會破壞該策略。依據用户以及組或者角色要比依據計算機來管理好得多，即使這意味着你首先需要花一些時間對你的目錄服務器進行調整。 ^[1] 

3.建立適應用户在你的數DLP數據泄露防護系統。切換一個模式匹配策略，例如正則表達將會增加誤報，但會減少對電腦性能的影響。你也可以設置策略切換到監控/警告模式，而不是阻塞模式來進一步減少對用户的影響，雖然安全風險較高。

4.首先關注終端發現和USB保護。在一系列的DLP數據泄露防護系統工具中，發現（查找本地硬盤上的敏感信息）和USB監控/阻塞是最重要的兩個功能。幫助跟蹤用户在受認可的企業應用程序之外獲取敏感信息，和在本地存儲或共享敏感信息的行為也是終端數據丟失防護的重要特徵。一旦啓用終端發現，選擇增量掃描（如果你的產品提供了該功能）；沒有人希望他們的電腦因為每週三午間的殺毒掃描而突然停止，而每週四又進行數據丟失防護掃描。

5.慢慢來，逐步推出代理和策略。在完成你的DLP數據泄露防護系統初步測試後，一個組一個組的推出那些策略來確保產品具有良好適用性，這樣以來不會給你的事件響應團隊造成太大壓力。當用户第一次開始使用數據丟失防護時，幾乎每一個DLP數據泄露防護系統客户都會出現大量的策略違反報告，直到用户自我訓練到可以更好地管理受保護的信息之時這一情況才會得到緩解。 ^[1]