搜索
数据泄露防护(DLP)解决方案以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。其中包括:数据安全网关数据安全隔离桌面电子邮件数据安全防护U盘外设数据安全防护笔记本涉密数据隔离安全保护系统笔记本电脑及移动办公安全文档数据外发控制安全1、数据安全网关背景:如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。概述:数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。具体可实现如下效果:应用安全准入采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制;统一身份认证数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等;下载加密上传解密下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作;提供黑白名单机制可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作;提供丰富日志审计详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作;支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全;2、数据安全隔离桌面背景:保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据?概述:在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。具体可实现效果:1)只保护安全区内敏感数据安全,其它数据不做处理;2)通过身份认证后,方可进入安全区;3)安全区内可直接通过安全桌面访问外部网络与资源;4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄;5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;特色优势:1)避免安全保护“一刀切”,可只保护敏感数据;2)敏感数据保护与自由上网,互不影响;3)不会损坏敏感数据,适合保护各类敏感数据,包括源代码、设计图纸等动则上G的大文件;3、电子邮件数据安全防护背景:电子邮件已经成为日常工作中最常用的通信工具之一。然而,电子邮件在网络中是以明文形式传输和存储,就犹如在信息高速公路上“裸奔”一样,企业敏感信息随时存在被截获和浏览的风险。端到端电子邮件加密服务已成为电子邮件市场的迫切需求。电子邮件加密客户端概述:电子邮件加密客户端是在实现普通邮件系统功能之上,综合运用身份认证、数字签名、邮件正文及附件加密等安全技术手段,为用户提供安全、可控、便捷的电子邮件服务.电子邮件加密客户端主要实现效果:1)身份认证:保障电子邮件使用者身份的真实性;2)数字签名与摘要:保障电子邮件内容的不可否认性与完整性;3)正文及附件加密:可对电子邮件的正文以及附件进行加密,未通过身份认证无法使用,保障电子邮件内容的安全性;4)权限控制:细粒度管控用户对电子邮件的使用权限,并对下载至本地终端的邮件附件仍可进行安全管控,保障合法用户在授权范围内使用电子邮件;5)日志审计:详细记录对电子邮件的操作记录,泄露行为可追溯;电子邮件加密主要特色优势:1)邮件正文与附件均可加密保护且不改变正常操作习惯;2)可与其它安全模块协同使用,更大范围保障用户数据安全;4、U盘外设数据安全防护部署结构图图2策略实现结构图针对移动存储设备的信息防泄露的安全需求,通过部署外设控制管理产品,可以有效解决前述的各种问题和矛盾。首先,通过数据加密机制和外设端口管理,包括无线网卡、蓝牙、红外、打印机、光驱(或只禁止刻录)、软驱、1394、调制解调器等外设接口,对移存储设备中的工作文件进行安全防护,防止各种方式的泄露以及意外丢失所带来的安全风险。其次,通过分组注册机制,专用U盘(内部使用),通用U盘(内外均可正常使用),对策略进行细分,详细控制使用者的使用范围和使用权限,实现移动存储设备的统一管理和策略授权。再次,通过离线时间控制策略,根据在线和离线不同场景,防止外出人员出差时候移动电脑失控,随意使用U盘拷贝文件。配合网络防火墙控制和访问权限控制功能,防止外网连接带来的木马和病毒传播扩散风险。最后,对U盘拷贝数据的流量进行限制,给出报警信息,并生成违规日志上报到后台。客户端在离线和在线的情况下都会进行USB交换数据的记录,并在连线时自动连接服务器上传日志文件。USB交换数据的记录能够导出到Excel,方便进一步的流转和分析。策略实现外设控制管理系统已经在被多家大型企业长期运行,结合信息在不同企业不同的流转过程,基于全面的数据安全防护理念,建立主动的内网信息防泄露平台,有效管控了U盘等移动存储设备泄密的风险,运行稳定,与操作系统和各类应用软件完全兼容,丝毫不影响员工的工作习惯。使用外设控制管理系统可以有效保护知识产权,防止企业核心数据通过移动存储设备泄密,系统简便、易操作,不改变现有使用习惯。外设控制管理系统与虹安数据泄露防护系统结合,可进一步提升安全管理水平。弹性的外部设备使用管理,无需完全禁用USB设备,安全享受移动存储设备为办公带来的便携性。建立移动存储设备使用规范,加强使用权限管理,规范信息转移,保证完整审计。通过透明加密文档信息,保证移动存储设备中的敏感信息安全。限制新接入移动存储设备的使用,有效预防U盘病毒泛滥。5、笔记本涉密数据隔离安全保护系统在笔记本终端上对涉密数据进行安全隔离保护,全方位防止涉密数据泄密,具体实现如下效果:1、在笔记本终端构建涉密数据隔离保护模式与正常工作模式在笔记本终端构建涉密数据隔离模式与正常工作模式。隔离保护模式下保护涉密数据,正常工作模式下不做处理,给予用户自由空间,最大限度消除用户抵触情绪,提升工作效率;2、需要进入笔记本涉密数据隔离保护模式时插入硬件KEY即可在需要进入笔记本终端涉密数据隔离保护模式时,仅须插入硬件KEY,通过身份认证即可进入隔离保护模式。涉密数据安全保护方便快捷;3.保护模式下多重隔离保护体系全方位防止涉密数据泄密在涉密数据隔离保护模式下,多重隔离防护体系,可全方位防止涉密数据泄密:3.1防止通过伪造身份途径泄密;通过硬件KEY加强用户身份认证,且KEY与用户终端绑定,进一步增强安全性;3.2防止通过卸解磁盘途径泄密;通过内核级磁盘加密技术,即使笔记本磁盘被卸载也不会导致涉密数据泄密;3.3防止通过拷贝、粘贴复制、另存为途径泄密;通过还原技术,防止涉密数据通过拷贝、粘贴复制、另存为等途径泄密;3.4防止通过网络、U盘外设途径泄密;通过网络、U盘外设隔离,防止涉密数据通过邮件、QQ、MSN、飞信、移动存储设备、打印机、红外、蓝牙、无形网卡等各种途径泄密;3.5涉密数据泄密行为可追溯;全面记录涉密数据的操作行为,据此可对泄密行为进行追溯。并可通过安全审计,检查系统所实施的安全策略是否恰当,寻求安全的持续改善;3.6只允许合法授权用户外发涉密数据;通过基于人员角色的权限控制,保障涉密数据外发必须通过合法授权且对外发行为进行记录;既不影响工作正常开展,也解决了涉密数据外发安全问题;4、支持笔记本移动办公场景,提升工作效率;通过离线策略,支持合法授权用户携带笔记本外出办公,既不影响工作正常开展,也解决了携带笔记本外出的数据安全问题;5、系统损耗低且不会损坏数据,稳定性好;通过隔离构建安全环境,而非对海量数据自身进行处理,来实现涉密数据安全保护目的。系统性能损耗低且不会损坏涉密数据,稳定性好;6、笔记本电脑及移动办公安全如今,在企业或用户组织中,经常使用笔记本电脑或需要移动办公的人员,往往在组织中处在比较重要的地位。对于企业而言,最典型的笔记本或移动办公用户是企业管理层、核心员工、销售或支持人员。这些成员处理的信息往往具备较大的流动性和重要性,有些甚至是公司的核心机密。由于这些人员的业务特征,其流动性和灵活性是必不可少的要求,因此,信息所面临的风险也就更加突出。笔记本或移动办公的信息安全问题也就成为大部分企业或组织的焦点问题。笔记本或移动办公的安全问题从管理角度来看,一般存在下列突出的矛盾:♦出差人员时常处理一些核心机密,而出差在外,信息面临的风险更大,需要更加严格的安全保护。事实上,笔记本丢失,硬盘丢失,出差人员使用外网发送机密信息,出差人员违规将信息发送给不恰当的对象等等。这些无一不成为企业信息安全主管,甚至是企业领导担心的焦点。♦在出差或移动办公过程中,公司业务的连续性和及时性需要得到更强的保障。而一般的安全解决方案,比如常见的离线策略、解密审批策略等往往缺乏时效性,安全是有了保障,业务却受到极大的干扰。♦笔记本或移动办公用户往往会在处理公司正常业务的同时,需要处理一些个人私事,甚至一些商务工作也必须要在公共网络和平台上开展。安全方案的实施,应该在不影响个人事务的开展前提下进行。♦使用笔记本出差或移动办公情况下,外发的文档和信息需要得到有效的监控和审计。概括上述问题,许多客户都陷入到一个困境之中:沟通要顺畅,安全要保障,二者似乎不可兼得。鱼和熊掌可以兼得,基于虹安Isolator信息安全隔离系统,虹安提出一个全新的笔记本和移动办公安全解决方案。安全方案隔离产品要求从存储隔离、运行隔离和网络隔离三个层次为用户信息建立完备的安全保障体系。首先,将用户电脑上的数据存储分为普通区和数据保护区,数据保护区进行数据加密处理。然后,针对两个存储区域数据的使用,分别形成普通模式和数据保护模式,二者隔离共存,切换自如。最后,保证用户在数据保护模式中只能够访问办公网络,数据保护区的信息在外发时受到安全策略控制。在普通模式中可以任意访问外部网络,不受约束。策略部署结构图隔离产品须具有5大功能:♦网络资源隔离♦应用环境隔离♦数据存储隔离♦文件日志审计♦磁盘分区加密针对网络隔离的需要,通过部署,可以有效解决前述的各种问题和矛盾。首先,通过在员工电脑终端上安装管理软件,电脑磁盘被划分为两个区域——普通区和数据保护区,数据保护区进行数据加密处理。即使硬盘被盗,也不会导致由磁盘引起数据泄密。其次,员工在数据保护模式开展工作,在普通模式下查阅资料,处理商务或个人事务。普通模式中的各种信息可以通过简单的复制、粘贴或拖拽动作就很方便的拷贝到数据保护区中。在普通模式下,各种外设端口都可以正常使用;而在数据保护模式下,除了外发文件受到监控之外,所有外设端口都是禁用的。最后,员工在普通模式中可以随意上外部网络、使用即时通讯软件,但不能登录公司内部办公网络和使用公司内部即时通讯软件。相反,员工只能够在数据保护模式中访问公司内部网络,所有内部网络上获得的信息也只会保存在数据保护区中。从数据保护模式向普通模式传递的任何信息都会受到安全策略的管理。根据权限,可能是禁止,也可能是申请审批或者事后审计。策略部署网络隔离信息安全解决方案,可以有效的解决网络隔离的安全性与便利性之间的矛盾,使安全方案真正的被用户所接受,提高工作效率,工作舒适度,确