基于文件内容智能识别的数据防泄密建设方案北京北信源软件股份有限公司2015-10-15通过一定的技术或管理手段,防止用户的指定数据或信息资产以违反安全策略规定的形式被有意或意外流出。(Dataleakageprevention,DLP)2019/12/25基于网络的数据泄漏防御方案(NDLP)基于终端的数据泄漏防御方案(HDLP)解决方案什么是数据泄漏防护(DLP)•以文件内容智能识别为核心•以企业内网为范围•以终端、网络、邮件的数据防护为目标•以检测、控制、警告、分析为手段VRVDLP:综合性智能化数据安全管理产品数据泄露现状•数据泄漏其实很容易每400封邮件中就有一封包含敏感信息每50份通过网络传输的文件中就有一份包含敏感数据每10个U盘中就有一个包含敏感信息•数据防泄漏迫在眉睫在数据泄漏事件的调查统计中,有96%是因为内部员工无意识泄漏所致数据保护正日益成为企业安全管理和风险控制的核心内容总部已部署内容过滤网关,对二级机构邮件及上网输出的数据进行检查,发现敏感内容就进行通报过滤网关二级机构需要解决的问题:•对Webmail进行检查,例如中石油邮箱、QQ邮箱、163邮箱、139邮箱等•对邮件客户端进行检查,例如outlook、formail•可检查邮件主题、正文、附件;•发现敏感信息,需要阻断、提醒、并记录日志;端机信息防泄漏中石油现状系统架构三大模块:•DLP数据管理平台•终端安全管理服务器•客户端桌面管理系统桌面管理系统桌面管理系统系统中心客户端客户端客户端DLP数据管理平台数据泄密场景展现三大难题:•关键数据定位难•数据泄密管控难•有效数据分析难管控范围管控范围主要包括终端途径和网络途径:终端途径:移动介质、打印机、刻录机、文件共享和蓝牙等等网络途径:QQ、邮件、网盘或者论坛贴吧等等滥用外发数据外发01邮件对邮件主题、内容、附件进行敏感信息检查,发现泄密行为可阻断、提醒、记录02网盘对上传至网盘、云盘的文件进行敏感信息检查,发现泄密行为可阻断、提醒、记录03IM对QQ聊天消息及发送文件进行敏感信息检查,发现泄密行为可阻断、提醒、记录CNPC、QQ、163、139、新浪、搜狐、Foxmail(ssl)、outlook(ssl)百度、新浪、QQ、360、华为、网易、金山、客户端QQWinXP/Win7+IE、Chrome、Firefox、360、搜狗外发数据防泄密流程敏感扫描智能识别引擎输出监视防护内容阻断方式泄密行为分析与审计滥用数据防泄密流程管控对象:移动存储介质、打印、刻录、FTP和文件共享敏感扫描:常见的文档类型:txt、office、WPS、pdf、zip、rar、7z支持关键字、支持正则表达式、支持模糊匹配支持文档嵌套发现敏感内容记录文件指纹标签阻断方式:提示是否阻断外发操作提示是否允许外发发现敏感内容记录审计01敏感内容使用监控02洞察重要数据资产分布03关键数据流转追踪我们如何解决敏感信息分散的问题技术保障先进的内容识别技术多维度安全策略自由组合高效的数据分类方法关键数据智能化归档基于文件内容智能识别引擎部署方式:在桌面安全管理系统的服务器和客户端升级即可,升级过程对现有终端计算机用户不会产生影响,无需重新安装部署服务器和客户端,实施难度大大降低,实施效果得到保障。兼容性:桌面安全管理系统的客户端在大港油田已经部署多年,客户端软件与终端上的其他软件兼容性较好,已经完全适应中石油的办公内网环境,不会与终端计算机上现有的其他软件发生冲突,且占用终端的资源不高;VRVDLP:北信源承建此项目优势人性化设计:北信源数据泄露防护系统在拦截敏感信息的逻辑上设计更为合理和人性化,不是简单的直接阻断,而是会给终端用户一个提示和告警,让用户自主选择和判断该文件是否是涉密文件,是否允许通过互联网外发。与现有功能集成:北信源数据泄露防护系统能够与现有的中石油主动加密工具集成,当检测到外发文件(比如外发邮件中的附件)含有敏感信息时,可以自动调用加密工具对外发文件加密,最大程度的保证数据的安全性VRVDLP:北信源承建此项目优势权限可控:北信源数据泄露防护系统采用权限分离的方式保证权限可控;下发策略的权限在现有VRV管理平台上设置。VRVDLP:北信源承建此项目优势北信源引领数据安全进入智能防护时代