亿赛通数据泄露防护(DLP)解决方案4.0

国内DLP的领航者亿赛通数据泄露防护（DLP）解决方案介绍郑州办事处曹献友1853851114018637369850应用背景1安全需求2解决方案3应用背景1公司简介4办公网数据泄密隐患无处不在核心网络数据内容生产者数据内容生产者第三方接触者内部内容传播使用者临时访客敏感信息下载业务数据上载数据安全威胁的根源数千年的内容安全管理信息时代的内容安全信息产生信息实体化信息存储保全信息利用信息实体销毁信息失效电子加工明文数据电子存储自由使用逻辑删除手工加工物理介质锁闭封存登记使用介质粉碎应用背景1安全需求2解决方案3应用背景1安全需求2公司简介4安全需求!移动笔记本、USB存储设备遗失或失窃导致数据泄密!邮件或网络误操作、误发送引起的泄密!保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等!感染病毒、木马后引发的敏感数据泄密5%10%25%!合作伙伴、外协人员接入内部网络非法获取敏感数据泄密!应用维护、开发人员访问系统后台及数据库非法获取敏感数据泄密!发送给客户、合作伙伴的敏感数据保管不当或恶意扩散引起的泄密!合同及图纸等敏感资料外部打印、复印时副本拷贝泄密!应用系统中存储数据遭非法窃取泄密被动泄密风险其他泄密风险第三方泄密风险60%!将公司内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录)!越权访问非授权数据泄密!盗用他们账号及设备非法访问数据泄密!伙同他人实现敏感数据跨安全域转移泄密!通过打印机、传真机等将敏感数据进行介质转换泄密!私自携带笔记本设备接入内部网络非法下载数据泄密!对敏感数据的恶意传播及扩散泄密!对核心应用系统的非安全接入及访问泄密!不遵守管理制度的其他导致数据泄密的行为主动泄密风险建设目标•公司内部核心数据防非法外泄1•重要数据内部使用、传播细粒度权限控制，防止非法扩散2•在线业务平台无缝兼容，不改变业务模式，不影响数据使用3•外发重要文档实现权限管控，防止外部多次扩散4•数据应用安全可实现全方位控制5•完整详细日志审计，分类管理，条件组合查询输出6•系统自身具备高效容灾管理机制，保障系统有效运行，数据防护不间断7应用背景1安全需求2解决方案3应用背景1安全需求2解决方案3公司简介4系统架构DLP服务器用户1部门1部门2管控平台数据库服务器Agent•C/S、B/S架构•支持集中式、分布式部署领导A用户2领导2…………AgentAgentAgent产品技术路线加密原理：读解密、写加密工作层次：Windows内核层工作特性：透明、强制、无感知安全模型：双文件系统/双缓存Disk（密文）Windows缓存处理器文件系统Windows系统缓存用户层内核层存储层DLP缓存安全加固DLP安全通信控制DLP内核访问控制透明加解密数剧同步DLP应用访问控制DLP自我防护DLP摆渡引擎DLP签名检验DLP过滤引擎内核防护区安全策略安全防护区DLP明文缓存授权读写请求-明文非授权读写请求-密文一、提供一个安全的开发管控环境•电子文档透明加密内部使用外部使用合法离网脱机明文外发密文外发密文外带合法出口非法出口竞争对手窃密员工离职拷贝内部不当行为系统漏洞失密办公设备丢失二、提供权限可控的内部传播环境•电子文档分级授权授权密文档创建文档创建者密涉密文档授权信息授权A部门人员1只读授权B部门人员2只读/打印授权C部门人员3只读/打印/修改授权D部门人员4只读/打印/修改/再授权授权集中管理服务平台已授权用户人员1只读人员2只读/打印人员3只读/打印/修改人员4只读/打印/修改/再授权授权文档其他用户密密密授权三、提供一种有效的外发控制机制只读/打印/复制/修改/拷屏1次2次3次文档操作行为及时限控制文档访问权限认证口令认证方式Key认证方式机器绑定认证方式外发文档管理员制作外发文档外发文档创建文件彻底销毁应用系统服务器C/S应用用户数据库服务器B/S管理用户防火墙文档安全网关文档安全网关实现下载加密上传解密SVN、OA等应用系统数据明文保存支持查询便于应用终端数据密文保存防止外泄确保安全非法客户端•应用系统安全准入/加解密集成四、保障集中存储和访问安全五、保障核心数据内容应用安全内容安全剪切板禁止打印打印截屏另存为六、保障核心数据完整性保护备份（本地/远程）七、保障密文离线应用安全脱机冗余离线补时出差申请CA与企业身份认证体系结合满足用户统一认证适用于信息化建设偏弱企业灵活建立用户体系混合认证两种方式混合认证，功能完善性互补！第三方系统集成认证亿赛通本地身份认证八、保障用户身份认证安全九、日志审计内容接触者数据内容生产者数据内容传播者第三方内容接触者内容安全模式透明加解密细粒化分级授权文档外发、外带管理应用控制模式剪贴板控制防止内容脱离安全范围打印、传真控制防止内容转换介质管理控制模式外设管理数据生命周期管理确保内容可销毁实现效果透明加密主动加密授权强制加密+主动授权公司内部密文外发明文外发合法离网脱机外部合作竞争对手窃密员工离职拷贝内部不当行为系统漏洞失密设备丢失失控非法脱机密文上传密文下载密文上传密文下载SVNOAIMSSAP明文上传明文下载明文上传明文下载外发管理员内部外出外发出口合法出口非法出口应用系统集成授权信息设计院业务部门管理部门其他密文外带方案特色稳定性可靠性亿赛通DLPAB易用性D兼容性C不改变操作习惯加密过程无感知系统维护简单培训推广方便支持文件全生命周期管理支持组织完整的数据防泄漏保护自我保护机制事前防御事中控制事后审计三权分离授权使用驱动层加密，支持*.*文件支持和业务系统整合支持LINUX平台兼容主流安全软件兼容主流操作系统应用背景1安全需求2解决方案3应用背景1安全需求2解决方案3公司简介4公司介绍4发展历程2002200520092014杨帆探索领航扩张技术服务中心覆盖全国全国21个办事处300多家代理商技术领航中国第一套文档安全管理系统2005年——外交部中国第一套文档透明加解密系统2006年——德信无线中国第一套全磁盘加密(FDE)系统2007年——国内唯一一家全球第一部文档安全加密网关2009年——艾默生中国第一套数据防泄漏(DLP)系统2008年——首次提出概念全球第一套移动终端应用程序防破解(Anti-Hacking)系统2011——江苏移动移动终端知识产权保护中国第一套文档外协管理系统2010年——为航天系统定制中国第一套手机客户端2011——手机协同数据防护中国第一套移动客户端2012——U盘动态加密保护行业资质行业资质亿赛通入围中央政府采购网亿赛通是唯一一家全系列产品入围中央政府采购网的安全厂商！品质保证源于客户的检验10年的核心技术能力！3000家企事业单位，100万终端的质量保障！项目名称研发设计行业应用案例宇龙通信核心研发数据防泄漏项目•实现对核心研发数据的全生命周期管控•一期8000终端用户，全集团统一部署•透明加密模块(SmartSec)、文档加密网关(FileNetSec)•集中式分级管理架构•与产品生命周期管理系统PLM、代码配置管理系统IBMClearCase等进行安全集成•MicrosoftAD•开发与手机终端集成的多级业务审批流程•开发与MicrosoftExchange集成的多级邮件审批业务流程项目目标项目规模产品模块部署架构应用集成用户认证方案定制项目名称运营商行业应用案例•中国移动计算机终端统一管理平台项目•保障OA办公系统数据终端存储和使用安全•76，000终端用户•权限控制模块(DRM)•分布式分级管理架构•与集团OA系统进行松散集成，直接将密文数据上传至OA系统或手动解密上传•与NOVELLED域实现统一身份认证•与NovellED实现统一身份认证•实现分布式二级部署及管理架构•集团数据库、省数据库信息定期增量同步任务•支持OA办公用户跨省漫游办公项目目标项目规模产品模块部署架构应用集成用户认证方案定制物流行业成功案例项目名称•德邦物流数据泄露防护项目•保护公司客户端和服务器所有电子文档的数据安全•一期20000终端用户，预计明年还要增加更多用户数•CDG+系统集成+外发•总部集中部署，服务器集群方案，5台应用服务器，2台数据库服务器，•和自己开发的OA系统、金蝶ERP做集成。•和OA用户同步做身份认证•亿赛通提供标准接口，和OA做集成，其他系统都以OA应用为基础，运用双浏览器实现。项目目标项目规模产品模块部署架构应用集成用户认证方案定制项目名称政府行业应用案例•中国民航华东空管局管理信息网网络安全设备采购及集成项目•西区网络建设方案、备份系统、内网桌面管理系统、网络防病毒系统、信息加密系统、主机安全审计设备、漏洞检测系统、百兆统一威胁管理系统、分局站增强安全实施方案：网络防病毒系统、千兆防火墙、千兆入侵防御系统及行为管理系统•一期部署华东上海局约2000终端用户，后续将推广至华东区其他分局•透明加密模块(SmartSec)、外发控制模块(ODM)、文档加密网关(FileNetSec)、磁盘全盘加密模块(DiskSEC)•集中式分级管理架构•与统一身份认证管理平台(主要用来实现单点登录认证)、全局/局部公文(OA)系统、内/外部网站、全局/局部邮局系统、人力资源系统等进行安全集成•上海南康科技统一身份认证管理平台项目组成项目规模产品模块部署架构应用集成用户认证方案定制项目名称金融行业应用案例•广发证券文件加密系统项目•首先在内部管理要求对各类系统文档及数据进行加密保护，防止内部重要信息外泄。同时也面临证监会各项法规要求对内部信息资源进行严格的监控，•一期总部1000点，分支机构5000点，二期加到20000点•CDG、文档加密网关(FileNetSec)•集中式分级管理架构•与IBMFileNet知识管理系统进行紧密集成，后台应用含知识库、公文、邮件、OA等•IBMLotusDomino•广发证券曾调研国内外各大加密厂商及产品，并最终选择亿赛通数据防泄露系统进行部署，主要原因包括：系统定制化功能较强，可适应广发较复杂的应用场景；网关系统实施对现有系统改造程度较小，易于部署，且能最大限度保护系统数据文档；可对文档权限灵活控制，并有全面的日志跟踪记录，便于事后追查。项目目标项目规模产品模块部署架构应用集成用户认证客户评价项目名称制造行业应用案例艾默生集团ENPC数据保护系统(DPS)一期工程•实现对核心研发数据的全生命周期管控•一期3，000终端用户，将执行全球标准化，二期向海外推广加到10000点•透明加密模块(SmartSec)、外发控制模块(ODM)、应用准入控制网关(AppNetSec)•分布式分级管理架构•与IBMLotusNotes、OracleERP、PLM、IPMS、Citrix、ProjectServer、UPSServer、SVN、CVS、IBMClearCase、VSS等进行安全集成•MicrosoftAD•开发基于身份控制的应用准入网关，弥补SEP网络准入策略粗放导致的应用接入隐患•开发基于HTTPS协议的加密网关集成模块，实现对所有B/S架构业务系统的安全集成•开发NotesMail协议的加密网关集成模块，实现对NotesMail发送对象的黑白名单控制项目目标项目规模产品模块部署架构应用集成用户认证方案定制Q&A