• 云服務

  SOLUTION CENTER
• IDC方案設計
• 云服務
• 智能化弱電系統(tǒng)集成
• IT外包服務

數(shù)據(jù)泄露防護系統(tǒng)(DLP)

數(shù)據(jù)泄露防護DLP整體解決方案

DLP數(shù)據(jù)泄露防護系列

N-DLP（網(wǎng)絡DLP）-硬件

N-DLP系統(tǒng)對網(wǎng)絡中的敏感數(shù)據(jù)進行內容識別、威脅監(jiān)控與安全防護（阻斷、提醒、告警、加密等），實現(xiàn)網(wǎng)絡中敏感數(shù)據(jù)泄露防護；

S-DLPForFileServers(存儲DLP)-硬件

S-DLPForFileServers系統(tǒng)對文件服務器中的敏感數(shù)據(jù)進行內容識別、危險監(jiān)控與安全防護（阻斷、提醒、告警、加密等），實現(xiàn)文件服務器中敏感數(shù)據(jù)泄露、擴散防護；

S-DLPForEmail(郵件DLP)-硬件

S-DLPForEmail系統(tǒng)對郵件中的敏感數(shù)據(jù)進行內容識別、威脅監(jiān)控與安全防護（阻斷、提醒、告警、加密等），實現(xiàn)郵件中敏感數(shù)據(jù)泄露防護；

E-DLP(終端DLP)

E-DLP系統(tǒng)對終端中的敏感數(shù)據(jù)進行內容識別、威脅監(jiān)控與安全防護（阻斷、提醒、告警、加密等），實現(xiàn)終端中敏感數(shù)據(jù)泄露、擴散防護；

C-DLP(云DLP)-硬件

C-DLP系統(tǒng)對云端敏感數(shù)據(jù)進行內容識別、危險行為監(jiān)控與安全防護（阻斷、提醒、告警、加密...），在不影響使用的前提下，實現(xiàn)云端敏感數(shù)據(jù)泄露、擴散防護；

M-DLP(移動DLP)-硬件

M-DLP系統(tǒng)對應用系統(tǒng)以及智能移動終端（支持IOS、Android）中敏感數(shù)據(jù)進行內容識別、威脅監(jiān)控與安全防護（阻斷、提醒、告警、加密、模糊化...），實現(xiàn)數(shù)據(jù)泄露、擴散防護；

DLP風險監(jiān)控與態(tài)勢預警系統(tǒng)-硬件

在DLP平臺上同時構建起敏感內容識別、預警監(jiān)控、安全態(tài)勢、風險評測——縱深式動態(tài)防御體系。DLP數(shù)據(jù)泄露防護，更加注重智能化、更加注重安全管理。

DLP安全管理-硬件

在DLP平臺上，自動強制實施通用的數(shù)據(jù)泄露防護策略，以便執(zhí)行檢測、事件補救工作流程和自動化、報告、系統(tǒng)管理及安全保護。

借助統(tǒng)一平臺上提供的全面的系統(tǒng)管理和安全功能，可以跨網(wǎng)絡、存儲和端點集中管理數(shù)據(jù)安全策略，并執(zhí)行全局部署。只需定義一次策略，就可以將安全策略的管理和強制實施全面推送到各地的業(yè)務部門?？梢葬槍Ω唢L險業(yè)務部門有重點地加強安全意識與培訓。能夠針對違反策略的行為發(fā)出實時通知以改變員工行為。

DLP安全平臺-硬件

DLP安全平臺采用開放式體系架構、模塊化設計，簡化了所有規(guī)模組織的風險與合規(guī)性管理，提升管理效率。N-DLP、S-DLP、E-DLP等均可在一個DLP安全平臺上；

1.背景概述

當前，企業(yè)內部的安全性要求仍然主要集中在系統(tǒng)安全性以及防病毒和黑客入侵等方面的網(wǎng)絡安全性。對于傳統(tǒng)PC終端而言，由于每臺機器都有本地存儲和網(wǎng)絡功能，數(shù)據(jù)安全的短板效應無法避免，安全維護的成本也居高不下，而且效果往往不盡人意。因此需要在對現(xiàn)有應用業(yè)務模式不影響的情況下，能夠對數(shù)據(jù)進行全面而有效的安全防護。

現(xiàn)代企業(yè)規(guī)模龐大、分公司及分支機構繁多而且分布廣泛，需要大量的業(yè)務數(shù)據(jù)信息作為支撐。企業(yè)信息化的飛速發(fā)展使得企業(yè)各部門之間能夠迅速地獲取、傳遞、處理和利用各自所需的信息，提高辦公效率，節(jié)省辦公費用，使管理者能實時、動態(tài)地了解到本單位各種資源的實施情況。

但是由于業(yè)務上的需要，企業(yè)需要開放移動存儲設備、計算機外設和網(wǎng)絡的資源，企業(yè)部署的傳統(tǒng)網(wǎng)絡或者系統(tǒng)安全設備和系統(tǒng)已經(jīng)不能夠很好好適應信息安全形勢的新變化。首先，為企業(yè)用戶提供正常辦公及處理內部業(yè)務使得文檔交流傳輸過程難以安全可控，文檔脫離內部管理平臺容易造成文件的擴散和外泄。其次，內部終端用戶的文檔操作行為管理也不規(guī)范。最后，企業(yè)內部移動存儲設備可以隨意在任意物理終端計算機上使用，容易感染病毒和泄密；移動存儲介質丟失后，極易導致敏感數(shù)據(jù)泄密。

為提高企業(yè)內部數(shù)據(jù)協(xié)同和高效運作，實現(xiàn)內部辦公文檔交流過程安全可控，實現(xiàn)文檔脫離內部管理平臺后能有效防止文件的擴散和外泄。對于內部文檔使用范圍、文檔流轉等進行控制管理，以防止文檔內部核心信息非法授權閱覽、拷貝、篡改。既防止文檔外泄和擴散，又支持內部知識積累和文件共享的目的。另外，數(shù)據(jù)安全的同時更加注重用戶操作體驗的感受。

2.應用現(xiàn)狀

根據(jù)企業(yè)信息化的業(yè)務應用需求，企業(yè)每個員工的業(yè)務操作方式主要集中在終端之上，但也會從OA應用系統(tǒng)、文件服務器或者郵件系統(tǒng)等應用服務系統(tǒng)中瀏覽數(shù)據(jù)或者下載文檔，存在如下主要幾個方面的數(shù)據(jù)安全隱患以及操作體驗要求，如下圖所示。

1）、員工可以通過物理終端的U口以及各種外設端口將數(shù)據(jù)泄露出去，例如，通過U盤等

移動存儲以及打印機設備，可輕松進行數(shù)據(jù)的拷貝；

2）、員工通過網(wǎng)絡的形式將數(shù)據(jù)泄露出去，例如，通過郵件方式、IM即時通訊工具以及各

種網(wǎng)絡工作傳送數(shù)據(jù)至外部。

3)、由于業(yè)務共享協(xié)作需要，外發(fā)出去的數(shù)據(jù)在安全保護的前提下，不影響正常使用；

4）、企業(yè)內部人員之間的數(shù)據(jù)交互需要保持安全和流暢；

5）、企業(yè)內部人員與外部客戶之間的數(shù)據(jù)交互需要保持安全和流暢；

6）、企業(yè)內部人員業(yè)務外出、在家辦公等場景的數(shù)據(jù)交互安全和流暢；

7）、分支機構、移動出差人員需要進行內部文件的方便快捷的審批。

圖1、企業(yè)數(shù)據(jù)安全業(yè)務應用現(xiàn)狀

3.方案

3.1.安全概述

科技和商業(yè)飛速發(fā)展，企業(yè)機密數(shù)據(jù)和內部敏感信息的安全越來越重要，一旦這些信息和數(shù)據(jù)被泄密，企業(yè)往往會蒙受巨大的經(jīng)濟損失。

隨著信息技術的進步，計算機和網(wǎng)絡已成為日常辦公、通信交流和協(xié)作互動的必備工具。但信息技術提高人們工作效率的同時，也對信息安全防范提出了更高的要求。

目前大多數(shù)用戶對辦公網(wǎng)絡的安全防范方式，仍然停留在采用防火墻、入侵檢測、防病毒等被動防護階段。在過去一年中，全球98.2％的計算機用戶使用殺毒軟件，90.7％設有防火墻，75.1％使用反間諜程序的軟件；有83.7％的用戶遭遇過至少一次病毒、蠕蟲或木馬攻擊事件，79.5％遭遇過至少一次間諜程序攻擊事件。而國家計算機信息安全測評中心數(shù)據(jù)顯示：機密資料通過網(wǎng)絡泄漏造成損失的單位中，其中被黑客竊取和被內部員工泄漏，兩者的比例為：1：99。這是來自于國家計算機信息安全測評中心的一個數(shù)據(jù)，該調查顯示，互聯(lián)網(wǎng)接入單位由于內部機密通過網(wǎng)絡泄漏而造成重大損失的事件中，只有1%是被黑客竊取的，另外的99%全部是由于內部員工有意或無意的泄密行為所導致。

在外設管理方面，有50%的企業(yè)因USB使用不當而丟失數(shù)據(jù)。用戶可以隨意接入各類外設和移動存儲設備，帶走內部資料。如：U盤、移動硬盤、手機/MP3/MP4、CF/MD/SD卡、數(shù)碼相機……這些外圍設備容量越來越大，但體積越來越小，無疑提高了效率，給工作帶來便捷。但在愉悅享受高科技產(chǎn)品帶來的便利之時，也給信息安全帶來嚴重威脅，讓別有用心者有可乘之機。受利益驅使，可能會有內部員工直接參與盜取重要信息數(shù)據(jù)的行為，近年來，類似力拓“間諜門”的泄密事件時有發(fā)生。

近年來，數(shù)據(jù)安全保護模式正悄然發(fā)生變化，由傳統(tǒng)PC終端的系統(tǒng)或者網(wǎng)絡安全防護逐漸面向以數(shù)據(jù)為中心的安全保護模式，如何防范內部泄密事件，安心享用現(xiàn)代科技的便捷如何保護好企業(yè)的智力資產(chǎn)，保持市場信息優(yōu)勢呢是擺在每一個信息化企業(yè)面前重要而緊迫的課題。

3.2.數(shù)據(jù)風險

根據(jù)國際權威機構Garnter調查數(shù)據(jù)表明，97%的泄漏事件源自企業(yè)內部：人員流失，以及任何有意或無意的操作行為，或管理疏漏，都有可能對企業(yè)造成巨大的經(jīng)濟損失。

目前，基于企業(yè)內部現(xiàn)存網(wǎng)絡流通的一系列文檔，如果這類文檔外泄、擴散、丟失，很有可能造成競爭對手先于市場得到企業(yè)的產(chǎn)品機密或者商業(yè)秘密，導致不可估量的損失。根據(jù)對企業(yè)現(xiàn)有數(shù)據(jù)業(yè)務應用模式，來自企業(yè)內部的安全威脅和風險主要有以下幾類：

l  數(shù)據(jù)泄密通道風險-U盤等移動存儲設備以及打印機等外部設備

表1、U盤等移動存儲設備以及打印機等外部設備風險

l  數(shù)據(jù)離線外發(fā)風險-移動辦公、效果展示、協(xié)作外發(fā)等應用場景

表2、數(shù)據(jù)離線外發(fā)風險-移動辦公、效果展示、協(xié)作外發(fā)等應用場景

l  數(shù)據(jù)內部流轉風險-部門之間、分公司之間的數(shù)據(jù)交換和流轉

表3、數(shù)據(jù)內部流轉風險-部門之間、分公司之間的數(shù)據(jù)交換和流轉

l  應用服務接入數(shù)據(jù)安全風險-分支機構、臨時人員、網(wǎng)絡黑客、移動辦公人員等不同類型人員對企業(yè)內部應用服務的安全接入，例如OA、郵件服務、文件集中存儲服務器等。

表4、數(shù)據(jù)內部流轉風險-部門之間、分公司之間的數(shù)據(jù)交換和流轉

l  對重點部門核心數(shù)據(jù)進行安全加固防護-例如三維設計、圖紙工藝等

1、現(xiàn)代企業(yè)普通使用文件服務器、郵件服務器、OA應用服務器等業(yè)務應用系統(tǒng)，工作數(shù)據(jù)統(tǒng)一集中存放于這些服務器之中，其安全保護力度需要更加具有針對性并保證可用性。

2、重點部門的核心數(shù)據(jù)往往具有在固定團隊和一定的范圍內流通的顯著特點，而且這些數(shù)據(jù)通常也涉及到企業(yè)的核心競爭力，因此需要從存儲、使用、網(wǎng)絡三個層面全方位給予進行安全分層、安全區(qū)域的保護。

上述風險分析中可以看出數(shù)據(jù)在使用、傳輸、存儲過程中最容易出現(xiàn)安全隱患。數(shù)據(jù)安全要立足于用戶終端，并延伸至網(wǎng)絡，從數(shù)據(jù)安全源頭抓起，才能從根本上解決安全問題，才能做到有的放矢，更具針對性和前瞻性。

3.3.解決思想

三昶公司針對企業(yè)數(shù)據(jù)保護類型的重要程度，提出以數(shù)據(jù)特點為設計原則，以安全風險為驅動，以模塊化設計為思想，以服務客戶為目標的整體安全解決方案。詳細分析客戶的管理模式和業(yè)務流程，評估存在的數(shù)據(jù)泄漏風險，并在客戶現(xiàn)有業(yè)務系統(tǒng)基礎之上，提供針對性的安全解決方案，幫助企業(yè)用戶改進和規(guī)范客戶的數(shù)據(jù)風險管理體系。如下表圖所示。

圖、數(shù)據(jù)安全產(chǎn)品整體設計理念示意

表5、數(shù)據(jù)安全風險、安全產(chǎn)品、安全解決思想對應關系

3.4.系統(tǒng)安全架構

圖1、三昶DLP數(shù)據(jù)泄露防護系統(tǒng)安全架構

三昶DLP系統(tǒng)采用基于B/S+C/S的控制和管理模式，結合安全功能執(zhí)行與安全控制策略分離的思想，使得系統(tǒng)安全控制功能執(zhí)行更加有效，安全控制策略管理更加高效。

圖2、三昶DLP系統(tǒng)軟件架構示意圖

三昶DLP數(shù)據(jù)泄露防護平臺采用開放式體系結構的可擴展的安全管理理念，簡化了所有規(guī)模組織的風險與合規(guī)性管理的統(tǒng)一性和效率。平臺從辦公文檔、設計圖紙和數(shù)據(jù)使用環(huán)境隔離兩個核心層面進行防護，采用認證、加密、標簽、審計、內核驅動、沙箱、還原、訪問控制、應用防火墻等技術，對企業(yè)機密文檔、U盤外設、外發(fā)文件、瀏覽器應用、移動存儲設備、筆記本計算機、應用系統(tǒng)機密信息進行控制與保護，從而構建保護企業(yè)數(shù)據(jù)的完善的立體縱深防御系統(tǒng)。通過數(shù)據(jù)安全平臺，可以輕松幫助企業(yè)實現(xiàn)數(shù)據(jù)安全應用和管理。

n  集中平臺管理

多角色的訪問控制技術:系統(tǒng)維護、安全策略、安全審計三權分立；

統(tǒng)一安全框架:統(tǒng)一管理終端、數(shù)據(jù)、行為、設備的安全防護，制定適合管理需要的策略

Web的單一界面：整合多層次體系結構、強大安全策略設置、用戶及終端安全狀態(tài)；

n  靈活部署

應用按需添加：分層提供服務、功能組件模塊化應用按需添加；

系統(tǒng)廣泛兼容：與Windows域無縫集成，兼容主流殺毒軟件，全面支持WIN7及64位操作系統(tǒng)；

C/S+B/S架構：廣泛適應于移動辦公、異地管理、臨時接入等使用場景；

3.5.解決效果

圖3、數(shù)據(jù)安全解決整體解決方案效果示意圖

3.6.解決方式

3.6.1.基于PKI/CA體系的身份鑒別

圖4、基于于PKI/CA體系的用戶身份訪問認證

嚴謹?shù)挠脩羯矸菰L問認證：客戶端登錄使用時，先在服務器端做身份認證，當確認為企業(yè)合法用戶時，會針對每人頒發(fā)一個證書。每次登錄時，需要確認是合法用戶，才能訪問服務器以及安全文件。

3.6.2.數(shù)據(jù)透明加密保護

高強度數(shù)據(jù)透明加密保護：在用戶遠程終端上，對需要保護的文檔進行一次一密的高安全性加密方式，遵從國家密碼管理部門批準的的加密算法加密文件內容，只有指定授權用戶的密鑰才能解密文件。并用同時實現(xiàn)對文件簽名，保證文件的保密性，真實性和不可篡改性，同時滿足桌面云應用辦公的數(shù)據(jù)加密性能要求。根據(jù)不同的安全保護要求，可以靈活選擇不同的透明加密保護方式，針對內部文檔的安全流轉采用文件透明加密保護的方式，而針對重要部門核心數(shù)據(jù)則采用磁盤透明加密技術。

3.6.3.數(shù)據(jù)安全區(qū)域隔離

針對重點部門核心數(shù)據(jù)和臨時接入內部網(wǎng)絡的設備實施數(shù)據(jù)安全加固的方式進行保護。DLP可以在終端計算機上構建安全區(qū)域，以此作為接入內部資源，以及存放下載至終端的內部敏感數(shù)據(jù)。同時在內部重要部門網(wǎng)絡上，靈活建立以網(wǎng)絡安全區(qū)域為管理對象的保密子網(wǎng)，不同部門所形成的安全保密子網(wǎng)可以根據(jù)企業(yè)的策略設置和調整進行數(shù)據(jù)的連通訪問。

數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離的管理規(guī)范，將計算機存儲設備分成不同的區(qū)域，控制和審計各區(qū)域間數(shù)據(jù)流向，結合外設和網(wǎng)絡管控，限制數(shù)據(jù)使用范圍，構建安全保密子網(wǎng)以及各安全子網(wǎng)連接的安全網(wǎng)絡。系統(tǒng)采用安全穩(wěn)定的磁盤透明加密技術，加密全盤或者分區(qū)的數(shù)據(jù)，防護存儲設備丟失導致的數(shù)據(jù)泄密。

針對企業(yè)應用服務器的安全保護，可以將需要保護的應用服務器集群納入到數(shù)據(jù)安全區(qū)域之中，通過一定的安全接入認證或者部署安裝了數(shù)據(jù)安全保護程序的終端計算機才能夠正常接入到企業(yè)重要應用服務器中。

3.6.4.靈活人員訪問權限

l  靈活調整人員訪問權限設置：可以依據(jù)各行政部門來定義角色，這樣角色就同實際的行政關系相對應，再根據(jù)不同部門的職能，為相應的角色配置安全策略組合，控制用戶權限（指定進程、數(shù)據(jù)和文件的訪問和使用權限、移動存儲設備的使用權限、文件外發(fā)權限等），讓每個下屬企業(yè)的每個部門，甚至細分到每個人，都具有不同的安全保護權限。

l  在線、離線多應用模式策略切換：策略配置時，可以為同一用戶（組）授權在線和離線兩種策略。當客戶端與服務器斷開連接時，自動切換至離線狀態(tài)。例如策略配置為：在線狀態(tài)時，對加密文件有讀，寫權限；離線狀態(tài)時，對加密文件有閱讀權限，不允許拷貝，截屏。離線時間可按照具體需求進行設置。

l  基于“三權”分立構建安全管理體系：對系統(tǒng)管理的權限劃分細粒度高。默認為三種權限：日志管理員，系統(tǒng)管理員和普通管理員。其次可根據(jù)企業(yè)內部需要，自行增加管理員權限。例如：超級管理員，可以設定二級管理員（可多人不同分工），授權其只允許設定其他人員權限及策略，但不允許讀取后臺操作日志。

3.6.5.全面外設管控

3.6.5.1.移動存儲U口管控

圖5、U盤等移動存儲設備安全管控

U盤等移動存儲設備管控：客戶端使用的U盤，首次使用時，需要在服務端進行注冊。注冊

時區(qū)分“內網(wǎng)專用模式”和“內外網(wǎng)通用模式”；兩種模式下，匹配的使用權限策略可以針

對個人設定，也可以指定為單個移動存儲設備。

3.6.5.2.外設及端口管控

圖6、終端外設及其端口管控

種類涵蓋全面的終端外設管控：對外設可按照在線和離線兩種模式進行控制，并有使用日志記錄；打印留有副本可下載。

3.6.6.文件發(fā)送管理

文件發(fā)送分為內發(fā)和外發(fā)兩種，兩種發(fā)送都可以設定審核員，只有審核通過后才可以發(fā)送，內發(fā)一般可以不解密發(fā)送，外發(fā)已加密的文檔，審核通過可以解密為明文發(fā)送。外發(fā)的文件可已設定生命周期限制，如：一段時間內可以打開，過后就無法產(chǎn)看；或者打開N次后文件即失效。在內部避免審核員繁瑣操作，可進行白名單設定，對于白名單可以直接發(fā)送。對于高層人員，可以授予解密權限，在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下：

圖7、文件發(fā)送管理示意

1、默認情況：DLP系統(tǒng)提供不同部門之間的文檔是不能夠相互查看的。

2、內發(fā)審核：企業(yè)不同部門之間的文檔需要互通時，必須經(jīng)過一定的審核機制。根據(jù)第一審核人的在線情況，可以靈活指定一個臨時審核人，以接替第一審核人的審核工作。第一審核人可以收回臨時審核人審核權限。

3、外發(fā)審核：外發(fā)審核工作流程與內發(fā)類似，同樣可以指定臨時審核人。

4、例外情況：

1）、針對領導等可信人員可以配置文件白名單或者設置密文查看權限策略，接收或者查看任何部門的密文文件均不需要通過審核流程。

2）、經(jīng)常向外部固定合作伙伴進行郵件的往來時，可以將客戶的郵箱聯(lián)系方式制作成郵件白名單，當向此郵件地址發(fā)送郵件時，自動解密附件。

3）、由于工作業(yè)務性質的原因，需要同客戶頻繁進行文件往來時，可以配置自動審核的策略，外發(fā)給客戶的文件自動解密，但同時會有詳細的操作日志記錄，并且保留發(fā)送的文件副本以作事后追蹤審計。

4）、為了方便授權用戶進行加密文件的解密，DLP系統(tǒng)提供一種直接通過“右鍵菜單”形式的主動解密功能，而不需要通過其它解密流程。

5、移動辦公：企業(yè)領導或者一般員工外出辦公，既需要處理企業(yè)內部加密受控的文檔，要不能夠像企業(yè)內部一樣方便地進行數(shù)據(jù)安全保護程序。針對這種移動辦公數(shù)據(jù)安全保護的要求，DLP系統(tǒng)提供一種簡便有效移動數(shù)據(jù)安全解決方案，使用者只需要將裝載有安全保護程序的U盤插入終端設備后，就可以輕松實現(xiàn)數(shù)據(jù)的安全保護，避免麻煩的安裝部署和安全策略配置過程，進一步提高使用者的安全應用體驗效果。

3.6.7.文件外發(fā)控制

圖8、外發(fā)文件全方位保護和全周期管理

外發(fā)文件全方位保護和全周期管理：對外發(fā)送的文件可以根據(jù)需要制作為可控文件發(fā)送。例如：指定客戶的某臺機器（或者U盤）閱讀文件，設定閱讀時間為一周（或者只能打開3次），不允許打印和復制文件內容。

1、豐富認證方式（誰可以使用）

提供適合不同安全強度的外發(fā)文件使用認證方式，比如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡認證等，并且可自由組合使用認證方式。

2、限制使用范圍（在哪里使用）

配合在線和離線認證模式，可以實現(xiàn)限制外發(fā)文件在固定終端上、單位局域網(wǎng)內、廣域互聯(lián)網(wǎng)中使用，以滿足不同的使用場景。

3、使用權限控制（如何被使用）

l  使用權限：限制文件只讀、可編輯、截屏、打開次數(shù)、另存為等；

l  使用期限：限制文件打開時長、打開時間段、自動銷毀等；

l  使用版權：打印外發(fā)文件時，可以添加單位版權水印信息；

4、安全日志審計（何時在使用）

記錄所有用戶的文件外發(fā)操作日志，泄密事件發(fā)生后可跟蹤追溯。

3.6.8.安全日志審計

圖9、全面而詳盡的安全日志審計

全面而詳盡的日志記錄：對客戶端操作行為以及U盤等外設設備的使用均有詳細的日志記錄?？梢宰匪菽硞€特定人員對某個文檔的操作。

3.6.9.數(shù)據(jù)備份恢復

安全系統(tǒng)快速備份和恢復：提供備份和恢復系統(tǒng)數(shù)據(jù)的功能，在系統(tǒng)升級過程中，能實現(xiàn)不同版本之間的數(shù)據(jù)遷移。

文件意外情況安全保護：對所有的加密操作，都可以配置備份保護，并根據(jù)需要配置實時更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等原因損毀。備份服務器可以同DLP服務器集成部署，也可以使用專用文件服務器分別部署，用大容量的文件服務器來滿足海量存儲需求。

3.7.應用部署方案

3.7.1.工作方式

三昶DLP系統(tǒng)架構為C/S+B/S架構，由服務端、客戶端兩大部分組成。其中管理員在任何地方均可通過WEB方式進行DLP服務器的系統(tǒng)設置、策略維護、日志審計等工作。而DLP客戶端程序自動與DLP服務端程序通信連接，接收來自于服務端的安全控制策略，以及上傳用戶的操作日志記錄等內容。

n  三權分立管理模式

1、系統(tǒng)管理員：進行DLP系統(tǒng)服務端各種參數(shù)設置和狀態(tài)維護，比如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權注冊信息、文件備份、郵件中轉服務等參數(shù)信息。

2、策略安全員：負責U盤、外設、文檔、郵件白名單、審核人員等與文檔安全保護有關的策略維護。為了策略維護和管理的方便，也可以設置一些部門策略安全人員。

3、安全審計員：擔當客戶端文檔操作日志和服務端管理人員操作日志的審計角色。與域控管理相結合將域控服務器的人員列表快速導入DLP系統(tǒng)的用戶管理模塊中，實現(xiàn)DLP用戶與域控用戶管理服務相結合，減輕IT維護管理人員的工作復雜度，從而提高工作效率。

n  DLP系統(tǒng)服務端

服務端采用伸縮性和可移植性非常好的JAVA語言編寫和構建，既可以安裝部署在一般WINDOWS服務器中，又可以將植入硬件服務器中。DLP服務器主要進行安全策略管理、權限管理、系統(tǒng)管理、部門及用戶管理等系統(tǒng)主要功能；另外可以根據(jù)企業(yè)實際安全需要和成本考慮單獨部署文件備份服務器來存儲備份的加密文件。

n  DLP系統(tǒng)客戶端

終端用戶需安裝三昶DLP系統(tǒng)客戶端程序，在登錄Windows操作系統(tǒng)桌面的同時自動進行DLP系統(tǒng)身份認證工作，認證通過后根據(jù)服務端設置的安全控制策略，便可以使用擁有權限的數(shù)據(jù)資源，整個過程基本上由程序自動完成，無需用戶參與。

圖10、三昶DLP泄露防護系統(tǒng)工作方式示意圖

3.7.2.部署方式

圖11、DLP數(shù)據(jù)泄露防護系統(tǒng)平臺部署解決方案部署

備注：圖11中的“紅色虛框”即為方案中所涉及的數(shù)據(jù)安全加固部分。

3.7.2.1.內部部署方式

1)建議內部計算機終端使用在線策略的方式來安裝部署，各終端可以實時接收或者更新DLP服務器設置的各種策略，包括加密策略以及一些全局性的控制策略。

2)如果網(wǎng)絡出現(xiàn)短時間的故障時，系統(tǒng)提供針對這種場景的離線自動切換功能，保證業(yè)務的正常運行不受影響。

3.7.2.2.外部部署方式

根據(jù)企業(yè)外出人員能否進行方便的網(wǎng)絡連通來看，主要有如下幾種方式的靈活部署方式：

1)、外出員工可以正常的網(wǎng)絡連接

針對這種類型的外出辦公場景，DLP數(shù)據(jù)泄露防護系統(tǒng)提供靈活的網(wǎng)絡連接方式，包括客戶端動態(tài)IP的支持、通過有線或者無線的公網(wǎng)連接方式支持等。

2)、員工不可以進行正常的網(wǎng)絡連接

針對這種類型的外出辦公場景，DLP數(shù)據(jù)泄露防護系統(tǒng)提供多種方式的離線策略控制，用戶可以自行設置離線策略生效的時間，比如月、日、小時等，另外對于離線時間過期后，提供一個離線策略時間補時的授權文件，外出終端用戶可以方便導入些授權文件就可以輕松實現(xiàn)離線策略的延時授權。

3）、臨時需要進行數(shù)據(jù)安全保護

針對離線不連網(wǎng)、移動辦公性較強以及臨時性保護等應用場景要求，DLP數(shù)據(jù)泄露防護系統(tǒng)提供簡單方便的安全保護方案，使用者只需要將事先制作好的U盤插入計算中就可以輕松實現(xiàn)數(shù)據(jù)的安全保護，避免了其它廠家需要進行繁雜的安全部署以及設置設置過程，進一步提高了工作效率和使用者的安全應用體驗。

3.7.3.實施步驟

1)DLP數(shù)據(jù)泄漏防護系統(tǒng)的服務端，用于下發(fā)各種安全加密策略,并進行身份認證。

2)登錄服務端后臺Web管理界面，根據(jù)企業(yè)的行政組織結構，建立部門分組，按照管理要求，為部門綁定外設管理策略和文檔加密策略。

3)客戶端無需登錄后臺管理，即可在管理界面當中自行注冊用戶并下載安裝客戶端。域管理結構則可用域的策略自動推送客戶端安裝。安裝完成后，客戶端所有安全策略和加密操作等，均由服務端自動下發(fā)，在后臺執(zhí)行，對用戶完全透明，不改變用戶的操作習慣。

4)外出人員的筆記本電腦可通過服務端配置的離線策略，讓外部使用的資料也受到保護。內部敏感數(shù)據(jù)如果需要外發(fā)給陌生地址，需由管理者審核通過并記錄保存后，方可進行發(fā)送。

5)所有的加密操作，管理員都可以配置明文備份保護，并實時更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰損毀。但從服務器取出明文備份文件，或接受外部發(fā)來的明文文件，在保存到本地時就立刻被加密保護。

3.8.方案特色

全面的外控支持功能：支持現(xiàn)有的所有已知的外設和移動存儲設備，如：藍牙、打印機、數(shù)碼相機、紅外、光驅、串口、并口、攝像頭、刻錄機、SD卡槽、無線上網(wǎng)卡、U盤、無線網(wǎng)卡等等。

系統(tǒng)內核驅動技術：采用Windows系統(tǒng)底層控制，同時實現(xiàn)文件加密和磁盤加密過濾驅動兩種不同加密方式，控制響應速度極快，占用系統(tǒng)資源低。系統(tǒng)客戶端具有防卸載、防刪除和自動修復等功能。

推送安裝部署形式：通過后臺統(tǒng)一安裝客戶端，客戶端用戶感覺不到安裝過程，快速且易于部署；

系統(tǒng)擴容簡單方便：

1)、公司新增加分支機構時，可通過同級服務器機制直接導入到新增的分支機構的應用服務器，部署快捷方便；

2）、公司總部以及分支機構新增客戶端應用時可直接連接到就近服務器；同級服務器機制輕松解決新增分支機構的不斷擴展的安全需求；

3）、數(shù)據(jù)庫備份遷移：支持備份數(shù)據(jù)庫表、數(shù)據(jù)庫表組及整個數(shù)據(jù)庫；不同版本之間可支持遷移備份，以便服務端升級后快速恢復服務端；數(shù)據(jù)庫支持遠程備份。

文件流轉按需授權：

1）、領導的文件別人無法查看；

2）、領導可以查看所有人的文件；

3）、部門內部的文件可相互查看；

4）、部門經(jīng)理的文件只允許其領導及老板查看；

5）、HR等后勤保障的公共部門的文件各部門均可以查看；

6）、允許上級看下級的文件，不允許下級看上級的文件；

融合管理：

1）、與第三方交互的文件需要經(jīng)過授權或自動審核記錄副本后方能外發(fā)；

2）、重要的部門外發(fā)文件時通過領導審核，部門領導可指派多名候選審核者，并支持設置后選審核人的優(yōu)先級,當高優(yōu)先級的審核員外出時，系統(tǒng)自動分配審核任務到次優(yōu)先級審核員，依次類推；

3）、文檔密級較低的部門可通過配置自動審核功能，無需人工干預且有副本記錄，必要時可提取副本進行核查，確保快捷又安全；

4）、內部各職能部門之間臨時共享文件可通過文檔內發(fā)管理來實現(xiàn)；

靈活便捷：

1）、當客戶端在公司總部或各分支結構使用時，可按需配置在線策略；

2）、具有離線使用功能，部分人員需要外出辦公時可臨時授權離線策略；如：攜帶儲存有重要或機密文檔出差時可配置離線策略；

3）、離線終端的各種操作均會形成日志，并在連接到服務器時自動上傳日志文件，方便后續(xù)審核；

簡單易用:

1）、加解密對用戶透明，用戶感覺不到加解密過程；

2）、不需要對用戶進行專項培訓；

3）、不改變用戶的操作習慣；

遠程支撐：

1）、文件損壞：發(fā)現(xiàn)需要的文件損壞時，可以連接至備份服務器進行恢復；

2）、密文解密：當外發(fā)的文檔需要解密時，可通過VPN連接至DLP服務器進行外發(fā)審核，也可把文件通過網(wǎng)絡或其它方式發(fā)回公司，解密后再回傳；

三權分立：

1）、超級管理員擁有所有權限，普通管理員無操作日志權限，日志管理員進行日志及副本的安全審計，規(guī)避“監(jiān)守自盜”行為，老板放心，管理員省心；

2）、基于角色的訪問控制技術，可以新建不同角色并分配各種權限；

3.9.方案價值

n  防止任何形式和途徑的機密外泄

DLP系統(tǒng)采用透明加密保密存儲的方式，全面管控計算機移動數(shù)據(jù)存儲設備、外設資源、網(wǎng)絡等方面的泄密途徑，全程監(jiān)測數(shù)據(jù)應用過程中的泄密方式(例如打印、截屏、另存為、拷貝等)。有效解決企業(yè)內部主動或者被動泄密，企業(yè)外部非法入侵竊取，文檔安全協(xié)作共享安全、文檔移動離線保護、存儲設備丟失防護和移動介質設備安全管控等方面的文檔安全問題。防止任何形式和途徑的機密外泄，安全保護企業(yè)數(shù)據(jù)安全。

n  最大程度消除員工抵觸情緒

1、文檔從產(chǎn)生、應用、傳輸?shù)絼h除銷毀的生命周期內所涉及的加密操作均由系統(tǒng)自動完成，用戶無需進行任何的干預，不改變其使用文檔的操作習慣，而且也感覺不到加密動作的存在，對用戶來說完全透明。

2、基于遠程安全策略管控方式，釋放用戶對安全控制措施抵觸情緒。

3、針對文檔的內部流轉、外部發(fā)送、離線辦公等業(yè)務場景設置靈活的例外解密策略，最大程度上降低對用戶工作的影響。

n  全面釋放管理維護人員壓力

1、客戶端程序采用網(wǎng)絡推送安裝方式，使得IT維護人員無需親臨現(xiàn)場指導安裝，為企業(yè)和個人節(jié)省了寶貴的人力資源成本和時間精力。

2、基于B/S的管理架構設計以及與域控服務相結合的機制，可以幫助IT維護人員在任何地點、任何時間、復雜網(wǎng)絡環(huán)境下都能夠快速準確地管理各種安全控制策略。

3、控制策略模板化、用戶與策略關聯(lián)綁定最大化和全局化等方面設計，大大簡化了安全控制策略配置的復雜程度，同時也將策略配置出錯率降至最低水平。

4、IT維護人員可以為終端使用者配置文檔備份策略，避免因各種意外原因導致的數(shù)據(jù)損壞丟失問題。另外，IT維護人員也可對DLP系統(tǒng)關鍵服務數(shù)據(jù)庫和主密鑰信息進行備份，系統(tǒng)崩潰損毀后可快速進行恢復工作，保持業(yè)務的連續(xù)性。

5、同級部署機制，使得IT維護人員在完成公司總部的系統(tǒng)配置后，將相關配置導入到企業(yè)各分支機構的DLP服務器中，實現(xiàn)配置同步并且快速部署的效果。

6、多級服務器部署機制，上級單位可查看下級服務器上傳的操作日志，安全審計記錄和用戶結構列表，讓IT安全管理者全局掌控企業(yè)的信息安全態(tài)勢。

n  持續(xù)降低企業(yè)信息安全成本

1、兼容企業(yè)主流的應用系統(tǒng)，如ERP、OA、SVN等，讓企業(yè)經(jīng)營者無需更改任何的應用系統(tǒng)即可實現(xiàn)與DLP系統(tǒng)相結合。

2、適應企業(yè)IT架構成長性，解決不同規(guī)模企業(yè)的安全需求。

3、統(tǒng)一安全平臺，可以與更多其它三昶安全產(chǎn)品的聯(lián)動和配合。

3.10.系統(tǒng)安全性

n  數(shù)據(jù)加密

l  基于內核級的數(shù)據(jù)強制透明加密，對數(shù)據(jù)和存儲位置雙重加密，保護在任何位置存儲的數(shù)據(jù)及任何指定進程產(chǎn)生的文件，全方位保障數(shù)據(jù)的絕對安全。實時的透明加解密，操作過程透明，不影響用戶操作習慣。

——通過文件過濾驅動技術，實現(xiàn)進程和文件的強制透明加密，在文件產(chǎn)生時即被強制加密，在文件使用（編輯、保存等）過程中進行跟蹤加密，以任何方式泄漏出去的文件均為密文。

——通過磁盤驅動技術實現(xiàn)全盤強制透明加密。支持目前業(yè)界領先的128位、256位DES、3DES、AES、RC4加密算法，結合RSA公私鑰體系實現(xiàn)密鑰安全傳輸，進行高強度數(shù)據(jù)加密的同時，提高了加解密效率。SHA2、MD5摘要算法用于數(shù)字簽名，結合RSA公私鑰體系，防止文件被篡改、偽造及未授權使用。密鑰管理，基于PKI/CA認證體系，銀行交易級別的密鑰管理，是目前最安全的密鑰管理體系，對密鑰的產(chǎn)生、存儲、分配、使用和銷毀的全過程進行有效的管理，確保密鑰任何時期都是安全的。

n  端點控制

廣泛覆蓋所有端點，控制數(shù)據(jù)泄漏途徑和方式，在數(shù)據(jù)泄漏之前，主動防御控制。

終端端點控制：控制打印端口、傳真、截屏、USB端口等泄漏途徑；

網(wǎng)絡端點控制：FTP、HTTP、Email、MSN等；

存儲端點控制：外設驅動設備、便攜設備、PDA、移動存儲介質（U盤）等。

n  身份認證

通過對密鑰和數(shù)字證書的管理，來管理密鑰和證書對應的用戶身份，對用戶進行生命周期全過程（注冊、注銷、恢復）的管理，安全、可靠、有效。

1、基于PKI/CA標準密鑰和數(shù)字證書體系，銀行交易級別的密鑰管理；

2、USBKey硬件標識作為密鑰證書載體，結合密碼認證登錄；

3、雙因子認證登錄，增強身份認證的可信度；

n  安全可靠

1、密鑰管理及身份認證采用PKI/CA體系.支持目前業(yè)界領先的128位、256位DES、3DES、AES、RC4加密算法，結合RSA公私鑰體系實現(xiàn)密鑰安全傳輸，進行高強度數(shù)據(jù)加密的同時，提高了加解密效率；

2、經(jīng)過加密的文檔，即便被復制出去，也無法打開查看其內容，不會造成機密泄漏。用戶正常的操作也都是在加密狀態(tài)下進行，如果需要把文件解密成明文，則需要授權或審核。

3、打印及內外發(fā)文件均可提取副本進行事后分析.惡意泄露有據(jù)可依；

4、任何加密的文檔均在備份服務器上備份明文，文檔損壞、掉電丟失數(shù)據(jù)、惡意篡改及惡意刪除重要、機密文件，均可通過各自的客戶端在本地或VPN方式遠程連接服務器進行，無后顧之憂；

5、加密系統(tǒng)的應用服務器崩潰后可使用離線策略正常工作，且通過備份機制快速修復服務器環(huán)境，可通過冷備方式快速解決服務器崩潰問題；

n  系統(tǒng)自身安全