• 解決方案

  SOLUTION CENTER
• IDC方案設(shè)計(jì)
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)

數(shù)據(jù)泄露防護(hù)DLP整體解決方案

DLP數(shù)據(jù)泄露防護(hù)系列

N-DLP（網(wǎng)絡(luò)DLP）-硬件

N-DLP系統(tǒng)對(duì)網(wǎng)絡(luò)中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密等），實(shí)現(xiàn)網(wǎng)絡(luò)中敏感數(shù)據(jù)泄露防護(hù)；

S-DLPForFileServers(存儲(chǔ)DLP)-硬件

S-DLPForFileServers系統(tǒng)對(duì)文件服務(wù)器中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、危險(xiǎn)監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密等），實(shí)現(xiàn)文件服務(wù)器中敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù)；

S-DLPForEmail(郵件DLP)-硬件

S-DLPForEmail系統(tǒng)對(duì)郵件中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密等），實(shí)現(xiàn)郵件中敏感數(shù)據(jù)泄露防護(hù)；

E-DLP(終端DLP)

E-DLP系統(tǒng)對(duì)終端中的敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密等），實(shí)現(xiàn)終端中敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù)；

C-DLP(云DLP)-硬件

C-DLP系統(tǒng)對(duì)云端敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、危險(xiǎn)行為監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密...），在不影響使用的前提下，實(shí)現(xiàn)云端敏感數(shù)據(jù)泄露、擴(kuò)散防護(hù)；

M-DLP(移動(dòng)DLP)-硬件

M-DLP系統(tǒng)對(duì)應(yīng)用系統(tǒng)以及智能移動(dòng)終端（支持IOS、Android）中敏感數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別、威脅監(jiān)控與安全防護(hù)（阻斷、提醒、告警、加密、模糊化...），實(shí)現(xiàn)數(shù)據(jù)泄露、擴(kuò)散防護(hù)；

DLP風(fēng)險(xiǎn)監(jiān)控與態(tài)勢(shì)預(yù)警系統(tǒng)-硬件

在DLP平臺(tái)上同時(shí)構(gòu)建起敏感內(nèi)容識(shí)別、預(yù)警監(jiān)控、安全態(tài)勢(shì)、風(fēng)險(xiǎn)評(píng)測(cè)——縱深式動(dòng)態(tài)防御體系。DLP數(shù)據(jù)泄露防護(hù)，更加注重智能化、更加注重安全管理。

DLP安全管理-硬件

在DLP平臺(tái)上，自動(dòng)強(qiáng)制實(shí)施通用的數(shù)據(jù)泄露防護(hù)策略，以便執(zhí)行檢測(cè)、事件補(bǔ)救工作流程和自動(dòng)化、報(bào)告、系統(tǒng)管理及安全保護(hù)。

借助統(tǒng)一平臺(tái)上提供的全面的系統(tǒng)管理和安全功能，可以跨網(wǎng)絡(luò)、存儲(chǔ)和端點(diǎn)集中管理數(shù)據(jù)安全策略，并執(zhí)行全局部署。只需定義一次策略，就可以將安全策略的管理和強(qiáng)制實(shí)施全面推送到各地的業(yè)務(wù)部門。可以針對(duì)高風(fēng)險(xiǎn)業(yè)務(wù)部門有重點(diǎn)地加強(qiáng)安全意識(shí)與培訓(xùn)。能夠針對(duì)違反策略的行為發(fā)出實(shí)時(shí)通知以改變員工行為。

DLP安全平臺(tái)-硬件

DLP安全平臺(tái)采用開放式體系架構(gòu)、模塊化設(shè)計(jì)，簡(jiǎn)化了所有規(guī)模組織的風(fēng)險(xiǎn)與合規(guī)性管理，提升管理效率。N-DLP、S-DLP、E-DLP等均可在一個(gè)DLP安全平臺(tái)上；

1.背景概述

當(dāng)前，企業(yè)內(nèi)部的安全性要求仍然主要集中在系統(tǒng)安全性以及防病毒和黑客入侵等方面的網(wǎng)絡(luò)安全性。對(duì)于傳統(tǒng)PC終端而言，由于每臺(tái)機(jī)器都有本地存儲(chǔ)和網(wǎng)絡(luò)功能，數(shù)據(jù)安全的短板效應(yīng)無法避免，安全維護(hù)的成本也居高不下，而且效果往往不盡人意。因此需要在對(duì)現(xiàn)有應(yīng)用業(yè)務(wù)模式不影響的情況下，能夠?qū)?shù)據(jù)進(jìn)行全面而有效的安全防護(hù)。

現(xiàn)代企業(yè)規(guī)模龐大、分公司及分支機(jī)構(gòu)繁多而且分布廣泛，需要大量的業(yè)務(wù)數(shù)據(jù)信息作為支撐。企業(yè)信息化的飛速發(fā)展使得企業(yè)各部門之間能夠迅速地獲取、傳遞、處理和利用各自所需的信息，提高辦公效率，節(jié)省辦公費(fèi)用，使管理者能實(shí)時(shí)、動(dòng)態(tài)地了解到本單位各種資源的實(shí)施情況。

但是由于業(yè)務(wù)上的需要，企業(yè)需要開放移動(dòng)存儲(chǔ)設(shè)備、計(jì)算機(jī)外設(shè)和網(wǎng)絡(luò)的資源，企業(yè)部署的傳統(tǒng)網(wǎng)絡(luò)或者系統(tǒng)安全設(shè)備和系統(tǒng)已經(jīng)不能夠很好好適應(yīng)信息安全形勢(shì)的新變化。首先，為企業(yè)用戶提供正常辦公及處理內(nèi)部業(yè)務(wù)使得文檔交流傳輸過程難以安全可控，文檔脫離內(nèi)部管理平臺(tái)容易造成文件的擴(kuò)散和外泄。其次，內(nèi)部終端用戶的文檔操作行為管理也不規(guī)范。最后，企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備可以隨意在任意物理終端計(jì)算機(jī)上使用，容易感染病毒和泄密；移動(dòng)存儲(chǔ)介質(zhì)丟失后，極易導(dǎo)致敏感數(shù)據(jù)泄密。

為提高企業(yè)內(nèi)部數(shù)據(jù)協(xié)同和高效運(yùn)作，實(shí)現(xiàn)內(nèi)部辦公文檔交流過程安全可控，實(shí)現(xiàn)文檔脫離內(nèi)部管理平臺(tái)后能有效防止文件的擴(kuò)散和外泄。對(duì)于內(nèi)部文檔使用范圍、文檔流轉(zhuǎn)等進(jìn)行控制管理，以防止文檔內(nèi)部核心信息非法授權(quán)閱覽、拷貝、篡改。既防止文檔外泄和擴(kuò)散，又支持內(nèi)部知識(shí)積累和文件共享的目的。另外，數(shù)據(jù)安全的同時(shí)更加注重用戶操作體驗(yàn)的感受。

2.應(yīng)用現(xiàn)狀

根據(jù)企業(yè)信息化的業(yè)務(wù)應(yīng)用需求，企業(yè)每個(gè)員工的業(yè)務(wù)操作方式主要集中在終端之上，但也會(huì)從OA應(yīng)用系統(tǒng)、文件服務(wù)器或者郵件系統(tǒng)等應(yīng)用服務(wù)系統(tǒng)中瀏覽數(shù)據(jù)或者下載文檔，存在如下主要幾個(gè)方面的數(shù)據(jù)安全隱患以及操作體驗(yàn)要求，如下圖所示。

1）、員工可以通過物理終端的U口以及各種外設(shè)端口將數(shù)據(jù)泄露出去，例如，通過U盤等

移動(dòng)存儲(chǔ)以及打印機(jī)設(shè)備，可輕松進(jìn)行數(shù)據(jù)的拷貝；

2）、員工通過網(wǎng)絡(luò)的形式將數(shù)據(jù)泄露出去，例如，通過郵件方式、IM即時(shí)通訊工具以及各

種網(wǎng)絡(luò)工作傳送數(shù)據(jù)至外部。

3)、由于業(yè)務(wù)共享協(xié)作需要，外發(fā)出去的數(shù)據(jù)在安全保護(hù)的前提下，不影響正常使用；

4）、企業(yè)內(nèi)部人員之間的數(shù)據(jù)交互需要保持安全和流暢；

5）、企業(yè)內(nèi)部人員與外部客戶之間的數(shù)據(jù)交互需要保持安全和流暢；

6）、企業(yè)內(nèi)部人員業(yè)務(wù)外出、在家辦公等場(chǎng)景的數(shù)據(jù)交互安全和流暢；

7）、分支機(jī)構(gòu)、移動(dòng)出差人員需要進(jìn)行內(nèi)部文件的方便快捷的審批。

圖1、企業(yè)數(shù)據(jù)安全業(yè)務(wù)應(yīng)用現(xiàn)狀

3.方案

3.1.安全概述

科技和商業(yè)飛速發(fā)展，企業(yè)機(jī)密數(shù)據(jù)和內(nèi)部敏感信息的安全越來越重要，一旦這些信息和數(shù)據(jù)被泄密，企業(yè)往往會(huì)蒙受巨大的經(jīng)濟(jì)損失。

隨著信息技術(shù)的進(jìn)步，計(jì)算機(jī)和網(wǎng)絡(luò)已成為日常辦公、通信交流和協(xié)作互動(dòng)的必備工具。但信息技術(shù)提高人們工作效率的同時(shí)，也對(duì)信息安全防范提出了更高的要求。

目前大多數(shù)用戶對(duì)辦公網(wǎng)絡(luò)的安全防范方式，仍然停留在采用防火墻、入侵檢測(cè)、防病毒等被動(dòng)防護(hù)階段。在過去一年中，全球98.2％的計(jì)算機(jī)用戶使用殺毒軟件，90.7％設(shè)有防火墻，75.1％使用反間諜程序的軟件；有83.7％的用戶遭遇過至少一次病毒、蠕蟲或木馬攻擊事件，79.5％遭遇過至少一次間諜程序攻擊事件。而國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示：機(jī)密資料通過網(wǎng)絡(luò)泄漏造成損失的單位中，其中被黑客竊取和被內(nèi)部員工泄漏，兩者的比例為：1：99。這是來自于國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心的一個(gè)數(shù)據(jù)，該調(diào)查顯示，互聯(lián)網(wǎng)接入單位由于內(nèi)部機(jī)密通過網(wǎng)絡(luò)泄漏而造成重大損失的事件中，只有1%是被黑客竊取的，另外的99%全部是由于內(nèi)部員工有意或無意的泄密行為所導(dǎo)致。

在外設(shè)管理方面，有50%的企業(yè)因USB使用不當(dāng)而丟失數(shù)據(jù)。用戶可以隨意接入各類外設(shè)和移動(dòng)存儲(chǔ)設(shè)備，帶走內(nèi)部資料。如：U盤、移動(dòng)硬盤、手機(jī)/MP3/MP4、CF/MD/SD卡、數(shù)碼相機(jī)……這些外圍設(shè)備容量越來越大，但體積越來越小，無疑提高了效率，給工作帶來便捷。但在愉悅享受高科技產(chǎn)品帶來的便利之時(shí)，也給信息安全帶來嚴(yán)重威脅，讓別有用心者有可乘之機(jī)。受利益驅(qū)使，可能會(huì)有內(nèi)部員工直接參與盜取重要信息數(shù)據(jù)的行為，近年來，類似力拓“間諜門”的泄密事件時(shí)有發(fā)生。

近年來，數(shù)據(jù)安全保護(hù)模式正悄然發(fā)生變化，由傳統(tǒng)PC終端的系統(tǒng)或者網(wǎng)絡(luò)安全防護(hù)逐漸面向以數(shù)據(jù)為中心的安全保護(hù)模式，如何防范內(nèi)部泄密事件，安心享用現(xiàn)代科技的便捷如何保護(hù)好企業(yè)的智力資產(chǎn)，保持市場(chǎng)信息優(yōu)勢(shì)呢是擺在每一個(gè)信息化企業(yè)面前重要而緊迫的課題。

3.2.數(shù)據(jù)風(fēng)險(xiǎn)

根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Garnter調(diào)查數(shù)據(jù)表明，97%的泄漏事件源自企業(yè)內(nèi)部：人員流失，以及任何有意或無意的操作行為，或管理疏漏，都有可能對(duì)企業(yè)造成巨大的經(jīng)濟(jì)損失。

目前，基于企業(yè)內(nèi)部現(xiàn)存網(wǎng)絡(luò)流通的一系列文檔，如果這類文檔外泄、擴(kuò)散、丟失，很有可能造成競(jìng)爭(zhēng)對(duì)手先于市場(chǎng)得到企業(yè)的產(chǎn)品機(jī)密或者商業(yè)秘密，導(dǎo)致不可估量的損失。根據(jù)對(duì)企業(yè)現(xiàn)有數(shù)據(jù)業(yè)務(wù)應(yīng)用模式，來自企業(yè)內(nèi)部的安全威脅和風(fēng)險(xiǎn)主要有以下幾類：

l  數(shù)據(jù)泄密通道風(fēng)險(xiǎn)-U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備

表1、U盤等移動(dòng)存儲(chǔ)設(shè)備以及打印機(jī)等外部設(shè)備風(fēng)險(xiǎn)

l  數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景

表2、數(shù)據(jù)離線外發(fā)風(fēng)險(xiǎn)-移動(dòng)辦公、效果展示、協(xié)作外發(fā)等應(yīng)用場(chǎng)景

l  數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)

表3、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)

l  應(yīng)用服務(wù)接入數(shù)據(jù)安全風(fēng)險(xiǎn)-分支機(jī)構(gòu)、臨時(shí)人員、網(wǎng)絡(luò)黑客、移動(dòng)辦公人員等不同類型人員對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)的安全接入，例如OA、郵件服務(wù)、文件集中存儲(chǔ)服務(wù)器等。

表4、數(shù)據(jù)內(nèi)部流轉(zhuǎn)風(fēng)險(xiǎn)-部門之間、分公司之間的數(shù)據(jù)交換和流轉(zhuǎn)

l  對(duì)重點(diǎn)部門核心數(shù)據(jù)進(jìn)行安全加固防護(hù)-例如三維設(shè)計(jì)、圖紙工藝等

1、現(xiàn)代企業(yè)普通使用文件服務(wù)器、郵件服務(wù)器、OA應(yīng)用服務(wù)器等業(yè)務(wù)應(yīng)用系統(tǒng)，工作數(shù)據(jù)統(tǒng)一集中存放于這些服務(wù)器之中，其安全保護(hù)力度需要更加具有針對(duì)性并保證可用性。

2、重點(diǎn)部門的核心數(shù)據(jù)往往具有在固定團(tuán)隊(duì)和一定的范圍內(nèi)流通的顯著特點(diǎn)，而且這些數(shù)據(jù)通常也涉及到企業(yè)的核心競(jìng)爭(zhēng)力，因此需要從存儲(chǔ)、使用、網(wǎng)絡(luò)三個(gè)層面全方位給予進(jìn)行安全分層、安全區(qū)域的保護(hù)。

上述風(fēng)險(xiǎn)分析中可以看出數(shù)據(jù)在使用、傳輸、存儲(chǔ)過程中最容易出現(xiàn)安全隱患。數(shù)據(jù)安全要立足于用戶終端，并延伸至網(wǎng)絡(luò)，從數(shù)據(jù)安全源頭抓起，才能從根本上解決安全問題，才能做到有的放矢，更具針對(duì)性和前瞻性。

3.3.解決思想

三昶公司針對(duì)企業(yè)數(shù)據(jù)保護(hù)類型的重要程度，提出以數(shù)據(jù)特點(diǎn)為設(shè)計(jì)原則，以安全風(fēng)險(xiǎn)為驅(qū)動(dòng)，以模塊化設(shè)計(jì)為思想，以服務(wù)客戶為目標(biāo)的整體安全解決方案。詳細(xì)分析客戶的管理模式和業(yè)務(wù)流程，評(píng)估存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)，并在客戶現(xiàn)有業(yè)務(wù)系統(tǒng)基礎(chǔ)之上，提供針對(duì)性的安全解決方案，幫助企業(yè)用戶改進(jìn)和規(guī)范客戶的數(shù)據(jù)風(fēng)險(xiǎn)管理體系。如下表圖所示。

圖、數(shù)據(jù)安全產(chǎn)品整體設(shè)計(jì)理念示意

表5、數(shù)據(jù)安全風(fēng)險(xiǎn)、安全產(chǎn)品、安全解決思想對(duì)應(yīng)關(guān)系

3.4.系統(tǒng)安全架構(gòu)

圖1、三昶DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)安全架構(gòu)

三昶DLP系統(tǒng)采用基于B/S+C/S的控制和管理模式，結(jié)合安全功能執(zhí)行與安全控制策略分離的思想，使得系統(tǒng)安全控制功能執(zhí)行更加有效，安全控制策略管理更加高效。

圖2、三昶DLP系統(tǒng)軟件架構(gòu)示意圖

三昶DLP數(shù)據(jù)泄露防護(hù)平臺(tái)采用開放式體系結(jié)構(gòu)的可擴(kuò)展的安全管理理念，簡(jiǎn)化了所有規(guī)模組織的風(fēng)險(xiǎn)與合規(guī)性管理的統(tǒng)一性和效率。平臺(tái)從辦公文檔、設(shè)計(jì)圖紙和數(shù)據(jù)使用環(huán)境隔離兩個(gè)核心層面進(jìn)行防護(hù)，采用認(rèn)證、加密、標(biāo)簽、審計(jì)、內(nèi)核驅(qū)動(dòng)、沙箱、還原、訪問控制、應(yīng)用防火墻等技術(shù)，對(duì)企業(yè)機(jī)密文檔、U盤外設(shè)、外發(fā)文件、瀏覽器應(yīng)用、移動(dòng)存儲(chǔ)設(shè)備、筆記本計(jì)算機(jī)、應(yīng)用系統(tǒng)機(jī)密信息進(jìn)行控制與保護(hù)，從而構(gòu)建保護(hù)企業(yè)數(shù)據(jù)的完善的立體縱深防御系統(tǒng)。通過數(shù)據(jù)安全平臺(tái)，可以輕松幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全應(yīng)用和管理。

n  集中平臺(tái)管理

多角色的訪問控制技術(shù):系統(tǒng)維護(hù)、安全策略、安全審計(jì)三權(quán)分立；

統(tǒng)一安全框架:統(tǒng)一管理終端、數(shù)據(jù)、行為、設(shè)備的安全防護(hù)，制定適合管理需要的策略

Web的單一界面：整合多層次體系結(jié)構(gòu)、強(qiáng)大安全策略設(shè)置、用戶及終端安全狀態(tài)；

n  靈活部署

應(yīng)用按需添加：分層提供服務(wù)、功能組件模塊化應(yīng)用按需添加；

系統(tǒng)廣泛兼容：與Windows域無縫集成，兼容主流殺毒軟件，全面支持WIN7及64位操作系統(tǒng)；

C/S+B/S架構(gòu)：廣泛適應(yīng)于移動(dòng)辦公、異地管理、臨時(shí)接入等使用場(chǎng)景；

3.5.解決效果

圖3、數(shù)據(jù)安全解決整體解決方案效果示意圖

3.6.解決方式

3.6.1.基于PKI/CA體系的身份鑒別

圖4、基于于PKI/CA體系的用戶身份訪問認(rèn)證

嚴(yán)謹(jǐn)?shù)挠脩羯矸菰L問認(rèn)證：客戶端登錄使用時(shí)，先在服務(wù)器端做身份認(rèn)證，當(dāng)確認(rèn)為企業(yè)合法用戶時(shí)，會(huì)針對(duì)每人頒發(fā)一個(gè)證書。每次登錄時(shí)，需要確認(rèn)是合法用戶，才能訪問服務(wù)器以及安全文件。

3.6.2.數(shù)據(jù)透明加密保護(hù)

高強(qiáng)度數(shù)據(jù)透明加密保護(hù)：在用戶遠(yuǎn)程終端上，對(duì)需要保護(hù)的文檔進(jìn)行一次一密的高安全性加密方式，遵從國(guó)家密碼管理部門批準(zhǔn)的的加密算法加密文件內(nèi)容，只有指定授權(quán)用戶的密鑰才能解密文件。并用同時(shí)實(shí)現(xiàn)對(duì)文件簽名，保證文件的保密性，真實(shí)性和不可篡改性，同時(shí)滿足桌面云應(yīng)用辦公的數(shù)據(jù)加密性能要求。根據(jù)不同的安全保護(hù)要求，可以靈活選擇不同的透明加密保護(hù)方式，針對(duì)內(nèi)部文檔的安全流轉(zhuǎn)采用文件透明加密保護(hù)的方式，而針對(duì)重要部門核心數(shù)據(jù)則采用磁盤透明加密技術(shù)。

3.6.3.數(shù)據(jù)安全區(qū)域隔離

針對(duì)重點(diǎn)部門核心數(shù)據(jù)和臨時(shí)接入內(nèi)部網(wǎng)絡(luò)的設(shè)備實(shí)施數(shù)據(jù)安全加固的方式進(jìn)行保護(hù)。DLP可以在終端計(jì)算機(jī)上構(gòu)建安全區(qū)域，以此作為接入內(nèi)部資源，以及存放下載至終端的內(nèi)部敏感數(shù)據(jù)。同時(shí)在內(nèi)部重要部門網(wǎng)絡(luò)上，靈活建立以網(wǎng)絡(luò)安全區(qū)域?yàn)楣芾韺?duì)象的保密子網(wǎng)，不同部門所形成的安全保密子網(wǎng)可以根據(jù)企業(yè)的策略設(shè)置和調(diào)整進(jìn)行數(shù)據(jù)的連通訪問。

數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離的管理規(guī)范，將計(jì)算機(jī)存儲(chǔ)設(shè)備分成不同的區(qū)域，控制和審計(jì)各區(qū)域間數(shù)據(jù)流向，結(jié)合外設(shè)和網(wǎng)絡(luò)管控，限制數(shù)據(jù)使用范圍，構(gòu)建安全保密子網(wǎng)以及各安全子網(wǎng)連接的安全網(wǎng)絡(luò)。系統(tǒng)采用安全穩(wěn)定的磁盤透明加密技術(shù)，加密全盤或者分區(qū)的數(shù)據(jù)，防護(hù)存儲(chǔ)設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密。

針對(duì)企業(yè)應(yīng)用服務(wù)器的安全保護(hù)，可以將需要保護(hù)的應(yīng)用服務(wù)器集群納入到數(shù)據(jù)安全區(qū)域之中，通過一定的安全接入認(rèn)證或者部署安裝了數(shù)據(jù)安全保護(hù)程序的終端計(jì)算機(jī)才能夠正常接入到企業(yè)重要應(yīng)用服務(wù)器中。

3.6.4.靈活人員訪問權(quán)限

l  靈活調(diào)整人員訪問權(quán)限設(shè)置：可以依據(jù)各行政部門來定義角色，這樣角色就同實(shí)際的行政關(guān)系相對(duì)應(yīng)，再根據(jù)不同部門的職能，為相應(yīng)的角色配置安全策略組合，控制用戶權(quán)限（指定進(jìn)程、數(shù)據(jù)和文件的訪問和使用權(quán)限、移動(dòng)存儲(chǔ)設(shè)備的使用權(quán)限、文件外發(fā)權(quán)限等），讓每個(gè)下屬企業(yè)的每個(gè)部門，甚至細(xì)分到每個(gè)人，都具有不同的安全保護(hù)權(quán)限。

l  在線、離線多應(yīng)用模式策略切換：策略配置時(shí)，可以為同一用戶（組）授權(quán)在線和離線兩種策略。當(dāng)客戶端與服務(wù)器斷開連接時(shí)，自動(dòng)切換至離線狀態(tài)。例如策略配置為：在線狀態(tài)時(shí)，對(duì)加密文件有讀，寫權(quán)限；離線狀態(tài)時(shí)，對(duì)加密文件有閱讀權(quán)限，不允許拷貝，截屏。離線時(shí)間可按照具體需求進(jìn)行設(shè)置。

l  基于“三權(quán)”分立構(gòu)建安全管理體系：對(duì)系統(tǒng)管理的權(quán)限劃分細(xì)粒度高。默認(rèn)為三種權(quán)限：日志管理員，系統(tǒng)管理員和普通管理員。其次可根據(jù)企業(yè)內(nèi)部需要，自行增加管理員權(quán)限。例如：超級(jí)管理員，可以設(shè)定二級(jí)管理員（可多人不同分工），授權(quán)其只允許設(shè)定其他人員權(quán)限及策略，但不允許讀取后臺(tái)操作日志。

3.6.5.全面外設(shè)管控

3.6.5.1.移動(dòng)存儲(chǔ)U口管控

圖5、U盤等移動(dòng)存儲(chǔ)設(shè)備安全管控

U盤等移動(dòng)存儲(chǔ)設(shè)備管控：客戶端使用的U盤，首次使用時(shí)，需要在服務(wù)端進(jìn)行注冊(cè)。注冊(cè)

時(shí)區(qū)分“內(nèi)網(wǎng)專用模式”和“內(nèi)外網(wǎng)通用模式”；兩種模式下，匹配的使用權(quán)限策略可以針

對(duì)個(gè)人設(shè)定，也可以指定為單個(gè)移動(dòng)存儲(chǔ)設(shè)備。

3.6.5.2.外設(shè)及端口管控

圖6、終端外設(shè)及其端口管控

種類涵蓋全面的終端外設(shè)管控：對(duì)外設(shè)可按照在線和離線兩種模式進(jìn)行控制，并有使用日志記錄；打印留有副本可下載。

3.6.6.文件發(fā)送管理

文件發(fā)送分為內(nèi)發(fā)和外發(fā)兩種，兩種發(fā)送都可以設(shè)定審核員，只有審核通過后才可以發(fā)送，內(nèi)發(fā)一般可以不解密發(fā)送，外發(fā)已加密的文檔，審核通過可以解密為明文發(fā)送。外發(fā)的文件可已設(shè)定生命周期限制，如：一段時(shí)間內(nèi)可以打開，過后就無法產(chǎn)看；或者打開N次后文件即失效。在內(nèi)部避免審核員繁瑣操作，可進(jìn)行白名單設(shè)定，對(duì)于白名單可以直接發(fā)送。對(duì)于高層人員，可以授予解密權(quán)限，在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下：

圖7、文件發(fā)送管理示意

1、默認(rèn)情況：DLP系統(tǒng)提供不同部門之間的文檔是不能夠相互查看的。

2、內(nèi)發(fā)審核：企業(yè)不同部門之間的文檔需要互通時(shí)，必須經(jīng)過一定的審核機(jī)制。根據(jù)第一審核人的在線情況，可以靈活指定一個(gè)臨時(shí)審核人，以接替第一審核人的審核工作。第一審核人可以收回臨時(shí)審核人審核權(quán)限。

3、外發(fā)審核：外發(fā)審核工作流程與內(nèi)發(fā)類似，同樣可以指定臨時(shí)審核人。

4、例外情況：

1）、針對(duì)領(lǐng)導(dǎo)等可信人員可以配置文件白名單或者設(shè)置密文查看權(quán)限策略，接收或者查看任何部門的密文文件均不需要通過審核流程。

2）、經(jīng)常向外部固定合作伙伴進(jìn)行郵件的往來時(shí)，可以將客戶的郵箱聯(lián)系方式制作成郵件白名單，當(dāng)向此郵件地址發(fā)送郵件時(shí)，自動(dòng)解密附件。

3）、由于工作業(yè)務(wù)性質(zhì)的原因，需要同客戶頻繁進(jìn)行文件往來時(shí)，可以配置自動(dòng)審核的策略，外發(fā)給客戶的文件自動(dòng)解密，但同時(shí)會(huì)有詳細(xì)的操作日志記錄，并且保留發(fā)送的文件副本以作事后追蹤審計(jì)。

4）、為了方便授權(quán)用戶進(jìn)行加密文件的解密，DLP系統(tǒng)提供一種直接通過“右鍵菜單”形式的主動(dòng)解密功能，而不需要通過其它解密流程。

5、移動(dòng)辦公：企業(yè)領(lǐng)導(dǎo)或者一般員工外出辦公，既需要處理企業(yè)內(nèi)部加密受控的文檔，要不能夠像企業(yè)內(nèi)部一樣方便地進(jìn)行數(shù)據(jù)安全保護(hù)程序。針對(duì)這種移動(dòng)辦公數(shù)據(jù)安全保護(hù)的要求，DLP系統(tǒng)提供一種簡(jiǎn)便有效移動(dòng)數(shù)據(jù)安全解決方案，使用者只需要將裝載有安全保護(hù)程序的U盤插入終端設(shè)備后，就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù)，避免麻煩的安裝部署和安全策略配置過程，進(jìn)一步提高使用者的安全應(yīng)用體驗(yàn)效果。

3.6.7.文件外發(fā)控制

圖8、外發(fā)文件全方位保護(hù)和全周期管理

外發(fā)文件全方位保護(hù)和全周期管理：對(duì)外發(fā)送的文件可以根據(jù)需要制作為可控文件發(fā)送。例如：指定客戶的某臺(tái)機(jī)器（或者U盤）閱讀文件，設(shè)定閱讀時(shí)間為一周（或者只能打開3次），不允許打印和復(fù)制文件內(nèi)容。

1、豐富認(rèn)證方式（誰(shuí)可以使用）

提供適合不同安全強(qiáng)度的外發(fā)文件使用認(rèn)證方式，比如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡(luò)認(rèn)證等，并且可自由組合使用認(rèn)證方式。

2、限制使用范圍（在哪里使用）

配合在線和離線認(rèn)證模式，可以實(shí)現(xiàn)限制外發(fā)文件在固定終端上、單位局域網(wǎng)內(nèi)、廣域互聯(lián)網(wǎng)中使用，以滿足不同的使用場(chǎng)景。

3、使用權(quán)限控制（如何被使用）

l  使用權(quán)限：限制文件只讀、可編輯、截屏、打開次數(shù)、另存為等；

l  使用期限：限制文件打開時(shí)長(zhǎng)、打開時(shí)間段、自動(dòng)銷毀等；

l  使用版權(quán)：打印外發(fā)文件時(shí)，可以添加單位版權(quán)水印信息；

4、安全日志審計(jì)（何時(shí)在使用）

記錄所有用戶的文件外發(fā)操作日志，泄密事件發(fā)生后可跟蹤追溯。

3.6.8.安全日志審計(jì)

圖9、全面而詳盡的安全日志審計(jì)

全面而詳盡的日志記錄：對(duì)客戶端操作行為以及U盤等外設(shè)設(shè)備的使用均有詳細(xì)的日志記錄。可以追溯某個(gè)特定人員對(duì)某個(gè)文檔的操作。

3.6.9.數(shù)據(jù)備份恢復(fù)

安全系統(tǒng)快速備份和恢復(fù)：提供備份和恢復(fù)系統(tǒng)數(shù)據(jù)的功能，在系統(tǒng)升級(jí)過程中，能實(shí)現(xiàn)不同版本之間的數(shù)據(jù)遷移。

文件意外情況安全保護(hù)：對(duì)所有的加密操作，都可以配置備份保護(hù)，并根據(jù)需要配置實(shí)時(shí)更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等原因損毀。備份服務(wù)器可以同DLP服務(wù)器集成部署，也可以使用專用文件服務(wù)器分別部署，用大容量的文件服務(wù)器來滿足海量存儲(chǔ)需求。

3.7.應(yīng)用部署方案

3.7.1.工作方式

三昶DLP系統(tǒng)架構(gòu)為C/S+B/S架構(gòu)，由服務(wù)端、客戶端兩大部分組成。其中管理員在任何地方均可通過WEB方式進(jìn)行DLP服務(wù)器的系統(tǒng)設(shè)置、策略維護(hù)、日志審計(jì)等工作。而DLP客戶端程序自動(dòng)與DLP服務(wù)端程序通信連接，接收來自于服務(wù)端的安全控制策略，以及上傳用戶的操作日志記錄等內(nèi)容。

n  三權(quán)分立管理模式

1、系統(tǒng)管理員：進(jìn)行DLP系統(tǒng)服務(wù)端各種參數(shù)設(shè)置和狀態(tài)維護(hù)，比如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權(quán)注冊(cè)信息、文件備份、郵件中轉(zhuǎn)服務(wù)等參數(shù)信息。

2、策略安全員：負(fù)責(zé)U盤、外設(shè)、文檔、郵件白名單、審核人員等與文檔安全保護(hù)有關(guān)的策略維護(hù)。為了策略維護(hù)和管理的方便，也可以設(shè)置一些部門策略安全人員。

3、安全審計(jì)員：擔(dān)當(dāng)客戶端文檔操作日志和服務(wù)端管理人員操作日志的審計(jì)角色。與域控管理相結(jié)合將域控服務(wù)器的人員列表快速導(dǎo)入DLP系統(tǒng)的用戶管理模塊中，實(shí)現(xiàn)DLP用戶與域控用戶管理服務(wù)相結(jié)合，減輕IT維護(hù)管理人員的工作復(fù)雜度，從而提高工作效率。

n  DLP系統(tǒng)服務(wù)端

服務(wù)端采用伸縮性和可移植性非常好的JAVA語(yǔ)言編寫和構(gòu)建，既可以安裝部署在一般WINDOWS服務(wù)器中，又可以將植入硬件服務(wù)器中。DLP服務(wù)器主要進(jìn)行安全策略管理、權(quán)限管理、系統(tǒng)管理、部門及用戶管理等系統(tǒng)主要功能；另外可以根據(jù)企業(yè)實(shí)際安全需要和成本考慮單獨(dú)部署文件備份服務(wù)器來存儲(chǔ)備份的加密文件。

n  DLP系統(tǒng)客戶端

終端用戶需安裝三昶DLP系統(tǒng)客戶端程序，在登錄Windows操作系統(tǒng)桌面的同時(shí)自動(dòng)進(jìn)行DLP系統(tǒng)身份認(rèn)證工作，認(rèn)證通過后根據(jù)服務(wù)端設(shè)置的安全控制策略，便可以使用擁有權(quán)限的數(shù)據(jù)資源，整個(gè)過程基本上由程序自動(dòng)完成，無需用戶參與。

圖10、三昶DLP泄露防護(hù)系統(tǒng)工作方式示意圖

3.7.2.部署方式

圖11、DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)平臺(tái)部署解決方案部署

備注：圖11中的“紅色虛框”即為方案中所涉及的數(shù)據(jù)安全加固部分。

3.7.2.1.內(nèi)部部署方式

1)建議內(nèi)部計(jì)算機(jī)終端使用在線策略的方式來安裝部署，各終端可以實(shí)時(shí)接收或者更新DLP服務(wù)器設(shè)置的各種策略，包括加密策略以及一些全局性的控制策略。

2)如果網(wǎng)絡(luò)出現(xiàn)短時(shí)間的故障時(shí)，系統(tǒng)提供針對(duì)這種場(chǎng)景的離線自動(dòng)切換功能，保證業(yè)務(wù)的正常運(yùn)行不受影響。

3.7.2.2.外部部署方式

根據(jù)企業(yè)外出人員能否進(jìn)行方便的網(wǎng)絡(luò)連通來看，主要有如下幾種方式的靈活部署方式：

1)、外出員工可以正常的網(wǎng)絡(luò)連接

針對(duì)這種類型的外出辦公場(chǎng)景，DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供靈活的網(wǎng)絡(luò)連接方式，包括客戶端動(dòng)態(tài)IP的支持、通過有線或者無線的公網(wǎng)連接方式支持等。

2)、員工不可以進(jìn)行正常的網(wǎng)絡(luò)連接

針對(duì)這種類型的外出辦公場(chǎng)景，DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供多種方式的離線策略控制，用戶可以自行設(shè)置離線策略生效的時(shí)間，比如月、日、小時(shí)等，另外對(duì)于離線時(shí)間過期后，提供一個(gè)離線策略時(shí)間補(bǔ)時(shí)的授權(quán)文件，外出終端用戶可以方便導(dǎo)入些授權(quán)文件就可以輕松實(shí)現(xiàn)離線策略的延時(shí)授權(quán)。

3）、臨時(shí)需要進(jìn)行數(shù)據(jù)安全保護(hù)

針對(duì)離線不連網(wǎng)、移動(dòng)辦公性較強(qiáng)以及臨時(shí)性保護(hù)等應(yīng)用場(chǎng)景要求，DLP數(shù)據(jù)泄露防護(hù)系統(tǒng)提供簡(jiǎn)單方便的安全保護(hù)方案，使用者只需要將事先制作好的U盤插入計(jì)算中就可以輕松實(shí)現(xiàn)數(shù)據(jù)的安全保護(hù)，避免了其它廠家需要進(jìn)行繁雜的安全部署以及設(shè)置設(shè)置過程，進(jìn)一步提高了工作效率和使用者的安全應(yīng)用體驗(yàn)。

3.7.3.實(shí)施步驟

1)DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的服務(wù)端，用于下發(fā)各種安全加密策略,并進(jìn)行身份認(rèn)證。

2)登錄服務(wù)端后臺(tái)Web管理界面，根據(jù)企業(yè)的行政組織結(jié)構(gòu)，建立部門分組，按照管理要求，為部門綁定外設(shè)管理策略和文檔加密策略。

3)客戶端無需登錄后臺(tái)管理，即可在管理界面當(dāng)中自行注冊(cè)用戶并下載安裝客戶端。域管理結(jié)構(gòu)則可用域的策略自動(dòng)推送客戶端安裝。安裝完成后，客戶端所有安全策略和加密操作等，均由服務(wù)端自動(dòng)下發(fā)，在后臺(tái)執(zhí)行，對(duì)用戶完全透明，不改變用戶的操作習(xí)慣。

4)外出人員的筆記本電腦可通過服務(wù)端配置的離線策略，讓外部使用的資料也受到保護(hù)。內(nèi)部敏感數(shù)據(jù)如果需要外發(fā)給陌生地址，需由管理者審核通過并記錄保存后，方可進(jìn)行發(fā)送。

5)所有的加密操作，管理員都可以配置明文備份保護(hù)，并實(shí)時(shí)更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰損毀。但從服務(wù)器取出明文備份文件，或接受外部發(fā)來的明文文件，在保存到本地時(shí)就立刻被加密保護(hù)。

3.8.方案特色

全面的外控支持功能：支持現(xiàn)有的所有已知的外設(shè)和移動(dòng)存儲(chǔ)設(shè)備，如：藍(lán)牙、打印機(jī)、數(shù)碼相機(jī)、紅外、光驅(qū)、串口、并口、攝像頭、刻錄機(jī)、SD卡槽、無線上網(wǎng)卡、U盤、無線網(wǎng)卡等等。

系統(tǒng)內(nèi)核驅(qū)動(dòng)技術(shù)：采用Windows系統(tǒng)底層控制，同時(shí)實(shí)現(xiàn)文件加密和磁盤加密過濾驅(qū)動(dòng)兩種不同加密方式，控制響應(yīng)速度極快，占用系統(tǒng)資源低。系統(tǒng)客戶端具有防卸載、防刪除和自動(dòng)修復(fù)等功能。

推送安裝部署形式：通過后臺(tái)統(tǒng)一安裝客戶端，客戶端用戶感覺不到安裝過程，快速且易于部署；

系統(tǒng)擴(kuò)容簡(jiǎn)單方便：

1)、公司新增加分支機(jī)構(gòu)時(shí)，可通過同級(jí)服務(wù)器機(jī)制直接導(dǎo)入到新增的分支機(jī)構(gòu)的應(yīng)用服務(wù)器，部署快捷方便；

2）、公司總部以及分支機(jī)構(gòu)新增客戶端應(yīng)用時(shí)可直接連接到就近服務(wù)器；同級(jí)服務(wù)器機(jī)制輕松解決新增分支機(jī)構(gòu)的不斷擴(kuò)展的安全需求；

3）、數(shù)據(jù)庫(kù)備份遷移：支持備份數(shù)據(jù)庫(kù)表、數(shù)據(jù)庫(kù)表組及整個(gè)數(shù)據(jù)庫(kù)；不同版本之間可支持遷移備份，以便服務(wù)端升級(jí)后快速恢復(fù)服務(wù)端；數(shù)據(jù)庫(kù)支持遠(yuǎn)程備份。

文件流轉(zhuǎn)按需授權(quán)：

1）、領(lǐng)導(dǎo)的文件別人無法查看；

2）、領(lǐng)導(dǎo)可以查看所有人的文件；

3）、部門內(nèi)部的文件可相互查看；

4）、部門經(jīng)理的文件只允許其領(lǐng)導(dǎo)及老板查看；

5）、HR等后勤保障的公共部門的文件各部門均可以查看；

6）、允許上級(jí)看下級(jí)的文件，不允許下級(jí)看上級(jí)的文件；

融合管理：

1）、與第三方交互的文件需要經(jīng)過授權(quán)或自動(dòng)審核記錄副本后方能外發(fā)；

2）、重要的部門外發(fā)文件時(shí)通過領(lǐng)導(dǎo)審核，部門領(lǐng)導(dǎo)可指派多名候選審核者，并支持設(shè)置后選審核人的優(yōu)先級(jí),當(dāng)高優(yōu)先級(jí)的審核員外出時(shí)，系統(tǒng)自動(dòng)分配審核任務(wù)到次優(yōu)先級(jí)審核員，依次類推；

3）、文檔密級(jí)較低的部門可通過配置自動(dòng)審核功能，無需人工干預(yù)且有副本記錄，必要時(shí)可提取副本進(jìn)行核查，確保快捷又安全；

4）、內(nèi)部各職能部門之間臨時(shí)共享文件可通過文檔內(nèi)發(fā)管理來實(shí)現(xiàn)；

靈活便捷：

1）、當(dāng)客戶端在公司總部或各分支結(jié)構(gòu)使用時(shí)，可按需配置在線策略；

2）、具有離線使用功能，部分人員需要外出辦公時(shí)可臨時(shí)授權(quán)離線策略；如：攜帶儲(chǔ)存有重要或機(jī)密文檔出差時(shí)可配置離線策略；

3）、離線終端的各種操作均會(huì)形成日志，并在連接到服務(wù)器時(shí)自動(dòng)上傳日志文件，方便后續(xù)審核；

簡(jiǎn)單易用:

1）、加解密對(duì)用戶透明，用戶感覺不到加解密過程；

2）、不需要對(duì)用戶進(jìn)行專項(xiàng)培訓(xùn)；

3）、不改變用戶的操作習(xí)慣；

遠(yuǎn)程支撐：

1）、文件損壞：發(fā)現(xiàn)需要的文件損壞時(shí)，可以連接至備份服務(wù)器進(jìn)行恢復(fù)；

2）、密文解密：當(dāng)外發(fā)的文檔需要解密時(shí)，可通過VPN連接至DLP服務(wù)器進(jìn)行外發(fā)審核，也可把文件通過網(wǎng)絡(luò)或其它方式發(fā)回公司，解密后再回傳；

三權(quán)分立：

1）、超級(jí)管理員擁有所有權(quán)限，普通管理員無操作日志權(quán)限，日志管理員進(jìn)行日志及副本的安全審計(jì)，規(guī)避“監(jiān)守自盜”行為，老板放心，管理員省心；

2）、基于角色的訪問控制技術(shù)，可以新建不同角色并分配各種權(quán)限；

3.9.方案價(jià)值

n  防止任何形式和途徑的機(jī)密外泄

DLP系統(tǒng)采用透明加密保密存儲(chǔ)的方式，全面管控計(jì)算機(jī)移動(dòng)數(shù)據(jù)存儲(chǔ)設(shè)備、外設(shè)資源、網(wǎng)絡(luò)等方面的泄密途徑，全程監(jiān)測(cè)數(shù)據(jù)應(yīng)用過程中的泄密方式(例如打印、截屏、另存為、拷貝等)。有效解決企業(yè)內(nèi)部主動(dòng)或者被動(dòng)泄密，企業(yè)外部非法入侵竊取，文檔安全協(xié)作共享安全、文檔移動(dòng)離線保護(hù)、存儲(chǔ)設(shè)備丟失防護(hù)和移動(dòng)介質(zhì)設(shè)備安全管控等方面的文檔安全問題。防止任何形式和途徑的機(jī)密外泄，安全保護(hù)企業(yè)數(shù)據(jù)安全。

n  最大程度消除員工抵觸情緒

1、文檔從產(chǎn)生、應(yīng)用、傳輸?shù)絼h除銷毀的生命周期內(nèi)所涉及的加密操作均由系統(tǒng)自動(dòng)完成，用戶無需進(jìn)行任何的干預(yù)，不改變其使用文檔的操作習(xí)慣，而且也感覺不到加密動(dòng)作的存在，對(duì)用戶來說完全透明。

2、基于遠(yuǎn)程安全策略管控方式，釋放用戶對(duì)安全控制措施抵觸情緒。

3、針對(duì)文檔的內(nèi)部流轉(zhuǎn)、外部發(fā)送、離線辦公等業(yè)務(wù)場(chǎng)景設(shè)置靈活的例外解密策略，最大程度上降低對(duì)用戶工作的影響。

n  全面釋放管理維護(hù)人員壓力

1、客戶端程序采用網(wǎng)絡(luò)推送安裝方式，使得IT維護(hù)人員無需親臨現(xiàn)場(chǎng)指導(dǎo)安裝，為企業(yè)和個(gè)人節(jié)省了寶貴的人力資源成本和時(shí)間精力。

2、基于B/S的管理架構(gòu)設(shè)計(jì)以及與域控服務(wù)相結(jié)合的機(jī)制，可以幫助IT維護(hù)人員在任何地點(diǎn)、任何時(shí)間、復(fù)雜網(wǎng)絡(luò)環(huán)境下都能夠快速準(zhǔn)確地管理各種安全控制策略。

3、控制策略模板化、用戶與策略關(guān)聯(lián)綁定最大化和全局化等方面設(shè)計(jì)，大大簡(jiǎn)化了安全控制策略配置的復(fù)雜程度，同時(shí)也將策略配置出錯(cuò)率降至最低水平。

4、IT維護(hù)人員可以為終端使用者配置文檔備份策略，避免因各種意外原因?qū)е碌臄?shù)據(jù)損壞丟失問題。另外，IT維護(hù)人員也可對(duì)DLP系統(tǒng)關(guān)鍵服務(wù)數(shù)據(jù)庫(kù)和主密鑰信息進(jìn)行備份，系統(tǒng)崩潰損毀后可快速進(jìn)行恢復(fù)工作，保持業(yè)務(wù)的連續(xù)性。

5、同級(jí)部署機(jī)制，使得IT維護(hù)人員在完成公司總部的系統(tǒng)配置后，將相關(guān)配置導(dǎo)入到企業(yè)各分支機(jī)構(gòu)的DLP服務(wù)器中，實(shí)現(xiàn)配置同步并且快速部署的效果。

6、多級(jí)服務(wù)器部署機(jī)制，上級(jí)單位可查看下級(jí)服務(wù)器上傳的操作日志，安全審計(jì)記錄和用戶結(jié)構(gòu)列表，讓IT安全管理者全局掌控企業(yè)的信息安全態(tài)勢(shì)。

n  持續(xù)降低企業(yè)信息安全成本

1、兼容企業(yè)主流的應(yīng)用系統(tǒng)，如ERP、OA、SVN等，讓企業(yè)經(jīng)營(yíng)者無需更改任何的應(yīng)用系統(tǒng)即可實(shí)現(xiàn)與DLP系統(tǒng)相結(jié)合。

2、適應(yīng)企業(yè)IT架構(gòu)成長(zhǎng)性，解決不同規(guī)模企業(yè)的安全需求。

3、統(tǒng)一安全平臺(tái)，可以與更多其它三昶安全產(chǎn)品的聯(lián)動(dòng)和配合。

3.10.系統(tǒng)安全性

n  數(shù)據(jù)加密

l  基于內(nèi)核級(jí)的數(shù)據(jù)強(qiáng)制透明加密，對(duì)數(shù)據(jù)和存儲(chǔ)位置雙重加密，保護(hù)在任何位置存儲(chǔ)的數(shù)據(jù)及任何指定進(jìn)程產(chǎn)生的文件，全方位保障數(shù)據(jù)的絕對(duì)安全。實(shí)時(shí)的透明加解密，操作過程透明，不影響用戶操作習(xí)慣。

——通過文件過濾驅(qū)動(dòng)技術(shù)，實(shí)現(xiàn)進(jìn)程和文件的強(qiáng)制透明加密，在文件產(chǎn)生時(shí)即被強(qiáng)制加密，在文件使用（編輯、保存等）過程中進(jìn)行跟蹤加密，以任何方式泄漏出去的文件均為密文。

——通過磁盤驅(qū)動(dòng)技術(shù)實(shí)現(xiàn)全盤強(qiáng)制透明加密。支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法，結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸，進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí)，提高了加解密效率。SHA2、MD5摘要算法用于數(shù)字簽名，結(jié)合RSA公私鑰體系，防止文件被篡改、偽造及未授權(quán)使用。密鑰管理，基于PKI/CA認(rèn)證體系，銀行交易級(jí)別的密鑰管理，是目前最安全的密鑰管理體系，對(duì)密鑰的產(chǎn)生、存儲(chǔ)、分配、使用和銷毀的全過程進(jìn)行有效的管理，確保密鑰任何時(shí)期都是安全的。

n  端點(diǎn)控制

廣泛覆蓋所有端點(diǎn)，控制數(shù)據(jù)泄漏途徑和方式，在數(shù)據(jù)泄漏之前，主動(dòng)防御控制。

終端端點(diǎn)控制：控制打印端口、傳真、截屏、USB端口等泄漏途徑；

網(wǎng)絡(luò)端點(diǎn)控制：FTP、HTTP、Email、MSN等；

存儲(chǔ)端點(diǎn)控制：外設(shè)驅(qū)動(dòng)設(shè)備、便攜設(shè)備、PDA、移動(dòng)存儲(chǔ)介質(zhì)（U盤）等。

n  身份認(rèn)證

通過對(duì)密鑰和數(shù)字證書的管理，來管理密鑰和證書對(duì)應(yīng)的用戶身份，對(duì)用戶進(jìn)行生命周期全過程（注冊(cè)、注銷、恢復(fù)）的管理，安全、可靠、有效。

1、基于PKI/CA標(biāo)準(zhǔn)密鑰和數(shù)字證書體系，銀行交易級(jí)別的密鑰管理；

2、USBKey硬件標(biāo)識(shí)作為密鑰證書載體，結(jié)合密碼認(rèn)證登錄；

3、雙因子認(rèn)證登錄，增強(qiáng)身份認(rèn)證的可信度；

n  安全可靠

1、密鑰管理及身份認(rèn)證采用PKI/CA體系.支持目前業(yè)界領(lǐng)先的128位、256位DES、3DES、AES、RC4加密算法，結(jié)合RSA公私鑰體系實(shí)現(xiàn)密鑰安全傳輸，進(jìn)行高強(qiáng)度數(shù)據(jù)加密的同時(shí)，提高了加解密效率；

2、經(jīng)過加密的文檔，即便被復(fù)制出去，也無法打開查看其內(nèi)容，不會(huì)造成機(jī)密泄漏。用戶正常的操作也都是在加密狀態(tài)下進(jìn)行，如果需要把文件解密成明文，則需要授權(quán)或?qū)徍恕?span>

3、打印及內(nèi)外發(fā)文件均可提取副本進(jìn)行事后分析.惡意泄露有據(jù)可依；

4、任何加密的文檔均在備份服務(wù)器上備份明文，文檔損壞、掉電丟失數(shù)據(jù)、惡意篡改及惡意刪除重要、機(jī)密文件，均可通過各自的客戶端在本地或VPN方式遠(yuǎn)程連接服務(wù)器進(jìn)行，無后顧之憂；

5、加密系統(tǒng)的應(yīng)用服務(wù)器崩潰后可使用離線策略正常工作，且通過備份機(jī)制快速修復(fù)服務(wù)器環(huán)境，可通過冷備方式快速解決服務(wù)器崩潰問題；

n  系統(tǒng)自身安全