数据泄露防护系统_北京转创国际管理咨询有限公司广东分公司

数据泄密（泄露）防护（Data leakage prevention,DLP），又称为“数据丢失防护”(Data Loss prevention,DLP)，有时也称为“信息泄漏防护”(Information leakage prevention,ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是目前国际上最主流的信息安全和数据防护手段。

背景介绍

随着信息技术的飞速发展，计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是，信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。目前对内外安全的解决方案，还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年中，全球98.2%的计算机用户使用杀毒软件，90.7%设有防火墙，75.1%使用反间谍程序软件，但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击，79.5%遭遇过至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示，由于内部重要机密数据通过网络泄露而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄露的比例为1：99。这是来自于国家计算机信息安全测评中心的一个数据，据调查显示，互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中，只有1%是被黑客窃取造成的，而97%都是由于内部员工有意或者无意之间泄露而造成的。

泄漏途径

目前，数据泄漏的途径可归类为三种：在使用状态下的泄密、在存储状态下的泄密和在传输状态下的泄密。一般企业可通过安装防火墙、杀毒软件等方法来阻挡外部的入侵，但是事实上97%的信息泄密事件源于企业内部，所以就以上三种泄密途径分析，信息外泄的根源在于：

1、使用泄漏；1）操作失误导致技术数据泄漏或损坏；2）通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。

2、存储泄漏：1）数据中心、服务器、数据库的数据被随意下载、共享泄漏；2）离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料；3）移动笔记本被盗、丢失或维修造成数据泄漏。

3、传输泄漏：1）通过email、QQ、MSN等轻易传输机密资料；2）通过网络监听、拦截等方式篡改、伪造传输数据。

防护原理

DLP数据泄露防护系统

以下是DLP数据泄漏防护系统的原理图

通过身份认证和加密控制以及使用日志的统计对内部文件进行控制。目前，在数据泄漏防护市场里面，国内具备自主知识产权的产品生产厂家为数不多，以上参考虹安信息的DLP数据泄漏防护系统。

防护前景

数据泄漏防护技术（DLP）日渐成为目前市场上最为重要的安全技术之一。企业青睐数据泄漏防护技术来保护所有权数据和满足法规遵从的需要，为想要接触安全市场中最敏感部分的解决方案提供商提供了巨大的商机。数据泄漏防护技术也为安全产品销售商带来了大量机遇。

防护方案

1.效劳器加密维护

对效劳器群的维护，由DNetSec来完成。DNetSec由硬件和软件两大部分组成，各种硬件采用高机能的搜集效劳器，软件为文档安全网关软件。DNetSec对一切上传到效劳器的文档自动中止解密，对一切从效劳器下载文档自动中止加密。

2.办公搜集和手艺搜集文档维护

在办公局域网和手艺局域网等内部搜集中，采用透明加密敌手艺搜集内的手艺文档、设计图纸、源代码、电路图等中间资料中止自动、强迫、实时加密。采用文档权限管理对管理部门的办公信件、财务部门的财务数据、发卖部门的客户资料、市场部门的谋划方案等商业机密文件中止权限节制。经由两种管理体式款式，确保内部搜集终端安全，防止内部中间信息外泄。

3.文档外发节制

对企业内部发往出差人员、协作单位等系统外的文档。当外发文件掀开时，需经由用户身份认证，方可阅读文件。同时，外发文件可以限制回收者的阅读次数和运用时分等细粒度的权限，从而有效防止了客户首要信息被非法扩散。

4.离线脱机办公管理

在人员出差或其他情况下，需求外带笔记本电脑，经由计谋设定，可以确保对离线笔记本电脑数据的节制。

5.笔记本电脑管理

对存有首要资料的笔记本电脑，采用磁盘加密。

6.内网端口管理和移动设备管理

对内网中的一切端口和移动设备，对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口中止节制，并能对拷贝到移动存储设备的文档加密。

7.文档自动备份

文档每次保管后均自动备份到备份效劳器中。文档管理员可经由改动备份的方式和路子，完成备份管理。用户在分开效劳器方式下的文档，也将自动备份到当地硬盘中。经由备份，可有效避免因为各类意外招致的数据损失。

8.日志审计

能够看管、跟踪、记录一切用户的悉数操作，实时查看系统的运用情况，完成最高的系统安全。可以从严重的记录数据中抽取有用的信息，对用户的某些操作中止分类整理，经由操作记录，回溯历史活动，从而发现泄密渠道。经由跟踪今朝用户操作，能及时发现用户的风险操作，在泄密工作发现前就获得警报，遏止泄密工作的发生发火。一旦泄密工作发生发火，经由用户操作记录，可以第一时分拿出最有力的证据。

安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备。采用链路加密的方式，实现客户端的准入，从文件在企业的使用流程入手，将数据泄露防护与企业现有OA系统、文件服务系统、ERP系统、CRM系统等企业应用系统完美结合，对通过网关的文档数据进行透明加解密工作，有效解决文档在脱离企业应用系统环境后的安全问题。为企业部署的所有应用系统提供有效的安全保障。

1.功能价值

完成安全网关和企业现有应用系统无缝集成，自动完成对经过网关的数据进行强制加解密——上传解密，下载加密；

加密客户端通过网关，正常访问应用系统服务器；

非涉密客户端计算机，在通过安全网关时，会被安全网关筛选和拒绝，无法通过网关访问OA/PDM服务器

2.产品特点

产品特点

a.透明加密

b.智能自动加密

c.高度的稳定性

d.强大的系统兼容性

e.详尽的日志审计

四、方案特征：

1.优盾DLP的一切功用基于一套无缺、和谐的系统，可以完成的统一管理和计谋联动，在实施、管理、维护、升级等一系列活动中，便当灵活，极大地降低了成本;

2.DLP系统以数据加密为中间，别离了身份认证、日志审计、文档备份、文档流程审批、外发节制等功用，系统本身具备容灾管理功用，在基于用户需求的基础上，合营各类安全计谋，不只从来源上完成了文档的失密，还有效完成搜集边境管理，是高效的分域安全架构;

3.能与各应用平台集成，支撑通用文件把戏如：office系列、PDF、CAD、源代码、电路图等。能与各类特征平台集成，如各类OA系统，支撑各类认证系统(AD、CA、ED等)。

4.该系统支撑大用户管理系统，能知足10万点以上大局限端点节制需求，可以完成负载均衡、热备和多级管理方式等;

5.具有高度的模块化和扩展性，可以根据制造企业展开的需求，扩展其他功用，比如：电子邮件加密，输出内容监控等模块。

优盾文档安全管理软件自动加密版适用于对安全性、统一管理有很高要求的用户。可满足需要对主动泄密与被动泄密进行防护的用户。优盾智能信息防泄漏系统采用透明加解密技术，在完全不改变企业原有工作流程和文件使用习惯的前提下，对企业内部的关键数据文件实行监控和强制加密保护，有效的防止被动和主动泄密。

配置方式

1.在静态工作站镜像上测试是非常不错的，但数据丢失防护的大多数问题出现在首次DLP数据泄露防护系统的用户。在你推出部署数据丢失防护解决方案的第一个部门确定一些关键用户，根据需要对他们进行培训，并在测试阶段与他们密切合作。通过关键用户的帮助，可以避免非技术业务部门测试中出现的问题，也可避免部署中没有任何用户反馈的情形发生。

2.确保你的目录服务器是最新和准确的（这实际适用于任何形式的DLP数据泄露防护系统）。大部分组织将他们的数据丢失防护策略设计成根据用户角色应用不同的策略。即使一个计算机组已经映射到一个业务单元或该业务单元中的一个特定用户，在下次更新时可能会破坏该策略。依据用户以及组或者角色要比依据计算机来管理好得多，即使这意味着你首先需要花一些时间对你的目录服务器进行调整。^[1]

3.建立适应用户在你的数DLP数据泄露防护系统。切换一个模式匹配策略，例如正则表达将会增加误报，但会减少对电脑性能的影响。你也可以设置策略切换到监控/警告模式，而不是阻塞模式来进一步减少对用户的影响，虽然安全风险较高。

4.首先关注终端发现和USB保护。在一系列的DLP数据泄露防护系统工具中，发现（查找本地硬盘上的敏感信息）和USB监控/阻塞是最重要的两个功能。帮助跟踪用户在受认可的企业应用程序之外获取敏感信息，和在本地存储或共享敏感信息的行为也是终端数据丢失防护的重要特征。一旦启用终端发现，选择增量扫描（如果你的产品提供了该功能）；没有人希望他们的电脑因为每周三午间的杀毒扫描而突然停止，而每周四又进行数据丢失防护扫描。

5.慢慢来，逐步推出代理和策略。在完成你的DLP数据泄露防护系统初步测试后，一个组一个组的推出那些策略来确保产品具有良好适用性，这样以来不会给你的事件响应团队造成太大压力。当用户第一次开始使用数据丢失防护时，几乎每一个DLP数据泄露防护系统客户都会出现大量的策略违反报告，直到用户自我训练到可以更好地管理受保护的信息之时这一情况才会得到缓解。