数据泄露防护解决方案

数据泄露防护（DLP）解决方案

以数据资产为焦点、数据泄露风险为驱动，依据用户数据特点（源代码、设计图纸、Office 文档等）与具体应用场景（数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等），在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段，为用户提供针对性数据泄露防护整体解决方案，保障数据安全，防止数据泄露。

其中包括：

➢数据安全网关

➢数据安全隔离桌面

➢电子邮件数据安全防护

➢U盘外设数据安全防护

➢笔记本涉密数据隔离安全保护系统

➢笔记本电脑及移动办公安全

➢文档数据外发控制安全

1、数据安全网关

背景：

如今，企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时，应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露，已成为信息安全建设的重点与难点。

概述：

数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成，全面实现ERP 、OA 、PLM等应用系统数据资产安全，保障应用系统中数据资产只能被合法用户合规使用，防止其泄露。

具体可实现如下效果：

应用安全准入

采用双向认证机制，保障终端以及服务器的真实性与合规性，防止数据资产泄露。非法终端用户禁止接入应用服务器，同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器，访问应用系统资源，不受限制；

统一身份认证

数据安全网关可与LDAP协议等用户认证系统无缝集成，对用户进行统一身份认证，并可进一步实现用户组织架构分级管理、角色管理等；

下载加密上传解密

下载时，对经过网关的文件自动透明加密，下载的文档将以密文保存在本地，防止其泄露；上传时对经过网关的文件自动透明解密，保障应用系统对文件的正常操作；

提供黑白名单机制

可依据实际管理需要，对用户使用权限做出具体规则限定，并以此为基础，提供白名单、黑名单等例外处理机制。如：对某些用户下载文档可不执行加密操作；

提供丰富日志审计

详细记录所有通过网关的用户访问应用系统的操作日志。包括：时间、服务器、客户端、传输文件名、传输方式等信息，并支持查询查看、导出、备份等操作；

支持双机热备、负载均衡，并可与虹安DLP客户端协同使用，更大范围保护企业数据资产安全；

2、数据安全隔离桌面

背景：

保护敏感数据的重要性已不言而喻，但如何避免安全保护的“一刀切”模式（要么全保护、要么全不保护）？如何在安全保护的同时不影响外部网络与资源的正常访问？如何在安全保护的同时不损坏宝贵数据？

概述：

在终端中隔离出安全区用于保护敏感数据，并在保障安全区内敏感数据不被泄露的前提下，创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时，提升工作效率。

具体可实现效果：

1）只保护安全区内敏感数据安全，其它数据不做处理；

2）通过身份认证后，方可进入安全区；

3）安全区内可直接通过安全桌面访问外部网络与资源；

4）安全区内敏感数据外发必须通过审核，数据不会通过网络、外设等途径外泄；

5）敏感数据不出安全区不受限制，数据进入安全区是否受限，由用户自定义；

特色优势：

1）避免安全保护“一刀切”，可只保护敏感数据；

2）敏感数据保护与自由上网，互不影响；

3）不会损坏敏感数据，适合保护各类敏感数据，包括源代码、设计图纸等动则上G的大文件；

3、电子邮件数据安全防护

背景：

电子邮件已经成为日常工作中最常用的通信工具之一。然而，电子邮件在网络中是以明文形式传输和存储，就犹如在信息高速公路上“裸奔”一样，企业敏感信息随时存在被截获和浏览的风险。端到端电子邮件加密服务已成为电子邮件市场的迫切需求。

电子邮件加密客户端概述：

电子邮件加密客户端是在实现普通邮件系统功能之上，综合运用身份认证、数字签名、邮件正文及附件加密等安全技术手段，为用户提供安全、可控、便捷的电子邮件服务.

电子邮件加密客户端主要实现效果：

1）身份认证：保障电子邮件使用者身份的真实性；

2）数字签名与摘要：保障电子邮件内容的不可否认性与完整性；

3）正文及附件加密：可对电子邮件的正文以及附件进行加密，未通过身份认证无法使用，保障电子邮件内容的安全性；

4）权限控制：细粒度管控用户对电子邮件的使用权限，并对下载至本地终端的邮件附件仍可进行安全管控,保障合法用户在授权范围内使用电子邮件；

5)日志审计：详细记录对电子邮件的操作记录，泄露行为可追溯；

电子邮件加密主要特色优势：

1)邮件正文与附件均可加密保护且不改变正常操作习惯；

2)可与其它安全模块协同使用，更大范围保障用户数据安全；

4、U盘外设数据安全防护

部署结构图

图2策略实现结构图

针对移动存储设备的信息防泄露的安全需求，通过部署外设控制管理产品，可以有效解决前述的各种问题和矛盾。

首先，通过数据加密机制和外设端口管理，包括无线网卡、蓝牙、红外、打印机、光驱（或只禁止刻录）、软驱、1394、调制解调器等外设接口，对移存储设备中的工作文件进行安全防护，防止各种方式的泄露以及意外丢失所带来的安全风险。

其次，通过分组注册机制，专用U盘(内部使用)，通用U盘(内外均可正常使用)，对策略进行细分，详细控制使用者的使用范围和使用权限，实现移动存储设备的统一管理和策略授权。再次，通过离线时间控制策略，根据在线和离线不同场景，防止外出人员出差时候移动电脑失控，随意使用U盘拷贝文件。配合网络防火墙控制和访问权限控制功能，防止外网连接带来的木马和病毒传播扩散风险。

最后，对U盘拷贝数据的流量进行限制，给出报警信息，并生成违规日志上报到后台。客户端在离线和在线的情况下都会进行USB交换数据的记录，并在连线时自动连接服务器上传日志文件。USB交换数据的记录能够导出到Excel，方便进一步的流转和分析。