信息系统集成
终端数据防泄密系统
发布日期:2013/8/7 18:27:47 访问次数:1270
产品简介
终端防泄密系统(以下简称DLP)致力于为用户提供数据安全防范措施,减少数据泄密风险。
系统具有硬盘加密、移动存储介质管理、外设管理、协议外发加密和应用程序外发加密等功能,以用户单位内部局域网为边界对敏感数据进行保护。系统同时具有完善的安全审计功能,提供事后追踪手段;可与身份认证系统联动,实现高强度的身份认证;可与文件审批系统联动,建立完善文档审批机制,规范员工外发行为。
产品功能
硬盘加密
提供全盘加密功能,利用加密技术实现对硬盘上存储的数据进行保护。
1)开机认证
系统提供开机认证功能,此认证是优先于系统启动之前发生,即在BIOS启动后通过密码进行认证,有效的保证了硬盘数据的安全性。同时,系统支持当用户忘记认证密码后通过管理员赋予授权码进入系统。
2)加密算法
系统支持多种加密算法,如:DES、AES、SM4等,系统默认内置SM4 128位加密算法。
3)全盘加密
系统支持所有类型的硬盘扇区级动态加解密,所有加密过程均在后台全自动完成,整个过程用户毫无感知,并且支持断点继加解密,即客户端在加密或解密过程中,系统关机、断电等异常操作后,重启计算机后,客户端继续执行相应的加解密动作。
4)集中部署
系统提供策略集中下发,客户端统一受控于管理端,后期维护简单。
移动存储介质管理
提供完善的移动存储设备管理方案,实现对已注册设备、未注册设备进行统一的管理,并通过注册、授权、挂失和注销等手段实现移动存储设备生命周期管理。
1)分类管理
系统提供对移动存储设备分级管理,支持对移动存储设备分类分级管理,如可划分为防病毒的资料盘和普通类型非资料盘。
2)设备管理
系统提供对对移动存储设备生命周期管理,通过注册、授权、挂失和注销等方式进行管理,同时,支持对未注册进行统一管理。
注册:系统提供远程注册、批量注册;
授权:系统支持所有设备(已注册、未注册)进行授权管理,授权权限包括:正常读写、只读(明文)、只读(明文+密文)、加密读写、禁用;授权范围包括:用户、用户组。
挂失:挂失已注册设备。
注销:注销已注册设备。
3)日志审计
系统提供对移动存储设备文件操作日志、插拔日志、违规日志等。文件操作日志包括:包括文件创建、修改、删除、重命名等文件操作以及文件内容审计等;插拔日志包括:插入客户端、拔出客户端、时间、用户名等;违规日志包括:违规设备ID、时间、用户名等。
终端外设管理
系统提供对所有的外部设备进行管理。
1)预置设备库
系统预置常见的设备类型,支持对这些设备类型进行启用或关闭。预置的设备类型有:设备类型包括串行总线控制器、全部端口(COM和LPT)、全部调整解调器、蓝牙设备、红外设备、1394端口、光驱设备及软驱设备等。
支持厂家维护更新设备库,并可以通过关键字添加各类型自定义设备。
2)黑白名单管理
系统支持对客户端外部设备实现黑白名单管理,并可依据不同应用场景实现黑名单或白名单管理方式。
协议外发加密
系统提供网络协议外发加密功能,实现通过客户端外发的文件自动透明被加密,从而保证客户端存储数据的安全性。
1)HTTP协议外发加密
系统支持HTTP协议外发加密,客户端所有通过HTTP协议外发的附件均为加密文件,并可设置目标IP地址、端口、URL等参数实现灵活控制。
2)SMTP/POP3协议外发加密
系统支持SMTP/POP3协议智能控制,智能控制手段包括:明文发送、全文加密发送、附件加密发送,并可设置收件人邮件地址或发件人目标等参数实现上述控制手段。
3)解密策略
系统支持加密策略和解密策略分开,实现对某些特殊群体既能单独下发加密策略或加密策略,以满足不同应用场景下客户需求。
应用程序外发加密
系统提供应用程序外发加密功能,实现通过应用程序外发的文件自动透明被加密,从而保证客户端存储数据的安全性。
1)应用程序外发加密
系统支持应用程序外发加密,通过设置的应用程序外发的文件自动透明被加密,控制手段包括:加密、明文、禁止发送。
2)解密策略
系统支持加密策略和解密策略分开,实现对某些特殊群体既能单独下发加密策略或加密策略,以满足不同应用场景下客户需求。
网络管理
系统提供客户端网络层管理,通过网络层控制可实现虚拟安全域管理和网络外发白名单功能。
1)虚拟安全域
系统支持按用户的组织架构将内部网络划分为几个逻辑虚拟安全域,虚拟安全域作为系统管理单元,虚拟安全域内可以正常通信,不同虚拟安全域之间不能通信,各虚拟安全域之间通过设置信任关系后,可以达到不同子网之间通信的目的。
2)网络外发白名单
系统支持网络层外发白名单控制功能,通过设置网络外发白名单有效的控制了网络外发途径,最大程度上规范和管理网络外发行为,系统提供基于应用程序/IP地址/协议/端口四个维度进行控制,管理员可以根据实际需要,在策略中设置应用程序的黑、白名单。从而达到指定某些程序的网络连接,或者仅允许某些应用程序可以进行网络连接的两种效果。
产品优势
sec-DLP采用严格的数据边界防护,通过对硬盘、外设、移动存储设备及网络等多个维度进行管控,实现了数据安全控制的同时,又实现了数据“原态化”存储在本地硬盘;实现了数据安全控制的同时,又没有因加密技术提高了数据被破坏的风险;实现了数据安全控制的同时,又没有因加密技术增加了客户端的资源开销。