【文章內(nèi)容簡介】 、基于于PKI/CA體系的用戶身份訪問認(rèn)證嚴(yán)謹(jǐn)?shù)挠脩羯矸菰L問認(rèn)證：客戶端登錄使用時，先在服務(wù)器端做身份認(rèn)證，當(dāng)確認(rèn)為企業(yè)合法用戶時，會針對每人頒發(fā)一個證書。每次登錄時，需要確認(rèn)是合法用戶，才能訪問服務(wù)器以及安全文件。. 數(shù)據(jù)透明加密保護(hù)高強(qiáng)度數(shù)據(jù)透明加密保護(hù)：在用戶遠(yuǎn)程終端上，對需要保護(hù)的文檔進(jìn)行一次一密的高安全性加密方式，遵從國家密碼管理部門批準(zhǔn)的的加密算法加密文件內(nèi)容，只有指定授權(quán)用戶的密鑰才能解密文件。并用同時實現(xiàn)對文件簽名，保證文件的保密性，真實性和不可篡改性，同時滿足桌面云應(yīng)用辦公的數(shù)據(jù)加密性能要求。根據(jù)不同的安全保護(hù)要求，可以靈活選擇不同的透明加密保護(hù)方式，針對內(nèi)部文檔的安全流轉(zhuǎn)采用文件透明加密保護(hù)的方式，而針對重要部門核心數(shù)據(jù)則采用磁盤透明加密技術(shù)。. 數(shù)據(jù)安全區(qū)域隔離針對重點部門核心數(shù)據(jù)和臨時接入內(nèi)部網(wǎng)絡(luò)的設(shè)備實施數(shù)據(jù)安全加固的方式進(jìn)行保護(hù)。DLP可以在終端計算機(jī)上構(gòu)建安全區(qū)域，以此作為接入內(nèi)部資源，以及存放下載至終端的內(nèi)部敏感數(shù)據(jù)。同時在內(nèi)部重要部門網(wǎng)絡(luò)上，靈活建立以網(wǎng)絡(luò)安全區(qū)域為管理對象的保密子網(wǎng)，不同部門所形成的安全保密子網(wǎng)可以根據(jù)企業(yè)的策略設(shè)置和調(diào)整進(jìn)行數(shù)據(jù)的連通訪問。數(shù)據(jù)安全區(qū)域系統(tǒng)遵從數(shù)據(jù)分域隔離的管理規(guī)范，將計算機(jī)存儲設(shè)備分成不同的區(qū)域，控制和審計各區(qū)域間數(shù)據(jù)流向，結(jié)合外設(shè)和網(wǎng)絡(luò)管控，限制數(shù)據(jù)使用范圍，構(gòu)建安全保密子網(wǎng)以及各安全子網(wǎng)連接的安全網(wǎng)絡(luò)。系統(tǒng)采用安全穩(wěn)定的磁盤透明加密技術(shù)，加密全盤或者分區(qū)的數(shù)據(jù)，防護(hù)存儲設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密。針對企業(yè)應(yīng)用服務(wù)器的安全保護(hù)，可以將需要保護(hù)的應(yīng)用服務(wù)器集群納入到數(shù)據(jù)安全區(qū)域之中，通過一定的安全接入認(rèn)證或者部署安裝了數(shù)據(jù)安全保護(hù)程序的終端計算機(jī)才能夠正常接入到企業(yè)重要應(yīng)用服務(wù)器中。. 靈活人員訪問權(quán)限l 靈活調(diào)整人員訪問權(quán)限設(shè)置：可以依據(jù)各行政部門來定義角色，這樣角色就同實際的行政關(guān)系相對應(yīng)，再根據(jù)不同部門的職能，為相應(yīng)的角色配置安全策略組合，控制用戶權(quán)限（指定進(jìn)程、數(shù)據(jù)和文件的訪問和使用權(quán)限、移動存儲設(shè)備的使用權(quán)限、文件外發(fā)權(quán)限等），讓每個下屬企業(yè)的每個部門，甚至細(xì)分到每個人，都具有不同的安全保護(hù)權(quán)限。l 在線、離線多應(yīng)用模式策略切換：策略配置時，可以為同一用戶（組）授權(quán)在線和離線兩種策略。當(dāng)客戶端與服務(wù)器斷開連接時，自動切換至離線狀態(tài)。例如策略配置為：在線狀態(tài)時，對加密文件有讀，寫權(quán)限；離線狀態(tài)時，對加密文件有閱讀權(quán)限，不允許拷貝，截屏。離線時間可按照具體需求進(jìn)行設(shè)置。l 基于“三權(quán)”分立構(gòu)建安全管理體系：對系統(tǒng)管理的權(quán)限劃分細(xì)粒度高。默認(rèn)為三種權(quán)限：日志管理員，系統(tǒng)管理員和普通管理員。其次可根據(jù)企業(yè)內(nèi)部需要，自行增加管理員權(quán)限。例如：超級管理員，可以設(shè)定二級管理員（可多人不同分工），授權(quán)其只允許設(shè)定其他人員權(quán)限及策略，但不允許讀取后臺操作日志。. 全面外設(shè)管控. 移動存儲U口管控圖U盤等移動存儲設(shè)備安全管控U盤等移動存儲設(shè)備管控：客戶端使用的U盤，首次使用時，需要在服務(wù)端進(jìn)行注冊。注冊時區(qū)分“內(nèi)網(wǎng)專用模式”和“內(nèi)外網(wǎng)通用模式”；兩種模式下，匹配的使用權(quán)限策略可以針對個人設(shè)定，也可以指定為單個移動存儲設(shè)備。. 外設(shè)及端口管控 圖終端外設(shè)及其端口管控種類涵蓋全面的終端外設(shè)管控：對外設(shè)可按照在線和離線兩種模式進(jìn)行控制，并有使用日志記錄；打印留有副本可下載。. 文件發(fā)送管理文件發(fā)送分為內(nèi)發(fā)和外發(fā)兩種，兩種發(fā)送都可以設(shè)定審核員，只有審核通過后才可以發(fā)送，內(nèi)發(fā)一般可以不解密發(fā)送，外發(fā)已加密的文檔，審核通過可以解密為明文發(fā)送。外發(fā)的文件可已設(shè)定生命周期限制，如：一段時間內(nèi)可以打開，過后就無法產(chǎn)看；或者打開N次后文件即失效。在內(nèi)部避免審核員繁瑣操作，可進(jìn)行白名單設(shè)定，對于白名單可以直接發(fā)送。對于高層人員，可以授予解密權(quán)限，在客戶端即可批量加密和批量解密。外發(fā)流程示意圖如下： 圖文件發(fā)送管理示意 默認(rèn)情況：DLP系統(tǒng)提供不同部門之間的文檔是不能夠相互查看的。 內(nèi)發(fā)審核：企業(yè)不同部門之間的文檔需要互通時，必須經(jīng)過一定的審核機(jī)制。根據(jù)第一審核人的在線情況，可以靈活指定一個臨時審核人，以接替第一審核人的審核工作。第一審核人可以收回臨時審核人審核權(quán)限。 外發(fā)審核： 外發(fā)審核工作流程與內(nèi)發(fā)類似，同樣可以指定臨時審核人。 例外情況：1）、針對領(lǐng)導(dǎo)等可信人員可以配置文件白名單或者設(shè)置密文查看權(quán)限策略，接收或者查看任何部門的密文文件均不需要通過審核流程。2）、經(jīng)常向外部固定合作伙伴進(jìn)行郵件的往來時，可以將客戶的郵箱聯(lián) 系方式制作成郵件白名單，當(dāng)向此郵件地址發(fā)送郵件時，自動解密附件。3）、由于工作業(yè)務(wù)性質(zhì)的原因，需要同客戶頻繁進(jìn)行文件往來時，可以配置自動審核的策略，外發(fā)給客戶的文件自動解密，但同時會有詳細(xì)的操作日志記錄，并且保留發(fā)送的文件副本以作事后追蹤審計。 4）、為了方便授權(quán)用戶進(jìn)行加密文件的解密，DLP系統(tǒng)提供一種直接通 過“右鍵菜單”形式的主動解密功能，而不需要通過其它解密流程。 移動辦公：企業(yè)領(lǐng)導(dǎo)或者一般員工外出辦公，既需要處理企業(yè)內(nèi)部 加密受控的文檔，要不能夠像企業(yè)內(nèi)部一樣方便地進(jìn)行數(shù)據(jù)安全保護(hù)程 序。針對這種移動辦公數(shù)據(jù)安全保護(hù)的要求，DLP系統(tǒng)提供一種簡便有效 移動數(shù)據(jù)安全解決方案，使用者只需要將裝載有安全保護(hù)程序的U盤插 入終端設(shè)備后，就可以輕松實現(xiàn)數(shù)據(jù)的安全保護(hù)，避免麻煩的安裝部署和 安全策略配置過程，進(jìn)一步提高使用者的安全應(yīng)用體驗效果。 . 文件外發(fā)控制 圖外發(fā)文件全方位保護(hù)和全周期管理外發(fā)文件全方位保護(hù)和全周期管理：對外發(fā)送的文件可以根據(jù)需要制作為可控文件發(fā)送。例如：指定客戶的某臺機(jī)器（或者U盤）閱讀文件，設(shè)定閱讀時間為一周（或者只能打開3次），不允許打印和復(fù)制文件內(nèi)容。 豐富認(rèn)證方式（誰可以使用）提供適合不同安全強(qiáng)度的外發(fā)文件使用認(rèn)證方式，比如密碼口令、U盤ID、終端物理MAC地址、在線網(wǎng)絡(luò)認(rèn)證等，并且可自由組合使用認(rèn)證方式。 限制使用范圍（在哪里使用）配合在線和離線認(rèn)證模式，可以實現(xiàn)限制外發(fā)文件在固定終端上、單位局域網(wǎng)內(nèi)、廣域互聯(lián)網(wǎng)中使用，以滿足不同的使用場景。 使用權(quán)限控制（如何被使用）l 使用權(quán)限：限制文件只讀、可編輯、截屏、打開次數(shù)、另存為等；l 使用期限：限制文件打開時長、打開時間段、自動銷毀等；l 使用版權(quán)：打印外發(fā)文件時，可以添加單位版權(quán)水印信息； 安全日志審計（何時在使用）記錄所有用戶的文件外發(fā)操作日志，泄密事件發(fā)生后可跟蹤追溯。. 安全日志審計 圖全面而詳盡的安全日志審計全面而詳盡的日志記錄：對客戶端操作行為以及U盤等外設(shè)設(shè)備的使用均有詳細(xì)的日志記錄?？梢宰匪菽硞€特定人員對某個文檔的操作。. 數(shù)據(jù)備份恢復(fù)安全系統(tǒng)快速備份和恢復(fù)：提供備份和恢復(fù)系統(tǒng)數(shù)據(jù)的功能，在系統(tǒng)升級過程中，能實現(xiàn)不同版本之間的數(shù)據(jù)遷移。文件意外情況安全保護(hù)：對所有的加密操作，都可以配置備份保護(hù)，并根據(jù)需要配置實時更新，避免重要數(shù)據(jù)因系統(tǒng)崩潰、斷電等原因損毀。備份服務(wù)器可以同DLP服務(wù)器集成部署，也可以使用專用文件服務(wù)器分別部署，用大容量的文件服務(wù)器來滿足海量存儲需求。. . 工作方式虹安DLP系統(tǒng)架構(gòu)為C/S+B/S架構(gòu)，由服務(wù)端、客戶端兩大部分組成。其中管理員在任何地方均可通過WEB方式進(jìn)行DLP服務(wù)器的系統(tǒng)設(shè)置、策略維護(hù)、日志審計等工作。而DLP客戶端程序自動與DLP服務(wù)端程序通信連接，接收來自于服務(wù)端的安全控制策略，以及上傳用戶的操作日志記錄等內(nèi)容。n 三權(quán)分立管理模式系統(tǒng)管理員：進(jìn)行DLP系統(tǒng)服務(wù)端各種參數(shù)設(shè)置和狀態(tài)維護(hù)，比如通信IP地址及端口、數(shù)據(jù)連接地址、系統(tǒng)授權(quán)注冊信息、文件備份、郵件中轉(zhuǎn)服務(wù)等參數(shù)信息。策略安全員：負(fù)責(zé)U盤、外設(shè)、文檔、郵件白名單、審核人員等與文檔安全保護(hù)有關(guān)的策略維護(hù)。為了策略維護(hù)和管理的方便，也可以設(shè)置一些部門策略安全人員。安全審計員：擔(dān)當(dāng)客戶端文檔操作日志和服務(wù)端管理人員操作日志的審計角色。n 與域控管理相結(jié)合將域控服務(wù)器的人員列表快速導(dǎo)入DLP系統(tǒng)的用戶管理模塊中，實現(xiàn)DLP用戶與域控用戶管理服務(wù)相結(jié)合，減輕IT維護(hù)管理人員的工作復(fù)雜度，從而提高工作效率。n DLP系統(tǒng)服務(wù)端服務(wù)端采用伸縮性和可移植性非常好的JAVA語言編寫和構(gòu)建，既可以安裝部署在一般WINDOWS服務(wù)器中，又可以