文档加密系统



                                                                需求分析

       对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。无论企业在何种规模，均处于数据泄密的安全风险之中，而这些风险也将致使企业面临安全、知识产权、财产、隐私和法规遵从等多方面的威胁。根据以往数据防泄露经验，大部分情况下都是员工在无意识状态泄露出去的，但也有一些则是由员工有意为之。例如一个移动办公人员使用没有安装任何安全防护措施的电脑办公，通过接入互联网，极大可能性会将公司机密信息有意或无意地通过网络泄漏。与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密数据信息能被轻而易举的拷贝进移动设备（U盘、移动硬盘、光盘等）带走。当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。企业信息化目的是为了信息和数据的共享，而数据的生命周期包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）三个基本的生命过程。数据防泄漏系统就是要保护企业的机密信息不被非法的存储、使用和传输。

 

                                                                产品概述

       数据防泄漏系统是以密码技术为支撑，数据保密为核心，身份认证为基础，信息安全为目标的数据防护平台。通过驱动层内核级加密技术，整合端点控制技术，有效防止任何状态（使用、传输、存储）的内部资料和智慧资产泄露。能够在用户无感知的状态下，对其使用的数据和文件进行自动加密，同时，对需要外发给第三方的数据和文件进行权限（文件只读、复制、修改、打印、密码保护、有效期限、可阅读次数、时长等）控制。系统包括透明加密、权限管理、外发管理、应用安全网关、安全中间件、智能移动终端、U盘客户端七个核心组件。保护范围涵盖终端电脑（Windows、Linux系统平台）、智能终端（Android、IOS）及各类应用系统（OA、知识管理、文档管理、项目管理、PDM等），做到事前防御、事中控制、事后审计，帮助企业搭建一套完善的数据防泄密体系。


                                                             实现效果

1) 保证公司机密的电子文件在全生命周期始终都是受保护的。

2) 受保护的电子文件只在单位办公环境内部的计算机上可用，在其他计算机上未经授权不可用，无法打开。

3) 部署数据防护系统后公司内部员工使用习惯不用任何改变，加密过程全自动后台运行，不用人工干预。

4) 部门与部门之间可以设置不同权限，密钥，实现部门之间文件不能相互打开。

5) 可以控制单位内部所有计算机相关接口，比如usb、光驱、打印机等。

6) 数据外发安全，对发往企业外部的电子文档进行安全控制，防止非法用户访问和二次扩散泄密的情况发生。

7) 离线办公安全，有效支持终端离线安全办公及防止终端丢失、维修、盗用时带来的泄密隐患。

DLP数据泄露防护系统

需求分析

      为更好的实现企业信息安全防护，满足业务发展和监管合规要求，大多数客户经过多年的系统信息安全建设，防护能力已经基本覆盖了网络、终端、数据和应用安全，但是对于数据安全仍然采取的针对威胁本身的措施，缺乏内容识别相关的措施来配合防护，当前数据内容防护面临着识别难、定位难、防护难的问题，主要现状体现如下：

Ø  敏感数据识别难

1）业务系统数量多，数据关系复杂，难以进行梳理

2）当前无论是人工还是机器，都无法给出具体的敏感内容判断标准

3）无法判断出哪些数据是重要的

4）大量的结构化、半结构化、非结构化数据难于辨识

5）缺乏对数据内容的分类和敏感级别分级

6）保护措施无法和敏感重要级别挂钩，保护效能和效率较低

Ø 敏感数据定位难

1）对于重要敏感的数据存放位置无从知晓，保护难以下手

2）数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中

3）无法明确某类敏感数据在公司的整体分布情况

4）缺乏对不同数据在不同位置的风险评估视图

Ø  重要数据防护难

1）现有的以加密为主的防护容易造成过度加密，影响业务展开

2）以DRM方式为主的手动加密方式用户主动性差，容易防护失效

3）从网络、系统、终端多个维度都在管理，防护难以实现紧耦合

4）重要敏感的少部分核心数据缺乏整个流通通路的监控审计

产品概述

       DLP 是一款内容识别安全技术，可解决敏感企业信息的三大关键问题：

1、敏感企业信息存储在何处？

2、敏感企业信息使用情况如何？

3、如何保护敏感企业信息，以防丢失和被窃？

       无论处于下列哪种状况，SIP DLP 5 均可让组织保护客户数据、公司信息、知识财产及敏感或机密信息：通过电子邮件、Web 邮件或其他 Internet 协议离开网络 (网络 DLP)；通过 USB/CD/DVD 离开终端或存储在终端 (终端 DLP)；存储在共享服务器及数据存储库中 (存储设备 DLP)。

       针对企业数据安全存在的薄弱环节，可从如下几个个层面构建一体化防护建设：

Ø  防泄密管控体系建设

1）建立健全组织商密数据防泄密管理体系

2）依据数据分级分类安全防护的思路进行建设

3）体系规划整体要从组织、管理、技术、运维四个层面展开管理体系建设

4）体系建设商密数据防泄密的管理制度、操作指导、流程表单等内容

5)）防泄密系统平台的建设作为管理体系的落地保障

Ø   内容智能识别与监控

1）文件指纹对比需求

2）对文件在外设使用的监控需求

3）对文件终端离线监控需求

4）图片识别技术需求

5）文件标签标记需求

6）支持与同品牌的网关型数据防泄露系统联动防护

Ø   数据自动分类分级

1）明确细分敏感数据类别和级别，为数据保护做基础

2）定义不同级别数据的访问及使用规则和防护体系

3）能提供相关的保护措施支持数据分级的控制，确保达成安全

4）敏感关键信息的内容识别和判断规则支持机器自动学习和提取

5）建立起一套包括组织、人员和流程在内的数据泄漏事件响应机制

Ø   网络数据防护

1）实现通过网络边界的流量中敏感内容的发现和提醒

2）强化网络边界的深度内容安全检测

3）防止通过电子邮件、QQ、web上传、打印、刻录、文件改名

4）防止合法的用户私自拷贝数据等行为外泄

Ø   终端数据防护

1）对内部人员的无意泄漏进行警示及提醒

2）对恶意终端的恶意盗取及泄密行为进行主动发现、定位，识别

3）存储在用户终端的非结构化数据要能实现集中管控

4）终端用户对敏感数据的操作留有记录以便行为审计

5)）确保终端敏感文件通过IM、邮件、网络等传送时阻断提醒和记录

实现效果

       通过部署DLP系统基于数据安全治理的分级防护解决方案，实现智能主动防护的最终目的，实现敏感数据看得见、泄密风险看得见、数据泄漏防得住的整体效果。

Ø  敏感数据看得见

1）通过自然语言处理和机器检索识别敏感内容

2）根据内容特征判断准确快速识别敏感信息

3）可覆盖结构化、半结构化、非结构化数据的识别

4）保护控制手段和敏感重要级别挂钩

Ø   泄密风险看得见

1）了解数据存放位置，

2）数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中

3）无法明确某类敏感数据在公司的整体分布情况

4）缺乏对不同数据在不同位置的风险评估视图

Ø   数据泄漏防得住

1）敏感数据被定为和标记，提供多种视图方式检索查看

2）可以实现多用协议和应用下的数据泄漏阻断、告警和记录

3）针对重要数据设置多种防护策略，可对敏感文档加密控制

4）实现数据从系统、终端、网络、外设等流转通路的实施监控