数据泄露防护DLP整体解决方案

DLP数据泄露防护系列

N-DLP（网络DLP）-硬件

N-DLP系统对网络中的敏感数据进行内容识别、威胁监控与安全防护（阻断、提醒、告警、加密等），实现网络中敏感数据泄露防护；

S-DLPForFileServers(存储DLP)-硬件

S-DLPForFileServers系统对文件服务器中的敏感数据进行内容识别、危险监控与安全防护（阻断、提醒、告警、加密等），实现文件服务器中敏感数据泄露、扩散防护；

S-DLPForEmail(邮件DLP)-硬件

S-DLPForEmail系统对邮件中的敏感数据进行内容识别、威胁监控与安全防护（阻断、提醒、告警、加密等），实现邮件中敏感数据泄露防护；

E-DLP(终端DLP)

E-DLP系统对终端中的敏感数据进行内容识别、威胁监控与安全防护（阻断、提醒、告警、加密等），实现终端中敏感数据泄露、扩散防护；

C-DLP(云DLP)-硬件

C-DLP系统对云端敏感数据进行内容识别、危险行为监控与安全防护（阻断、提醒、告警、加密...），在不影响使用的前提下，实现云端敏感数据泄露、扩散防护；

M-DLP(移动DLP)-硬件

M-DLP系统对应用系统以及智能移动终端（支持IOS、Android）中敏感数据进行内容识别、威胁监控与安全防护（阻断、提醒、告警、加密、模糊化...），实现数据泄露、扩散防护；

DLP风险监控与态势预警系统-硬件

在DLP平台上同时构建起敏感内容识别、预警监控、安全态势、风险评测——纵深式动态防御体系。DLP数据泄露防护，更加注重智能化、更加注重安全管理。

DLP安全管理-硬件

在DLP平台上，自动强制实施通用的数据泄露防护策略，以便执行检测、事件补救工作流程和自动化、报告、系统管理及安全保护。

借助统一平台上提供的全面的系统管理和安全功能，可以跨网络、存储和端点集中管理数据安全策略，并执行全局部署。只需定义一次策略，就可以将安全策略的管理和强制实施全面推送到各地的业务部门。可以针对高风险业务部门有重点地加强安全意识与培训。能够针对违反策略的行为发出实时通知以改变员工行为。

DLP安全平台-硬件

DLP安全平台采用开放式体系架构、模块化设计，简化了所有规模组织的风险与合规性管理，提升管理效率。N-DLP、S-DLP、E-DLP等均可在一个DLP安全平台上；

1.背景概述

当前，企业内部的安全性要求仍然主要集中在系统安全性以及防病毒和黑客入侵等方面的网络安全性。对于传统PC终端而言，由于每台机器都有本地存储和网络功能，数据安全的短板效应无法避免，安全维护的成本也居高不下，而且效果往往不尽人意。因此需要在对现有应用业务模式不影响的情况下，能够对数据进行全面而有效的安全防护。

现代企业规模庞大、分公司及分支机构繁多而且分布广泛，需要大量的业务数据信息作为支撑。企业信息化的飞速发展使得企业各部门之间能够迅速地获取、传递、处理和利用各自所需的信息，提高办公效率，节省办公费用，使管理者能实时、动态地了解到本单位各种资源的实施情况。

但是由于业务上的需要，企业需要开放移动存储设备、计算机外设和网络的资源，企业部署的传统网络或者系统安全设备和系统已经不能够很好好适应信息安全形势的新变化。首先，为企业用户提供正常办公及处理内部业务使得文档交流传输过程难以安全可控，文档脱离内部管理平台容易造成文件的扩散和外泄。其次，内部终端用户的文档操作行为管理也不规范。最后，企业内部移动存储设备可以随意在任意物理终端计算机上使用，容易感染病毒和泄密；移动存储介质丢失后，极易导致敏感数据泄密。

为提高企业内部数据协同和高效运作，实现内部办公文档交流过程安全可控，实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。对于内部文档使用范围、文档流转等进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。既防止文档外泄和扩散，又支持内部知识积累和文件共享的目的。另外，数据安全的同时更加注重用户操作体验的感受。

2.应用现状

根据企业信息化的业务应用需求，企业每个员工的业务操作方式主要集中在终端之上，但也会从OA应用系统、文件服务器或者邮件系统等应用服务系统中浏览数据或者下载文档，存在如下主要几个方面的数据安全隐患以及操作体验要求，如下图所示。

1）、员工可以通过物理终端的U口以及各种外设端口将数据泄露出去，例如，通过U盘等

移动存储以及打印机设备，可轻松进行数据的拷贝；

2）、员工通过网络的形式将数据泄露出去，例如，通过邮件方式、IM即时通讯工具以及各

种网络工作传送数据至外部。

3)、由于业务共享协作需要，外发出去的数据在安全保护的前提下，不影响正常使用；

4）、企业内部人员之间的数据交互需要保持安全和流畅；

5）、企业内部人员与外部客户之间的数据交互需要保持安全和流畅；

6）、企业内部人员业务外出、在家办公等场景的数据交互安全和流畅；

7）、分支机构、移动出差人员需要进行内部文件的方便快捷的审批。

图1、企业数据安全业务应用现状

3.方案

3.1.安全概述

科技和商业飞速发展，企业机密数据和内部敏感信息的安全越来越重要，一旦这些信息和数据被泄密，企业往往会蒙受巨大的经济损失。

随着信息技术的进步，计算机和网络已成为日常办公、通信交流和协作互动的必备工具。但信息技术提高人们工作效率的同时，也对信息安全防范提出了更高的要求。

目前大多数用户对办公网络的安全防范方式，仍然停留在采用防火墙、入侵检测、防病毒等被动防护阶段。在过去一年中，全球98.2％的计算机用户使用杀毒软件，90.7％设有防火墙，75.1％使用反间谍程序的软件；有83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件，79.5％遭遇过至少一次间谍程序攻击事件。而国家计算机信息安全测评中心数据显示：机密资料通过网络泄漏造成损失的单位中，其中被黑客窃取和被内部员工泄漏，两者的比例为：1：99。这是来自于国家计算机信息安全测评中心的一个数据，该调查显示，互联网接入单位由于内部机密通过网络泄漏而造成重大损失的事件中，只有1%是被黑客窃取的，另外的99%全部是由于内部员工有意或无意的泄密行为所导致。

在外设管理方面，有50%的企业因USB使用不当而丢失数据。用户可以随意接入各类外设和移动存储设备，带走内部资料。如：U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机……这些外围设备容量越来越大，但体积越来越小，无疑提高了效率，给工作带来便捷。但在愉悦享受高科技产品带来的便利之时，也给信息安全带来严重威胁，让别有用心者有可乘之机。受利益驱使，可能会有内部员工直接参与盗取重要信息数据的行为，近年来，类似力拓“间谍门”的泄密事件时有发生。

近年来，数据安全保护模式正悄然发生变化，由传统PC终端的系统或者网络安全防护逐渐面向以数据为中心的安全保护模式，如何防范内部泄密事件，安心享用现代科技的便捷如何保护好企业的智力资产，保持市场信息优势呢是摆在每一个信息化企业面前重要而紧迫的课题。

3.2.数据风险

根据国际权威机构Garnter调查数据表明，97%的泄漏事件源自企业内部：人员流失，以及任何有意或无意的操作行为，或管理疏漏，都有可能对企业造成巨大的经济损失。

目前，基于企业内部现存网络流通的一系列文档，如果这类文档外泄、扩散、丢失，很有可能造成竞争对手先于市场得到企业的产品机密或者商业秘密，导致不可估量的损失。根据对企业现有数据业务应用模式，来自企业内部的安全威胁和风险主要有以下几类：

l 数据泄密通道风险-U盘等移动存储设备以及打印机等外部设备

表1、U盘等移动存储设备以及打印机等外部设备风险

l 数据离线外发风险-移动办公、效果展示、协作外发等应用场景

表2、数据离线外发风险-移动办公、效果展示、协作外发等应用场景

l 数据内部流转风险-部门之间、分公司之间的数据交换和流转

表3、数据内部流转风险-部门之间、分公司之间的数据交换和流转

l 应用服务接入数据安全风险-分支机构、临时人员、网络黑客、移动办公人员等不同类型人员对企业内部应用服务的安全接入，例如OA、邮件服务、文件集中存储服务器等。

表4、数据内部流转风险-部门之间、分公司之间的数据交换和流转

l 对重点部门核心数据进行安全加固防护-例如三维设计、图纸工艺等

1、现代企业普通使用文件服务器、邮件服务器、OA应用服务器等业务应用系统，工作数据统一集中存放于这些服务器之中，其安全保护力度需要更加具有针对性并保证可用性。

2、重点部门的核心数据往往具有在固定团队和一定的范围内流通的显著特点，而且这些数据通常也涉及到企业的核心竞争力，因此需要从存储、使用、网络三个层面全方位给予进行安全分层、安全区域的保护。

上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患。数据安全要立足于用户终端，并延伸至网络，从数据安全源头抓起，才能从根本上解决安全问题，才能做到有的放矢，更具针对性和前瞻性。

3.3.解决思想

三昶公司针对企业数据保护类型的重要程度，提出以数据特点为设计原则，以安全风险为驱动，以模块化设计为思想，以服务客户为目标的整体安全解决方案。详细分析客户的管理模式和业务流程，评估存在的数据泄漏风险，并在客户现有业务系统基础之上，提供针对性的安全解决方案，帮助企业用户改进和规范客户的数据风险管理体系。如下表图所示。

图、数据安全产品整体设计理念示意

表5、数据安全风险、安全产品、安全解决思想对应关系

3.4.系统安全架构

图1、三昶DLP数据泄露防护系统安全架构

三昶DLP系统采用基于B/S+C/S的控制和管理模式，结合安全功能执行与安全控制策略分离的思想，使得系统安全控制功能执行更加有效，安全控制策略管理更加高效。

图2、三昶DLP系统软件架构示意图

三昶DLP数据泄露防护平台采用开放式体系结构的可扩展的安全管理理念，简化了所有规模组织的风险与合规性管理的统一性和效率。平台从办公文档、设计图纸和数据使用环境隔离两个核心层面进行防护，采用认证、加密、标签、审计、内核驱动、沙箱、还原、访问控制、应用防火墙等技术，对企业机密文档、U盘外设、外发文件、浏览器应用、移动存储设备、笔记本计算机、应用系统机密信息进行控制与保护，从而构建保护企业数据的完善的立体纵深防御系统。通过数据安全平台，可以轻松帮助企业实现数据安全应用和管理。

n 集中平台管理

多角色的访问控制技术:系统维护、安全策略、安全审计三权分立；

统一安全框架:统一管理终端、数据、行为、设备的安全防护，制定适合管理需要的策略

Web的单一界面：整合多层次体系结构、强大安全策略设置、用户及终端安全状态；

n 灵活部署

应用按需添加：分层提供服务、功能组件模块化应用按需添加；

系统广泛兼容：与Windows域无缝集成，兼容主流杀毒软件，全面支持WIN7及64位操作系统；

C/S+B/S架构：广泛适应于移动办公、异地管理、临时接入等使用场景；

3.5.解决效果

图3、数据安全解决整体解决方案效果示意图

3.6.解决方式

3.6.1.基于PKI/CA体系的身份鉴别

图4、基于于PKI/CA体系的用户身份访问认证

严谨的用户身份访问认证：客户端登录使用时，先在服务器端做身份认证，当确认为企业合法用户时，会针对每人颁发一个证书。每次登录时，需要确认是合法用户，才能访问服务器以及安全文件。

3.6.2.数据透明加密保护

高强度数据透明加密保护：在用户远程终端上，对需要保护的文档进行一次一密的高安全性加密方式，遵从国家密码管理部门批准的的加密算法加密文件内容，只有指定授权用户的密钥才能解密文件。并用同时实现对文件签名，保证文件的保密性，真实性和不可篡改性，同时满足桌面云应用办公的数据加密性能要求。根据不同的安全保护要求，可以灵活选择不同的透明加密保护方式，针对内部文档的安全流转采用文件透明加密保护的方式，而针对重要部门核心数据则采用磁盘透明加密技术。

3.6.3.数据安全区域隔离

针对重点部门核心数据和临时接入内部网络的设备实施数据安全加固的方式进行保护。DLP可以在终端计算机上构建安全区域，以此作为接入内部资源，以及存放下载至终端的内部敏感数据。同时在内部重要部门网络上，灵活建立以网络安全区域为管理对象的保密子网，不同部门所形成的安全保密子网可以根据企业的策略设置和调整进行数据的连通访问。

数据安全区域系统遵从数据分域隔离的管理规范，将计算机存储设备分成不同的区域，控制和审计各区域间数据流向，结合外设和网络管控，限制数据使用范围，构建安全保密子网以及各安全子网连接的安全网络。系统采用安全稳定的磁盘透明加密技术，加密全盘或者分区的数据，防护存储设备丢失导致的数据泄密。

针对企业应用服务器的安全保护，可以将需要保护的应用服务器集群纳入到数据安全区域之中，通过一定的安全接入认证或者部署安装了数据安全保护程序的终端计算机才能够正常接入到企业重要应用服务器中。

3.6.4.灵活人员访问权限

l 灵活调整人员访问权限设置：可以依据各行政部门来定义角色，这样角色就同实际的行政关系相对应，再根据不同部门的职能，为相应的角色配置安全策略组合，控制用户权限（指定进程、数据和文件的访问和使用权限、移动存储设备的使用权限、文件外发权限等），让每个下属企业的每个部门，甚至细分到每个人，都具有不同的安全保护权限。

l 在线、离线多应用模式策略切换：策略配置时，可以为同一用户（组）授权在线和离线两种策略。当客户端与服务器断开连接时，自动切换至离线状态。例如策略配置为：在线状态时，对加密文件有读，写权限；离线状态时，对加密文件有阅读权限，不允许拷贝，截屏。离线时间可按照具体需求进行设置。

l 基于“三权”分立构建安全管理体系：对系统管理的权限划分细粒度高。默认为三种权限：日志管理员，系统管理员和普通管理员。其次可根据企业内部需要，自行增加管理员权限。例如：超级管理员，可以设定二级管理员（可多人不同分工），授权其只允许设定其他人员权限及策略，但不允许读取后台操作日志。

3.6.5.全面外设管控

3.6.5.1.移动存储U口管控

图5、U盘等移动存储设备安全管控

U盘等移动存储设备管控：客户端使用的U盘，首次使用时，需要在服务端进行注册。注册

时区分“内网专用模式”和“内外网通用模式”；两种模式下，匹配的使用权限策略可以针

对个人设定，也可以指定为单个移动存储设备。

3.6.5.2.外设及端口管控

图6、终端外设及其端口管控

种类涵盖全面的终端外设管控：对外设可按照在线和离线两种模式进行控制，并有使用日志记录；打印留有副本可下载。

3.6.6.文件发送管理

文件发送分为内发和外发两种，两种发送都可以设定审核员，只有审核通过后才可以发送，内发一般可以不解密发送，外发已加密的文档，审核通过可以解密为明文发送。外发的文件可已设定生命周期限制，如：一段时间内可以打开，过后就无法产看；或者打开N次后文件即失效。在内部避免审核员繁琐操作，可进行白名单设定，对于白名单可以直接发送。对于高层人员，可以授予解密权限，在客户端即可批量加密和批量解密。外发流程示意图如下：

图7、文件发送管理示意

1、默认情况：DLP系统提供不同部门之间的文档是不能够相互查看的。

2、内发审核：企业不同部门之间的文档需要互通时，必须经过一定的审核机制。根据第一审核人的在线情况，可以灵活指定一个临时审核人，以接替第一审核人的审核工作。第一审核人可以收回临时审核人审核权限。

3、外发审核：外发审核工作流程与内发类似，同样可以指定临时审核人。

4、例外情况：

1）、针对领导等可信人员可以配置文件白名单或者设置密文查看权限策略，接收或者查看任何部门的密文文件均不需要通过审核流程。

2）、经常向外部固定合作伙伴进行邮件的往来时，可以将客户的邮箱联系方式制作成邮件白名单，当向此邮件地址发送邮件时，自动解密附件。

3）、由于工作业务性质的原因，需要同客户频繁进行文件往来时，可以配置自动审核的策略，外发给客户的文件自动解密，但同时会有详细的操作日志记录，并且保留发送的文件副本以作事后追踪审计。

4）、为了方便授权用户进行加密文件的解密，DLP系统提供一种直接通过“右键菜单”形式的主动解密功能，而不需要通过其它解密流程。

5、移动办公：企业领导或者一般员工外出办公，既需要处理企业内部加密受控的文档，要不能够像企业内部一样方便地进行数据安全保护程序。针对这种移动办公数据安全保护的要求，DLP系统提供一种简便有效移动数据安全解决方案，使用者只需要将装载有安全保护程序的U盘插入终端设备后，就可以轻松实现数据的安全保护，避免麻烦的安装部署和安全策略配置过程，进一步提高使用者的安全应用体验效果。

3.6.7.文件外发控制

图8、外发文件全方位保护和全周期管理

外发文件全方位保护和全周期管理：对外发送的文件可以根据需要制作为可控文件发送。例如：指定客户的某台机器（或者U盘）阅读文件，设定阅读时间为一周（或者只能打开3次），不允许打印和复制文件内容。

1、丰富认证方式（谁可以使用）

提供适合不同安全强度的外发文件使用认证方式，比如密码口令、U盘ID、终端物理MAC地址、在线网络认证等，并且可自由组合使用认证方式。

2、限制使用范围（在哪里使用）

配合在线和离线认证模式，可以实现限制外发文件在固定终端上、单位局域网内、广域互联网中使用，以满足不同的使用场景。

3、使用权限控制（如何被使用）

l 使用权限：限制文件只读、可编辑、截屏、打开次数、另存为等；

l 使用期限：限制文件打开时长、打开时间段、自动销毁等；

l 使用版权：打印外发文件时，可以添加单位版权水印信息；

4、安全日志审计（何时在使用）

记录所有用户的文件外发操作日志，泄密事件发生后可跟踪追溯。

3.6.8.安全日志审计

图9、全面而详尽的安全日志审计

全面而详尽的日志记录：对客户端操作行为以及U盘等外设设备的使用均有详细的日志记录。可以追溯某个特定人员对某个文档的操作。

3.6.9.数据备份恢复

安全系统快速备份和恢复：提供备份和恢复系统数据的功能，在系统升级过程中，能实现不同版本之间的数据迁移。

文件意外情况安全保护：对所有的加密操作，都可以配置备份保护，并根据需要配置实时更新，避免重要数据因系统崩溃、断电等原因损毁。备份服务器可以同DLP服务器集成部署，也可以使用专用文件服务器分别部署，用大容量的文件服务器来满足海量存储需求。

3.7.应用部署方案

3.7.1.工作方式

三昶DLP系统架构为C/S+B/S架构，由服务端、客户端两大部分组成。其中管理员在任何地方均可通过WEB方式进行DLP服务器的系统设置、策略维护、日志审计等工作。而DLP客户端程序自动与DLP服务端程序通信连接，接收来自于服务端的安全控制策略，以及上传用户的操作日志记录等内容。

n 三权分立管理模式

1、系统管理员：进行DLP系统服务端各种参数设置和状态维护，比如通信IP地址及端口、数据连接地址、系统授权注册信息、文件备份、邮件中转服务等参数信息。

2、策略安全员：负责U盘、外设、文档、邮件白名单、审核人员等与文档安全保护有关的策略维护。为了策略维护和管理的方便，也可以设置一些部门策略安全人员。

3、安全审计员：担当客户端文档操作日志和服务端管理人员操作日志的审计角色。与域控管理相结合将域控服务器的人员列表快速导入DLP系统的用户管理模块中，实现DLP用户与域控用户管理服务相结合，减轻IT维护管理人员的工作复杂度，从而提高工作效率。

n DLP系统服务端

服务端采用伸缩性和可移植性非常好的JAVA语言编写和构建，既可以安装部署在一般WINDOWS服务器中，又可以将植入硬件服务器中。DLP服务器主要进行安全策略管理、权限管理、系统管理、部门及用户管理等系统主要功能；另外可以根据企业实际安全需要和成本考虑单独部署文件备份服务器来存储备份的加密文件。

n DLP系统客户端

终端用户需安装三昶DLP系统客户端程序，在登录Windows操作系统桌面的同时自动进行DLP系统身份认证工作，认证通过后根据服务端设置的安全控制策略，便可以使用拥有权限的数据资源，整个过程基本上由程序自动完成，无需用户参与。

图10、三昶DLP泄露防护系统工作方式示意图

3.7.2.部署方式

图11、DLP数据泄露防护系统平台部署解决方案部署

备注：图11中的“红色虚框”即为方案中所涉及的数据安全加固部分。

3.7.2.1.内部部署方式

1)建议内部计算机终端使用在线策略的方式来安装部署，各终端可以实时接收或者更新DLP服务器设置的各种策略，包括加密策略以及一些全局性的控制策略。

2)如果网络出现短时间的故障时，系统提供针对这种场景的离线自动切换功能，保证业务的正常运行不受影响。

3.7.2.2.外部部署方式

根据企业外出人员能否进行方便的网络连通来看，主要有如下几种方式的灵活部署方式：

1)、外出员工可以正常的网络连接

针对这种类型的外出办公场景，DLP数据泄露防护系统提供灵活的网络连接方式，包括客户端动态IP的支持、通过有线或者无线的公网连接方式支持等。

2)、员工不可以进行正常的网络连接

针对这种类型的外出办公场景，DLP数据泄露防护系统提供多种方式的离线策略控制，用户可以自行设置离线策略生效的时间，比如月、日、小时等，另外对于离线时间过期后，提供一个离线策略时间补时的授权文件，外出终端用户可以方便导入些授权文件就可以轻松实现离线策略的延时授权。

3）、临时需要进行数据安全保护

针对离线不连网、移动办公性较强以及临时性保护等应用场景要求，DLP数据泄露防护系统提供简单方便的安全保护方案，使用者只需要将事先制作好的U盘插入计算中就可以轻松实现数据的安全保护，避免了其它厂家需要进行繁杂的安全部署以及设置设置过程，进一步提高了工作效率和使用者的安全应用体验。

3.7.3.实施步骤

1)DLP数据泄漏防护系统的服务端，用于下发各种安全加密策略,并进行身份认证。

2)登录服务端后台Web管理界面，根据企业的行政组织结构，建立部门分组，按照管理要求，为部门绑定外设管理策略和文档加密策略。

3)客户端无需登录后台管理，即可在管理界面当中自行注册用户并下载安装客户端。域管理结构则可用域的策略自动推送客户端安装。安装完成后，客户端所有安全策略和加密操作等，均由服务端自动下发，在后台执行，对用户完全透明，不改变用户的操作习惯。

4)外出人员的笔记本电脑可通过服务端配置的离线策略，让外部使用的资料也受到保护。内部敏感数据如果需要外发给陌生地址，需由管理者审核通过并记录保存后，方可进行发送。

5)所有的加密操作，管理员都可以配置明文备份保护，并实时更新，避免重要数据因系统崩溃损毁。但从服务器取出明文备份文件，或接受外部发来的明文文件，在保存到本地时就立刻被加密保护。

3.8.方案特色

全面的外控支持功能：支持现有的所有已知的外设和移动存储设备，如：蓝牙、打印机、数码相机、红外、光驱、串口、并口、摄像头、刻录机、SD卡槽、无线上网卡、U盘、无线网卡等等。

系统内核驱动技术：采用Windows系统底层控制，同时实现文件加密和磁盘加密过滤驱动两种不同加密方式，控制响应速度极快，占用系统资源低。系统客户端具有防卸载、防删除和自动修复等功能。

推送安装部署形式：通过后台统一安装客户端，客户端用户感觉不到安装过程，快速且易于部署；

系统扩容简单方便：

1)、公司新增加分支机构时，可通过同级服务器机制直接导入到新增的分支机构的应用服务器，部署快捷方便；

2）、公司总部以及分支机构新增客户端应用时可直接连接到就近服务器；同级服务器机制轻松解决新增分支机构的不断扩展的安全需求；

3）、数据库备份迁移：支持备份数据库表、数据库表组及整个数据库；不同版本之间可支持迁移备份，以便服务端升级后快速恢复服务端；数据库支持远程备份。

文件流转按需授权：

1）、领导的文件别人无法查看；

2）、领导可以查看所有人的文件；

3）、部门内部的文件可相互查看；

4）、部门经理的文件只允许其领导及老板查看；

5）、HR等后勤保障的公共部门的文件各部门均可以查看；

6）、允许上级看下级的文件，不允许下级看上级的文件；

融合管理：

1）、与第三方交互的文件需要经过授权或自动审核记录副本后方能外发；

2）、重要的部门外发文件时通过领导审核，部门领导可指派多名候选审核者，并支持设置后选审核人的优先级,当高优先级的审核员外出时，系统自动分配审核任务到次优先级审核员，依次类推；

3）、文档密级较低的部门可通过配置自动审核功能，无需人工干预且有副本记录，必要时可提取副本进行核查，确保快捷又安全；

4）、内部各职能部门之间临时共享文件可通过文档内发管理来实现；

灵活便捷：

1）、当客户端在公司总部或各分支结构使用时，可按需配置在线策略；

2）、具有离线使用功能，部分人员需要外出办公时可临时授权离线策略；如：携带储存有重要或机密文档出差时可配置离线策略；

3）、离线终端的各种操作均会形成日志，并在连接到服务器时自动上传日志文件，方便后续审核；

简单易用:

1）、加解密对用户透明，用户感觉不到加解密过程；

2）、不需要对用户进行专项培训；

3）、不改变用户的操作习惯；

远程支撑：

1）、文件损坏：发现需要的文件损坏时，可以连接至备份服务器进行恢复；

2）、密文解密：当外发的文档需要解密时，可通过VPN连接至DLP服务器进行外发审核，也可把文件通过网络或其它方式发回公司，解密后再回传；

三权分立：

1）、超级管理员拥有所有权限，普通管理员无操作日志权限，日志管理员进行日志及副本的安全审计，规避“监守自盗”行为，老板放心，管理员省心；

2）、基于角色的访问控制技术，可以新建不同角色并分配各种权限；

3.9.方案价值

n 防止任何形式和途径的机密外泄

DLP系统采用透明加密保密存储的方式，全面管控计算机移动数据存储设备、外设资源、网络等方面的泄密途径，全程监测数据应用过程中的泄密方式(例如打印、截屏、另存为、拷贝等)。有效解决企业内部主动或者被动泄密，企业外部非法入侵窃取，文档安全协作共享安全、文档移动离线保护、存储设备丢失防护和移动介质设备安全管控等方面的文档安全问题。防止任何形式和途径的机密外泄，安全保护企业数据安全。

n 最大程度消除员工抵触情绪

1、文档从产生、应用、传输到删除销毁的生命周期内所涉及的加密操作均由系统自动完成，用户无需进行任何的干预，不改变其使用文档的操作习惯，而且也感觉不到加密动作的存在，对用户来说完全透明。

2、基于远程安全策略管控方式，释放用户对安全控制措施抵触情绪。

3、针对文档的内部流转、外部发送、离线办公等业务场景设置灵活的例外解密策略，最大程度上降低对用户工作的影响。

n 全面释放管理维护人员压力

1、客户端程序采用网络推送安装方式，使得IT维护人员无需亲临现场指导安装，为企业和个人节省了宝贵的人力资源成本和时间精力。

2、基于B/S的管理架构设计以及与域控服务相结合的机制，可以帮助IT维护人员在任何地点、任何时间、复杂网络环境下都能够快速准确地管理各种安全控制策略。

3、控制策略模板化、用户与策略关联绑定最大化和全局化等方面设计，大大简化了安全控制策略配置的复杂程度，同时也将策略配置出错率降至最低水平。

4、IT维护人员可以为终端使用者配置文档备份策略，避免因各种意外原因导致的数据损坏丢失问题。另外，IT维护人员也可对DLP系统关键服务数据库和主密钥信息进行备份，系统崩溃损毁后可快速进行恢复工作，保持业务的连续性。

5、同级部署机制，使得IT维护人员在完成公司总部的系统配置后，将相关配置导入到企业各分支机构的DLP服务器中，实现配置同步并且快速部署的效果。

6、多级服务器部署机制，上级单位可查看下级服务器上传的操作日志，安全审计记录和用户结构列表，让IT安全管理者全局掌控企业的信息安全态势。

n 持续降低企业信息安全成本

1、兼容企业主流的应用系统，如ERP、OA、SVN等，让企业经营者无需更改任何的应用系统即可实现与DLP系统相结合。

2、适应企业IT架构成长性，解决不同规模企业的安全需求。

3、统一安全平台，可以与更多其它三昶安全产品的联动和配合。

3.10.系统安全性

n 数据加密

l 基于内核级的数据强制透明加密，对数据和存储位置双重加密，保护在任何位置存储的数据及任何指定进程产生的文件，全方位保障数据的绝对安全。实时的透明加解密，操作过程透明，不影响用户操作习惯。

——通过文件过滤驱动技术，实现进程和文件的强制透明加密，在文件产生时即被强制加密，在文件使用（编辑、保存等）过程中进行跟踪加密，以任何方式泄漏出去的文件均为密文。

——通过磁盘驱动技术实现全盘强制透明加密。支持目前业界领先的128位、256位DES、3DES、AES、RC4加密算法，结合RSA公私钥体系实现密钥安全传输，进行高强度数据加密的同时，提高了加解密效率。SHA2、MD5摘要算法用于数字签名，结合RSA公私钥体系，防止文件被篡改、伪造及未授权使用。密钥管理，基于PKI/CA认证体系，银行交易级别的密钥管理，是目前最安全的密钥管理体系，对密钥的产生、存储、分配、使用和销毁的全过程进行有效的管理，确保密钥任何时期都是安全的。

n 端点控制

广泛覆盖所有端点，控制数据泄漏途径和方式，在数据泄漏之前，主动防御控制。

终端端点控制：控制打印端口、传真、截屏、USB端口等泄漏途径；

网络端点控制：FTP、HTTP、Email、MSN等；

存储端点控制：外设驱动设备、便携设备、PDA、移动存储介质（U盘）等。

n 身份认证

通过对密钥和数字证书的管理，来管理密钥和证书对应的用户身份，对用户进行生命周期全过程（注册、注销、恢复）的管理，安全、可靠、有效。

1、基于PKI/CA标准密钥和数字证书体系，银行交易级别的密钥管理；

2、USBKey硬件标识作为密钥证书载体，结合密码认证登录；

3、双因子认证登录，增强身份认证的可信度；

n 安全可靠

1、密钥管理及身份认证采用PKI/CA体系.支持目前业界领先的128位、256位DES、3DES、AES、RC4加密算法，结合RSA公私钥体系实现密钥安全传输，进行高强度数据加密的同时，提高了加解密效率；

2、经过加密的文档，即便被复制出去，也无法打开查看其内容，不会造成机密泄漏。用户正常的操作也都是在加密状态下进行，如果需要把文件解密成明文，则需要授权或审核。

3、打印及内外发文件均可提取副本进行事后分析.恶意泄露有据可依；

4、任何加密的文档均在备份服务器上备份明文，文档损坏、掉电丢失数据、恶意篡改及恶意删除重要、机密文件，均可通过各自的客户端在本地或VPN方式远程连接服务器进行，无后顾之忧；

5、加密系统的应用服务器崩溃后可使用离线策略正常工作，且通过备份机制快速修复服务器环境，可通过冷备方式快速解决服务器崩溃问题；

n 系统自身安全

解决方案

数据泄露防护系统(DLP)