1. 概述
當(dāng)前,企業(yè)數(shù)據(jù)的快速增長以及數(shù)據(jù)存儲與獲取方式正變得越來越便利,企業(yè)數(shù)據(jù)泄密的風(fēng)險(xiǎn)也越來越高。終端移動化促使企業(yè)業(yè)務(wù)的移動化,即便是核心數(shù)據(jù)也不可能僅僅限制在企業(yè)內(nèi)部,數(shù)據(jù)流動性的加強(qiáng)不可避免地增大了數(shù)據(jù)泄密的風(fēng)險(xiǎn)。防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的防護(hù)手段無法有效應(yīng)對來自企業(yè)內(nèi)部的泄密風(fēng)險(xiǎn)。在制造企業(yè),從產(chǎn)品研發(fā)到產(chǎn)品銷售都關(guān)乎到企業(yè)的核心競爭力,而近年來接連不斷的制造企業(yè)泄密事件也給企業(yè)帶來的嚴(yán)重的后果,有些數(shù)據(jù)泄密直接導(dǎo)致了企業(yè)市場競爭力的下降。因此,如何更好地保護(hù)企業(yè)核心數(shù)據(jù)已成為企業(yè)管理者必須思考的問題。
e-works 調(diào)查顯示,近年來隨著制造企業(yè)轉(zhuǎn)型升級步伐的加快,中國制造企業(yè)的自主創(chuàng)新能力也在不斷提升,對于自主核心資產(chǎn)的保護(hù)意識也正在逐步加強(qiáng),制造企業(yè)對于數(shù)據(jù)防泄漏產(chǎn)品的關(guān)注也在不斷提升。
數(shù)據(jù)泄密防護(hù)(Data leakage prevention, DLP)又稱為數(shù)據(jù)丟失防護(hù)(Data Loss prevention, DLP),是通過一定的技術(shù)手段,防止企業(yè)的數(shù)據(jù)或信息資產(chǎn)以違反安全策略的形式流出企業(yè)。一般企業(yè)可通過安裝防火墻、殺毒軟件等方法來阻擋外部的入侵,但是事實(shí)上97%的信息泄密事件源于企業(yè)內(nèi)部,而信息外泄的根源在于:
圖 1 企業(yè)信息外泄的根源
• 使用泄漏。操作失誤導(dǎo)致技術(shù)數(shù)據(jù)泄漏或損壞;通過打印、剪切、復(fù)制、粘貼、另存為、重命名等操作泄漏數(shù)據(jù)。
• 存儲泄漏。數(shù)據(jù)中心、服務(wù)器、數(shù)據(jù)庫的數(shù)據(jù)被隨意下載、共享泄漏;離職人員通過U 盤、CD/DVD、移動硬盤隨意拷走機(jī)密資料;移動筆記本被盜、丟失或維修造成數(shù)據(jù)泄漏。
• 傳輸泄漏。通過email、QQ、MSN 等輕易傳輸機(jī)密資料;通過網(wǎng)絡(luò)監(jiān)聽、攔截等方式篡改、偽造傳輸數(shù)據(jù)。
從數(shù)據(jù)泄露的特點(diǎn)來分析,大多時候是由于人的因素占據(jù)主導(dǎo),如果防火墻、入侵檢測系統(tǒng)是防止外部攻擊來竊取企業(yè)內(nèi)部關(guān)鍵信息,那么數(shù)據(jù)防泄漏的價(jià)值在于保證企業(yè)關(guān)鍵信息不從企業(yè)內(nèi)部流出,因此,從某種意義來講,數(shù)據(jù)防泄露產(chǎn)品是一款基于業(yè)務(wù)流程的安全管理軟件,主要是通過與企業(yè)業(yè)務(wù)流程結(jié)合來保證數(shù)據(jù)的安全。
2. 概念與主要功能
數(shù)據(jù)防泄露系統(tǒng)是專門針對“重要或敏感文件”進(jìn)行安全管理的軟件產(chǎn)品。它以文檔為對象,實(shí)現(xiàn)文檔加密和權(quán)限控制,確保文檔只能被授權(quán)的人,在指定環(huán)境、時間和權(quán)限范圍內(nèi)使用,從而實(shí)現(xiàn)對文檔的全生命周期的安全管控,防止文檔因使用不當(dāng)而造成泄密問題。
2.1 主要功能
2.1.1 數(shù)據(jù)加密
1) 可對不同的用戶定義不同的密級,高密級用戶可以打開低密級用戶產(chǎn)生的文檔,反之禁止。
高密級用戶可以選擇文檔進(jìn)行降級操作。
2) 可用解密工具對需要的文檔進(jìn)行批量的手工解密和加密,且在服務(wù)端記錄。
3) 可對數(shù)據(jù)本體加密,數(shù)據(jù)加解密過程可自動、強(qiáng)制、實(shí)時的執(zhí)行,加密文檔流轉(zhuǎn)到企業(yè)外面時,不能查看內(nèi)容。
4) 對已經(jīng)加密的文檔,可以在企業(yè)內(nèi)部進(jìn)行權(quán)限的再分配,可以限制不同員工的加密文檔是否可以互相使用2.1.2 行為控制
1) 可以支持文件加密狀態(tài)下授權(quán)流轉(zhuǎn)、授權(quán)文件可以設(shè)置不同的使用范圍、使用權(quán)限等。授權(quán)文件可以通過各種傳播途徑進(jìn)行流轉(zhuǎn)。
2) 所有在USB 移動存儲設(shè)備上新建、修改文檔的操作均會記錄到數(shù)據(jù)庫中,包括文件名、時間、計(jì)算機(jī)名、IP 地址等。
3) 可自定義審批流程,由請求解密者發(fā)起流程,逐級審批后,獲得自動解密的文檔,整個流程過程及文檔本身均保存在數(shù)據(jù)庫中可查詢。
2.1.3 權(quán)限控制
1) 對于光驅(qū)、軟驅(qū)、USB 存儲(包括U 盤和移動硬盤)的權(quán)限控制,可選擇正常、只讀、禁用3種狀態(tài)。
2) 可禁用紅外、藍(lán)牙、手機(jī)同步,可禁止打印,可禁止互聯(lián)網(wǎng),可禁止截屏,可禁止客戶端訪問其他計(jì)算機(jī)的共享文檔。
2.1.4 外發(fā)控制
1) 外發(fā)出去的文檔,使用過程依然安全可控,不會被隨意泄密或擴(kuò)散使用。外發(fā)過程記錄日志。。
2) 對于安全等級不高的文檔外發(fā),需要設(shè)定策略過濾敏感內(nèi)容信息,需要監(jiān)控并記錄日志,避免敏感內(nèi)容被外發(fā)。
3) 對于涉及到企業(yè)核心信息的文檔外發(fā),必須建立審批制度,由請求外發(fā)人員發(fā)起申請,經(jīng)過逐級審批后,獲得外發(fā)文檔。所有審批信息、文檔使用權(quán)限以及原文檔等,在系統(tǒng)中有記錄,可以查詢和審計(jì)。
2.2 關(guān)鍵技術(shù)
2.2.1 控制類技術(shù)
控制類技術(shù)主要是通過權(quán)限的設(shè)置,對計(jì)算機(jī)輸入輸出進(jìn)行集中控制和管理,并定期進(jìn)行檢查和事后審計(jì),實(shí)現(xiàn)對關(guān)鍵數(shù)據(jù)的傳輸進(jìn)行控制,防止未經(jīng)授權(quán)的數(shù)據(jù)外泄。在具體實(shí)現(xiàn)上主要采用軟件控制、端口控制等手段對計(jì)算機(jī)的各種端口和應(yīng)用實(shí)施嚴(yán)格控制和強(qiáng)審計(jì)。該類技術(shù)通常不對數(shù)據(jù)的存儲進(jìn)行加密保護(hù),而主要關(guān)注數(shù)據(jù)在傳輸過程中的合法性,控制類技術(shù)的這一特點(diǎn)使得單純采用該技術(shù)的數(shù)據(jù)防護(hù)方案往往無法解決如磁盤丟失、筆記本被盜等被動泄密風(fēng)險(xiǎn)。
2.2.2 加密類技術(shù)
加密類技術(shù)是較為傳統(tǒng)的數(shù)據(jù)防護(hù)技術(shù),其主要理念是將數(shù)據(jù)的二進(jìn)制存儲轉(zhuǎn)為密文,能夠簡單有效地解決數(shù)據(jù)的存儲安全問題。加密類技術(shù)在數(shù)據(jù)安全防護(hù)領(lǐng)域中的應(yīng)用可細(xì)分為:
1) 文件級加密技術(shù):文件級加密是目前國內(nèi)使用最為廣泛的數(shù)據(jù)安全解決方案,之所以被廣泛采用,主要是因?yàn)橛脩艚邮芏雀。文件級加密技術(shù)最普遍的應(yīng)用是“透明加解密”,其原理主要是通過建立應(yīng)用程序的進(jìn)程和相應(yīng)文件之間的關(guān)聯(lián)來達(dá)到對特定文件數(shù)據(jù)加密的目的,通常采用內(nèi)核級文件過濾驅(qū)動在操作系統(tǒng)底層對文件進(jìn)行處理,其加解密過程對用戶透明。
文件級加密技術(shù)要區(qū)分應(yīng)用層加密和驅(qū)動層加密。應(yīng)用層加密技術(shù)實(shí)現(xiàn)簡單、開發(fā)周期短。
但是對性能有一定影響,另外加解密過程與應(yīng)用軟件關(guān)聯(lián)比較緊,有新增應(yīng)用軟件時很可能涉及二次開發(fā),因此不能很好的支持自定義加密策略。驅(qū)動層加密相對來說技術(shù)實(shí)現(xiàn)復(fù)雜、開發(fā)周期長。但是對性能影響低、加解密過程與應(yīng)用軟件無關(guān),可以透明支持新增應(yīng)用軟件,不涉及二次開發(fā),可以支持自定義策略。目前主流文件級加密廠商都會選擇驅(qū)動層加密技術(shù)。
2) 磁盤級加密技術(shù):磁盤級加密技術(shù)通過在磁盤讀寫時對磁盤扇區(qū)進(jìn)行加解密來實(shí)現(xiàn),由于避開了文件讀寫的處理,該技術(shù)避免了與應(yīng)用程序相關(guān)的限制。采用該技術(shù)的數(shù)據(jù)防泄漏方案以Windows Vista 中集成的BitLocker 為代表,但是單一的磁盤加密技術(shù)主要適用于被動泄密防護(hù)需求,無法防止通過網(wǎng)絡(luò)和其他途徑的主動泄密行為,這一弱點(diǎn)極大地限制了磁盤級加密技術(shù)在數(shù)據(jù)防泄漏方面的應(yīng)用。
3) 硬件級加密技術(shù):該技術(shù)直接由數(shù)據(jù)的存儲設(shè)備提供加密的特性,利用硬盤與計(jì)算機(jī)系統(tǒng)中其他組件完全隔離的特點(diǎn),提供基于硬件安全功能的加密平臺。在系統(tǒng)或硬盤丟失、被盜、被廢棄或轉(zhuǎn)售時,可以有效防止未經(jīng)授權(quán)訪問其中存儲的數(shù)據(jù)。但這類技術(shù)的弱點(diǎn)與磁盤級加密技術(shù)相同,無法有效防止通過網(wǎng)絡(luò)等突進(jìn)的泄密行為。
4) 網(wǎng)絡(luò)級加密技術(shù):該技術(shù)通常與其他加密技術(shù)結(jié)合使用,用于保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸時的安全,根據(jù)實(shí)現(xiàn)層次可以分為:網(wǎng)絡(luò)層IPSec VPN、應(yīng)用層SSL VPN、專用IP 數(shù)據(jù)包格式變換等。
由于此類技術(shù)無法對通過存儲介質(zhì)傳遞的數(shù)據(jù)進(jìn)行保護(hù),因此通常不能作為完整的數(shù)據(jù)防泄露解決方案,而需要與其他技術(shù)結(jié)合使用。
2.2.3 過濾類技術(shù)
相對于其他技術(shù)而言,此類技術(shù)的有點(diǎn)是無須在終端安裝軟件,其使用模式是在內(nèi)網(wǎng)的出口,即網(wǎng)關(guān)處安裝內(nèi)容過濾設(shè)備,這些設(shè)備可以分析HTTP、POP3、FTP、即時通訊等常見的網(wǎng)絡(luò)協(xié)議,并且對協(xié)議的內(nèi)容進(jìn)行分析及過濾,比較先進(jìn)的設(shè)備可以識別上百種文件格式,安全管理人員通過設(shè)置過濾規(guī)則和關(guān)鍵字過濾出關(guān)的內(nèi)容,防止銘感數(shù)據(jù)的泄密。但這種方案的弱點(diǎn)在于,首先無法識別一些特殊的網(wǎng)絡(luò)協(xié)議;其次是無法識別被用戶特殊處理的通訊內(nèi)容,如果惡意用戶對出關(guān)的數(shù)據(jù)進(jìn)行加密和隱寫術(shù)處理,便可以輕易地穿透網(wǎng)關(guān);最關(guān)鍵是由于要進(jìn)行深度內(nèi)容過濾,這往往也成為限制應(yīng)用的瓶頸。
2.3 產(chǎn)品部署
圖 2 數(shù)據(jù)防泄露產(chǎn)品部署策略
數(shù)據(jù)防泄露產(chǎn)品的部署需要結(jié)合企業(yè)自身的業(yè)務(wù)流程進(jìn)行,與安全防護(hù)類軟件不同,數(shù)據(jù)防泄漏重點(diǎn)在于對企業(yè)內(nèi)部數(shù)據(jù)及文檔的管控。因此,數(shù)據(jù)防泄露產(chǎn)品的部署第一步是實(shí)現(xiàn)對企業(yè)全文檔的透明加密,這樣既能保證數(shù)據(jù)及文檔在企業(yè)內(nèi)部的無限制使用,也能保證外發(fā)文檔的安全。同時,配合流程進(jìn)行一系列權(quán)限管控、身份認(rèn)證、安全審計(jì)策略,保證企業(yè)員工能通過互聯(lián)網(wǎng)安全訪問內(nèi)網(wǎng)系統(tǒng)。
3. 業(yè)界主流廠商
表1 業(yè)界廠商
4. 主流廠商和主流產(chǎn)品介紹
4.1 中國軟件與技術(shù)服務(wù)股份有限公司
4.1.1 企業(yè)簡介
中國軟件與技術(shù)服務(wù)股份有限公司(簡稱“中國軟件”,股票代碼600536)是一家大型綜合IT 上市企業(yè),承擔(dān)著“信息安全國家隊(duì)”的使命,是國內(nèi)最早、最大的數(shù)據(jù)泄漏防護(hù)產(chǎn)品及完整解決方案提供商,累計(jì)為全球500 萬終端提供核心數(shù)據(jù)保護(hù)服務(wù)。中國軟件信息安全業(yè)務(wù)主要由中軟通用產(chǎn)品事業(yè)部承擔(dān),作為國內(nèi)最早研究數(shù)據(jù)泄漏防護(hù)技術(shù)的安全團(tuán)隊(duì),已累計(jì)申請數(shù)十項(xiàng)相關(guān)發(fā)明專利,其核心產(chǎn)品中軟防水壩數(shù)據(jù)防泄漏系統(tǒng)多次獲得省部級科技進(jìn)步獎,軟博會創(chuàng)新獎、金獎等一系列獎項(xiàng)。中軟通用產(chǎn)品事業(yè)部在產(chǎn)品研發(fā)過程中以產(chǎn)品質(zhì)量為核心,是國內(nèi)唯一通過CMMI-L5 級軟件能力成熟度模型評估的信息安全廠商。
4.1.2 產(chǎn)品功能
中軟防水壩數(shù)據(jù)防泄漏系統(tǒng)基于虛擬文件系統(tǒng)、多緩存技術(shù)、安全虛擬沙箱、應(yīng)用智能識別、敏感內(nèi)容感知等相關(guān)技術(shù),通過密級標(biāo)識、透明加密、追蹤審計(jì)等方式提供新一代數(shù)據(jù)防泄露解決方案,更安全、更智能、更穩(wěn)定。中軟防水壩數(shù)據(jù)防泄漏系統(tǒng)支持Windows 平臺(win2000-win8.1 所有版本)、Linux平臺、移動終端(Android、IOS)、虛擬化平臺及國產(chǎn)操作系統(tǒng)平臺,提供數(shù)據(jù)從創(chuàng)建、存儲、使用、流轉(zhuǎn)到銷毀的全生命周期安全防護(hù)。
1.終端文檔透明加密:根據(jù)安全策略對終端中的文檔進(jìn)行自動、強(qiáng)制的加密。加密的文檔只能在企業(yè)內(nèi)部安全環(huán)境里使用,拿到外面后看不到文檔內(nèi)容。文檔透明加密能夠阻止內(nèi)部員工有意或無意的泄露內(nèi)部機(jī)密,也能防止外部間諜黑客侵入計(jì)算機(jī)竊取涉密文檔。
1) 支持任意軟件的自動加密;支持任意格式的文檔加密;支持任意大小的文檔加密,包括幾個字節(jié)的小文檔以及幾百G 的視頻。
2) 支持工作模式、普通模式及回家模式。工作模式下終端文檔自動加密,打開自動解密。普通模式下文檔不會自動加密,已加密文檔無法打開。支持用戶使用回家模式U 盤在無客戶端環(huán)境下使用加密文件(例如回家加班),加密文件只能在U 盤中使用導(dǎo)出后不能打開。
3) 可控制針對加密文件內(nèi)容的拷貝、拖拽等行為,同時支持剪貼板加密。
4) 可智能控制各種截錄屏操作,包括專用截錄屏軟件以及其他軟件的輔助截錄屏功能,支持屏幕浮動水印。
5) 支持物理打印和虛擬打印控制,支持打印水印,并可記錄打印日志及源文件。
6) 支持離線管理,包括定制離線策略,設(shè)定離線策略生效時間和延遲控制,離線策略動態(tài)更新以及主動申請離線策略變更等。
7) 支持歷史文檔自動掃描加密,可設(shè)定掃描的時間,掃描文檔類型等等。
8) 支持文檔本地備份以及服務(wù)器遠(yuǎn)程備份。
2. 業(yè)務(wù)系統(tǒng)數(shù)據(jù)保護(hù):對業(yè)務(wù)系統(tǒng)中核心數(shù)據(jù)進(jìn)行針對性的保護(hù),從業(yè)務(wù)系統(tǒng)下載核心數(shù)據(jù)到本地時自動加密,非核心數(shù)據(jù)則不做保護(hù)。即只保護(hù)企業(yè)所關(guān)心的核心數(shù)據(jù),不過量保護(hù)非涉密數(shù)據(jù)或者用戶的私人數(shù)據(jù)。業(yè)務(wù)系統(tǒng)數(shù)據(jù)保護(hù)既支持集中式的網(wǎng)關(guān)加密保護(hù),也支持分布式的終端加密保護(hù)。
1) 支持OA、SVN、ERP、PDM 等各種主流的業(yè)務(wù)系統(tǒng)的上傳下載控制。
2) 支持網(wǎng)絡(luò)共享的加解密控制。
3) 支持按類型加密核心數(shù)據(jù),同時防止本地的非涉密文檔以及用戶個人文檔過量加密。
4) 支持下載和在線查閱的控制,如下載到本地時加密;只能在線查看,禁止下載到本地;或者可以下載到本地,但必須保存到保險(xiǎn)箱。
5) 支持下載行為的日志記錄和審計(jì)。
6) 支持業(yè)務(wù)系統(tǒng)準(zhǔn)入控制,未安裝客戶端或者未下發(fā)保護(hù)策略的機(jī)器禁止訪問指定業(yè)務(wù)系統(tǒng)。
7) 支持業(yè)務(wù)系統(tǒng)防偽冒,防止用戶將涉密文檔傳到非指定(仿冒)的業(yè)務(wù)系統(tǒng)中。
3. 內(nèi)部文檔隔離管理:對企業(yè)內(nèi)部的文檔進(jìn)行隔離管理,尤其是控制不同職能部門,不同用戶,以及不同級別的角色之間的涉密信息,不允許互相查看,以保證企業(yè)內(nèi)部的敏感信息獨(dú)立可控,防止涉密文檔在企業(yè)內(nèi)部交叉泄密。
1) 支持不同的隔離范圍控制,包括部門隔離、個人隔離以及虛擬組隔離。
2) 支持按用戶角色對文檔進(jìn)行強(qiáng)制密級保護(hù)。
3) 支持特權(quán)用戶,允許特權(quán)用戶,比如直屬領(lǐng)導(dǎo)可以訪問已處于隔離范圍中的涉密文檔。
4. 內(nèi)部文檔權(quán)限管理:企業(yè)內(nèi)部不同用戶或者不同部門之間交流共享涉密文檔時,可以對涉密文檔進(jìn)行使用權(quán)限的授權(quán)限制,包括指定文檔只讀、修改、打印以及哪些用戶可以使用等等。通過文檔權(quán)限的授權(quán)和訪問控制,能夠?qū)⒚舾行畔⑾拗圃诳煽氐姆秶鷥?nèi),防止敏感內(nèi)容在企業(yè)內(nèi)部被惡意擴(kuò)散或篡改。
1) 支持各種細(xì)粒度的使用權(quán)限授權(quán),包括哪些用戶可以使用,使用時間,是否可以修改,是否可以拷貝拖拽,截屏控制,打印,打印水印以及日志追蹤等。
2) 支持在線審批授權(quán),文檔授權(quán)必須經(jīng)過完整審批流程處理。授權(quán)成功后系統(tǒng)自動通知授權(quán)文檔作者及所有被授權(quán)人。
3) 支持離線授權(quán),可通過策略配置允許終端用戶自己授權(quán)文檔,管理員也可以事先指定離線授權(quán)文檔的最大可授權(quán)權(quán)限。
4) 支持授權(quán)文檔在線管理,已授權(quán)文檔可以自動分發(fā)給授權(quán)用戶,提供授權(quán)文檔的收件箱和發(fā)件箱功能,管理員或授權(quán)文檔作者可以對授權(quán)文檔進(jìn)行權(quán)限的修改、鎖定、轉(zhuǎn)移以及銷毀等操作。
5) 支持批量授權(quán),拖放到指定目錄的文檔,按照權(quán)限模板自動批量授權(quán)。
6) 支持共享授權(quán),即文件服務(wù)器上設(shè)置共享授權(quán)目錄,終端用戶將文檔放到共享中時,文檔自動按照已指定的權(quán)限進(jìn)行授權(quán),填補(bǔ)了現(xiàn)有共享系統(tǒng)只能約束訪問用戶,無法約束文檔使用權(quán)限的空白。
5. 文檔流轉(zhuǎn)管理:企業(yè)的涉密文檔在經(jīng)過加密或者授權(quán)保護(hù)以后,只能在企業(yè)內(nèi)部裝有客戶端的環(huán)境中使用。如果用戶需要將一些文檔,交給企業(yè)中沒有安裝客戶端的特殊用戶或者是外部的合作伙伴查閱,可以通過文檔解密、郵件解密或者文檔外發(fā)對涉密文檔進(jìn)行轉(zhuǎn)換。既支持寬松的流轉(zhuǎn)控制,也支持嚴(yán)格的審批控制和訪問控制。
1) 支持離線自解密,管理員可設(shè)置用戶是否可以離線自解密,并記錄解密日志。解密后的文檔可以在任意環(huán)境里使用。
2) 支持在線審批解密,即待解密的文檔必須提交解密申請,并通過審批后,才能解密文檔。
3) 支持郵件附件自動解密,即管理員可設(shè)置郵件收件人白名單,發(fā)送給指定白名單的郵件附件自動解密。
4) 支持文檔外發(fā),即帶出去的文檔,必須經(jīng)過外發(fā)授權(quán)。其中,外發(fā)文檔可支持任意文件類型,任意文件格式;支持多文件多目錄同時制作外發(fā)授權(quán);支持任意Windows 用戶使用外發(fā)文檔;支持細(xì)粒度的使用權(quán)限控制(口令認(rèn)證、使用范圍(綁定機(jī)器或U 盤)、使用時間、使用次數(shù)、修改、打印、追蹤等);支持使用權(quán)限在線認(rèn)證以及USBKey 認(rèn)證等。
6.文檔傳播途徑管控:對企業(yè)的涉密文檔,使用者可能通過移動存儲設(shè)備、打印輸出、網(wǎng)絡(luò)等多種途徑傳播出去。文檔傳播途徑管控能夠針對文檔各種方式的傳輸進(jìn)行控制,涵蓋了移動存儲、打印行為、外設(shè)接口以及網(wǎng)絡(luò)行為(如郵件、即時通訊工具、網(wǎng)絡(luò)共享等)等多個維度,達(dá)到事前有預(yù)防、事中有監(jiān)控、事后有審計(jì)的安全目標(biāo)。
1) 支持移動存儲設(shè)備的各種使用權(quán)限的控制,包括禁止使用移動存儲設(shè)備;只能從移動存儲設(shè)備拷貝文檔出來,禁止將文檔拷貝到移動存儲設(shè)備中;允許拷貝文檔到移動存儲設(shè)備并對文檔加密;以及對拷貝的文檔記錄日志和源文件。
2) 支持輔助硬盤的控制,包括自由使用和禁用。
3) 支持刻錄機(jī)/CDROM 的使用權(quán)限控制,包括自由使用、只讀、禁用等。
4) 支持打印機(jī)的控制,可分別對物理打印和虛擬打印進(jìn)行監(jiān)控,也可限制指定軟件可使用打印機(jī)。對打印機(jī)的使用權(quán)限控制,包括自由使用打印機(jī)、禁止使用打印機(jī),以及允許使用打印機(jī)的同時,對打印的對象記錄日志和源文件。
5) 支持各種外設(shè)接口的控制,包括USB 設(shè)備、SCSI 設(shè)備、串/并行總線、紅外線設(shè)備、PCMCIA 設(shè)備、1394、無線網(wǎng)卡、DVD/CD-ROM 驅(qū)動器、藍(lán)牙、軟盤等等。能夠按USB 的功能分別控制,比如USB 鼠標(biāo)/鍵盤的使用不受影響,帶有存儲功能的USB 設(shè)備受約束。
6) 支持網(wǎng)絡(luò)行為的監(jiān)控,如郵件、即使通訊工具、網(wǎng)絡(luò)共享等等。對網(wǎng)絡(luò)傳輸?shù)男袨,可以禁用,也可以根?jù)關(guān)鍵字限制當(dāng)前的行為,同時記錄行為日志以及所傳輸?shù)膬?nèi)容、附件等等。
7) 各種設(shè)備和網(wǎng)絡(luò)的控制,可通過策略靈活配置,并且可以分別配置在線狀態(tài)時的控制策略以及離線狀態(tài)時的控制策略。
4.1.3 產(chǎn)品優(yōu)勢
1. 技術(shù)優(yōu)勢
1) 唯一具有微軟授權(quán)Windows 操作系統(tǒng)源代碼查看權(quán)的數(shù)據(jù)泄漏防護(hù)廠商,掌握真正的內(nèi)核級加密,技術(shù)積累成熟;2) 國內(nèi)最早使用微軟MiniFilter 框架的多緩存加密內(nèi)核,產(chǎn)品穩(wěn)定、高效、兼容性強(qiáng);3) 智能識別企業(yè)數(shù)據(jù)與個人數(shù)據(jù),在保護(hù)企業(yè)核心資產(chǎn)的同時,可以對個人數(shù)據(jù)不過量加密。
4) 結(jié)合虛擬沙箱技術(shù),進(jìn)一步提升數(shù)據(jù)安全性,以及業(yè)務(wù)流程的持續(xù)性。
2. 密鑰與算法優(yōu)勢
1) 密鑰管理安全、智能,不需要用戶手動參與,減少管理員人工管理密鑰帶來的各種風(fēng)險(xiǎn)。
2) 支持AES 等各種國際主流加密算法,支持SM1/2/3/4 等國密算法,并支持加密算法替換。
3. 平臺優(yōu)勢
1) 支持Windows 平臺、Linux 平臺、移動終端以及國產(chǎn)操作系統(tǒng)平臺下數(shù)據(jù)泄漏防護(hù)。
2) 支持虛擬化及云計(jì)算環(huán)境下的數(shù)據(jù)泄密防護(hù)。業(yè)內(nèi)唯一獲得Citrix Ready 認(rèn)證的數(shù)據(jù)泄漏防護(hù)產(chǎn)品。
4. 適配優(yōu)勢
1) 支持各類軟件,支持任意格式、任意大小的文檔加密保護(hù)以及文檔外發(fā)控制。
2) 支持包含OA、SVN、ERP、PDM、數(shù)據(jù)庫、郵件系統(tǒng)等所有B/S、C/S 類型的業(yè)務(wù)系統(tǒng)的數(shù)據(jù)保護(hù)。
3) 與AD 域、LDAP 及OpenLDAP 等無縫集成。
4) 擴(kuò)展性強(qiáng),可以支持任意新增軟件或者新增業(yè)務(wù)系統(tǒng),無需重新開發(fā)。
5) 支持與用戶業(yè)務(wù)系統(tǒng)的深度結(jié)合,提供多種形態(tài)的二次開發(fā)接口。
5. 審批優(yōu)勢
1) 集中式的管理,文檔流轉(zhuǎn)可通過集中的審批平臺進(jìn)行審批,支持審批流程模板管理以及審批過程審計(jì)。
2) 可配置性強(qiáng),提供矩陣式審批流配置機(jī)制,支持多級、多步驟的審批流程配置。
3) 適配場景豐富,支持多級審批、角色審批、審批超時自動處理、委托審批、級別審批、審批轉(zhuǎn)閱等各種場景配置。
4.2 Websense
4.2.1 企業(yè)簡介
Websense, Inc.(納斯達(dá)克:WBSN)是全球領(lǐng)先的整合Web、信息和數(shù)據(jù)安全防護(hù)解決方案提供商,總部位于美國加利福尼亞州的圣地亞哥,在北美、歐洲、中東、亞太、非洲擁有數(shù)十個分支機(jī)構(gòu)。作為全球網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)跑者,Websense 曾連續(xù)三年(2004-2006)被《福布斯雜志》評為“25 家頂尖科技公司” 之一,其安全解決方案被《財(cái)富》世界500 強(qiáng)及FTSE100 企業(yè)廣為采用,為全球5 萬多家企業(yè)的4400 多萬名員工提供關(guān)鍵信息防護(hù)。公司通過全球渠道合作伙伴網(wǎng)絡(luò)分銷其解決方案,Websense 軟件和托管式安全解決方案可幫助企業(yè)攔截惡意代碼、防止丟失機(jī)密信息以及實(shí)施因特網(wǎng)使用和安全策略。
4.2.2 產(chǎn)品功能
Websense 數(shù)據(jù)安全套件可以規(guī)避各種數(shù)據(jù)泄漏情況。它為網(wǎng)絡(luò)和端點(diǎn)數(shù)據(jù)泄漏防護(hù)(DLP)以及機(jī)密數(shù)據(jù)發(fā)現(xiàn)提供了一個單一的策略框架。
1) 輕松采用可擴(kuò)展的解決方案防止入站威脅,并管理與數(shù)據(jù)泄漏和法規(guī)符合性相關(guān)的出站風(fēng)險(xiǎn)。
2) 超過1700 個預(yù)定義策略和模板,按地區(qū)和行業(yè)分類,大大簡化了策略創(chuàng)建過程。
3) Websense 數(shù)據(jù)識別和分類引擎(DICE)還嵌入到Websense TRITON•統(tǒng)一架構(gòu)下的Web 和電子郵件安全網(wǎng)關(guān)解決方案中。
4) Websense 數(shù)據(jù)安全套件包括以下模塊(這些模塊也可以單獨(dú)提供),具備最高的部署靈活性:
5) Websense 數(shù)據(jù)安全網(wǎng)關(guān)(Data Security Gateway):監(jiān)控常見的網(wǎng)絡(luò)通信通道,例如Web、電子郵件、FTP、用于移動電子郵件的ActiveSync 等。當(dāng)發(fā)現(xiàn)敏感數(shù)據(jù)時,數(shù)據(jù)安全網(wǎng)關(guān)可以阻止其傳輸,記錄事件或自動運(yùn)行補(bǔ)救措施。
6) Websense 數(shù)據(jù)終端(Data Endpoint):監(jiān)控實(shí)時流量,全面深入地監(jiān)控機(jī)密數(shù)據(jù)遷移目的地、使用者、使用方式、傳輸目的地,以及在端點(diǎn)為防止數(shù)據(jù)泄漏而采取的實(shí)時措施。
7) Websense 數(shù)據(jù)發(fā)現(xiàn)(Data Discover):使用DICE 的三個數(shù)據(jù)分類器(描述、記錄、學(xué)習(xí)),準(zhǔn)確識別機(jī)密數(shù)據(jù),并讓您深入了解數(shù)據(jù)。
Websense 數(shù)據(jù)安全套件內(nèi)置的數(shù)據(jù)識別和分類引擎(DICE)利用多個分類器,實(shí)時上下文監(jiān)控用戶、數(shù)據(jù)和目的地,在整個TRITON 架構(gòu)提供高度精確和一致的數(shù)據(jù)泄漏防護(hù)。DICE 支持三種數(shù)據(jù)類別:描述數(shù)據(jù)、注冊數(shù)據(jù)和學(xué)習(xí)數(shù)據(jù)。描述數(shù)據(jù)包括正則表達(dá)式、字典和自然語言分類器(包含1700多個策略和模板)。注冊數(shù)據(jù)包括可以壓縮并存儲在端點(diǎn)的指紋數(shù)據(jù),從而實(shí)現(xiàn)脫網(wǎng)保護(hù)。學(xué)習(xí)數(shù)據(jù)指高級機(jī)器學(xué)習(xí)技術(shù),采用算法分析小數(shù)據(jù)樣本,以填補(bǔ)掃描數(shù)據(jù)和注冊數(shù)據(jù)之間的漏洞,提高精度和效率。數(shù)據(jù)竊取防護(hù)功能包括:使用OCR 分析圖像內(nèi)文本、檢測自定義加密文件和密碼文件竊取、緩慢數(shù)據(jù)泄漏和地理位置監(jiān)控。DICE 廣泛用于發(fā)現(xiàn)、網(wǎng)關(guān)和端點(diǎn),從單一控制臺管理策略。
4.2.3 產(chǎn)品優(yōu)勢
1) 一致的策略創(chuàng)建:超過1700 個預(yù)定義策略和模板(按地區(qū)和行業(yè)分類),讓您只需編寫一份策略并跨端點(diǎn)、網(wǎng)絡(luò)和數(shù)據(jù)存儲庫進(jìn)行應(yīng)用。由Websense 專業(yè)研究人員定期更新和審查模板。
2) 保護(hù)存儲在圖像中的數(shù)據(jù):只有Websense 推出OCR 技術(shù),可分析圖像內(nèi)文本并發(fā)現(xiàn)、監(jiān)控和保護(hù)數(shù)據(jù)。
3) 簡化和統(tǒng)一的架構(gòu),易于使用,總體擁有成本更低:數(shù)據(jù)安全套件完全集成到TRITON 架構(gòu)。數(shù)據(jù)識別和分類引擎內(nèi)置在所有的DLP 功能中,并在所有的TRITON 解決方案之間保持統(tǒng)一。數(shù)據(jù)終端、數(shù)據(jù)安全網(wǎng)關(guān)和數(shù)據(jù)發(fā)現(xiàn)共享一個單一的管理界面。
4) 簡化工作流程:Websense 允許管理員通過回復(fù)電子郵件通知管理事件,從而簡化了工作流程。
5) 集中式事件管理和報(bào)告:分發(fā)按設(shè)備及應(yīng)用程序通道、用戶組、策略、規(guī)則、實(shí)施措施等顯示事件總數(shù)的執(zhí)行報(bào)表或詳情報(bào)表。顯示合規(guī)狀態(tài)。
6) 深入了解從您的網(wǎng)絡(luò)流出的數(shù)據(jù):通過將起始地和目的地監(jiān)控與Websense 分類器相結(jié)合,讓您能夠了解數(shù)據(jù)訪問者、數(shù)據(jù)類型、使用方式和傳輸目的地,這樣,您的企業(yè)就可以實(shí)時做出最明智的決策,并制定有效的策略以備將來使用。
7) 保護(hù)數(shù)據(jù),防止復(fù)雜、緩慢的數(shù)據(jù)泄漏:Websense 又一次開創(chuàng)業(yè)界先河,推出點(diǎn)滴流出式DLP 技術(shù),該技術(shù)可以在累計(jì)事件期間實(shí)施監(jiān)控,保護(hù)您的數(shù)據(jù)免遭緩慢泄漏。
8) 易于部署和管理:Websense 為網(wǎng)關(guān)、端點(diǎn)和發(fā)現(xiàn)提供一個統(tǒng)一的控制臺,便于用戶管理DLP 策略、事件和報(bào)表。
4.3 RSA
4.3.1 企業(yè)簡介
RSA 信息安全公司在電子安全界享負(fù)盛名,致力開發(fā)雙因素用戶認(rèn)證、加密和公鑰管理系統(tǒng),為有志開拓電子商務(wù)的企業(yè)建立安全穩(wěn)妥的基礎(chǔ)建設(shè)。RSA 掌握市場脈搏,以其領(lǐng)導(dǎo)全球的科技和系統(tǒng)管理經(jīng)驗(yàn),配合電子商務(wù)千變?nèi)f化的安全需求,令網(wǎng)上商業(yè)活動更加安全及可靠。RSA 于2006 年并入EMC公司,現(xiàn)在的稱呼是EMC 信息安全事業(yè)部RSA。
4.3.2 產(chǎn)品功能
RSA DLP 企業(yè)管理軟件提供了五個主要功能:
1) 儀表盤。在一個單一的視圖中監(jiān)控事件的發(fā)展趨勢,并確定新出現(xiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn)。
2) 事件工作流程。對事件進(jìn)行搜索、篩選和向下鉆取,查看所有的相關(guān)信息,包括所有者/發(fā)送者、接收者、政策違反事件以及相匹配的內(nèi)容。
3) 報(bào)告。創(chuàng)建,查看和保存可用于演示的報(bào)告,它對在多個領(lǐng)域中的事件進(jìn)行了概述,并自動發(fā)送到關(guān)鍵的利益相關(guān)者。
4) 政策管理。使用或微調(diào)超過170 個現(xiàn)有的開箱即用的政策,或創(chuàng)建自己的政策。所有的工具都是基于GUI 的,不需要手動配置。
5) 系統(tǒng)管理。集中部署、管理和監(jiān)控所有代理和掃描組的狀態(tài)和進(jìn)度。使用GUI 控件可以配置幾乎任何事情。
RSA DLP 主要是幫助組織解決在保護(hù)處在靜止中的數(shù)據(jù)、移動中的數(shù)據(jù)以及使用中數(shù)據(jù)的安全方面所面臨的挑戰(zhàn)。
4.3.3 產(chǎn)品優(yōu)勢
防數(shù)據(jù)泄露不僅僅只是發(fā)現(xiàn)數(shù)據(jù)和防止信息泄露、被盜或?yàn)E用。一個好的策略能夠幫助組織解決他們每天所面臨的復(fù)雜的業(yè)務(wù)問題,包括簡化合規(guī)性、簡化業(yè)務(wù)流程以及保護(hù)知識產(chǎn)權(quán)和品牌價(jià)值。RSA防數(shù)據(jù)泄露套件可以幫助企業(yè)為那些處于靜態(tài)狀態(tài)的數(shù)據(jù)、移動中的數(shù)據(jù)和使用中的數(shù)據(jù)應(yīng)對這些挑戰(zhàn):
1) RSA DLP 數(shù)據(jù)中心版可以識別駐留在文件共享、數(shù)據(jù)庫、存儲系統(tǒng)(SAN/NAS)、MicrosoftSharePoint•網(wǎng)站和其他數(shù)據(jù)存儲庫中的敏感數(shù)據(jù),并對此執(zhí)行相應(yīng)的政策。
2) RSA DLP 網(wǎng)絡(luò)版可以識別企業(yè)電子郵件系統(tǒng)、基于Web 的電子郵件系統(tǒng)、即時通訊以及基于Web的協(xié)議中傳輸?shù)拿舾袛?shù)據(jù),并對此執(zhí)行相應(yīng)的政策。
3) RSA DLP 終端版可以識別在筆記本電腦和臺式機(jī)上存儲和使用的敏感數(shù)據(jù),并對此執(zhí)行相應(yīng)的政策。
4.4 明朝萬達(dá)
4.4.1 企業(yè)簡介
北京明朝萬達(dá)科技有限公司是國家級高新技術(shù)企業(yè)和國家級軟件企業(yè),是中國領(lǐng)先的數(shù)據(jù)安全、移動安全、云安全和內(nèi)網(wǎng)安全解決方案提供商。明朝萬達(dá)自主研發(fā)的Chinasec(安元)數(shù)據(jù)安全管理系列產(chǎn)品,以數(shù)據(jù)生命周期管理和防泄密為核心構(gòu)建統(tǒng)一的全I(xiàn)T 架構(gòu)數(shù)據(jù)安全管理平臺,實(shí)現(xiàn)對信息網(wǎng)絡(luò)中服務(wù)器群、系統(tǒng)應(yīng)用、計(jì)算機(jī)終端、移動智能終端、云終端和物聯(lián)網(wǎng)終端中統(tǒng)一的用戶身份安全、接入安全、文檔數(shù)據(jù)加密、終端安全、應(yīng)用系統(tǒng)保護(hù)及用戶行為審計(jì)等管理。移動信息化和云計(jì)算的浪潮已經(jīng)來臨,明朝萬達(dá)推出保障移動信息化安全的移動安全管理平臺,致力于解決用戶身份安全、接入安全、手機(jī)終端管理(MDM)和移動數(shù)據(jù)保密等;針對桌面云(虛擬化)的數(shù)據(jù)存儲安全、用戶身份安全、網(wǎng)絡(luò)安全域劃分及云終端管理等也推出全面的解決方案。明朝萬達(dá)將幫助用戶守護(hù)數(shù)據(jù)的價(jià)值,提升管理績效,讓安全真正服務(wù)于業(yè)務(wù)系統(tǒng),推動用戶業(yè)務(wù)的發(fā)展。
4.4.2 產(chǎn)品功能
Chinasec(安元)數(shù)據(jù)安全管理平臺是基于網(wǎng)絡(luò)和數(shù)據(jù)的安全管理產(chǎn)品,通過認(rèn)證、加密、監(jiān)控和追蹤等手段在傳統(tǒng)PC 終端和移動終端提供系統(tǒng)數(shù)據(jù)保護(hù)、文檔加密、應(yīng)用保護(hù)、系統(tǒng)管理、桌面管理和安全通訊等整體解決方案。系統(tǒng)采用C/S 架構(gòu)和B/S 架構(gòu)相結(jié)合,內(nèi)外網(wǎng)相互通的架構(gòu)思路,對網(wǎng)絡(luò)安全和數(shù)據(jù)安全提供全I(xiàn)T 架構(gòu)的多套解決方案。
1) 移動存儲設(shè)備管控方案
Chinasec 為移動存儲設(shè)備提供完善的管理方案,提供設(shè)備的注冊、授權(quán)、掛失、注銷等實(shí)現(xiàn)已注冊設(shè)備、未注冊設(shè)備的統(tǒng)一管理;并且支持設(shè)備全盤加密實(shí)現(xiàn)“未注冊設(shè)備行內(nèi)禁止使用,注冊設(shè)備行外禁用”;提供豐富的事后審計(jì)功能,如設(shè)備的插拔、文件操作、文件內(nèi)容等詳細(xì)日志。
2) Chinasec 移動辦公安全解決方案
Chinasec 移動辦公安全解決方案從網(wǎng)絡(luò)的移動用戶身份安全、移動終端接入安全、網(wǎng)絡(luò)通信安全、應(yīng)用訪問控制和移動終端信息存儲安全等環(huán)節(jié)進(jìn)行綜合安全防護(hù),構(gòu)成多層次、全方位的移動安全管理體系。
為智能手機(jī)用戶、掌上電腦以及移動PC 用戶提供安全的移動信息安全服務(wù),為用戶提供了強(qiáng)有力的數(shù)據(jù)信息安全支撐。
3) 數(shù)據(jù)導(dǎo)出平臺保護(hù)方案
表單數(shù)據(jù)從平臺導(dǎo)出時會自動加密。Chinasec 實(shí)現(xiàn)了生產(chǎn)網(wǎng)中導(dǎo)出的敏感數(shù)據(jù)可以在開發(fā)、測試、非生產(chǎn)環(huán)境及外包環(huán)境中安全使用。
4) 業(yè)務(wù)系統(tǒng)數(shù)據(jù)保護(hù)方案
從業(yè)務(wù)系統(tǒng)(OA 系統(tǒng)、報(bào)表系統(tǒng)及郵件系統(tǒng)等)下載的文件將被自動加密,并且可根據(jù)用戶、部門分別進(jìn)行權(quán)限控制。同時,Chinasec 安全服務(wù)體系為各類業(yè)務(wù)系統(tǒng)提供認(rèn)證、加密、追蹤和日志等服務(wù),實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)安全可控制、可度量及標(biāo)準(zhǔn)化管理。
5) Chinasec 文檔安全解決方案
Chinasec 文檔安全解決方案從客戶端的身份認(rèn)證管理、電子文檔的手動/自動加密、電子文檔的密集權(quán)限控制、日志審計(jì)等環(huán)節(jié)進(jìn)行綜合安全防護(hù),構(gòu)成多層次、全方位的文檔終端安全管理體系,為用戶提供安全的移動信息安全服務(wù),以及強(qiáng)有力的文檔信息安全支撐。
6) Chinasec 終端防泄密系統(tǒng)
采用嚴(yán)格數(shù)據(jù)邊界防護(hù)技術(shù),以企業(yè)單位內(nèi)局域網(wǎng)為邊界(支持手機(jī)、PAD 等移動設(shè)備),對敏感數(shù)據(jù)進(jìn)行保護(hù),實(shí)現(xiàn)環(huán)境加密。數(shù)據(jù)脫離邊界時自動管控或自動管控或自動加密,例如U 盤拷貝、網(wǎng)絡(luò)外發(fā)等,加密與文件格式無關(guān)。
7)Chinasec 郵件安全系統(tǒng)
Chinasec 郵件安全系統(tǒng),以郵件加密為基礎(chǔ)防止郵件密碼被破解或郵件服務(wù)器被攻擊的郵件泄密,通過郵件透明加解密技術(shù),在不影響用戶使用習(xí)慣的情況下,在全I(xiàn)T 架構(gòu)下(PC、移動設(shè)備)實(shí)現(xiàn)防止郵件主動泄密和郵箱密碼被破解等被動泄密風(fēng)險(xiǎn),并通過設(shè)置郵件地址的黑名單,滿足單位內(nèi)部的實(shí)際需求。
4.4.3 產(chǎn)品優(yōu)勢
Chinasec 敏感數(shù)據(jù)防泄密方案采用國密算法,基于“安全服務(wù)于業(yè)務(wù)”的理念,提供各種安全組件供業(yè)務(wù)系統(tǒng)或用戶使用,建立安全服務(wù)體系,實(shí)現(xiàn)敏感數(shù)據(jù)從產(chǎn)生、存儲、使用、流轉(zhuǎn)、追蹤到銷毀的整個生命周期的安全管控。
1) 以加密技術(shù)為核心的數(shù)據(jù)安全體系
以多年自主研發(fā)的數(shù)據(jù)加解密技術(shù)為核心,結(jié)合身份認(rèn)證和訪問控制等多種技術(shù)手段,為用戶打造完善的數(shù)據(jù)安全體系。支持PKI 體系數(shù)字證書,支持國密SM1、SM2、SM3 及SM4 算法并兼容國際主流標(biāo)準(zhǔn)加解密算法,實(shí)現(xiàn)本地存儲數(shù)據(jù)加密、移動存儲數(shù)據(jù)加密、文檔加密、郵件加密、業(yè)務(wù)應(yīng)用數(shù)據(jù)加密和數(shù)據(jù)傳輸加密等豐富的加密功能,支持跨平臺,異構(gòu)終端統(tǒng)一管理實(shí)現(xiàn)數(shù)據(jù)流暢互通。
2) 全I(xiàn)T 架構(gòu)管理
平臺可統(tǒng)一管理PC 終端、云桌面及虛擬化終端、移動智能設(shè)備和物聯(lián)網(wǎng)設(shè)備等各種終端,有效應(yīng)對企業(yè)IT 架構(gòu)的快速變革與延伸,構(gòu)建全I(xiàn)T 架構(gòu)統(tǒng)一管理的數(shù)據(jù)安全體系,極大提高IT 安全管理人員的工作效率。
• 統(tǒng)一設(shè)備管理,同一平臺上可展現(xiàn)不同設(shè)備特性
• 統(tǒng)一身份管理,支持身份在不同終端上漫游• 統(tǒng)一密鑰管理,加密文件在不同終端上流暢互通
• 統(tǒng)一日志審計(jì),集中查詢、統(tǒng)計(jì)
3) 可與現(xiàn)有業(yè)務(wù)系統(tǒng)靈活結(jié)合平臺提供安全中間件,現(xiàn)有業(yè)務(wù)系統(tǒng)經(jīng)過簡單調(diào)用即可實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)安全,使安全成為標(biāo)準(zhǔn)化服務(wù),為規(guī)范化管理提供技術(shù)支撐。
• 多平臺:Windows、Linux、IOS、Android、Win Phone
• 多層次:業(yè)務(wù)層、系統(tǒng)層,硬件設(shè)備層
• 多接口集成:4A、LDAP、SSO、CA
4) 敏感數(shù)據(jù)全生命周期安全管理
對于敏感數(shù)據(jù)的防護(hù),提供全生命周期的安全管理和審計(jì)。安全防護(hù)貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中,進(jìn)而對泄密的明文根據(jù)標(biāo)簽進(jìn)行溯源,實(shí)現(xiàn)事前安全管理、事后行為審計(jì)。
4.5 溢信科技
4.5.1 企業(yè)簡介
溢信科技是中國最早從事內(nèi)網(wǎng)安全領(lǐng)域的企業(yè)之一。當(dāng)時主要提供郵件管控和網(wǎng)絡(luò)管控的產(chǎn)品。而今,溢信科技已成為領(lǐng)先的內(nèi)網(wǎng)安全整體解決方案提供商,自主研發(fā)的“IP-guard 內(nèi)網(wǎng)安全管理系統(tǒng)”
是國內(nèi)唯一能夠提供內(nèi)網(wǎng)安全整體解決方案的產(chǎn)品。
4.5.2 產(chǎn)品功能
1) 智能緩沖技術(shù),穩(wěn)定性更出眾
IP-guard 加密基于成熟的應(yīng)用層兼驅(qū)動層加密技術(shù),更具獨(dú)有的智能緩沖技術(shù),讓系統(tǒng)保持穩(wěn)定,嚴(yán)防文檔損壞現(xiàn)象。加密軟件作為信息防泄露的利器,就應(yīng)該在其最大程度保護(hù)企業(yè)信息安全的同時,將發(fā)生故障的概率降到最小,而這也正是IP-guard 加密的突出優(yōu)勢。
2) 三種加密模式,滿足不同需求
IP-guard 提供了強(qiáng)制加密、非強(qiáng)制加密與只讀加密三種加密模式,特別是只讀加密,更是IP-guard獨(dú)有功能,可以滿足用戶的多種應(yīng)用場景需求。IP-guard 三種加密模式率先滿足了用戶的這個需求,做到想客戶所想,為各種場景需求提供解決方案。
3) 三重災(zāi)備方案,確保有備無患
IP-guard 擁有最完備的三重災(zāi)備方案,包括備用服務(wù)器、網(wǎng)絡(luò)故障應(yīng)急機(jī)制和明文備份服務(wù)器,面對主服務(wù)器無法連接、斷網(wǎng)、斷電等各種狀況,都可從容應(yīng)對。當(dāng)出現(xiàn)危機(jī)情況時候,災(zāi)備方案能夠力挽狂瀾,減少損失甚至不受損失。IP-guard 加密完善的災(zāi)備方案,能夠全方位多角度保護(hù)企業(yè)信息,為IP-guard 加密優(yōu)勢再添重碼。
4) 加密管理范圍全面,覆蓋各種應(yīng)用場景
IP-guard 加密擁有權(quán)限管理、加密安全網(wǎng)關(guān)、外發(fā)管理、離線授權(quán)管理四大功能,對加密文件的內(nèi)部流轉(zhuǎn)、服務(wù)器上的存取、外發(fā)給合作伙伴使用、公司員工離線使用四大常見應(yīng)用場景進(jìn)行全面覆蓋,確保數(shù)據(jù)無論何時何地都享有高強(qiáng)的保護(hù)。
5) 與審計(jì)、管控一起形成IP-guard 三重保護(hù)信息泄露防護(hù)整體解決方案IP-guard 加密與審計(jì)、管控一起組成三重保護(hù)信息防泄露整體解決方案,以IP-guard 內(nèi)網(wǎng)安全平臺為核心,以審計(jì)洞察業(yè)務(wù)流程和安全風(fēng)險(xiǎn),以豐富的權(quán)限控制功能降低各種渠道的泄密風(fēng)險(xiǎn),以強(qiáng)大的透明加密對文檔本身進(jìn)行強(qiáng)制保護(hù),三種強(qiáng)力技術(shù),幫助企業(yè)達(dá)到一流的信息防泄露效果。
4.5.3 產(chǎn)品優(yōu)勢
1) 應(yīng)用層+驅(qū)動層加密,加密的方式更加靈活
2) 智能緩沖技術(shù),穩(wěn)定性更優(yōu)
3) 三種加密模式,獨(dú)有的只讀加密,滿足不同需求
4) 最完備的三重災(zāi)備方案,確保有備無患
5) 客戶端能夠自動升級
6) 支持Linux 操作系統(tǒng)加密
7) 加密文件中的縮略圖和預(yù)覽圖可見
8) 能夠與審計(jì)、管控一起形成IP-guard 三重保護(hù)信息泄露防護(hù)整體解決方案
9) 擁有五種語言版本和最廣泛的國際化客戶成功案例
4.6 億賽通
4.6.1 企業(yè)簡介
億賽通是中國第一家文檔安全管理系統(tǒng)的生產(chǎn)者,最大的數(shù)據(jù)防泄露產(chǎn)品解決方案提供商,以推動信息安全技術(shù)發(fā)展、加強(qiáng)信息安全管理、保護(hù)核心知識資產(chǎn)和機(jī)密信息安全為已任,為政府、部隊(duì)、企業(yè)組織提供信息安全管理咨詢服務(wù)和數(shù)據(jù)防泄露(DLP)軟件產(chǎn)品和基于行業(yè)用戶需求的數(shù)據(jù)防泄露(DLP)解決方案。
4.6.2 產(chǎn)品功能
1) 智能透明加密:實(shí)現(xiàn)對任意文檔自動透明加密的同時,不影響用戶的使用習(xí)慣。
2) 內(nèi)容安全防護(hù):防止核心數(shù)據(jù)通過復(fù)制拖拽、截屏錄制、打印輸出以及副本另存等方式泄密。
3) 細(xì)粒權(quán)限控制:細(xì)化設(shè)置文檔的閱讀、編輯、復(fù)制、打印等組合權(quán)限,并可根據(jù)管理需要設(shè)定文檔生命周期,同時提供靈活的二次授權(quán)、歸檔、交接管理及版本變更管理等功能。
4) 完善權(quán)限控制:每個用戶都設(shè)有文件收件箱、發(fā)件箱、還原箱,方便對權(quán)限文檔的使用和管理。用戶還可以通過在線申請的方式向作者申請文檔權(quán)限,申請和審批流程簡單。同時考慮到文檔離線使用情況,系統(tǒng)還可生成離線權(quán)限文件,并可設(shè)定文件的閱讀次數(shù)和使用時長。
5) 群功能特設(shè)置:方便企業(yè)在項(xiàng)目過程中建立跨部門組織,方便業(yè)務(wù)交流,加快項(xiàng)目進(jìn)展。
6) 批量授權(quán)功能:通過模板功能的啟用,完成文檔的自動及批量授權(quán),降低用戶文檔授權(quán)及管理成本。
7) 安全分級控制:實(shí)現(xiàn)人員密級、數(shù)據(jù)密級的安全分級管理控制,滿足組織數(shù)據(jù)分級安全管理要求。
8) 流程審核通知:為流程各級節(jié)點(diǎn)提供業(yè)務(wù)代辦提醒、審核結(jié)果通報(bào)等支持,如客戶端消息、E-Mail通知等。
9) 安全水印支持:通過自動添加安全警示及版權(quán)標(biāo)識信息,來降低屏幕錄制和自主打印所帶來的泄密風(fēng)險(xiǎn)。
10) 開放式策略庫:用戶可根據(jù)業(yè)務(wù)及管理需要進(jìn)行安全策略自定義,開放、靈活的策略配置可降低企業(yè)后續(xù)維護(hù)成本。
11) 身份認(rèn)證集成:支持與基于Ldap 和OpenLdap 協(xié)議的統(tǒng)一身份認(rèn)證平臺(如AD、ED、TDS 等)進(jìn)行無縫集成,如實(shí)現(xiàn)組織架構(gòu)及用戶賬號信息的自動完整同步和單點(diǎn)登錄認(rèn)證集成等。
12) 離線辦公支持:可通過離線審核、策略預(yù)設(shè)及離線補(bǔ)時等功能滿足各種離線辦公要求。
13) 工作模式切換:提供“密文/明文”切換模式,保障業(yè)務(wù)涉密數(shù)據(jù)安全處理的同時,不影響用戶個人數(shù)據(jù)處理。
4.6.3 產(chǎn)品優(yōu)勢
1) 高度的安全性:系統(tǒng)采用“驅(qū)動級終端保護(hù)技術(shù)”,對終端程序安裝目錄、常駐進(jìn)程以及注冊表等進(jìn)行安全保護(hù),防止用戶惡意破壞終端運(yùn)維服務(wù)和配置環(huán)境。系統(tǒng)具備自保護(hù)設(shè)置,一旦有用戶通過非法手段強(qiáng)制移除或終止客戶端,將自動轉(zhuǎn)入安全自保護(hù)模式,系統(tǒng)進(jìn)入只加密、解密的安全保護(hù)狀態(tài)。
2) 權(quán)限動態(tài)控制:系統(tǒng)支持動態(tài)文檔權(quán)限控制,持久保護(hù)文檔安全,作者可以實(shí)時更改和回收文檔權(quán)限,實(shí)現(xiàn)對權(quán)限的動態(tài)控制。只有經(jīng)過授權(quán)的用戶才能在授權(quán)范圍內(nèi)使用機(jī)密文件,在沒有任何權(quán)限的情況下無法打開文檔。
3) 權(quán)限模板授權(quán):系統(tǒng)支持權(quán)限模塊設(shè)置,提供授權(quán)靈活性和效率。支持創(chuàng)建個人模板和全局模板,全局模板對所有用戶可見,可針對模板將常用用戶進(jìn)行授權(quán)并套用到模板中,可將權(quán)限模板賦予磁盤目錄,文件落到相應(yīng)目錄進(jìn)行自動授權(quán)。
4) 良好的兼容性:系統(tǒng)可與AD、LDAP 等多種身份認(rèn)證系統(tǒng)集成,支持用戶信息自動同步。系統(tǒng)兼容目前主流的操作系統(tǒng)和殺毒軟件,支持對所有格式的文件進(jìn)行加密,方便企業(yè)后續(xù)的需求升級和應(yīng)用拓展。
5) 行為預(yù)警審計(jì):系統(tǒng)可對數(shù)據(jù)使用、流程審批、業(yè)務(wù)操作、特權(quán)業(yè)務(wù)及違規(guī)操作進(jìn)行預(yù)警通知和行為審計(jì),支持郵件預(yù)警通知和終端消息冒泡提醒,可以自定義預(yù)警管理員。
6) 策略靈活多樣:系統(tǒng)配備強(qiáng)大的策略庫,支持透明加密、落地加解密、目錄加解密等。用戶可根據(jù)業(yè)務(wù)需求進(jìn)行編輯,多樣的策略組合方式使得企業(yè)在策略配置上擁有更多選擇,能夠同時滿足不同部門的安全需求。
7) 系統(tǒng)簡單易用:系統(tǒng)采用了眾多人性化的設(shè)計(jì),界面友好、設(shè)計(jì)合理,管理操作相當(dāng)簡單。
8) 運(yùn)行高效穩(wěn)定:系統(tǒng)具有雙機(jī)熱備功能,如果服務(wù)器出現(xiàn)故障停止運(yùn)行,則備份服務(wù)器能立即接管,同時系統(tǒng)還具備容災(zāi)機(jī)制和數(shù)據(jù)庫備份還原功能,能夠有效應(yīng)對可能出現(xiàn)的各種特殊情況,最大程度保障系統(tǒng)穩(wěn)定可靠運(yùn)行。
億賽通數(shù)據(jù)防泄露體系以數(shù)據(jù)加密為核心,秉承“事前主動防御、事中靈活控制、事后全維追蹤”的設(shè)計(jì)理念,實(shí)現(xiàn)核心信息資產(chǎn)防泄露的安全目標(biāo)。DLP 體系從終端、網(wǎng)絡(luò)和存儲三個層次入手,對核心數(shù)據(jù)的形成、存儲、使用、傳輸、歸檔及銷毀等過程進(jìn)行全生命周期安全控制,結(jié)合企業(yè)、組織機(jī)構(gòu)特有的業(yè)務(wù)需求、業(yè)務(wù)模式和管理文化,為企業(yè)、組織機(jī)構(gòu)定制完整的數(shù)據(jù)防泄露體系。
4.7 安騰軟件
4.7.1 企業(yè)簡介
安騰軟件(ITEN)是中國計(jì)算機(jī)信息反泄密軟件和文檔加密軟件的始創(chuàng)者和領(lǐng)導(dǎo)品牌,長期專注政府和企業(yè)計(jì)算機(jī)信息反泄密研究,為企事業(yè)單位提供領(lǐng)先的計(jì)算機(jī)信息反泄密解決方案。旗下?lián)碛?ldquo;文檔守望者”、“鳳凰衛(wèi)士”等多個品牌產(chǎn)品線,產(chǎn)品涵蓋文檔加密、內(nèi)網(wǎng)安全、終端安全、外發(fā)文安全、數(shù)據(jù)備份、信息安全等領(lǐng)域,能夠滿足不同行業(yè)和規(guī)模客戶的信息安全保密需求。安騰軟件(ITEN)始終專注于透明加密軟件的研發(fā),是國內(nèi)最早從事文檔、圖紙、代碼等透明加密的研發(fā)廠商,對于加密軟件有著深刻的理解。安騰力求產(chǎn)品的部署快速、使用簡潔、功能實(shí)用、運(yùn)行可靠,八年來得到客戶的廣泛認(rèn)可和信賴,客戶遍布政府、軍工、設(shè)計(jì)院、機(jī)械、電子、化工、服裝、廣告等諸多行業(yè)。
4.7.2 產(chǎn)品功能
1) 透明加密
安裝鳳凰衛(wèi)士客戶端的計(jì)算機(jī),其生成的文檔自動加密,加密文檔在內(nèi)部授權(quán)環(huán)境內(nèi)可正常使用,未經(jīng)授權(quán)解密,私自帶到外部或未經(jīng)授權(quán)的內(nèi)部環(huán)境均無法打開。
2) U盤管控
可以自動識別并限制各種移動存儲設(shè)備的使用,包括U盤、MP3、手機(jī)、相機(jī)等。而對于鍵盤鼠標(biāo)、打印機(jī)等非存儲類的設(shè)備則不受影響。
3) 打印控制
可以禁止某臺或者某些計(jì)算機(jī)使用打印機(jī)。防止無意義打印通過打印方式泄密。
4) 日志審計(jì)
可以對用戶的操作過程做詳盡的記錄,包括打印、復(fù)制、移動、涉密文件的審批、服務(wù)器操作情況等,以便監(jiān)督檢查和事后追溯。
5) 文檔備份
自動將相關(guān)的涉密文檔定時備份至文檔服務(wù)器,防止重要文檔被有意無意刪除和遭受病毒損壞。
6) 截屏監(jiān)控
定時或手動對指定電腦的屏幕進(jìn)行抓取,監(jiān)控員工桌面操作。對員工工作期間從事無關(guān)事情,起到震懾作用,幫助單位規(guī)范員工行為。
7) 審批流程
可以結(jié)合用戶的管理需求,針對不同的操作分別指定審批手續(xù)和權(quán)限,靈活設(shè)計(jì)單極和多級審批流程,支持異地審批。
4.7.3 產(chǎn)品優(yōu)勢
1) 采用國際領(lǐng)先的介于內(nèi)核與應(yīng)用層之間的專有加密技術(shù),支持更多格式的文件目前為止,該方案將加密標(biāo)識內(nèi)置于文件內(nèi),成為文件的一部分。當(dāng)需要打開文件時,會首先識別此文件是否含有加密標(biāo)識。如果有加密標(biāo)識,則對此文件進(jìn)行透明解密。當(dāng)需要保存文件時,對內(nèi)存中的文件進(jìn)行透明的加密,然后寫上加密標(biāo)識。指紋內(nèi)置方案,使得身份認(rèn)證技術(shù)成為可能。
這種加密技術(shù)真正實(shí)現(xiàn)一份文檔某些人(身份)可以打開,而其他人(身份)則不可以。另外從UG 等從Unix 轉(zhuǎn)過來的程序,導(dǎo)入導(dǎo)出等操作依舊可以無障礙進(jìn)行。
2) 完全透明的加密過程
當(dāng)用Word 打開一個DOC 文檔,用AutoCAD 打開一個DWG 文件時。文檔守望者會自動監(jiān)測到此操作,并進(jìn)行相關(guān)的解密工作,當(dāng)要保存此文件時,又會進(jìn)行相關(guān)的加密工作。所有的這些過程都是文檔守望者在背后默默完成的,用戶根本無需也無法進(jìn)行干預(yù)。這些被加密過的文件無論采用何種方式:用U 盤拷貝、用光盤刻錄、發(fā)郵件、用Ftp 上傳、用QQ 等P2P 工具上傳,泄漏出去的文件均無法打開。
3) 內(nèi)容識別,而非擴(kuò)展名識別
依賴擴(kuò)展名識別就像是依賴姓名來識別一個人。而我們采用的方案類似DNA 識別,只要文件的內(nèi)容是需要受控的話,無論將其保存成為什么擴(kuò)展名,都將被自動加密。
4) 精確識別受控程序
文檔守望者并不依賴可執(zhí)行程序的名稱來確定是否是受控程序,也并不計(jì)算可執(zhí)行程序的MD值。而是有一套專用智能識別算法。智能識別技術(shù),無論怎么改變程序的名稱,甚至用UPX 等軟件壓縮可執(zhí)行程序來改變MD 值,依舊不會逃過文檔守望者的監(jiān)測。
5) 人性化的復(fù)制/粘貼/拖放/截屏控制
若采用復(fù)制/粘貼可將加密的內(nèi)容拷貝至非加密內(nèi)容中,即可導(dǎo)致信息的泄密。但若限制復(fù)制粘貼等功能,則用戶的日常工作將會受到影響。文檔守望者的設(shè)計(jì)是在提供信息保密的同時又不影響用戶的使用習(xí)慣。對此文檔守望者采用的策略是:加密文件之間可以互相復(fù)制/粘貼,非加密文件之間也可互相復(fù)制/粘貼,非加密文件的內(nèi)容可粘貼至加密文件,但加密文件的內(nèi)容不可粘貼至非加密文件中。對于拖放,守望者也采用同樣的策略。對于拷屏的策略是:如果有加密的文件處在打開狀態(tài),則禁止拷屏,否則允許。
6) 靈活的組策略
根據(jù)用戶的工作需要,客戶可以對整個組設(shè)置規(guī)則,也可以針對單臺電腦進(jìn)行設(shè)置,同時一臺電腦可以在不同的組中。如技術(shù)部(組)、財(cái)務(wù)部(組)、銷售部(組)等,可以對整個工作組進(jìn)行設(shè)置,同時也可對某臺電腦進(jìn)行單獨(dú)的設(shè)置。
7) 雙密鑰設(shè)計(jì)
當(dāng)軟件提供給客戶的時候,廠商為客戶提供全球唯一的密鑰確?蛻舻募用芨袷讲粫嗤?蛻粼僮孕性O(shè)置一個密鑰,使供應(yīng)商亦無法解開被加密的文件,解除客戶的后顧之憂。
4.8 敏捷科技
4.8.1 企業(yè)簡介
公司主導(dǎo)產(chǎn)品有:敏捷安全衛(wèi)士系統(tǒng)(Agile DG)、文件外發(fā)管理系統(tǒng)(Agile FD)、桌面安全管理系統(tǒng)(Agile DSM)、數(shù)據(jù)主動備份系統(tǒng)(Agile BAK)、打印安全管理系統(tǒng)(Agile PSM)、電子文檔管理系統(tǒng)(Agile DM)、電子文件管理系統(tǒng)(ERMS)、私有云安全解決方案(Agile PCloud-S)等,能為各類企業(yè)、社會團(tuán)隊(duì)、政府和個人提供全方位的數(shù)據(jù)安全軟件產(chǎn)品和服務(wù)。
4.8.2 產(chǎn)品功能
DG 系統(tǒng)主要是提供如下功能:服務(wù)器管理根密鑰、自動升級功能、服務(wù)器可設(shè)置卸載碼、自定義密鑰、DG 管理機(jī)可解密文件并記錄日志、客戶機(jī)可配置各種安全策略、DG 提供密級管理、DG 域集成功能、組織機(jī)構(gòu)管理、角色管理、策略模板等。
1) 自由空間守護(hù)無痕
2) 實(shí)時加密全程守衛(wèi)
3) 智能監(jiān)控
4) 無縫集成
5) 無窮密鑰
6) 運(yùn)行穩(wěn)定
7) 資源占用少
8) 安全方便的維護(hù)
4.8.3 產(chǎn)品優(yōu)勢
簡捷:簡單易用,免培訓(xùn)
透明:不改變用戶操作習(xí)慣;透明、實(shí)時、強(qiáng)制、主動加密穩(wěn)定:擁有100 萬級別的安裝點(diǎn),軟件成熟穩(wěn)定高效:優(yōu)化的算法和Windows 內(nèi)核技術(shù),不影響使用效率集成:與OA、ERP、PDM 等系統(tǒng)具有良好的集成。
4.9 華途軟件
4.9.1 企業(yè)簡介
華途軟件有限公司成立于2007 年,是國內(nèi)領(lǐng)先的、擁有完全自主知識產(chǎn)權(quán)的專業(yè)信息安全軟件公司?偛课挥诤贾,經(jīng)過多年發(fā)展,已在華北、華南、華東、華中、西南等7大區(qū)域的一線城市設(shè)立了分支機(jī)構(gòu)和服務(wù)中心,服務(wù)網(wǎng)絡(luò)遍布全國30 多個省、市、自治區(qū),建立了覆蓋全國的“24 小時響應(yīng)”
服務(wù)體系。
4.9.2 產(chǎn)品功能
1) 透明加密
2) 電子審批系統(tǒng)
3) 客戶端綁定和準(zhǔn)入
4) 郵件白名單和黑名單
5) 域用戶導(dǎo)入和同步
6) 日志記錄和審計(jì)功能(含報(bào)表和報(bào)警)
7) 系統(tǒng)自動更新(可推送任意腳本)
8) 反截屏
9) 打印水印,屏幕水印
4.9.3 產(chǎn)品優(yōu)勢
1) 透明加密和主動加密以及半透明結(jié)合,采用國家標(biāo)準(zhǔn)算法對文件進(jìn)行加密處理(強(qiáng)度高)2) 客戶端工作模式無需改變,系統(tǒng)后臺存在3) 服務(wù)器基于B/S 架構(gòu),支持實(shí)時策略更新4) 全面支持windows 操作系統(tǒng)以及移動平臺(iPhone/iPad,Android)
4.10上海全灣
4.10.1 企業(yè)簡介
Trustview(全灣信息科技有限公司)是全球最信賴的信息泄漏防護(hù)軟件提供商之一,由畢業(yè)于美國斯坦福大學(xué)的留學(xué)生創(chuàng)建而成。Trustview 擁有世界級的數(shù)字化權(quán)限管理技術(shù),已獲得全球9 項(xiàng)獨(dú)家專利。
在成立一開始即向行業(yè)至高點(diǎn)挑戰(zhàn),為全球頂級企業(yè)提供信息泄露防護(hù)解決方案,滿足世界型大公司的挑剔要求。在企業(yè)文件權(quán)限管理(Enterprise-DRM)領(lǐng)域,Trustview 利用自身的技術(shù)優(yōu)勢結(jié)合國內(nèi)企業(yè)對電子文件的安全管理需求,推出多項(xiàng)信息防泄漏軟件。
4.10.2 產(chǎn)品功能
全灣信息泄漏防護(hù)系統(tǒng)提供了廣泛的功能,這些功能能夠管理產(chǎn)品信息的所有方面,包括支持各種應(yīng)用格式。對于企業(yè)已有的知識資產(chǎn),如設(shè)計(jì)圖紙、工程文檔等,按照子公司/部門、分類批量加密進(jìn)入服務(wù)器,實(shí)現(xiàn)共享。根據(jù)企業(yè)密級進(jìn)行管理,用戶按權(quán)限對文檔進(jìn)行操作。對于個人文檔,根據(jù)策略實(shí)現(xiàn)手動/自動加密。
• 系統(tǒng)全面考慮了企業(yè)目前各類圖紙安全需求現(xiàn)狀,主要解決如下問題:
• 保障圖檔僅在企業(yè)內(nèi)部使用,脫離企業(yè)網(wǎng)絡(luò)環(huán)境,圖檔無法使用
• 實(shí)現(xiàn)企業(yè)各類產(chǎn)品圖檔企業(yè)內(nèi)部流轉(zhuǎn)安全,不同部門,不同權(quán)限
• 保障解決企業(yè)研發(fā)部門的終端研發(fā)文檔安全
• 實(shí)現(xiàn)企業(yè)圖文檔內(nèi)容級別的細(xì)粒度權(quán)限管理-可以控制圖紙是否可以編輯、復(fù)制、打印及圖紙的使用時間等
• 解決企業(yè)圖文檔外帶(如:出差),可能出現(xiàn)的安全隱患
我們的方案是一種以圖紙本身為中心的安全解決方案。利用密碼技術(shù),以圖檔加密為核心,構(gòu)建企業(yè)信息的安全使用環(huán)境,使圖檔能在企業(yè)內(nèi)部正常使用,在未授權(quán)的情況,利用U 盤拷貝帶走及通過網(wǎng)絡(luò)發(fā)送等都是無法打開圖紙的。
制造業(yè)信息泄漏防護(hù)系統(tǒng)關(guān)鍵功能包括:
• 圖檔安全管理-按企業(yè)策略配置
根據(jù)企業(yè)的實(shí)際情況,對重點(diǎn)部門-研發(fā)設(shè)計(jì)部門的客戶端,可以實(shí)現(xiàn)強(qiáng)制加密措施,使個人終端電腦里的研發(fā)文檔自動加密保護(hù)。對于其它部門的終端電腦,可以根據(jù)業(yè)務(wù)需要,按照策略實(shí)現(xiàn)手動/自動加密。
• 實(shí)現(xiàn)細(xì)粒度權(quán)限控制,嚴(yán)防內(nèi)部泄密
對企業(yè)重要的知識資產(chǎn)實(shí)現(xiàn)細(xì)粒度的權(quán)限控制,除了提供打印、時效、復(fù)制等基本的權(quán)限控制之外,還要能控制圖檔的編輯功能,特別是對各類編輯器的菜單的控制,例如對于圖紙做到可不可編輯的權(quán)限設(shè)定等。
• 實(shí)現(xiàn)圖紙外帶安全
提供對于外帶安全控制功能,在保障離開企業(yè)環(huán)境的情況下,根據(jù)授權(quán)使用圖檔。外帶審批作為權(quán)限可以根據(jù)不同用戶進(jìn)行配置,做到靈活與安全兼顧。
• 完善審計(jì),事后追蹤
系統(tǒng)提供基于圖檔的詳細(xì)的操作審計(jì)日志,可以記錄使用者對的所有行為。系統(tǒng)管理員將可以利用管理接口工具所提供的查詢紀(jì)錄功能來搜尋并檢查這些紀(jì)錄。
4.10.3 產(chǎn)品優(yōu)勢
1) 端點(diǎn)數(shù)在100users 以內(nèi),目前競爭最激烈的市場。非Trustview 核心市場。國內(nèi)絕大多數(shù)同行廠商進(jìn)入價(jià)格競爭階段。沒有形成品牌及技術(shù)優(yōu)勢競爭。Trustview 云安全及Safebay365 產(chǎn)品會進(jìn)入這個市場。
2) 用戶數(shù)在100users-1000users 之間。目前trustview 的核心市場,較之國內(nèi)廠商具有明顯的產(chǎn)品優(yōu)勢,較之國外廠商有方案優(yōu)勢。國外廠商以防被勱泄密為主,防主勱泄密是國內(nèi)需求的關(guān)鍵。
3) 客戶端數(shù)在1000users 以上,以大行業(yè)用戶、上市公司及跨國公司為主。目前市場上是很活躍,是未來2~3 年市場的重點(diǎn)。借劣Trustview 已有的高端客戶案例優(yōu)勢,是Trustview 積極布局的市場。
4.11上訊信息
4.11.1 企業(yè)簡介
上海上訊信息技術(shù)股份有限公司是中國信息安全領(lǐng)域領(lǐng)導(dǎo)企業(yè)之一,可提供信息安全咨詢及評估、數(shù)據(jù)安全產(chǎn)品、合規(guī)與審計(jì)產(chǎn)品、企業(yè)SaaS 服務(wù)解決方案、信息安全及優(yōu)化整體解決方案與安全運(yùn)維服務(wù)。公司以前瞻性的眼光,組織頂尖信息安全專家自主研發(fā)以及甄選出最符合市場發(fā)展方向且覆蓋各個層面的尖端安全產(chǎn)品以滿足中國市場的客戶需求。
4.11.2 產(chǎn)品功能
1) 自動透明加密
系統(tǒng)采用沙盒保護(hù)技術(shù)對核心文件進(jìn)行加密保護(hù),解決了因筆記本/硬盤等設(shè)備丟失或修理造成的數(shù)據(jù)泄漏問題。系統(tǒng)可以自動加密任意類型的文件,用戶無需關(guān)心何時加密以及密鑰的存儲,同時不改變用戶對文件的使用習(xí)慣,加密過程完全透明。
2) 內(nèi)容安全防護(hù)
系統(tǒng)禁止對文件內(nèi)容的復(fù)制拖拽、截屏、打印以及副本另存為等非法行為,杜絕了使用者主動泄密核心文件的行為。支持文件打印水印的設(shè)置,自動打印使用者姓名、文件名稱、打印時間等背景水印,不僅對非法操作產(chǎn)生震懾作用,同時方便事后責(zé)任的追溯。
3) 文件外發(fā)控制
系統(tǒng)支持對外發(fā)給合作伙伴文件的權(quán)限進(jìn)行管理,可以設(shè)置外發(fā)文件的瀏覽、、復(fù)制、編輯、打印、另存為等多種權(quán)限,同時限制外發(fā)文件的瀏覽時間,自動銷毀外超過瀏覽時間的外發(fā)文件。
防止合作伙伴、客戶等企業(yè)外部單位對核心文件的二次泄密。
4) 外部介質(zhì)管理
支持對U盤、移動硬盤等移動存儲介質(zhì)進(jìn)行注冊管理,可以授權(quán)已注冊U 盤可以被哪些部門以及人員所使用,未進(jìn)行授權(quán)部門/人員不能使用該設(shè)備,同時支持對藍(lán)牙、1394、串口、并口等設(shè)備的啟停管控,禁止隨意使用非法設(shè)備,不僅防止了因設(shè)備使用混亂而產(chǎn)生的數(shù)據(jù)泄露,而且也降低了木馬病毒事件的頻率。系統(tǒng)也支持將安全U 盤的制作,即使U 盤丟失,也無法獲取U 盤中的核心文件。
5) 終端身份認(rèn)證
支持使用雙因子認(rèn)證代替?zhèn)鹘y(tǒng)的用戶名和密碼認(rèn)證方式,除了知道密碼之外,還需要具備手持令牌,沒有手持令牌將無法登陸解密程序,同時拔出令牌后,計(jì)算機(jī)將進(jìn)入待機(jī)狀態(tài),任何非法用戶都無法登陸系統(tǒng),最終防止外部人員以及內(nèi)部無關(guān)人員對他人終端的非法登陸,進(jìn)而防止因登陸風(fēng)險(xiǎn)而造成的數(shù)據(jù)泄露事件發(fā)生。
6) 實(shí)時同步備份
為了保證所有文件不被丟失,系統(tǒng)采用實(shí)時的文件同步功能,同步功能可以實(shí)時地同步用戶修改的內(nèi)容,不是簡單的復(fù)制,而是同步內(nèi)容的差異部分,減少了網(wǎng)絡(luò)與系統(tǒng)的開銷,同時也解決了因員工離職而造成文件丟失的問題。
7) 文件全生命周期審計(jì)
文件全周期審計(jì)可以幫助用戶隨時隨地查看核心文件的使用以及違規(guī)情況,可以對文件的創(chuàng)建、存儲、編輯、復(fù)制、打印、重命名、刪除等所有使用狀態(tài)進(jìn)行記錄,同時可以記錄所有文件的使用者、使用時間等詳細(xì)信息,方便用戶對數(shù)據(jù)泄露事件發(fā)生后進(jìn)行查詢和追溯。
4.11.3 產(chǎn)品優(yōu)勢
采用文件虛擬化方式提供對文件自身的保護(hù),利用系統(tǒng)底層虛擬出保護(hù)層,對核心文件進(jìn)行強(qiáng)制自動防護(hù),禁止拷貝/截屏/打印等非法操作,同時記錄文件的各項(xiàng)操作,根據(jù)辦公環(huán)境自動劃分可信區(qū)域,區(qū)域內(nèi)的數(shù)據(jù)都是透明流轉(zhuǎn),區(qū)域外的數(shù)據(jù)都進(jìn)行加密傳輸。
1) 優(yōu)秀的性能參數(shù):采用文件虛擬化技術(shù)對為用戶提供文件保護(hù),不對文件自身進(jìn)行強(qiáng)制加密,本地操作文件完全明文,沒有任何性能損耗;
2) 無風(fēng)險(xiǎn)的保護(hù)技術(shù):底層技術(shù)不對文件自身進(jìn)行加密,無文件損壞風(fēng)險(xiǎn),沒有磁盤加密的操作系統(tǒng)損壞風(fēng)險(xiǎn),在保證安全的前提下,也同時杜絕了新技術(shù)對正常業(yè)務(wù)的影響。
3) 全面豐富的監(jiān)控指標(biāo):可以對文件的相關(guān)核心操作進(jìn)行監(jiān)控,同時進(jìn)行記錄,可以直觀全面的展示內(nèi)部的文件流轉(zhuǎn)過程。
5. 數(shù)據(jù)防泄露產(chǎn)品選型要點(diǎn)
5.1 資質(zhì)評估
資質(zhì)是指由國家認(rèn)可的權(quán)威第三方認(rèn)證機(jī)構(gòu),證明一個組織的產(chǎn)品、服務(wù)、管理體系符合相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范或其強(qiáng)制性要求的證明。目前數(shù)據(jù)防泄漏產(chǎn)品資質(zhì)主要包括企業(yè)資質(zhì)、產(chǎn)品資質(zhì)、知識產(chǎn)權(quán)三個方面。數(shù)據(jù)防泄漏產(chǎn)品是否具有資質(zhì),以及資質(zhì)的權(quán)威性都是產(chǎn)品競爭力的體現(xiàn)。因此,關(guān)注資質(zhì)是企業(yè)進(jìn)行產(chǎn)品選型的第一步。
5.1.1 企業(yè)資質(zhì)
信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價(jià)。
對于企業(yè)資質(zhì)的考察可關(guān)注該企業(yè)是否通過ISO9001 質(zhì)量保證體系認(rèn)證,ISO9001 是ISO9000 族標(biāo)準(zhǔn)所包括的一組質(zhì)量管理體系核心標(biāo)準(zhǔn)之一,ISO9001 是迄今為止世界上最成熟的質(zhì)量框架,目前全球有161 個國家/地區(qū)的超過75 萬家組織正在使用這一框架。ISO9001 用于證實(shí)組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力,目的在于增進(jìn)顧客滿意。凡是通過認(rèn)證的企業(yè),在各項(xiàng)管理系統(tǒng)整合上已達(dá)到了國際標(biāo)準(zhǔn),表明企業(yè)能持續(xù)穩(wěn)定地向顧客提供預(yù)期和滿意的合格產(chǎn)品。站在消費(fèi)者的角度,公司以顧客為中心,能滿足顧客需求,達(dá)到顧客滿意,不誘導(dǎo)消費(fèi)者。在選型過程中,關(guān)于企業(yè)資質(zhì)的查詢需由供應(yīng)商提供相關(guān)證書信息,并到指定認(rèn)證機(jī)構(gòu)查詢并確認(rèn)信息。
5.1.2 產(chǎn)品資質(zhì)
數(shù)據(jù)防泄漏產(chǎn)品在進(jìn)入市場銷售之前,必須申請由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專業(yè)產(chǎn)品銷售許可證》。由于該資質(zhì)是市場準(zhǔn)入的強(qiáng)制標(biāo)準(zhǔn),除必須具備該資質(zhì)以外,對于數(shù)據(jù)防泄漏產(chǎn)品的選型還需重點(diǎn)關(guān)注以下資質(zhì):
1) 具有信息產(chǎn)業(yè)部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書》(一級或二級),并有網(wǎng)絡(luò)安全集成的成功范例。
2) 具備國家保密局《涉密信息系統(tǒng)產(chǎn)品檢測證書》,通過BMB15-2004 保密檢測標(biāo)準(zhǔn)。
3) 具備中國信息安全認(rèn)證中心的《ISCCC 中國國家信息安全產(chǎn)品認(rèn)證證書》,通過GB/T20945-2007 檢測標(biāo)準(zhǔn)在數(shù)據(jù)防泄露產(chǎn)品選型過程中,需優(yōu)先關(guān)注企業(yè)資質(zhì)、產(chǎn)品認(rèn)證以及行業(yè)標(biāo)準(zhǔn),產(chǎn)品認(rèn)證越全面,通過的行業(yè)標(biāo)準(zhǔn)越多,表明產(chǎn)品的可靠性及技術(shù)性能越高。因此,對于產(chǎn)品資質(zhì)的評估,使用者在購買之前務(wù)必了解全面,才能綜合評估。
5.1.3 知識產(chǎn)權(quán)
知識產(chǎn)權(quán)是一家企業(yè)的核心資產(chǎn),代表企業(yè)的核心競爭力。對于數(shù)據(jù)防泄露產(chǎn)品來說,知識產(chǎn)權(quán)主要包括軟件著作權(quán)和發(fā)明專利兩方面。軟件著作權(quán)目前主流廠商基本都是具有的,專利部分分為三大類:
發(fā)明專利、實(shí)用新型專利和外觀設(shè)計(jì)專利,而其中發(fā)明專利在數(shù)據(jù)防泄露中占據(jù)核心地位。特別要注意的是反映產(chǎn)品技術(shù)的發(fā)明專利,因?yàn)榘l(fā)明專利反映了某一產(chǎn)品的核心創(chuàng)新性,而且是該產(chǎn)品獨(dú)占的,在一定期限內(nèi)享有的獨(dú)占實(shí)施權(quán)。在供應(yīng)商的數(shù)據(jù)防泄露白皮書中都會有對自身創(chuàng)新性技術(shù)的描述,企業(yè)可根據(jù)需求作重點(diǎn)分析和評估。
5.2 需求評估
需求評估的全面性和準(zhǔn)確性關(guān)乎選型的成敗。因此,需求評估是產(chǎn)品選型最為關(guān)鍵的一步。做好需求評估,需要綜合業(yè)務(wù)特點(diǎn)以及企業(yè)管理者對于員工產(chǎn)品泄露防護(hù)需求。
表2 企業(yè)需求評估
5.3 功能評估
企業(yè)在決定購買數(shù)據(jù)防泄漏管理產(chǎn)品時,可先向供應(yīng)商提交試用申請,一般而言,供應(yīng)商在確定企業(yè)有購買需求后,會提供幾周到幾個月不等的產(chǎn)品試用周期。這期間,供應(yīng)商會安排技術(shù)人員上門部署和調(diào)試系統(tǒng),并組織對企業(yè)人員進(jìn)行培訓(xùn)。
產(chǎn)品試用期間應(yīng)該注意以下幾個問題:
1) 結(jié)合企業(yè)的業(yè)務(wù)流程對產(chǎn)品功能進(jìn)行測試。
2) 根據(jù)企業(yè)的需求來制定適合企業(yè)自身的數(shù)據(jù)防護(hù)策略。
3) 對于云計(jì)算及虛擬化等新興技術(shù)環(huán)境下的產(chǎn)品功能進(jìn)行測試。
4) 移動辦公場景數(shù)據(jù)防泄露功能測試。
一般而言,企業(yè)至少要試用兩家以上的產(chǎn)品,通過對比試用效果及測試數(shù)據(jù)來綜合評估哪一家的產(chǎn)品更適合企業(yè)的需求。
表3 產(chǎn)品選型要點(diǎn)
5.4 成本評估
除試用及性能評估之外,在購買產(chǎn)品前企業(yè)還需與供應(yīng)商進(jìn)行充分溝通,包括:
1) 供應(yīng)商根據(jù)企業(yè)需求給出綜合報(bào)價(jià),詳細(xì)列明每一項(xiàng)費(fèi)用,包括設(shè)備采購、部署實(shí)施、后期維護(hù)及產(chǎn)品升級等費(fèi)用。
2) 報(bào)價(jià)需全面涵蓋可能涉及的所有費(fèi)用,若有費(fèi)用無法在前期報(bào)價(jià)給出,需給出價(jià)格計(jì)算方式。
3) 若同時有多家供應(yīng)商產(chǎn)品均滿足企業(yè)要求,企業(yè)可根據(jù)供應(yīng)商給出的報(bào)價(jià)進(jìn)行綜合成本評估,評估因素包括廠商口碑、市場影響力以及售后服務(wù)評價(jià)等。
5.5 合同與技術(shù)協(xié)議要點(diǎn)
在綜合進(jìn)行資質(zhì)評估、需求評估、性能評估以及成本評估后,企業(yè)才可最后確定選型產(chǎn)品。
在部署實(shí)施前,企業(yè)需與供應(yīng)商進(jìn)行服務(wù)合同的敲定。
合同內(nèi)容至少需包括以下幾點(diǎn):
1) 合同金額及詳細(xì)的產(chǎn)品與服務(wù)報(bào)價(jià)
2) 實(shí)施周期
3) 驗(yàn)收標(biāo)準(zhǔn)和方法
4) 雙方責(zé)任
5) 違約責(zé)任
6) 付款方式
6. e-works 研究院簡介
e-works 研究院(e-works Research)是e-works(數(shù)字化企業(yè)網(wǎng))研究、分析性質(zhì)的組織機(jī)構(gòu)。
e-works 研究院的研究領(lǐng)域方向立足于兩化融合所涵蓋的管理信息化、產(chǎn)品創(chuàng)新數(shù)字化、IT 技術(shù)與應(yīng)用、數(shù)控技術(shù)等領(lǐng)域。e-works 研究院是網(wǎng)聚了e-works 專家、精英等智力資源強(qiáng)力打造的研究、分析品牌。
e-works Research 致力于成為中國制造業(yè)與信息化進(jìn)程中的智庫。作為全國首個制造業(yè)與信息化研究實(shí)驗(yàn)室,e-works Research 一直秉承客觀、中立的原則,對制造業(yè)與信息化的各領(lǐng)域進(jìn)行深入觀察與研究。通過發(fā)布行業(yè)調(diào)查、白皮書、選型手冊,發(fā)表文章和演講,舉辦高層論壇、研討會等形式,與各級政府、高層企業(yè)管理者、信息化廠商伙伴們分享e-works Research 的研究成果、預(yù)見行業(yè)發(fā)展趨勢、發(fā)現(xiàn)和評估戰(zhàn)略機(jī)遇、確保預(yù)期回報(bào)、制定發(fā)展計(jì)劃和確定業(yè)績評估標(biāo)準(zhǔn)等,以便在隨需應(yīng)變時代創(chuàng)造最大價(jià)值。
通過多年專注的積累,目前,e-works 研究院擁有了一套科學(xué)、嚴(yán)謹(jǐn)?shù)恼{(diào)研、整理和分析方法,并通過與各級政府、企業(yè)、信息化廠商、其他研究機(jī)構(gòu)廣泛開展合作,已成功取得了多項(xiàng)研究成果。
作為專業(yè)的市場研究機(jī)構(gòu),e-works Research 整合業(yè)內(nèi)專家資源,將咨詢服務(wù)的所診斷出來的個性問題,放到產(chǎn)業(yè)層面上,通過溝通、調(diào)查、研究等最終形成相應(yīng)的產(chǎn)業(yè)分析報(bào)告,對中國制造業(yè)信息化相關(guān)技術(shù)、市場、應(yīng)用與產(chǎn)業(yè)發(fā)展起到了積極的推動作用。
e-works Research 累計(jì)發(fā)布各類產(chǎn)業(yè)研究報(bào)告20 余份:
• 制造執(zhí)行系統(tǒng)(MES)選型與實(shí)施指南(2013 年)
• 中國制造業(yè)PLM 產(chǎn)業(yè)發(fā)展報(bào)告(從2004 年開始連續(xù)九年發(fā)布該報(bào)告。其中,從2009 年開始,e-works 與國際知名市場研究機(jī)構(gòu)CIMDATA 合作,聯(lián)合在全球發(fā)布中英文版的中國制造業(yè)PLM 研究報(bào)告);
• 中國制造業(yè)信息化投資趨勢研究報(bào)告(2009-2014 年四次);
• 中國制造業(yè)SCM 應(yīng)用研究報(bào)告(2009 年、2011 年兩次);
• 中國制造業(yè)ERP 產(chǎn)業(yè)發(fā)展報(bào)告(2005 年、2007 年、2008 年三次);
• 中國民營企業(yè)ERP 應(yīng)用研究報(bào)告(2006 年);
• 中國制造業(yè)供應(yīng)鏈管理研究報(bào)告(2011 年);
• 中國制造業(yè)人力資源發(fā)展研究報(bào)告(2010 年);
• 中國制造業(yè)軟件維護(hù)市場研究報(bào)告(2009 年);
• 中國制造業(yè)虛擬現(xiàn)實(shí)及仿真應(yīng)用研究報(bào)告(2009,2010 年)
• 中國CAE 發(fā)展研究報(bào)告(2008 年)等權(quán)威報(bào)告。
圖 3 e-works Research各類產(chǎn)業(yè)研究報(bào)告
先后有麥肯錫、IDC、IBM、羅克韋爾、達(dá)索系統(tǒng)、PTC、西門子PLM、安世亞太、聯(lián)想、金蝶、用友、CAXA、Autodesk、源訊等近百家企業(yè)購買了e-works 的市場研究報(bào)告。此外,由于信息技術(shù)是一個前瞻性的新興技術(shù),且技術(shù)含量比較高,推廣難度巨大,更為關(guān)鍵的是如何站在客戶需求的角度來對相應(yīng)的技術(shù)進(jìn)行闡述,是廣大供應(yīng)商面臨的挑戰(zhàn),為此e-works Research 結(jié)合自身的專業(yè)性,從需求出發(fā),先后幫助:
• IBM 撰寫了IBM 智慧工廠白皮書
• Kronos 撰寫了中國勞動力管理白皮書
• 用友撰寫了用友U9 V2.0 ERP 系統(tǒng)評估報(bào)告
• 金蝶公司撰寫了K/3 WISE 白皮書
• 用友PDM 應(yīng)用白皮書
• 安世亞太PERA 精益研發(fā)平臺評估報(bào)告
• SAGE 集團(tuán)SAGE CRM 白皮書
• 西門子PLM 數(shù)字化制造白皮書
• 惠普公司中小企業(yè)解決方案
• 中國制造業(yè)設(shè)計(jì)仿真一體化應(yīng)用研究報(bào)告等。
圖 4 e-works Research 研究系列評估報(bào)告
e-works Research 網(wǎng)聚優(yōu)質(zhì)資源,客觀、中立、敏銳地洞察制造業(yè)與信息化的發(fā)展!
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:數(shù)據(jù)防泄漏產(chǎn)品選型手冊
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515817.html