目录
产品简介
中安威士自主研发的数据防泄漏系统(DLP), 以人工智能和自然语言处理技术为核心,创新融合三代数据安全技术,可全面监控并阻止机密数据、知识产权和客户信息的泄露,并帮助用户符合相关法律法规和行业标准的要求。
功能模块
中安威士数据防泄漏系统(DLP)按照模块化设计,用户可以根据实际需求灵活选用相关模块,帮助客户实现最大投资回报比。
整个系统共分为如下五大功能模块:
1.文档安全管理系统
2.数据存储泄漏防护
3.网络数据泄露防护
4.邮件数据泄露防护
5.终端数据防泄漏
文档安全管理系统
进入电子文档办公的时代,很多机构的重要无形资产都是以文档的形式存在于电脑之中。这些文档如果没有得到合理保护,就可能会被非授权人员拷贝和查看,这将导致严重后果。
中安威士文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品,系统包括透明加密、权限管理、外发管理、应用安全网关、安全中间件、智能移动终端、U盘客户端七个核心组件。系统通过对电子文档加密进行安全保护,防止内部员工泄密和外部人员非法窃取重要数据。保护范围涵盖终端电脑(Windows、Mac、Linux系统平台)、智能终端(Android、IOS)及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等),根据用户需求可以对电子文档进行自动加密、手动加密、智能加密和文档细粒度权限控制,对文档的全生命周期进行安全管控,做到事前防御、事中控制、事后审计,帮助企业搭建一套完善的文档防泄密体系。
产品功能
透明加密。透明加密是一种自动加密技术(强制性),所谓透明是指文档加密、解密过程对使用者来说是无感知的。主要用于解决用户核心数据文档在生产过程中,由于明文存储面临的众多泄密风险,如离职人员拷贝、移动存储设备丢失、网络传输拦截等情况。
防勒索。采用应用实体可信计算技术,通过对应用软件进程进行合法性检测与识别,实现合法应用软件可以访问指定文件类型,非法应用软件无法访问,从而防止勒索软件、病毒等恶意应用软件对用户文件的恶意破坏。
权限管理。通过对文档加密授权及角色对应,控制文档在内部受控使用,避免越权使用带来的泄密风险。数据作者可以根据需要设定数据的传播范围(用户、部门、项目组等)和查看权限(只读、打印、修改、阅读次数、阅读时长),也可以根据企业需要建立权限模版,对文档批量授权。
流转工具。流转工具是CDG客户端特有的功能,用户可以使用流转工具批量制作加解密文件,以及更改密文的密钥,支持按文件加解密;支持按目录批量加解密;支持穿透压缩文件进行加解密。同时,为了防止制作时文件意外破坏,流转工具特提供了备份功能,采用异步机制,本地先进行加解密,将文件备份到本地目录(注意备份路径请勿备份在C盘,需备份在当前当前操作文件的根目录。),然后再异步处理上传到服务器进行审计。流转工具还集成了明文打印入口,当打印控制策略禁止密文打印时,用户可以方便地通过明文打印功能打印明文。
外发管理。通过对文档加密、授权及封装,控制文档在外部传播和使用时造成的泄密风险。外发文档支持四种认证方式,分别为 【直接阅览】、【机器绑定】、【密码验证】、【机器绑定+密码验证】:直接阅览指的是用户打开外发文档时,无需身份认证,直接打开使用外发文档;机器绑定指的是外发文档绑定指定用户电脑终端,只允许在指定电脑终端上打开使用外发文档;密码验证指的是用户打开文档时需首先输入密码并通过密码验证后才能正常打开文档。用户可以根据实际需要精细化设定外发文档使用权限,包括:只读、打印、修改、阅读次数、阅读时长、阅读水印、打印水印等。制作生成外发文档时,系统会将文档封装成EOD文件,只可通过专用EOD阅读器才可打开文档,更好地保障文档安全。并且,系统详情地记录了外发文档的操作日志,实现文档外发事后安全审计。
流程管理。为更安全、高效地管理文档日常使用,系统内置了【文档解密】、【文档还原】、【文档外发】、【文件流转】、【权限申请】、【离线申请】、【邮件解密】等流程。用户可以使用客户端工具或者直接右键点击文档发起申请流程,通过进入我的工作台链接到服务器页面查看申请流程情况,【我的申请】中可以查看已申请的流程表单;【我的待办】中可以查看需要我审批的流程表单信息;【我的已办】中可以查看已经审批过的流程表单。另外,通过邮件控制策略,可以设置邮件白名单实现邮件发送附件自动解密;支持邮件审批设置。
应用安全网关。通过软硬一体化结合的方式为应用系统提供安全保障,应用安全网关可以为应用体统提供安全准入和数据加解密双重防护,安全准入通过终端身份识别、应用系统仿冒、传输隧道加密、终端访问日志等多方面进行应用数据安全访问控制,数据加密通过对应用系统核心数据进行上传解密、下载加密,解决企业核心数据离线安全使用。
安全中间件。安全中间件提供了统一、标准的API接口,可以为第三方应用系统提供加解密能力。应用系统可以调用中间件解密接口解密文件,例如将密文上传至应用系统时自动进行解密处理,方便应用系统合法用户正常使用;应用系统也可以调用中间件的加密接口加密文件,例如用户从应用系统下载文件时自动进行加密处理,防止文件发生泄密,切实保障文件安全;应用系统还可以调用中间件的流程审批接口,获取待审批等表单信息,通过与应用系统之间的联合开发将表单审批结果回传,实现与应用系统的流程审批无缝衔接。中间件的接口是基于通用标准的rest接口,不受协议和网络环境限制,只要应用系统具备二次开发能力,通过调用接口即可快速、高效地完成与第三方应用系统无缝对接。
智能移动终端。为智能移动设备提供中安威士专属APP安全服务,保证通过移动设备下载到客户端的加密数据可以正常查看,脱离受控范围无法使用。此模块一般与透明加密、应用安全网关或安全中间件等配合使用。
全文检索。全文检索系统,通过对流程审批(解密流程、外发流程)的文档进行内容解析,建立文档数据索引,日志管理员通过输入文档关键字内容,即可快速查询出包含相关内容的流程及文档,实现文档附件与流程的动态关联与查询。
恶意软件。将提取的恶意软件特征值导入服务器中,再下发到终端,用于检测终端用户是否运行恶意软件(如:破解软件),检测到非法运行后则以邮件方式向管理员进行告警。恶意软件特征支持更新。
上传下载加解密服务。基于浏览器访问业务系统,实现本地密文上传业务系统解密、从业务系统下载数据加密。支持http/https协议和域名、IP解析。通过CDG客户端应用层实现,解决NDIS网络控制策略因为进程PID管控导致浏览器新开页面无法访问的问题,保护业务系统数据安全。
数据展板。为管理用户提供统一的数据安全态势感知平台,支持对资产数量、泄密风险、异常行为等进行统计分析,对风险预警事件实时披露,以柱状图、饼图和趋势图等多种形式展现。包括文件传播大数据、累计保护终端和保护天数、异常预警统计、预警仪表盘、文件外发周排名、特权解密行为统计、违规行为披露、流程审批状态分析等展示模块。
产品优势
安全性好。有效防护进程查杀,文件信息及注册表删除,确保客户端文档运行;采用进程签名、内存防护等多种数据安全防护手段,防止数据非法破解,安全模式仍可正常运行;
效率高。基于操作系统内核级加密技术,文档加密过程不产生临时明文文件,不增加I/O负担,性能损耗低,支持超大型数据应用;
跨平台支持。支持Windows、Linux、Android、IOS多系统平台,任意平台加密文档可透明使用;
部署方式。服务器支持云部署(如:阿里云);服务器支持分级部署。
数据存储泄漏防护泄漏(DLP)
数据存储泄露防护系统(简称ScanDLP),是一款基于网络共享协议分析与控制的安全防护系统,具有网络共享数据的扫描采集、敏感数据识别审计、数据资产扫描发现和分析功能,不仅能识别存储数据的合法性,还能帮助客户梳理文件服务器、终端设备、数据库服务器上的数据资产分布,有效满足客户对数据存储位置、存储内容、数据类型、数据大小、敏感数据发现的需求。
产品功能
扫描对象支持。存储扫描DLP支持对数据存储对象和载体的全方位扫描服务,具体如下:终端:Windows 7、Windows 10;文件服务器:Windows系列、Linux系列、Unix系列;数据库服务器:MySQL、ORACLE、SQL Server、DB2、Informix、Postgre SQL、Sybase、Hbase;
界面可视化部署配置。存储扫描DLP产品采用WEB界面可视化配置部署,系统上架上电后,系统自动启动。客户只需要在WEB界面进行IP地址配置,用户添加授权即可正常使用系统;
用户分级管理。存储扫描DLP支持用户分部门/组管理,每个部门/组可以建立独立的策略组,策略组仅本部门/组可见。策略数据仅本部门/组可查看;
系统运行态势一览展示。为了让客户第一时间掌握系统当前运行的态势,产品提供了系统运行态势一览展板。在这里您可以看到当前设备CPU,内存,磁盘等硬件资源的使用情况。系统对当前数据总量、策略总量、策略部署量等整个系统运行情况一目了然;
组合策略设置,敏感识别更准确。存储扫描DLP产品支持多策略组合,组合策略中的各个策略之间采用“与”的关系,帮助客户进一步缩小敏感数据范围,达到更精准的识别效果;
策略数据查询浏览,多角度查看数据。产品对策略数据提供了一键式数据浏览和精细化数据查询,即方便了客户对数据粗看的省时省力也提供了客户详细查看数据的刚性需要;
全流量数据解析。存储扫描DLP产品不仅支持策略审计的中标数据分析获取,同时支持了全量数据的数据分析获取。这样的产品特色功能有效的解决了系统上线初期无有效策略中标、策略设置覆盖性差、策略制定不合理等问题,保证了在策略不合适的情况下也能对数据进行审计,保证数据获取的不疏漏、数据资产扫描全面性;
支持海量数据分类/聚类。通过机器学习研判,对海量数据进行数据分类和聚类,机器学习样本支持离线学习后导入;
统计全息统计。产品对策略数据支持多维度统计:策略中标量总量统计、策略分时中标统计、策略获取的附件类型统计、策略获取的附件大小分布统计、附件中关键字中标统计等;产品对全量数据支持分协议获取数统计,数据分时获取量统计,附件获取量统计,文件大小分布统计;
一键报表。存储扫描DLP产品支持一键报表功能,文件扫描报表包括扫描时间段、策略、风险等级、文件类型、文件大小、文件分类等,可生成全息报表,让工作报告变的简单容易。数据库扫描报表包括扫描时间、数据库IP地址、数据库名称、数据库类型、数据库表名、数据库表列名、策略信息、风险等级;
大数据存储分析。产品采用大数据存储架构实现对数据存储读写、索引管理,确保数据的快速访问和数据挖掘分析。产品使用内存数据库能实现快速的数据预处理运算,为客户提供最优化的数据访问服务;
数据共享接口。产品支持syslog对外共享数据接口;产品支持snmp接口;产品支持restful数据检测服务接口。
产品优势
全面的网络信息获取。产品提供了全流量网络协议数据分析能力,有效的解决了在策略下发不及时、不准确情况下的网络数据审计数据丢失问题;产品支持了IPv4和IPv6双栈协议,保证互联网应用协议的全面支持;产品支持了日常用到的大部分数据访问和传输协议,并且支持对互联网应用协议的扩容定制化,保证协议数据获取的全面性和及时性;
准确的内容分析、识别能力。产品采用多种数据处理和运算技术,保证了数据获取、分析、识别、统计的准确性,为客户提供最佳的数据识别服务:采用多通道处理,流量智能平衡技术,实时处理网络信息,实现准确的协议信息还原;多线程、多模式并发策略识别,准确识别出网络流量中的敏感信息;多维度的信息统计方案,将信息的多个角度呈现在客户面前,实现总体信息准确掌控;采用大数据的预处理运算机制,从多个角度对信息进行分析、比对、匹配,实现了一张报表看清所有信息的能力;
快速的数据处理分析能力。 为了保证服务响应的时效性,系统在多个角度进行成品性能提升:协议分析:采用多通道处理,流量智能平衡技术,快速实时处理数据库访问流量;策略匹配:协议分析与策略匹配在内存中进行,采用多模匹配算法,并行匹配输出;数据入库:多线程、多链接并发入库,大数据处理能力,实现数据秒级数万条写入;检索分析:采用大数据架构及分片快速索引技术,在亿级数据量下可实现秒级响应;
支持多种部署形式。产品在单机部署方面支持旁路部署和串路部署两种方式:单机旁路部署:型号丰富,满足旁路模式下不同流量和网络接口数据处理性能需求;单机串路部署:满足HTTPS加密协议应用数据识别分析的客户需要,同时支持了在不同流量和网络接口下的型号细分选择;
产品多形态。一体机模式: 软件和硬件一体化形态,业务平台和敏感识别引擎共用一台设备的硬件资源;分体机模式:业务平台和敏感识别引擎分布部署在不同的硬件设备;分布式模式:一个业务平台,多个敏感识别引擎。一个业务平台管理多个敏感识别引擎,策略统一管理,可分布下发到不同的识别引擎;
部署架构。支持物理化部署;支持虚拟化部署;支持分布式部署;支持高可用HA;支持数据库自动备份;支持ICAP代理。
网络数据防泄漏系统
网络数据防泄漏系统(简称NetDLP),是一款基于网络协议分析与控制技术的安全防护系统。NETDLP集被动审计和主动防御于一体,实现网络数据传输过程中各应用协议分析、敏感数据识别审计、阻断策略响应访问控制。网络DLP产品不仅能识别网络行为的合法性,还能深入到7层网络协议,识别网络数据内容的合法性,能有效满足客户对敏感数据防丢失泄漏的痛点需求。
NetDLP可采用旁路被动的方式或串路的方式检查网络通信,并针对所有网络协议及内容类型,在信息离开网络之前检测其是否包括机密信息,从而让组织界定和量化数据丢失的风险。它位于网络出口点,可分析网络数据包副本并检查数据是否违反策略。
产品功能
日常网络监测。网络DLP产品部署完成后,会对经过系统的网络流量进行7层协议分析,分析粒度达到内容级,在分析过程中实现对网络协议数据的内容敏感性匹配,满足内容级审计需求。审计数据长期保存,支持对数据的浏览,查看,统计分析,趋势分析,报表生成等;
违规阻断。网络DLP可实现敏感信息阻断功能,在网络协议中一旦发现客户认为严重的数据泄漏事件,系统自动会按照策略处置设置进行敏感数据的传输阻断操作,达到防患于未然;
追根溯源。产品将网络信息进行全量分析和存储,即使在策略配置不及时的情况下也会把历史网络传输数据保存下来,客户可以随时对以往的数据进行分析查看,找出遗漏的数据传输泄漏的事件,达到疏而不漏的效果。
产品优势
全面的网络信息获取。产品提供了全流量网络协议数据分析能力,有效的解决了在策略下发不及时、不准确情况下的网络数据审计数据丢失问题;产品支持了IPv4和IPv6双栈协议,保证互联网应用协议的全面支持;产品支持了日常用到的大部分数据访问和传输协议,并且支持对互联网应用协议的扩容定制化,保证协议数据获取的全面性和及时性;
准确的内容分析、识别能力。产品采用多种数据处理和运算技术,保证了数据获取、分析、识别、统计的准确性,为客户提供最佳的数据识别服务:采用多通道处理,流量智能平衡技术,实时处理网络信息,实现准确的协议信息还原;多线程、多模式并发策略识别,准确识别出网络流量中的敏感信息;多维度的信息统计方案,将信息的多个角度呈现在客户面前,实现总体信息准确掌控;采用大数据的预处理运算机制,从多个角度对信息进行分析、比对、匹配,实现了一张报表看清所有信息的能力;
快速的数据处理分析能力。为了保证服务响应的时效性,系统在多个角度进行成品性能提升:协议分析:采用多通道处理,流量智能平衡技术,快速实时处理数据库访问流量;策略匹配:协议分析与策略匹配在内存中进行,采用多模匹配算法,并行匹配输出;数据入库:多线程、多链接并发入库,大数据处理能力,实现数据秒级数万条写入;检索分析:采用大数据架构及分片快速索引技术,在亿级数据量下可实现秒级响应;
支持多种部署形式。产品在单机部署方面支持旁路部署和串路部署两种方式:单机旁路部署:型号丰富,满足旁路模式下不同流量和网络接口数据处理性能需求;单机串路部署:满足HTTPS加密协议应用数据识别分析的客户需要,同时支持了在不同流量和网络接口下的型号细分选择;
产品多形态。一体机模式: 软件和硬件一体化形态,业务平台和敏感识别引擎共用一台设备的硬件资源;分体机模式:业务平台和敏感识别引擎分布部署在不同的硬件设备;分布式模式:一个业务平台,多个敏感识别引擎。一个业务平台管
多个敏感识别引擎,策略统一管理,可分布下发到不同的识别引擎;
部署架构。支持物理化部署;支持虚拟化部署;支持分布式部署;支持高可用HA;支持数据库自动备份;支持ICAP代理。
邮件数据泄露防护
中安威士邮件DLP系统,是一款基于邮件数据安全防护和敏感识别、数据防泄漏的安全防护系统。邮件DLP集被动审计和主动防御于一体,实现邮件数据传输过程中邮件协议数据分析、敏感数据识别审计、邮件数据脱敏处理、邮件审批管理、阻断策略响应访问控制。
邮件DLP产品不仅能识别邮件行为的合法性,还能深入到7层网络协议,识别邮件数据内容的合法性,能有效满足客户对敏感数据防丢失泄漏的痛点需求。
产品功能
邮件DLP产品具有邮件数据日常敏感监测、事中违规审计、审批、阻断控制,事后追根溯源等功能:
日常邮件监测审计。邮件DLP产品部署完成后,会对经过系统的所有邮件数据进行7层协议分析,分析粒度达到内容级。在分析过程中实现对邮件协议数据的内容敏感性匹配,满足内容级审计需求。审计数据长期保存,支持对数据的浏览,查看,统计分析,趋势分析,报表生成等;
自定义邮件头。产品支持自定义邮件头策略,客户可根据实际需要根据数据内容指定添加邮件头信息,方便与邮件网关进行联动工作;
违规脱敏、审批、阻断。邮件DLP可实现敏感信息识别及脱敏处理,包括:关键词替换,增加/减少收件人,附件剥离,内容剥离等。此外邮件DLP还可以实现敏感邮件审批,以及邮件阻断功能。在邮件数据中一旦发现客户认为严重的数据泄漏事件,系统自动会按照策略处置设置进行敏感数据的传输阻断操作,达到防患于未然;
追根溯源。产品将所有邮件信息进行全量分析和存储,即使在策略配置不及时的情况下也会把历史邮件数据保存下来,客户可以随时对以往的数据进行分析查看,找出遗漏的数据传输泄漏的事件,达到事后追溯,违规行为可追溯的效果。
产品优势
全面的邮件信息获取。产品提供了全流量邮件数据分析能力,有效的解决了在策略下发不及时、不准确情况下的邮件审计数据丢失问题;产品支持了IPv4和IPv6双栈协议,保证基于不同网络形式的邮件信息均可实现防护管理;产品支持了日常用到的所有邮件服务器数据的敏感数据识别管理,对通用型邮件服务实现全覆盖;
大数据存储模式。产品采用Elastic-search大数据存储,实现数据的快速写入/读取,数据预处理;采用Re-dis内存数据库,实现数据的快速运算响应,数据缓存,数据统计;MySQL关系型数据库实现管理型数据的长期保存,数据备份/恢复简单易用;产品可实现分布式存储架构,提高产品的扩展性和并发运算能力;
部署形式。产品采用物理旁路,逻辑串路模式,在部署时将用户邮件服务器和邮件DLP连接在同一个网络可达的环境中,并且将邮件服务器的下一跳指向邮件DLP即可;
虚拟化部署。产品支持虚拟化部署,实现云端管控和审计。
终端数据防泄漏
中安威士新一代终端数据泄露防护系统是一款融合机器学习、关联分析、密码技术、访问控制、数据标识等多种技术的综合性数据安全防护产品,该产品以数据为中心,分类分级为基础,为用户终端数据提供事前主动防御、事中实时监测、事后追踪溯源、全程态势感知机制,基于数据的全生命周期提供全方位、立体化防护。
产品功能
文档资产分析。资产分析可通过部署安全探针,基于监督式学习或非监督式学习的方式,实现对终端上的文档资产进行快速分类、统计并生成文档数据资产地图,帮助用户即时掌握企业核心数据资产数量及分布情况并提供可视化数据分析展示平台,数据资产情况一目了然;
文档安全防护。文档安全可实现在不影响用户工作效率的同时保障用户数据资产安全;能够对用户数据资产进行智能分级保护,将数据防护焦点聚集在重要数据资产上,对不同重要程度数据资产施行不同强度的防护手段,帮助用户精准防护企业数据资产;同时支持用户对外发数据进行权限控制,保护脱离企业内网环境的数据文档安全可控,实现安全与效率共存,轻松保障数据资产安全;
敏感信息泄露防护。敏感信息泄露防护能够智能识别数据资产中所含有的敏感信息,对通过IM工具、网络、邮件、网盘等可能造成泄密的外发或上传行为进行实时防护,防护措施包括审计、阻断、告警等,有效阻止数据资产外泄,对企业数据资产进行实时防护,帮助用户解决无法控制数据资产外泄的困扰;
敏感数据发现。数据发现可以对企业数据资产进行智能识别检测,可对PC终端、文件服务器、数据库进行智能检测,检测规则支持关键字、正则表达式、文档指纹、向量机等多种数据识别技术,帮助用户一键检查敏感数据违规存储,管理违规存储行为;
移动存储介质管理。移动存储介质管理可通过介质认证的方式对介质进行管理控制,防止因非法介质接入造成数据外泄的风险,同时也可对认证介质做加密保护,帮助用户避免因主动或被动行为造成的泄密风险;
全磁盘加密。磁盘加密提供了对PC端磁盘存储区加密保护的功能,从源头保障终端数据存储的安全性,帮助用户解决因终端丢失、失窃、维修等意外情况造成数据泄露的风险;
端口管控。端口管控可对PC端口进行实时管控,严防企业核心数据外泄,端口管控范围包含蓝牙、光驱、串口/并口、USB接口、WIFI接口、调制解调器、红外设备等,帮助用户实时防护终端数据安全,降低数据安全风险;
数据安全态势感知。数据安全态势感知可提供用户对企业数据安全态势进行实时感知,通过大数据智能分析海量数据日志,聚焦安全事件并可视化数据呈现,帮助用户掌握企业安全态势,为安全运营提供可靠的信息数据支撑。
产品优势
采用机器学习技术,智能化安全防护。产品采用先进机器学习技术,可对终端上产生、存储的敏感信息数据进行智能识别及保护,同时可实时监测敏感信息流向,对违规行为、泄密行为进行实时防护,让用户数据安全防护更智能;
基于数据全生命周期进行防护进行全方位防护。数据安全防护覆盖数据的产生、存储、传输、使用等全生命周期过程,并可对数据进行事前主动防御、事中实时监测、事后追踪溯源、全程态势感知;
基于数据分类分级理念,安全兼顾效率。可依据数据类别、级别有差别和针对性的防护,防止敏感信息的扩散,杜绝数据违规使用和被攻击的风险;通过为敏感、高价值业务数据赋予数字安全标签,为敏感和高价值业务数据使用过程中标签数据溯源提供责任依据,从而在保障数据安全的情况下,不影响用户工作效率或改变用户工作习惯;
数据安全指标可视化,实时掌控数据安全态势。通过多维度、多渠道汇聚全网数据数据资产分布、敏感数据流转、敏感数据使用、数据泄漏事件、用户数据访问行为等数据安全信息,利用可视化技术进行呈现,全面掌握全网数据安全态势,达到“底数清、情况明”的应用效果,打造全域、全维、全时的数据安全态势感知能力。
所属公司
中安威士(北京)科技有限公司
相关资料
中安威士(北京)科技有限公司官网:https://www.csbit.cn/
