2021年9月份Ping32月度更新汇总

一、概述

本月度更新围绕Ping32的功能以及体验提升,主要包含应用软件、聊天记录查询、文件外发管控等功能的迭代,同时也新增及优化了一些工具应用,例如,加密文件扫描、全盘加解密等。

如需了解Ping32更多的相关信息,请访问此网站:https://nsecsoft.com

类型 版本
控制台 10293
服务器 10195
客户端 3.7.57.10285

二、更新内容

1. 应用软件-新增高级视图

在新增的高级视图中,通过正则表达式、发布者、友好名称等要素的组合规则,将全部的应用数据进行匹配与整合,排除重复数据、干扰数据。例如,同一个软件的不同版本。在实际应用中,简单明了的展示方式更贴近用户场景。

同时对于不同属性的软件,也新增了免费/付费的标注信息,便于管理者及时获取公司内部的软件使用情况,避免造成软件侵权风险。

2.聊天记录的查询优化

原聊天记录的查询需要将DB文件同步到控制台去检索,可能导致同步过程存在问题,进而使得个别聊天记录无法进行查看。目前调整为通过调取接口查询,解决上述问题的同时,也提升了聊天记录查询的稳定性与效率。

3. 客户端新增扫描加密文件工具

客户端可通过Ping32托盘图标打开扫描加密文件工具,对终端的本地磁盘文件进行全盘扫描,扫描到的加密文件会实时展示;在扫描结束后,可通过右键菜单解密文件(需具备解密权限)、查看文件属性以及文件路径。若想要有针对性的对加密文件进行扫描,可通过高级扫描,限制扫描的位置及文件类型。

4.全盘加解密-新增环境变量

环境变量是指在操作系统中,用来指定操作系统运行环境的一些参数,如:临时文件夹位置和系统文件夹位置等。当控制台对终端下发全盘加密任务时,若对上述文件夹中的文件进行了加密,则可能造成操作系统运行异常。基于上述场景,Ping32在全盘加解密任务中,默认新增环境变量,可将相应的系统文件夹排除在外,避免异常情况出现。

5.新文件外发管控

新版策略采用类似于防火墙的策略方式,每个策略由多条规则组合而成。当员工外发文件时,会根据相应的策略及规则,按照自上而下的关系进行匹配,同时按最先匹配的规则执行。最终未匹配到规则的文件,将默认允许外发。

6.开启GPU加速

Windows系统上的应用运行时,会使用CPU渲染页面,无法达成最佳的呈现效果。新版Ping32支持开启GPU加速,可使显卡减少对CPU的依赖,降低了CPU的占用;同时GPU作为专业处理图形界面的处理器,可大大提升Ping32的界面显示效果及使用体验。

7.不同屏幕尺寸适配

由于电脑的屏幕尺寸众多,且在不同尺寸的屏幕上Ping32控制台的呈现效果很难达到协调统一,可能会导致:在小屏幕电脑上,图形化扭曲变形;在大屏幕电脑上,又会出现屏幕太大与控制台太小的的强烈对比。为解决上述问题,新版Ping32中将适配不同的屏幕尺寸大小,并调整相应的界面占比,以达到最佳的操作体验。

屏幕尺寸 Ping32控制台
>27寸 1536*950
21-27 1331*825
15-21 1205*780
<15 最大化

8.主题新增

Ping32-系统设置中,新增“跟随系统主题”。可根据当前终端所使用的Windows系统主题自行调整。(注:仅支持win10,win11。其他系统默认为浅色主题)

本更新还修复了以下问题:

文档安全的审计数据可能出现显示数量不完整;

文件外发管控策略可能无法拦截个别的文件格式;

应用软件的终端数量可能显示错误;

某些情况下禁用的无线网卡和外界网卡可能会失效。

Ping32文档透明解密网关介绍

部分客户可能有这样的需求:将加密的文件上传导致指定的业务系统(如:erp)自动解密。

虽然将浏览器设置为授权软件即可解决此问题,但永远不应该这样做。

正确的做法是使用Ping32文档透明解密网关。

Ping32文档透明解密网关分为两种类型:网络层和应用层,下面将分别介绍。

网络层网关

一个前置的背景知识是,我们知道使用浏览器上传文件通常是使用HTTP(s)协议的POST方法,Ping32的网络层网关的工作原理是,分析HTTP数据包,如果上传的地址是一个授信的地址,那么就分析流量中是否包含加密文件,如果包含加密文件就解密这个文件。

这个方案的优点是:

1、支持所有浏览器,支持HTTPS协议的系统;

不足之处是:

1、如果上传的数据中,除了加密文件外,还包含了这个加密文件的描述信息(比如:MD5、文件大小等),那么网关逻辑无法自动识别描述信息的定义。比如:ERP收到的文件数据包中,文件部分已经被网关解密,但是MD5依然是加密文件的MD5,可能导致一致性校验失败。

解决办法:请联系我们的技术同事,我们会抓包进行分析。根据情况进行适配开发。

2、上传文件的操作,在HTTP层面必须是一次POST完成传输。如果是多次POST分片传输一个文件,则无法识别加密文件。

解决办法:无论是从断点续传的角度考虑还是从数据传输可靠性的角度考虑,系统都无法从多次分片POST的做法中获益。因为HTTP协议的可靠性是由下层TCP协议保证的,所以多次POST分片传输是一个不良设计,然而我们在部署实施的过程中确实遇到了这样的做法,因此我们引入了应用层网关的解决方案。

应用层网关

通过应用层网关,可以不用考虑背后的网络协议细节,简单设置授信的系统地址即可。同样支持大多数主流浏览器以及HTTPS协议。

汽车自动驾驶企业的信息防泄漏解决方案

​国内某知名自动驾驶(AD)和高级驾驶辅助系统(ADAS)技术及产品供应商,以领先的系统能力和首屈一指的量产实力,成为国内率先获得整车厂L4级别量产项目定点合同的自动驾驶企业之一。
为消费者带来更加安全和便捷的辅助驾驶和无人泊车等自动驾驶体验。
百度、小米、360等众多互联网公司不断加大对智能汽车行业的投资。
自动驾驶作为汽车行业的热点研究技术,对未来社会影响甚大,行业前景十分广阔。
自动驾驶技术需要依靠收集大规模的用户个人信息、技术信息等。

作为自动驾驶行业的领导者,企业更加注重内部信息与核心技术的安全性与合规性。

自动驾驶行业的诉求可以总结归纳为以下四点:
1   研发部门的终端存有大量的核心程序技术代码,以及个别涉密部门终端上的文件都是以明文方式存储,存在较高的泄密风险。
 
2   公司不限制员工的上网,即时通讯工具、个人网盘、邮件等文件交互行为极易造成内部资料外泄,公司缺少相应的管控措施。
 
3   U盘、手机等各类外接设备的随意接入,影响内网安全,并且可以作为内部数据泄漏的途径。
 
4   企业分公司、研发部门、车间较多分布广泛,全网终端维护工作耗费大量时间,软件统一部署困难,每季度资产盘点工作量大
 
 

核心数据加密
1   针对研发部门核心代码文件与涉密资料统一强制加密处理,只允许核心数据在企业内流通使用,外部电脑无法查看,防止敏感数据泄漏。
 
2   全盘扫描终端文件,自动加密涉密资料,建立涉密部门与普通部门之间的文件隔离,因办公需要可以通过向企业上级领导审批获取文件解密与外发的权限。
 
3   在研发部门电脑添加包括终端用户信息的屏幕水印,震慑手机拍照、截屏。
防范内部泄密
1   企业使用Ping32泄密追踪审计内部各场景的资料交互以及文件外发,控制个人网盘、QQ、微信等聊天工具外发文件,只允许以企业微信、钉钉等企业规定的方式外发。
 
2   限制私人邮箱的随意使用,只允许企业邮箱收发邮件,对外发邮件无感知加密,确保可信范围内邮件正常传输
终端安全管控
1   Ping32针对企业外接设备的合理化管控,对U盘、移动硬盘等移动存储设备划分使用权限,禁止通过蓝牙、光驱等接入未知设备。
提高终端系统安全性。
 
2   自动统计全网终端软硬件资产,以及变更信息,提供软件统一安装、卸载。
实现软件标准化管理。
 
3   通过Ping32工单管理、远程协助,终端用户可以提交需求工单,IT人员及时响应故障终端,极大提高运维人员的工作效率。

Ping32文档加密软件规则配置教程

用户想要对终端上的一些编辑软件生成的文件进行加解密策略,则需要对终端此款软件进行加密规则设置。首先需要先添加授权软件,对授权软件设置加密规则,然后再对终端下发加密策略。

1. 添加授权软件
点击主菜单授权软件功能按钮,可以打开授权软件列表,系统内置多种类型授权软件,包括办公软件、编程开发、浏览器、图形图像、其他等类型。

点击页面左上角添加按钮,自定义添加授权软件,填写软件名称、类型、描述信息,支持点击名称后面图标按钮添加软件图标。(以新增XMind软件为例)

再点击授权软件页面左上角“+”按钮,添加授权软件进程及加密规则。选择常规设置标签,填写软件的进程名称、描述、验证模式和操作系统。(XMind软件,只有一个xmind.exe进程,有些其他软件可能会有多个可执行文件,同时需要把软件的其他可执行文件都找到。)

选择加密规则标签,点击添加按钮,添加加解密规则。规则可以选择为加密/解密或忽略,支持通配符和正则表达式类型填写规则(规则为文件格式)。(这里通过XMind生成的文件只有.xmind类型文件。而有些软件背后的行为可能不如用户眼前所见,比如world,他生成一个docx文档时,是先生成一个tmp文件,将数据先保存在tmp中,然后再重命名为docx,所以只配置docx加密规则是不生效的,还需要配置tmp的规则)。用户可以通过ProcMon来观察一个进程访问文件的行为。

若添加了多条规则,可以对已建规则进行上移或下移操作,终端将按规则顺序前后自上而下依次执行加密规则。
点击主菜单授权软件功能按钮,可以双击已有授权软件,进行规则调试,添加新规则或删除规则,比如双击 XMind 8 Update 9 软件,进入XMind授权软件页面。

双击已有进程规则,可以进入加密规则调试已建规则。也可以点击“+”或“-”按钮,新建或删除规则。
点击右侧红框内按钮,可以在后缀名窗口中添加该软件能生成的所有类型文件。

2. 开启加密策略
点击主菜单加密策略功能,弹出策略设置页面,选择常规设置标签,填写策略名称,选择生效终端、生效时间,支持此定义精确时间点。

选择授权软件标签,系统展示已添加的所有类型的授权软件,用户可以直接勾选需要设置文件加密的授权软件。

设置之后,点击应用按钮,将策略下发到终端。

Ping32文档透明加密软件基础概念

什么是文档透明加密?

透明加密是指,一个软件创建文件时,文件自动加密;打开文件时,文件自动解密。透明的意思是,用户是感知不到整个过程的。但是注意:这个文件在磁盘上真实状态是被加密的,验证方法就是,把这个文件拷贝到U盘带走,外部是无法解密打不开的;或者,把这个软件通过QQ、微信发送出去,外部也是没办法打开。

阅读更多

防泄密软件能否实现移动存储设备管控的效果

调查发现,更多的企业泄密事件是内部人员所为,企业目前可能面临多种的信息安全漏洞,如涉及移动存储设备方面的安全管理缺陷。

阅读更多