转自百度百科:https://baike.baidu.com/item/DLP数据泄露防护系统/10522315
数据泄密(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),有时也称为“信息泄漏防护”(Information leakage prevention, ILP)。数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是目前国际上最主流的信息安全和数据防护手段。
中文名 DLP数据泄露防护系统 外文名 Data leakage prevention 别 称 数据丢失防护 功 效 防止企业的指定数据流出企业
背景介绍
随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是,信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年中,全球98.2%的计算机用户使用杀毒软件,90.7%设有防火墙,75.1%使用反间谍程序软件,但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99. 这是来自于国家计算机信息安全测评中心的一个数据,据调查显示,互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的。
泄漏途径
目前,数据泄漏的途径可归类为三种:在使用状态下的泄密、在存储状态下的泄密和在传输状态下的泄密。一般企业可通过安装防火墙、杀毒软件等方法来阻挡外部的入侵,但是事实上97%的信息泄密事件源于企业内部,所以就以上三种泄密途径分析,信息外泄的根源在于:
1、使用泄漏;1)操作失误导致技术数据泄漏或损坏;2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。
2、存储泄漏:1) 数据中心、服务器、数据库的数据被随意下载、共享泄漏;2)离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料;3)移动笔记本被盗、丢失或维修造成数据泄漏。
3、传输泄漏:1)通过email、QQ、MSN等轻易传输机密资料;2)通过网络监听、拦截等方式篡改、伪造传输数据。
防护原理
以下是DLP数据泄漏防护系统的原理图
通过身份认证和加密控制以及使用日志的统计对内部文件进行控制。目前,在数据泄漏防护市场里面,国内具备自主知识产权的产品生产厂家为数不多,以上参考虹安信息的DLP数据泄漏防护系统。
防护前景
数据泄漏防护技术(DLP)日渐成为目前市场上最为重要的安全技术之一。企业青睐数据泄漏防护技术来保护所有权数据和满足法规遵从的需要,为想要接触安全市场中最敏感部分的解决方案提供商提供了巨大的商机。数据泄漏防护技术也为安全产品销售商带来了大量机遇。
防护方案
1. 效劳器加密维护
对效劳器群的维护,由DNetSec来完成。DNetSec由硬件和软件两大部分组成,各种硬件采用高机能的搜集效劳器,软件为文档安全网关软件。DNetSec对一切上传到效劳器的文档自动中止解密,对一切从效劳器下载文档自动中止加密。
2. 办公搜集和手艺搜集文档维护
在办公局域网和手艺局域网等内部搜集中,采用透明加密敌手艺搜集内的手艺文档、设计图纸、源代码、电路图等中间资料中止自动、强迫、实时加密。采用文档权限管理对管理部门的办公信件、财务部门的财务数据、发卖部门的客户资料、市场部门的谋划方案等商业机密文件中止权限节制。经由两种管理体式款式,确保内部搜集终端安全,防止内部中间信息外泄。
3. 文档外发节制
对企业内部发往出差人员、协作单位等系统外的文档。当外发文件掀开时,需经由用户身份认证,方可阅读文件。同时,外发文件可以限制回收者的阅读次数和运用时分等细粒度的权限,从而有效防止了客户首要信息被非法扩散。
4. 离线脱机办公管理
在人员出差或其他情况下,需求外带笔记本电脑,经由计谋设定,可以确保对离线笔记本电脑数据的节制。
5. 笔记本电脑管理
对存有首要资料的笔记本电脑,采用磁盘加密。
6. 内网端口管理和移动设备管理
对内网中的一切端口和移动设备,对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口中止节制,并能对拷贝到移动存储设备的文档加密。
7. 文档自动备份
文档每次保管后均自动备份到备份效劳器中。文档管理员可经由改动备份的方式和路子,完成备份管理。用户在分开效劳器方式下的文档,也将自动备份到当地硬盘中。经由备份,可有效避免因为各类意外招致的数据损失。
8. 日志审计
能够看管、跟踪、记录一切用户的悉数操作,实时查看系统的运用情况,完成最高的系统安全。可以从严重的记录数据中抽取有用的信息,对用户的某些操作中止分类整理,经由操作记录,回溯历史活动,从而发现泄密渠道。经由跟踪今朝用户操作,能及时发现用户的风险操作,在泄密工作发现前就获得警报,遏止泄密工作的发生发火。一旦泄密工作发生发火,经由用户操作记录, 可以第一时分拿出最有力的证据。
安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备。采用链路加密的方式,实现客户端的准入,从文件在企业的使用流程入手,将数据泄露防护与企业现有 OA 系统、文件服务系统、ERP 系统、CRM 系统等企业应用系统完美结合,对通过网关的文档数据进行透明加解密工作,有效解决文档在脱离企业应用系统环境后的安全问题。为企业部署的所有应用系统提供有效的安全保障。