1. 概述
当前,企业数据的快速增长以及数据存储与获取方式正变得越来越便利,企业数据泄密的风险也越来越高。终端移动化促使企业业务的移动化,即便是核心数据也不可能仅仅限制在企业内部,数据流动性的加强不可避免地增大了数据泄密的风险。防火墙、入侵检测系统等传统的防护手段无法有效应对来自企业内部的泄密风险。在制造企业,从产品研发到产品销售都关乎到企业的核心竞争力,而近年来接连不断的制造企业泄密事件也给企业带来的严重的后果,有些数据泄密直接导致了企业市场竞争力的下降。因此,如何更好地保护企业核心数据已成为企业管理者必须思考的问题。
e-works 调查显示,近年来随着制造企业转型升级步伐的加快,中国制造企业的自主创新能力也在不断提升,对于自主核心资产的保护意识也正在逐步加强,制造企业对于数据防泄漏产品的关注也在不断提升。
数据泄密防护(Data leakage prevention, DLP)又称为数据丢失防护(Data Loss prevention, DLP),是通过一定的技术手段,防止企业的数据或信息资产以违反安全策略的形式流出企业。一般企业可通过安装防火墙、杀毒软件等方法来阻挡外部的入侵,但是事实上97%的信息泄密事件源于企业内部,而信息外泄的根源在于:
图 1 企业信息外泄的根源
• 使用泄漏。操作失误导致技术数据泄漏或损坏;通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。
• 存储泄漏。数据中心、服务器、数据库的数据被随意下载、共享泄漏;离职人员通过U 盘、CD/DVD、移动硬盘随意拷走机密资料;移动笔记本被盗、丢失或维修造成数据泄漏。
• 传输泄漏。通过email、QQ、MSN 等轻易传输机密资料;通过网络监听、拦截等方式篡改、伪造传输数据。
从数据泄露的特点来分析,大多时候是由于人的因素占据主导,如果防火墙、入侵检测系统是防止外部攻击来窃取企业内部关键信息,那么数据防泄漏的价值在于保证企业关键信息不从企业内部流出,因此,从某种意义来讲,数据防泄露产品是一款基于业务流程的安全管理软件,主要是通过与企业业务流程结合来保证数据的安全。
2. 概念与主要功能
数据防泄露系统是专门针对“重要或敏感文件”进行安全管理的软件产品。它以文档为对象,实现文档加密和权限控制,确保文档只能被授权的人,在指定环境、时间和权限范围内使用,从而实现对文档的全生命周期的安全管控,防止文档因使用不当而造成泄密问题。
2.1 主要功能
2.1.1 数据加密
1) 可对不同的用户定义不同的密级,高密级用户可以打开低密级用户产生的文档,反之禁止。
高密级用户可以选择文档进行降级操作。
2) 可用解密工具对需要的文档进行批量的手工解密和加密,且在服务端记录。
3) 可对数据本体加密,数据加解密过程可自动、强制、实时的执行,加密文档流转到企业外面时,不能查看内容。
4) 对已经加密的文档,可以在企业内部进行权限的再分配,可以限制不同员工的加密文档是否可以互相使用2.1.2 行为控制
1) 可以支持文件加密状态下授权流转、授权文件可以设置不同的使用范围、使用权限等。授权文件可以通过各种传播途径进行流转。
2) 所有在USB 移动存储设备上新建、修改文档的操作均会记录到数据库中,包括文件名、时间、计算机名、IP 地址等。
3) 可自定义审批流程,由请求解密者发起流程,逐级审批后,获得自动解密的文档,整个流程过程及文档本身均保存在数据库中可查询。
2.1.3 权限控制
1) 对于光驱、软驱、USB 存储(包括U 盘和移动硬盘)的权限控制,可选择正常、只读、禁用3种状态。
2) 可禁用红外、蓝牙、手机同步,可禁止打印,可禁止互联网,可禁止截屏,可禁止客户端访问其他计算机的共享文档。
2.1.4 外发控制
1) 外发出去的文档,使用过程依然安全可控,不会被随意泄密或扩散使用。外发过程记录日志。。
2) 对于安全等级不高的文档外发,需要设定策略过滤敏感内容信息,需要监控并记录日志,避免敏感内容被外发。
3) 对于涉及到企业核心信息的文档外发,必须建立审批制度,由请求外发人员发起申请,经过逐级审批后,获得外发文档。所有审批信息、文档使用权限以及原文档等,在系统中有记录,可以查询和审计。
2.2 关键技术
2.2.1 控制类技术
控制类技术主要是通过权限的设置,对计算机输入输出进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授权的数据外泄。在具体实现上主要采用软件控制、端口控制等手段对计算机的各种端口和应用实施严格控制和强审计。该类技术通常不对数据的存储进行加密保护,而主要关注数据在传输过程中的合法性,控制类技术的这一特点使得单纯采用该技术的数据防护方案往往无法解决如磁盘丢失、笔记本被盗等被动泄密风险。
2.2.2 加密类技术
加密类技术是较为传统的数据防护技术,其主要理念是将数据的二进制存储转为密文,能够简单有效地解决数据的存储安全问题。加密类技术在数据安全防护领域中的应用可细分为:
1) 文件级加密技术:文件级加密是目前国内使用最为广泛的数据安全解决方案,之所以被广泛采用,主要是因为用户接受度高。文件级加密技术最普遍的应用是“透明加解密”,其原理主要是通过建立应用程序的进程和相应文件之间的关联来达到对特定文件数据加密的目的,通常采用内核级文件过滤驱动在操作系统底层对文件进行处理,其加解密过程对用户透明。
文件级加密技术要区分应用层加密和驱动层加密。应用层加密技术实现简单、开发周期短。
但是对性能有一定影响,另外加解密过程与应用软件关联比较紧,有新增应用软件时很可能涉及二次开发,因此不能很好的支持自定义加密策略。驱动层加密相对来说技术实现复杂、开发周期长。但是对性能影响低、加解密过程与应用软件无关,可以透明支持新增应用软件,不涉及二次开发,可以支持自定义策略。目前主流文件级加密厂商都会选择驱动层加密技术。
2) 磁盘级加密技术:磁盘级加密技术通过在磁盘读写时对磁盘扇区进行加解密来实现,由于避开了文件读写的处理,该技术避免了与应用程序相关的限制。采用该技术的数据防泄漏方案以Windows Vista 中集成的BitLocker 为代表,但是单一的磁盘加密技术主要适用于被动泄密防护需求,无法防止通过网络和其他途径的主动泄密行为,这一弱点极大地限制了磁盘级加密技术在数据防泄漏方面的应用。
3) 硬件级加密技术:该技术直接由数据的存储设备提供加密的特性,利用硬盘与计算机系统中其他组件完全隔离的特点,提供基于硬件安全功能的加密平台。在系统或硬盘丢失、被盗、被废弃或转售时,可以有效防止未经授权访问其中存储的数据。但这类技术的弱点与磁盘级加密技术相同,无法有效防止通过网络等突进的泄密行为。
4) 网络级加密技术:该技术通常与其他加密技术结合使用,用于保障数据在网络传输时的安全,根据实现层次可以分为:网络层IPSec VPN、应用层SSL VPN、专用IP 数据包格式变换等。
由于此类技术无法对通过存储介质传递的数据进行保护,因此通常不能作为完整的数据防泄露解决方案,而需要与其他技术结合使用。
2.2.3 过滤类技术
相对于其他技术而言,此类技术的有点是无须在终端安装软件,其使用模式是在内网的出口,即网关处安装内容过滤设备,这些设备可以分析HTTP、POP3、FTP、即时通讯等常见的网络协议,并且对协议的内容进行分析及过滤,比较先进的设备可以识别上百种文件格式,安全管理人员通过设置过滤规则和关键字过滤出关的内容,防止铭感数据的泄密。但这种方案的弱点在于,首先无法识别一些特殊的网络协议;其次是无法识别被用户特殊处理的通讯内容,如果恶意用户对出关的数据进行加密和隐写术处理,便可以轻易地穿透网关;最关键是由于要进行深度内容过滤,这往往也成为限制应用的瓶颈。
2.3 产品部署
图 2 数据防泄露产品部署策略
数据防泄露产品的部署需要结合企业自身的业务流程进行,与安全防护类软件不同,数据防泄漏重点在于对企业内部数据及文档的管控。因此,数据防泄露产品的部署第一步是实现对企业全文档的透明加密,这样既能保证数据及文档在企业内部的无限制使用,也能保证外发文档的安全。同时,配合流程进行一系列权限管控、身份认证、安全审计策略,保证企业员工能通过互联网安全访问内网系统。
3. 业界主流厂商
表1 业界厂商
4. 主流厂商和主流产品介绍
4.1 中国软件与技术服务股份有限公司
4.1.1 企业简介
中国软件与技术服务股份有限公司(简称“中国软件”,股票代码600536)是一家大型综合IT 上市企业,承担着“信息安全国家队”的使命,是国内最早、最大的数据泄漏防护产品及完整解决方案提供商,累计为全球500 万终端提供核心数据保护服务。中国软件信息安全业务主要由中软通用产品事业部承担,作为国内最早研究数据泄漏防护技术的安全团队,已累计申请数十项相关发明专利,其核心产品中软防水坝数据防泄漏系统多次获得省部级科技进步奖,软博会创新奖、金奖等一系列奖项。中软通用产品事业部在产品研发过程中以产品质量为核心,是国内唯一通过CMMI-L5 级软件能力成熟度模型评估的信息安全厂商。
4.1.2 产品功能
中软防水坝数据防泄漏系统基于虚拟文件系统、多缓存技术、安全虚拟沙箱、应用智能识别、敏感内容感知等相关技术,通过密级标识、透明加密、追踪审计等方式提供新一代数据防泄露解决方案,更安全、更智能、更稳定。中软防水坝数据防泄漏系统支持Windows 平台(win2000-win8.1 所有版本)、Linux平台、移动终端(Android、IOS)、虚拟化平台及国产操作系统平台,提供数据从创建、存储、使用、流转到销毁的全生命周期安全防护。
1.终端文档透明加密:根据安全策略对终端中的文档进行自动、强制的加密。加密的文档只能在企业内部安全环境里使用,拿到外面后看不到文档内容。文档透明加密能够阻止内部员工有意或无意的泄露内部机密,也能防止外部间谍黑客侵入计算机窃取涉密文档。
1) 支持任意软件的自动加密;支持任意格式的文档加密;支持任意大小的文档加密,包括几个字节的小文档以及几百G 的视频。
2) 支持工作模式、普通模式及回家模式。工作模式下终端文档自动加密,打开自动解密。普通模式下文档不会自动加密,已加密文档无法打开。支持用户使用回家模式U 盘在无客户端环境下使用加密文件(例如回家加班),加密文件只能在U 盘中使用导出后不能打开。
3) 可控制针对加密文件内容的拷贝、拖拽等行为,同时支持剪贴板加密。
4) 可智能控制各种截录屏操作,包括专用截录屏软件以及其他软件的辅助截录屏功能,支持屏幕浮动水印。
5) 支持物理打印和虚拟打印控制,支持打印水印,并可记录打印日志及源文件。
6) 支持离线管理,包括定制离线策略,设定离线策略生效时间和延迟控制,离线策略动态更新以及主动申请离线策略变更等。
7) 支持历史文档自动扫描加密,可设定扫描的时间,扫描文档类型等等。
8) 支持文档本地备份以及服务器远程备份。
2. 业务系统数据保护:对业务系统中核心数据进行针对性的保护,从业务系统下载核心数据到本地时自动加密,非核心数据则不做保护。即只保护企业所关心的核心数据,不过量保护非涉密数据或者用户的私人数据。业务系统数据保护既支持集中式的网关加密保护,也支持分布式的终端加密保护。
1) 支持OA、SVN、ERP、PDM 等各种主流的业务系统的上传下载控制。
2) 支持网络共享的加解密控制。
3) 支持按类型加密核心数据,同时防止本地的非涉密文档以及用户个人文档过量加密。
4) 支持下载和在线查阅的控制,如下载到本地时加密;只能在线查看,禁止下载到本地;或者可以下载到本地,但必须保存到保险箱。
5) 支持下载行为的日志记录和审计。
6) 支持业务系统准入控制,未安装客户端或者未下发保护策略的机器禁止访问指定业务系统。
7) 支持业务系统防伪冒,防止用户将涉密文档传到非指定(仿冒)的业务系统中。
3. 内部文档隔离管理:对企业内部的文档进行隔离管理,尤其是控制不同职能部门,不同用户,以及不同级别的角色之间的涉密信息,不允许互相查看,以保证企业内部的敏感信息独立可控,防止涉密文档在企业内部交叉泄密。
1) 支持不同的隔离范围控制,包括部门隔离、个人隔离以及虚拟组隔离。
2) 支持按用户角色对文档进行强制密级保护。
3) 支持特权用户,允许特权用户,比如直属领导可以访问已处于隔离范围中的涉密文档。
4. 内部文档权限管理:企业内部不同用户或者不同部门之间交流共享涉密文档时,可以对涉密文档进行使用权限的授权限制,包括指定文档只读、修改、打印以及哪些用户可以使用等等。通过文档权限的授权和访问控制,能够将敏感信息限制在可控的范围内,防止敏感内容在企业内部被恶意扩散或篡改。
1) 支持各种细粒度的使用权限授权,包括哪些用户可以使用,使用时间,是否可以修改,是否可以拷贝拖拽,截屏控制,打印,打印水印以及日志追踪等。
2) 支持在线审批授权,文档授权必须经过完整审批流程处理。授权成功后系统自动通知授权文档作者及所有被授权人。
3) 支持离线授权,可通过策略配置允许终端用户自己授权文档,管理员也可以事先指定离线授权文档的最大可授权权限。
4) 支持授权文档在线管理,已授权文档可以自动分发给授权用户,提供授权文档的收件箱和发件箱功能,管理员或授权文档作者可以对授权文档进行权限的修改、锁定、转移以及销毁等操作。
5) 支持批量授权,拖放到指定目录的文档,按照权限模板自动批量授权。
6) 支持共享授权,即文件服务器上设置共享授权目录,终端用户将文档放到共享中时,文档自动按照已指定的权限进行授权,填补了现有共享系统只能约束访问用户,无法约束文档使用权限的空白。
5. 文档流转管理:企业的涉密文档在经过加密或者授权保护以后,只能在企业内部装有客户端的环境中使用。如果用户需要将一些文档,交给企业中没有安装客户端的特殊用户或者是外部的合作伙伴查阅,可以通过文档解密、邮件解密或者文档外发对涉密文档进行转换。既支持宽松的流转控制,也支持严格的审批控制和访问控制。
1) 支持离线自解密,管理员可设置用户是否可以离线自解密,并记录解密日志。解密后的文档可以在任意环境里使用。
2) 支持在线审批解密,即待解密的文档必须提交解密申请,并通过审批后,才能解密文档。
3) 支持邮件附件自动解密,即管理员可设置邮件收件人白名单,发送给指定白名单的邮件附件自动解密。
4) 支持文档外发,即带出去的文档,必须经过外发授权。其中,外发文档可支持任意文件类型,任意文件格式;支持多文件多目录同时制作外发授权;支持任意Windows 用户使用外发文档;支持细粒度的使用权限控制(口令认证、使用范围(绑定机器或U 盘)、使用时间、使用次数、修改、打印、追踪等);支持使用权限在线认证以及USBKey 认证等。
6.文档传播途径管控:对企业的涉密文档,使用者可能通过移动存储设备、打印输出、网络等多种途径传播出去。文档传播途径管控能够针对文档各种方式的传输进行控制,涵盖了移动存储、打印行为、外设接口以及网络行为(如邮件、即时通讯工具、网络共享等)等多个维度,达到事前有预防、事中有监控、事后有审计的安全目标。
1) 支持移动存储设备的各种使用权限的控制,包括禁止使用移动存储设备;只能从移动存储设备拷贝文档出来,禁止将文档拷贝到移动存储设备中;允许拷贝文档到移动存储设备并对文档加密;以及对拷贝的文档记录日志和源文件。
2) 支持辅助硬盘的控制,包括自由使用和禁用。
3) 支持刻录机/CDROM 的使用权限控制,包括自由使用、只读、禁用等。
4) 支持打印机的控制,可分别对物理打印和虚拟打印进行监控,也可限制指定软件可使用打印机。对打印机的使用权限控制,包括自由使用打印机、禁止使用打印机,以及允许使用打印机的同时,对打印的对象记录日志和源文件。
5) 支持各种外设接口的控制,包括USB 设备、SCSI 设备、串/并行总线、红外线设备、PCMCIA 设备、1394、无线网卡、DVD/CD-ROM 驱动器、蓝牙、软盘等等。能够按USB 的功能分别控制,比如USB 鼠标/键盘的使用不受影响,带有存储功能的USB 设备受约束。
6) 支持网络行为的监控,如邮件、即使通讯工具、网络共享等等。对网络传输的行为,可以禁用,也可以根据关键字限制当前的行为,同时记录行为日志以及所传输的内容、附件等等。
7) 各种设备和网络的控制,可通过策略灵活配置,并且可以分别配置在线状态时的控制策略以及离线状态时的控制策略。
4.1.3 产品优势
1. 技术优势
1) 唯一具有微软授权Windows 操作系统源代码查看权的数据泄漏防护厂商,掌握真正的内核级加密,技术积累成熟;2) 国内最早使用微软MiniFilter 框架的多缓存加密内核,产品稳定、高效、兼容性强;3) 智能识别企业数据与个人数据,在保护企业核心资产的同时,可以对个人数据不过量加密。
4) 结合虚拟沙箱技术,进一步提升数据安全性,以及业务流程的持续性。
2. 密钥与算法优势
1) 密钥管理安全、智能,不需要用户手动参与,减少管理员人工管理密钥带来的各种风险。
2) 支持AES 等各种国际主流加密算法,支持SM1/2/3/4 等国密算法,并支持加密算法替换。
3. 平台优势
1) 支持Windows 平台、Linux 平台、移动终端以及国产操作系统平台下数据泄漏防护。
2) 支持虚拟化及云计算环境下的数据泄密防护。业内唯一获得Citrix Ready 认证的数据泄漏防护产品。
4. 适配优势
1) 支持各类软件,支持任意格式、任意大小的文档加密保护以及文档外发控制。
2) 支持包含OA、SVN、ERP、PDM、数据库、邮件系统等所有B/S、C/S 类型的业务系统的数据保护。
3) 与AD 域、LDAP 及OpenLDAP 等无缝集成。
4) 扩展性强,可以支持任意新增软件或者新增业务系统,无需重新开发。
5) 支持与用户业务系统的深度结合,提供多种形态的二次开发接口。
5. 审批优势
1) 集中式的管理,文档流转可通过集中的审批平台进行审批,支持审批流程模板管理以及审批过程审计。
2) 可配置性强,提供矩阵式审批流配置机制,支持多级、多步骤的审批流程配置。
3) 适配场景丰富,支持多级审批、角色审批、审批超时自动处理、委托审批、级别审批、审批转阅等各种场景配置。
4.2 Websense
4.2.1 企业简介
Websense, Inc.(纳斯达克:WBSN)是全球领先的整合Web、信息和数据安全防护解决方案提供商,总部位于美国加利福尼亚州的圣地亚哥,在北美、欧洲、中东、亚太、非洲拥有数十个分支机构。作为全球网络安全领域的领跑者,Websense 曾连续三年(2004-2006)被《福布斯杂志》评为“25 家顶尖科技公司” 之一,其安全解决方案被《财富》世界500 强及FTSE100 企业广为采用,为全球5 万多家企业的4400 多万名员工提供关键信息防护。公司通过全球渠道合作伙伴网络分销其解决方案,Websense 软件和托管式安全解决方案可帮助企业拦截恶意代码、防止丢失机密信息以及实施因特网使用和安全策略。
4.2.2 产品功能
Websense 数据安全套件可以规避各种数据泄漏情况。它为网络和端点数据泄漏防护(DLP)以及机密数据发现提供了一个单一的策略框架。
1) 轻松采用可扩展的解决方案防止入站威胁,并管理与数据泄漏和法规符合性相关的出站风险。
2) 超过1700 个预定义策略和模板,按地区和行业分类,大大简化了策略创建过程。
3) Websense 数据识别和分类引擎(DICE)还嵌入到Websense TRITON•统一架构下的Web 和电子邮件安全网关解决方案中。
4) Websense 数据安全套件包括以下模块(这些模块也可以单独提供),具备最高的部署灵活性:
5) Websense 数据安全网关(Data Security Gateway):监控常见的网络通信通道,例如Web、电子邮件、FTP、用于移动电子邮件的ActiveSync 等。当发现敏感数据时,数据安全网关可以阻止其传输,记录事件或自动运行补救措施。
6) Websense 数据终端(Data Endpoint):监控实时流量,全面深入地监控机密数据迁移目的地、使用者、使用方式、传输目的地,以及在端点为防止数据泄漏而采取的实时措施。
7) Websense 数据发现(Data Discover):使用DICE 的三个数据分类器(描述、记录、学习),准确识别机密数据,并让您深入了解数据。
Websense 数据安全套件内置的数据识别和分类引擎(DICE)利用多个分类器,实时上下文监控用户、数据和目的地,在整个TRITON 架构提供高度精确和一致的数据泄漏防护。DICE 支持三种数据类别:描述数据、注册数据和学习数据。描述数据包括正则表达式、字典和自然语言分类器(包含1700多个策略和模板)。注册数据包括可以压缩并存储在端点的指纹数据,从而实现脱网保护。学习数据指高级机器学习技术,采用算法分析小数据样本,以填补扫描数据和注册数据之间的漏洞,提高精度和效率。数据窃取防护功能包括:使用OCR 分析图像内文本、检测自定义加密文件和密码文件窃取、缓慢数据泄漏和地理位置监控。DICE 广泛用于发现、网关和端点,从单一控制台管理策略。
4.2.3 产品优势
1) 一致的策略创建:超过1700 个预定义策略和模板(按地区和行业分类),让您只需编写一份策略并跨端点、网络和数据存储库进行应用。由Websense 专业研究人员定期更新和审查模板。
2) 保护存储在图像中的数据:只有Websense 推出OCR 技术,可分析图像内文本并发现、监控和保护数据。
3) 简化和统一的架构,易于使用,总体拥有成本更低:数据安全套件完全集成到TRITON 架构。数据识别和分类引擎内置在所有的DLP 功能中,并在所有的TRITON 解决方案之间保持统一。数据终端、数据安全网关和数据发现共享一个单一的管理界面。
4) 简化工作流程:Websense 允许管理员通过回复电子邮件通知管理事件,从而简化了工作流程。
5) 集中式事件管理和报告:分发按设备及应用程序通道、用户组、策略、规则、实施措施等显示事件总数的执行报表或详情报表。显示合规状态。
6) 深入了解从您的网络流出的数据:通过将起始地和目的地监控与Websense 分类器相结合,让您能够了解数据访问者、数据类型、使用方式和传输目的地,这样,您的企业就可以实时做出最明智的决策,并制定有效的策略以备将来使用。
7) 保护数据,防止复杂、缓慢的数据泄漏:Websense 又一次开创业界先河,推出点滴流出式DLP 技术,该技术可以在累计事件期间实施监控,保护您的数据免遭缓慢泄漏。
8) 易于部署和管理:Websense 为网关、端点和发现提供一个统一的控制台,便于用户管理DLP 策略、事件和报表。
4.3 RSA
4.3.1 企业简介
RSA 信息安全公司在电子安全界享负盛名,致力开发双因素用户认证、加密和公钥管理系统,为有志开拓电子商务的企业建立安全稳妥的基础建设。RSA 掌握市场脉搏,以其领导全球的科技和系统管理经验,配合电子商务千变万化的安全需求,令网上商业活动更加安全及可靠。RSA 于2006 年并入EMC公司,现在的称呼是EMC 信息安全事业部RSA。
4.3.2 产品功能
RSA DLP 企业管理软件提供了五个主要功能:
1) 仪表盘。在一个单一的视图中监控事件的发展趋势,并确定新出现的数据安全风险。
2) 事件工作流程。对事件进行搜索、筛选和向下钻取,查看所有的相关信息,包括所有者/发送者、接收者、政策违反事件以及相匹配的内容。
3) 报告。创建,查看和保存可用于演示的报告,它对在多个领域中的事件进行了概述,并自动发送到关键的利益相关者。
4) 政策管理。使用或微调超过170 个现有的开箱即用的政策,或创建自己的政策。所有的工具都是基于GUI 的,不需要手动配置。
5) 系统管理。集中部署、管理和监控所有代理和扫描组的状态和进度。使用GUI 控件可以配置几乎任何事情。
RSA DLP 主要是帮助组织解决在保护处在静止中的数据、移动中的数据以及使用中数据的安全方面所面临的挑战。
4.3.3 产品优势
防数据泄露不仅仅只是发现数据和防止信息泄露、被盗或滥用。一个好的策略能够帮助组织解决他们每天所面临的复杂的业务问题,包括简化合规性、简化业务流程以及保护知识产权和品牌价值。RSA防数据泄露套件可以帮助企业为那些处于静态状态的数据、移动中的数据和使用中的数据应对这些挑战:
1) RSA DLP 数据中心版可以识别驻留在文件共享、数据库、存储系统(SAN/NAS)、MicrosoftSharePoint•网站和其他数据存储库中的敏感数据,并对此执行相应的政策。
2) RSA DLP 网络版可以识别企业电子邮件系统、基于Web 的电子邮件系统、即时通讯以及基于Web的协议中传输的敏感数据,并对此执行相应的政策。
3) RSA DLP 终端版可以识别在笔记本电脑和台式机上存储和使用的敏感数据,并对此执行相应的政策。
4.4 明朝万达
4.4.1 企业简介
北京明朝万达科技有限公司是国家级高新技术企业和国家级软件企业,是中国领先的数据安全、移动安全、云安全和内网安全解决方案提供商。明朝万达自主研发的Chinasec(安元)数据安全管理系列产品,以数据生命周期管理和防泄密为核心构建统一的全IT 架构数据安全管理平台,实现对信息网络中服务器群、系统应用、计算机终端、移动智能终端、云终端和物联网终端中统一的用户身份安全、接入安全、文档数据加密、终端安全、应用系统保护及用户行为审计等管理。移动信息化和云计算的浪潮已经来临,明朝万达推出保障移动信息化安全的移动安全管理平台,致力于解决用户身份安全、接入安全、手机终端管理(MDM)和移动数据保密等;针对桌面云(虚拟化)的数据存储安全、用户身份安全、网络安全域划分及云终端管理等也推出全面的解决方案。明朝万达将帮助用户守护数据的价值,提升管理绩效,让安全真正服务于业务系统,推动用户业务的发展。
4.4.2 产品功能
Chinasec(安元)数据安全管理平台是基于网络和数据的安全管理产品,通过认证、加密、监控和追踪等手段在传统PC 终端和移动终端提供系统数据保护、文档加密、应用保护、系统管理、桌面管理和安全通讯等整体解决方案。系统采用C/S 架构和B/S 架构相结合,内外网相互通的架构思路,对网络安全和数据安全提供全IT 架构的多套解决方案。
1) 移动存储设备管控方案
Chinasec 为移动存储设备提供完善的管理方案,提供设备的注册、授权、挂失、注销等实现已注册设备、未注册设备的统一管理;并且支持设备全盘加密实现“未注册设备行内禁止使用,注册设备行外禁用”;提供丰富的事后审计功能,如设备的插拔、文件操作、文件内容等详细日志。
2) Chinasec 移动办公安全解决方案
Chinasec 移动办公安全解决方案从网络的移动用户身份安全、移动终端接入安全、网络通信安全、应用访问控制和移动终端信息存储安全等环节进行综合安全防护,构成多层次、全方位的移动安全管理体系。
为智能手机用户、掌上电脑以及移动PC 用户提供安全的移动信息安全服务,为用户提供了强有力的数据信息安全支撑。
3) 数据导出平台保护方案
表单数据从平台导出时会自动加密。Chinasec 实现了生产网中导出的敏感数据可以在开发、测试、非生产环境及外包环境中安全使用。
4) 业务系统数据保护方案
从业务系统(OA 系统、报表系统及邮件系统等)下载的文件将被自动加密,并且可根据用户、部门分别进行权限控制。同时,Chinasec 安全服务体系为各类业务系统提供认证、加密、追踪和日志等服务,实现业务系统安全可控制、可度量及标准化管理。
5) Chinasec 文档安全解决方案
Chinasec 文档安全解决方案从客户端的身份认证管理、电子文档的手动/自动加密、电子文档的密集权限控制、日志审计等环节进行综合安全防护,构成多层次、全方位的文档终端安全管理体系,为用户提供安全的移动信息安全服务,以及强有力的文档信息安全支撑。
6) Chinasec 终端防泄密系统
采用严格数据边界防护技术,以企业单位内局域网为边界(支持手机、PAD 等移动设备),对敏感数据进行保护,实现环境加密。数据脱离边界时自动管控或自动管控或自动加密,例如U 盘拷贝、网络外发等,加密与文件格式无关。
7)Chinasec 邮件安全系统
Chinasec 邮件安全系统,以邮件加密为基础防止邮件密码被破解或邮件服务器被攻击的邮件泄密,通过邮件透明加解密技术,在不影响用户使用习惯的情况下,在全IT 架构下(PC、移动设备)实现防止邮件主动泄密和邮箱密码被破解等被动泄密风险,并通过设置邮件地址的黑名单,满足单位内部的实际需求。
4.4.3 产品优势
Chinasec 敏感数据防泄密方案采用国密算法,基于“安全服务于业务”的理念,提供各种安全组件供业务系统或用户使用,建立安全服务体系,实现敏感数据从产生、存储、使用、流转、追踪到销毁的整个生命周期的安全管控。
1) 以加密技术为核心的数据安全体系
以多年自主研发的数据加解密技术为核心,结合身份认证和访问控制等多种技术手段,为用户打造完善的数据安全体系。支持PKI 体系数字证书,支持国密SM1、SM2、SM3 及SM4 算法并兼容国际主流标准加解密算法,实现本地存储数据加密、移动存储数据加密、文档加密、邮件加密、业务应用数据加密和数据传输加密等丰富的加密功能,支持跨平台,异构终端统一管理实现数据流畅互通。
2) 全IT 架构管理
平台可统一管理PC 终端、云桌面及虚拟化终端、移动智能设备和物联网设备等各种终端,有效应对企业IT 架构的快速变革与延伸,构建全IT 架构统一管理的数据安全体系,极大提高IT 安全管理人员的工作效率。
• 统一设备管理,同一平台上可展现不同设备特性
• 统一身份管理,支持身份在不同终端上漫游• 统一密钥管理,加密文件在不同终端上流畅互通
• 统一日志审计,集中查询、统计
3) 可与现有业务系统灵活结合平台提供安全中间件,现有业务系统经过简单调用即可实现业务数据安全,使安全成为标准化服务,为规范化管理提供技术支撑。
• 多平台:Windows、Linux、IOS、Android、Win Phone
• 多层次:业务层、系统层,硬件设备层
• 多接口集成:4A、LDAP、SSO、CA
4) 敏感数据全生命周期安全管理
对于敏感数据的防护,提供全生命周期的安全管理和审计。安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中,进而对泄密的明文根据标签进行溯源,实现事前安全管理、事后行为审计。
4.5 溢信科技
4.5.1 企业简介
溢信科技是中国最早从事内网安全领域的企业之一。当时主要提供邮件管控和网络管控的产品。而今,溢信科技已成为领先的内网安全整体解决方案提供商,自主研发的“IP-guard 内网安全管理系统”
是国内唯一能够提供内网安全整体解决方案的产品。
4.5.2 产品功能
1) 智能缓冲技术,稳定性更出众
IP-guard 加密基于成熟的应用层兼驱动层加密技术,更具独有的智能缓冲技术,让系统保持稳定,严防文档损坏现象。加密软件作为信息防泄露的利器,就应该在其最大程度保护企业信息安全的同时,将发生故障的概率降到最小,而这也正是IP-guard 加密的突出优势。
2) 三种加密模式,满足不同需求
IP-guard 提供了强制加密、非强制加密与只读加密三种加密模式,特别是只读加密,更是IP-guard独有功能,可以满足用户的多种应用场景需求。IP-guard 三种加密模式率先满足了用户的这个需求,做到想客户所想,为各种场景需求提供解决方案。
3) 三重灾备方案,确保有备无患
IP-guard 拥有最完备的三重灾备方案,包括备用服务器、网络故障应急机制和明文备份服务器,面对主服务器无法连接、断网、断电等各种状况,都可从容应对。当出现危机情况时候,灾备方案能够力挽狂澜,减少损失甚至不受损失。IP-guard 加密完善的灾备方案,能够全方位多角度保护企业信息,为IP-guard 加密优势再添重码。
4) 加密管理范围全面,覆盖各种应用场景
IP-guard 加密拥有权限管理、加密安全网关、外发管理、离线授权管理四大功能,对加密文件的内部流转、服务器上的存取、外发给合作伙伴使用、公司员工离线使用四大常见应用场景进行全面覆盖,确保数据无论何时何地都享有高强的保护。
5) 与审计、管控一起形成IP-guard 三重保护信息泄露防护整体解决方案IP-guard 加密与审计、管控一起组成三重保护信息防泄露整体解决方案,以IP-guard 内网安全平台为核心,以审计洞察业务流程和安全风险,以丰富的权限控制功能降低各种渠道的泄密风险,以强大的透明加密对文档本身进行强制保护,三种强力技术,帮助企业达到一流的信息防泄露效果。
4.5.3 产品优势
1) 应用层+驱动层加密,加密的方式更加灵活
2) 智能缓冲技术,稳定性更优
3) 三种加密模式,独有的只读加密,满足不同需求
4) 最完备的三重灾备方案,确保有备无患
5) 客户端能够自动升级
6) 支持Linux 操作系统加密
7) 加密文件中的缩略图和预览图可见
8) 能够与审计、管控一起形成IP-guard 三重保护信息泄露防护整体解决方案
9) 拥有五种语言版本和最广泛的国际化客户成功案例
4.6 亿赛通
4.6.1 企业简介
亿赛通是中国第一家文档安全管理系统的生产者,最大的数据防泄露产品解决方案提供商,以推动信息安全技术发展、加强信息安全管理、保护核心知识资产和机密信息安全为已任,为政府、部队、企业组织提供信息安全管理咨询服务和数据防泄露(DLP)软件产品和基于行业用户需求的数据防泄露(DLP)解决方案。
4.6.2 产品功能
1) 智能透明加密:实现对任意文档自动透明加密的同时,不影响用户的使用习惯。
2) 内容安全防护:防止核心数据通过复制拖拽、截屏录制、打印输出以及副本另存等方式泄密。
3) 细粒权限控制:细化设置文档的阅读、编辑、复制、打印等组合权限,并可根据管理需要设定文档生命周期,同时提供灵活的二次授权、归档、交接管理及版本变更管理等功能。
4) 完善权限控制:每个用户都设有文件收件箱、发件箱、还原箱,方便对权限文档的使用和管理。用户还可以通过在线申请的方式向作者申请文档权限,申请和审批流程简单。同时考虑到文档离线使用情况,系统还可生成离线权限文件,并可设定文件的阅读次数和使用时长。
5) 群功能特设置:方便企业在项目过程中建立跨部门组织,方便业务交流,加快项目进展。
6) 批量授权功能:通过模板功能的启用,完成文档的自动及批量授权,降低用户文档授权及管理成本。
7) 安全分级控制:实现人员密级、数据密级的安全分级管理控制,满足组织数据分级安全管理要求。
8) 流程审核通知:为流程各级节点提供业务代办提醒、审核结果通报等支持,如客户端消息、E-Mail通知等。
9) 安全水印支持:通过自动添加安全警示及版权标识信息,来降低屏幕录制和自主打印所带来的泄密风险。
10) 开放式策略库:用户可根据业务及管理需要进行安全策略自定义,开放、灵活的策略配置可降低企业后续维护成本。
11) 身份认证集成:支持与基于Ldap 和OpenLdap 协议的统一身份认证平台(如AD、ED、TDS 等)进行无缝集成,如实现组织架构及用户账号信息的自动完整同步和单点登录认证集成等。
12) 离线办公支持:可通过离线审核、策略预设及离线补时等功能满足各种离线办公要求。
13) 工作模式切换:提供“密文/明文”切换模式,保障业务涉密数据安全处理的同时,不影响用户个人数据处理。
4.6.3 产品优势
1) 高度的安全性:系统采用“驱动级终端保护技术”,对终端程序安装目录、常驻进程以及注册表等进行安全保护,防止用户恶意破坏终端运维服务和配置环境。系统具备自保护设置,一旦有用户通过非法手段强制移除或终止客户端,将自动转入安全自保护模式,系统进入只加密、解密的安全保护状态。
2) 权限动态控制:系统支持动态文档权限控制,持久保护文档安全,作者可以实时更改和回收文档权限,实现对权限的动态控制。只有经过授权的用户才能在授权范围内使用机密文件,在没有任何权限的情况下无法打开文档。
3) 权限模板授权:系统支持权限模块设置,提供授权灵活性和效率。支持创建个人模板和全局模板,全局模板对所有用户可见,可针对模板将常用用户进行授权并套用到模板中,可将权限模板赋予磁盘目录,文件落到相应目录进行自动授权。
4) 良好的兼容性:系统可与AD、LDAP 等多种身份认证系统集成,支持用户信息自动同步。系统兼容目前主流的操作系统和杀毒软件,支持对所有格式的文件进行加密,方便企业后续的需求升级和应用拓展。
5) 行为预警审计:系统可对数据使用、流程审批、业务操作、特权业务及违规操作进行预警通知和行为审计,支持邮件预警通知和终端消息冒泡提醒,可以自定义预警管理员。
6) 策略灵活多样:系统配备强大的策略库,支持透明加密、落地加解密、目录加解密等。用户可根据业务需求进行编辑,多样的策略组合方式使得企业在策略配置上拥有更多选择,能够同时满足不同部门的安全需求。
7) 系统简单易用:系统采用了众多人性化的设计,界面友好、设计合理,管理操作相当简单。
8) 运行高效稳定:系统具有双机热备功能,如果服务器出现故障停止运行,则备份服务器能立即接管,同时系统还具备容灾机制和数据库备份还原功能,能够有效应对可能出现的各种特殊情况,最大程度保障系统稳定可靠运行。
亿赛通数据防泄露体系以数据加密为核心,秉承“事前主动防御、事中灵活控制、事后全维追踪”的设计理念,实现核心信息资产防泄露的安全目标。DLP 体系从终端、网络和存储三个层次入手,对核心数据的形成、存储、使用、传输、归档及销毁等过程进行全生命周期安全控制,结合企业、组织机构特有的业务需求、业务模式和管理文化,为企业、组织机构定制完整的数据防泄露体系。
4.7 安腾软件
4.7.1 企业简介
安腾软件(ITEN)是中国计算机信息反泄密软件和文档加密软件的始创者和领导品牌,长期专注政府和企业计算机信息反泄密研究,为企事业单位提供领先的计算机信息反泄密解决方案。旗下拥有“文档守望者”、“凤凰卫士”等多个品牌产品线,产品涵盖文档加密、内网安全、终端安全、外发文安全、数据备份、信息安全等领域,能够满足不同行业和规模客户的信息安全保密需求。安腾软件(ITEN)始终专注于透明加密软件的研发,是国内最早从事文档、图纸、代码等透明加密的研发厂商,对于加密软件有着深刻的理解。安腾力求产品的部署快速、使用简洁、功能实用、运行可靠,八年来得到客户的广泛认可和信赖,客户遍布政府、军工、设计院、机械、电子、化工、服装、广告等诸多行业。
4.7.2 产品功能
1) 透明加密
安装凤凰卫士客户端的计算机,其生成的文档自动加密,加密文档在内部授权环境内可正常使用,未经授权解密,私自带到外部或未经授权的内部环境均无法打开。
2) U盘管控
可以自动识别并限制各种移动存储设备的使用,包括U盘、MP3、手机、相机等。而对于键盘鼠标、打印机等非存储类的设备则不受影响。
3) 打印控制
可以禁止某台或者某些计算机使用打印机。防止无意义打印通过打印方式泄密。
4) 日志审计
可以对用户的操作过程做详尽的记录,包括打印、复制、移动、涉密文件的审批、服务器操作情况等,以便监督检查和事后追溯。
5) 文档备份
自动将相关的涉密文档定时备份至文档服务器,防止重要文档被有意无意删除和遭受病毒损坏。
6) 截屏监控
定时或手动对指定电脑的屏幕进行抓取,监控员工桌面操作。对员工工作期间从事无关事情,起到震慑作用,帮助单位规范员工行为。
7) 审批流程
可以结合用户的管理需求,针对不同的操作分别指定审批手续和权限,灵活设计单极和多级审批流程,支持异地审批。
4.7.3 产品优势
1) 采用国际领先的介于内核与应用层之间的专有加密技术,支持更多格式的文件目前为止,该方案将加密标识内置于文件内,成为文件的一部分。当需要打开文件时,会首先识别此文件是否含有加密标识。如果有加密标识,则对此文件进行透明解密。当需要保存文件时,对内存中的文件进行透明的加密,然后写上加密标识。指纹内置方案,使得身份认证技术成为可能。
这种加密技术真正实现一份文档某些人(身份)可以打开,而其他人(身份)则不可以。另外从UG 等从Unix 转过来的程序,导入导出等操作依旧可以无障碍进行。
2) 完全透明的加密过程
当用Word 打开一个DOC 文档,用AutoCAD 打开一个DWG 文件时。文档守望者会自动监测到此操作,并进行相关的解密工作,当要保存此文件时,又会进行相关的加密工作。所有的这些过程都是文档守望者在背后默默完成的,用户根本无需也无法进行干预。这些被加密过的文件无论采用何种方式:用U 盘拷贝、用光盘刻录、发邮件、用Ftp 上传、用QQ 等P2P 工具上传,泄漏出去的文件均无法打开。
3) 内容识别,而非扩展名识别
依赖扩展名识别就像是依赖姓名来识别一个人。而我们采用的方案类似DNA 识别,只要文件的内容是需要受控的话,无论将其保存成为什么扩展名,都将被自动加密。
4) 精确识别受控程序
文档守望者并不依赖可执行程序的名称来确定是否是受控程序,也并不计算可执行程序的MD值。而是有一套专用智能识别算法。智能识别技术,无论怎么改变程序的名称,甚至用UPX 等软件压缩可执行程序来改变MD 值,依旧不会逃过文档守望者的监测。
5) 人性化的复制/粘贴/拖放/截屏控制
若采用复制/粘贴可将加密的内容拷贝至非加密内容中,即可导致信息的泄密。但若限制复制粘贴等功能,则用户的日常工作将会受到影响。文档守望者的设计是在提供信息保密的同时又不影响用户的使用习惯。对此文档守望者采用的策略是:加密文件之间可以互相复制/粘贴,非加密文件之间也可互相复制/粘贴,非加密文件的内容可粘贴至加密文件,但加密文件的内容不可粘贴至非加密文件中。对于拖放,守望者也采用同样的策略。对于拷屏的策略是:如果有加密的文件处在打开状态,则禁止拷屏,否则允许。
6) 灵活的组策略
根据用户的工作需要,客户可以对整个组设置规则,也可以针对单台电脑进行设置,同时一台电脑可以在不同的组中。如技术部(组)、财务部(组)、销售部(组)等,可以对整个工作组进行设置,同时也可对某台电脑进行单独的设置。
7) 双密钥设计
当软件提供给客户的时候,厂商为客户提供全球唯一的密钥确保客户的加密格式不会相同。客户再自行设置一个密钥,使供应商亦无法解开被加密的文件,解除客户的后顾之忧。
4.8 敏捷科技
4.8.1 企业简介
公司主导产品有:敏捷安全卫士系统(Agile DG)、文件外发管理系统(Agile FD)、桌面安全管理系统(Agile DSM)、数据主动备份系统(Agile BAK)、打印安全管理系统(Agile PSM)、电子文档管理系统(Agile DM)、电子文件管理系统(ERMS)、私有云安全解决方案(Agile PCloud-S)等,能为各类企业、社会团队、政府和个人提供全方位的数据安全软件产品和服务。
4.8.2 产品功能
DG 系统主要是提供如下功能:服务器管理根密钥、自动升级功能、服务器可设置卸载码、自定义密钥、DG 管理机可解密文件并记录日志、客户机可配置各种安全策略、DG 提供密级管理、DG 域集成功能、组织机构管理、角色管理、策略模板等。
1) 自由空间守护无痕
2) 实时加密全程守卫
3) 智能监控
4) 无缝集成
5) 无穷密钥
6) 运行稳定
7) 资源占用少
8) 安全方便的维护
4.8.3 产品优势
简捷:简单易用,免培训
透明:不改变用户操作习惯;透明、实时、强制、主动加密稳定:拥有100 万级别的安装点,软件成熟稳定高效:优化的算法和Windows 内核技术,不影响使用效率集成:与OA、ERP、PDM 等系统具有良好的集成。
4.9 华途软件
4.9.1 企业简介
华途软件有限公司成立于2007 年,是国内领先的、拥有完全自主知识产权的专业信息安全软件公司。总部位于杭州,经过多年发展,已在华北、华南、华东、华中、西南等7大区域的一线城市设立了分支机构和服务中心,服务网络遍布全国30 多个省、市、自治区,建立了覆盖全国的“24 小时响应”
服务体系。
4.9.2 产品功能
1) 透明加密
2) 电子审批系统
3) 客户端绑定和准入
4) 邮件白名单和黑名单
5) 域用户导入和同步
6) 日志记录和审计功能(含报表和报警)
7) 系统自动更新(可推送任意脚本)
8) 反截屏
9) 打印水印,屏幕水印
4.9.3 产品优势
1) 透明加密和主动加密以及半透明结合,采用国家标准算法对文件进行加密处理(强度高)2) 客户端工作模式无需改变,系统后台存在3) 服务器基于B/S 架构,支持实时策略更新4) 全面支持windows 操作系统以及移动平台(iPhone/iPad,Android)
4.10上海全湾
4.10.1 企业简介
Trustview(全湾信息科技有限公司)是全球最信赖的信息泄漏防护软件提供商之一,由毕业于美国斯坦福大学的留学生创建而成。Trustview 拥有世界级的数字化权限管理技术,已获得全球9 项独家专利。
在成立一开始即向行业至高点挑战,为全球顶级企业提供信息泄露防护解决方案,满足世界型大公司的挑剔要求。在企业文件权限管理(Enterprise-DRM)领域,Trustview 利用自身的技术优势结合国内企业对电子文件的安全管理需求,推出多项信息防泄漏软件。
4.10.2 产品功能
全湾信息泄漏防护系统提供了广泛的功能,这些功能能够管理产品信息的所有方面,包括支持各种应用格式。对于企业已有的知识资产,如设计图纸、工程文档等,按照子公司/部门、分类批量加密进入服务器,实现共享。根据企业密级进行管理,用户按权限对文档进行操作。对于个人文档,根据策略实现手动/自动加密。
• 系统全面考虑了企业目前各类图纸安全需求现状,主要解决如下问题:
• 保障图档仅在企业内部使用,脱离企业网络环境,图档无法使用
• 实现企业各类产品图档企业内部流转安全,不同部门,不同权限
• 保障解决企业研发部门的终端研发文档安全
• 实现企业图文档内容级别的细粒度权限管理-可以控制图纸是否可以编辑、复制、打印及图纸的使用时间等
• 解决企业图文档外带(如:出差),可能出现的安全隐患
我们的方案是一种以图纸本身为中心的安全解决方案。利用密码技术,以图档加密为核心,构建企业信息的安全使用环境,使图档能在企业内部正常使用,在未授权的情况,利用U 盘拷贝带走及通过网络发送等都是无法打开图纸的。
制造业信息泄漏防护系统关键功能包括:
• 图档安全管理-按企业策略配置
根据企业的实际情况,对重点部门-研发设计部门的客户端,可以实现强制加密措施,使个人终端电脑里的研发文档自动加密保护。对于其它部门的终端电脑,可以根据业务需要,按照策略实现手动/自动加密。
• 实现细粒度权限控制,严防内部泄密
对企业重要的知识资产实现细粒度的权限控制,除了提供打印、时效、复制等基本的权限控制之外,还要能控制图档的编辑功能,特别是对各类编辑器的菜单的控制,例如对于图纸做到可不可编辑的权限设定等。
• 实现图纸外带安全
提供对于外带安全控制功能,在保障离开企业环境的情况下,根据授权使用图档。外带审批作为权限可以根据不同用户进行配置,做到灵活与安全兼顾。
• 完善审计,事后追踪
系统提供基于图档的详细的操作审计日志,可以记录使用者对的所有行为。系统管理员将可以利用管理接口工具所提供的查询纪录功能来搜寻并检查这些纪录。
4.10.3 产品优势
1) 端点数在100users 以内,目前竞争最激烈的市场。非Trustview 核心市场。国内绝大多数同行厂商进入价格竞争阶段。没有形成品牌及技术优势竞争。Trustview 云安全及Safebay365 产品会进入这个市场。
2) 用户数在100users-1000users 之间。目前trustview 的核心市场,较之国内厂商具有明显的产品优势,较之国外厂商有方案优势。国外厂商以防被劢泄密为主,防主劢泄密是国内需求的关键。
3) 客户端数在1000users 以上,以大行业用户、上市公司及跨国公司为主。目前市场上是很活跃,是未来2~3 年市场的重点。借劣Trustview 已有的高端客户案例优势,是Trustview 积极布局的市场。
4.11上讯信息
4.11.1 企业简介
上海上讯信息技术股份有限公司是中国信息安全领域领导企业之一,可提供信息安全咨询及评估、数据安全产品、合规与审计产品、企业SaaS 服务解决方案、信息安全及优化整体解决方案与安全运维服务。公司以前瞻性的眼光,组织顶尖信息安全专家自主研发以及甄选出最符合市场发展方向且覆盖各个层面的尖端安全产品以满足中国市场的客户需求。
4.11.2 产品功能
1) 自动透明加密
系统采用沙盒保护技术对核心文件进行加密保护,解决了因笔记本/硬盘等设备丢失或修理造成的数据泄漏问题。系统可以自动加密任意类型的文件,用户无需关心何时加密以及密钥的存储,同时不改变用户对文件的使用习惯,加密过程完全透明。
2) 内容安全防护
系统禁止对文件内容的复制拖拽、截屏、打印以及副本另存为等非法行为,杜绝了使用者主动泄密核心文件的行为。支持文件打印水印的设置,自动打印使用者姓名、文件名称、打印时间等背景水印,不仅对非法操作产生震慑作用,同时方便事后责任的追溯。
3) 文件外发控制
系统支持对外发给合作伙伴文件的权限进行管理,可以设置外发文件的浏览、、复制、编辑、打印、另存为等多种权限,同时限制外发文件的浏览时间,自动销毁外超过浏览时间的外发文件。
防止合作伙伴、客户等企业外部单位对核心文件的二次泄密。
4) 外部介质管理
支持对U盘、移动硬盘等移动存储介质进行注册管理,可以授权已注册U 盘可以被哪些部门以及人员所使用,未进行授权部门/人员不能使用该设备,同时支持对蓝牙、1394、串口、并口等设备的启停管控,禁止随意使用非法设备,不仅防止了因设备使用混乱而产生的数据泄露,而且也降低了木马病毒事件的频率。系统也支持将安全U 盘的制作,即使U 盘丢失,也无法获取U 盘中的核心文件。
5) 终端身份认证
支持使用双因子认证代替传统的用户名和密码认证方式,除了知道密码之外,还需要具备手持令牌,没有手持令牌将无法登陆解密程序,同时拔出令牌后,计算机将进入待机状态,任何非法用户都无法登陆系统,最终防止外部人员以及内部无关人员对他人终端的非法登陆,进而防止因登陆风险而造成的数据泄露事件发生。
6) 实时同步备份
为了保证所有文件不被丢失,系统采用实时的文件同步功能,同步功能可以实时地同步用户修改的内容,不是简单的复制,而是同步内容的差异部分,减少了网络与系统的开销,同时也解决了因员工离职而造成文件丢失的问题。
7) 文件全生命周期审计
文件全周期审计可以帮助用户随时随地查看核心文件的使用以及违规情况,可以对文件的创建、存储、编辑、复制、打印、重命名、删除等所有使用状态进行记录,同时可以记录所有文件的使用者、使用时间等详细信息,方便用户对数据泄露事件发生后进行查询和追溯。
4.11.3 产品优势
采用文件虚拟化方式提供对文件自身的保护,利用系统底层虚拟出保护层,对核心文件进行强制自动防护,禁止拷贝/截屏/打印等非法操作,同时记录文件的各项操作,根据办公环境自动划分可信区域,区域内的数据都是透明流转,区域外的数据都进行加密传输。
1) 优秀的性能参数:采用文件虚拟化技术对为用户提供文件保护,不对文件自身进行强制加密,本地操作文件完全明文,没有任何性能损耗;
2) 无风险的保护技术:底层技术不对文件自身进行加密,无文件损坏风险,没有磁盘加密的操作系统损坏风险,在保证安全的前提下,也同时杜绝了新技术对正常业务的影响。
3) 全面丰富的监控指标:可以对文件的相关核心操作进行监控,同时进行记录,可以直观全面的展示内部的文件流转过程。
5. 数据防泄露产品选型要点
5.1 资质评估
资质是指由国家认可的权威第三方认证机构,证明一个组织的产品、服务、管理体系符合相关标准、技术规范或其强制性要求的证明。目前数据防泄漏产品资质主要包括企业资质、产品资质、知识产权三个方面。数据防泄漏产品是否具有资质,以及资质的权威性都是产品竞争力的体现。因此,关注资质是企业进行产品选型的第一步。
5.1.1 企业资质
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
对于企业资质的考察可关注该企业是否通过ISO9001 质量保证体系认证,ISO9001 是ISO9000 族标准所包括的一组质量管理体系核心标准之一,ISO9001 是迄今为止世界上最成熟的质量框架,目前全球有161 个国家/地区的超过75 万家组织正在使用这一框架。ISO9001 用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力,目的在于增进顾客满意。凡是通过认证的企业,在各项管理系统整合上已达到了国际标准,表明企业能持续稳定地向顾客提供预期和满意的合格产品。站在消费者的角度,公司以顾客为中心,能满足顾客需求,达到顾客满意,不诱导消费者。在选型过程中,关于企业资质的查询需由供应商提供相关证书信息,并到指定认证机构查询并确认信息。
5.1.2 产品资质
数据防泄漏产品在进入市场销售之前,必须申请由公安部公共信息网络安全监察局颁发的《计算机信息系统安全专业产品销售许可证》。由于该资质是市场准入的强制标准,除必须具备该资质以外,对于数据防泄漏产品的选型还需重点关注以下资质:
1) 具有信息产业部颁发的《计算机信息系统集成资质证书》(一级或二级),并有网络安全集成的成功范例。
2) 具备国家保密局《涉密信息系统产品检测证书》,通过BMB15-2004 保密检测标准。
3) 具备中国信息安全认证中心的《ISCCC 中国国家信息安全产品认证证书》,通过GB/T20945-2007 检测标准在数据防泄露产品选型过程中,需优先关注企业资质、产品认证以及行业标准,产品认证越全面,通过的行业标准越多,表明产品的可靠性及技术性能越高。因此,对于产品资质的评估,使用者在购买之前务必了解全面,才能综合评估。
5.1.3 知识产权
知识产权是一家企业的核心资产,代表企业的核心竞争力。对于数据防泄露产品来说,知识产权主要包括软件著作权和发明专利两方面。软件著作权目前主流厂商基本都是具有的,专利部分分为三大类:
发明专利、实用新型专利和外观设计专利,而其中发明专利在数据防泄露中占据核心地位。特别要注意的是反映产品技术的发明专利,因为发明专利反映了某一产品的核心创新性,而且是该产品独占的,在一定期限内享有的独占实施权。在供应商的数据防泄露白皮书中都会有对自身创新性技术的描述,企业可根据需求作重点分析和评估。
5.2 需求评估
需求评估的全面性和准确性关乎选型的成败。因此,需求评估是产品选型最为关键的一步。做好需求评估,需要综合业务特点以及企业管理者对于员工产品泄露防护需求。
表2 企业需求评估
5.3 功能评估
企业在决定购买数据防泄漏管理产品时,可先向供应商提交试用申请,一般而言,供应商在确定企业有购买需求后,会提供几周到几个月不等的产品试用周期。这期间,供应商会安排技术人员上门部署和调试系统,并组织对企业人员进行培训。
产品试用期间应该注意以下几个问题:
1) 结合企业的业务流程对产品功能进行测试。
2) 根据企业的需求来制定适合企业自身的数据防护策略。
3) 对于云计算及虚拟化等新兴技术环境下的产品功能进行测试。
4) 移动办公场景数据防泄露功能测试。
一般而言,企业至少要试用两家以上的产品,通过对比试用效果及测试数据来综合评估哪一家的产品更适合企业的需求。
表3 产品选型要点
5.4 成本评估
除试用及性能评估之外,在购买产品前企业还需与供应商进行充分沟通,包括:
1) 供应商根据企业需求给出综合报价,详细列明每一项费用,包括设备采购、部署实施、后期维护及产品升级等费用。
2) 报价需全面涵盖可能涉及的所有费用,若有费用无法在前期报价给出,需给出价格计算方式。
3) 若同时有多家供应商产品均满足企业要求,企业可根据供应商给出的报价进行综合成本评估,评估因素包括厂商口碑、市场影响力以及售后服务评价等。
5.5 合同与技术协议要点
在综合进行资质评估、需求评估、性能评估以及成本评估后,企业才可最后确定选型产品。
在部署实施前,企业需与供应商进行服务合同的敲定。
合同内容至少需包括以下几点:
1) 合同金额及详细的产品与服务报价
2) 实施周期
3) 验收标准和方法
4) 双方责任
5) 违约责任
6) 付款方式
6. e-works 研究院简介
e-works 研究院(e-works Research)是e-works(数字化企业网)研究、分析性质的组织机构。
e-works 研究院的研究领域方向立足于两化融合所涵盖的管理信息化、产品创新数字化、IT 技术与应用、数控技术等领域。e-works 研究院是网聚了e-works 专家、精英等智力资源强力打造的研究、分析品牌。
e-works Research 致力于成为中国制造业与信息化进程中的智库。作为全国首个制造业与信息化研究实验室,e-works Research 一直秉承客观、中立的原则,对制造业与信息化的各领域进行深入观察与研究。通过发布行业调查、白皮书、选型手册,发表文章和演讲,举办高层论坛、研讨会等形式,与各级政府、高层企业管理者、信息化厂商伙伴们分享e-works Research 的研究成果、预见行业发展趋势、发现和评估战略机遇、确保预期回报、制定发展计划和确定业绩评估标准等,以便在随需应变时代创造最大价值。
通过多年专注的积累,目前,e-works 研究院拥有了一套科学、严谨的调研、整理和分析方法,并通过与各级政府、企业、信息化厂商、其他研究机构广泛开展合作,已成功取得了多项研究成果。
作为专业的市场研究机构,e-works Research 整合业内专家资源,将咨询服务的所诊断出来的个性问题,放到产业层面上,通过沟通、调查、研究等最终形成相应的产业分析报告,对中国制造业信息化相关技术、市场、应用与产业发展起到了积极的推动作用。
e-works Research 累计发布各类产业研究报告20 余份:
• 制造执行系统(MES)选型与实施指南(2013 年)
• 中国制造业PLM 产业发展报告(从2004 年开始连续九年发布该报告。其中,从2009 年开始,e-works 与国际知名市场研究机构CIMDATA 合作,联合在全球发布中英文版的中国制造业PLM 研究报告);
• 中国制造业信息化投资趋势研究报告(2009-2014 年四次);
• 中国制造业SCM 应用研究报告(2009 年、2011 年两次);
• 中国制造业ERP 产业发展报告(2005 年、2007 年、2008 年三次);
• 中国民营企业ERP 应用研究报告(2006 年);
• 中国制造业供应链管理研究报告(2011 年);
• 中国制造业人力资源发展研究报告(2010 年);
• 中国制造业软件维护市场研究报告(2009 年);
• 中国制造业虚拟现实及仿真应用研究报告(2009,2010 年)
• 中国CAE 发展研究报告(2008 年)等权威报告。
图 3 e-works Research各类产业研究报告
先后有麦肯锡、IDC、IBM、罗克韦尔、达索系统、PTC、西门子PLM、安世亚太、联想、金蝶、用友、CAXA、Autodesk、源讯等近百家企业购买了e-works 的市场研究报告。此外,由于信息技术是一个前瞻性的新兴技术,且技术含量比较高,推广难度巨大,更为关键的是如何站在客户需求的角度来对相应的技术进行阐述,是广大供应商面临的挑战,为此e-works Research 结合自身的专业性,从需求出发,先后帮助:
• IBM 撰写了IBM 智慧工厂白皮书
• Kronos 撰写了中国劳动力管理白皮书
• 用友撰写了用友U9 V2.0 ERP 系统评估报告
• 金蝶公司撰写了K/3 WISE 白皮书
• 用友PDM 应用白皮书
• 安世亚太PERA 精益研发平台评估报告
• SAGE 集团SAGE CRM 白皮书
• 西门子PLM 数字化制造白皮书
• 惠普公司中小企业解决方案
• 中国制造业设计仿真一体化应用研究报告等。
图 4 e-works Research 研究系列评估报告
e-works Research 网聚优质资源,客观、中立、敏锐地洞察制造业与信息化的发展!
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:数据防泄漏产品选型手册
本文网址:http://www.toberp.com/html/consultation/10839515817.html
相关文章
