硬件封堵與软件防护的区别_.docVIP

硬件封堵与软件防护的区别 在市面上没有出现数据泄露防护系统之前，国内很多企业都是采用封堵计算机硬件泄密途径为主，例如封堵U口、外设资源、网络通道等方式。然而控制这些计算硬件资源的方法是通过IT人工管理的手段来实现的，其带来的弊端是显而易见的，主要体现在如下的几个方面： 严重影响了企业人员的操作习惯，企业内部人工对此颇有微词； 降低了企业员工的工作效率，为获取某些计算机的使用授权，需要走严格的人工审核流程，由于是走人工申请和审批流程，出现人为耽搁的可能性非常大，需要使用计算机硬件资料的申请人经常由于人为因素得不到实时的审批，处于工作等待的现象。 增加了数据流通的周期，从而降低了数据的使用价值； 由于硬件封堵管理的核心是限制内部人员对数据本身的访问授权，但是数据一旦因为某种不预见的因素流出到企业外部，仍然会造成数据泄露发生风险的可能性。 一些企业虽然采用一些计算机资源监控手段，实时检测计算机设备资源的使用情况，并对相关操作进行详细的日志记录，以备日后审查，但是数据本身俨然已经流出了不可控区域，所带来的安全风险还是不可小觑的，就应该引起高度的重视。另外，事后审核和追查也带来了相关繁杂的工作量，而且效果也不见得令人满意。这种手段的某种意义来说，只能起到一种阻吓和心理震慑的作用，不能从源头和实质上把握和掌控数据本身的安全。 给相关的IT管理和维护人员带来繁琐的工作量，增加了企业的人力资源成本，同时计算机资源的申请和审核、计算机资源的管控和维护都是人工来完成，难免会出现人为疏漏的情况发生，这种由于人工管理所带来的数据泄露发生的安全风险同样不可忽视。 还有其它方面的不方便和不安全因素存在，具体可能需要结合企业的工作流程来说明。 在经过人们长期不断的实践和验证，慢慢地意识到通过封堵计算机资源的方式来保护数据安全是越来越不能适应数据频繁交互、人员组织结构复杂的高度信息化的现代企业环境。基于对数据和内部本身的安全防护的产品应运而生，数据泄露防护系统正好填补了这一块的空缺，我们简称其为DLP系统。下面我们将简要地说明一下我们产品设计思想和可以达到效果 一、安全体系 DLP通过内核级透明加密技术，整合端点数据泄露途径的严密管控技术[U盘、外设、网络、共享]，采用基于USBkey 硬件的PKI/CA标准密钥和数字证书管理体系，同时配合数据访问控制机制和3A[认证、授权、审核]认证管理流程，借助数据安全风险评估和管理思想，对数据进行使用时间维度[使用前、使用时、使用中、使用后]、数据使用空间维度[存储、应用、网络]和数据使用防护维度[防泄密、防扩散、防丢失]上的立体化防护，确保内部资料和智慧资产在整个生命周期内的安全保障和自由流通，考虑安全性同时兼顾便捷性。 二、设计理念 一句话就是：“以数据内核级透加密为中心，围绕数据在使用时间维度、使用空间维度和使用防护维度进行立体化安全防护”。“以数据内核级透加密为中心”是指采用内核级的透明加密技术，从数据安全源头入手，保护数据安全同时，不影响使用习惯；“三个维度立体化”是指从数据使用时间维度、使用空间维度和使用防护维度进行数据安全的防护，全方位，多视角、立体化地保障数据的安全，不留下任何的数据泄露安全死角和隐患。 三、产品原理 DLP数据泄露防护系统采用集中化的平台管理架构，结合C/S和B/S的控制和管理模式，通过服务器平台集中统一对部署了客户端的终端下发安全控制策略，来集中管控计算机的使用情况并实时上报监控信息，可精准识别的所有移动存储设备和计算机外部设备，同时对所需要保护的数据类型进行透明加密安全保护，整个过程无需要人工干预且不影响用户的使用习惯。为了使安装部署和日常维护的便捷性，产品提供和支持网络推送自动安装、全系列操作系统和应用软件、多样化网络部署方式、按需定制国际化语言、域环境管理相结合、产品版本无缝升级、基本角色的管理员控制技术等功能，真正做到同时兼顾安全保障与维护便捷。 具体功能 虹安 DLP数据泄漏防护系统主要功能列表： 服务端功能 移动外设策略管理 内外网通用外设策略管理 添加用户或部门（在、离线）通用U盘策略 删除用户或部门（在、离线）通用U盘策略 更新用户或部门（在、离线）通用U盘策略 内网专用外设策略管理 注册用户或部门（在、离线）专用U盘策略 删除用户或部门（在、离线）专用U盘策略 更新用户或部门（在、离线）专用U盘策略 文档管理 策略模板管理 策略模板管理 增加策略模板文件夹功能 删除策略模板文件夹功能 修改策略模板文件夹功能 导入策略模板功能 导出策略模板功能 增加策略模板功能 删除策略模板功能 策略模板编辑 增加策略模板访问策略规则功能 修改策略模板访问策略规则功能 调整策略模板访问策略规则优先级功能 删除策略模板访问策略规则功能 修改策略模板加密规则功能 文件内外发管理 文件内外