UniBDP业务数据防泄露技术简介.docx

UniBDP业务数据防泄露简介 深圳市联软科技有限公司 PAGE \* Arabic 15/ NUMPAGES 15 UniBDP业务数据防泄露管理技术方案 LeagView业务数据防泄露（UniBDP）总体介绍 什么是UniBDP 传统的信息系统，数据非常容易被用户截留下来并带走。如网络文件共享系统、数据库系统、OA系统等，可控制哪个帐号能够访问系统上的数据，但是这个帐号对应的用户，一旦从系统获得数据后（数据一旦脱离系统被访问终端获取之后），终端可将数据另存在本地保存或通过网络、移动存储介质（U盘）等方式，将数据截留在本地或直接带走。 内部人员将自己获得的数据泄露出去、外包人员完成任务后带走数据、电脑被黑客攻破后数据被窃取，这些已经成为企业、政府都非常严重的安全问题。 联软科技的UniBDP业务数据防泄露技术方案，专为解决业务系统的数据泄密而设计。能有效解决数据使用后的及时销毁，及员工或外包人员完成工作任务后的数据回收问题。无论他们访问的数据是文件服务器上的一个文件，还是数据库上的一条记录，亦或是一个网页，甚至是网络设备上的配置信息，都可以对这些数据进行保护，防止他们将数据泄露出去。 UniBDP建立在LeagView安全管理系统独有专利技术—金箍圈技术和资源访问控制技术（RAC）基础之上，UniBDP成功地解决了数据脱离业务系统之后的数据防泄露保护问题。 UniBDP技术方案实现了： 1）强制访问资源的终端必须受控、可信； 2）受控制的终端，在访问业务系统之后，其从业务系统获取的数据，在使用过程中，将受到如下控制： 另存或导出控制：未经明确的授权或批准，终端无法将从业务系统获取的数据在本地或U盘中保存； 复制控制：未经授权许可，终端无法将数据复制到其它应用之中，如复制到QQ/MSN/飞信等软件中； 打印、截屏控制：未经授权许可，终端无法将数据打印、截屏； 防止外拍限制：通过智能水印技术，在数据显示时印上使用者的姓名、时间、IP、计算机名称等信息，防止使用者通过外拍手段获取信息。 除以上控制手段以外，金箍圈技术还提供了审批、审计流痕、备份式数据操作审计等功能。 如果使用者只是对数据进行正常的使用、操作，则金箍圈技术对其不会产生任何限制、影响。如：数据的输入、查询、修改，以及合法授权的导出、打印、复制等行为，都不受影响。 UniBDP技术方案的核心组成部件 LeagView业务数据防泄露（简称UniBDP）技术方案包括两个部分： 1）RAC，资源访问控制技术 2）金箍圈，虚拟计算保护技术 其中，RAC是在LeagView网络准入控制（NAC）基础上，增加了自动应用感知功能后，发展而来。 金箍圈技术，是专为防止业务数据泄露而研发，确保进入电脑终端的业务数据，只能在独立的业务技术环境中被访问，数据或文件脱离业务计算环境须经审批。 下图是UniBDP核心技术构成说明图。 图 SEQ 图 \* ARABIC 1 LeagView业务数据防泄露两大核心技术 核心技术：RAC技术简介 为什么需要RAC技术 传统NAC，关注的焦点是“网络本身”的安全，今天的用户，除了网络，还更关注业务系统、信息本身的安全。RAC从保护网络，转向保护资源（“网络本身”也是RAC保护的对象之一）。 今天，管理、生产、设计、办公，都依赖于网络与应用系统的正常运行。无论是金融、电信、政府、医疗等，业务运行，已经离不开网络。然而，下列因素使得业务系统，处于非常危险的境地： 网络不断扩大、应用越来越复杂，开发、维护、使用人员越来越多 无法落地的管理规定，滞后的管理手段，管理规定与技术手段严重脱节 随处可得的攻击工具，越来越多的系统攻击、业务中断、信息泄露事件 安全风险问题，若不从源头上“接入网络的每台终端”，就无法得到彻底解决。NAC技术的本质就是：从源头上(接入网络的终端)解决网络的安全问题，RAC的本质，也是要从源头(接入网络的终端及接入终端的存储设备)等入手，解决： 网络安全稳定运行问题 应用安全稳定运行问题 业务数据的安全保密问题 什么是RAC技术 为解决越来越复杂的安全风险，联软科技在7年NAC经验基础之上，创造性地提出RAC(资源访问控制)概念及技术，并发展出相应的产品。具体来说： RAC = NAC + AAC，(AAC: 应用访问控制，与NAC技术无缝集成) RAC：资源访问控制，网络上的资源包括：网络本身、应用系统、数据 AAC：只有授权的应用软件客户端，才能与应用系统交互 RAC通过网络设备动态ACL和终端上的动态防火墙技术，对终端访问网络、访问业务资源进行动态控制，系统实现： 网络更安全 指定合规终端、人员才能访问业务系统，并实现网络安全域隔离 合规软件，才能访问业务系统 防止对业务系统的DDoS和缓冲