网络数据泄露防护系统白皮书

网络数据泄露防护 产品白皮书 目录 简介.....................................................................................................................................................3一、数据防护技术..................................................................................................................3二、市场背景..........................................................................................................................3第二章网络数据泄露防护功能......................................................................................................4一、产品型号说明..................................................................................................................4二、功能列表..........................................................................................................................4三、产品性能指标..................................................................................................................9第三章网络数据泄露防护系统原理............................................................................................10第四章技术平台............................................................................................................................12一、平台设计说明................................................................................................................12二、分布式架构....................................................................................................................12三、系统安全........................................................................................................................12第五章检测和准确性....................................................................................................................13一、识别的支持文件类型....................................................................................................13二、策略制定........................................................................................................................13三、如何检测敏感数据........................................................................................................14第六章技术优势............................................................................................................................15 一、领先的检索技术............................................................................................................15 1．内容发现方面..........................................................................................................152．支持多种协议解析..................................................................................................153．数据识别能力强......................................................................................................15 二、高效的数据处理能力....................................................................................................15三、策略灵活多样................................................................................................................16四、完整还原事件................................................................................................................16五、优质售后服务................................................................................................................16六、灵活二次开发................................................................................................................16 简介 一、数据防护技术 数据泄露防护，即数据泄密（泄露）防护（Dataleakageprevention,DLP），又称为“数据丢失防护”(DataLossprevention,DLP)，有时也称为“信息泄漏防护”(Informationleakageprevention,ILP)。数据泄密防护(DLP)是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外，是目前国际上主流的信息安全和数据防护手段。 二、市场背景 根据Verizon最新发布的《2015年数据泄露调查报告》，企业泄露1000条记录时，有95%的可能会损失5.2万-8.7万美元。泄露1千万数据记录的损失介于210万到520万之间，最多可能到7390万美元。 2012年，3.15晚会曝光银行内部员工泄露客户信息事件。 2013年，中国人寿80万客户信息泄密事件。 2014年，小米论坛800万用户信息泄密。 2015年，超30省市，数千万社保用户敏感信息或遭泄密。 经权威机构调查，超过89%的企业遭遇过敏感信息泄漏。 经咨询公司报告，超过85%的安全泄密来自企业内部，经济损失达6056.6万美元，是黑客造成损失的16倍，是病毒造成损失的12倍。 业内专家观点：目前市场上成熟的数据泄露防护系统（DLP）系统能侦察到敏感内容并阻止它，任何需要保护敏感数据的企业都需要数据防护（DLP）技术的帮忙。 第二章网络数据泄露防护功能 一、产品型号说明 北京合力思腾科技股份有限公司，坚持独立自主研发，安全可控的技术主导路线，设计有多宽网关型数据泄露防护产品。可基于网络镜像流量实现以旁路模式数据泄露防护网关。 网络数据泄露防护系统分为3个产品型号： HS2000-1000（XC）HS2000-500（XC）HS2000-100（XC） 说明：XC为信创版本、无XC表示非信创版本。 二、功能列表 三、产品性能指标 说明：带XC表示为信创型号，不带XC为非信创型号。比如HS2000-1000，表示非信创平台高配型号。而HS2000-1000XC表示信创高配型号。 第三章网络数据泄露防护系统原理 合力思腾网络数据泄露防护系统通常部署于DMZ互联网出口点，可以监控互联网出口点离开内部网络的数据，以便及时监控知识产权、受保护信息及文件，提供法规遵从性证据等等。同时也可以设定监控流入企业的信息，及时了解企业员工行为及合规性。 网络数据泄露防护系统产品工作方式： 以被动方式，在消息离开企业网络之前检测到其是否包含敏感信息，从而评估企业内部数据安全风险，及时补救违规事件造成的危害。 网络数据泄露防护系统产品配置： 本产品支持高风险标准通讯协议SMTP/S、FTP、HTTP/S、SMB、NFS、IMAP、POP3，数据库传输等专有传输协议。网络中低风险及高风险协议，本产品默认过滤掉低风险的通讯UDP及VPN安全通信，确保CPU资源不消耗在低风险的通讯上。 (对于HTTPS及SMTPTLS传输，采用旁路监听部署，需提供CA秘钥对，并按照TLS1.1或TLS1.2特定加密方式配置，才能有效解析TLS加密传输协议。) 网络数据泄露防护系统产品部署： 镜像口方式，所有的网络数据无论出站还是入站都会复制到DLP产品的专用接口上，从而DLP可以获取所有通讯的副本。 另外一种方式采取分光设备根据网络实际情况以汇聚或者分光方式将相应的通讯副本发送给DLP产品。 在云平台，支持远程镜像数据采集技术，将虚拟网络中暴露面的数据通过网口自动采集分析。 第四章技术平台 一、平台设计说明 合力思腾数据泄露防护系统解决方案采用以内容为核心，采用监控网络出口及终端I/O的方式，精准检测，高效处理，易于部署，应用便利。相比其它加密及DRM防护手段，更加易于全范围推广部署。也是国际上应用广泛的数据泄露防护系统技术方式。 二、分布式架构 采用分级管理模式，统一管理，策略由一级管控平台HSM直接下发到二级HSM。整套解决方案通过HSM相互联系，各个产品服务器相互独立，只与HSM管理系统通讯，此种结构可以保障一个产品部署多台，或者多个产品同时部署在一个网络中并不相