数字化时代的到来,使数据成为国家重要的战略资源,数据中蕴藏巨大的使用价值,因此对数据安全的保护也提高到国家的战略高度。近年来,国家为了加强数据的安全和保护出台了一系列法律法规,以确保国家、单位和个人的数据安全。即便如此,数据泄露的严重事件仍然频繁发生,给国家、单位和个人造成了严重的损失。如何进行有效的数据安全防控以成为国家、单位和个人所面临的严峻挑战。
数据防泄漏系统(简称DLP)是基于先进的AI识别算法,通过对文档自动分类分级,实现数据有效治理;以深度内容分析为基础,对企业内部外泄内容进行识别,发现敏感数据的传输与应用;结合文件加密技术,保护重要数据资产安全,有效防止核心数据主动、被动泄密。为政府、通讯、金融、能源、设计等各行业用户提供安全、高效、稳定、易用的一体化数据安全整体解决方案,有效防止数据泄漏事件发生。
H3C SecPath DLP2000系列网络数据防泄漏产品包括DLP2020、DLP2030、DLP2050三个型号,广泛适用于“政府、财政、教育、能源、工商、社保、医疗、国土、金融、运营商、企业”等各个行业。
系统支持自定义审批类型、审批流程节点、审核人员及审核关系,极大的提高了审批功能的可用性、易用性。
系统支持策略的灵活部署,与、或、非的多种逻辑结合,针对性强,有效减少审计事件的误报率。
可记录管理员对管理平台各项操作的详细日志;并对用户进行敏感数据外发的识别匹配记录详细的外泄事件等功能,确保事件的可追溯性。
采用了 B/S 模式的系统架构,通过浏览器即可登录系统管理平台,可远程管理登录用户等操作。
系统支持:文档属性识别、关键字技术的内容识别、正则表达式技术的内容识别、权重字典技术的内容识别、数据标识符技术的内容识别、文档内容指纹技术的内容识别、表格内容指纹技术的内容识别、神经网络和机器学习算法的内容识别、自定义脚本方式实现的特定内容识别,充分满足单位各种业务场景,确保数据资产安全。
基于深度内容识别技术与优秀的OCR引擎,支持截图、拍照、扫描等多种方式的多种格式的图片文件识别。
随着企业敏感事件的不断积累,数据库中存储的事件信息会越来越多,在如此庞大数据中查询和调用响应迅速尤为重要,系统支持千万数据秒查,且不影响其他功能使用。
通过与AD域对接,实现IP地址到域用户的反查。
通过与网关、准入等设备联动,实现IP地址到账号的反查。
通过解析DHCP流量,实现IP地址到MAC地址的反查。
表1-1 H3C SecPath DLP2000 系列网络数据防泄漏产品规格
属性 | DLP2020 | DLP2030 | DLP2050 | |
内容识别 | 关键字识别算法 | 支持关键字对规则识别,能够设置关键字间距 | ||
关键字匹配支持次数匹配,支持去重匹配 | ||||
识别故意打乱的关键字 | ||||
支持英文识别忽略大小写 | ||||
支持全字匹配 | ||||
支持简体繁体自适应 | ||||
权重字典识别算法 | 支持对不同关键字设置不同权重,通过权重阈值进行内容判断 | |||
支持制作离线权重字典文件 | ||||
支持简体繁体自适应 | ||||
正则表达式识别算法 | 支持正则表达式规则识别,支持次数匹配,支持去重匹配 | |||
关键字匹配支持次数匹配,支持去重匹配 | ||||
数据标识符识别算法 | 支持通过数据标识符对数据本身的规则和校验功能进行判断,支持二次校验进行更精确识别 | |||
内置有近700种数据标识符算法,覆盖身份证号、银行卡号、护照号、社会信用代码、国际移动设备识别码、二磁信息等 | ||||
指纹识别算法 | 支持结构化数据指纹,结构化数据指纹可指定具体敏感的数据列 | |||
支持非结构化数据指纹,非结构化数据指纹识别依据指纹匹配的百分比(相似度)进行响应,匹配百分比可设置 | ||||
支持离线工具自动生成结构化指纹、非结构化指纹 | ||||
自然语义识别 | 支持基于自然语义的机器学习结果进行内容识别 | |||
支持离线学习工具对样本文件进行语义特征分析 | ||||
支持手动配置、添加、修改、删除特征、分类,对自动分类的文档进行调整后进行二次训练 | ||||
位置判断 | 位置识别 | 支持识别文档正文、页眉、页脚、文本框等各种不同位置中的敏感内容 | ||
嵌套识别 | 对于office、pdf类嵌套文件,支持按组件粒度或文件粒度进行敏感内容识别 | |||
工作簿识别 | 对于excel文件,支持按工作表或工作薄进行内容识别 | |||
邮件格式识别 | 支持识别邮件标题、正文、附件等位置的敏感内容 | |||
类型识别 | 办公类文件类型识别 | 支持识别常见的文件类型,包括office办公软件(doc、docx、xls、xlsx、ppt、pptx、wps、visio)、pdf、网络文件、压缩文件(zip、rar、rar5、7z)、txt、mpp、vsd等。对于不带扩展名或修改扩展名的文件,能根据其文件特征识别其文件类型 | ||
加密文件类型识别 | 支持识别加密的Office类文档、RAR、ZIP、ARJ压缩包、PDF文档,以及通过指定加密软件加密的文档 | |||
图片文件类型识别 | 支持识别图片、影音、多媒体文件,以及多种绘图文件 | |||
自定义类型识别 | 支持用户自定义文件格式、未知文件格式识别 | |||
支持离线工具,自动计算出同类型文件特征码 | ||||
范围识别 | 发送者识别 | 支持通过IP、发件箱定义发送者 | ||
接收者识别 | 支持通过IP、URL、收件箱定义接收者 | |||
组合识别 | 同时满足 | 支持同一个识别规则中同时添加多种识别方式,所有识别方式需要同时满足 | ||
任一满足 | 支持同时设置多个识别规则,只需要一个识别规则命中即可 | |||
内容例外 | 支持例外检测规则,对满足例外检测的内容进行例外处理 | |||
旁路模式 | 接口类型 | 支持光口、电口,支持千兆、万兆 | ||
协议控制 | 支持对每种支持的协议进行开关控制,关闭情况下不会对该协议流量进行内容扫描 | |||
HTTP协议监控 | 支持对HTTP流量进行内容恢复和扫描 | |||
FTP协议监控 | 支持对FTP流量进行内容恢复和扫描 | |||
SMTP协议监控 | 支持对SMTP流量进行内容恢复和扫描 | |||
Samba协议监控 | 支持对Samba流量进行内容恢复和扫描 | |||
NFS协议监控 | 支持对NFS流量进行内容恢复和扫描 | |||
POP3协议监控 | 支持对POP3流量进行内容恢复和扫描 | |||
IP白名单过滤 | 支持通过对目标服务器的IP地址设置白名单,发往白名单的流量不受监控 | |||
URL白名单 | 支持通过对目标服务器的URL地址设置白名单,发往白名单的流量不受监控 | |||
邮件白名单 | 支持对电子邮件的发件人、收件人设置白名单,对收件人白名单支持限制全部满足或任一满足 | |||
邮件告警 | 支持对发现包含敏感内容的流量时进行邮件告警,邮件内容、收件人等支持自定义 | |||
证据留存 | 支持对包含敏感内容的原始数据进行留存 | |||
文件上传 | 支持将包含敏感内容的原始数据上传到指定的文件服务器 | |||
事件上传 | 支持通过syslog接口将泄漏事件上报到第三方平台 | |||
事件记录 | 支持将泄漏事件发生的现场进行详细记录,包含源IP、目标IP、目标URL、时间、通道、协议类型、触发的策略、原始数据属性等内容 | |||
串联模式 | 接口类型 | 支持光口、电口,支持千兆、万兆 | ||
协议控制 | 支持对每种支持的协议进行开关控制,关闭情况下不会对该协议流量进行内容扫描 | |||
SSL证书 | 支持导入、导出SSL证书 | |||
HTTP/HTTPS协议监控 | 支持对HTTP、HTTPS流量进行内容恢复和扫描 | |||
SMTP/SMTPS协议监控 | 支持对SMTP、SMTPS流量进行内容恢复和扫描 | |||
POP3/POP3S协议监控 | 支持对POP3、POP3S流量进行内容恢复和扫描 | |||
IMAP/IMAPS协议监控 | 支持对IMAP、IMAPS流量进行内容恢复和扫描 | |||
IP白名单过滤 | 支持通过对目标服务器的IP地址设置白名单,发往白名单的流量不受监控 | |||
URL白名单 | 支持通过对目标服务器的URL地址设置白名单,发往白名单的流量不受监控 | |||
邮件白名单 | 支持对电子邮件的发件人、收件人设置白名单,对收件人白名单支持限制全部满足或任一满足 | |||
外发阻断 | 支持直接阻断包含敏感内容的外发流量 | |||
邮件告警 | 支持对发现包含敏感内容的流量时进行邮件告警,邮件内容、收件人等支持自定义 | |||
证据留存 | 支持对包含敏感内容的原始数据进行留存 | |||
文件上传 | 支持将包含敏感内容的原始数据上传到指定的文件服务器 | |||
事件上传 | 支持通过syslog接口将泄漏事件上报到第三方平台 | |||
事件记录 | 支持将泄漏事件发生的现场进行详细记录,包含源IP、目标IP、目标URL、时间、通道、协议类型、触发的策略、原始数据属性等内容 | |||
路由模式 | 接口类型 | 支持光口、电口,支持千兆、万兆 | ||
协议控制 | 支持对每种支持的协议进行开关控制,关闭情况下不会对该协议流量进行内容扫描 | |||
SSL证书 | 支持导入、导出SSL证书 | |||
HTTP/HTTPS协议监控 | 支持对HTTP、HTTPS流量进行内容恢复和扫描 | |||
SMTP/SMTPS协议监控 | 支持对SMTP、SMTPS流量进行内容恢复和扫描 | |||
POP3/POP3S协议监控 | 支持对POP3、POP3S流量进行内容恢复和扫描 | |||
IMAP/IMAPS协议监控 | 支持对IMAP、IMAPS流量进行内容恢复和扫描 | |||
IP白名单过滤 | 支持通过对目标服务器的IP地址设置白名单,发往白名单的流量不受监控 | |||
URL白名单 | 支持通过对目标服务器的URL地址设置白名单,发往白名单的流量不受监控 | |||
邮件白名单 | 支持对电子邮件的发件人、收件人设置白名单,对收件人白名单支持限制全部满足或任一满足 | |||
外发阻断 | 支持直接阻断包含敏感内容的外发流量 | |||
邮件告警 | 支持对发现包含敏感内容的流量时进行邮件告警,邮件内容、收件人等支持自定义 | |||
证据留存 | 支持对包含敏感内容的原始数据进行留存 | |||
文件上传 | 支持将包含敏感内容的原始数据上传到指定的文件服务器 | |||
事件上传 | 支持通过syslog接口将泄漏事件上报到第三方平台 | |||
事件记录 | 支持将泄漏事件发生的现场进行详细记录,包含源IP、目标IP、目标URL、时间、通道、协议类型、触发的策略、原始数据属性等内容 | |||
代理模式 | 接口类型 | 支持光口、电口,支持千兆、万兆 | ||
协议控制 | 支持对每种支持的协议进行开关控制,关闭情况下不会对该协议流量进行内容扫描 | |||
SSL证书 | 支持导入、导出SSL证书 | |||
HTTP/HTTPS协议监控 | 支持对HTTP、HTTPS流量进行内容恢复和扫描 | |||
IP白名单过滤 | 支持通过对目标服务器的IP地址设置白名单,发往白名单的流量不受监控 | |||
URL白名单 | 支持通过对目标服务器的URL地址设置白名单,发往白名单的流量不受监控 | |||
邮件白名单 | 支持对电子邮件的发件人、收件人设置白名单,对收件人白名单支持限制全部满足或任一满足 | |||
外发阻断 | 支持直接阻断包含敏感内容的外发流量 | |||
邮件告警 | 支持对发现包含敏感内容的流量时进行邮件告警,邮件内容、收件人等支持自定义 | |||
证据留存 | 支持对包含敏感内容的原始数据进行留存 | |||
文件上传 | 支持将包含敏感内容的原始数据上传到指定的文件服务器 | |||
事件上传 | 支持通过syslog接口将泄漏事件上报到第三方平台 | |||
事件记录 | 支持将泄漏事件发生的现场进行详细记录,包含源IP、目标IP、目标URL、时间、通道、协议类型、触发的策略、原始数据属性等内容 | |||
事件管理 | 事件查询 | 支持事件列表查看,可对事件严重度、组织机构、触发策略、涉及分类等进行事件过滤查看 | ||
支持根据事件时间、状态、协议类型进行事件过滤查看 | ||||
支持高级查询条件,包括事件ID、组织机构、用户、策略、数据分级、数据分类、命中规则、响应动作、敏感内容、事件说明等组合查询。 | ||||
支持保存事件的组合查询条件 | ||||
支持查询结果导出为json和pdf格式 | ||||
事件查看 | 每个事件支持根据事件快照查看详细内容;包含发送者、时间、违规内容、泄露方式、泄密文件、发件人、收件人等信息。可显示IP地址、邮件帐号、用户ID、违规策略,日期和时间,响应方式,事件状态等信息 | |||
每个事件可包括事件概要信息、事件命中信息、响应信息、审计处理信息 | ||||
每个事件中命中多个敏感分类的数据可分别查看 | ||||
事件后处理 | 支持根据预设的策略标准对违规事件的严重等级进行划分 | |||
支持事件的删除与还原 | ||||
支持添加事件批注和修改严重度 | ||||
事件分析 | 事件统计 | 支持安全事件的自定义过滤和多维度关联统计 | ||
事件报表 | 支持通过各种过滤条件生成报表,可直观展现事件趋势、风险状况统计报告。 | |||
支持周期性生成报表,历史报告可查看 | ||||
支持通过电子邮件发送报表 | ||||
首页 | 首页可自定义 | |||
账号管理 | 权限管理 | 支持权限分离 | ||
支持自定义权限组合 | ||||
登陆控制 | 支持登录控制,设置登录地址 | |||
支持强制修改密码,支持密码复杂度校验 | ||||
支持登录验证 | ||||
支持账号锁定配置,多次登录失败后自动锁定账号 | ||||
支持登录超时控制,超时未操作后,账号自动退出 | ||||
组织架构 | 支持通过AD、LDAP、LDAPS协议同步组织架构和人员信息 | |||
支持通过excel导入组织架构、人员信息、设备信息 | ||||
支持手动添加、修改、删除组织架构、人员信息、设备信息 | ||||
防护端管理 | 状态查看 | 可以查看防护端设备在线、资源使用情况 | ||
模式控制 | 可以在线设置产品部署模式、监控模式 | |||
系统管理 | 备份与还原 | 支持数据库备份、还原 | ||
支持管控策略导入导出 | ||||
支持操作系统类型 | CentOS 7.3-7.9版本 |
该模式适用于网络出口流量中的敏感内容检测与监控,该模式下网关设备以旁路模式部署,扫描通过网关的多种协议和文件内容,从而发现其中违反安全策略的敏感内容风险事件,并根据预置策略进行记录甚至告警。
当网关工作在审计模式下,网络DLP的部署不会影响组织当前的网络架构,网关服务器支持以下数据接收方式:
从交换机镜像端口获得的数据流量副本
通过网络分流器接收的数据流量副本
通过第三方设备的特定应用数据副本,如HTTP/HTTPS、FTP、Mail等
网络DLP网关设备使用高性能网络接口卡,高速网卡提供缓冲功能,这样对系统 CPU 的中断较少,支持在不丢失数据包的情况下提高处理吞吐量。为了帮助高负载环境,网关DLP设备可以水平扩展,支持在多个设备间进行流量的负载均衡。
对于大型的组织或者企业,当网络出口流量较大超过网络DLP网关处理能力的情况下,可以通过网络分流器将数据流量按照带宽大小进行切分或者按照指定分流规则进行流量切分,切分后的流量副本按照分析需求接入到指定的多台网络DLP网关设备中进行数据分析处理。通过集成网络分流器配合实现灵活的流量控制、分类捕捉分析。
适用于网络出口流量中的敏感内容检测与监控,并提供对触发安全策略的数据泄露事件进行阻断,系统支持 HTTP/HTTPS/FTP/SMTP等协议。阻断部署方式包含:代理模式(正向、反向)、路由模式、网桥模式以及ICAP。
H3C SecPath DLP2000系列网络数据防泄漏系统是新华三技术有限公司自主开发的产品,用户可以根据实际需求按照型号进行选购。
表1-1 选购一览表
主机 | 描述 | 备注 |
H3C SecPath DLP2020 | H3C SecPath DLP2020动态脱敏 | 必配 |
H3C SecPath DLP2030 | H3C SecPath DLP2030动态脱敏 | 必配 |
H3C SecPath DLP2050 | H3C SecPath DLP2050动态脱敏 | 必配 |
表1-2 选购一览表
配件 | 描述 | 备注 |
扩展插卡 | H3C SecPath IPC 4端口千兆以太网电接口(RJ45)+4端口千兆以太网光接口(SFP)模块 | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45) | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网光接口模块(SFP) | 选配 |
扩展插卡 | H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+) | 选配 |
扩展电源 | H3C 350W 交流电源模块 | 选配 |