- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath DLP2000数据防泄漏系统
Web配置指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DLP2000数据防泄漏系统是基于先进的AI识别算法,通过对文档自动分类分级,实现数据有效治理;以深度内容分析为基础,对企业内部外泄内容进行识别,发现敏感数据的传输与应用;结合文件加密技术,保护重要数据资产安全,有效防止核心数据主动、被动泄密。
H3C SecPath DLP2000数据防泄漏系统支持旁路模式、网桥模式、代理模式和路由模式四种组网环境。四种模式适用的环境如下:
· 旁路模式通过交换机旁挂在网络链路中,通过交换机镜像数据流量到数据防泄漏系统进行内容检测,对原网络拓扑无影响。由于数据防泄漏是旁挂在数据链路中,不能获取到加密数据的真实内容,因此,旁路模式不支持加密数据的检测,比如HTTPS协议的内容。
· 网桥模式串联在网络链路中,设备只支持配置一对网口组成网桥模式,可以对加密数据进行检测,支持的协议包括HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等协议。
· 代理模式通过单臂形式串联在网络链路中,只支持HTTP/HTTPS协议的代理检测。
· 路由模式也是通过单臂形式串联在网络链路中,可以对加密数据进行检测,支持的协议包括HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等。
H3C SecPath DLP2000数据防泄漏系统支持旁路模式、网桥模式、代理模式和路由模式四种组网模式,每种模式的协议可以单独控制是否开启检测功能,并能定制白名单功能,满足不同网络环境的部署需求。
系统内置强大的智能识别引擎,不仅能对普通关键字进行检测,还支持正则表达式、权重字典、数据标识符、文档指纹和表格指纹、自然语义等功能识别;并支持跨组件内容的识别、自动识别简体/繁体、智能分词识别、自动识别不同位置内容等能力。
系统支持对部分网站进行深度解析,精确识别Web mail发件人、收件人、邮件正文、附件等内容,而不仅仅是对HTTP数据进行简单的匹配。
防泄漏系统支持事件详细信息记录、阻断数据外泄、邮件通知、原始数据留存等多种响应方式,并能对事件记录进行核实、归档、导出等操作,便于管理员进行管理。
· 采用B/S架构,提供WEB管理界面,更直观清晰;
· 支持多种部署模式,满足旁路、直路不同的组网需求;
· 内置丰富的敏感数据自动发现规则;
· 内置强大的识别引擎,识别各种类型的数据;
· 采用三权分立的管理模式,具备访问控制能力,保证自身安全;
· 内置系统管理员、策略管理员、审计管理员角色,各种角色权责分明;
· 支持用户行为日志和事件日志查看;
· 支持事件核实、归档、导出等操作,网络事件形成闭环处理。
网桥模式、路由模式、代理模式下不支持承载在IPv6上的内容检测,旁路模式支持基于IPv6的内容检测。
不支持HTTP2协议内容的检测。旁路模式下当前已定制完成(可以正确获取到上传的文件名)的支持HTTP的web网站为139邮箱、新浪邮箱、QQ邮箱、天涯社区、lofter、dlptest,若需定制化站点,需将完整的上传报文抓取后提供给研发。
不支持防泄漏产品串联在两台交换机trunk口之间(即带vlan tag的报文)的网络环境。
网桥模式、路由模式、代理模式下,当系统使用非正规的证书文件(非知名CA机构颁发的证书)时,部分对证书安全要求严格的应用(包括PC端或手机端)将受影响,包括腾讯旗下多款软件,如腾讯会议(通过微信扫描二维码登录),Foxmail邮件客户端(使用SMTPS协议发送邮件到腾讯企业邮箱)、知乎网站的外链资源等。
设备不支持端口聚合。
无法导出使用外置资源(权重字典、表格指纹、文档指纹、语义模型、自定义脚本)的规则或导出引用了该规则的策略。当尝试导出上述规则或策略时系统会提示导出成功0条。
(1) 浏览器中输入URL:https://设备IP地址(如:https://192.168.11.122),进入数据防泄漏系统登录页面。
(2) 输入管理员用户名及密码,默认密码admin/admin,首次登录需要修改密码。
(3) 点击“登录”按钮,进入管理界面,如图2-1所示。
(1) 管理员登录数据防泄漏系统,默认第一次登录需要修改用户密码,不是第一次登录也可进行修改用户密码,在主界面右上方点击登录的账户下拉框选择“修改密码”菜单,进入修改密码功能界面,如图2-2所示。
(2) 输入原密码、新密码、确认密码后,点击“确定”按钮,即可成功修改密码,退回至登录页面,如图2-3所示。
(3) 输入管理员账号和更改后的密码即可登录。
展示系统各项数据的报表,默认展示外泄事件。外泄事件从以下维度进行展示:外泄人员总数、风险值事件总数、事件数量总数、增长率、事件数量趋势、事件严重性趋势。首页的展示报表也可以由用户自定义,通过“审计中心 > 系统报表”页面,用户可以灵活定义个性化首页,并设置为默认首页。系统默认首页如图2-4所示。
审计管理员登录系统,根据不同的需求定制关于事件类别、告警日志、日志审计类型的报表,可根据不同维度设计统计报表。并且可以将定制的报表进行发送邮件、下载、设置为首页等操作。系统报表的页面如图2-5所示。
(1) 系统管理员登录系统,选择“审计中心 > 系统报表”。
(2) 点击“新增”按钮进入报表信息页面,主要分为概述和详情两模块,如图2-6、图2-7所示:
(3) 在“详情”页面点击“新增报表项”按钮,进入新增报表项页面,如图2-8所示,其中类别有:外泄事件、告警日志、日志审计。
(4) 选择上述的任意类别、报表对象等进行组合,报表项两列展示如图2-9所示,三列展示如图2-10所示。
(5) 点击保存按钮保存,自定义报表就在报表页显示。
· 当类别为外泄事件时,报表对象包含事件数量、风险值、事件严重性、外泄人员、、监控文件、增长率、外泄状态、根据条件过滤选项。选择事件数量,展示维度包含事件总数、事件趋势。选择风险值时,展示维度包含事件总数、风险值趋势;选择事件严重性时,展示维度包含事件总数、严重性趋势;选择外泄人员时,展示维度包含人员总数、事件排名、风险值排名、严重性排名;选择监控文件时,展示维度包含文件数量、文件趋势;选择增长率时,展示维度包含当日增长率、增长率趋势;选择外泄状态时,无展示维度。
· 当类别为告警日志时,报表对象包含历史统计、列表信息。选择历史统计,展示维度包含告警总数、严重性分布、告警趋势、设备排名;选择列表信息时,展示维度包含未恢复告警列表、已启用告警列表、已恢复告警列表。
· 当类别为日志审计时,报表对象包含操作日志、登录日志。选择操作日志时,展示维度包含最近10条操作记录、按日志类别统计、按用户统计、按设备统计;选择登录日志时,展示维度包含异常登录总数、异常登录排名、最近10条登录异常日志。
· 统计时间包含当日、最近三天、最近一周、最近一月和自定义。
(1) 系统管理员登录系统,选择“审计中心 > 系统报表”,进入“系统报表”列表页面。
(2) 点击“
”,展示历史生成的报表,如图2-11所示。
(3) 若设置定时保存,报表信息会存在这个列表中,可以查看,删除。
(1) 将报表编辑完成后,点击操作的“
”,可以看到新建生成的报表,如图2-12所示。
(2) 进入查看报表的页面。
(3) 点击右上角的“发送”按钮,可以将报表进行邮件发送到设置的相关人员。
(4) 点击右上角的“下载”按钮,可以将报表以图片的形式进行下载。
(5) 点击右上角的“设为首页”按钮,可以将当前的报表设置为首页展示。
点击系统报表页面的操作“编辑”,可以再次进行编辑修改,如图2-13所示。
(1) 点击“审计中心>系统报表”进入系统报表页,点击“计算系数”按钮,可以设置风险系数和安全等级,如图2-14所示。
(2) 风险系数支持自定义设置数值,点击“恢复默认”按钮可恢复默认值,如图2-15所示。
(3) 安全等级可以根据风险值上限和数量值上限来设置。
(4) 同时可以点击“恢复默认”按钮恢复默认值,如图2-16所示。
(5) 点击“添加”按钮,可以添加等级编辑,如图2-17所示。
审计管理员/系统管理员登录系统,选择“审计中心 > 泄漏事件”,进入事件管理页面,可对事件进行查询、导出、直接归档、删除、更改级别、发送邮件通知、补充审核意见、添加备注等操作。
进入“泄漏事件”页面,左侧为过滤条件的默认列表,可根据条件自由选择,如图2-18所示。
(1) 进入“审计中心 > 泄漏事件”页面,默认为快速查询页面,如图2-19所示。
(2) 输入选择有效的查询条件的关键字。
(3) 点击“搜索”按钮,可查询相应的事件信息。
(4) 点击“清空”按钮,可清空查询条件。
查询条件说明:
· 严重级别为复选,包括提示、一般、严重、高危。
· 事件状态为复选,包括新建、待核实、待处理、待归档。
· 发现时间选择日期范围,包括所有、当天、最近3天、最近1周、最近10天、最近1个月,还可以进行自定义时间范围。
统计方式说明:包括主统计项、次统计项。如图2-20所示:
· 主统计项为单选,默认无,包括事件ID、设备名称、协议、外泄时间、上报时间、触发者IP、接受者IP、接收者URL、网络泄漏途径、数据流向、内容格式、文件名、文件MD5值、文件大小、文件类型、策略名称、接收者邮箱、接收者用户、用户名、分级名称、部门名称、状态、外泄状态、更新时间、严重等级、策略组名称、邮件附件名称。
· 次统计项为单选,默认不显示,当主统计项不是“无”时显示,选择项与主统计项展示的一样。
· 查询结果列表:默认显示触发者IP、用户名、策略名称、严重等级、状态、操作等列。
· 列表操作栏:包含展示列表、对列表显示的事件进行批量的导出或全部导出、直接归档、删除、更改级别、更多操作。其中更多操作包含发送邮件通知、补充审核意见、更新处置结果、添加备注等操作。其中展示列表可选择事件需要展示的字段信息,如图2-21所示。
(1) 点击“高级”按钮,进入高级查询页面,如图2-22所示。
(2) 默认显示一行查询,选择查询字段和查询运算符后,点击“添加”按钮,在默认查询输入框下再添加一条查询输入框,如图2-23所示。
(3) 点击“保存”按钮,弹出保存条件页面,如图2-24所示。
(4) 输入条件名称,点击“保存”按钮,保存成功,过滤条件中显示该保存的条件。
(5) 点击“取消”按钮,取消保存操作。
(6) 选择当前已有的过滤条件,点击“另存”按钮,弹出另存为的界面,如图2-25所示。
(7) 输入条件名称,点击“提交”按钮,另存为成功,过滤条件列表中显示该条数据。
(8) 点击“取消”按钮,取消另存为操作。
(1) 进入“泄露事件”页面,在相关事件后点击操作的“详情”按钮,进入查看事件详细信息页面。如图2-26所示,分为左侧的基本信息区域、中间的详细信息区域、右侧的操作区、关联分析、操作记录和备注区域。
(2) 可点击“下一条/上一条”按钮,跳转到下一个事件详细信息界面,可查看或处理下一事件。
(3) 点击“关闭”按钮,可关闭当前事件详情页面。
(1) 发送邮件通知
a. 在“泄漏事件”页面点击更多操作中的“发送邮件通知”按钮或点击详情页操作区的“发送邮件通知”按钮,进入违规通知页面,如图2-27所示。
b. 填写完整各项信息后,点击“发送”按钮,邮件发送成功。
c. 点击“取消”,取消发送邮件通知的操作。
(2) 补充审核意见。
a. 选择“新建”或“待核实”状态的事件,在“泄漏事件”页面点击更多操作中的“补充审核意见”按钮或点击详情页操作区的“补充审核意见”按钮,进入填写审计结果页面,如图2-28所示;
b. 填写完整各项信息后,点击“确定”按钮,审计成功,事件状态变为“待处理”状态;
c. 点击“取消”,取消进行填写审计结果的操作。
(3) 更新处置结果。
a. 选择“待处理”状态的事件,在“泄漏事件”页面点击更多操作中的“更新处置结果”按钮或点击详情页操作区的“更新处置结果”按钮,进入填写处理结果页面,如图2-29所示。
b. 填写完整各项信息后,点击“确定”按钮,填写处理成功,事件状态变为“待归档”状态。
c. 点击“取消”,取消进行填写处理结果的操作。
(4) 事件导出。
在“泄漏事件”页面勾选数据,点击 “导出”按钮或点击详情页操作区的“导出详情”按钮。点击“导出”按钮,进入事件导出页面,有事件下载和syslog输出两种方式:
· 事件下载如图2-30所示,下载格式分为JSON和PDF,可勾选同时下载原始文件。
· SYSLOG导出如图2-30所示,配置SYSLOG服务器目标IP、目标端口,协议可选择TCP和UDP两种方式。
(5) 事件归档。
a. 选择“待归档”状态的事件,在“泄漏事件”页面点击更多操作的“归档”按钮或点击详情页操作区的“事件归档”按钮,弹出“确定要归档吗?”,如图2-32所示。
b. 点击“确定”按钮,事件归档成功,事件状态变为“已归档”状态。
c. 点击“取消”,取消归档的操作。
d. 选择任意事件,点击“泄漏事件”页面的“直接归档”按钮,弹出“确定要直接归档吗”,如图2-33所示,点击“确定”按钮,直接归档成功,点击“取消”,取消直接归档的操作。
(6) 事件删除。
a. 选中需要删除的事件,在“泄漏事件”页面 点击“删除”按钮,弹出“确定要删除所选的事件吗?”,如图2-34所示;
b. 点击“确定”按钮,删除成功;点击详情页操作区的“删除事件”按钮,弹出“确定要删除该事件吗?”,如图2-35所示;
c. 点击“确定”按钮,事件删除成功;
d. 点击“取消”,取消删除操作。
(7) 更改级别。
a. 选中需要更改级别的事件,在“泄漏事件”页面点击“更改级别”按钮,弹出更改级别页面,如图2-36所示。
b. 修改级别后点击“确定”按钮,事件更改级别成功。
c. 点击详情页操作区的“修改级别”按钮,弹出修改级别页面,如图2-37所示。
d. 点击修改级别后点击“确定”按钮,事件级别更改成功。
e. 点击“取消”取消更改级别的操作。
(8) 添加备注。
a. 选中需要添加备注的事件,在“泄漏事件”页面点击更多操作中的“添加备注”按钮或点击详情页操作记录的“添加备注”按钮,进入添加备注页面,如图2-38所示。
b. 输入备注后,点击“确认”按钮,添加备注成功。
c. 点击“取消”,取消添加备注的操作。
(9) 文件下载
a. 对于响应动作为证据留存和桌面截屏的事件,可在详情页左侧的详细信息进行文件下载和截屏图片下载,如图2-39所示;
b. 点击蓝色字体文件名和截屏图片的下载按钮,可以下载原始文件和截屏的图片。
系统中涉及邮件发送的功能必须在配置发件服务器的前提下,才能发送成功。
数据采集中包含了从设备上采集的点滴事件和登录日志。点滴事件是指多次数据传输过程中命中规则次数达到设定值时才作为一次事件告警,而不会每次命中都作为一次独立的事件告警;登录日志采集了各种系统用户登录设备的日志。
(1) 审计管理员登录系统,选择“审计中心 > 数据采集 > 点滴事件”,进入“点滴事件”页面。
(2) 点击过滤器,输入/选择账号、姓名、触发源、策略名称或生成规则进行事件筛选,如图2-40所示。
(3) 点击操作回溯,可查看事件记录相应的信息,如图2-41所示。
(4) 点击“返回”按钮,返回发现记录页面。
(5) 点击详情,可查看事件的详细信息,如图2-42所示。
(6) 点击“上一条/下一条”按钮,可以查看下一条事件信息,页面左侧显示记录的详细信息。
(7) 点击“返回”按钮,返回事件记录的信息。
(8) 点击“点滴事件”页面某个事件的操作详情,可查看事件的详细信息。
(9) 点击左侧文件列表的文件名,可查看报告时间、事件来源、事件状态等信息,如图2-43所示。
操作登录日志的具体步骤如下:
(1) 进入“审计中心 > 数据采集 > 登录日志”页面,如图2-44所示。
(2) 点击过滤器,选择账号、姓名、IP、操作时间、操作或类型进行记录筛选。
(3) 点击右上角“导出所选”按钮,可选择记录进行导出。
(4) 点击右上角“导出全部”按钮,可导出全部记录。
系统日志用于记录用户在系统相应模块进行的操作,记录内容包含:账号、姓名、操作时间、IP、操作模块、操作类型、操作内容,管理员可勾选对应数据进行导出。
操作系统日志的具体步骤如下:
(1) 审计管理员登录系统,选择“审计中心 > 数据采集 > 系统日志”,进入系统日志页面,如图2-45所示。
(2) 点击过滤器,输入账号、姓名、IP、操作时间、操作模块、操作类型或操作内容,点击“搜索”按钮,可查看相应信息。
(3) 点击右上角“导出所选”按钮,可选择记录进行导出。
(4) 点击右上角“导出全部”按钮,可导出全部记录。
组织架构实现管理组织中的所有人员,可以添加/删除/修改组织部门和人员,设定组负责人。添加“系统用户”时可以直接从组织架构的人员中引用。
系统中可以添加多个组织部门,匹配组织的实际人力组织架构。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,点击“添加”,如图2-46所示。
(2) 输入组织名称并点击“确定”。
系统可以按部门设置部门中所有成员的等级。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在组织架构树状结构中选中部门,点击“按组织设置”并选择“成员等级设置”如图2-47所示。
(2) 选择该部门所需设置的等级,并点击“确定”。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,点击“新增”按钮,如图2-48所示。
(2) 进入“新增成员”窗口,如图2-49所示。
(3) 输入成员信息并点击“确定”。
(1) 点击“用户管理 >
组织架构”进入组织架构页面,点击需要修改信息的成员所在行的
图标。
(2) 在弹出窗口中修改相关信息并点击“确定”,如图2-50所示。
组负责人即部门负责人,可以为每个部门设置一个组负责人,也可以为部门设置多个组负责人。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,点击“添加组负责人”,如图2-51所示。
(2) 在弹出窗口中选择组负责人,如图2-52所示。
移动成员可以变更成员所在的部门。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在成员列表中选中需要变更部门的成员,点击“移动成员”,选择要变更的部门并点击“确定”,如图2-53所示。
批量设置成员等级可以对多个成员等级进行批量修改。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在成员列表中选中需要所有需要设置等级的成员,点击“批量设置 > 成员等级设置”,如图2-54所示。
(2) 选择相应的等级后点击“确定”。
批量设置成员密码可以对多个成员密码进行批量修改。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在成员列表中选中需要所有需要设置密码的成员,点击“批量设置 > 登录密码设置”,如图2-55所示。
(2) 输入密码后点击“确定”。
批量设置成员状态可以对多个成员进行批量启用/禁用。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在成员列表中选中需要所有需要设置状态的成员,点击“批量设置 > 成员状态设置”,如图2-56所示。
(2) 选择“启用”或“禁用”后点击“确定”。
成员状态可以删除现有的成员。
(1) 点击“用户管理 > 组织架构”进入组织架构页面,在成员列表中选中需要删除的成员,点击“删除”按钮,如图2-57所示。
(1) 加AD源的方式添加数据源。
a. 点击“用户管理>数据源”进入数据源页面,点击“添加数据源”按钮,如图2-58所示
b. 进入添加数据源页面,默认选择方式是“添加AD源”,如图2-59所示,按照需求将各输入框输入完整,点击“保存”按钮,保存成功;
c. 点击“取消”按钮,取消添加AD源的操作。
字段说明:
· 数据源名称:必填项,重复校验,最长50个字符
· 数据源描述:非必填项;
· 服务器地址:域服务器地址,例172.16.10.18;
· 服务器DN:域名,例secdlp.com;
· 组织单位:ou,ou1,ou2…,英文逗号隔开。例合肥研发中心,测试部;
· 域账号:必填;
· 域账号密码:必填。
(2) 上传离线组织架构方式添加数据源。
a. 点击“用户管理>数据源”进入数据源页面,点击“下载Excel模板”,打开已下载的Excel模板,将信息填写完整,如图2-60所示
b. 点击“添加数据源”按钮,进入添加数据源页面,选择方式是“上传离线组织架构(使用excel模板生成)”如图2-61所示,按照需求将各输入框输入完整,上传使用Excel模板生成的文件,点击“保存”按钮,保存成功;
c. 点击“取消”按钮,取消添加AD源的操作。
(3) 上传组负责人方式添加数据源。
a. 在数据源列表页面,点击“下载组负责人模板”,按照模板将信息填写完整。
b. 点击“添加数据源”按钮,进入添加数据源页面,选择方式是“上传离线组织架构(使用组负责人模板生成)”如图2-62所示.
c. 按照需求将各输入框输入完整,上传按照模板填写完整的文件,点击“保存”按钮,保存成功.
d. 点击“取消”按钮,取消添加AD源的操作。
图2-62 上传组负责人
(4) 进入“用户管理 > 数据源”页面,选择要导入的数据源,点击右上角“导入数据源”按钮,如图2-63所示导入数据源,导入成功后,导入状态栏会显示“成功”,如图2-64所示。
在数据源页面选中需要进行修改操作的数据源,点击操作列中的“
”按钮,进入编辑操作页面,修改各信息后,点击“保存”按钮,保存成功;点击“取消”按钮,取消修改的操作。
在数据源页面选中需要进行定时同步操作的数据源(仅限通过AD域添加的数据源),点击操作列中的“
”按钮,进入编辑操作页面,如图2-65所示,勾选“启用定时同步”按钮,周期设置可以设置为每天或者每周,若设置为每周,可以选择每周几进行同步,如图2-66所示,同步开始时间默认0点,可以自行修改,点击“保存”按钮,保存成功;点击“取消”按钮,取消修改的操作。
在数据源页面可对选中的数据源进行删除操作,点击操作列中的“
”按钮,弹出“确实要删除吗”弹框,确认删除成功;点击“取消”按钮,取消删除的操作。
按照三权分立的原则,系统内置三种用户角色:系统管理员、策略管理员、审计管理员,三种角色分别享有独立的权限。系统管理员具有管理系统的权限,比如系统参数配置、用户账号配置等;策略管理员具有防护策略管理、数据权限等权限;审计管理员具有审计报表、事件查看等权限。系统管理员登录系统后,可以按照需求新增角色。
系统管理员登录系统后,点击“用户管理 > 系统角色”进入角色管理页面,如图2-67所示。
(1) 点击“新建角色”按钮,进入创建角色页面,如图2-68所示。
(2) 输入角色名称、角色描述,勾选权限后,点击“确定”按钮,保存成功。
(3) 点击“取消”按钮,取消创建。
选择要操作的系统角色,点击右上角的禁用角色、启用角色、删除角色,可以对角色进行相应的操作,如图2-69所示。
图2-69 禁用/启用/删除角色
系统管理员登录系统后,可以按照需求对系统用户进行新增、删除、修改、查询、用户登录限制的控制、重置用户密码、配置角色等操作。
系统管理员登录系统后,点击“用户管理 > 系统用户”,进入系统用户管理页面,如图2-70所示。
(1) 点击“新增用户”按钮,进入新建用户页面,如图2-71所示。
(2) 可以从组织架构中选择成员进行新建。点击“从组织架构中选择”按钮,弹出从组织架构中选择页面,如图2-72所示。
(3) 选择成员后点击“保存”,用户名和邮箱带入到新建用户页面。
(4) 其它信息输入完整后,点击“保存”按钮,保存成功。
(5) 点击“返回”按钮,返回“系统用户”页面。
(6) 在新建用户页面,按照要求填写完整信息,点击“保存”按钮,保存成功。
(7) 点击“返回”按钮,返回“系统用户”页面。
(8) 成功创建用户后,会发送一份含用户名和密码的邮件到对应的邮箱中。
(1) 选择一个新增的用户,点击操作列的“编辑”按钮,进入编辑用户信息页面,如图2-73所示。
(2) 对用户的登录设置进行修改,切换至“登录设置”tab页签,如图2-74所示。
(3) 对登录地址设置、登录时间设置等信息进行配置操作,修改完成后,点击“保存”按钮,保存成功。
(4) 点击“取消”按钮,取消修改操作。
新增的用户可进行删除操作,删除有两种方式:一种单个删除,一种批量删除。单个删除,选择需要删除的用户,点击操作列中的“删除”按钮,弹出“确实删除吗”弹框,确认删除成功;批量删除,勾选多个需要删除的用户,点击右上角的“删除”按钮,弹出“确定要删除选中项吗?”的提示框,确认删除成功。
选择需要重置口令的用户,点击右上角的“重置用户密码”按钮,可重置用户密码;成功重置密码的用户,口令会通过邮件发送到用户邮箱中。
· 用户的角色绑定修改是在“编辑用户信息”页面进行。
· 添加用户:邮箱必须是有效邮箱,才能收到审计或告警邮件。
策略中心用于配置各种安全策略,包括:文档标签、规则库、策略管理、外泄通道、应用范围、特征库。文档标签用于定义文档的密级和分类;规则库用于定义各种安全规则;策略管理引用规则用于定义各种安全策略;外泄通道用于定义数据泄漏的途径;应用范围用于定义安全策略应用的网络对象;特征库用于定义各种原始的特征描述。
创建内容识别规则前需对分级进行配置从而进行关联。密级标签界面可对分级进行新增、编辑、删除、查询操作。
(1) 查看密级标签页面
策略管理员登录系统,选择“策略中心 > 文档标签 > 密级标签”,进入分级页面,如图2-75所示。
(2) 新增分级
a. 点击“新增”按钮,进入新增分级页面,如图2-76所示。
b. 按要求填写各项信息,点击“确定”按钮,新增成功,并显示在内容分级页面。
字段说明:
· 名称:校验重复名称,最长可输入50个字符;
· 描述:备注信息,最长可输入500个字符;
· 密级权重:输入1~99的整数,密级权重不允许重复,权重值越大,密级程度越高。
(3) 编辑分级
a. 点击“编辑”按钮,进入编辑分级页面,如图2-77所示。
b. 按要求填写各项信息,点击“确定”按钮,编辑成功,并显示在内容分级页面。
字段说明:
· 密级名称:可编辑;
· 描述:可编辑;
· 密级权重:可编辑。
点击“删除”按钮,成功删除分级,如图2-78所示。支持批量删除。
(5) 查询分级
输入“名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-79所示。
· 默认密级不允许删除、修改。
· 若分级正在被使用,则无法删除。
创建分类,将数据资产进行归类。分类管理页面可以进行新增、修改、删除、查询操作。
(1) 查看分类标签页面
策略管理员登录系统,选择“策略中心 > 文档标签 > 分类标签”,进入如下页面,如图2-80所示:
(2) 新增类别
点击“新增”按钮进入新增分类页面,如图2-81所示。
字段说明:
· 名称:校验重复名称,最长可输入50个字符;
· 描述:备注信息,最长可输入500个字符;
(3) 编辑类别
a. 点击“编辑”按钮,进入编辑类别页面,如图2-82所示。
b. 按要求填写各项信息,点击“确定”按钮,编辑成功,并显示在内容分级页面。
字段说明:
· 名称:可编辑;
· 描述:可编辑。
(4) 删除类别
点击“删除”按钮,成功删除分级,如图2-83所示。
(5) 查询类别
输入“名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-84所示。支持模糊搜索。
若分类正在被使用,则无法删除。
内容识别规则模块用于设置数据内容分级分类规则,用户可在该界面新增、修改、删除、查询、导入、导出内容识别规则。
(1) 查看内容识别规则页面
策略管理员登录系统,选择“策略中心 > 规则库 > 内容识别规则”,进入如下页面,如图2-85所示
(2) 新增识别规则
a. 点击“新增”按钮进入新增内容识别页面,如图2-86所示。
b. 按要求填写各项信息,点击“下一步”按钮,进入新增匹配条件页面。
c. 点击“取消”按钮,返回列表页面。
· 名称:必填项,最长50个字符,不可重复;
· 描述:非必填项,最长500个字符;
· 密级标签:必填项,下拉展示密级标签列表中的分级名称,根据实际情况选择;
· 分类标签:必填项,下拉展示分类标签列表中的分类名称,根据实际情况选择;
· 匹配规则:可下拉选择关键字,文档属性,正则表达式,数据标识符,文档指纹,表格指纹,自然语义,自定义脚本,数据字典,密级标签,图章匹配的任一;
1) 匹配规则——关键字
¡ 规则名称:限制输入最长50个字符;
¡ 严重等级:默认展示“提示”,默认值可修改为“提示,一般,严重,高危”任一;支持手动添加根据匹配数范围而定的等级;
¡ 匹配类型:设置的敏感词若包含英文单词,则在关键字匹配时,会按照所勾选的去决定是否区分大小写;
¡ 关键字:分两种类型,“简单关键字”和“近邻关键字”。近邻关键字,即存在一定距离的两个简单关键字的组合,举例:“敏感”和“文件”字间距5,说明当敏感和文件这两个词语间隔小于等于5时满足命中事件的条件;关键字可输入多个或者多对,以换行符隔开;
¡ 匹配条件:
¡ 匹配类型:是否区分大小写;
¡ 关键字:简单关键字;近邻关键字用于匹配不连续的关键字;
¡ 匹配条件:“仅限全字”用于定义关键字是否适用于独立的单词;
¡ 匹配项数:用于定义进行匹配时同时命中关键字的个数进行告警;
¡ 匹配位置:信封,主题,内容体,附件,邮件格式的文件有这四种位置之分;普通文件选择附件;IM消息选择内容体。
¡ 中文分词:例如关键字“机密”,文章内容“...张三的计算机密码是!@#123...”,此时若勾选中文分词,则不命中事件,因为内容被拆成.../计算机/密码...;不勾选时,可以命中事件
¡ 简体匹配对应繁体:支持识别繁体字
· “匹配规则”选择文档属性,匹配条件页面如图2-88所示
¡ 文件名:不选中,则文件名不做匹配;选中包含如下内容,假若想命中“需求规格说明书.docx”,全部匹配输入“需求规格说明书.docx”,模糊匹配可输入“需求规格*”,或“*规格说明书*”,或“需求规格说明书*”(*代替零个、单个或多个字符,?代替一个字符)
¡ 文件大小:不选中,则文件大小不做匹配;选中介于如下范围,可填入文件大小的范围,在这个范围内的文件才会做匹配
¡ 文件最后修改时间:不选中,则文件最后修改时间不做匹配;选中介于如下范围,可选择文件最后修改时间的范围,在这个范围内的文件才会做匹配
¡ 文档类型:不选中,则文档类型不做匹配;选中如下文档类型,可添加文档类型或标签类型。系统已内置100多个常见类型,用户根据需要添加,支持自定义文档类型
· “匹配规则”选择正则表达式,匹配条件页面如图2-89所示
¡ 匹配:系统内置的有邮箱,手机号码,车牌号,家庭住址等,支持手动输入正则表达式
· “匹配规则”选择数据标识符,匹配条件页面如图2-90所示
¡ 数据标识符:下拉选择,支持银行卡号,身份证号,车辆识别码等的识别
¡ 其它字段含义参见“关键字”介绍
· “匹配规则”选择文档指纹,匹配条件页面如图2-91所示
¡ 文档指纹:必填项,下拉选择。需要先在特征库-文档指纹那里上传索引文件,然后这边联动选择
¡ 匹配阈值:必填项,下拉选择,达到阈值才会匹配策略生成日志
6) 匹配规则——表格指纹
¡ 表格指纹:必填项,下拉选择。需要先在特征库-表格指纹那里上传索引文件,然后这边联动选择。
¡ 选择列:由表格指纹联动带出,展示样本csv文件的列名。
¡ 其它字段含义参见“关键字”介绍
7) 匹配规则——自然语义
¡ 语义模型:必填项,下拉选择。需要先在特征库-语义模型那里上传模型文件,然后这边联动选择。
¡ 匹配分类:由语义模型联动带出。
¡ 其它字段含义参见“关键字”介绍
· “匹配规则”选择自定义脚本,匹配条件页面如图2-94所示
¡ 自定义脚本:必填项,下拉选择。需要先在特征库-自定义脚本那里上传脚本,然后这边联动选择
¡ 脚本参数:非必填项
9) 匹配规则——数据字典
· “匹配规则”选择数据字典,匹配条件页面如图2-95所示
¡ 权重字典:必填项,下拉选择。需要先在特征库-权重字典那里配置,然后这边联动选择
¡ 匹配条件:阈值可以是负数。
10) 匹配规则——密级标签
¡ 使用说明:当传输的文档密级高于或低于规则中定义的密级时,设备将触发事件告警。
11) 匹配规则——图章匹配
· “匹配规则”选择图章匹配,匹配条件页面如图2-97所示
¡ 匹配条件:检查是否存在图章和匹配文字两种方式。
¡ 其它字段含义参见“关键字”介绍
(3) 编辑识别规则
a. 选择要修改的识别规则,点击“编辑”按钮,弹出编辑分类页面,如图2-98所示。
b. 按要求填写各项信息,点击“保存”按钮,内容识别规则修改成功,且更新显示在内容分类列表中。
c. 点击“返回”,则退出编辑页,回到列表页。
字段说明:
· 名称:可编辑;
· 描述:可编辑;
· 密级标签:可编辑;
· 分类标签:可编辑;
· 同时匹配;提供添加其它规则的入口;
· 清空:清除分类描述下所有规则信息;
· 规则:可编辑、可删除。
(4) 复制识别规则
a. 选择要复制的识别规则,点击“复制”,弹出提示,如图2-99所示;
b. 点击“确定”按钮,成功复制该规则。
(5) 导入识别规则
a. 点击“导入”按钮,弹出文件选择框,如图2-100所示;
b. 导入规则,此处导入文件的格式需跟导出时的格式一致(xx.document);
c. 点击“取消”按钮,则取消导入操作。
(6) 导出识别规则
勾选一条或者全部规则,点击“导出”按钮,成功导出。导出含有指纹类,语义,数据字典,自定义脚本的规则会被过滤。
选择任一识别规则,点击“删除”,弹出提示,点击“确定”按钮,成功删除该规则。支持批量删除。
输入“名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-101所示。支持模糊搜索。
· 导入的分类文件:文件必须为“.document”,与导出时的格式须一致。
· 无法删除已被策略引用的分类。
· 识别规则修改后,到了心跳时间就会下发到网络引擎。
· 文档指纹、表格指纹、自然语义、自定义脚本、自定义文档属性、数据字典等匹配规则,需要先在策略中心-特征库进行新增后才可以引用,其中权重字典导入方式要求格式为utf8的TXT文件。
当网络DLP捕获到某种途径泄露敏感数据时而做出的一系列响应反馈。响应方式包含阻断、审计、证据留存、上传文件、发送到syslog服务器、发送电子邮件通知,添加备注等,可组合配置。
(1) 查看响应规则页面
策略管理员进入“策略中心 > 规则库 > 响应规则”页面 ,如下图2-102所示。
(2) 新增响应规则
点击“新增”按钮,跳转至新增响应规则页面,如图2-103所示
字段说明:
· 名称:必填项,限制输入50个字符。
· 说明:非必填项,限制输入300个字符。
· 条件:有4种类型的条件,分别是“严重等级、触发者IP、协议或泄密渠道、事件匹配数”。
· 动作:有7种响应方式,具体见系统。
(3) 编辑响应规则
(4) 删除响应动作
a. 选择任一响应规则,点击“删除”,弹出提示,如图2-105所示。
b. 点击“确定”按钮,成功删除。
(5) 查询响应规则
输入“名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-106所示。
· 上传文件响应规则的实现需同时配置证据留存。
· 根据实际情况进行响应规则的组合使用,阻断优先级最高。
· 无法删除已被策略引用的响应规则。
· 响应规则修改后,到了心跳时间就会下发到中心。
上传文件所需的凭据可以先在系统创建,后续直接引用即可。
(1) 查看访问凭据页面
策略管理员进入“策略中心>规则库>访问凭据”页面 ,如下图2-107所示。
图2-107 查询访问凭据
(2) 新增访问凭据
点击“新增”按钮,跳转至新增访问凭据页面,如图2-108所示。
字段说明:
· 名称:必填项,限制输入50个字符;
· 描述:非必填项,限制输入300个字符;
· 访问类型:下拉可选择FTP和共享;
· 访问地址:ftp或者共享IP地址;
· 访问目录:以/形式填写;
· 访问方式:支持匿名访问和密码访问,密码访问需要输入所访问地址的用户名和密码。
图2-108 新增访问凭据
(3) 编辑访问凭据
(4) 删除访问凭据
a. 选择任一访问凭据,点击“删除”,弹出提示,如图2-110所示。
b. 点击“确定”按钮,成功删除该凭据。
将内容识别、生效范围、外泄通道及响应规则根据实际场景组合起来形成策略,启用后下发至终端,从而达到管控用户操作文件的行为,该模块下可对策略进行管理(新增、查看、删除、导入、导出、移动、启用、禁用等)操作。
(1) 查看管控策略页面
策略管理员登录系统,进入“策略中心 > 策略管理 > 管控策略”界面,如图2-111所示
(2) 新增策略
a. 点击“新增”按钮,跳转至新增策略界面,如图2-112所示。
b. 点击“取消”,回到管控策略列表。
字段说明:
· 策略名称:必填项,限制输入50个字符;
· 策略描述:非必填项,限制输入500个字符;
· 所属策略组:下拉选择已添加的策略组;
· 策略类型:下拉可选择外泄管控、点滴泄露。
¡ 外泄管控:外泄管控是实时的。
¡ 点滴泄漏:是指在一个周期时间内,符合事件生成规则时才进行统计,配置规则如图2-113所示。具体产生的点滴事件详情说明,详见如2.3.3 【数据采集-点滴事件】模块。
点滴泄漏字段说明:
(a) 检测周期:检测周期可以是“天”、”小时“、”分钟“为单位作为周期检测。
(b) 事件生成规则:可以配置,累计生成的记录的条数、累计命中关键字的次数、同一指纹的累计相似度、累计命中权值、同一表格指纹累计命中次数、累计命中正则表达式次数、累计命中数据标识符次数;如果同时配置了多个规则,那必须同时满足,才能产生点滴事件。
(c) 匹配规则/生效范围/外协通道:这三个和外泄管控相同;
· 策略内容:可添加匹配规则、生效范围、外泄通道以及响应规则
图2-112 新增管控策略(外泄管控)
图2-113 新增管控策略(点滴泄漏)
(3) 修改策略
点击“编辑”按钮,弹出编辑策略页面,可修改策略。
字段说明:
· 策略名称:可编辑;
· 策略描述:可编辑;
· 所属策略组:可编辑。
· 策略类型:不可编辑
· 策略内容:可编辑
(4) 删除策略
a. 点击“删除”按钮,弹出确认删除的提示,如图2-114所示。
b. 点击“确定”按钮,可成功删除策略。
c. 也可点击“取消”按钮,取消删除操作。支持批量删除。
(5) 启用策略
a. 选择某一条策略,或批量选中策略,点击“启用”按钮,弹出确认启用的提示,如图2-115所示。
b. 点击“确定”按钮,可成功启用策略。
c. 也可点击“取消”按钮,取消启用操作。
(6) 禁用策略
a. 选择某一条策略,或批量选中策略,点击“启用”按钮,弹出确认禁用的提示,如图2-116所示。
b. 点击“确定”按钮,可成功禁用策略。
c. 也可点击“取消”按钮,取消禁用操作。
(7) 移动策略
a. 选择某一条策略,或批量选中策略,点击“移动”按钮,可移动策略到其它策略组中。弹出移动的选择框,如图2-117所示。
b. 选择策略组后点击“确定”按钮,可成功移动策略。
c. 也可点击“取消”按钮,取消移动操作。
(8) 导入策略
a. 点击“导入”按钮,弹出文件选择框,如图2-118所示。
b. 导入策略,此处策略文件的格式需跟导出时格式一致(xx.policy)。
c. 点击“取消”按钮,则取消导入操作。
(9) 导出策略
勾选一条策略或者全选策略,点击“导出”按钮,成功导出策略。
(10) 复制策略
勾选一条策略,点击“
”按钮,成功复制策略,如图2-119所示。
输入“策略名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-120所示。支持模糊搜索。
· 匹配规则,生效范围,外泄通道和响应规则都可以添加多个记录。
· 匹配规则下多个匹配内容间是或的关系,生效范围,外泄通道,响应规则同样。
· 未添加响应动作时,默认审计动作,发现外泄敏感数据,上报事件到server。
策略组可关联不同的应用对象,目前仅支持网络。网络模块的策略针对企业网络信息传输进行控制。
在策略组管理界面,可对策略组进行管理(新增、查看、编辑、删除)操作。
(1) 查看管控策略组页面
策略管理员进入“策略中心 > 策略管理 > 管控策略组”页面 ,如下图2-121所示
(2) 新增策略组
a. 点击“新增”按钮,弹出新增策略组页面,如图2-122所示。
b. 各项按要求配置后,点击“保存”按钮,策略组添加成功。
c. 也可点击“取消”按钮,取消添加操作。
· 策略组名称:必填项,最长50个字符;
· 描述:非必填项,最长300个字符;
· 应用对象:网络代理。
(3) 查看策略组
在任一策略组后点击“
”按钮,查看策略组名称、描述、应用对象内容,如图2-123所示
(4) 修改策略组
a. 在策略组后点击“
”按钮,弹出编辑策略组页面,如图2-124所示。
b. 各项信息按要求修改,点击“保存”按钮,修改策略组成功。
c. 点击“取消”按钮,可取消修改。
字段说明:
· 策略组名称:可编辑;
· 策略组描述:可编辑。
· 应用对象:可编辑;
(5) 删除策略组
a. 在策略组后点击“
”按钮,如图2-125所示。
b. 点击 “确定删除”按钮,可删除策略组。
c. 也可点击“取消删除”按钮,可取消删除操作。
(6) 查询策略组
输入“策略名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-126所示。
· 系统默认策略组不允许删除。
· 策略组下有关联策略,不允许删除。
策略管理员创建需要监控的外泄渠道,用于配置需要审计的协议,在管控策略中可以引用外泄通道,默认策略不配置外泄通道仅审计此模式支持的协议。
策略管理员进入“策略中心 > 规则库 > 外泄通道”页面 ,如下图2-127所示。
点击“新增”按钮,跳转至新增外泄通道页面,如图2-128所示。
· 名称:必填项,限制输入50个字符
· 描述:非必填项,限制输入500个字符
· 默认值:下拉选择,有提示,一般,严重,高危四个等级
点击“编辑”按钮,进入到编辑页面,如图2-129所示。
(1) 选择任意记录,点击“删除”,弹出提示,如图2-130所示。
(2) 点击“确定”按钮,成功删除该凭据。
输入要搜索的名称,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-131所示。支持模糊搜索。
该模块作用在于划分策略的适用人群,使得策略针对性的应用于特定对象或放行特定人员,以触发者、触发地址或接收者、接收地址作为分类方式。
在应用范围页面,可对适用目标进行管理(新增、删除、导入、导出等)操作。
策略管理员进入“策略中心 > 应用范围”页面,如图2-132所示。
(1) 点击“新增”按钮进入新增页面,如图2-133所示。
(2) 按要求填写各项信息,点击“保存”按钮,新增成功,显示在应用范围列表。
(3) 点击取消按钮,返回至适用目标列表界面,无新增记录。
字段说明:
· 名称:必填项,重复校验,最长50个字符;
· 描述:非必填最长300个字符。
点击下一步按钮,进入目标人群信息填写页面,如图2-134所示。
字段说明:
· 选择分类创建方式:有“按触发者或发送地址分类”和“按接收者或接收地址分类”两种方式;
· 严重等级:下拉可选择提示、一般、严重、高危,默认展示提示;
· 常规:名称输入框必填不可为空,限制输入50个字符,说明输入框可为空,限制输入300个字符;
· 触发者模式:含组织架构、指定邮箱、指定IP和地址库,四者之间是“或”的关系;
· 接收者模式:含电子邮件地址、URL域、IP地址、组织架构和地址库,五者之间是“或”的关系。
点击“
”按钮进入编辑页面,如图2-135所示。
字段说明:
· 名称:可编辑;
· 描述:可编辑;
· 同时匹配:提供添加应用范围规则的入口;
· 清空:清除匹配详情下所有规则信息;
· 规则:支持同时添加多个,可被删除。
(1) 选择任一记录,点击“
”,弹出提示;
(2) 点击“确定”按钮,成功删除该分类。
(1) 点击“导入”按钮,弹出文件选择框,如图2-136所示;
(2) 导入应用范围,此处导入的文件的格式需跟导出时格式一致;
(3) 点击“取消”按钮,则取消导入操作。
勾选一条分类或者全选分类,点击“导出”按钮,成功导出。
输入“应用范围名称”,点击“搜索”按钮或enter键,查询后的结果展示在列表页面,如图2-137所示。
· 接收者或者触发者模式的输入项若需要输入多个,务必以英文逗号隔开。
· 导入的文件:文件必须为“.identity”,与导出时的格式须一致。
· 已被策略引用的分类不允许删除。
· 适用范围(分类信息/规则/条件等)只要有修改,就会更新设备上的策略。
在这个模块导入资源文件,内容识别模块引用。
常用正则用于定义被识别规则引用的正则表达式,系统内置了部分常用的正则表达式,用户也可以新建自定义的正则表达式。
策略管理员进入“策略中心 > 特征库 > 常用正则”页面,如图2-138所示
数据字典定义了大量的规则对象,包括权重字典和地址字典。权重字典定义了字典中每个关键字的权重,地址字典定义了URL地址分类,这两类字典都用于规则定义时引用。
策略管理员进入“策略中心 > 特征库 > 数据字典 > 权重字典”页面,点击“新增”按钮。如图2-139所示。
字段说明:
· 名称:必填项,重复校验,最长50个字符;
· 权重关键字:输入关键字和权重值,可添加多个;
· 简体匹配对应繁体:可开启;
· 上传权重字典:文件严格按照系统要求上传,txt的utf-8格式。
策略管理员进入“策略中心 > 特征库 > 数据字典 >“地址字典”页面,点击“新增”按钮,如图2-140所示。
· 名称:必填项,重复校验,最长50个字符;
· 描述:非必填项;
· 地址:手动填写,可添加多个;
· 文件导入:上传地址字典文件。
数据标识符定义了大量常用数据标识,比如驾驶证档案号、护照号车辆识别码等标识,用户也可以导入自定义的数据标识符。
策略管理员进入“策略中心 > 特征库 > 数据标识符”页面,点击“新增”按钮。如图2-141所示
表格指纹功能通过离线工具的机器学习功能提取表格指纹,导入设备后用于网络中传输的表格特征匹配,当命中特征时将触发告警事件。离线工具可通过H3C官网获取。
策略管理员进入“策略中心 > 特征库 > 表格指纹”页面,点击“新增”按钮。如图2-142所示。
文档指纹功能通过离线工具的机器学习功能提取文档指纹,导入设备后用于网络中传输的文档特征匹配,当命中特征时将触发告警事件。离线工具可通过H3C官网获取。
策略管理员进入“策略中心 > 特征库 > 文档指纹”页面,点击“新增”按钮。如图2-143所示。
策略管理员进入“策略中心 > 特征库 > 语义模型”页面,点击“新增”按钮。如图2-144所示。
自定义脚本适合有python编程基础的专业运维人员使用。当内置的算法无法满足使用需求时,使用python编写脚本增加内容识别算法。
策略管理员进入“策略中心 > 特征库 > 自定义脚本”页面,点击“新增”按钮。如图2-145所示。
图2-145 自定义脚本
文档属性内置了大量常用文档的属性定义,即便网络中文件后缀被改成其它后缀名,设备仍能自动识别真实的文件类型,并调用相应的引擎做检测。用户也可以根据实际情况自定义文档属性。
策略管理员进入“策略中心 > 特征库 > 文档属性”页面,点击“新增”按钮。如图2-146所示。
由于数据防泄漏系统采用管理平台与引擎分离的体系结构设计,引擎在这个结构中相当于网络代理的角色,对引擎的所有操作都在网络代理中配置。
登录系统,选择“网络代理 > 功能配置”,进入功能配置页面,如图2-147所示,显示网络代理服务器的名称、主机名、在线状态、心跳间隔、管理IP、注册时间、策略的最后更新时间。对监控的IP、应用的协议和算法进行配置。可以对网络代理服务器进行配置和基本信息的查看。
在设备列表中点击想要进行配置的网络代理服务器右侧的配置按钮,可以出现该页面,如图2-148所示,可以对该网络代理服务器的模式、协议、白名单、启用的算法和策略组进行配置。
如图2-149所示,设置心跳超时模块之间的保活时间,每间隔这个时间,流量恢复模块会向设备管理模块发送一次心跳,说明自己在正常状态,不存在心跳超时情况,默认为15秒。
设备支持4种模式,分别为旁路模式、代理模式、路由模式、网桥模式。
(1) 旁路模式旁挂在网络链路中,通过交换机镜像的方式获取流量并检测,对原有网络结构无影响。
(2) 代理模式以单臂的拓扑方式串联在网络逻辑链路上,并对HTTP/HTTPS流量进行检测,对其它流量无影响。
(3) 路由模式以单臂的拓扑方式串联在网络逻辑链路上,对HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS流量进行检测。
(4) 网桥模式以物理串联的方式串接在网络链路中,对HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS流量进行检测。
H3C CAS CVM虚拟化管理平台和VMware ESXI环境下,安装DLP2000-V系列产品,旁路模式和网桥模式需要服务器直通网卡。
硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为桥模式、旁路模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
各种模式如图2-150、图2-151、图2-152、图2-153所示
如图2-154所示,可以根据实际需求勾选监控HTTP/HTTPS协议、SMTP协议、FTP协议、SMB协议、POP3协议、IMAP协议。
图2-154 协议配置(以旁路模式为例,不同模式支持的协议不同)
若开启白名单则该流量不进行审计,白名单页面如图2-155所示,可以根据服务器或应用系统URL开启指定协议的上传或下载的白名单,所有输入框均可输入单个或者多个地址。
(1) 根据服务器或应用系统URL开启上传白名单。在输入框内输入域名或者应用系统URL进行白名单过滤,如www.qq.com ;*.baidu.com。
(2) 根据服务器或应用系统IP开启上传白名单。在输入框内输入ip地址进行白名单过滤。
(3) 开启SMTP发送者白名单。在输入框内输入发送者邮箱进行白名单过滤,如*@qq.com;[email protected]。
(4) 开启FTP上传监控白名单。在输入框内输入ip地址进行白名单过滤,地址为FTP服务器或客户端的地址。
(5) 开启SMB上传监控白名单。在输入框内输入ip地址进行白名单过滤,地址为SMB服务器或客户端的地址。
(6) 开启NFS上传监控白名单。在输入框内输入ip地址进行白名单过滤,地址为NFS服务器或客户端的地址。
(7) 根据服务器或应用系统URL开启下载白名单。在输入框内输入域名或者应用系统URL进行白名单过滤,如www.qq.com ;*.baidu.com。
(8) 根据服务器或应用系统IP开启下载白名单。在输入框内输入ip地址进行白名单过滤,地址为服务端的地址。
(9) 开启SMTP发送者白名单。在输入框内输入接受者邮箱进行白名单过滤,如*@qq.com;[email protected]
(10) 开启FTP下载监控白名单。在输入框内输入ip地址进行白名单过滤,地址为FTP服务器或客户端的地址。
(11) 开启SMB下载监控白名单。在输入框内输入ip地址进行白名单过滤,地址为SMB服务器或客户端的地址。
(12) 开启NFS下载监控白名单。在输入框内输入ip地址进行白名单过滤,地址为NFS服务器或客户端的地址。
算法配置,如图2-156所示,可以根据实际需要开启相应算法,勾选则表示开启。可以选择文档属性、正则表达式、关键字、数据标识符、数据字典、表格指纹、文档指纹、自然语义、图章匹配、脚本、光学字符识别(OCR)算法。其中OCR算法需要和其它算法搭配,作为识别图片的辅助功能使用。
高级配置,如图2-157所示。
字段说明:
· 日志级别:严重级别由高到低依次为致命、错误、告警、通知、信息、调试。默认日志级别为“错误”。
· 过滤大文件:可以在输入框里输入监控的最大文件大小,单位为MB。默认为0MB,即为不过滤任何文件。
· 大文件配置:当设备运行模式为代理模式、网桥模式或路由模式时,当文件大小超过“过滤大文件”设定的值时,采取“阻断”或“放行”的动作。
· 扫描超时时间:可以在输入框里输入扫描超时时间,若某一文件,在指定时间内仍未扫描结束,则该文件进行放行处理,扫描下一个文件。默认为2秒。
· 连接超时时间:为网络代理服务器到管理端的最长不通信时间。若超过指定时间仍为进行通信,则设备状态展示为离线。默认为60秒。
策略组配置是为该网络代理服务器选择策略组,进行内容监控。策略组引用相应的策略,从而实现对网络应用的内容监控,如图2-158所示。
查看服务器,如图2-159所示。
字段说明:
· 设备名称:默认为主机名;
· 管理ip:不可修改项,为网络引擎与管理系统之间通信的ip;
· 软件版本:不可修改项,为当前运行的网络引擎版本;
· 内存总大小:不可修改项,为网络代理服务器的内存总大小;
· 当前剩余内存:不可修改项,为网络代理服务器的当前剩余的内存大小;
· 硬盘总大小:不可修改项,为网络代理服务器的硬盘总大小;
· 硬盘剩余空间:不可修改项,为网络代理服务器的当前剩余的硬盘大小;
· 状态:不可修改项,为网络代理服务器的设备在线状态;
· 配置:不可修改项,为网络代理服务器最后一次更新配置的时间;
· 策略:不可修改项,为网络代理服务器最后一次更新策略的时间;
· 字典:不可修改项,为网络代理服务器最后一次更新数据字典的时间;
· 标识符:不可修改项,为网络代理服务器最后一次更新数据标识符的时间;
· 自定义文档类型:不可修改项,用户自定义文档类型;
· 表格指纹:不可修改项,为网络代理服务器最后一次更新表格指纹的时间;
· 文档指纹:不可修改项,为网络代理服务器最后一次更新文档指纹的时间;
· 语义模型:不可修改项,为网络代理服务器最后一次更新语义模型的时间;
· 脚本:不可修改项,为网络代理服务器最后一次更新自定义脚本的时间;
· 组织架构:不可修改项,为网络代理服务器最后一次更新组织架构的时间;
· 接口信息概述:展示网络代理服务器所有的网卡名称、接口状态、MAC地址和IP地址。
图2-159 查看网络引擎
进入服务器管理页面,点击左侧“网络代理 > SSL证书”,打开界面,显示网络代理服务器相关SSL证书的名称、描述、有效期,可以导入/导出SSL证书,删除证书。
(1) 点击右上角的导入SSL证书按钮,如图2-160所示界面;
(2) 填写相关信息,上传证书文件,点击“确定”按钮,导入SSL证书成功,可以在列表里查看;
(3) 点击“取消”按钮,取消导入操作。
图2-160 导入SSL证书
· 证书别名:该配置项为可选项,当证书别名与证书文件的文件名不一致时,需输入证书别名,默认为证书名
· 证书密码:该配置项为可选项,当SSL证书有证书密码时需输入密码对证书文件进行解密。
点击想要导出SSL证书右侧的“
”,导出对应的SSL证书,导出一个证书的zip压缩包。
点击想要导出SSL证书右侧的“
”,删除对应的SSL证书。
点击“系统管理>平台信息”进入平台信息页,展示平台基本信息,如图2-161所示
点击“系统管理>网络配置”进入网络配置页,展示服务器的网口信息和路由信息。
其一:可以在该页面配置网口IP以及开启关闭DPDK模式(DPDK是一种新型的网卡工作方式,可以更好地对网络流量进行捕获和转发。DPDK功能仅适用于旁路模式,开启DPDK模式,可以提升网卡的抓包性能),如图2-162所示。但接口不支持聚合。
H3C CAS CVM虚拟化管理平台和VMware ESXI环境下,安装DLP2000-V系列产品,不支持DPDK。
其二:可以在该页面添加路由和删除路由,如图2-163所示
点击“系统管理>证书信息”进入证书信息页,展示数据防泄漏系统https证书,可以对证书进行新建和导入。展示证书的颁发者、使用者的信息以及证书的有效期和指纹,如图2-164所示。
用户可以通过页面升级的方式,对系统进行升级。
(1) 通过点击“系统管理 > 系统升级 ”,进入版本变更历史页面,如图2-165所示;
(2) 点击“上传升级脚本”按钮,进入上传升级页面;通过上传.tar.gz格式的升级包,即可进行升级操作
(3) 一键回退:可以通过”一键回退”,回退到上一个版本。
升级包的名字不可随意修改。
代理和路由模式进行升级时,管理员电脑流量需不过数据防泄漏设备情况下进行升级,即未设置浏览器代理或未设置网关时进行转发。
用户可以对管理系统和网络代理服务器的内存、硬盘、设备在线等状态配置阈值和触发条件,当达到该条件时发送告警给指定人员。同时在审计-告警页面可以查看到该告警信息。
(1) 通过点击“系统管理 > 系统设置 > 告警设置”,进入告警设置列表页面,如图2-166所示;
(2) 选择需要修改的告警配置,点击操作列的“编辑”按钮,进入该告警配置页面;
(3) 修改配置保存后,在告警设置列表页面,点击操作列的“启用”按钮,启用成功后,该告警配置正式生效。
系统发送邮件通知时需要使用发件箱,此处就是用于设置系统发送邮件的发件箱;
(1) 通过点击“系统管理 > 系统参数”,进入系统参数页面,页面中第一个页签是邮件中心,如图2-167所示;
(2) 填写完整发件服务器、发件账号、发件密码、显示发件人、是否启用ssl和端口号;
(3) 点击“确认”按钮,保存成功;点击“取消”按钮,取消保存的操作;
(4) 点击“发送测试邮件”,可验证发件箱设置填写是否正确;
(5) 点击“恢复默认”,可将发件箱设置恢复成默认邮箱设置。
可以设置会话超时时间,密码强度,验证码等信息。
(1) “系统管理 > 系统参数 > 安全性设置”,如图2-168所示,按照安全需求进行设置系统登录安全以及登录账户的密码安全;
(2) 设置好后点击“确认”按钮,保存成功;
(3) 点击“取消”按钮,取消安全设置保存的操作。
· 会话设置:即设置会话失效的时间,默认是5分钟,超过这个会话时间,当触发某个请求时,页面会退出到登录页面
· 密码强度:即设置密码的长度、包含哪些内容(目前支持这四种:数字、小写字母、大写字母、特殊字符);也可设置密码生效时间,勾选“启用”,才能输入生效时间,生效时间到了之后,需重新设置密码。
· 防破解:可设置启用动态验证码、可设置操作时间的范围、设置用户连续错误输入超过的次数、设置账号被锁定的时间。一旦用户在指定时间内,错误输入的次数超过设置的次数,账号将被锁定。
“系统管理 > 系统参数 > 时间设置”,输入NTP获取网络时间,或者手动设置系统时间,如图2-169。
(1) SNMP:简单网络管理协议,数据防泄漏设备可以通过该协议由网管设备进行设备状态的统一管理。点击进入“系统管理 > 系统参数 > 数据中心”,启用SNMP,输入服务器地址,团体名,CPU使用率阈值,内存使用率阈值,磁盘空间使用率阈值并保存,如图2-170所示
SNMP Trap仅支持v2c
(2) SYSLOG:实现系统各项日志的上报,收集。
点击进入“系统管理 > 系统参数 > 数据中心”,启用SYSLOG,输入服务器地址,选择协议类型,输入端口号,选择上报方式和上报信息后保存,如图2-171所示。
数据防泄漏系统采用管理平台与网络引擎相分离的体系架构,通信地址的功能实现了两个模块之间通信的作用。
点击进入“系统管理 > 系统参数 > 通信地址”,如图2-172所示。
当内存、硬盘、设备离线、登录失败、事件数量、日志数量、授权、删除事件、发送邮件失败达到设定值时,产生告警,并对相关人员进行提醒。
点击“系统管理 > 告警列表”,进入告警列表页面,如图2-173所示。
在告警列表页面,点击“查看”按钮,进入告警详情页面,如图2-174所示。显示告警的详细信息、可进行的操作以及历史记录。
对当前已发生的告警信息可以手动发送邮件通知给相关人员,发送告警邮件有两种方式:
方式一:
(1) 在告警列表页,选择一条告警信息,点击操作列的“发送通知”按钮进入发送电子邮件通知页面;
(2) 编辑主题、收件人以及自定义收件人后,点击“发送”按钮,告警邮件发送成功;
(3) 点击“取消”按钮,取消发送邮件。
方式二:
(1) 进入告警详情页面,点击操作区中的“发送通知”按钮,进入发送电子邮件通知页面,如图2-175所示;
(2) 编辑主题、收件人以及自定义收件人后,点击“发送”按钮,告警邮件发送成功;
(3) 点击“取消”按钮,取消发送邮件。
(1) 选择需要恢复的告警,进入该告警的详情页面;
(2) 点击操作区中的“手动恢复”按钮,弹出“确实要恢复吗?”弹框,如图2-176所示;
(3) 点击“确认”按钮,确认恢复成功;
(4) 点击“取消”按钮,取消恢复操作。
(1) 在告警列表页面,选择需要删除的告警,点击操作列中的“删除”按钮,弹出“确实要删除吗”弹框,如图2-177所示;
(2) 点击“确认”按钮,确认删除成功;
(3) 点击“取消”按钮,取消删除操作。
可以对当前系统数据库中的数据进行全库备份,数据导入,还可以设置手动备份、定时备份、周期备份。
通过点击“系统管理 > 备份还原”,进入备份页面,点击全库备份,一段时间后备份成功,如图2-178所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击导入,上传备份文件,如图2-179所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击
,下载备份文件,如图2-180所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击
,还原备份文件,如图2-181所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击
,删除备份文件,如图2-182所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击“设置”,选择定时备份,输入日期时间,到时间会自动备份,如图2-183所示。
通过点击“系统管理 > 备份还原”,进入备份页面,点击“设置”,选择周期备份,输入各项参数,实现周期备份,如图2-184所示。
可以对删除的事件进行删除、还原操作。
(1) 通过点击“系统管理 > 事件数据 > 回收站设置”,进入回收站页面,如图2-185所示。
(2) 选中事件点击“还原”按钮,即可将事件还原;
(3) 选中事件点击“清理”按钮,即可将事件清理。
用户对于已满足某种条件的泄露事件、日志、告警以及点滴事件可以进行归档操作。
(1) 归档设置
通过点击“系统配置 > 事件数据 > 归档设置”后,切换至归档设置页签进入归档设置页面,如图2-186所示,主要是对自动归档条件、事件归档内容筛选条件、日志归档内容筛选条件、告警归档内容筛选条件的配置操作。
· 归档条件:根据归档条件,对当前待归档数据进行自动归档,如图2-187所示,按照时间或者数量进行自动归档;
· 事件归档内容:如图2-188所示,当事件满足条件归档的条件,该事件被归为待归档数据;
· 日志归档内容:如图2-189所示,设置日期前的日志被归为待归档数据;
· 告警归档内容:如图2-190所示,当告警数据满足归档设置的条件,该告警数据被归为待归档数据;
· 点滴事件归档内容:如图2-191所示,设置日期前的日志被归为待归档数据。
(2) 手动归档
a. 在归档信息页面,如图2-192所示,点击“立即归档”按钮,弹出提示“确定立即归档吗?”;
b. 点击“确认”按钮,待归档条数归档成功;
c. 点击“取消”按钮,取消立即归档操作。
(3) 自动归档
根据归档设置里面设置归档条件,进行自动归档。归档条件为“无”时,只能进行手动归档;归档条件为“定时”,根据设置的天数,满足条件进行自动归档;归档条件为“数量”,根据设置的待归档条数或空间大小进行自动归档。
用户可使用其它设置的功能进行添加自定义邮件通知人员。
(1) 新建收件人
a. 通过点击“系统管理 > 事件数据 > 其它设置”,点击“新建收件人”按钮,进入新增收件人页面,如图2-193所示;
b. 输入收件人名称和收件人邮箱后,点击“确认”按钮,保存成功;
c. “点击”取消按钮,取消新增的操作。
(2) 修改收件人
a. 点击操作列的“编辑”按钮,进入编辑收件人页面,如图2-194所示。
b. 修改收件人名称和地址后,点击“确认”按钮,修改成功;
c. 点击“取消”按钮,取消修改的操作。
(3) 删除收件人
a. 点击操作列中的“删除”按钮,弹出“确认删除吗?”提示框,如图2-195所示;
b. 点击“确认”按钮,删除成功;
c. 点击“取消”按钮,取消删除的操作。
通过点击“系统管理 > 产品授权”找到想要导入授权码的机器,点击导入,如图2-196所示
在web页面上,通过扫描二维码的方式,可引导用户查看License的使用指南
(1) 通过点击“系统管理 > 产品授权”,底部有二维码的显示,如图2-197所示;
(2) 点击超链接”License使用指南“,可查看License使用指南
(3) 点击“编辑”按钮,出现弹框,可通过修改链接,点击”生成二维码“,效果预览处,会更新二维码及超链接;点击”保存“按钮,同时更新外层的二维码及超链接的内容
(4) 在弹框上,点击“取消”按钮,可关闭弹框。
图2-197 License长效连接及二维码
支持
