- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath DLP2000数据防泄漏系统
Web配置指导
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
H3C SecPath DLP2000数据防泄漏系统支持旁路模式、网桥模式、代理模式、协议对接和路由模式五种组网环境。五种模式适用的环境如下:
· 旁路模式通过交换机旁挂在网络链路中,通过交换机镜像数据流量到数据防泄漏系统进行内容检测,对原网络拓扑无影响。由于数据防泄漏是旁挂在数据链路中,不能获取到加密数据的真实内容,因此,旁路模式不支持加密数据的检测,比如HTTPS协议的内容。
· 网桥模式串联在网络链路中,设备只支持配置一对网口组成网桥模式,可以对加密数据进行检测,支持的协议包括HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等协议。
· 协议对接: 对接外部设备使用,外部设备(如Web代理服务器、上网行为管理等设备)通过标准的ICAP协议将其捕获到的流量转发给数据防泄漏系统服务器,数据防泄漏系统服务器处理完成后再将下一步操作指令返回给该外部设备。
· 代理模式通过单臂形式串联在网络链路中,可以对加密数据进行检测,支持HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS、FTP/FTPS协议的代理检测。
· 路由模式也是通过单臂形式串联在网络链路中,可以对加密数据进行检测,支持的协议包括HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等。
H3C SecPath DLP2000数据防泄漏系统支持旁路模式、网桥模式、代理模式、协议对接、路由模式五种组网模式,每种模式可以单独控制是否开启检测功能,并能定制黑白名单功能,满足不同网络环境的部署需求。
系统内置强大的智能识别引擎,不仅能对普通关键字进行检测,还支持正则表达式、权重字典、数据标识符、文档指纹和表格指纹、自然语义等功能识别;并支持跨组件内容的识别、自动识别简体/繁体、智能分词识别、自动识别不同位置内容等能力。
系统支持多种网络协议,如:HTTP、FTP、SMTP、POP3、NFS、SMB等各类网络传输协议,快速实时定位到其中的敏感数据包,进而有效地防止数据在网络传输过程中被泄漏。
系统根据各行业各类型的客户,提供了丰富多样的内置策略,也可结合关键词、正则表达式、数据标识符、文件指纹等细颗粒度的元素自定义各类防泄漏规则,根据规则动态组合成防护策略,实现全面、多维度的安全防泄漏体系。
系统提供全场景的业务保障能力,时刻保障业务的稳定的运行。能够提供从底层的网卡bypass,CPU、内存、磁盘等关键器件使用率感知bypass到上层应用软件的状态自检及性能过载感知bypass等立体式的业务保障机制,全面的保障业务可靠运行。
· 采用B/S架构,提供WEB管理界面,更直观清晰;
· 支持多种部署模式,满足旁路、直路不同的组网需求;
· 内置丰富的敏感数据发现规则;
· 内置强大的识别引擎,识别各种类型的数据;
· 采用三权分立的管理模式,具备访问控制能力,保证自身安全;
· 内置系统管理员admin、审计管理员audadmin、安全管理员secadmin,各种管理员权责分明;
· 支持用户行为日志和事件日志查看;
· 支持事件核实、归档、导出等操作,网络事件形成闭环处理。
网桥模式、路由模式、代理模式下不支持承载在IPv6上的内容检测,旁路模式支持基于IPv6的内容检测。
不支持HTTP/2协议内容的检测。旁路模式下当前已定制完成(可以正确获取到上传的文件名)的支持HTTP的web网站为139邮箱、新浪邮箱、QQ邮箱、天涯社区、lofter、dlptest,若需定制化站点,需将完整的上传报文抓取后提供给研发。
旁路模式和直路模式均支持对vlan流量的检测。
网桥模式、路由模式、代理模式下,部分对证书安全要求严格的应用(包括PC端或手机端)将受影响,包括腾讯旗下多款软件,如腾讯会议(通过微信扫描二维码登录),Foxmail邮件客户端(使用SMTPS协议发送邮件到腾讯企业邮箱)、知乎网站的外链资源等。
无法导出使用外置资源(权重字典、表格指纹、文档指纹、语义模型、自定义脚本)的规则或导出引用了该规则的策略。当尝试导出上述规则或策略时系统会提示导出成功0条。
产品的某些定时任务和功能与系统时间相关,修改系统时间后必须要重启服务,防止功能异常。对系统时间的调整有两种方式:一种是从管理界面修改时间,确认修改后服务自动重启;一种是从设备后台使用date命令调整系统时间,此时服务无法感知到系统时间被修改,需要手动重启服务。重启服务时会停止业务处理,代理、路由、网桥模式下用户会暂时无法访问网络,所以调整系统时间的操作需要在上架前完成。其他模式下重启服务对用户没有影响。
直路模式下服务处理业务会使用2442、2443端口,如果用户访问的服务使用了相同的端口会导致访问服务失败。
(1) 浏览器中输入URL:https://设备IP地址:9443(如:https://192.168.11.122:9443),进入数据防泄漏系统登录页面。
(2) 输入管理员账号及密码,内置的管理员账号及默认密码为:admin/admin、secadmin/secadmin、audadmin/audadmin,首次登录需要修改密码。
(3) 点击<登录>按钮,进入管理界面,如图2-1所示。
(1) 管理员登录数据防泄漏系统,默认第一次登录需要修改用户密码,不是第一次登录也可进行修改用户密码,在主界面右上方点击登录的账户下拉框选择 [修改密码] 菜单,进入修改密码功能界面,如图2-2所示。
(2) 输入原密码、新密码、确认新密码,需要注意新密码需要满足提示框中的所有条件,点击<确定>按钮,即可成功修改密码,界面自动退回至登录页面,如图2-3所示。
(3) 输入管理员账号和更改后的密码即可登录。
展示系统各项数据的报表,默认展示外泄事件。外泄事件从多种维度进行分析展示:事件总数和今日事件数统计、风险增长率、异常用户数、增长率、近7天事件趋势、风险部门等。 [首页] 显示如图2-4所示。
· [首页]时间范围的定用:
¡ 近1天:从昨天的 00:00:00(午夜零点) 开始,到今天的 00:00:00(午夜零点) 结束。
¡ 近7天:过去7天的时间区间,从当前日期的零点起向前回溯7天,不包括第8天的零点。
¡ 近30天:过去30天的时间区间,从当前日期的零点起向前回溯30天,不包括第31天的零点。
· 事件总数及今日事件统计:显示产生过的所有事件的总数,并显示从今日0点到当前时刻产生的所有事件。
· 风险增长率:根据所选的时间范围统计出范围内产生的所有事件,并根据:对应严重等级的事件数*对应严重等级的风险系数并相加,这种计算方式计算出风险值,再根据以下方式计算出风险增长率,以近一天为例:风险增长率=(昨日风险值-前日风险值)/前日风险值。严重等级的风险系数可以在[审计中心/系统报表]界面点击<计算系数>进入[计算系数/风险系数]配置。
· 异常用户:统计对应周期内发生点滴泄露事件对应的用户数量。
· 24小时分时活跃:统计最近七天内每天的事件,以每1小时为一个时间段进行统计,7天中同时间段的事件数量相加除以7得到每个时间段内的事件活跃数。
· 近7天事件趋势:统计最近七天的事件数据,显示每天的高危、严重、一般、提示、全部的事件统计,并通过折线图显示。
· 风险部门(风险TOP5):计算每个部门的所有事件的风险值,并展示风险值排名前五的部门。
· 用户风险象限等级:分4个象限分别展示4个风险等级的用户的分布情况。根据用户产生的所有事件计算用户的风险值后,通过[审计中心/系统报表]界面点击<计算系数>进入[计算系数/风险等级]中配置的评定规则评定用户的风险系数风险等级和事件数量风险等级,取最高的风险等级作为用户的风险等级并在对应的区间显示点。区间中点的数量可等比例缩放,共展示100个点
· 响应统计:统计被阻断、被证据留存、被电子邮件告警、被审计的事件的分布情况。
系统管理员admin登录系统,在配置管控策略时,配置了策略类型为点滴泄漏的策略,并且已经产生一些点滴泄漏事件后,可进行用户行为分析和用户行为追溯。
(1) 在左侧导航栏,选择 [用户行为分析 / 异常用户行为告警] 。
(2) 异常用户行为告警界面上会分别从总体和今天两个维度统计异常用户数、异常告警数、异常用户事件数,并且展示 [异常用户列表] ,如图2-5所示。
图2-5 异常用户行为告警展示
(1) 可多选: 输入账号、姓名、触发源其中的一个或多个条件,单击查询。
(2) 在列表中查看过滤出来的用户,支持模糊匹配。
(3) 单击<重置>,可以清除所有的筛选条件。
(1) 在列表中选择需要查看的用户,点击 [操作栏] 下的<详情>按钮。
(2) 点击后会跳转到 [事件列表] ,可查看用户触发产生的所有点滴事件,如图2-6所示。
图2-6 异常用户行为跳转到事件列表
(1) 在列表中选择需要查看的用户,点击操作栏下的行为<分析>按钮
(2) 点击后会跳转到 [用户行为分析] 界面, [单用户行为分析] 界面是对该用户普通外泄事件的多维度分析与统计,如图2-7所示。
图2-7 异常用户行为分析
(1) 在列表中选择需要查看的用户,点击操作栏下的行为<追溯>按钮;
(2) 点击后会跳到 [用户行为追溯] 界面, [用户行为追溯] 是对该用户普通外泄事件的多维度分析与统计,如图2-8所示。
图2-8 异常用户行为分析
系统管理员admin登录系统,在配置 [管控策略] 时,配置了策略类型为外泄管控的策略,并且已经产生一些外泄事件后,可以在单用户行为分析中对用户产生的泄漏事件进行多维度的统计和分析。
· 统计时间范围定用:时间范围定用和[首页]相同,并支持自定义时间配置。
· 用户筛选选择:点击筛选框后,下拉框中会显示近20个产生事件的账号/IP,在筛选框中输入后,会根据输入,在产生过事件的账号/IP中筛选包含输入的账号/IP供用户选择。输入未产生过事件的账号/IP无法筛选出任何选项。
· 用户基本信息显示:显示用户的基本信息:账号、部门、风险评分、风险等级。风险评分就是用户的风险系值,风险评分和风险等级的评定标准和首页一致。
· 近7天用户活跃度分析:以每1个小时为一个统计时间段,统计近7天内每个时间段发生的事件数量。
· 外发行为分析:显示统计时间范围内各种渠道产生的事件数量,并显示事件占比。
· 近7天外发行为趋势分析:通过折线图展示各种渠道产生的事件趋势。
· 命中策略(TOP5):显示用户命中策略次数排名前5的策略名,并显示产生的事件数。
· 多维风险统计:基于产生事件的协议进行统计,只统计提示以上级别的事件,不包括提示等级的事件。
(1) 点击左侧菜单栏 [用户行为分析 / 单用户行为分析] ,进入 [单用户行为分析] 界面。
(2) 在界面上方点击 [筛选] 输入框后,会自动推送已经产生过外泄事件的20名用户,点击选择其中一个用户后,会显示这个用户的事件分析结果,如图2-9所示。
图2-9 异常用户行为分析
图89. 单用户行为分析
(3) 通过在输入框中输入用户的账号、姓名、IP、邮箱,可以快速筛选出需要的用户,如图2-10所示。
图2-10 异常用户行为分析
图90. 单用户行为分析查询
(4) 选择用户后可以自定义需要分析的用户事件产生的时间区间,可以选择已经预设的条件【近1天】、【近7天】、【近30天】、【近3个月】,也可以根据需要选择自定义时间。
系统管理员admin登录后,在配置管控策略时,配置了外泄管控策略和点滴泄漏策略,在产生事件后,可以追溯用户的外发事件,包括外泄事件和点滴事件。
(1) 点击左侧菜单栏 [用户行为分析 / 用户行为追溯] ,进入 [用户行为追溯] 界面。
(2) 在筛选框中可以选择追溯类型,默认为条件查询。
追溯类型说明:
¡ 条件查询:根据外泄管控的策略产生的事件进行追溯
¡ 模型分析:根据点滴泄漏策略产生的事件进行追溯
(3) 点击用户选择框,会自动推送产生过事件的用户,可以直接选择推送的用户后,也可以输入账号、姓名、IP、邮箱筛选用户,点击搜索后根据符合条件的用户事件进行追溯,如图2-11所示。
(4) 调整用户事件筛选条件进行用户事件追溯,筛选条件为与的关系。
筛选条件说明:
¡ 发生时间:选择事件产生的时间段,默认为今日,为必选项。
¡ 泄漏途径:选择事件产生的途径,非必选项,不选择任何时显示所有途径的事件。
¡ 事件来源:选择事件的来源,非必选项,不选择任何时默认为网络泄漏途径。
¡ 响应方式:点击高级筛选后展开,通过事件的响应动作进行筛选,非必选项,不选择任何时显示所有响应方式的事件。
¡ 严重等级:点击高级筛选后展开,通过事件的严重等级进行筛选,非必选项,不选择任何时显示所有严重等级的事件
图2-11 异常用户行为分析
管理员admin登录系统,根据不同的需求定制事件不同统计维度的报表。并且可以将定制的报表进行发送邮件、下载的操作。系统报表的页面如图2-122所示。
系统管理员登录系统,选择 [审计中心 / 系统报表] 。
(1) 点击<新增>按钮进入 [系统报表] 信息页面,主要分为 [概述] 和 [详情] 两个模块,如图2-133、图2-144所示:
(2) 在 [详情] 页面点击<新增报表项>按钮,进入 [新增报表项]页面,如图2-155所示。
新增报表项配置说明:
¡ 类别:包括外泄事件、系统策略。
¡ 报表对象:根据类别选择报表对象,类别不同,可统计的报表对象也不同。
¡ 展示维度:根据报表对象选择展示维度。
¡ 统计时间:设置报表统计时间。
(3) 选择上述的任意类别、报表对象等进行组合,报表项两列展示如图2-166所示.
(4) 点击<保存>按钮保存,自定义报表就会保存在 [系统报表] 页。
¡ 当类别为外泄事件时,报表对象包含事件数量、风险值、事件严重性、外泄人员、增长率、外泄状态、根据条件过滤选项。
¡ 当类别为系统策略时,报表对象包含外泄管控策略启用情况。
¡ 统计时间包含当日、最近三天、最近一周、最近一月和自定义。
(1) 管理员admin登录系统,选择 [审计中心 / 系统报表] ,进入 [系统报表列表] 页面。
(2) 添加的报表中如果勾选了启用定时发送后,每发送一次报表就会在历史报表同时生成一份报表,生成的报表可以查看和删除。
(3) 点击
,展示历史生成的报表,如图2-17所示。
(4) 报表编辑完成后,点击操作的<详情>按钮,可以看到新建生成的报表,如图2-18所示。
(5) 进入 [报表详情] 页面。
(6) 点击右上角的<发送>按钮,可以将报表进行邮件发送到设置的相关人员。
(7) 点击右上角的<下载>按钮,可以将报表以图片或PDF的形式进行下载。
点击 [系统报表] 页面操作栏下的<编辑>按钮,可以再次进行编辑修改,如图2-19所示。
(1) 点击 [审计中心/系统报表] 进入 [系统报表] 页,点击<计算系数>按钮,可以设置风险系数和风险等级,如图2-200所示。
(2) 风险系数支持自定义设置数值,如图2-211所示。
(3) 风险等级可以根据风险值上限和数量值上限来设置,如图所示。
图2-22 风险等级
管理员admin登录系统,选择 [审计中心 / 泄漏事件] ,进入 [事件管理] 页面,可对事件进行查询、导出、直接归档、删除、更改级别、发送邮件通知、补充审核意见、添加备注等操作。
进入 [泄漏事件] 页面,左侧为 [过滤条件] 的默认列表,可根据条件自由选择,如图2-233所示。
(1) 进入 [审计中心 / 泄漏事件] 页面,默认为 [快速查询] 页面,如图2-24所示。
(2) 输入选择有效的查询条件的关键字。
(3) 点击<搜索>按钮,可查询相应的事件信息。
(4) 点击<重置>按钮,可清空查询条件。
查询条件说明:
¡ 严重级别为复选,包括提示、一般、严重、高危。
¡ 事件状态为复选,包括新建、待处理、待归档、已归档。
¡ 发现时间选择日期范围,包括所有、当天、最近3天、最近1周、最近10天、最近1个月,还可以进行自定义时间范围。
(1) 点击<高级>按钮,进入 [高级查询] 页面,如图2-25所示。
(2) 默认显示一行查询,选择查询字段和查询运算符后,点击<添加>按钮,在默认查询输入框下再添加一行查询输入框,如图2-26所示。
(3) [高级筛选] 的条件可以保存复用,点击<保存>按钮,弹出 [保存] 页面,如图2-27所示。
(4) 输入条件名称,点击<保存>按钮,保存成功,过滤条件中显示该保存的条件。
(5) 点击<取消>按钮,取消保存操作。
(6) 选择当前已有的过滤条件,点击<另存>按钮,弹出 [另存为] 的界面,如图2-28所示。
(7) 输入条件名称,点击<保存>按钮,另存成功, [过滤条件列表] 中显示该条数据。
(8) 点击<取消 >按钮,取消另存为操作。
(1) 进入 [泄露事件] 页面,点击列表中的事件可以打开 [事件详细信息] 页面。如图2-29所示,分为左侧的基本信息区域、中间的详细信息区域、右侧的操作区、关联分析、操作记录和备注区域。
(2) 可点击<下一条>、<上一条>按钮,跳转到下一个 [事件详细信息] 界面,可查看或处理下一条事件。
(3) 点击<关闭>按钮,可关闭当前 [事件详情] 页面。
(1) 发送邮件通知
a. 在泄漏事件页面点击<更多操作>中的<发送邮件通知>按钮或点击详情页 [操作区] 的<发送邮件通知>按钮,进入违规通知页面,如图2-300所示。
b. 平台管理-基础配置-邮件设置中配置邮箱信息,在违规通知页面配置邮件接收者后,选择发送事件的字段后,点击<发送>按钮,邮件发送成功。
c. 点击<取消>,取消发送邮件通知的操作。
系统中涉及邮件发送的功能必须在配置发件服务器的前提下,才能发送成功。
(2) 补充审核意见。
a. 选中状态为新建或待核实状态的事件,在 [泄漏事件] 页面点击<更多操作>中的<补充审核意见>按钮。或者点击事件进入 [事件详情] 页,在 [操作区] 点击<补充审核意见>按钮,进入 [填写审计结果] 页面,如图2-311所示;
b. 填写完整各项信息后,点击<确定>按钮,审计成功,事件状态变为待处理状态;
c. 点击<取消>,取消进行填写审计结果的操作。
(3) 更新处置结果。
a. 选择待处理状态的事件,在 [泄漏事件] 页面点击更多操作中的<更新处置结果>按钮。或点击详情页 [操作区] 的<更新处置结果>按钮,进入 [填写处理结果] 页面,如图2-32所示。
b. 填写完整各项信息后,点击<确定>按钮,填写处理成功,事件状态变为待归档状态。
c. 点击<取消>,取消进行填写处理结果的操作。
(4) 事件导出。
在 [泄漏事件] 页面勾选数据,点击 <导出>按钮或点击详情页 [操作区] 的导出详情按钮。点击<导出所选>按钮,进入 [事件导出] 页面,有事件下载和syslog输出两种方式:
· 事件下载如图2-33所示,下载格式有JSON、PDF、EXCEL、CSV、图片、图片五种。
· SYSLOG导出如图2-33所示,配置SYSLOG服务器目标IP、目标端口,协议可选择TCP和UDP两种方式。
(5) 事件归档。
a. 选择待归档状态的事件,在 [泄漏事件] 页面点击<更多操作>的<归档>按钮或点击详情页操作区的<事件归档>按钮,弹出确定要归档吗?,如图2-35所示。
b. 点击<确定>按钮,事件归档成功,事件状态变为已归档状态。
c. 点击<取消>,取消归档的操作。
d. 选择任意事件,点击泄漏事件页面的<直接归档>按钮,弹出确定要直接归档吗,如图2-36所示,点击<确定>按钮,直接归档成功,点击<取消>,取消直接归档的操作。
(6) 事件删除。
a. 选中需要删除的事件,在泄漏事件页面 点击<删除所选>按钮,弹出确定要删除所选的事件吗?,如图2-37所示;
b. 点击<确定>按钮,删除成功;点击 [事件详情] 界面操作区的<删除事件>按钮,弹出确定要删除该事件吗?,如图2-38所示;
c. 点击<确定>按钮,事件删除成功;
d. 点击<取消>,取消删除操作。
(7) 更改级别。
a. 选中需要更改级别的事件,在 [泄漏事件] 页面点击<更改级别>按钮,弹出 [更改级别] 页面,如图2-39所示。
b. 修改级别后点击<确定>按钮,事件更改级别成功。
c. 点击详情页 [操作区] 的<修改级别>按钮,弹出 [更改级别] 页面,如图2-400所示。
d. 点击修改级别后点击<确定>按钮,事件级别更改成功。
e. 点击<取消>取消更改级别的操作。
(8) 添加备注。
a. 选中需要添加备注的事件,在 [泄漏事件] 页面点击<更多操作>中的<添加备注>按钮进入添加备注页面,如图2-41所示。
b. 输入备注后,点击<确认>按钮,添加备注成功。
c. 点击<取消>,取消添加备注的操作。
(9) 文件下载
a. 对于响应动作为证据留存的事件,可在 [事件详情] 页右侧的文件信息进行源文件下载,如图2-42所示;
b. 点击<蓝色字体文件名>可以下载原始文件。
(10) 事件统计
在 [审计中心/安全事件/泄露事件] 界面,点击<统计方式>可以展开事件统计配置选项,配置主次统计项后服务会根据配置对全部的事件进行统计,如图所示。
统计方式说明:包括主统计项、次统计项:
¡ 主统计项为单选,默认无,包括事件ID、设备名称、协议、外泄时间、上报时间、触发者地址、接受者地址、接收者URL、网络泄漏途径、数据流向、内容格式、原始文件、MD5、数据大小、文件类型、策略名称、接收者邮箱、接收者用户、用户姓名、分级名称、状态、外泄状态、更新时间、严重等级、邮件附件等。
¡ 次统计项为单选,默认不显示,当主统计项不是<无>时显示,选择项与主统计项展示的一样。
图2-43 对事件进行统计
点滴事件是指多次数据传输过程中命中规则次数达到设定值时才作为一次事件告警,而不会每次命中都作为一次独立的事件告警。
(1) 审计管理员登录系统,选择 [审计中心 / 安全事件 / 点滴事件] ,进入 [点滴事件] 页面。
(2) 点击 [过滤器] ,输入账号、姓名、触发源、策略名称或生成规则进行事件筛选,如图2-44所示。
(3) 点击操作<回溯>,可查看事件记录相应的信息,如图2-45所示。
(4) 点击<返回>按钮,返回 [发现记录] 页面。
(5) 在 [回溯事件列表] 中点击某个事件的<详情>按钮,可查看事件的详细信息,如图2-46所示。
(6) 点击<上一条>、<下一条>按钮,可以查看下一条事件信息,页面左侧显示记录的详细信息。
(7) 点击<返回>按钮,返回 [点滴事件列表] 。
(8) 点击 [点滴事件] 页面某个事件的操作详情,可查看事件的详细信息。
(9) 点击左侧 [文件列表] 的文件名,可查看报告时间、事件来源、事件状态等信息,如图2-47所示。
组织架构实现管理组织中的所有人员,可以添加/删除/修改组织部门和人员,设定组负责人。添加系统用户时可以直接从组织架构的人员中引用。
系统中可以添加多个组织部门,匹配组织的实际人力组织架构。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,选中公司组织部门,点击<添加>为其添加下级组织,如图2-48所示。
(2) 输入组织名称并点击<确定>。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,选中某个部门或组织后点击<新增>按钮,如图2-49所示。
(2) 进入 [新增成员] 窗口,如图2-50所示。
(3) 输入成员信息并点击<确定>。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,点击需要修改信息的成员对应操作栏下的
图标。
(2) 在弹出窗口中修改相关信息并点击<确定>,如图2-51所示。
组负责人即部门负责人,可以为每个部门设置一个组负责人,也可以为部门设置多个组负责人。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,点击<添加组负责人>,如图2-52所示。
(2) 在弹出窗口中选择组负责人,如图2-53所示。
移动成员可以变更成员所在的部门。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,在 [成员列表] 中选中需要变更部门的成员,点击<移动成员>,选择要变更的部门并点击<确定>,如图2-54所示。
成员状态可以删除现有的成员。
(1) 点击 [用户管理 / 组织架构] 进入组织架构页面,在成员列表中选中需要删除的成员,点击<删除>按钮,如图2-55所示。
组织架构中的用户不可以登录管理平台只用于审计追溯外泄,只有管理员可以登录管理平台。
(2) 数据源为AD/LDAP源。
a. 点击 [用户管理/第三方用户源] 进入数据源页面,点击<新增>按钮添加数据源,如图2-56所示
b. 进入 [添加数据源] 页面,默认选择方式是添加AD源,如图2-57所示,按照需求将各输入框输入完整,点击<保存>按钮,保存成功;
c. 点击<取消>按钮,取消添加AD源的操作。
添加数据源配置字段说明:
¡ 数据源名称:必填项,重复校验,最长50个字符
¡ 数据源描述:非必填项;
¡ 服务器地址:域服务器地址,例172.16.10.18;
¡ 组织DN:域名,例dc=secdlp,dc=com;域名为多段时需要分段输入。
¡ 人员DN:人员DN,默认和组织DN相同。
¡ 组织单位:OU=测试部。
¡ 域账号:必填;
¡ 域账号密码:必填。
(3) 上传离线组织架构方式添加数据源。
a. 点击 [用户管理/第三方用户源] 进入数据源页面,点击<下载Excel模板>,打开已下载的Excel模板,将信息填写完整,如图2-58所示
b. 点击<添加数据源>按钮,进入添加数据源页面,选择方式是上传离线组织架构(使用excel模板生成)如图2-59所示,按照需求将各输入框输入完整,上传使用Excel模板生成的文件,点击<保存>按钮,保存成功;
c. 点击<取消>按钮,取消添加AD源的操作。
(4) 上传组负责人方式添加数据源。
a. 在 [数据源列表] 页面,点击<下载组负责人模板>,按照模板将信息填写完整。
b. 点击<添加数据源>按钮,进入 [添加数据源] 页面,选择方式是<上传离线组织架构>(使用组负责人模板生成)如图2-60所示.
c. 按照需求将各输入框输入完整,上传按照模板填写完整的文件,点击<保存>按钮,保存成功.
d. 点击<取消>按钮,取消添加AD源的操作。
图2-60 上传组负责人
(5) 进入 [用户管理 / 第三方数据源] 页面,选择要导入的数据源,点击右上角 [导入数据源] 按钮,如图2-61所示导入数据源,导入成功后,导入状态栏会显示成功,如图2-62所示。
在 [数据源] 页面选中需要进行修改操作的数据源,点击操作列中的
按钮,进入 [编辑操作] 页面,修改各信息后,点击<保存>按钮,保存成功;点击<取消>按钮,取消修改的操作。
在 [数据源] 页面选中需要进行定时同步操作的数据源(仅限通过AD域添加的数据源),点击操作列中的
按钮,进入 [编辑操作] 页面,如图2-63所示,勾选启用<定时同步>按钮,周期设置可以设置为每天或者每周,若设置为每周,可以选择每周几进行同步,如图2-64所示,同步开始时间默认0点,可以自行修改,点击<保存>按钮,保存成功;点击<取消>按钮,<取消>修改的操作。
在 [数据源] 页面可对选中的数据源进行删除操作,点击操作列中的
按钮,弹出 [确实要删除吗]
弹框,<确认>删除成功;点击<取消>按钮,取消删除的操作。
[策略中心] 用于配置各种安全策略,包括:文档标签、规则库、策略管理、特征库。文档标签用于定义文档的密级和分类;规则库用于定义各种安全规则;策略管理引用规则用于定义各种安全策略;外泄通道用于定义数据泄漏的途径;应用范围用于定义安全策略应用的对象;特征库用于定义各种原始的特征描述。
创建分类,将数据进行归类。分类管理页面可以进行新增、修改、删除、查询操作。
(1) 查看分类标签页面
管理员admin登录系统,选择 [策略中心 / 文档标签 / 分类标签] ,进入如下页面,如图2-65所示:
(2) 新增类别
点击<新增>按钮进入新增分类页面,如图2-66所示。
字段说明:
¡ 名称:校验重复名称,最长可输入50个字符;
¡ 描述:备注信息,最长可输入500个字符;
(3) 编辑类别
a. 点击<编辑>按钮,进入编辑类别页面,如图2-67所示。
b. 按要求填写各项信息,点击<确定>按钮,编辑成功,并显示在内容分级页面。
c. 字段说明:
¡ 名称:可编辑;
¡ 描述:可编辑。
(4) 删除类别
点击<删除>按钮,成功删除分级,如图2-68所示。
(5) 查询类别
输入公司,点击搜索按钮或enter键,查询后的结果展示在列表页面,如图2-69所示。支持模糊搜索。
若分类正在被使用,则无法删除。
[密级标签] 界面可对分级进行新增、编辑、删除、查询操作。
(1) 查看 [密级标签] 页面
管理员admin登录系统,选择 [策略中心 / 文档标签 / 密级标签] ,进入页面,如图2-70所示。
(2) 新增分级
a. 点击<新增>按钮,进入 [新增分级] 页面,如图2-71所示。
b. 按要求填写各项信息,点击<确定>按钮,新增成功,并显示在内容分级页面。
字段说明:
¡ 名称:校验重复名称,最长可输入50个字符;
¡ 描述:备注信息,最长可输入500个字符;
¡ 密级权重:输入1~99的整数,密级权重不允许重复,权重值越大,密级程度越高。
(3) 编辑分级
a. 点击<编辑>按钮,进入编辑分级页面,如图2-72所示。
b. 按要求填写各项信息,点击<确定>按钮,编辑成功,并显示在内容分级页面。
字段说明:
¡ 序号:不可编辑
¡ 密级名称:可编辑;
¡ 描述:可编辑;
¡ 密级权重:可编辑。
点击<删除>按钮,成功删除分级,如图2-73所示。支持批量删除。
(5) 查询分级
输入名称,点击搜索按钮或enter键,查询后的结果展示在列表页面,如图2-74所示。
· 若分级正在被使用,则无法删除。
将内容识别、生效范围、外泄通道及响应规则根据实际场景组合起来形成策略,从而达到管控用户操作文件的行为,该模块下可对策略进行管理(新增、查看、删除、导入、导出、移动、启用、禁用等)操作。
(1) 查看管控策略页面
管理员admin登录系统,进入 [策略中心 / 策略管理] 界面,如图所示
图2-75 管控策略页面
(2) 新增策略
a. 点击<新增>按钮,跳转至 [新增策略] 界面,如图所示。
b. 点击<取消>,回到管控策略列表。
新增策略配置字段说明:
¡ 策略名称:必填项,限制输入50个字符;
¡ 策略描述:非必填项,限制输入500个字符;
¡ 策略类型:下拉可选择外泄管控、点滴泄露。
- 外泄管控:外泄管控是实时的,每检测到一个符合策略中的匹配规则的文件就生成一个事件日志。
- 点滴泄漏:是指在一个周期时间内,符合事件生成规则时才进行统计。
¡ 新增策略类型为点滴泄露时,点滴泄漏配置字段说明:
- 检测周期:检测周期可以是天、小时、分钟为单位作为周期检测。
- 事件生成规则:可以配置,累计生成的记录的条数、累计命中关键字的次数、同一指纹的累计相似度、累计命中权值、同一表格指纹累计命中次数、累计命中正则表达式次数、累计命中数据标识符次数;如果同时配置了多个规则,那必须同时满足,才能产生点滴事件。
¡ 策略内容:可添加匹配规则、生效范围、外泄通道以及响应规则
- 匹配规则:点击添加按钮后可以选择内容识别规则中已经配置的规则,NDLP会根据配置添加的匹配规则对文件进行扫描。
- 应用范围:点击添加后,可以选择应用访问中已经配置好的规则,若未配置应用范围为全部。
- 外泄通道,点击添加后,可以选择外泄通道中已经配置好的规则,若未配置外泄通道就检测所有支持的协议流量。
- 响应动作:检测到敏感文件后采取的动作。
- 匹配规则/应用范围/外泄通道中的例外:符合例外条件的文件不会被审计。
· 应用范围和外泄通道和匹配规则需要同时符合才会产生事件并触发响应动作,如:应用范围中配置的邮箱[email protected],通过外泄通道中配置的协议SMTP发送了一个包含匹配规则中配置的关键字的邮件,会产生一天事件日志,并对这个外发操作执行响应动作中配置的所有的响应动作 。
图2-76 新增管控策略(外泄管控)
(3) 修改策略
点击<编辑>按钮,弹出 [编辑策略] 页面,可修改策略。
字段说明:
· 策略名称:可编辑;
· 策略描述:可编辑;
· 策略类型:不可编辑
· 策略内容:可编辑
(4) 删除策略
c. 点击<删除>按钮,弹出确认删除的提示,如图所示。
d. 点击<确定>按钮,可成功删除策略。
e. 也可点击<取消>按钮,取消删除操作。支持批量删除。
图2-77 删除策略
(5) 启用策略
a. 选择某一条策略,或批量选中策略,点击<启用>按钮,弹出 [确认启用] 的提示,如图所示。
b. 点击<确定>按钮,可成功启用策略。
c. 也可点击<取消>按钮,取消启用操作。
图2-78 启用策略
(6) 禁用策略
a. 选择某一条策略,或批量选中策略,点击<启用>按钮,弹出 [确认禁用] 的提示,如图所示。
b. 点击<确定>按钮,可成功禁用策略。
c. 也可点击<取消>按钮,取消禁用操作。
图2-79 禁用策略
(7) 导入策略
d. 点击<导入>按钮,弹出 [文件选择] 框,如图所示。
e. 导入策略,此处策略文件的格式需跟导出时格式一致(xx.policy)。
f. 点击<取消>按钮,则取消导入操作。
图2-80 导入策略
(8) 导出策略
勾选一条策略或者全选策略,点击<导出>按钮,成功导出策略。
(9) 复制策略
点击需要复制的策略操作栏下对应的
按钮,成功复制策略,如图所示。
图2-81 复制策略
(10) 查询策略
输入策略名称,点击搜索按钮或enter键,查询后的结果展示在列表页面,如图所示。支持模糊搜索。
图2-82 查询策略
· 匹配规则,生效范围,外泄通道和响应规则都可以添加多个记录。
· 匹配规则下多个匹配内容间是或的关系,生效范围,外泄通道,响应规则同样。
· 响应动作中的事件审计时默认动作,无论在响应动作中是否配置,符合生效范围和外泄通道的流量均会被审计。
上传并管理训练样本
(1) 左侧导航栏,选择[策略中心/在线学习/样本管理]
(2) 点击<上传文件>按钮,在[新建样本]弹窗中点击<上传文件>的按钮,点击<确认>后上传文件到管理平台,如图2-83所示。
图2-83 上传样本
使用上传的样本文件创建训练智能模型任务。
(1) 左侧导航栏,选择[策略中心/在线学习/智能学习]
(2) 单击右上角的新增。
(3) 在模型创建页面,设置模型参数,并单击保存。
(4) 勾选新建的模型,单击右上角的启动训练
字段说明:
· 模型名称:设置学习模型名称;
· 模型说明:设置学习模型描述信息;
· 正向样本:设置正向学习样本;
¡ 单击添加,在样本管理中选择正向学习样本;
· 反向样本:设置反向学习样本,即排除例外样本;
¡ 勾选自动添加误命中该模型的文件到反向样本中,当命中的事件确认为误报时,会将误报文件自动添加到反向样本中;
¡ 单击添加,在样本管理中选择反向学习样本。
内容识别规则模块用于设置数据内容分级分类规则,用户可在该界面新增、修改、删除、查询、导入、导出内容识别规则。
(1) 查看内容识别规则页面
管理员admin登录系统,选择 [策略中心 / 规则库 / 内容识别规则] ,进入如下页面,如图2-84所示
(2) 新增识别规则
a. 点击<新增>按钮进入新增内容识别页面,如图2-85所示。
b. 按要求填写各项信息,点击<下一步>按钮,进入 [新增匹配条件] 页面。
c. 点击<取消>按钮,返回列表页面。
新增识别规则配置字段说明:
¡ 名称:必填项,最长50个字符,不可重复;
¡ 描述:非必填项,最长500个字符;
¡ 密级标签:必填项,下拉展示密级标签列表中的分级名称,根据实际情况选择;
¡ 分类标签:必填项,下拉展示分类标签列表中的分类名称,根据实际情况选择;
¡ 匹配规则:可下拉选择关键字,文档属性,正则表达式,数据标识符,文档指纹,表格指纹,自然语义,自定义脚本,数据字典,密级标签,图章匹配的任一;
1) 匹配规则——关键字
新增关键字规则配置说明:
¡ 规则名称:限制输入最长50个字符;
¡ 严重等级:默认展示提示,默认值可修改为提示,一般,严重,高危任一;支持手动添加根据匹配数范围而定的等级;
¡ 匹配类型:设置的敏感词若包含英文单词,则在关键字匹配时,会按照所勾选的去决定是否区分大小写;
¡ 关键字:
- 简单关键字:配置单一的关键字。
- 近邻关键字,即存在一定距离的两个简单关键字的组合,举例:敏感和文件字间距5,说明当敏感和文件这两个词语间隔小于等于5时满足命中事件的条件;关键字可输入多个或者多对,以换行符隔开;
¡ 匹配条件:
- 仅限全字用于定义关键字是否适用于独立的单词;
- 对所有唯一匹配项进行计数:若配置了多个关键字如关键字1、关键字2,会对外发文件中的关键字1和关键字2分别计数,其中一个关键字个数符合配置就命中该规则。
- 检查是否存在(不计算多个匹配项):若配置了多个关键字如关键字1、关键字2。只要外发文件中存在关键字1或关键字2,就命中该规则。
- 计算所有匹配项:若配置了多个关键字如关键字1、关键字2。会对外发文件中的关键字1和关键字2分别计数,只要外发文件中存在关键字1和关键字2总数符合配置,就命中该规则。
¡ 匹配位置:信封,主题,内容体,附件,邮件格式的文件有这四种位置之分;普通文件均视为附件。
¡ 中文分词:例如关键字机密,文章内容...张三的计算机密码是!@#123...,此时若勾选中文分词,则不命中事件,因为内容被拆成.../计算机/密码...;不勾选时,可以命中事件
¡ 简体匹配对应繁体:支持识别繁体字
¡ 匹配范围-同一组件:压缩包中有多个文件,要求命中两个关键字算命中时,必须是压缩中存在一个文件同时包含两个关键字才能命中。
¡ 匹配范围-不同组件:压缩包中有多个文件,要求命中两个关键字算命中时,压缩中不同的文件分别包含两个关键字中的一个也可以命中。
匹配规则选择文档属性, [匹配条件配置] 页面如图2-87所示
新增文档属性规则配置字段说明:
¡ 文件名包含以下内容:不选中,则文件名不做匹配;选中包含如下内容,假若想命中需求规格说明书.docx,全部匹配输入需求规格说明书.docx,模糊匹配可输入需求规格*,或*规格说明书*,或需求规格说明书*(*代替零个、单个或多个字符,?代替一个字符)
¡ 文件大小:不选中,则文件大小不做匹配;选中介于如下范围,可填入文件大小的范围,在这个范围内的文件才会做匹配
¡ 文件最后修改时间:不选中,则文件最后修改时间不做匹配;选中介于如下范围,可选择文件最后修改时间的范围,在这个范围内的文件才会做匹配
¡ 文档类型:不选中,则文档类型不做匹配;选中如下文档类型,可添加文档类型或标签类型。系统已内置100多个常见类型,用户根据需要添加,支持自定义文档类型
¡ 文件被加密:勾选后会检测文档是否被加密。
¡ 文件被压缩或嵌套:勾选后会检测文件的压缩和嵌套层数,压缩嵌套层数达到配置的次数会将文件识别为敏感文件。
匹配规则选择正则表达式, [匹配条件] 页面如图2-88所示
新增正则表达式规则配置字段说明:
¡ 匹配:系统内置的有邮箱,手机号码,车牌号,家庭住址等,支持手动输入正则表达式
· 匹配规则选择数据标识符,匹配条件页面如图2-89所示
¡ 数据标识符:下拉选择,支持银行卡号,身份证号,车辆识别码等的识别
¡ 其它字段含义参见关键字介绍
· 匹配规则选择文档指纹, [匹配条件] 页面如图2-90所示
¡ 文档指纹:必选项,下拉选择。需要先在特征库/文档指纹中上传指纹文件或上传源文件生成指纹文件,然后这边联动选择
¡ 匹配阈值:必选项,下拉选择,达到阈值才会匹配策略生成日志
6) 匹配规则——表格指纹
· 匹配规则选择表格指纹, [匹配条件] 页面如图2-91所示
¡ 表格指纹:必选项,下拉选择。需要先在特征库/表格指纹那里上传索引文件,然后这边联动选择。
¡ 全选列:由表格指纹联动带出,展示样本csv文件的列名。
¡ 其它字段含义参见关键字介绍
7) 匹配规则——自然语义
· 匹配规则自然语义, [匹配条件] 页面如图2-92所示
¡ 语义模型:必选项,下拉选择。需要先在特征库/语义模型中上传模型文件,然后这边联动选择。
¡ 匹配分类:由语义模型联动带出。
¡ 其它字段含义参见关键字介绍
· 匹配规则选择自定义脚本, [匹配条件] 页面如图2-93所示
¡ 自定义脚本:必选项,下拉选择。需要先在特征库/自定义脚本那里上传脚本,然后这边联动选择
¡ 脚本参数:非必填项
9) 匹配规则——数据字典
· 匹配规则选择数据字典, [匹配条件] 页面如图2-94所示
¡ 字典类型:
- 权重字典:需要先在特征库/数据字典/权重字典中配置,然后这边联动选择;给给不同的关键字定义不同的权重,文件中的内容包含的关键字的总权重达到匹配条件中配置的阈值就判定该文件是敏感文件。
- 地址字典:可以在特征库/数据字典/地址字典中配置,然后这边联动选择。
¡ 匹配条件:设置阈值,文件中的内容包含的关键字的总权重达到匹配条件中配置的阈值就判定该文件是敏感文件,阈值可以是负数。
10) 匹配规则——图章匹配
· 匹配规则选择图章匹配, [匹配条件] 页面如图2-95所示
¡ 匹配条件:检查是否存在图章和匹配文字两种方式。
¡ 其它字段含义参见关键字介绍
11) 匹配规则——智能模型
· 匹配规则选择智能模型, [匹配条件] 页面如图2-95所示
图2-96 智能模型
¡ 智能模型:需要先在特征库/智能模型中配置,然后这边联动选择;服务会根据关联的智能模型自动分析文档特征,判断外发文件的匹配度。特征库/智能模型中的若是获取方式选择智能模型,需要先在策略中心/在线学习的样本管理中上传学习样本,再在智能学习中选择正反向样本训练出模型。
¡ 其它字段含义参见关键字介绍。
(3) 编辑识别规则
a. 选择要修改的识别规则,点击<编辑>按钮,弹出 [编辑分类] 页面,如图2-97所示。
b. 按要求填写各项信息,点击<保存>按钮,内容识别规则修改成功,且更新显示在内容分类列表中。
c. 点击<返回>,则退出 [编辑] 页,回到列表页。
字段说明:
· 名称:可编辑;
· 描述:可编辑;
· 密级标签:可编辑;
· 分类标签:可编辑;
· 同时匹配;提供添加其它规则的入口;
· 清空:清除分类描述下所有规则;
· 规则:可编辑、可删除。
(4) 复制识别规则
a. 选择要复制的识别规则,点击<复制>,弹出提示,如图2-9898所示;
b. 点击<确定>按钮,成功复制该规则。
(5) 导入识别规则
c. 点击<导入>按钮,弹出 [文件选择] 框,如图2-9999所示;
d. 导入规则,此处导入文件的格式需跟导出时的格式一致(xx.document),规则导入是在原有的规则上追加;
e. 点击<取消>按钮,则取消导入操作。
图2-99 导入识别规则文件选择
(6) 导出识别规则
选中需要导出的规则,可以多选,点击<导出>按钮,成功导出。导出含有指纹类,语义,数据字典,自定义脚本的规则会被过滤不会将其导出。
选择任一识别规则,点击<删除>,弹出提示,点击<确定>按钮,成功删除该规则。支持批量删除。
输入名称,点击搜索按钮或enter键,查询后的结果展示在列表页面,如图2-10000所示。支持模糊搜索。
· 导入的分类文件:文件必须为.document格式,与导出时的格式须一致。
· 无法删除已被策略引用的分类。
· 识别规则修改后,到了心跳时间就会下发到网络引擎。
· 文档指纹、表格指纹、自然语义、自定义脚本、自定义文档属性、数据字典等匹配规则,需要先在策略中心-特征库进行新增后才可以引用,其中权重字典导入方式要求格式为utf8的TXT文件。
当数据防泄漏系统捕获到某种途径泄露敏感数据时而做出的一系列响应反馈。响应方式包含阻断、审计、证据留存、上传文件、发送到syslog服务器、发送电子邮件通知,添加备注等,可组合配置。
(5) 查看响应规则页面
管理员admin进入 [策略中心 / 规则库 / 响应规则] 页面 ,如下图2-101101所示。
(6) 新增响应规则
点击<新增>按钮,跳转至 [新增响应规则] 页面,如图2-102102所示
字段说明:
· 名称:必填项,限制输入50个字符。
· 说明:非必填项,限制输入300个字符。
· 条件:有4种类型的条件,分别是严重等级、协议或泄密渠道、事件匹配数,只有符合配置条件才会触发响应动作。
· 动作:有7种响应方式,响应动作说明如下:
¡ 实时阻断:在直路模式下才能生效,触发后请求会被拦截。
¡ 事件审计:审计所有的外发文件是否包含内容识别规则中包含的信息,该动作为默认的动作,不需要配置也会默认审计所有的外发文件,并在识别到敏感文件时在审计中心产生事件。
¡ 证据留存:在识别到敏感文件产生事件时会将产生事件的文件上传到数据防泄漏系统服务器上,并可在事件详情中下载下来查看,证据留存可以配置限制上传文件的大小,符合限制的文件才会上传。
¡ 添加备注:在动作中添加备注内容,将响应动作应用到策略中后,由该策略产生的事件中都会添加这个备注。
¡ 发送到syslog服务器:在动作中添加syslog服务器的地址和事件字段,将响应动作应用到策略中后,由该策略产生的事件都会将事件日志发送到syslog服务器中,并且只会发送动作中配置的事件字段。
¡ 发送电子邮件:在动作中配置收件人邮箱地址和邮件相关信息和事件字段,将响应动作应用到策略中后,由该策略产生的事件都会发送电子邮件到对应的收件人,并且只会发送动作中配置的事件字段。
¡ 上传文件:该动作可以将产生事件的源文件发送到配置的服务器中,可以在动作中直接配置接收文件的服务器,也可以在策略中心/其他设置/访问凭据中配置好服务器信息后直接应用凭据。需要注意的是上传文件动作需要和证据留存动作同时使用才能生效。
(7) 编辑响应规则
(8) 删除响应动作
a. 选择任一响应规则,点击<删除>,弹出提示,如图2-104104所示。
b. 点击<确定>按钮,成功删除。
(9) 查询响应规则
输入规则中包含的关键字,点击搜索按钮或enter键,查询后的结果展示在列表页面,支持模糊匹配查询,如图2-105105所示。
· 上传文件响应规则的实现需同时配置证据留存。
· 根据实际情况进行响应规则的组合使用,阻断优先级最高。
· 无法删除已被策略引用的响应规则。
· 响应规则修改后,到了心跳时间就会下发到网络引擎。
外泄通道用于定义数据泄漏的途径。管理员创建需要监控的外泄渠道,用于配置需要审计的协议,在管控策略中可以引用外泄通道。策略如果不配置外泄通道,则审服务运行模式支持的所有协议,若策略中配置了外泄通道,则仅审计通道中配置的协议。
(10) 新增外泄通道
a. 在左侧导航栏,选择 [策略中心 / 规则库 / 外泄通道] 。
b. 单击<新增>。
c. 在 [新增外泄通道] 页面,勾选需要审计的协议,如图2-106所示。
图2-106 新增外泄通道
应用范围模块用于定义安全策略应用的网络对象。该模块作用在于划分策略的适用人群,使得策略针对性的应用于特定对象或放行特定人员,以触发者、触发地址或接收者、接收地址等作为分类方式。在应用范围页面,可对应用范围规则进行管理(新增、删除、导入、导出等)操作。
(11) 新增应用范围,如图2-107所示。
a. 在左侧导航栏,选择 [策略中心 / 规则库 / 应用范围] 。
b. 单击<新增>。
c. 设置应用范围名称和描述信息,单击<下一步>。
d. 设置应用范围配置信息。
应用范围配置字段说明:
¡ 分类创建方式:
- 按触发者或发送地址分类:仅对触发者或请求的发送地址生效。
- 按接收者或接收地址分类:仅对接收者或请求的接收地址生效。
· 应用范围在策略中没有添加时,默认将策略应用于所有对象 。
图2-107 新增应用范围
在这个模块导入资源文件,内容识别规则模块引用。
常用正则用于定义被识别规则引用的正则表达式,系统内置了部分常用的正则表达式,用户也可以新建自定义的正则表达式。
管理员admin进入 [策略中心 / 特征库 / 常用正则] 页面,如图所示
图2-108 常用正则
数据字典定义了大量的规则对象,包括权重字典和地址字典。权重字典定义了字典中每个关键字的权重,地址字典定义了URL地址分类,这两类字典都用于规则定义时引用。
管理员admin进入 [策略中心 / 特征库 / 数据字典 / 权重字典] 页面,点击<新增>按钮。如图所示。
图2-109 权重字典
权重字典配置字段说明:
¡ 名称:必填项,重复校验,最长50个字符;
¡ 描述:非必填项;
¡ 权重关键字:输入关键字和权重值,可添加多个,关键字不可重复,每个关键字的权重限制为小数点后两位;
¡ 简体匹配对应繁体:可开启;
¡ 上传权重字典:文件严格按照系统要求上传,txt的utf-8格式。
管理员admin进入 [策略中心 / 特征库 / 数据字典 /地址字典] 页面,点击<新增>按钮,如图所示。
图2-110 地址字典
· 名称:必填项,重复校验,最长50个字符;
· 描述:非必填项;
· 地址:手动填写,可添加多个;
· 文件导入:上传地址字典文件。
数据标识符定义了大量常用数据标识,比如驾驶证档案号、护照号车辆识别码等标识,用户也可以导入自定义的数据标识符。
管理员admin进入 [策略中心 / 特征库 / 数据标识符] 页面,点击<新增>按钮。如图所示
图2-111 数据标识符
表格指纹功能通过离线工具的机器学习功能提取表格指纹,导入设备后用于网络中传输的表格特征匹配,当命中特征时将触发告警事件。离线工具可通过H3C官网获取。
管理员admin进入 [策略中心 / 特征库 / 表格指纹] 页面,点击<新增>按钮。如图所示。
图2-112 表格指纹
(1) 通过离线工具获得文档指纹文件
文档指纹功能通过离线工具的机器学习功能提取文档指纹,导入设备后用于网络中传输的文档特征匹配,当命中特征时将触发告警事件。离线工具可通过H3C官网获取。
管理员admin进入 [策略中心 / 特征库 / 文档指纹] 页面,点击<新增>按钮,点击选择文件可以上传指纹文件。如图所示。
图2-113 文档指纹
(2) 在线生成文档指纹文件
管理员admin进入 [策略中心 / 特征库 / 文档指纹] 页面,点击<新增>按钮,获取方式选择源文件并选择提取方式后可以点击选择文件上传生成文档指纹的源文件,点击<确定>后服务会在后台分析文件并生成文档指纹文件,如图2-114所示。
图2-114 文档指纹
(3) 查看指纹
上传或在线生成文档指纹后,在[策略中心 / 特征库 / 文档指纹] 页面可以查看已有的指纹。点击
可以查看生成指纹的云源文件的名称,如图2-114所示。
图2-115 文档指纹
(4) 编辑指纹藐视
上传或在线生成文档指纹后,在[策略中心 / 特征库 / 文档指纹] 页面可以查看已有的指纹。点击
可以修改指纹名称和描述,如图2-115所示。
图2-116 文档指纹
先通过离线工具生成语义模型文件,语义模型使用机器学习算法,通过对大量的文本进行学习,提取出文本中的特征值,并对文本进行自动聚类。可以做到对一类有固定格式的文件的防护(如周报、会议报告等)。离线工具可通过华三官网获取。
管理员admin进入 [策略中心 / 特征库 / 语义模型] 页面,点击<新增>按钮。如图所示。
图2-117 语义模型
文档属性内置了大量常用文档的属性定义,即便网络中文件后缀被改成其它后缀名,设备仍能自动识别真实的文件类型,并调用相应的引擎做检测。用户也可以根据实际情况自定义文档属性。
管理员admin进入 [策略中心 / 特征库 / 文档属性] 页面,点击<新增>按钮。如图所示。
图2-118 文档属性
文档属性新增界面配置项说明:
¡ 名称:必填项,重复校验,最长50个字符;
¡ 描述信息:选填;
¡ 特征:
- 偏移量:文件的文件头信息在偏移量范围内均被判定为同一类型的文件;
- 匹配新增:输入需要识别的文件类型的文件头,可以通过本司提供的工具获取文件的文件头;
- 标签:选择文件类型的标签,可以在配置规则时直接选择标签;
配置智能模型特征,支上传离线工具生成的模型和在线生成两种方式。
(1) 通过离线工具生成只能模型;
(2) 打开[策略中心 / 特征库 / 只能模型],点击<新增>按钮,在[新增智能模型]弹窗中选择<上传文件>方式,并点击<选择文件>选择已获取的智能模型,如图2-119所示。
(3) 点击<确定>成功创建智能模型特征。
图2-119 新增智能模型
(1) 在[策略中心/在线学习/智能学习]中使用上传的样本文件创建智能模型训练任务;
(2) 打开[策略中心 / 特征库 / 只能模型],点击<新增>按钮,在[新增智能模型]弹窗中选择<智能模型>方式,并点击<选择文件>选择在线生成的智能模型
(4) 点击<确定>成功创建智能模型特征。
自定义脚本适合有python编程基础的专业运维人员使用。当内置的算法无法满足使用需求时,使用python编写脚本增加内容识别算法。
管理员admin进入 [策略中心 / 特征库 / 自定义脚本] 页面,点击<新增>按钮。如图所示。
图2-120 自定义脚本
通过设置IP地址库,泄漏事件能够直观的了解数据流转的地理信息。服务内部内置了一套地址库信息,若新增地址库信息则以新增的地址库为准,管理员admin进入 [策略中心 / 特征库 / IP地址库] 页面,点击<新增>按钮进行地址库配置。
地址库新增界面配置项说明:
¡ IP地址范围:必填项,输入地址信息支持IP、IP段的输入,多个输入时需要换行输入;
¡ 域类型:配置IP地址的类型,可选择内网或外网。
¡ 域名称:选填;
¡ 位置:配置IP地址所属的位置,可输入,也可选择;
¡ ISP:选择运营商;
¡ 优先级:配置IP库的优先级;
¡ 是否启用:需要启用,IP库才生会生效。
其他设置中有 [外发配置] 和 [访问凭据] 。 [外发配置] 中可以配置syslog服务器信息,在启用定时上报后可以将外泄事件和点滴事泄漏事件定时上报到syslo; [访问凭据] 中可以配置FTP服务器和共享服务器的访问信息,在使用响应动作中的上传文件时可以使用。
(12) 外发配置,如图2-121所示。
a. 在左侧导航栏,选择 [策略中心 / 其他设置/ 外发配置] 。
b. 单击<新增>,新增syslog服务器。
新增SYSLOG服务器配置字段说明:
¡ 名称:必填,说明服务器名称。
¡ 描述:选填,写对服务器的描述。
¡ 服务器地址:必填,配置syslog服务器的地址。
¡ 服务器端口:必填,配置syslog服务器的端口。
¡ 协议类型:配置服务和syslog服务器通信时使用的协议,需要根据syslog服务器的配置来选择。
¡ 告警级别:配置syslog服务器中收到日志的等级,发给syslog服务器的事件日志均显示为配置的告警级别。
¡ 定时上报:启用定时上报后才会根据配置的上报间隔循环将事件日志发送到syslog服务器。
¡ 上报间隔:勾选定时上报后可配,配置后 服务会根据间隔的事件定时给syslog服务器发送日志信息。
¡ 上报内容:配置发送的日志的字段。
图2-121 新增外发配置
(13) 访问凭据
a. 在左侧导航栏,选择 [策略中心 / 其他设置/ 访问凭据] 。
b. 单击<新增>,新增访问凭据,如图2-122所示。
新增SYSLOG服务器配置字段说明:
¡ 名称:必填,说明服务器名称。
¡ 描述:选填,写对服务器的描述。
¡ 访问类型:必选,可选FTP或共享,根据服务类型选择。
¡ 访问地址:服务器地址
¡ 访问端口:服务器的访问端口
¡ 访问目录:配置文件上传到服务器的目录以/形式填写,根据服务器真实情况填写。
¡ 访问方式:
- 匿名访问:不需要账号和密码,可以直接访问服务器,根据服务器的真实情况填写。
- 密码访问:使用账号和密码访问服务器,根据服务器的真实情况填写。
图2-122 新增访问凭据
网络管理模块可对数据防泄漏系统流量探针进行模式配置、协议数据分析等配置查看。
管理平台上内置了一般常见平台的插件安装包可以直接在管台上下载,访问[网络管理/插件管理界面]在[旁路插件]列表中根据安装插件的平台选择插件,点击对应插件操作栏下的<下载>按钮下载插件,具体的插件安装步骤参考文档《SecPath DLP2000系列数据防泄漏系统 开局指导》。
(1) 插件安装后默认是未启用的状态,启用后才会开始抓包,插件的启用步骤如下:
a. 登录网络数据防泄漏系统;
b. 在[网络管理/插件管理]页面,从插件列表中找到要启用的设备;
c. 单击<启用状态>按钮,启用插件,如图2-123所示。
图2-123 启用插件
(2) 配置监听网卡
a. 插件只会抓取监听网卡的流量,可以选择多个网卡。
b. 登录网络数据防泄漏系统;
c. 在网络管理 > 插件管理,从插件列表中找到要配置的插件;
d. 单击操作栏下的插件配置;
e. 在配置界面中,单击监听网卡一栏,选择要监听的网卡,单击确定保存配置,等待几秒后插件配置生效,如图2-124所示。
图2-124 配置插件监听网口
(3) 插件的绑定端口是指插件抓取所在设备哪个端口的流量。例如:设备上安装了一个http服务,服务的端口是80,那么配置插件的绑定端口为80后会抓取所有通过80端口访问http服务的流量,配置步骤如下:
a. 登录网络数据防泄漏系统;
b. 在网络管理 > 插件管理页面,从插件列表中找到要配置的插件;
c. 单击操作栏下的插件配置;
d. 在绑定端口一栏中输入需要抓包的端口。 绑定端口可以填写多个,填写多个需要用英文逗号分开。例如:80,8080,或者输入端口范围如:1-500,不填写则默认抓取0-65535端口的流量,如图2-125所示;
e. 单击确定保存配置,等待几秒,配置会下发到插件并被插件应用。
图2-125 配置绑定端口
(4) 配置插件抓包过滤条件:插件抓包的流量是根据抓包网卡和绑定端口决定的,当端口流量过大,我们又只需要部分流量时使用过滤条件进行流量的筛选。筛选条件的筛选端口和筛选IP是指访问绑定端口的IP和端口,过滤条件和绑定端口的是逻辑与的关系,只有流量同时符合时才会抓取该流量。配置步骤如下:
a. 登录网络数据防泄漏系统;
b. 在网络管理 > 插件管理页面,从插件列表中找到要配置的插件;
c. 单击操作栏下的插件配置;
d. 在过滤条件中配置IP和端口,单击确定保存配置。 端口支持格式包括:1-600,或者60,或者1,60。
图2-126 配置抓包过滤条件
可以配置插件的阈值,当服务器的资源使用超过阈值时停止插件抓取流量,服务器资源低于阈值时抓包恢复。
(1) 在左侧导航栏,选择[网络代理/插件管理]。
(2) 在插件列表中,找到目标服务器的插件,单击<设置阈值>。
(3) 在设置阈值对话框中,配置服务器资源使用阈值如图2-127所示,点击<确定>保存配置。
图2-127 配置抓包过滤条件
在插件列表中点击插件名称会打开插件详情,显示插件所在设备的资源使用趋势和抓包情况,如图2-128所示。
图2-128 插件详情
登录系统,选择 [网络管理/ 功能配置] ,进入 [功能配置] 页面,如图2-1299所示,显示设备的名称、主机名、在线状态、心跳间隔、管理IP、注册时间、策略的最后更新时间。并且可以对设备功能进行配置和流量处理情况进行查看。
在设备列表中点击想要进行配置设备列表右侧的配置按钮,可以出现该页面,如图2-1300所示,可以对该网络代理服务器的模式、协议、白名单、启用的算法和策略组进行配置。
如图2-131所示,设置服务各模块之间的保活时间,每间隔这个时间,流量恢复模块会向设备管理模块发送一次心跳,说明自己在正常状态,默认为60s。
设备支持5种模式,分别为旁路模式、协议对接、代理模式、路由模式、网桥模式,配置步骤如下:
(1) 在左侧导航栏,选择网络管理 / 功能配置。
(2) 在设备列表中,点击设置按钮进入设备配置界面。
(3) 根据虚妄方式选择模式后,点击保存式配置生效。
模式说明:
¡ 旁路模式旁挂在网络链路中,通过交换机镜像的方式获取流量并检测,对原有网络结构无影响。支持插件抓包获取流量。
¡ 协议对接: 通过标准的ICAP协议ICAP客户端捕获到的流量转发给数据防泄漏系统服务器,数据防泄漏系统服务器处理完成后再将下一步操作指令返回给该外部设备。
¡ 代理模式以单臂的拓扑方式串联在网络逻辑链路上,并对HTTP/HTTPS等流量进行检测,对其它流量无影响。
¡ 路由模式以单臂的拓扑方式串联在网络逻辑链路上,对HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等流量进行检测。
¡ 网桥模式以物理串联的方式串接在网络链路中,对HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、IMAP/IMAPS等流量进行检测。
¡ 协议对接模式通过标准的ICAP协议将外部设备捕获到的流量转发给数据防泄漏系统服务器,数据防泄漏系统服务器处理完成后再将下一步操作指令返回给该外部设备。
H3C CAS CVM虚拟化管理平台和VMware ESXI环境下,安装DLP2000-V系列产品,旁路模式和网桥模式需要服务器直通网卡。
硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为桥模式、旁路模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
(1) 旁路模式的模式配置步骤如下:
a. 在左侧导航栏,选择 [网络管理 / 功能配置] 。
b. 找到目标数据防泄漏服务器,单击
图标。
c. 选择 [模式配置] 页签,如图2-132所示。
旁路模式配置参数说明:
¡ 旁路镜像中模式选择
- 流量镜像:通过上游设备的镜像功能获取流量。
- 插件抓取:通过插件抓包并发送到设备的方法获取流量。
¡ 监控地址(段):设置需要监控的IP或IP段,多个地址通过换行分隔,不配置任何地址时默认监控全部。监控地址(段)内部通信流量,系统不进行审计。
旁路模式关联的网络设置:
¡ 当设备被配置为旁路的流量镜像模式时,需要对网口进行如下设置:
- 点击左侧菜单栏的 [平台管理 / 网络设置] / 网口列表,找到与交换机镜像端口相连的网口,单击编辑。
- 在网口类型中选择观测口,单击确定。
¡ 当设备被配置为旁路的插件模式时,需要在目标设备上安装插件,具体操作请参见安装部署手册。
图2-132 旁路模式配置
(2) 协议对接(ICAP)的模式配置
a. 在左侧导航栏,选择 [网络管理 / 功能配置] 。
b. 找到目标数据防泄漏服务器,单击
图标。
c. 选择 [模式配置] 页签,如图2-133所示。
协议对接模式配置参数说明:
¡ 保护模式:
- 监控:只监控网络流量,不进行阻断等防护操作。
- 防护:监控网络流量,如果命中防护策略,则根据策略进行阻断等操作
¡ ICAP客户端:
- 不限来源:不限制ICAP客户端,即监控或防护网络中所有和数据防泄漏系统设备对接的ICAP客户端。
- 限定如下来源:仅监控或防护设置的IP范围内并且和数据防泄漏系统设备对接的ICAP客户端。IP范围支持设置单IP或者IP地址段,多个地址以换行分隔。
图2-133 协议对接模式配置
(3) 代理模式的模式配置
a. 在左侧导航栏,选择 [网络管理 / 功能配置] 。
b. 找到目标数据防泄漏服务器,单击
图标。
c. 选择 [模式配置] 页签,如图2-134所示。
代理模式配置参数说明:
¡ 保护模式:
- 监控:只监控网络流量,不进行阻断等防护操作。
- 防护:监控网络流量,如果命中防护策略,则根据策略进行阻断等操作
¡ 工作模式:
- 正向代理:类似Web代理服务器,被监控PC的代理服务器地址配置为数据防泄漏系统服务器。
- 反向代理:针对应用访问流量,用户通过访问数据防泄漏系统服务器的代理地址,由数据防泄漏系统服务器将流量中转到指定的应用服务器。
¡ 用户白名单:设置白名单,对于白名单中的地址不进行检测。支持IP或IP段,多个地址通过换行分隔。
图2-134 代理模式配置
(4) 串联网桥模式的模式配置
a. 在左侧导航栏,选择 [网络管理 / 功能配置] 。
b. 找到目标数据防泄漏服务器,单击
图标。
c. 选择 [模式配置] 页签。如图2-135所示。
网桥模式配置参数说明:
¡ 保护模式:
- 监控:只监控网络流量,不进行阻断等防护操作。
- 防护:监控网络流量,如果命中防护策略,则根据策略进行阻断等操作
¡ 网桥配置:选择网桥,需要在平台管理/网络设置的网口列表中添加网桥才有网桥可以选择。
¡ 用户白名单:设置白名单,对于白名单中的地址不进行检测。支持IP或IP段,多个地址通过换行分隔。
图2-135 网桥模式配置
(5) 路由转发模式的模式配置
a. 在左侧导航栏,选择 [网络管理 / 功能配置] 。
b. 找到目标数据防泄漏服务器,单击
图标。
c. 选择 [模式配置] 页签,如图2-136所示。
d. 网桥模式配置参数说明:
¡ 保护模式:
- 监控:只监控网络流量,不进行阻断等防护操作。
- 防护:监控网络流量,如果命中防护策略,则根据策略进行阻断等操作
¡ 用户白名单:设置白名单,对于白名单中的地址不进行检测。支持IP或IP段,多个地址通过换行分隔。
图2-136 路由转发模式配置
(6) 在左侧导航栏,选择 [网络管理 / 功能配置] 。
(7) 找到目标数据防泄漏服务器,单击
图标。
(8) 选择 [协议配置] 页签,根据实际需求勾选监控的协议,如图2-137所示。
图2-137 协议配置
不同的模式支持的协议可能存在差异。
(9) 在左侧导航栏,选择 [网络管理 / 功能配置] 。
(10) 找到目标数据防泄漏服务器,单击
图标。
(11) 选择 [黑白名单] 页签,如图2-138所示。
黑白名单功能说明:
¡ 白名单设置:白名单支持HTTP白名单、电子邮件白名单、文件传输白名单,配置后,白名单中的IP、邮箱等流量不会被审计。
¡ 黑名单:黑名单支持HTTP黑名单、电子邮件黑名单、文件传输黑名单,配置后,黑名单中的IP、邮箱等请求会被直接阻断。
用户白名单、黑白名单优先级:用户白名单优先级>白名单>黑名单。
图2-138 黑白名单配置
(1) 在左侧导航栏,选择 [网络管理 / 功能配置] 。
(2) 找到目标数据防泄漏服务器,单击
图标。
(3) 选择 [算法配置] 页签,如图2-139所示
(4) 可以根据实际需要开启相应算法,勾选则表示开启。可以选择文档属性、正则表达式、关键字、数据标识符、数据字典、表格指纹、文档指纹、自然语义、图章匹配、脚本、光学字符识别(OCR)算法。其中OCR算法需要和其它算法搭配,作为识别图片的辅助功能使用。
(1) 在左侧导航栏,选择 [网络管理 / 功能配置] 。
(2) 找到目标数据防泄漏服务器,单击
图标。
(3) 选择 [高级配置] 页签,如图2-140, [高级配置] 中的配置说明如下:
¡ 日志级别:严重级别由高到低依次为致命、错误、告警、信息、调试。默认日志级别为错误。
¡ 扫描超时时间:可以在输入框里输入扫描超时时间,若某一文件,在指定时间内仍未扫描结束,则该文件进行放行处理,扫描下一个文件。默认为5秒。
¡ 连接超时时间:为网络代理服务器到管理端的最长不通信时间。若超过指定时间仍为进行通信,则设备状态展示为离线。默认为60秒。
¡ 大文件配置:当设备运行模式为直路模式时,如果文件大小超过过滤大文件设定的值,服务会直接阻断或放行请求,不会进入后续的规则扫描,也不会产生事件。
¡ 自定义端口:勾选后可以设置协议对应的自定义端口。默认情况下,系统仅扫描各协议的默认端口号;针对使用协议非标准端口的服务,可以开启自定义端口功能,在填写对应的自定义端口号后会对该协议自定义端口的流量进项审计。
¡ 逃生机制:逃生即不进行数据防泄漏系统的处理流程,所有的流量都会原样转发到目的地址。启用逃生机制后会对系统资源使用情况、文件处理积压情况、进程状态进行监控,防止由于系统资源紧张影响正常业务。
- 当CPU阈值、内存阈值、磁盘阈值、积压阈值中的其中一项超过逃生阈值就会触发逃生,全部低于恢复阈值才会恢复流量处理。
- 进程状态监控启用后,服务进程在检测周期内挂掉5次就会触发逃生,由进程状态监控触发的逃生需要重启服务才会恢复流量处理。、
(4) web解析更新:该配置用于更新适配站点的配置文件。当通过没适配过的站点进行文件传输产生事件时,事件详情中的泄漏途径为上传/下载,适配后会在泄漏途径中显示发生泄漏的站点名称。
(5) 监控模式:
¡ 效率模式:综合平衡检测能力和业务转发能力,对不携带重要信息的数据做快速转发处理,有利于提高设备处理能力。
¡ 深度模式:对所有内容进行检测,适用于安全要求较高的场景,对设备的性能损耗较大。
图2-140 高级配置
(1) 在左侧导航栏,选择网 [络管理 / 功能配置] 。
(2) 找到目标数据防泄漏服务器,单击
图标,打开详情页,如图2-141所示,详情页展示如下内容:
¡ 设备概述:展示设备名称、主机名、操作系统版本等硬件信息;
¡ 系统状态概述:展示系统配置、策略的更新状态。
¡ 协议数据分析:展示协议统计和数据处理速率
- 协议统计:统计设备处理的各种服务的统计
- 数据处理速率:实时统计设备处理的文件数
¡ 日志管理列表:可以在日志管理列表中查看和下载系统运行的后台日志
图2-141 设备详情
(1) 在左侧导航栏,选择 [网络管理 / 功能配置] 。
(2) 找到目标数据防泄漏服务器,单击
图标,会关闭防护,此时设备列表中的bypass状态会变为开启,不会对流量进行任何处理审计,图表变为
。
(3) 点击
图标,防护会开启,此时设备列表中的bypass状态会变为关闭,设备会处理流量根据管控策略扫描文件,图表变为
。
进入服务器管理页面,点击左侧 [网络管理 / SSL证书] ,打开界面,显示网络代理服务器相关SSL证书的名称、描述、有效期,可以导入/导出SSL证书,删除证书。
(1) 点击右上角的<导入SSL证书>按钮,如(4)所示界面;
(2) 填写相关信息,上传证书文件,点击<确定>按钮,导入SSL证书成功,可以在列表里查看;
(3) 点击<取消>按钮,取消导入操作。
(4) 导入SSL证书。如图2-142所示。
图2-142 设备详情
· 证书别名:该配置项为可选项,当证书别名与证书文件的文件名不一致时,需输入证书别名,默认为证书名
· 证书密码:该配置项为可选项,当SSL证书有证书密码时需输入密码对证书文件进行解密。
点击想要导出SSL证书右侧的
,导出对应的SSL证书,导出一个证书的zip压缩包。
点击想要导出SSL证书右侧的
,删除对应的SSL证书。
(1) 管理员admin登录管理平台,点击 [平台管理 / 基础配置] 进入 [平台信息] 页面;
(2) [平台信息] 界面展示平台的基础信息,如版本号、系统授权、系统时间等;
(3) 通过点击下方文字中的超链接License使用指南查,或扫描底部的二维码,可以查看授权的操作流程指导。
(4) 根据指导获得设备的授权文件后,可以开始进行设备的授权。
(5) 在 [平台信息] 界面进行授权,如图2-143所示:
a. 点击<导入授权文件>按钮
b. 在弹出的 [文件选择] 界面选择授权文件进行导入
c. 正确的授权文件导入后,系统授权成功!
图2-143 导入授权文件
(1) 管理员admin登录管理平台,点击 [平台管理 / 基础配置] ,点击 [邮件设置] ,进入 [邮件设置] 界面,如图2-119,在 [邮件设置] 中可以配置服务发送告警邮件的邮箱服务器,如图2-144。
图2-144 导入授权文件
(2) 配置邮箱服务器:
a. 选择邮件协议:根据邮箱服务器的类型选择,可选SMTP或EXCHANGE
b. 配置邮箱服务器:以IP:端口的形式输入邮箱服务器地址
c. 配置发件密码:点击修改按钮后可以在发件密码框中输入密码
d. 配置发件账号:配置后设备需要发送邮件时会使用配置的发件账号发送邮件
e. 配置完以上内容后点击测试连接按钮,点击后设备会使用配置的信息尝试登录邮箱服务器以测试配置内容的正确性
f. 连接测试成功后点击保存即可保存配置的邮箱信息
(3) 发送测试邮件:配置完邮箱服务器后在 [收件人地址] 中输入收件邮箱,点击<发送测试邮件>,服务器就会向收件邮箱发送一封测试邮件。
(4) 点击<状态>,启用邮件设置,未启用时无法使用邮件相关的功能。
系统支持在管理平台界面上配置组网模式必要的网络配置而无需到设备的后台配置网络。系统支持配置设备的网口信息、配置路由表、添加bond类型的网口、添加bridge类型的网口和设置DNS。
(5) 管理员admin登录管理平台,点击 [平台管理 / 网络设置] 进入网络设置页面;
(6) 在网口列表中点击网口的<编辑>按钮,在弹出的 [编辑网口] 窗口中可以配置网口信息,如图20145所示。
编辑网口配置说明如下:
¡ 网口类型:
- 观测口:•流量镜像到数据防泄漏系统服务器的网口,观测口不能配置IP,已经配置了IP的网口设置成观测口后也会将IP、子网掩码、网关删除。
- 未作用途:闲置网口。
¡ IP地址类型
- IPv4:选择后可以给网口配置其IPv4地址信息。
- IPv6:选择后可以给网口配置其IPv6地址信息。
- IPv4&IPv6:选择后可以给网口同时配置IPv4和IPv6地址信息。
图2-145 编辑网口
(7) 管理员admin登录管理平台,点击 [平台管理 / 网络设置] 进入网络设置页面;
(8) 点击网口列表界面中的 [添加网口] 按钮,如图2-146所示。
添加网口配置说明如下:
¡ 网口名称:必填项
¡ 网口类型:
- bond口:可选模式有轮询均衡模式、主备模式、动态链接聚合模式、收发负载均衡模式。bond类型的网口需要在选择两个以上的网口。
- bridge口:bridge类型的网口需要根据组网中上联设备和下联设备选择上下联口,上、下联口和上、下联设备必须对应相连,否则会出现网络不通等问题。
¡ IP地址类型:根据现场网络配置类型:IPv4、IPv6和IPv4&IPv6
¡ IP地址:选填,据您的网络规划,配置网口IP地址,支持配置IPv4&IPv6
¡ 子网掩码:根据实际的网络规划,设置子网掩码。
¡ 网关地址:由于系统管理口存在一条默认路由,为避免多条默认路由导致网络中断的问题,在配置bridge网口时,网关地址字段暂缓配置。在路由表中配置网桥路由后再对网关地址进行配置。
¡ 允许VLAN:bridge类型的网口可以配置,若经过网桥的流量携带VLAN标签,则需要在此处填写需要放通的VLAN ID信息。最大可支持配置VLAN数量为30个,VALN范围:1-4094。
(9) 配置后点击<确定>,保存配置
图2-146 添加网口
网络配置需要非常谨慎,尽量让专业的运维人员进行配置,否则可能会导致网络不通。
在配置路由策略前,需要了解路由策略基本知识和设备组网情况,如果配置错误,可能导致设备断网。单网卡时,一般使用默认的路由策略,无需配置; 如果配置多网卡,需要根据实际情况配置路由策略信息。
(1) 管理员admin登录管理平台,点击 [平台管理 / 网络设置] 进入 [网络设置] 页面;
(2) 点击<添加路由>,在弹窗中输入路由信息,如图2-147所示。
路由信息配置字段说明如下:
¡ IP地址类型:根据现场网络配置类型:IPv4或者IPv6。
¡ 目标地址:配置流量到达的IP地址。目标地址和子网掩码确定流量到达的地址范围
¡ 子网掩码:配置目标地址的子网掩码。
¡ 下一跳地址:与承载路由表的路由器相接的相邻的路由器的端口地址,有时我们也把下一跳地址称为路由器的网关地址。
¡ 接口:在下拉菜单中选择流量外发的网卡。
(3) 配置后点击<确定>,路由将被添加。
图2-147 添加路由信息
(1) 管理员admin登录管理平台,点击 [平台管理 / 网络设置] 进入 [网络设置] 页面;
(2) 点击上方的 [网口统计] ,切换到 [网口统计] 页面,如图2-148所示。
(3) [网口统计] 界面中将显示所有网口的基本情况,如:网口连接状态、带宽、流量接收和发送速率等。
图2-148 网口统计
(1) 安全管理员secadmin登录管理平台,点击 [平台管理 / 账号管理] 进入 [账号管理] 页面如图2-149所示;
(2) 点击<创建账号>,弹出 [创建账号] 配置弹窗,如图2-150所示。
创建账号配置字段说明如下:
¡ 账号:必填项,添加账号名称。
¡ 密码:必填,配置账号的密码。
¡ 确认密码:在此输入密码
¡ 使用人:配置账号的使用人,根据实际需要输入。
¡ 角色:选择账号的角色,不同的角色对应的管理权限不相同。secadmin可在安全管理/角色管理中天机配置角色。
¡ 电话:选填,输入账号使用的电话号码。
¡ 邮箱:选填,输入账号使用的邮箱
¡ 使用期限:
- 永久:账号可永久使用
- 定义期限:账号在配置的期限中可以使用,过期的账号将无法登录管理平台和使用。
¡ 备注说明: 选填。
(3) 配置结束后点击 [提交审核] 即可发送创建账号的申请。
(4) 安全管理员secadmin在 [安全管理/账号审核] 中通过账号创建申请后账号创建成功,在使用期限范围内账号可以正常使用。
图2-149 账号管理
图2-150 创建账号
(1) 安全管理员secadmin在创建账号后,可以在 [平台管理 / 账号管理] 界面的账号列表中编辑账号
(2) 点击账号列表右侧操作栏下的<编辑>按钮,弹出 [编辑账号] 弹窗。可以修改的内容包括:使用人、角色、电话、邮箱、使用期限。
(3) 修改使用人、角色、电话、邮箱后点击<确定>后,配置保存生效。
(4) 修改账号的使用期限,确认按钮变为提 [交审核] 按钮,安全管理员secadmin在安全管理/账号审核中通过修改申请后 使用期限修改生效。
通过模板导入账号信息的步骤如下:
(1) 安全管理员secadmin登录管理平台后,在 [平台管理 / 账号管理] 界面点击导入按钮,打开 [导入账号信息] 弹窗
(2) 点击蓝色的超链接导入账号模板,下载账号导入模板文件UsersImport.xls
(3) 编辑UsersImport.xls,输入需要导入的账号信息后保存编辑
(4) 在 [导入账号信息] 弹窗中,点击 [选择文件] 按钮,并在弹出的 [文件选择弹窗] 中找到并选择编辑好的UsersImport.xls文件,点击<打开>添加文件,如图所示。
(5) 点击<导入测试>可以查看文件是否能成功导入
(6) 导入测试成功后,点击<确认导入>,导入账号信息。
(7) 账号成功导入后,需要安全管理员secadmin在 [安全管理/账号审核] 中通过账号创建申请,账号才可正常使用。
图2-151 导入账号
删除账号步骤如下:
(1) 安全管理员secadmin在创建账号后,可以在 [平台管理 / 账号管理] 界面的账号列表中删除账号
(2) 点击账号列表右侧操作栏下的<删除>按钮,弹出 [删除确认] 弹窗,如图2-152所示,点击<确定>账号被删除,点击<取消> 删除操作被取消。
图2-152 删除账号
重置账号密码步骤如下:
(1) 安全管理员secadmin在创建账号后,可以在 [平台管理 / 账号管理] 界面的重置账号的密码。
(2) 选中需要重置密码的账号,点击重置密码按钮,如图2-153所示,点击<确定>后,密码被重置,重置后的密码和账号相同。
内置的管理账号admin、audadmin、secadmin无法进行账号编辑、删除操作。
图2-153 重置密码
消息中心会记录系统产生的重要日志信息,并将消息通过并界面右上角的小铃铛推送给admin管理员,如图2-154所示。
图2-154 消息提示
消息中心会产生如下的消息:
¡ 内存超过配置阈值
¡ 密码重置成功
¡ 账号即将到期
¡ CPU超过配置阈值
¡ 授权即将过期
¡ 密码重置失败
¡ 系统未授权
¡ 系统已授权
¡ 授权已过期
¡ 登录失败锁定
¡ 账号已过期
¡ CPU已恢复
¡ 内存已恢复
(1) 管理员admin登录后,点击右上角的消息提示小铃铛会在弹窗中显示消息中心最新的5条消息,如图2-155所示。
(2) 点击<查看更多>字样,可以跳转到 [安全管理/消息中心] 中查看完整的消息列表。
图2-155 消息提示
(3) 管理员admin登录后,点击左侧菜单栏 [安全管理/消息中心] 打开消息中心可以查看完整的消息列表
(4) [消息列表] 中默认显示所有未读的消息,可以通过上方 [筛选栏] 修改筛选条件,显示需要显示的消息类型和状态。
a. 消息类型:可通过消息类型筛选全部、通知、告警、待办、其他等级的消息
b. 状态:可通过状态筛选栏显示全部、已读、未读状态的消息
c. 通过消息标题、内容搜索消息
d. 三个筛选条件为与的关系,若三哥筛选框中均配置了条件,需要消息满足全部的条件才会进行显示。
(5) 修改消息为已读状态
a. 点击消息列表中的消息,会弹出该条消息的详情信息,查看后消息会变为已读状态。
b. 选中需要修改为已读状态的消息,点击右上角的标为已读按钮,在弹窗中确认后,消息状态修改为已读。
c. 点击右上角的全部已读按钮,会将目前已经产生的所有消息的状态修改为已读状态。
(6) 删除消息:
a. 选中需要删除的消息,点击右上角的删除按钮,确认后选中的消息被删除。
按照三权分立的原则,系统内置三种用户角色:系统管理员admin、安全管理员secadmin、审计管理员audadmin,三种角色分别享有独立的权限,如图2-156所示。
¡ 安全管理员具有管理系统的权限,比如系统参数配置、用户账号审核、角色管理等。
¡ 系统管理员具有防护策略管理、数据权限、事件查看等权限。
¡ 审计管理员具系统日志查看等权限。
在需要根据给予管理员账号某些特定的权限时,可以通过自定义创建系统角色实现。
图2-156 内置管角色
(1) 管理员secadmin登录后,点击左侧菜单栏 [安全管理/角色管理] 打开角色管理界面。
(2) 创建角色步骤如下:
a. 点击<创建角色>按钮,弹出 [创建角色] 界面如图2-157所示
图2-157 创建角色
b. 输入角色名称和角色描述后选择角色权限。角色权限以菜单模块进行分派,只需勾选对应的菜单模块就表示角色拥有该模块的管理权限,
c. 点击<确定>按钮保存配置创建角色,需要注意的是勾选子菜单时,必须同时勾选父级菜单才能成功保存配置。
d. 新创建的角色可以在 [角色列表] 右侧的操作栏下根据需要进行修改和删除的操作。
(3) 在角色列表中找到需要查看对应权限的角色,点击<查看角色权限>可以查看角色的角色详情。
(4) 选中需要删除的角色,点击<删除>角色,确认后可以删除角色。内置的管理角色无法删除。
账号创建、修改使用期限后,需要审核通过才能生效。安全管理员secadmin可在安全管理/账号审核界面通过手动审核和自动审核两种方式对账号进行审核。
(1) 手动审核步骤如下:
a. 在账号审核界面,点击 [手动审核] ,打开 [手动审核] 界面,在 [账号列表] 中会显示所有未被处理的账号操作申请。
b. 选中需要审核的条目,点击 [通过] 按钮,申请被通过,如图2-158所示。
图2-158 手动通过审核
c. 选中需要审核的条目,点击 [拒绝] 按钮,申请被拒绝,账号创建失败无法使用或账号修改未生效,如图2-159所示。
图2-159 手动拒绝审核
(2) 自动审核步骤如下:
a. 在账号审核界面,点击 [自动审核] ,打开 [自动审核配置] 界面,在账号列表中会显示所有当前已经存在并且正常使用的账号。
b. 选中需要进行授权自动审核的权限的账号,点击<自动授权>按钮,并确认配置,如图2-160所示。
c. 被授权自动审核权限的账号发起授权相关的申请时,申请会被自动通过。
d. 如果需要撤销账号的自动审核权限,可以选中该账号,点击<撤销自动审核>按钮,账号的自动审核权限就会被撤销。
图2-160 配置自动审核
安全管理员secadmin可以在 [系统运维/平台运维] 中的设备状态界面中查看系统当前的硬件资源使用状况、网口流量状态,如图2-161所示。
图2-161 设备状态
管理员可以在设备状态界面中配置CPU和内存使用阈值,系统的资源使用率达到阈值后,会在消息中心中产生日志并推送消息给admin管理员。
(1) 点击CPU使用率或内存使用率的图标中的<告警阈值>
(2) 在告警阈值设置弹窗中配置告警阈值,默认为资源使用率达到80%进行告警。
安全管理员secadmin可以在 [系统运维/平台运维] 中的设备升级界面中通过页面升级的方式,对系统进行升级,系统升级界面如图2-162。
(1) 点击<上传升级脚本>按钮,进入 [上传升级] 页面;通过上传.tar.gz格式的升级包,即可进行升级操作
(2) 升级成功 后不可进行回退,升级失败会自动回滚为升级前的版本。
图2-162 版本升级列表
1.升级包的名字不可随意修改。
2.代理和路由模式进行升级时,管理员电脑流量需不过数据防泄漏设备情况下进行升级,即未设置浏览器代理或未设置网关时进行转发。
4.升级开始后不要刷新界面 ,也不要重复上传升级包,以免升级失败。
系统提供各种诊断命令可以在管理平台界面中执行,并查看命令执行结果。
(1) 安全管理员secadmin打开在 [系统运维/平台运维] 中的系统诊断界面。
(2) 在实时诊断栏中选择需要的诊断,并点击<执行>,等待一会后可以在下方查看诊断执行结果如图2-163所示。
实时诊断支持的命令说明:
¡ 内核版本:执行后返回操作系统的内核版本。
¡ CPU&MEN:显示当前设备的CPU和内存的使用情况。
¡ 磁盘:显示当前设备的磁盘使用情况。
¡ 网卡:显示当前配置的网卡配置情况。
¡ 磁盘IO:显示当前设备的磁盘IO情况。
¡ PING:选择PING命令并输入IP后点击执行,将会返回当前设备和输入IP的ping命令执行结果。
¡ 信息采集:采集执行过的所有实施诊断命令和结果生成诊断日志文件,点击调试日志下载可以下载调试日志文件
¡ 服务端口诊断:显示服务所有监听的端口
图2-163 系统诊断
图2-164 SNMP Trap配置
SNMP Trap仅支持v2c
设设备运行过程中的事件日志会显示在 [系统运维 / 平台运维] 的系统事件界面中,显示事件类型包括登、授权相关的日志,如图2-165。
图2-165 系统日志
安全管理员secadmin可以在 [系统运维/系统设置] 中配置平台的安全登录、账号密码、网络访问等配置如图2-166所示。
图2-166 系统设置
¡ 安全管理方式:
配置字段说明:
- 安全模式:使用https:管理平台IP:9443访问管理平台
- 常规模式:使用http:管理平台IP:443访问管理平台
¡ 动态验证码:启用后登录管理平台时需要使用账号、密码、动态验证码,三者同时正确才能访问管理平台。
¡ 空闲超出登出:启用后,界面无任何操作超过配置的时间后,用户会被登出。
¡ 登录安全策略:默认启用,启用后在配置的时间范围内账号密码错误的次数达到配置的阈值账号或主机IP会被锁定,无法进行登录操作。
账号密码安全设置包括:
¡ 初次登录强制修改密码:启用后首次登录的用户必须修改密码
¡ 密码复杂度要求:限制修改密码时的长度和密码复杂度。
系统通过限制IP登录,只有指定的IP才能登录管理平台以及禁止ICMP探测、禁止SNMP管理来保证设备网络访问的安全性。
¡ 初次登录强制修改密码:配置并保存后,只有配置中的IP才允许登录管理平台。
可以对当前系统数据库中的数据进行全库备份,数据导入,还可以设置手动备份、定时备份、周期备份。
通过点击 [系统运维 / 备份还原] ,进入备份页面,根据需要选择不同的备份选项,如需要备份策略时点击<策略备份>按钮,一段时间后备份成功,如图所示。
图2-167 备份文件
通过点击 [系统运维 / 备份还原] ,进入 [备份] 页面,点击<导入>按钮,在弹窗中选择需要导入的升级包,如图2-168所示。
通过点击 [系统运维 / 备份还原] ,进入备份页面,进入备份页面,点击
,下载备份文件,如图2-169所示。
通过点击 [系统运维 / 备份还原] ,进入备份页面,点击
,还原备份文件,如图2-170所示。
通过点击 [系统运维 / 备份还原] ,进入备份页面,点击
,删除备份文件,如图2-171所示。
点击<设置>,选择定时备份,输入日期时间,到时间会自动备份,如图2-172所示。
通过点击 [系统管理 / 备份还原] ,进入 [备份] 页面,点击<设置>,选择周期备份,输入各项参数,实现周期备份,如图2-173所示。
可以对删除的事件进行删除、还原操作。
(1) 通过点击 [日志管理 / 归档管理 / 回收站] ,进入 [回收站] 页面,如图2-1744所示。
(2) 选中事件点击<还原>按钮,即可将事件还原到审计中心;
(3) 选中事件点击<清理>按钮,即可将事件彻底清理。
用户对于已满足某种条件的泄露事件、日志、告警以及点滴事件可以进行归档操作。
归档信息中分为存储信息和历史归档列表两个模块。
显示系统目前存储的文件总量以及可归档的文件数量,如图2-175所示。
图2-175 还原回收站数据
显示系统目前已归档的记录,如图2-176所示。
图2-176 历史归档列表
根据存储设备中配置的条件来判定文档是否属于待归档的文件,配置如图2-177所示。
¡ 保存时间设置:勾选后,自动清理设置时间之前的日志记录或归档文件。
¡ 存储空间设:设置磁盘空间低于阈值时,自动删除最早记录。
¡ 清理选项设置:配置在系统空间不足或文件保存事件过长时优先清理的文件。
图2-177 归档设置
通过点击 [日志管理 / 归档管理 / 归档设置] 后,切换至 [归档设置] 页签进入 [归档设置] 页面,如图2-1788所示,主要是对归档触发机制、归档内容及筛选条件设置、归档位置配置操作。
¡ 触发机制:
- 手动触发:需要手动点击立即归档才会进行归档操作。
- 定时触发:配置定时触发会每到配置的时间点会自动进行归档。
¡ 归档内容:可选泄漏事件、点滴事件、操作日志、系统日志、消息中心,被选中的内容才会被归档;
¡ 过滤条件:筛选内容的条件,符合条件并且被选中的归档内容才会被归档
日志列表中会记录所有用户的所有操作记录,审计管理员audadmin可以在登录管理平台后,点击左侧菜单栏[日志管理/日志列表] 查看日志列表 ,日志列表如图2-179所示。
图2-179 归档设置
在[日志管理/日志列表] 中可以根据条件查询需要的日志,目前支持账号、使用人、状态、IP地址、关键字、时间六种查询条件。除了时间,其他条件均支持模糊匹配。
输入查询条件后,点击<重置>后会将其他查询条件情况并将时间重置为近7天。
点击日志中的<详情>按钮,可以查看日志的详细信息,如图2-180所示。
图2-180 归档设置
支持
