- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath DLP2000数据防泄漏系统
用户FAQ
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath DLP2000数据防泄漏系统用户FAQ
本文档介绍H3C SecPath DLP2000数据防泄漏系统的用户常见问题及解答。
网络DLP是部署在流量汇聚处,对汇聚的流量进行检查,判断流量中是否携带有敏感内容,对于包含敏感内容的流量进行拦截、告警、记录等措施。
网络DLP是对经过的流量进行协议识别、内容恢复、敏感度扫描,并根据扫描结果对外发行为进行处置,需要部署在被监控流量经过的网络节点上,根据流量捕获技术的不同,具体可以支持如下部署模式:
· 旁路镜像:通过上游设备的镜像功能,由上游设备将要解析的流量复制一份传递给网络DLP;
· 网桥模式:设备串联在网络中,上游设备直接将流量发送到网络DLP,再由网络DLP进行转发;
· 路由模式:类似网关设备,上游设备或被监控PC通过路由将流量发送到网络DLP,网络DLP再根据路由进行转发;
· 正向代理:类似web代理服务器,被监控PC的代理服务器地址配置为网络DLP;
· 反向代理:针对应用访问流量,用户通过访问网络DLP地址,由网络DLP将流量中转到指定的应用服务器;
不同部署模式采用的技术、网络部署的方式都是不同的,而流量是一样,因此在同一时刻只能有一种模式可以工作,用户可以在“网络代理”->“功能配置”页面,点击功能配置右侧操作列中“配置”,进入配置页面中进行模式切换,在进行模式切换同时需要完成网络部署位置的切换。
通过上游设备的镜像功能,由上游设备将要解析的流量复制一份传递给网络DLP。其最大的特点是部署简单,不会影响网络传输和任何现有业务;最大的不足是无法阻断存在泄漏风险的传输行为和无法解密SSL流量,组网方式如下图所示。
图1 旁路镜像部署示意图
设备串联在网络中,上游设备直接将流量发送到网络DLP,再由网络DLP进行转发。其最大的特点是部署简单,可以阻断存在泄漏风险的传输行为,可以解密SSL流量;最大的不足是部署在流量汇聚节点上,存在单点故障风险,需要对网络进行改造提高网络的稳定性,组网方式如下图所示。
图2 网桥模式部署示意图
类似网关设备,上游设备或被监控PC通过路由将流量发送到网络DLP,网络DLP再根据路由进行转发。其最大的特点是可以只对指定的范围/人员进行流量监控,同时可以阻断风险传输行为和解密SSL流量;最大的不足是需要改造网络,实施起来比较复杂,组网方式如下图所示。
图3 路由模式部署示意图
类似web代理服务器,被监控PC的代理服务器地址配置为网络DLP即可。其最大的特点是未配置代理服务器地址的PC或设备不会被监控,影响范围小,部署也简单,同时可以解析SSL流量和阻断泄漏风险传输;最大的不足是需要配置代理服务器地址和支持的协议比较少(受代理模式限制,很多协议或应用不支持配置代理地址),组网方式如下图所示。
图4 正向代理部署示意图
针对应用访问流量,用户通过访问网络DLP地址,由网络DLP将流量中转到指定的应用服务器。其最大的特点是用户无法直接访问到应用服务器,可以解析SSL流量和阻断泄漏风险传输;最大的不足是存在被绕过的可能,以及只能支持HTTP、HTTPS协议,组网方式如下图所示。
图5 反向代理部署示意图
可以支持:HTTP、FTP、SMTP、POP3、IMAP、Samba、NFS协议。
可以支持:HTTP、HTTPS、SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS协议。
可以支持:HTTP、HTTPS协议。
可以支持:HTTP、HTTPS、SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS协议。
加密流量可以分为3种场景:
(1)通过SSL协议交换密钥,同时加密算法使用非DH类算法(应用服务器端可以配置算法类型):此时非旁路模式都可以进行解密,旁路模式下,如果能够获取服务端的SSL证书,也可以通过导入证书方式实现流量解密;
(2)通过SSL协议交换密码,同时加密算法使用了DH类算法,此时只有非旁路模式下可以进行解密处理;
(3)采用双向认证机制(客户端和服务端同时校验SSL证书):此时无法进行证书替换,也就无法进行流量解密。
利用中间人机制进行证书替换实现SSL流量解密,即原先的PC直接与服务器端建立的SSL连接变换成PC端与网络DLP建立SSL连接,网络DLP与服务器端建立SSL连接。
不同部署模式采用的技术、网络部署的方式都是不同的,而流量是一样,因此在同一时刻只能有一种模式可以工作,用户在使用过程中可以对模式进行切换,但是同时需要配合网络部署方式的切换。
在“网络代理->功能配置”页面,点击功能配置右侧操作列中“配置”,进入配置页面中进行模式切换,在进行模式切换同时需要完成网络部署位置的切换。
目前标配三款DLP2020、DLP2030、DLP2050型号设备,除DLP2020型号的右边插槽不支持BYPASS外,其余插槽均支持BYPASS网卡。
后台通过命令修改的IP地址,配置不会同步到web界面,需要在web界面再重新配置一次才行。或者后台执行reboot命令重启,web界面才会正常显示。
设置旁路必须要开启DPDK,策略才会生效。走其它模式切到旁路模式会提示开启DPDK。
编辑网口和DPDK系统会重启,Web界面会有提示信息。网口配置完生效需要一段时间,配置完需要等待1-2min网口才显示正常,此期间请勿操作其他,请耐心等待。
DPDK开启后,系统看不到了,相当于对于系统不可见了,display interface brief命令是调用的ip a。
设备插上插卡后,由于之前未在web界面进行网络相关配置保存的,导致默认192.168.0.1的默认地址会变为10.0.0.1。请直连设备固定口(DLP2020为GE0/6,DLP2030/DLP2050为GE0/1;固定口IP地址均为10.0.0.1),在web界面进行配置地址。
直路模式下(路由模式和桥模式),泄露事件中的文件名称无法显示真实的文件名称。旁路模式下可以正常显示。
硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为桥模式、旁路模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
网络DLP可以通过三个维度定义防护策略(可以同时配置,也可以任一组合使用):
· 敏感内容:定义满足什么特征的内容属于敏感内容,用来检查流量中携带的内容是否敏感;
· 应用范围:定义发送方、接收方特征、地址等信息,用来检查流量收、发方信息,包括源IP、发件箱、目的IP、目标URL、收件箱等;
· 外泄通道:定义该防护策略应用的泄漏场景、协议。
用户可以在策略详情页面查看策略定义的内容或新增策略时选择上述三个维度的规则,如下图所示:
图6 新增管控策略
网络DLP通过对敏感数据/样本提取典型特征,再通过典型特征或特征组合定义敏感内容,然后对不同的敏感特征使用不同的内容识别算法判断目标数据中是否包含定义的敏感特征。
网络DLP支持的内容识别算法有:文件属性识别、关键字识别、正则表达式识别、权重字典识别、数据标识符识别、文档指纹识别、表格指纹识别、语义模型识别,能够识别文件类型、文件大小、传输的内容。
利用机器学习算法对提供的样本文件进行训练、分类,然后对分类结果提取特征,利用特征来标注一类文档,从而形成文档分类模型。在训练过程中,用户可以对分类个数、特征词等进行修改和删减。
网络DLP在捕获到流量中携带的目标数据后,利用分类算法,计算目标数据与分类模型中各个类别的相似度,算法会将目标数据归类到相似度最高的类别中。
文档指纹:不区分文件格式,按照一定的步长依次从敏感文档中提取指定长度的内容,对每次提取的内容生成唯一特征,从而形成一个内容特征集合。在进行内容识别时,会判断目标数据中包含有多少敏感文档中的内容,通过阈值设置判定目标数据是否属于敏感内容。
表格指纹:针对表格类收据,按行对每个单元格中的数据生成唯一特征。在进行内容识别时,会检查目标数据中包含有原始数据中的哪些行数据。用户在进行目标检查时,可以选择只检查指定列的数据。
普通关键字只能进行数量限制来判断目标数据是否敏感,而权重字典可以根据字典中每个关键字的意义、作用不同定义一个一个权重值,最终通过权重值阈值进行判断是否目标数据是否敏感。而对于某些特殊场景下,利用权重字典中权重的不同,可以区分目标数据的敏感程度,比如区分一篇文章是属于批评性文章,还是教唆性文章。
策略可以理解为一个具体的执行动作,而策略组是对策略进行管理的单位。通过对策略进行分组管理,在通过策略组将不同策略应用到不同的网络DLP设备上,可以大大减少策略管理工作量。
对于身份证号码、银行卡号等这类有统一编码规则的数据,由于数据本身带有限制条件和校验位,可以准确识别出数据真伪,而普通的正则表达式算法无法实现这种真伪校验规则,因此需要用专门的数据标识符算法进行这类数据的识别。
网络DLP系统已经内置了700多种常用数据标识符识别算法,可以直接在防护策略中进行引用。
用户可以通过“策略中心”->“特征库”->“数据标识符”页面查看内置的数据标识符算法,也可以导入新的数据标识符算法,如下图所示:
图7 数据标识符页面
系统本身不会限制策略个数,策略个数多少不会影响内容扫描结果,策略越多需要的扫描时间会越长。在网络传输中,对于大文件的扫描,会随着策略的数量增加而增加扫描时间,从而会导致阻断策略变成事后审计策略。
直路模式(桥模式、路由模式、正反向代理)下邮件白名单仅对邮箱客户端生效,webmail不生效。
支持基于关键字、正则、数据标识符、文档属性的内容识别规则或策略导出,不支持基于权重字典、地址字典、表格指纹、文档指纹、语义模型、自定义脚本这种带资源的内容识别规则或策略导出。
配置文档属性>文件名包含以下内容,如果精确全词匹配需要把文件后缀也带上。如:配置匹配文件名为“ceshi”,测试文件为ceshi.txt是无法匹配文档属性策略的。需要配置为“ceshi.txt”才能全词匹配ceshi.txt文档。
管控策略如果配置不合理,访问或配置设备会被已启用的策略拦截,建议吧DLP地址加入白名单或在策略中排除DLP地址。
网络DLP在检测到泄漏事件后,可以自动进行如下防护措施:
· 实时阻断:直接阻断当前的网络传输行为,该动作在旁路模式下无法执行;
· 事件审计:记录本次网络传输行为的详细信息,包括事件、地址、数据、目标、扫描情况等;
· 证据留存:将本次网络传输的原始数据保存到管理平台所在的设备上;
· 添加备注:对本次网络传输行为添加说明信息;
· 发送到syslog服务器:将本次网络传输行为的信息上传到syslog服务器,上传内容可以自定义;
· 发送电子邮件通知:通过电子邮件将本次网络传输行为通知给指定人员,邮件内容可以自定义;
· 上传文件:将本次网络传输的原始数据保存到指定的外部文件服务器。
网络DLP是对传输中的TCP或UDP连接进行拦截、检测、转发,很难对各种场景下的阻断场景进行页面提示,目前只能通过电子邮件的方式进行提醒或告警。
用户可以通过“策略管理”->“规则库”->“响应规则”->“新增”中添加“发送电子邮件通知”响应动作,并在动作中配置具体收件人和要发送的内容,如下图所示。
图8 发送电子邮件通知
用户在配置完“发送电子邮件通知”动作后不会被执行,需要在防护策略中应用该动作后,当有人员触发该防护策略后就会自动执行“发送电子邮件通知”动作,将相关信息发送到指定人员的电子邮箱中,如下图所示。
图9 响应动作添加
在非旁路模式下,有时传输敏感数据不会被阻断,一般有如下原因:
(1) 网络流量没有过来,环境中可能存在多种网络传输路径,导致有部分流量没有正确地接收到;
(2) 发生了秒传行为,对于很多web应用,如QQ邮箱、网盘、文库等都不会重复上传相同的文件(文件MD5值相同),此时由于没有发生实际的传输,因此网络DLP将无法获取到文件流量;
(3) 网络DLP配置中设置为“审计”模式,在”网络代理”->“功能配置”页面,点击功能配置右侧操作列中“配置”,进入配置页面中进行模式切换;
(4) 策略太复杂,或者太多,导致超时放行,此时会变成审计模式;
(5) 传输大文件、大压缩包,或含有很多嵌套文件、子文件、图片的文件,会由于整体扫描完成时间过长,导致超时放行,此时会变长审计模式;
(6) 网络丢包,可能是网络中某个设备存在丢包行为,导致网络DLP程序接收到的流量不完整。
系统能够将完整的泄漏现场信息保存下来,用户可以通过“审计中心”->“泄漏事件”->“操作”中查看详细的事件信息,如下图所示。
图10 泄漏事件信息查看页面
系统支持两种方式保存原始外发数据:
· 证据留存方式:将原始外发的数据留存到设备的磁盘上;
· 文件上传方式:将原始外发的数据上传到指定的外部服务器,支持通过FTP、共享两种方式上传。
用户可以通过“策略管理”->“规则库”->“响应规则”->“新增”中添加“证据留存”响应动作,将原始数据留存到设备,并可以设置文件丢弃原则,如下图所示。
图11 原始外发数据保存
同时,也可以选择添加“上传文件”响应动作,将原始数据上传到外部的指定服务器上,如下图所示。
图12 原始数据上传
泄漏事件支持通过syslog接口上报到syslog服务器,并且上报的信息支持自定义。支持两种上报方式:
· 自动上报:在泄漏事件发生后自动将预先定义的要上报的内容通过syslog接口发送出去;
· 手动上报:管理员在查看事件时,手动将指定事件信息通过syslog接口上报。
系统自动上报方式是在“响应规则”中定义,并在对应的防护策略中引用。用户可以通过策略管理”->“规则库”->“响应规则”->“新增”中添加“发送到syslog服务器”响应动作,并在动作中配置具体服务器地址和要发送的内容,如下图所示。
图13 发送到Syslog服务器配置
系统本身不会对事件条数进行限制,主要受限于管理平台所在设备的硬盘空间。在不考虑存储原始外发数据情况下,单条泄漏事件一般在1K~1M之间,具体与命中的防护策略有关。
磁盘空间的使用主要有四部分组成:
· 数据库:主要存储泄漏事件、系统配置等数据;
· 日志:主要存储系统运行过程中自身产生的日志等信息;
· 上传文件:为检测到泄漏事件时,将原始数据留存到管理平台设备时所占用的空间,该操作可以在策略中进行选择是否使用;
· 归档数据:对系统运行数据、采集到的数据进行归档后生成的文件占用的空间。
用户可以通过“系统管理”->“平台信息”页面查看当前磁盘使用情况,如下图所示。
图14 磁盘使用情况
也可以通过“系统管理”->“事件数据”->“归档设置”中查看当前操作日志、泄漏事件、系统告警等数量,并对日志、泄漏事件等信息进行归档来释放空间,如下图所示。
图15 归档设置
系统支持两种导出方式:
· 导出事件列表:可以事件列表中选择指定事件进行导出,或对事件列表进行全部导出,一次性导出的数量不能超过10000条
· 导出事件详情:可以在事件详情页面导出当前事件的详细信息
可以通过“审计中心”->“泄漏事件”对事件列表进行导出,导出全部时格式为excel格式,如图16所示;
也可以通过“审计中心”->“泄漏事件”对事件列表进行部分事件导出,导出指定条数时可以选择Json或PDF格式,如图17所示;同时可以下载原始文件(开启证据留存的数据才能下载);输入目标IP、目标端口以及协议,可以进行syslog输出。
也可以通过“审计中心”->“泄漏事件”->“操作”中导出当前事件的详细信息,导出格式支持Json或PDF格式,如图18所示;同时可以下载原始文件(开启证据留存的数据才会下载);输入目标IP、目标端口以及协议,可以进行syslog输出。
支持自定义报表功能,用户可以根据需要创建多个报表,对不同报表定义不同的统计项和生成规则。
可以通过“审计中心”->“系统报表”->“新增”按钮定义需要的报表,如图19所示。
管控策略中有4个模块组成,匹配规则、生效范围、外泄通道、响应动作。其中匹配规则、生效范围、外泄通道之间是与的关系,用于识别流量中是否包含敏感信息。响应动作为命中策略后执行的响应动作。若仅配置匹配规则、生效范围、外泄通道中任意一个则会在审计中心->泄漏事件页面生成一条事件,不执行任何响应动作。
上传到FTP或者SMB,但需要配合证据留存使用,在响应动作处同时开启证据留存和上传到服务器,否则不会上传。
系统遵循有关部颁布的数据泄露防护产品检测标准中定义的三权分立原则,从系统维护、策略定义、事件处理三个维度对整个系统的权限进行划分,实现权限间的隔离与相互监督。
系统也可以根据需要对三个维度的权限进行进一步细化,定义更加详细的角色,从而实现更细粒度的权限管控,同时,考虑实际使用过程中的便捷性,也可以对具有系统访问权限的人员同时赋予多种角色。
可以通过“用户管理”->“系统用户”->“新建用户”创建具有对应角色的管理员,如下图所示。
图20 新建用户
系统权限是负责整个系统正常运行、对系统相关组件、设备进行管理的角色集合。
可以通过“用户管理”->“系统角色”->“新建角色”查看具体的系统权限,如下图所示。
图21 系统权限角色
系统默认已经内置了系统管理员角色,具有该角色的人员可以创建其它具有系统权限的人员。
策略权限是负责对组织的敏感数据进行整理、分析特征并实施防护策略的角色集合。
可以通过“用户管理”->“系统角色”->“新建角色”查看具体的策略权限,如下图所示。
图22 策略权限角色
系统默认已经内置了策略管理员角色,具有该角色的人员可以创建其它具有策略权限的人员。
审计权限是负责对系统检测到泄漏事件进行查看、核实和处理的角色集合。
可以通过“用户管理”->“系统角色”->“新建角色”查看具体的审计权限,如下图所示。
图23 审计权限角色
系统默认已经内置了审计管理员角色,具有该角色的人员可以创建其它具有审计权限的人员。
系统可以检测设备状态、资源使用情况,当发现设备离线、资源使用过高时会产生告警,并将告警信息及时通过电子邮件发送给相关人员进行处理。
系统管理员可以通过“系统管理”-> “系统设置”->“告警设置”异常告警设置,如下图所示。
图24 告警设置
系统管理员在登录系统后,可以在“系统管理”-> “告警列表”查看当前存在的告警情况,并对告警进行处理,如下图所示。
图25 告警列表
1、系统时间往前改时间导致策略不生效。2、会导致系统运行时间晚于系统当前时间,建议系统运行时间改名称或运行时间累计成运行时长。请勿随意修改系统时间。
接串口服务器,只要设备重启来就会存在显示乱码问题。先将连接SSH工具的编码改成UTF-8格式。出现乱码后请敲一段时间回车(大概1-2min)就可以显示正常。
1、表格中的空数据不能多,多的话生成索引会失败,如下图所示
图26 告警列表
2、 表格只能有表格头,或者不包括表格头的文件.如果有表格头上面还有一些解释型的说明,这个也会失败。
图27 告警列表
3、 表格内容不能有json串,有的话,匹配会失败。
新版本的指纹工具有所优化,匹配度和老的工具有所差异。
配置生成目标的指纹名称,是资源里面的json中的名字,非索引的名字。
支持
