選擇迅軟DSE的十五大理由
1. 新型的高級緩存控制技術-全球最先進的文件加密內核
鑒于業(yè)界對緩存技術處理的不足,導致加密進程與非加密進程在同一時間訪問同一加密文件時,造成加密文件的泄密和損壞,迅軟公司經過研究中心不斷地技術研究和革新,研究出一種更為高級的緩存控制技術。
高級緩存控制技術的原理大致如此:當加密進程與非加密進程在同一時間訪問同一加密文件時,迅軟防泄密軟件DLP系統在緩存區(qū)的上一層做相應的控制。當加密進程訪問時,我們返回為明文;當非加密進程讀取時,我們返回為密文,由此處理可以嚴格控制緩存中的明文與密文狀態(tài),一旦緩存切換到明文狀態(tài)就不再刷緩存,嚴管緩存中明文與密文之間的切換,既可以有效地防止頻繁刷緩存所導致的資源浪費,又可以大大降低文件損壞的風險。該技術經過迅軟公司為期五年的技術攻關終于得以解決,目前業(yè)界沒有一款軟件研發(fā)出這種技術,真可謂是業(yè)界的開創(chuàng)先河性的技術創(chuàng)新之舉。
2. 雙維度權限認證
DLP系統支持客戶端設置用戶緯度和計算機雙緯度權限認證功能,(即客戶端接入USB設備的授權權限,需要在計算器登陸成功和用戶認證通過才能使用,否則將被阻止),管理員只需在DLP控制臺“啟用用戶認證”,即增加了用戶緯度,用戶可以為在控制臺添加的普通用戶,也可以是同步多種服務器如AD、Sun one、IBM、Novell到DLP系統的用戶。
啟用用戶認證用戶在客戶端認證成功后,客戶端的文件加密策略、審批流程策略、加密文件外發(fā)策略、加密文件隔離策略等與文件加密有關的策略取用戶維度的策略;USB設備的權限就為用戶與計算機雙維度組合權限的交集,例如一客戶端:用戶緯度設置U盤A為只讀而計算機緯度設置為放行,則在客戶端上U盤A的權限為只讀。
啟用用戶認證但用戶在客戶端認證不成功,所有的加密文件策略不生效,加密的文件也無法打開,USB端口權限為阻止。
不啟用用戶認證時,所有的文件加密策略和USB存儲設備控制策略均取計算機維度策略。
3. 更為專業(yè)的外發(fā)文件管理模塊
A.模塊概述:
因工作交流的需要,加密文件需外發(fā)至公司網外時,如何防范外發(fā)文件的泄漏?泄漏后該如何取證?針對這一問題,我們研發(fā)了新型的外發(fā)文件管理模塊,用以設置外發(fā)文件的權限,例如:外發(fā)文件的使用次數,打開時間,是否允許修改,是否允許打印,打開時是否需要輸入密碼,與哪臺電腦綁定等。
B.模塊功能特點:
該模塊可以作為單獨的exe運行,亦可以選擇自定義安裝,安裝成功后即可打開外發(fā)文件,無需windows管理員權限。打開外發(fā)文件時全程加密,跟普通的解密以后再打開有本質區(qū)別,由此來保證所有的臨時文件均為加密文件,安全性極高?缙脚_支持-即將(如:Windows、MAC、IOS、安卓、WindowsPhone等)、多終端支持(如:平板電腦、PC、智能手機等)。
4. 文件透明加解密技術
終端機器上所有文件的加密和解密操作都是后臺自動完成,在用戶無法察覺的瞬間完成,對用戶來說是透明的,不可見的。在客戶端機器上,用戶可以對加密文件進行任意的打開、編輯、刪除等操作,操作完成后系統自動加密保存,與沒有安裝客戶端時對文件的操作模式相同,不改變用戶原有的工作習慣和工作方式。這與手動加密相比有著本質性的區(qū)別,不改變用戶的使用習慣,大大提升用戶的使用感受,最為重要的是不會因為一時疏忽忘記手動加密而導致重要文件泄密事件的發(fā)生。該功能的大致示意圖如下:
透明加解密技術
同時DLP系統提供強大的內置加密文檔格式支持,支持目前市面上所有類型文件的加密外,還支持自定義的加密文件類型。
5. 先進的半透明加密技術
基于易用性考慮,迅軟防泄密軟件DLP提供半透明加密策略,針對單個客戶端設置半透明加密模式,在該客戶端上新建的文件不加密,修改編輯后仍為明文,但可以打開其他機器上發(fā)送過來的加密文件。此模式適合于公司的高層。
迅軟加密軟件DLP還提供更高級的功能,可以做到智能半透明切換,可以實現以下的效果:
加密的文件打開、修改仍然加密
未加密的文件打開、修改仍然不加密
加密文件的內容無法復制到未加密的,除非將未加密的文件進行加密。
這樣可以保護公司的一些機密資料,又可以放松一些個人文檔的加密,做到更加人性化。
6. 高級緩存控制技術
針對目前行業(yè)內僅通過底層驅動過濾加密而導致的加密文件泄密和損壞的問題,迅軟公司經過不斷地技術研究和革新,研發(fā)出一種更為高級的緩存控制技術。當加密進程與非加密進程在同一時間訪問同一加密文件時,我們在緩存區(qū)的上一層做相應的控制,當加密進程訪問時,我們將明文返回給加密進程,這樣有利于加密文件的正常打開和查看;當非加密進程讀取時,我們將密文返回給非加密進程,這樣有利于防止文件的泄密。通過高級緩存控制技術,來嚴格控制緩存中的明文與密文狀態(tài),一旦緩存切換到明文狀態(tài)就不再刷緩存,嚴管緩存中明文與密文之間的切換,這樣既防止頻繁刷緩存所導致系統資源的嚴重浪費,并且將損壞文件的可能性降為0。同時該技術對XP或者Win7系統帶來更好的緩存效果,對系統的性能提升有不小的幫助。關于高級緩存控制技術的示意圖如下所示:
高級緩存管理
如果授權加密進程訪問緩存,直接返回數據;如果非加密進程讀取,將緩存內容加密后返回,這樣既可以保證加密進程與非加密進程同時訪問同一加密文件,又可以各自返回相應的內容。不管任何時候,即使有殺毒軟件讀取加密文件,也只能讀取到密文,且不會導致緩存混亂。
7. 進程間控制技術
(一)OLE控制技術
現有的應用程序為方便用戶編輯和查看文件,允許用戶在應用程序中插入對象,比如:允許用戶在寫字板中插入word文檔,由于office應用程序在工作中應用廣泛,通常管理員會將Winword.exe等進程默認配置為合法進程,當通過合法進程讀取加密文件時則自動解密成明文,若此時用戶將通過word打開的文檔做為對象插入到通常默認配置為非加密進程的寫字板中,則會導致泄密的事件的發(fā)生,大致情景如下圖所示:
通過插入OLE對象方式泄密
為了防止這一嚴重泄密事件的發(fā)生,迅軟防泄密軟件DLP采用先進的OLE控制技術來解決這一難題。當非加密進程企圖插入加密文件,調用加密進程API時,我們會在第一時間進行阻止,這樣就有效地控制加密文件通過插入OLE對象的方式泄露,解決方案示意如下圖所示:
OLE控制技術防泄密
8. 網絡傳輸控制技術
網絡傳輸控制分為兩種情況:一種是禁止發(fā)送數據,通過斷開TCP鏈接的方式阻止文件外發(fā);另外一種是允許發(fā)送數據,但需要將對端設為加密進程,以保證兩端間的正常通訊。
第一種情況禁止發(fā)送數據:隨著技術的發(fā)展,現在許多應用程序都附帶云存儲功能以方便用戶進行文件備份(例如:WPS就附加了另存為云文件或保存為云文件等功能模塊),只要能TCP鏈接就可以直接將公司內部的加密文件通過WPS加密進程解密后存儲至云端,這一功能的運用雖為用戶帶來了便利,但同時也增加了企業(yè)機密文件外泄的風險,那該如何防范呢?針對這一問題,迅軟成功研發(fā)了加密進程的網絡傳輸控制功能,以防止泄密事件的發(fā)生。當加密文件處于打開狀態(tài)時,若加密進程試圖將編輯后的加密文檔另存至云端,迅軟防泄密軟件DLP應用控制層的相應功能模塊會果斷地斷開TCP鏈接,以阻止文件的外存。業(yè)界同類軟件很多都忽略了這一塊的控制,為信息安全留下了隱患。
第二種情況允許發(fā)送數據:但由于工作的需要,要求版本數據庫中存儲的文件為明文,而客戶機從數據庫中獲取下來的文件又要是密文,那遇到這樣的情況該如何處理?針對這一問題,迅軟防泄密軟件DLP通過技術創(chuàng)新添加了一個新型的網絡加密模塊,通過這一模塊將對端設為加密進程,由此來保證兩端間建立正常的數據通訊,以達到方便工作交流之目的。以下面的圖為例:
DLP網絡傳輸控制
對于數據庫中已經存儲的數據(例如PDM,版本管理數據庫),迅軟防泄密軟件DLP可以通過下面的方式進行保護:迅軟防泄密軟件DLP采取在PDM服務器上安裝一個網絡模塊,用于對PDM網絡數據進行加密,這樣未授權的非法進程由于沒有網絡模塊進行解密,所以無法與PDM進行連接,從而無法獲取PDM數據庫中的數據。而授權進程由于安裝有網絡加密模塊,可以與PDM服務器進行連接,通過這種方式可以保護PDM數據庫中早前保存的明文文件,防止被竊取。
9. 內容拖放控制技術
或許是設計的疏漏或許是技術的限制,目前行業(yè)內許多加密軟件都忽略了內容拖放所導致的泄密。當加密文件處于打開狀態(tài)時,用戶試圖通過內容拖放的形式將加密文件中的內容直接拖放至非加密進程時,迅軟防泄密軟件DLP應用控制層的相應功能模塊會立馬進行阻止,大致示意如下圖所示:
內容拖放控制
10. 剪貼板控制技術
迅軟防泄密軟件DLP提供禁用剪貼板控制功能,禁用剪貼板后加密文件的內容只能在加密進程間相互拷貝,禁止拷貝到非加密進程,有效預防加密文件內容通過拷貝外泄。
11. 嚴苛的防冒充技術
如今市面上很多加密軟件僅通過驗證應用軟件的名稱、版本信息和發(fā)布公司來判斷應用進程的合法性。然而這一機制具有非常大的漏洞,那就是一旦用戶通過專業(yè)資源修改軟件修改應用軟件的以上信息,則非加密進程就可以冒充加密進程打開加密文檔,由此導致泄密事件的發(fā)生,例如:郵件系統軟件冒充word進程,將加密文檔通過郵件發(fā)送出去。出現這類問題,我們該如何解決?
迅軟防泄密軟件DLP針對這一問題,采取嚴苛的防冒充技術,迅軟防泄密軟件DLP終端后臺可自動識別并判斷進程的MD5值,在可信列表中的均為合法進程,如檢測到某進程不在可信列表中,則自動將該進程名上報到服務器,管理員通過控制臺便可以查看到該非法進程的詳細信息,包括:上報的客戶端IP,進程所在目錄等。有效預防終端用戶任意修改進程名來冒充合法進程。
例如:管理員通過迅軟防泄密軟件DLP控制臺將應用進程添加為加密進程時,我們會根據應用程序的exe文件生成校驗值,(校驗值是通過迅軟防泄密軟件DLP獲取的應用程序的MD5值,全球唯一,無法冒充),同時將應用程序的數字簽名獲取出來并一起存儲到服務器,以方便日后進行進程的合法性驗證。通過我們系統生成的校驗值具有全球唯一性,一旦校驗值或者數字簽名遭到破壞,那么已添加為加密進程的應用軟件則被客戶端視為非加密進程,由此無法打開加密文檔,以此來阻止重要文件泄密。該功能的界面圖如下所示:
加密進程的配置界面
12. 外發(fā)文件管理模塊
A.模塊概述:
因工作交流的需要,加密文件需外發(fā)至公司網外時,如何防范外發(fā)文件的泄漏?泄漏后該如何取證?針對這一問題,我們研發(fā)了新型的外發(fā)文件管理模塊,用以設置外發(fā)文件的權限,例如:外發(fā)文件的使用次數,打開時間,是否允許修改,是否允許打印,打開時是否需要輸入密碼,與哪臺電腦綁定等。大致示意圖如下:
文件外發(fā)控制技術
B.模塊功能特點:
該模塊可以作為單獨的exe運行,亦可以選擇自定義安裝,安裝成功后即可打開外發(fā)文件,無需windows管理員權限。打開外發(fā)文件時全程加密,跟普通的解密以后再打開有本質區(qū)別,由此來保證所有的臨時文件均為加密文件,安全性極高?缙脚_支持(如:Windows、MAC、IOS、安卓、WindowsPhone等)、多終端支持(如:平板電腦、PC、智能手機等)。
13. 強大的截屏錄屏拷屏控制技術
迅軟防泄密軟件DLP不僅限制了截屏鍵(PrtSC鍵)的使用,同時禁用所有的截屏工具和常用錄屏軟件,徹底防止機密資料通過截屏錄屏外泄?紤]到易用性和安全性,同時可以針對單個可信的應用程序設置是否允許截屏,單個應用程序設置的權限優(yōu)先。例如:設置全局“禁止截屏錄屏”并設置HyperSnap允許截屏,那么HyperSnap可以進行屏幕截圖,但保存的圖片是加密的。而其他截屏工具均不可用。
14. 部門隔離和共享設置技術
管理員針對單個用戶組或計算機組啟用加密文件隔離設置,啟用隔離以后,本部門的加密文件只能在所屬本部門的客戶端機器上打開,其他部門無法打開該部門的加密文件。例如,財務部門的財務報表不容許其他部門查看,則管理員可以設置財務部門啟用隔離策略。當某些報表需要給其他部門領導查看時,便可以選中加密的報表,“申請共享”指定共享給的計算機或用戶,共享成功以后,授權的計算機或用戶便可以打開并編輯共享的加密文件。該功能的大致示意圖如下所示:
部門共享與隔離技術
15. 工作模式與個人模式的切換技術
為了便于員工處理私人文件,迅軟防泄密軟件DLP提供工作模式和個人模式;在工作模式下,修改和新建的文件都會自動加密,防止機密資料外泄;切換到個人模式后,工作模式下加密過的文件無法打開,新建或編輯的個人文件不加密,在資料不外泄的前提下,處理了自己的個人文件。這功能應酌情考慮是否開放給所有員工,可選擇性地開放給公司內部的部分員工。該功能的大致示意圖如下:
個人模式與工作模式切換
|