IP-guard敏感内容识别管理系统
发布日期:2018-05-09
一、前言
随着企业全面信息化时代的到来,人们越来越多地借助以计算机、互联网等先进技术为代表的技术手段,将企业的经营及管理通过计算机和网络实现,所有业务数据经由计算机系
统处理,快速形成企业所需的财务资料、合同、客户资料等各种文档,这样,电子文档就成为了企业的核心资产。
信息化是为了实现数据共享,而数据的生命周期中包括生成(生成数据于计算机或服务器硬盘中)、使用(使用者对数据进行操作)和传送(数据从一个位置传送到另外一个位置)
三个基本的过程。
信息化是一把双刃剑,它提高了企业的工作效率,同时也给企业带来信息泄露的威胁,比如:企业的电子文档通过网络、存储设备、共享等方式进行流通,大大增加了便利性,有
意无意的信息泄露也可能就掺杂其中,所以信息泄露的风险也随之增加,近年来不断演变的信息泄露威胁,正将越来越多的企事业单位置于前所未有的危险境地,常见的信息泄露威胁
包括:
l 通过网络途径(聊天工具、FTP 上传、共享等)将含敏感内容的文档发送出去
l 通过外接设备(U 盘、移动硬盘等)将含敏感内容的文档带离企业
l 拆除硬盘,将硬盘中含有敏感内容的文档一起带走
l 员工丢失笔记本、U 盘,造成包含敏感内容的文档泄密
l 员工保密意识淡薄,无意发送包含敏感内容的文件、或随意共享造成泄密
l 含敏感内容的文档未采取保护措施,导致外来访客窃取企业机密文档
l 文件服务器上存储着大量的文件,对涉及敏感内容的文件未进行保护
l 员工访问应用系统,下载含敏感内容的文件到计算机,未进行保护,可能导致泄密
二、IP-guard 敏感内容识别管理系统介绍
2.1 产品概述
IP-guard敏感内容识别管理系统是面向政府、金融、运营商、制造业、能源等大型企业推出的终端信息防泄漏解决方案,它以敏感内容识别技术为核心,以敏感内容定义、发现为
前提,以敏感内容监视为重点,实现敏感内容保护为目的,为客户打造全方位的信息防泄漏管理系统。
敏感内容定义与发现:通过正则表达式及关键字规则定义敏感内容,进行全盘扫描发现符合条件的机密文档,并将相应的结果以日志的形式记录下来。
敏感内容监视:根据设定规则,对敏感文档的落地存储、使用和外传行为进行实时监视和管理,一旦发现含有敏感内容的文档,则进行审计、备份、报警和警告等措施。
敏感内容保护:新建、下载含敏感内容文档到计算机,支持对文档进行加密保护。通过网络、存储设备等方式外传含敏感内容的文档时,支持对文档进行阻断等保护措施。
2.2 产品组成结构
IP-guard 基于 C/S 架构设计,系统由三个模块组成,客户端模块、服务器模块和控制台模块,需要将它们分别安装在网络中的计算机上。通常客户端模块部署在受管控的计算机
上,服务器模块部署在一个性能稳定,物理位置安全的服务器上,控制台模块部署在管理人员的计算机上。
客户端模块:
l 执行系统设定的各种管理策略 l 采集客户端运行的各项数据 l 定时将采集的数据上传到服务器 l 根据控制台发出的指令进行监控操作 服务器模块:
l 管理所有客户端计算机,并向其传递相关的规则和指令 l 收集客户端采集的数据和存储数据 l 提供方便灵活的记录管理、查看、归档、搜索等功能 控制台模块:
l 审计客户端的数据
l 数据统计,分析和导出 l 对客户端计算机实时监控和系统维护 l 设置监控规则和管理策略
2.3 产品部署架构
三、产品功能
3.1 敏感内容定义
为防止机密信息泄露,文档在存储、复制或传送的过程中,系统都必须能准确地识别文档含有的敏感内容。如果不能准确识别敏感内容,系统就会生成许多误报或漏报的情况,难
以达到机密信息防护的目的,因此机密文档识别的首要前提是定义敏感内容。
IP-guard 可以针对不同类型的数据采用不同的方式定义敏感内容,支持对结构化数据的内容识别,如 身份证号码、手机号码、账号或内部编号等;也支持对非结构化的内容识别,
如:识别 office、PDF、记事本等文本类文件出现“合同”、“知识产权”“机密”等关键字,并且支持多种规则组合,形成特征规则组,可通过多种特征规则进行内容识别,提高敏感内
容识别的准确率。
3.1.1 关键字规则
支持添加关键字特征规则,可设置特征规则名称、规则类型、去重、区分大小写、命中次数、包含内容、排除内容等条件,通过这些条件查找出符合特征规则的文档。
3.1.2 正则表达式
支持通过正则表达式对有规律的数字或字符进行识别,如身份证、银行卡号、手机号码、固定电话、Email 地址、域名等,同样可以通过去重、区分大小写、命中次数、包含内容、
排除内容等条件查找符合特征规则的文档。
3.1.3 特征提取
通过对文档进行词法分析从而提取关键字,支持分析大量原始文档,自动生成关键字和正则表达式的特征规则,用户可以人工干预特征规则的选择,方便管理员发现机密文档的关
键字、正则表达式等特征规则,完善敏感内容的定义。
3.2 敏感内容发现
IP-guard 客户端安装在员工的笔记本和台式机上,负责扫描内部硬盘驱动器上的机密文档,可采取措施对数据存储、使用和外传进行保护。
3.2.1 本地或远程扫描发现
管理员可根据文件的位置(文件路径)、文件类型等条件,对本地计算机及远程计算机进行扫描,Agent 将扫描文件内容,根据策略匹配敏感内容,识别出存储的历史机密文档,
期间不影响文档自身的属性,并将相应的结果以日志形式记录下来。
3.3 敏感内容监视
根据预先制定的安全策略,监视敏感文档的落地、使用和外传行为,对违反安全策略的行为执行阻断和加密等保护措施,支持对违规事件进行审计、备份、报警和警告。
3.3.1 落地监视
IP-guard 安装在员工的笔记本和台式机上,负责监视正在下载或写入本地磁盘的数据,将其与存储数据的策略进行比较,查看是否存在违反策略的情况。如果违反策略,则触发相
应的实时响应规则,则进行审计、报警和警告措施,然后,将通过 Agent 向服务器发送事件信息。
3.3.2 外传监视
IP-guard 客户端安装在用户的计算机上,负责监视网络及存储拷贝数据的行为。支持的协议包括:即时通信、文件传输(FTP)、复制到 USB 设备等,检查其中的数据是否违反
策略,如果数据违反了策略, Agent 将启动实时本地响应规则,然后通过 Agent 将事件数据发送到 IP-guard 服务器,事件信息将保存下来起到追溯和补救的作用,除此之外,为企
业提供更多防止数据丢失的监视措施,包括审计、备份、报警和警告。
3.4 敏感内容保护
3.4.1 落地控制
IP-guard 客户端安装在员工的笔记本和台式机上,负责监视正在下载或写入本地磁盘的数据,Agent 将对新建和下载的文档进行内容扫描,如果文档中存在敏感内容,支持对文
随着企业全面信息化时代的到来,人们越来越多地借助以计算机、互联网等先进技术为代表的技术手段,将企业的经营及管理通过计算机和网络实现,所有业务数据经由计算机系
统处理,快速形成企业所需的财务资料、合同、客户资料等各种文档,这样,电子文档就成为了企业的核心资产。
信息化是为了实现数据共享,而数据的生命周期中包括生成(生成数据于计算机或服务器硬盘中)、使用(使用者对数据进行操作)和传送(数据从一个位置传送到另外一个位置)
三个基本的过程。
信息化是一把双刃剑,它提高了企业的工作效率,同时也给企业带来信息泄露的威胁,比如:企业的电子文档通过网络、存储设备、共享等方式进行流通,大大增加了便利性,有
意无意的信息泄露也可能就掺杂其中,所以信息泄露的风险也随之增加,近年来不断演变的信息泄露威胁,正将越来越多的企事业单位置于前所未有的危险境地,常见的信息泄露威胁
包括:
l 通过网络途径(聊天工具、FTP 上传、共享等)将含敏感内容的文档发送出去
l 通过外接设备(U 盘、移动硬盘等)将含敏感内容的文档带离企业
l 拆除硬盘,将硬盘中含有敏感内容的文档一起带走
l 员工丢失笔记本、U 盘,造成包含敏感内容的文档泄密
l 员工保密意识淡薄,无意发送包含敏感内容的文件、或随意共享造成泄密
l 含敏感内容的文档未采取保护措施,导致外来访客窃取企业机密文档
l 文件服务器上存储着大量的文件,对涉及敏感内容的文件未进行保护
l 员工访问应用系统,下载含敏感内容的文件到计算机,未进行保护,可能导致泄密
二、IP-guard 敏感内容识别管理系统介绍
2.1 产品概述
IP-guard敏感内容识别管理系统是面向政府、金融、运营商、制造业、能源等大型企业推出的终端信息防泄漏解决方案,它以敏感内容识别技术为核心,以敏感内容定义、发现为
前提,以敏感内容监视为重点,实现敏感内容保护为目的,为客户打造全方位的信息防泄漏管理系统。
敏感内容定义与发现:通过正则表达式及关键字规则定义敏感内容,进行全盘扫描发现符合条件的机密文档,并将相应的结果以日志的形式记录下来。
敏感内容监视:根据设定规则,对敏感文档的落地存储、使用和外传行为进行实时监视和管理,一旦发现含有敏感内容的文档,则进行审计、备份、报警和警告等措施。
敏感内容保护:新建、下载含敏感内容文档到计算机,支持对文档进行加密保护。通过网络、存储设备等方式外传含敏感内容的文档时,支持对文档进行阻断等保护措施。
2.2 产品组成结构
IP-guard 基于 C/S 架构设计,系统由三个模块组成,客户端模块、服务器模块和控制台模块,需要将它们分别安装在网络中的计算机上。通常客户端模块部署在受管控的计算机
上,服务器模块部署在一个性能稳定,物理位置安全的服务器上,控制台模块部署在管理人员的计算机上。
客户端模块:
l 执行系统设定的各种管理策略 l 采集客户端运行的各项数据 l 定时将采集的数据上传到服务器 l 根据控制台发出的指令进行监控操作 服务器模块:
l 管理所有客户端计算机,并向其传递相关的规则和指令 l 收集客户端采集的数据和存储数据 l 提供方便灵活的记录管理、查看、归档、搜索等功能 控制台模块:
l 审计客户端的数据
l 数据统计,分析和导出 l 对客户端计算机实时监控和系统维护 l 设置监控规则和管理策略
2.3 产品部署架构
三、产品功能
3.1 敏感内容定义
为防止机密信息泄露,文档在存储、复制或传送的过程中,系统都必须能准确地识别文档含有的敏感内容。如果不能准确识别敏感内容,系统就会生成许多误报或漏报的情况,难
以达到机密信息防护的目的,因此机密文档识别的首要前提是定义敏感内容。
IP-guard 可以针对不同类型的数据采用不同的方式定义敏感内容,支持对结构化数据的内容识别,如 身份证号码、手机号码、账号或内部编号等;也支持对非结构化的内容识别,
如:识别 office、PDF、记事本等文本类文件出现“合同”、“知识产权”“机密”等关键字,并且支持多种规则组合,形成特征规则组,可通过多种特征规则进行内容识别,提高敏感内
容识别的准确率。
3.1.1 关键字规则
支持添加关键字特征规则,可设置特征规则名称、规则类型、去重、区分大小写、命中次数、包含内容、排除内容等条件,通过这些条件查找出符合特征规则的文档。
3.1.2 正则表达式
支持通过正则表达式对有规律的数字或字符进行识别,如身份证、银行卡号、手机号码、固定电话、Email 地址、域名等,同样可以通过去重、区分大小写、命中次数、包含内容、
排除内容等条件查找符合特征规则的文档。
3.1.3 特征提取
通过对文档进行词法分析从而提取关键字,支持分析大量原始文档,自动生成关键字和正则表达式的特征规则,用户可以人工干预特征规则的选择,方便管理员发现机密文档的关
键字、正则表达式等特征规则,完善敏感内容的定义。
3.2 敏感内容发现
IP-guard 客户端安装在员工的笔记本和台式机上,负责扫描内部硬盘驱动器上的机密文档,可采取措施对数据存储、使用和外传进行保护。
3.2.1 本地或远程扫描发现
管理员可根据文件的位置(文件路径)、文件类型等条件,对本地计算机及远程计算机进行扫描,Agent 将扫描文件内容,根据策略匹配敏感内容,识别出存储的历史机密文档,
期间不影响文档自身的属性,并将相应的结果以日志形式记录下来。
3.3 敏感内容监视
根据预先制定的安全策略,监视敏感文档的落地、使用和外传行为,对违反安全策略的行为执行阻断和加密等保护措施,支持对违规事件进行审计、备份、报警和警告。
3.3.1 落地监视
IP-guard 安装在员工的笔记本和台式机上,负责监视正在下载或写入本地磁盘的数据,将其与存储数据的策略进行比较,查看是否存在违反策略的情况。如果违反策略,则触发相
应的实时响应规则,则进行审计、报警和警告措施,然后,将通过 Agent 向服务器发送事件信息。
3.3.2 外传监视
IP-guard 客户端安装在用户的计算机上,负责监视网络及存储拷贝数据的行为。支持的协议包括:即时通信、文件传输(FTP)、复制到 USB 设备等,检查其中的数据是否违反
策略,如果数据违反了策略, Agent 将启动实时本地响应规则,然后通过 Agent 将事件数据发送到 IP-guard 服务器,事件信息将保存下来起到追溯和补救的作用,除此之外,为企
业提供更多防止数据丢失的监视措施,包括审计、备份、报警和警告。
3.4 敏感内容保护
3.4.1 落地控制
IP-guard 客户端安装在员工的笔记本和台式机上,负责监视正在下载或写入本地磁盘的数据,Agent 将对新建和下载的文档进行内容扫描,如果文档中存在敏感内容,支持对文
档进行加密保护,防止员工有意无意的行为造成泄密。
3.4.2 外传控制
含敏感内容的文档通过存储设备、网络盘、IM、邮件外传时,Agent 将对文档内容进行扫描,如果外传内容不违反安全策略,系统将不阻止其传输,如果外传内容不符合安全策略,
Agent 将会采取阻断动作,终止传输,支持对外传行为的审计、备份、报警和警告。
四、总结
IP-guard 敏感内容识别技术与审计、管控和加密相结合,通过敏感内容发现,对含敏感内容的文档进行加密,实现事前保护;含敏感内容的文档通过流通渠道外传时,进行实时
监视,实现事中控制;通过对文档敏感内容检索,实现更精准的事后审计;帮助企业构建以敏感内容为核心的保护体系,为客户提供全方位的信息防泄漏解决方案。
