企业数据丢失预防和设备控制

DeviceLock DLP - 综合功能清单

设备访问控制。 管理员可以控制哪些用户或组可以访问USB,FireWire,红外,COM和LPT端口。 WiFi和蓝牙适配器; 任何类型的打印机,包括本地,网络和虚拟打印机; Windows Mobile,BlackBerry,支持MTP的设备(例如Android,Windows Phone等),iPhone和基于Palm OS的PDA和智能手机; 终端服务设备; 以及DVD / BD / CD-ROM,软盘驱动器以及其他可移动和即插即用设备。可以将设备设置为只读模式,并根据每天的时间和每周的日期控制对它们的访问。
网络通信控制。NetworkLock模块添加了对Windows端点网络通信的全面上下文控制,包括网络协议,Web应用程序和列出的Instant Messenger应用程序(如Skype)。 常规和SSL通道式电子邮件通信(SMTP,Exchange-MAPI和列出的Webmail服务)由分别处理和过滤的消息和文件附件控制。NetworkLock还可以控制Web访问和其他基于HTTP的应用程序,并能够从加密的HTTPS会话中提取内容。 Web应用程序,Web搜索,社交网络,基于云的文件共享Web访问和webmail服务与HTTP控件是分开保护的,以便于配置,同时可以为NetworkLock中批准的用户将支持的站点,电子邮件地址和发件人/收件人ID列入白名单。请参阅产品规格部分,以获取受支持的Webmail服务,社交网络,基于云的文件共享服务,Web搜索引擎和由NetworkLock控制的即时通讯程序的列表。
内容筛选。 ContentLock模块将DeviceLock和NetworkLock功能扩展到上下文安全之外,它可以分析和筛选数据的文本和二进制内容复制到可移动媒体驱动器,其他Plug-nPlay存储设备,到剪贴板,打印,发送的数据甚至数据隐藏在屏幕上输出,图形文件或图像文件。 ContentLock还可以过滤网络通信中的数据对象和会话。 这些包括电子邮件,Web访问/表单/帖子/搜索以及诸如Web邮件服务,社交网络,基于云的文件共享服务,即时通讯程序,附件,SMB文件共享和FTP传输之类的应用程序。内容分析引擎可以从150多种文件格式和数据类型中提取文本数据,然后应用有效且可靠的内容筛选方法。 结构化数据的内容检测基于正则表达式(RegExp)模式和行业特定的关键字过滤器(HIPAA,PCI等)的预构建模板,而数据指纹技术则用于检测非结构化的文本和二进制内容。 具有一定重要性或保密性的数字指纹按其各自的数据分类进行分类(例如“受限”,“机密”,“保密”,“最高机密”等)。文档元属性和已验证的文件类型也可能是内容分析的因素。 内容检测模板可以使用数字阈值条件进行修改和/或与布尔逻辑运算符(AND / OR / NOT)组合使用,以实现无与伦比的控制灵活性。
主机驻留的OCR。内置的光学字符识别(OCR)引擎与基于文本的数据对象的内容过滤相辅相成,使DeviceLock DLP可以快速,有效和准确地从多种图像格式的文档和图形文件中的图片中提取和检查文本数据。 凭借30多种公认的语言,该高效的OCR引擎使用正则表达式,关键字词典和其他高级方法来提高识别能力,并能够发现和保护以图形形式显示的信息资产中公开的机密数据。DeviceLock DLP的独特之处在于OCR模块在其每个面向实施的组件中运行:DeviceLock Agent, DeviceLock Discovery Server和DeviceLock Discovery Agent。这种分布式OCR架构极大地提高了解决方案的整体性能,因为端点上存储的图形对象可以由本地主机驻留的OCR模块进行扫描和检查,从而大大减少了Discovery Server的负载,并减少了在企业网络上“扫描”流量。
内容发现。DeviceLock Discovery使组织能够查看和控制整个IT环境中存储的机密“静态数据”,从而主动防止数据泄露并实现对法规和公司数据安全要求的合规性。通过自动扫描网络共享、存储系统和Windows终端计算机上的数据,DeviceLock Discovery找到了包含敏感内容的文档,并提供了补救措施,同时向SIEM系统和数据安全人员发出实时警报,启动事件管理程序。
防篡改。可配置的“ DeviceLock管理员”功能可以防止篡改Windows和Apple OS上本地的DeviceLock策略设置,即使是具有本地系统管理特权的用户也可以。激活此功能后,只有通过DeviceLock控制台或组策略对象(GPO)编辑器工作的指定DeviceLock管理员才能以任何方式卸载升级代理或修改DeviceLock策略。
Active Directory组策略集成。DeviceLock的主控制台直接与Microsoft管理控制台(MMC)Active Directory(AD)组策略界面集成。 由于AD管理员完全熟悉组策略和MMC样式的接口,因此没有专有的接口可以学习或培训类以有效地集中管理端点DLP策略。 组策略管理员计算机上仅存在DeviceLock MMC管理单元控制台,可以直接集成到组策略管理控制台(GPMC)中,而无需任何脚本、ADM模板或架构更改。管理员可以动态管理Windows和Apple OS端点设置,以及其他由组策略自动执行的任务。 由于没有组策略环境,DeviceLock还具有经典的Windows控制台和Web浏览器控制台,可以集中管理Windows计算机的任何Novell,LDAP或“工作组” IP网络上的代理。可以在所有DeviceLock控制台之间共享基于XML的策略模板。
集中配置和部署。DeviceLock企业服务器(DLES)模块可以将安全策略部署到整个组织网络上的DeviceLock服务代理,以替代通过DeviceLock管理控制台手动和/或通过Active Directory GPO自动部署的策略。该功能适用于工作组或非AD LDAP环境。 DeviceLock支持将策略模板文件从DLES传递到代理的两种方式:“推”(服务器根据DL管理员的请求推策略)和“拉”(可将DeviceLock代理配置为按时间表或终结点用户自行查询策略) 可以向DLES提出临时请求以更新政策。
真正的文件类型控制。 管理员可以有选择地授予或拒绝对5300多种可移动媒体特定文件类型的访问。 配置文件类型策略后,DeviceLock将调查文件的二进制内容以确定其真实类型(与文件名和扩展名无关),并根据所应用的策略强制执行控制和屏蔽操作。为了提高灵活性,可以在设备/协议类型层的每个用户或每个组的基础上定义文件类型的内容感知规则。 真实文件类型规则也可以应用于卷影副本的预筛选,以减少捕获的数据量。
剪贴板控制。 当用户有意或无意间通过Windows剪贴板和打印屏幕机制在其本地计算机上的不同应用程序和文档之间传输未经授权的数据时,DeviceLock使管理员能够在最早的阶段有效地阻止数据泄漏。DeviceLock可以有选择地控制用户/组对复制到剪贴板中的不同数据类型的对象的访问。 这些类型包括文件,文本数据,图像,音频片段(即用Windows Sound Recorder捕获),甚至是“未识别”类型的数据。此外,可以监视和筛选通过剪贴板复制的文本数据的内容。在终端会话中,当剪贴板操作被重定向到远程BYOD设备以提供虚拟DLP时,DeviceLock DLP分别地、独立地、唯一地保护和筛选剪贴板操作。为了防止最古老的数据盗用方法之一,可以阻止特定用户/组的屏幕快照操作。 这些功能包括Windows PrintScreen键盘功能以及第三方应用程序的屏幕捕获功能。如果策略允许在上下文中允许截图,则ContentLock的高级OCR内容检查可以根据DLP策略筛选捕获的屏幕图像的文本内容。
USB白名单。 允许您授权特定型号的设备访问USB端口,同时锁定所有其他端口。您甚至可以将单个唯一的设备“白名单”,同时锁定所有其他相同品牌和型号的设备,只要设备制造商提供了合适的唯一标识符(例如序列号)即可。
媒体白名单。 允许您授权访问特定的DVD / BD / CD-ROM磁盘,该磁盘由数据签名唯一标识,即使DeviceLock阻止了DVD / BD / CD-ROM驱动器也是如此。当DVD/BD/CD-ROM磁盘通常用于分发新的软件或说明书时,媒体白名单也可以指定允许的用户和组,这样只有授权用户才能访问DVD、蓝光或CD-ROM的内容。
临时白名单。允许通过发出访问代码而不是通过常规的DeviceLock权限设置/编辑过程来授予对连接USB的设备的临时访问权限。在需要授予权限而系统管理员没有网络连接时使用;例如,在一个特殊的情况下,当销售经理在公司网络之外工作时,他会要求USB接口。
协议白名单。允许您通过IP地址,地址范围,子网掩码,网络端口及其范围来指定面向白名单的策略。
审计。 DeviceLock的审计功能可以跟踪本地计算机上指定设备类型,端口和网络资源的用户和文件活动。 它可以按用户/组、按天/小时、按端口/设备/协议类型、按读/写以及按成功/失败事件预筛选审计活动。 DeviceLock使用标准的事件日志记录子系统,并将审核记录写入带有GMT时间戳记的Windows Event Viewer日志中。日志可以导出为许多标准文件格式,以导入其他报告机制或产品。 此外,审核记录可以从远程计算机自动收集并集中存储在SQL Server中。 即使具有本地管理员特权的用户也无法编辑、删除或篡改设置为传输到DeviceLock企业服务器的审核日志。
屏蔽。可以设置DeviceLock的数据屏蔽功能,以镜像复制到外部存储设备,通过网络以及通过串行和并行端口进行打印或传输的所有数据。DeviceLock还可以在由DeviceLock企业服务器(DLES)自动收集时,将CD / DVD / BD刻录机产生的ISO映像拆分为原始的单独文件。 可以将文件的完整副本保存到SQL数据库或DLES管理的安全共享中。 屏蔽活动可以像常规审核一样预先筛选以缩小收集范围。ContentLock的内容筛选技术使DeviceLock的数据屏蔽功能更加高效、可扩展且更加智能。 所有端点数据通道(包括可移动和即插即用存储设备,网络通信,与支持的智能手机的本地同步以及文档打印)均支持基于内容的数据屏蔽。传入和/或传出传输可能有条件地被屏蔽。 通过对可能隐藏的大型数据对象的内容进行预过滤,然后再将它们隐藏到日志中,DeviceLock将流的大小缩小为仅包含那些对分析后任务(例如安全合规性审核,事件调查和网络取证)有意义的对象。
提醒。DeviceLock提供由DeviceLock DLP端点事件驱动的基于SNMP,SYSLOG和SMTP的提醒功能,用于实时通知网络上受保护端点上的敏感用户活动。
移动设备本地同步控制。管理员可以使用DeviceLock的专利本地同步控制技术来设置细化的访问控制、审核和屏蔽规则,用于Microsoft WindowsMobile®,AppleiPhone®/iPad®/ iPodtouch®或Palm®移动设备通过与Windows端点的本地同步交换的数据 。 权限具有唯一的粒度,定义了允许指定用户/组的移动设备数据(文件,图片,电子邮件,联系人,日历等)的“类型”在托管端点和个人移动设备之间进行同步,而无论连接接口如何。在设备类型级别特别支持Android®,Windows Phone和其他MTP设备以及BlackBerry®智能手机的状态检测、访问控制和事件日志记录。
打印安全。 DeviceLock将Windows端点的本地和网络打印置于管理员的严格控制之下。 通过拦截Print Spooler操作,DeviceLock使管理员可以集中控制用户访问以及从受DeviceLock保护的端点发送到本地、网络甚至虚拟打印机的打印文档的内容。此外,对于连接USB的打印机,指定的用户和组可以使用指定的打印机供应商型号和/或唯一的打印机设备ID。 可以记录打印事件,并可以以可搜索的PDF格式对实际的打印作业数据进行影印、收集和集中存储,以进行审核和后期分析。
网络意识。 管理员可以为相同的用户帐户定义不同的在线和离线安全策略。例如,在移动用户的笔记本电脑上,一个合理且经常必要的设置是,在连接到公司网络时禁用WiFi,在断开连接时启用WiFi。
可移动媒体加密集成。 DeviceLock采用开放式集成方法来加密上传到可移动媒体的数据。客户可以选择在最先进的技术中使用最适合其安全方案的加密解决方案,这些技术包括:Windows BitLocker To Go™,Apple OS X FileVault,用于标准FIPS认证加密的PGP®Whole Disk加密; TrueCrypt®,用于免费开源加密的TrueCrypt®; SafeDisk®,SecurStar®DriveCrypt Plus Pack Enterprise(DCPPE)软件; 以及Lexar Media的S1100 / S3000系列USB闪存盘,用于预加密的可移动媒体。此外,任何预先加密的USB媒体都可以在严格执行的使用情况下有选择地列入白名单。 DeviceLock允许针对此类媒体的加密和未加密分区使用离散访问规则。
搜索服务器。 DeviceLock Search Server提供对存储在DeviceLock Enterprise Server上的记录数据的全文搜索。 您可以通过在日志查看器中筛选数据来使用全文本搜索来查找无法找到的数据。全文搜索功能在您需要根据其内容搜索文档的卷影副本时特别有用。DeviceLock Search Server可以自动识别、索引、搜索和显示多种格式的文档,例如:Adobe Acrobat(PDF),Ami Pro,Archives (GZIP,RAR,ZIP),Lotus 1-2-3,Microsoft Access,Microsoft Excel ,Microsoft PowerPoint,Microsoft Word,Microsoft Works,OpenOffice(文档,电子表格和演示文稿),Quattro Pro,WordPerfect,WordStar等。DeviceLock Search Server可以按计划运行搜索,并通过电子邮件发送搜索结果。
BYOD设备的虚拟DLP。当使用领先的台式机和应用程序虚拟化解决方案(例如Citrix XenApp / XenDesktop,Microsoft RDS和VMware Horizon View)时,DeviceLock的虚拟DLP功能可保护任何BYOD设备免受内部数据泄漏的影响。在VDI主机或终端服务器上运行时,DeviceLock运行在VDI主机或终端服务器上,将“上下文”和“内容感知”端点DLP控件“远程”到连接的远程BYOD设备上,以创建虚拟端点DLP代理,以防止与本地外设、托管应用程序和网络连接的不受控制的数据交换。这种方法在物理和虚拟Windows以及BYOD环境中统一了DeviceLock DLP。
扩展的DeviceLock DLP功能 反键盘记录器。DeviceLock检测USB键盘记录器并阻止与其连接的键盘。另外,DeviceLock会混淆PS / 2键盘输入,并强制PS / 2键盘记录器记录垃圾内容,而不是实际的击键记录。

监视。DeviceLock Enterprise Server可以实时监视远程计算机,检查DeviceLock服务状态(是否运行)、策略一致性和完整性。详细信息将写入监视日志。同样,可以定义一个主策略,如果怀疑其当前策略已过期或已损坏,则可以在所选远程计算机之间自动应用该策略。

RSoP支持。您可以使用Windows标准的策略结果集管理单元来查看当前应用的DeviceLock策略,以及预测在给定情况下将应用哪种策略。

批量处理。允许您以快速、一致的方式为大型网络上的具有类似设备(例如,所有计算机都具有USB端口和CD-ROM)的一类类似计算机定义设置。可以使用DeviceLock企业管理器在网络中的所有计算机上自动安装或更新DeviceLock服务。

图形报告。DeviceLock可以基于审核和影子日志自动生成图形报告。

权限报告。允许您生成报告,以显示在网络上所有计算机上设置的权限和审核规则。

报告即插即用设备。 允许您生成报告,以显示当前连接到网络中计算机以及历史连接的USB,FireWire和PCMCIA设备。

流量定行。DeviceLock允许您定义带宽限制,以将审核和影子日志从DeviceLock服务发送到DeviceLock Enterprise Server。 此服务质量(QoS)功能有助于减少网络负载。

流压缩。您可以指示DeviceLock压缩由DeviceLock Enterprise Server服务从端点提取的审核日志和影子数据。 这样做可以减少数据传输的大小,从而减少网络负载。

最佳服务器选择。为了实现审计和影子日志的最佳传输,DeviceLock Services可以从可用服务器列表中自动选择最快的可用DeviceLock Enterprise Server。