这是一款在中国市场上非常知名和专业的数据防泄漏(DLP, Data Loss Prevention)软件,它主要面向企业和组织,旨在通过技术手段防止核心敏感数据(如设计图纸、源代码、客户资料、财务报表等)通过各种途径被非法泄露或窃取。
(图片来源网络,侵删)
核心定位与目标用户
- 定位: 一款终端层面的、以文件为核心防护对象的DLP解决方案,它不仅仅是加密,更是一个全方位的、可策略化管控的数据行为管理系统。
- 目标用户:
- 设计研发类企业: 如机械、汽车、电子、建筑等,防止CAD图纸、3D模型、BOM表等核心设计资产外泄。
- IT与软件企业: 防止源代码、项目文档、技术方案等知识产权泄露。
- 金融、证券、咨询机构: 防止客户资料、交易记录、财务报表、分析报告等敏感商业信息外泄。
- 政府、事业单位: 防止涉密文件、内部通知、工作汇报等敏感政务信息外流。
- 大型集团企业: 统一管控各分支机构的文件,防止内部员工恶意或无意的数据泄露。
核心功能与防护机制
大势至系统的核心思想是“事前预防、事中控制、事后审计”,通过多种技术手段构建一个立体的防护体系。
事前预防:精准识别与加密
-
精准识别敏感文件:
- 基于文件类型/扩展名: 如自动识别
.docx,.pdf,.dwg,.jpg,.zip等文件。 - 基于文件内容(关键词/正则): 这是其核心功能之一,可以扫描文件内容,识别包含预设关键词(如“机密”、“合同”、“客户名单”)、身份证号、手机号、银行卡号等敏感信息的文件。
- 基于文件属性: 如文件标题、作者、创建时间等。
- 基于文件路径: 对特定文件夹内的所有文件进行统一管控。
- 基于文件类型/扩展名: 如自动识别
-
文件加密与权限管控:
- 透明加密: 这是最重要的功能,用户在指定软件(如Word、AutoCAD)中正常打开和编辑文件,文件在硬盘上是加密状态,但当文件通过U盘、邮件、网盘等方式带出公司环境时,文件会自动解密成乱码,无法正常打开。
- 权限分离: 可以设置不同用户对不同文件的权限,如“仅可读”、“可编辑但不可打印”、“可编辑但可另存为”等,实现精细化权限控制。
事中控制:全方位行为管控
这是大势至系统的“神经中枢”,通过策略对文件的“外发”行为进行实时监控和阻断。
(图片来源网络,侵删)
-
U盘等移动存储设备管控:
- 完全禁用: 禁止所有U盘、移动硬盘的使用。
- 仅读/仅写: 允许读取U盘文件,但禁止向U盘拷贝文件;或反之。
- 授权U盘: 只有经过管理员授权的加密U盘才能在公司内部使用,普通U盘一律禁止。
- 文件拷贝记录: 详细记录每次通过U盘拷贝文件的日志,包括操作人、时间、文件名等。
-
网络外发管控:
- 邮件管控: 阻止或监控通过Outlook、Foxmail等邮件客户端发送附件的行为,可以设置允许发送的文件类型、大小,或直接禁止发送敏感文件。
- 网盘管控: 阻止通过百度网盘、阿里云盘等常见网盘上传文件。
- 即时通讯管控: 阻止通过QQ、微信、钉钉等聊天工具发送文件。
- 网站上传管控: 阻止在网页上(如论坛、云文档)上传敏感文件。
-
打印与截屏管控:
- 打印管控: 禁止或审计敏感文件的打印行为,甚至可以设置需要管理员审批才能打印。
- 截屏管控: 防止用户使用系统自带的截屏工具(如PrtScn)或第三方截屏软件(如Snipaste)窃取屏幕上的敏感信息。
-
文件操作审计:
(图片来源网络,侵删)- 详细日志: 对文件的创建、打开、修改、删除、复制、重命名等所有操作进行全程记录,形成不可篡改的操作日志。
- 屏幕快照/录像: 可设置为定时或触发式(如尝试违规操作时)对用户屏幕进行拍照或录制视频,作为追溯证据。
事后审计与追溯
- 全面的审计报表: 系统可以生成各种统计报表,如“外发文件排行榜”、“违规操作次数统计”、“U盘使用情况”等,帮助管理者了解数据流动状况和潜在风险。
- 行为追溯: 一旦发生泄密事件,管理员可以根据详细的日志记录和屏幕录像,快速定位到泄密者、泄密时间、泄密方式和具体内容,为追责和事件处理提供有力证据。
技术特点与优势
- 精准性高: 基于内容的关键词识别功能,能有效区分敏感文件和普通文件,避免“一刀切”影响正常工作。
- 透明无感: 加密过程对用户透明,不改变用户原有的操作习惯,易于推广和部署。
- 策略灵活: 管理员可以针对不同部门、不同用户、不同文件类型设置不同的管控策略,满足复杂的企业需求。
- 全面防护: 覆盖了文件从本地存储到外发的所有主要途径(U盘、网络、打印、截屏等),形成闭环管理。
- 审计有力: 完善的日志和录像功能,让泄密行为无所遁形,从“防”到“查”形成威慑。
典型应用场景举例
-
设计院防止图纸外泄
- 策略: 系统自动识别所有
.dwg,.pdf文件,并对其透明加密。 - 管控: 禁止通过U盘、邮件、微信等方式将这些文件带出公司,工程师可以在公司电脑上正常使用CAD打开和修改图纸,但如果他将文件拷贝到U盘带回家,文件将变成乱码无法打开。
- 审计: 记录所有人对图纸的修改历史,并定期进行屏幕快照抽查。
- 策略: 系统自动识别所有
-
软件公司防止源代码泄露
- 策略: 对特定目录(如项目文件夹)下的所有文件进行加密,并识别包含“API_KEY”, “数据库连接”等关键词的文件。
- 管控: 严格禁止通过网盘、QQ等工具发送这些文件,开发人员只能通过公司内部的代码库(如Git)进行版本控制。
- 审计: 对代码的提交、下载等操作进行详细日志记录。
部署与管理
- 部署方式: 通常采用 C/S架构(客户端/服务器)。
- 服务器端: 部署在一台专用服务器上,用于集中管理策略、查看日志、监控客户端状态。
- 客户端: 安装在需要被管控的每一台员工电脑上,执行具体的管控和加密任务。
- 管理方式: 管理员通过Web控制台或客户端管理工具,可以方便地进行策略配置、用户管理、日志查看和报表生成。
大势至电脑文件防泄密系统是一款功能强大、策略灵活、部署成熟的终端DLP产品,它不仅仅是“加密软件”,更是一套完整的企业数据安全治理工具,其核心价值在于:
- 保护核心资产: 防止企业的知识产权和商业秘密流失。
- 满足合规要求: 帮助企业满足《数据安全法》、《个人信息保护法》等法律法规的合规要求。
- 建立内部威慑: 通过严格的管控和审计,形成“不敢泄、不能泄”的文化氛围。
- 提供追溯证据: 在泄密事件发生后,提供清晰的证据链,降低损失。
对于任何拥有核心数据资产、且对数据安全有较高要求的企业而言,大势至系统都是一个值得重点考虑的解决方案,在选型时,建议结合自身业务流程、数据特点和IT环境,进行充分的测试和评估。
