方案概述

        有意或无意的信息泄露给企业带来重大损失,科服科技数据防泄露解决方案从桌面安全、内网安全、网络安全三大层面,通过操作审计、操作授权和透明加密,帮助企业实现“事前防御—事中控制—事后审计”的完整的信息防泄露流程,构建起完善的信息安全防护体系。
        整个系统分为14个子功能模块,分别是文档操作管控、文档打印管控、即时通讯管控、邮件管控、应用程序管控、网页浏览管控、网络流量管控、网络控制、移动存储管控、设备管控、屏幕监控、资产管理、远程维护、网络准入控制,满足企业防止信息泄露、员工行为管理、内网系统运维的全面信息安全及管理需要。

优势

1) 电脑监控:电脑屏幕监控、上网管控、流量控制、QQ聊天记录监控、软件使用控制、网站浏览控制等。

2) 数据保护:“核心数据加密、外发渠道管控、内网全面审计”三重保护机制,完善的“事前防御-事中控制-事后审计”安全管理体系。

3) 系统管理:远程控制维护、软硬件资产管理、设备管控、系统补丁及漏洞管理等。

4) 管理方便:部署简单、管理方便、易于维护,可集中或分布式保存监控记录。


系统架构图

方案详述

1) 系统架构

基本系统由客户端、服务器、控制台三个模块组成。客户端模块用于收集数据和执行系统管理策略,安装在每台需要被管理的计算机上;服务器模块用于存储系统数据和管理规则策略,一般安装在性能较高、存储容量较大的计算机上;控制台模块用于查看管理数据、设定管理策略和进行实时维护,一般安装在企业管理人员计算机上,也可以和服务器模块安装在同一台计算机上。
系统基于TCP/IP协议的网络架构,可以灵活地从本地网络扩展到远程网络和异地网络。服务器通过虚拟专用网(VPN)或互联网连接远程的计算机,实现对大规模复杂网络的集中管理。控制台也可以通过互联网连接异地的服务器,实现对分支机构的远程管理。

2) 文档操作管控

完整记录内部网络中的文档使用与传播的全过程,并可发现非法的文档访问、修改、删除、复制等违规使用行为,防止文档被非法篡改或泄露,同时当风险操作发生时,完善的备份机制还能进一步保护机密文档的安全,可以有效地保护终端、文档服务器等各种位置的文档的应用安全。

功能详解
记录每一项文档操作记录范围包括存储于服务器、硬盘、光盘、移动盘、网络盘等各种位置的文档,记录文档从创建到消除整个生命周期内发生的所有操作。
有效管控操作权限管控用户对重要文档的访问、修改和删除等使用权限。
敏感操作发生时备份当复制、篡改或删除等敏感操作发生时,文档自动备份,以防止被损坏同时留存证据。
独特优势
详实文档操作审计可对多种类型盘符的文档进行控制和全面详尽的操作审计,对光盘刻录和智能手机等同步操作进行记录。
丰富文档备份机制在重要文档被复制、篡改或删除前备份,防止文档损失,同时留存证据。
严格文档使用管控支持对指定类型文件或者对整个文件夹的操作权限进行统一管理。
3) 移动存储管控

移动存储设备有着容量大、易携带的优点,因此被广泛用于信息的存储与传播。然而,移动存储设备不规范的应用,也可能是机密信息外泄的巨大漏洞,移动存储管控模块分类规范移动存储设备的使用,应用权限控制与移动盘加密方便的对移动存储设备进行分类授权,做到“内盘内用、外盘外用”,有效防止信息泄露。另外,通过安全U盘,能够为公司内外的信息拷贝提供更严格的安全保障,防止非法泄密、恶意的数据破坏及病毒感染等。

功能详解
记录移动存储所有详细信息识别曾接入到内网的所有移动存储设备且记录所有详细信息以掌握设备使用情况,按部门划分并分类管理企业内部移动存储设备。
移动存储使用管控事半功倍可以实现对每一个移动存储设备的读写权限单独管控,禁止一切外来移动存储设备在企业内部使用,部门的专用移动盘只能在企业授权的区域内使用。
对存储设备及文档加密对移动存储设备加密,加密的设备只能在内部使用,对复制到存储设备上的文件自动加密,超出授权范围的无法正常使用。
一盘多区内外兼用安全U盘分多个区域,满足企业内外不同场景的防泄密需求;安全U盘无法被非法格式化,保证盘中数据的完整性,以防止被损坏同时留存证据;全面记录安全U盘及盘中文件的操作记录,发现潜在风险。
独特优势
完善安全加密机制能对具体的U盘进行识别和区分,提供写入时加密和整盘加密两种加密方式,让移动存储应用的安全性更有保证。
全面分类库管理允许管理员自定义移动存储分类库,对所有移动存储设备分门别类,设置策略更加方便。
灵活策略制定对不同类型的移动存储设备进行分类管理,可以按用户、部门、特定设备等不同围度对移动存储进行授权。
详细的设备记录全面记录移动存储设备的属性信息与操作记录,及时发现潜在风险。
4) 设备管控

移动存储、蓝牙、智能移动设备、无线网卡等各种计算机外部设备的普及,大大提高了信息交换的效率,但同时也带来了更多的信息泄露渠道。设备管控功能模块,可以对各种计算机外设控制使用,对种类繁多的外部设备还可分别设定应用策略,方便了必要信息交换的同时防止企业机密通过外设被非法查看、拷贝与带出,大大减少信息外泄的隐患。

功能详解
对一切存储设备实施管控管控U盘、移动硬盘、光驱、刻录机等一切移动存储设备的使用,以防信息外泄。
有效的网络通讯设备管理通讯接口、无限网卡、即插即用网卡等网络设备的使用有效管理,以防非法外联。
合理管理音视设备声卡、摄像头等视音设备合理管理,保证人性化管理同时避免听歌、看视频等娱乐影响工作效率。
能够禁止一切新设备禁用一切新增外设,规范企业外设使用。
独特优势
广泛的外设支持细化USB设备,对存储设备、通讯设备、USB设备、网络设备和其他设备都能更精准的进行管控,达到禁止任何新增加的设备。
细分的权限区分对于每一类设备的支持,可以细分到具体类型根据设备描述进行管理,如支持对iphone等便携式设备、3G上网卡以及刻录机等几乎所有外设的控制。
5) 文档打印管控

不受控制的打印操作同样存在信息泄露的可能性。作为文档传播的一种途径,得不到有效监管的打印行为,已经成为客户信息、市场计划、专利技术等机密信息泄露的重要渠道,甚至有不法分子专门在各大公司的打印废料中收集机密信息以谋取利益。文档打印管控功能,有效审计每一次打印操作,完整的记录全部的打印操作行为,甚至是打印内容本身,并且可以灵活的控制打印权限,在防止纸质渠道的信息外泄同时又可以减少非必要的打印行为,为公司节约成本。

功能详解
详细审计打印行为详细记录打印时间、用户、文件名、页数等信息,以防风险。
备份打印内容打印内容以图片形式自动进行备份。
纸质打印件添加浮水印纸质的打印件上自动添加公司标识、打印人姓名等详细信息。
打印权限管理面面俱到对各类打印机的使用权限管控;对高成本打印机的使用权限设置,以减少浪费;如ERP等可进行打印的应用程序进行限制打印,以防泄密。
独特优势
打印浮水印的功能按照客户需要提供打印浮水印的功能。
图片格式直观记录应用先进的打印映像获取技术,记录打印内容,即使是OA、ERP等无文档形式的打印内容也能够记录下来,以图片格式记录的打印内容。
支持多型号打印机支持对本地打印机、网络打印机、共享打印机、虚拟打印机等多种打印机进行管理。
策略生效设置灵活灵活设定打印控制策略的生效时间,如上班时间允许打印,下班以后禁止打印;可以为用户设定单独的离线打印控制策略。
6) 即时通讯管控

QQ、MSN、飞信等即时通讯工具的广泛应用方便用户间即时沟通的同时也暴露了另外一种信息泄露渠道,用户可能在即时沟通中泄露机密信息,或发送包含机密信息的文档;过多的私人聊天,还可能降低用户的工作效率。即时通讯管控功能,完整地记录QQ、MSN等大部分主流即时通讯工具的聊天内容,了解用户的工作状态,备份通过这些工具传送的文档,同时还可以阻止用户经由IM工具外发机密文档,从而有效防止重要文件经由即时通讯工具泄露。

功能详解
详尽记录所有聊天内容详尽记录文字和图片的所有聊天内容。
备份外发文档对外发的文档可进行备份并自主选择备份文档的类型以供审计。
多维度管控图片及文档外发对指定类型或指定的文件夹发送实施管控,以防非法传输;对指定的文件或者超过限定大小的文件不能通过即时通信工具外发;即时通信工具不能外发图片,且自动备份被禁止发送的图片。
指定可登陆账号QQ指定可以登陆的账号,以限制私人QQ滥用,提高工作效率。
独特优势
支持多种即时通讯工具支持限制QQ账号的登陆;支持对文档和图片传输的记录与控制;随着即时通讯工具的升级而不断更新,确保管理有效;支持QQ、SKYPE、MSN、飞信等主流即时通讯工具的审计和管控;记录QQ、SKYPE等内容加密传输即时通讯工具的内容。
审计策略灵活设置可以只记录指定的即时通讯工具,如记录QQ而不记录MSN;可以限定进行即时通讯审计的时间区间,如工作时间审计而休息时间不审计。
7) 邮件管控

几乎所有的企业都利用电子邮件进行必要的内部与外部沟通。显而易见,个人邮箱、邮件服务器中也就包含着大量的机密。如何对邮件往来进行有效的规范,防止机密信息经由电子邮件泄露,是IT管理者面对的重大挑战。邮件管控模块,帮助企业完整记录用户收发的各种类型的邮件的详细内容以供审计,防止重要信息泄露。同时能够通过准确限制邮件收发件人来规范用户的电子邮件使用行为,发现违规行为,控制电子邮件收发,防范电子邮件滥用造成的信息泄露。

功能详解
记录收发邮件所有信息收发邮件的“内容、附件、主题、大小、时间等”所有相关信息,全面完整记录。
邮件收发管控面面俱到可对指定关键字如“收件人、发件人、主题、附件名、邮件大小等”设置管控策略,严控邮件的收发;邮件可指定收件人及抄送人。
独特优势
支持多种格式支持对Lotus邮件、Exchange邮件、普通邮件、网页邮件四种类型邮件的审计。
策略设置灵活可以为邮件控制策略指定生效时间,特别是在离线状态下的邮件应用;能通过限定收发件人、主题、附件名称及大小等,限制电子邮件的发送;发送邮件时,可以实现必须抄送给相应的管理者才能正常发送;可以对邮件附件内容进行自动备份。
8) 网络控制

无边界、防御不足的网络虽然方便了信息的流通但也极容易让企业内部网络的机密信息暴露在互联网中,这可能危害企业的信息安全。网络控制功能,可以控制内部计算机的局域网与互联网通讯权限,监测和控制新计算机的接入,帮助保护重要部门的网络安全,使内部网络免受非法入侵,同时有效防止内网机密信息经由网络泄露。

功能详解
控制内外网的访问设置“端口、IP地址、通信方向等”参数,限制外来计算机非法访问内网/内网计算机非法访问互联网等。
检测非法接入并实时报警自动检测并实时阻断新计算机非法接入,实时发出报警。
独特优势
灵活的控制参数允许按端口、通讯方向、地址范围等参数调整制定计算机的通讯权限;可以控制企业内部每台计算机之间的网络通信。
即时报警与警告在用户有非法网络使用行为时即时报警并进行警告;可精确无误地检测到非法接入的计算机,即时阻断并向管理员报警。
自建网络地址分类库允许管理员自主建立IP、端口库,让策略设定更加方便。
9) 应用程序管控

用户违反IT政策,使用可能含有未知风险的应用程序,或耗费大量时间在与工作无关的炒股、游戏等娱乐应用上,使得现在的IT应用合规性管理面临着重大挑战和风险。应用程序管控功能,帮助管理者清楚了解用户使用了那些应用程序,直观多样的报表辅助制定黑白名单,防范不良程序应用,降低安全风险,提升用户工作效率。

功能详解
统计应用程序使用按照使用时长及百分比等统计应用程序使用TOP10,并图表输出统计结果;按照部门类型、应用类型等对应用程序分类统计;自定义分类应用程序进行统计。
记录应用程序使用情况记录各种程序的启动/退出、标题切换等信息。
灵活管控应用程序指定禁止运行的应用程序;将应用程序分类分治;应用程序分时段可运行,实现人性化。
独特优势
自定义黑白名单自动收集客户端应用程序的特征信息,用户即使将应用程序改名之后管控依然有效;管理者可自行建立和维护独有的应用程序名单,并运用黑白名单机制进行统计和管理。
程序事件统计效果直观直观、清晰的应用程序事件统计,让管理者详细掌握用户的计算机使用行为;用图标的方式战线统计结果,各种数据一目了然,为评估工作效率提供了依据。
分时段人性化管理允许管理者对不同种类的程序进行分时段管理,如工作事件禁止娱乐程序,休息时段则放开,让管理更加人性化。
程序特征值有效管理能根据应用程序特征值的控制方式来限制指定应用程序的使用,而非简单的根据程序名称对应用程序进行控制,即使用户改变程序名称,管理依然有效。
10) 网页浏览管控

员工过多浏览与工作无关的网页,不仅降低了其工作效率,网络上隐藏的病毒、木马、网络钓鱼等安全风险,更有可能使得用户在上网过程中泄露敏感信息。除此之外,用户对色情、反动、暴力等非法网页的浏览,或利用公共网络在互联网上发布不当言论,也会为公司带来法律风险。这让企业时刻面临多种上网行为管理的难题,网页浏览管控,能够帮助IT管理人员建立符合企业安全和管理策略的网站访问黑白名单,审计并规范用户的上网行为,有效降低安全风险的同时,更能提高员工的工作效率。。

功能详解
统计网页浏览情况按照使用时长及百分比等统计访问网站TOP10,并图表输出统计结果;按照部门类型、网站类型等对网页浏览情况进行分类统计;对浏览网页进行自定义分类并统计。
记录网页浏览信息记录浏览网页的标题、网址、时间等详细信息。
网页浏览管控灵活指定允许或不被允许访问的网站;分时段、分类别的控制可访问网站类别,可访问网站的时间段;支持在网址中使用通配符。
独特优势
统计效果直观呈现直观、清晰的网页浏览时间统计,详细掌握用户的上网浏览行为;全面记录用户所访问的所有网页网址、标题、时间,并能够方便查询;用图标的方式展现统计结果,各种数据一目了然。
兼容多种浏览器支持包含Firefox,Chrome等绝大部分的主流浏览器;随主流浏览器的版本升级而持续升级以保证审计的有效性;可控制不同网络地址范围及网站范围内的Http协议和FTP协议的上传。
分时段人性化管理允许管理者自定义工作时间或休息时间,并为不同时间段制定针对性的管理策略,劳逸结合让管理更加人性化。
11) 网络流量管理

在线视频、下载、P2P等多种带宽滥用行为造成拥堵网络使得关键的业务无法正常展开,降低工作效率严重损害了企业在带宽方面的IT投资回报。这也成为IT管理者在带宽管理方面的挑战,网络流量管控功能通过对企业中流量使用情况进行分析,及时发现网络滥用问题并有效的限制各种工作需求之外的流量,合理分配宽带,保证关键业务的正常带宽,让整体网络更加通畅。

功能详解
统计各计算机流量情况对内网各台计算机或计算机组的流量使用情况通过端口、IP地址、流量方向等进行详细统计,并可以输出各计算机流量使用情况详细报表。
各计算机流量合理分配通过端口、IP地址、流量方向等参数限制单台计算机或者计算机组网络流量使用,合理分配流量防占用带宽。
独特优势
多种参数维度统计流量可以根据端口与IP地址等参数统计,计算机的网络流量;可以以图表形式多维度输出统计结果。
兼自建地址库分类允许IT管理员自建网络地址分类库,分类统计和策略区分更加清晰;可以根据端口、IP地址、方向等多种参数分时段限制计算机的网络流量;可以控制企业内部任何一天计算机的网络流量。
12) 屏幕监控

大部分的IT审计产品,只提供文字式的记录或者报表,并不能完全重现用户当时的操作行为。高质量的屏幕监视功能可以完整跟踪截取用户的桌面,实时察看用户的即时桌面并记录屏幕画面,最直观的重现用户的操作行为,甚至可以将屏幕历史导出为视频以供查看,满足部分客户严格的IT审计需求。

功能详解
实时查看当前屏幕实时查看一台或者一组计算机的当前屏幕画面,根据日志记录直接定位到某个时间点查看当时屏幕画面。
记录屏幕画面自由设定记录屏幕画面频率,便于随时查看。
记录特定应用程序屏幕特别指定的应用程序运行时才进行屏幕记录,保护好信息安全同时节省数据量。
根据日志查看当时屏幕信息当在日志审计发现异常时,右键即可查看当时的屏幕信息,直观、生动还原当时情景。
独特优势
可自定义的记录策略采用增量记录、变频、压缩等技术,保证屏幕记录数据量偏小;对特定的程序进行记录,并且支持自定义记录频率;允许自定义屏幕记录的时间间隔。
屏幕记录功能强大支持对多显示器的工作站进行屏幕监控与记录;可对终端服务器的并发多用户进行屏幕记录;可将屏幕历史转换为通用视频格式。
屏幕历史查看灵活直接拖动时间轴进行屏幕历史查看;日志记录查看事件发生时的屏幕;导出为视频格式进行播放查看。
13) 资产管理

企业有哪些IT资产?这些资产位于哪里?变动情况如何?这些问题都困扰着IT管理人员。IT管理者面临着以有限的人力管理海量IT资产的困境。资产管理模块,可以帮助IT管理员自动收集、统计网络中的软硬件IT资产信息,随时监测和查看各种IT资产及其变动情况,输出资产报表,集中地管理IT资产,防止资产流失。另外,IP-guard还提供补丁与漏洞管理工具,方便管理员及时修复最新的漏洞,内置的软件分发功能还能让软件部署更加方便快捷。。

功能详解
IT资产统计自动扫描监测客户端计算机软硬件资产变动情况;自定义查询和统计IT资产;非IT资产自定义管理。
版权管理客户端计算机软件安装情况统计和分类;完整记录软件采购并统计付费软件的授权使用情况。
分发管理补丁扫描检测计算机微软补丁安装情况及早发现威胁;集中下载最新补丁并分发到各计算机进行安装。
软件分发制作软件安装包或脚本分发至各计算机进行集中安装;支持静默安装和断点续传。
独特优势
资产管理覆盖面广泛对软硬件资产及变更情况的自动收集支持并允许自定义非IT资产;可以为某项IT资产添加自定义属性,如“保修期”等无法自动获取的资产属性;可以自定义软硬件统计报表;自动收集网内计算机的补丁,并可集中管理;支持软件分发,可集中部署也可以指定范围部署;支持对打印机、路由器等非IT资产进行自定义管理。
强大的资产查询与报表输出允许按多种参数查询IT资产,实时输出直观易用的报表;允许按自建描述进行查询,如按“购买日期”这一自定义属性进行查询。
非法资产变动实时报警资产管理实时化、可视化;对于任何非法资产变动,均可及时报警并留存记录,有力防止资产流失。
14) 远程控制

不断增加的终端和网络设备,不断出现的各种故障,使得IT管理人员太多的精力浪费在重复的简单运维过程中,无法抽身提升整体的IT系统。远程维护功能为IT管理员提供了在单一控制台上为客户端计算机提供远程技术支持的方便工具可以快速响应系统故障,减轻IT管理员的工作负担的同时保证IT系统更加健康的运行。

功能详解
远程查看信息及控制维护控制台远程实时查看客户端计算机的应用程序、系统服务、磁盘等运行状态信息;控制台远程操控客户端计算机,如结束应用程序等;连接并远程进行操作或示范。
远程互传文件管理机与受控机之间互传文件。
远程管理客户端软件控制台查看客户端计算机软件安装所有信息并可远程卸载。
独特优势
计算机信息查看全面可对客户端计算机的运行状态进行实时查看及维护。包括:运行的应用程序、进程、性能、系统服务等基本信息;为远程故障分析提供更多的线索和依据,及时解决客户端故障。
多种授权方式更安全支持密码授权和弹出授权两种远程授权方式,让远程授权更加安全。
15) 网络准入控制

开放式或半开放式的办公网络环境,让集中了核心数据的内网安全显得危机重重,终端设备接入网络的认证和规范很难得到有效的保障,是信息安全防护中所遇到的难题。网络准入控制系统是一套专业的硬件系统,对访问指定网络的计算机进行严格的审核,防范非法计算机侵入窃取机密。另外还能与普通模块结合使用,避免内网PC脱离管控。

功能详解
阻断外来计算机非法访问只有合规的计算机才能连入指定网络,内网、服务器等,非法访问完全阻断并引导至预先设置隔离区修复。
防止内部PC脱离监管与其它模块联合应用,避免内网PC脱离管控。
独特优势
三种认证形式适应不同企业环境提供授权方式、信任方式、白名单方式三种认证形式,适应企业不同环境。
安装简便低投入高回报极其简单的安装方式,对企业网络环境无额外要求,且无需在核心设备上做复杂配置,为企业节约大量的应用成本,实现高性价比。