产品名称：DeviceLock DLP

生产厂商：DeviceLock产品类别：网络管理

企业数据丢失预防和设备控制

DeviceLock在源头阻止数据泄漏

对于现代经济中的任何企业而言，企业IT系统中以数字数据形式使用的信息已成为其增长、可持续性和竞争力的重要无形资产。这些信息包括知识产权，客户数据，公司的财务和商业秘密，客户和员工的PII和PHI，技术“诀窍”，竞争情报以及许多其他类型的有意义的知识。数据在很大程度上是企业IT的“血液”，而血液的流失对于活生物体来说是致命的危险，因此，对于企业环境及其用户数据泄漏的企业而言，数据也是如此。

在当今的高度网络化现实中，保护数据至关重要。在这种情况下，无处不在的移动数据通信、互联网、社交媒体、电子邮件和其他消费者应用程序、以及网络犯罪的商业化，都已大大加重了对IT安全的威胁。由于未经授权访问和传播有价值的公司信息而导致的全球数据泄露大流行，可能因昂贵的诉讼、机构的合规罚款、声誉受损和收入损失而导致严重的财务损失。

大多数数据泄漏事件与“内部人员”（企业内部包括员工，承包商和客户的企业IT系统的正常用户）有关，这尤其危险。主要原因是人的本性–人们会犯偶然的错误，并且可能会疏忽数据处理，而有时却存在实际的故意不当行为。通常，许多人无意间成为了电子邮件或社交媒体网络钓鱼等社会工程攻击的受害者。

为了解决内部数据泄漏的问题，我们开发了DeviceLock DLP —一种软件解决方案，适用于需要简单、负担得起的方法来防止公司Windows和Mac笔记本电脑、台式机以及虚拟Windows会话和应用程序发生数据泄漏的组织。DeviceLockDLP针对使用中的数据，移动中的数据和静态数据实施并有效地协调了一组功能全面的上下文和内容感知控件，这些控件专门用于防止信息从公司端点泄漏。

DeviceLock DLP利用了安装在每台受保护计算机上的轻量级强制执行代理，以及可针对任何规模和类型的公司网络进行调整的中央组策略MMC管理单元。还有传统的中央控制台，可用于管理Mac、非AD LDAP环境和/或Windows工作组。在正常业务流程范围内为用户和应用程序透明运行，DeviceLock Agents可以检测并防止未经授权的数据访问以及在受保护的计算机上进行传输操作。该代理程序的多层检查和拦截引擎可在上下文级别对整个数据泄漏路径进行细粒度控制。为了进一步确保没有敏感数据泄露，可以将内容分析和筛选应用于与可移动介质、打印机和PnP设备以及与连接到Internet应用程序和服务相关的网络协议的端点数据交换。

另外，DeviceLock Discovery Server和DeviceLock Discovery Agents 它们用于扫描和查找静态文档，以查看是否有暴露的敏感内容存储在公司网络内的网络共享、存储系统和Windows终结点计算机上的禁止位置。DeviceLock Discovery提供了一些选项，可以通过自动补救措施来保护这些潜在的数据泄漏，并可以通过将实时警报发送给组织中的SIEM系统和IT安全人员来启动事件管理过程。

凭借DeviceLock DLP，安全管理员可以在公司计算机上传输，接收和存储数据方面，准确地将用户权限与工作职能进行匹配。由此产生的安全计算环境允许所有合法用户的操作不受阻碍地进行，同时阻止任何无意或故意尝试执行超出预设规则的操作。

DeviceLock DLP 解决方案简单，易于操作，并且可以轻松地从小型安装扩展到大型安装，并简化DLP部署和管理，因此通常可由内部Windows管理员使用Microsoft Active Directory的组策略管理控制台或DeviceLock的配套产品来执行。完整的软件包以可承受的价格范围在端点DLP解决方案中提供了前所未有的功能。通过有效地防止端点数据泄漏，DeviceLock DLP帮助组织最大程度地减少相关的信息安全风险并实现对公司数据使用策略、IT安全标准和政府法规的遵守。

具有增量许可的基于功能的模块化解决方案体系结构

DeviceLock DLP设计为独立功能产品的模块化体系结构，具有附加组件，这些组件的功能相互补充，而它们的管理则是统一的，并且可以选择Core之外的模块许可。
因此，这些产品和组件可以以不同的组合方式使用，从而允许DeviceLock客户选择成本最优的解决方案，这些方案只包含满足他们当前安全和/或预算需求所需的那些功能。随着客户的数据保护需求从基本的设备/端口控制核心选项扩展到包含所有内容的端点DLP套件解决方案，这种模块化体系结构使客户能够逐步升级已部署的DeviceLock产品的功能。

完整的DeviceLock端点DLP Suite可防止在受保护的端点计算机上使用它们并在本地移动数据时以及通过网络通信从公司端点传输数据时防止数据泄漏。因此，该套件实现了“使用中的数据”（DIU）和“运动数据”（DIM）预防泄露功能。Suite的基本组件和基本独立产品选项是DeviceLock®Core。它对受保护计算机上的数据访问和本地传输操作实施细粒度上下文控制。这些包括用户对外围设备和端口的访问、文档打印、剪贴板复制/粘贴操作、屏幕截图捕获、媒体格式和弹出操作、文件类型检测访问控制以及与本地连接的移动设备的同步。DeviceLock Core必须包含整个Suite的所有中央管理和管理组件的框架，因此必须在任何Suite安装中使用它，这一点很重要。

Suite的另一个组件称为NetworkLock™是一个可选的附加模块，可以与DeviceLock Core一起使用，以通过上下文控制通过经常有风险的应用程序和协议对受保护计算机的网络通信扩展套件的安全功能。其中包括流行的电子邮件平台、网络邮件、即时通讯程序（IMs），云的文件存储、社交媒体、网络访问、网络搜索引擎、本地网络共享、torrent P2P文件共享以及FTP和Telnet协议。

第三个功能组件– ContentLock™也是DeviceLock Core的可选附件，对受保护计算机上使用或从受保护计算机上传输的文件和其他数据对象执行内容检查和筛选。对于本地访问和传输操作，由DeviceLock Core提供数据对象以对ContentLock进行分析，而NetworkLock提供文件、消息、IM会话、Web表单交互以及从网络通信中提取的其他数据到ContentLock。

EtherSensor™是一个可选的高性能网络事件和消息提取系统，使组织能够实时实现对公司网络流量的全面监视、捕获和分析，目的是重构、过滤和收集传输的应用层数据对象。收集到的消息、元数据和日志可以传递到DeviceLock DLP的中央日志数据库。EtherSensor可以捕获和记录网络事件，以及重构和收集数千个Internet服务的消息和文件，而无需涉及DeviceLock Agents，以便通过电子邮件、网络邮件、社交网络、即时消息、求职服务、博客和论坛来监视内部和外部数据交换。

除这些预防性组件外，还包括一个可选的分析后组件– DeviceLock Search Server (DLSS)它可用于在中央审核日志数据库以及影子日志和文件存储库中执行全文搜索。DLSS旨在使信息安全审核和事件调查过程中的劳动密集型日志分析过程变得更快、更准确。

与DeviceLock Core、NetworkLock、ContentLock绑定在不同的组合，DLSS实现了DeviceLock Endpoint DLP Suite的各种功能子集。

为了防止存储在公司端点和网络共享上的“静态数据”泄漏，称为DeviceLock Discovery（DLDS）的专用内容发现和修复产品会扫描位于公司网络中文件共享和网络连接的存储系统上的文件，如下所示：以及Windows端点计算机。DLDS可以找到具有公开敏感内容的文档，并可以选择通过可配置的自动修复措施来保护它们。这种模块化体系结构以及可选组件的增量许可，使DeviceLock DLP成为适用于各种规模和预算（从中小企业到大型企业）的组织的实用解决方案。

先进的数据丢失防护技术

DeviceLock DLP为客户带来的好处是基于其先进的技术和独特的产品功能。竞争优势DeviceLock DLP技术优势与功能增量许可、独特的可扩展性以及易于学习、部署和维护的优势共同构成了其在竞争中的业务优势:

通过在上下文和内容级别保护更多的终结点数据通道和通信，阻止更多的泄漏情况以及更高的控制质量，DeviceLock Agent具有比其竞争对手更好的DLP控件。

DeviceLock DLP不需要单独的专用管理平台，因为DeviceLock Agents可以通过公司Active Directory中的组策略在本地进行集中部署和完全管理。因此，该解决方案从SMB扩展到大型企业。简单地说，DeviceLock DLP与Active Directory一样可伸缩。

同时，由于与每个系统和安全管理员都熟悉的Microsoft GPMC完全管理界面集成，因此DeviceLock比任何其他DLP解决方案都更易于学习、部署和维护。

但是，由于DeviceLock DLP支持从基本设备控制选项到其完整的内容感知和网络感知DLP套件的增量功能升级，因此，客户在DeviceLock产品上的任何投资都受到完全保护。重要的是要注意，升级不需要重新安装DeviceLock，并且客户的IT基础架构中都无需进行系统或网络修改。该策略推送的DLP模块许可和设置的存在将激活现有端点代理中潜在的必要进程。DeviceLock在国际市场上已有20多年的成功历史，在100多个国家拥有来自敏感行业、国防和政府的客户，是一种久经考验且值得信赖的信息安全产品。

先进技术确保客户利益

DeviceLock内核模式代理通过本地端口强制执行业界最广泛的端点上下文控制集。外围设备，虚拟设备和重定向设备；Windows剪贴板、真实文件类型、Windows打印屏幕功能以及网络应用程序和协议，以防止端点数据泄漏。从技术上讲，“最广泛”的主张意味着，更多的数据泄漏场景将被控制用于本地通道和网络通信，并且控制参数的深度和广度以及它们的可配置选项可以在数据访问和传输场景中得到实施。

DeviceLock Agent是唯一具有内置深度数据包检查（DPI）引擎的端点DLP代理，该引擎可通过大多数网络协议和应用程序对用户通信进行通用，独立于应用程序和Web浏览器的控制。其中包括SMTP，HTTP / HTTPS，WebDAV，FTP（S），Telnet以及基于Torrent的P2P文件共享。NetworkLock使用此DPI技术来检测协议和应用程序类型，而不管它们使用的网络端口是什么。DPI引擎拦截并分解检测到的应用程序的流量，重建它们的会话，并提取它们来执行上下文控制所必需的参数-例如谁的帐户正在传输数据以及正在向谁或向何处传输数据（例如，电子邮件、即时消息、会话、文件、Web表单或博客文章），如何传输数据（例如，使用哪种类型的电子邮件应用程序/协议或IM）以及何时（在工作时间，“下班后”或周末限制）。

可以通过Microsoft ActiveDirectory安装中的组策略在本地部署和完全管理DeviceLock DLP管理，而无需任何单独的DLP管理服务器。实际上，DeviceLock可以使用Active Directory（AD）作为其DLP管理平台，并使用本机AD对象、容器和MMC管理单元友好工具。

除了用于Windows计算机的DLP之外，DeviceLock还开发了用于Macintosh（Mac）计算机的端点代理，该代理支持基本的端口和设备安全控制和审核功能。在DeviceLock Enterprise Server模块独特的帮助下，如果Mac计算机帐户是域绑定的成员，那么还可以通过Microsoft Active Directory中的组策略方便地管理它们，就像在Enterprise Server实例的帮助下管理Windows的DeviceLock Agents一样。此外，适用于Mac的DeviceLock Agent与Apple的FileVault加密功能集成在一起，DeviceLock策略可以允许用户将数据复制到可移动存储中，但前提是该分区是由FileVault验证加密的分区。

对于由DeviceLock控制的大多数即时消息（IM）应用程序，Agent不仅可以检查和过滤外发文件的内容，而且还可以检查和筛选聊天会话消息的内容。Windows的Skype桌面和所有基于Web的Skype客户端（包括在Skype for Business中使用的客户端）均是此类信使的指示性示例。另外，DeviceLock可以根据用户身份或组成员身份来控制进行和接收Skype媒体呼叫的权限。

另一项独特的技术使DeviceLock可以通过TCP，UDP和HTTP / HTTPS协议为任何torrent代理普遍阻止或允许基于Torrent的文件共享通信。DeviceLock还可以完全阻止Tor浏览器通信-不管用来隐藏Tor流量的混淆方法是什么。

与基于服务器的OCR解决方案相比，独特的驻留在本地的DeviceLock光学字符识别（OCR）的主要优点包括它能够防止通过端点上的本地数据通道以及在公司网络和任何周边控制之外使用笔记本电脑时泄露敏感文本数据。

使用DeviceLock，打印机和应用程序独立的内容筛选技术可以防止通过打印通道的数据泄漏，该技术还可以将所有打印文档的卷影副本存储为可搜索的PDF文件，而不管其原始文件格式如何。

DeviceLock DLP具有全面且可扩展的日志记录子系统，具有可选的自动日志收集和传送到中央数据库，内容感知数据影子、取证查看器以及内置的全文搜索功能。另外，DeviceLock Agent可以实时提供首选的SYSLOG或基于SNMP的SEIM系统，以进行报告。

防篡改的DeviceLock Agent可以在可配置的程度上保护自己免受最终用户的恶意攻击，但也可以阻止对本地系统管理员的访问-端点DLP代理的独特功能。

DeviceLock发现阻止数据泄露

DeviceLock发现是DeviceLock DLP的功能组件，使组织能够查看和控制整个IT环境中存储的机密“静态数据”，从而主动防止数据泄露并实现对法规和公司数据安全性要求的遵从性。
通过自动扫描驻留在DeviceLock Discovery Server可以访问的网络共享，存储系统和终结点计算机上的数据，它可以找到包含暴露的敏感内容的文档，提供通过补救措施保护它们的选项，并可以通过向组织中使用的安全信息和事件管理（SIEM）系统实时发出警报来启动事件管理程序。
根据网络拓扑和受保护IT环境的其他特定情况，DeviceLock Discovery可以以多种模式执行扫描：无代理、基于代理和混合扫描。
可以由管理员手动启动DeviceLock发现扫描，也可以将其配置为按日程运行。DeviceLock Discovery Agents可以通过DeviceLock Discovery Server远程安装到目标计算机上并从目标计算机上删除，这是一个对最终用户完全自动和透明的过程。

内容检测

DeviceLock Discovery可以识别和检查内容的三种常规类别：文本数据、二进制文件和各种其他数据/元数据类型。

为了检测结构化和分类的文本内容，DeviceLock Discovery使用“关键字”（单独列出或整个单词短语）和正则表达式（RegExp）模式，可以将其与数字阈值和其他参数组合以在DLP规则中指定触发条件。为了简化指定数据模式的任务，该产品附带数百个预先构建的特定于行业、主题和国家的关键字字典，以及用于常见敏感信息类型(如社会安全号码、信用卡、银行帐户、地址、驾照等)的RegExp模板。此外，客户可以开发自己的关键字字典和模板，也可以根据定制的过滤需求修改预先构建的关键字字典和模板。通过对英语、法语、德语、意大利语、葡萄牙语、俄语、西班牙语和加泰罗尼亚语中的关键字进行形态分析，提高了内容检测的准确性。

为了检测非结构化文本和二进制内容，DeviceLock Discovery使用数据指纹。对象（例如文档）的数据指纹集唯一地标识了整个文档及其内容。通过使用数据指纹进行内容检查，可以可靠地在扫描的文档和文件中检测文本和二进制内容的完整副本或部分内容。除了文本和二进制内容检测之外，DeviceLock Discovery还使用数据指纹技术来检测任何非文本文件的精确副本，例如图像、设计图、多媒体等。为了简化用于内容检查的数据指纹化过程，DeviceLock Discovery支持将公司数据自动分类为预先构建或用户定义的分类级别。当DeviceLock管理员将敏感文件的示例放入其相关分类级别的文件夹中时，将通过处理敏感文档的示例自动填充分类数据指纹的数据库。产品内建有五个基本分类级别，但是客户也可以添加或定义自己的类别。内置类别包括“未分类”，“受限制”，“机密”，“秘密”和“最高机密”，但是客户可以在DLP策略中使用预先构建的分类及其任何自定义分类的组合。

验证的文件类型检测（可识别超过5300种文件类型）是另一种可识别内容的方法，可单独或与文本内容检查结合使用在DeviceLock Discovery中。基于二进制内容签名的方法用于检测已验证的文件类型，而不考虑其扩展名或标头。

除了在基于文本的数据对象中进行内容发现外，内置的光学字符识别（OCR）引擎还允许DeviceLock Discovery从文档和许多图像格式的图形文件中的图片中提取和检查文本数据。凭借可识别的30多种语言，DeviceLock关键字词典和用于提高识别度的正则表达式以及受支持的许多其他高级功能，这个高效的OCR引擎提供了发现和保护信息资产中暴露的机密数据的能力，这些信息资产以图形形式呈现给DeviceLock客户。分布式OCR架构极大地改进了解决方案的整体性能，主要是因为存储在端点上的图形对象可以由驻留代理的OCR模块在本地进行扫描和检查，从而显著降低了Discovery Server上的任何负载，并减少了公司网络中的扫描流量。

补救措施

一旦在错误位置存储的文件中检测到机密内容，便可以执行以下预防措施来纠正此风险：

• 删除
• 安全删除
• 删除容器(如果在容器/归档文件内的文件中发现冲突)
• 设置权限（对于NTFS文件）
• 日志
• 警报
• 通知用户并
• 加密（仅适用于NTFS文件的EFS）

自带设备（BYOD）环境

最重要的是，虚拟DLP为基于台式机和应用程序虚拟化的BYOD解决方案提供的DLP保护通用，适用于所有类型的BYOD设备。这些可以包括移动平台，例如iOS，Android和WindowsRT，带有Windows CE，Windows XP Embedded或Linux的终端客户端，以及运行OS X，Linux或Windows的任何计算机。在任何虚拟化平台上针对其BYOD策略进行标准化的组织都将从部署DeviceLock端点DLP套件中受益匪浅，因为它是为任何类型的BYOD设备实施全面的端点DLP服务的有效、直接且最经济的方式。