參考-unibdp簡(jiǎn)明指南

UniBDP簡(jiǎn)明指文檔基礎(chǔ)參參值創(chuàng)建時(shí)最近更新時(shí)無(wú)密僅限公司，合作伙伴和客技術(shù)基《有序規(guī)則集合理論和應(yīng)用《LeagView用戶手冊(cè)《UniBDP安全虛擬磁盤簡(jiǎn)明指《UniBDP內(nèi)置庫(kù)說(shuō)明《UniBDP數(shù)據(jù)流轉(zhuǎn)簡(jiǎn)明指《LeagViewIP防偽技術(shù)方案簡(jiǎn)指南《LeagView業(yè)務(wù)系統(tǒng)字段策請(qǐng)和流程》《UniBDP：雙桌面《網(wǎng)絡(luò)資源控制策略原理及《UniBDP敏感文件審計(jì)策略指南適用的版201310SP.5126及以適用的安全助手名詞業(yè)務(wù)系客戶特有的維持其正常運(yùn)轉(zhuǎn)的IT務(wù)器，ERP系統(tǒng)，數(shù)據(jù)庫(kù)等，不區(qū)CS或BS架構(gòu)。通常的表現(xiàn)是一個(gè)或多個(gè)有固定IP或的服提供服業(yè)務(wù)數(shù)客戶的敏感文檔，敏感數(shù)據(jù)度的不良聯(lián)軟安略業(yè)務(wù)數(shù)據(jù)防系由市聯(lián)軟科技獨(dú)立自主開(kāi)發(fā)的，擁有完全知識(shí)的系統(tǒng)，用來(lái)防止客戶的業(yè)“聯(lián)軟安略業(yè)務(wù)數(shù)據(jù)防統(tǒng)安全虛擬磁見(jiàn)《UniBDP安全虛擬磁盤簡(jiǎn)明指O安全虛擬磁盤的計(jì)算環(huán)包含處理器，內(nèi)存，設(shè)虛擬計(jì)算環(huán)通過(guò)技術(shù)模擬出來(lái)的計(jì)算環(huán)安全計(jì)算環(huán)個(gè)人計(jì)算環(huán)Windows啟動(dòng)后建立的缺省桌面UniBDP：，被，迫切需要加強(qiáng)保護(hù)。在下文中，為了方便陳述，用“客戶”來(lái)指代UniBDP的目標(biāo)客戶概在客戶，業(yè)務(wù)數(shù)據(jù)無(wú)處不在，非的風(fēng)險(xiǎn)很高，客戶急需解決如下問(wèn)題：業(yè)務(wù)數(shù)據(jù)在哪里如何保證業(yè)務(wù)數(shù)據(jù)能被正常和流轉(zhuǎn)而又不會(huì)如果不慎發(fā)生，如何追溯nBDP提供一個(gè)完整的解決方案，其思路是：定義業(yè)務(wù)數(shù)據(jù)，，生UniBDP能解決以下具體問(wèn)題員工了辦公系統(tǒng)，了保存所有員工職位和號(hào)的Excel格式的文件，另存到私人U盤，然后公開(kāi)到互聯(lián)網(wǎng)上或IT工程師登錄了保存所有的數(shù)據(jù)庫(kù)，查詢出數(shù)萬(wàn)條客戶記錄，另存為到本地，然后通過(guò)傳輸給他人會(huì)導(dǎo)致信息或者丟失當(dāng)敏感文檔被發(fā)現(xiàn)出現(xiàn)在互聯(lián)網(wǎng)上時(shí)，無(wú)法查出是誰(shuí)通過(guò)什么方式出去的郵件的附件中有某些特別敏感的文檔，不抄送給無(wú)關(guān)人員可能會(huì)導(dǎo)致信息員工A拷貝一個(gè)敏感文檔到U盤準(zhǔn)備給員工B使用，不遺失了可能會(huì)導(dǎo)致信息需要了解終端電腦上的敏感文檔分布概需要了解整體的業(yè)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)和趨UniBDP的系統(tǒng)架構(gòu)圖如上述架構(gòu)分析如絡(luò)區(qū)域里面，至少是放在一個(gè)的安全性高的VAN里面?？傊瑴?zhǔn)入控制是nBDP的安全基礎(chǔ)。能能因沒(méi)有為安全桌面），在安全桌面中啟動(dòng)的程序都自動(dòng)的屬于安全計(jì)算環(huán)境，參考《UniBDP：雙桌面模式》。安全助手創(chuàng)建一個(gè)或多個(gè)安全虛擬磁盤（O盤），用于保存和保護(hù)從受保護(hù)的業(yè)務(wù)系統(tǒng)上的敏感文檔或者終端用戶自己創(chuàng)建的敏感文檔。參考《UniBDP安全虛擬磁盤簡(jiǎn)明指南》。圖中標(biāo)示8個(gè)受控通道都可以通過(guò)策略來(lái)控制?？刂萍?jí)別一般有：允許，審計(jì)，，。最常見(jiàn)的一種控制組合用示例性的語(yǔ)IE瀏覽器了受保護(hù)的OA系統(tǒng)，查看公文（無(wú)法通過(guò)剪切板到即時(shí)通信工具上，無(wú)法打?。?，文檔到本地的O盤里面（無(wú)法到其他磁盤），編輯后上傳到OA系統(tǒng)（無(wú)法上傳到其如果換個(gè)角度看上述架構(gòu)，分析如下能數(shù)據(jù)。合法終端的合法才可以業(yè)務(wù)系統(tǒng)，其他直接被，合法一旦了業(yè)務(wù)系統(tǒng)就自動(dòng)進(jìn)入受控狀態(tài)，此后一切敏感業(yè)務(wù)系統(tǒng)和O盤形成一個(gè)保護(hù)圈，數(shù)據(jù)在他們之間可以隨意流動(dòng)，終端電腦普通系統(tǒng)時(shí)不受任何控制的數(shù)據(jù)都在O盤里面，非O盤的數(shù)據(jù)會(huì)被自動(dòng)移動(dòng)到OO盤是受管控的數(shù)據(jù)移動(dòng)可以。例如從O盤拷貝到U盤由上述架構(gòu)可以看出，UniBDP的保護(hù)對(duì)象（即管控對(duì)象）是業(yè)務(wù)系統(tǒng)和O盤。換句話說(shuō)，客戶的敏感數(shù)據(jù)應(yīng)當(dāng)控制在受保護(hù)的業(yè)務(wù)系統(tǒng)和終端的O盤里面。技數(shù)據(jù)外部和流轉(zhuǎn)控制；文檔敏感IP防偽完善、完整、的技術(shù)方案，無(wú)合多套，無(wú)需安裝個(gè)客戶端部署簡(jiǎn)單，無(wú)需改造業(yè)務(wù)系統(tǒng)，對(duì)終端用戶也較易保護(hù)不僅僅針對(duì)文檔，還可以保護(hù)服務(wù)器上的充分應(yīng)用大數(shù)據(jù)技術(shù)，提供大量管理視終端桌面系統(tǒng)的復(fù)雜多樣容易導(dǎo)致兼容性問(wèn)途徑的多樣和隱蔽性使得安全策略配置較為?？蛻粜枰淖兓赡軐?dǎo)致實(shí)施周期延溝跟客戶相關(guān)進(jìn)行多次有效溝通，明確用戶具體的防需求，作定是否采桌模式，集需要保的業(yè)務(wù)統(tǒng)確定感（并分類分級(jí)，確定數(shù)據(jù)和外部的流轉(zhuǎn)控制規(guī)則和方案。確定基礎(chǔ)配置方確定O盤方案（容量，策略等），LVFS案，水印方案，定義確定試點(diǎn)終選擇至少3個(gè)試點(diǎn)終端，終端的環(huán)境要有代表性，特別是環(huán)境要能代表客戶的整體環(huán)境。bS在Web管理頁(yè)面的“數(shù)據(jù)防”組下配置O盤方案，定義業(yè)務(wù)系統(tǒng)，定義和風(fēng)險(xiǎn)，配置數(shù)據(jù)流轉(zhuǎn)控制列表：在Web管理頁(yè)面的“全局信息”組下配置員和方案續(xù)主動(dòng)解終端戶的使情況，盡發(fā)現(xiàn)，問(wèn)題，適調(diào)整策。及時(shí)用戶的目饋使用況并征意見(jiàn)不放過(guò)任何一個(gè)可疑點(diǎn)。擴(kuò)大實(shí)，數(shù)據(jù)流轉(zhuǎn)等。持續(xù)續(xù)業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)是UniBDP護(hù)的對(duì)象之一，在配置上也是一個(gè)基本單元。Web管理頁(yè)面的“數(shù)據(jù)防”組下的“業(yè)務(wù)系統(tǒng)配置”菜單可以新WebaQL區(qū)分類型的主要目的是方便數(shù)據(jù)分析標(biāo)識(shí)一個(gè)業(yè)務(wù)系統(tǒng)最根本IP和端口。也可以把一個(gè)網(wǎng)段或者多個(gè)IP都定義為一個(gè)業(yè)務(wù)系統(tǒng)。在安全面上便用戶接雙擊?？肌禤：桌面模式》。業(yè)務(wù)數(shù)據(jù)防策要保護(hù)指定的業(yè)務(wù)系統(tǒng)，必須配置業(yè)務(wù)數(shù)據(jù)防策略策略的內(nèi)容主要是：選擇業(yè)務(wù)系統(tǒng)，配置對(duì)應(yīng)的客戶端白，配置管控方式和對(duì)應(yīng)的O盤方案和LVFS一情況，策略效果是只能用指的客戶指定業(yè)能的O，務(wù)統(tǒng)軟件界面顯示數(shù)據(jù)不通過(guò)剪切板到其他為了防數(shù)據(jù)通過(guò)網(wǎng)絡(luò)擴(kuò)，業(yè)務(wù)系統(tǒng)客戶端不能連接非指業(yè)務(wù)系統(tǒng)的IP下面幾個(gè)圖描述了一個(gè)常見(jiàn)的策略這個(gè)策略解釋如ERP系統(tǒng)確定為受保護(hù)的業(yè)務(wù)系統(tǒng)，其IP192.168.1.200，端口是80，是一個(gè)典型的Web類型業(yè)務(wù)系統(tǒng)。指定了“瀏覽器”可以訪的文檔，并且可以其文檔到本地的“研發(fā)部虛擬磁盤”中，的文檔都自動(dòng)上傳到“1號(hào)服務(wù)器”上。可以上傳“研發(fā)部虛擬制200個(gè)字節(jié)。從其他程序可以隨意數(shù)據(jù)到“瀏覽器”的界面。“瀏覽器”和“文檔編輯器”具體定義請(qǐng)參考《UniBDP內(nèi)置庫(kù)業(yè)務(wù)數(shù)據(jù)分布分級(jí)分類UniBDP根據(jù)策略掃描指定的文檔，根據(jù)關(guān)鍵字模板來(lái)決定其分類和情況。參考《UniBDP敏感文件審計(jì)策略簡(jiǎn)明指南》。管些數(shù)據(jù)，顯然是非工作需要，就屬于。又如，員工正常情況下0于。在UniBDP中對(duì)行為的控制一般有審計(jì)和兩個(gè)選項(xiàng)。一般情接，而是加強(qiáng)審計(jì)。在管頁(yè)中與理關(guān)面要兩：義和行為視圖：定義明確了“怎樣才算”，行為視圖從多個(gè)維度展示了整體和的情況，給員工行為管理提供了依據(jù)。定義頁(yè)面選項(xiàng)如下日，表示終端用戶如果在周六，周該是休息時(shí)間卻做了登錄業(yè)務(wù)系統(tǒng)等敏感操作即認(rèn)定為。這種類型的可以在行為視圖行為明細(xì)表中查看做統(tǒng)計(jì)，如圖：如果客戶對(duì)打印比較敏感，可以指定無(wú)打印權(quán)限用戶列重，在行為視圖中展示如：的義全性，些義細(xì)到個(gè)務(wù)統(tǒng)可以在業(yè)務(wù)系統(tǒng)的定義中配置：在定中，與印有的定義須合“打控制策”才統(tǒng)錄審計(jì)略”與敏感面高率的有關(guān)必須合“上審計(jì)策略”。下面2個(gè)圖示意了行為視圖的效果當(dāng)在一定時(shí)間內(nèi)達(dá)到一定次數(shù)就變成風(fēng)險(xiǎn)。在UniBDP中可以隨時(shí)了解當(dāng)前以及過(guò)去一段時(shí)間的風(fēng)險(xiǎn)走勢(shì)即分布在管頁(yè)中與險(xiǎn)理關(guān)面要兩：險(xiǎn)義和風(fēng)險(xiǎn)趨勢(shì)視圖：風(fēng)險(xiǎn)趨勢(shì)視圖示例如下網(wǎng)絡(luò)通道的，這些數(shù)據(jù)在后會(huì)受到UniBDP的保護(hù)，但是在網(wǎng)絡(luò)傳輸過(guò)程中可能會(huì)被抓包通過(guò)網(wǎng)絡(luò)抓包來(lái)獲取從而導(dǎo)致。抓包抓到的數(shù)據(jù)一般是很難還原成實(shí)際可用的文檔，但是畢竟存在風(fēng)險(xiǎn)。這個(gè)風(fēng)險(xiǎn)可以通過(guò)的專有技術(shù)方案解決，參考《LeagViewIP防偽技術(shù)方案簡(jiǎn)明指南》UniBDP的其他必要組件有打印控制，參考《LeagView打印控制策略簡(jiǎn)明指南》文檔流轉(zhuǎn)，參考《UniBDP數(shù)據(jù)流轉(zhuǎn)簡(jiǎn)明指南》文檔外部流轉(zhuǎn)，參考《UniBDP文檔外發(fā)控制簡(jiǎn)明指南業(yè)務(wù)系統(tǒng)登錄審計(jì)，參考《LeagView業(yè)務(wù)系統(tǒng)登錄審計(jì)策略簡(jiǎn)文檔追蹤，參考《LeagView文檔追蹤策略簡(jiǎn)明指南》屏幕控制，參考《LeagView屏幕控制策略簡(jiǎn)明指南，參考《LeagView終端用戶違例行為申請(qǐng)和流程UniBDP出改不在上何因保護(hù)驗(yàn)，下表是具體的影響：性能影電腦啟動(dòng)時(shí)1-5文檔讀寫速5%-網(wǎng)絡(luò)速不影應(yīng)用啟動(dòng)速1%-應(yīng)用運(yùn)行速1%-終 環(huán)境要環(huán)支持操作系WindowsWindowsXP（包括64位）Windows2003（包括64位） Windows7（包括64位）Windows8（包括64位）WindowsServer200（64位OfficeOfficeOfficeOffice與其他技術(shù)方案對(duì)比UniBDP和傳統(tǒng)的文檔透明加產(chǎn)品技術(shù)對(duì)比產(chǎn)對(duì)比文檔透明加產(chǎn)需不需虛擬磁需不需文檔保存位集中到O文檔是否加文檔本身不加密文檔本身加密過(guò)對(duì)O盤和業(yè)務(wù)系文檔的密匙都不的管控來(lái)防增大管理難文檔結(jié)構(gòu)較為脆小部分的損壞可致整個(gè)文檔無(wú)法是否文檔保存在O盤和保如果文檔加時(shí)處檔無(wú)法或者被破內(nèi)存中的敏感數(shù)明有保明有保保護(hù)Web系統(tǒng)上的數(shù)支不支支不支支不支支不支支不支較較不需需要并且是程驅(qū)動(dòng)程序穩(wěn)熟，微軟使用，術(shù)老舊，微軟不支持全系列Windows較容較是否不可能終端兼容較較O盤為最小權(quán)限控制題，權(quán)限管理用戶的文檔使用需要用戶的使用基本打印控支基于先進(jìn)的ACL技支屏幕控支最先支支屏幕審支少部即時(shí)通信聊天內(nèi)支少部文檔支少部支不支業(yè)務(wù)系統(tǒng)字段支不支文檔離線使支支文檔追網(wǎng)上的Office文檔；不支文檔流基于先進(jìn)的ACL權(quán)限靈活，能適使用傳統(tǒng)的基于組織架構(gòu)或者用刻的權(quán)限要文檔外部流權(quán)限的pdf格式任意