参考-unibdp简明指南

UniBDP简明指文档基础参参值创建时最近更新时无密仅限公司，合作伙伴和客技术基《有序规则集合理论和应用《LeagView用户手册《UniBDP安全虚拟磁盘简明指《UniBDP内置库说明《UniBDP数据流转简明指《LeagViewIP防伪技术方案简指南《LeagView业务系统字段策请和流程》《UniBDP：双桌面《网络资源控制策略原理及《UniBDP敏感文件审计策略指南适用的版201310SP.5126及以适用的安全助手名词业务系客户特有的维持其正常运转的IT务器，ERP系统，数据库等，不区CS或BS架构。通常的表现是一个或多个有固定IP或的服提供服业务数客户的敏感文档，敏感数据度的不良联软安略业务数据防系由市联软科技独立自主开发的，拥有完全知识的系统，用来防止客户的业“联软安略业务数据防统安全虚拟磁见《UniBDP安全虚拟磁盘简明指O安全虚拟磁盘的计算环包含处理器，内存，设虚拟计算环通过技术模拟出来的计算环安全计算环个人计算环Windows启动后建立的缺省桌面UniBDP：，被，迫切需要加强保护。在下文中，为了方便陈述，用“客户”来指代UniBDP的目标客户概在客户，业务数据无处不在，非的风险很高，客户急需解决如下问题：业务数据在哪里如何保证业务数据能被正常和流转而又不会如果不慎发生，如何追溯nBDP提供一个完整的解决方案，其思路是：定义业务数据，，生UniBDP能解决以下具体问题员工了办公系统，了保存所有员工职位和号的Excel格式的文件，另存到私人U盘，然后公开到互联网上或IT工程师登录了保存所有的数据库，查询出数万条客户记录，另存为到本地，然后通过传输给他人会导致信息或者丢失当敏感文档被发现出现在互联网上时，无法查出是谁通过什么方式出去的邮件的附件中有某些特别敏感的文档，不抄送给无关人员可能会导致信息员工A拷贝一个敏感文档到U盘准备给员工B使用，不遗失了可能会导致信息需要了解终端电脑上的敏感文档分布概需要了解整体的业务数据风险等级和趋UniBDP的系统架构图如上述架构分析如络区域里面，至少是放在一个的安全性高的VAN里面。总之，准入控制是nBDP的安全基础。能能因没有为安全桌面），在安全桌面中启动的程序都自动的属于安全计算环境，参考《UniBDP：双桌面模式》。安全助手创建一个或多个安全虚拟磁盘（O盘），用于保存和保护从受保护的业务系统上的敏感文档或者终端用户自己创建的敏感文档。参考《UniBDP安全虚拟磁盘简明指南》。图中标示8个受控通道都可以通过策略来控制。控制级别一般有：允许，审计，，。最常见的一种控制组合用示例性的语IE浏览器了受保护的OA系统，查看公文（无法通过剪切板到即时通信工具上，无法打印），文档到本地的O盘里面（无法到其他磁盘），编辑后上传到OA系统（无法上传到其如果换个角度看上述架构，分析如下能数据。合法终端的合法才可以业务系统，其他直接被，合法一旦了业务系统就自动进入受控状态，此后一切敏感业务系统和O盘形成一个保护圈，数据在他们之间可以随意流动，终端电脑普通系统时不受任何控制的数据都在O盘里面，非O盘的数据会被自动移动到OO盘是受管控的数据移动可以。例如从O盘拷贝到U盘由上述架构可以看出，UniBDP的保护对象（即管控对象）是业务系统和O盘。换句话说，客户的敏感数据应当控制在受保护的业务系统和终端的O盘里面。技数据外部和流转控制；文档敏感IP防伪完善、完整、的技术方案，无合多套，无需安装个客户端部署简单，无需改造业务系统，对终端用户也较易保护不仅仅针对文档，还可以保护服务器上的充分应用大数据技术，提供大量管理视终端桌面系统的复杂多样容易导致兼容性问途径的多样和隐蔽性使得安全策略配置较为专客户需要的变化可能导致实施周期延沟跟客户相关进行多次有效沟通，明确用户具体的防需求，作定是否采桌模式，集需要保的业务统确定感（并分类分级，确定数据和外部的流转控制规则和方案。确定基础配置方确定O盘方案（容量，策略等），LVFS案，水印方案，定义确定试点终选择至少3个试点终端，终端的环境要有代表性，特别是环境要能代表客户的整体环境。bS在Web管理页面的“数据防”组下配置O盘方案，定义业务系统，定义和风险，配置数据流转控制列表：在Web管理页面的“全局信息”组下配置员和方案续主动解终端户的使情况，尽发现，问题，适调整策。及时用户的目馈使用况并征意见不放过任何一个可疑点。扩大实，数据流转等。持续续业务系统业务系统是UniBDP护的对象之一，在配置上也是一个基本单元。Web管理页面的“数据防”组下的“业务系统配置”菜单可以新WebaQL区分类型的主要目的是方便数据分析标识一个业务系统最根本IP和端口。也可以把一个网段或者多个IP都定义为一个业务系统。在安全面上便用户接双击。考《P：桌面模式》。业务数据防策要保护指定的业务系统，必须配置业务数据防策略策略的内容主要是：选择业务系统，配置对应的客户端白，配置管控方式和对应的O盘方案和LVFS一情况，策略效果是只能用指的客户指定业能的O，务统软件界面显示数据不通过剪切板到其他为了防数据通过网络扩，业务系统客户端不能连接非指业务系统的IP下面几个图描述了一个常见的策略这个策略解释如ERP系统确定为受保护的业务系统，其IP192.168.1.200，端口是80，是一个典型的Web类型业务系统。指定了“浏览器”可以访的文档，并且可以其文档到本地的“研发部虚拟磁盘”中，的文档都自动上传到“1号服务器”上。可以上传“研发部虚拟制200个字节。从其他程序可以随意数据到“浏览器”的界面。“浏览器”和“文档编辑器”具体定义请参考《UniBDP内置库业务数据分布分级分类UniBDP根据策略扫描指定的文档，根据关键字模板来决定其分类和情况。参考《UniBDP敏感文件审计策略简明指南》。管些数据，显然是非工作需要，就属于。又如，员工正常情况下0于。在UniBDP中对行为的控制一般有审计和两个选项。一般情接，而是加强审计。在管页中与理关面要两：义和行为视图：定义明确了“怎样才算”，行为视图从多个维度展示了整体和的情况，给员工行为管理提供了依据。定义页面选项如下日，表示终端用户如果在周六，周该是休息时间却做了登录业务系统等敏感操作即认定为。这种类型的可以在行为视图行为明细表中查看做统计，如图：如果客户对打印比较敏感，可以指定无打印权限用户列重，在行为视图中展示如：的义全性，些义细到个务统可以在业务系统的定义中配置：在定中，与印有的定义须合“打控制策”才统录审计略”与敏感面高率的有关必须合“上审计策略”。下面2个图示意了行为视图的效果当在一定时间内达到一定次数就变成风险。在UniBDP中可以随时了解当前以及过去一段时间的风险走势即分布在管页中与险理关面要两：险义和风险趋势视图：风险趋势视图示例如下网络通道的，这些数据在后会受到UniBDP的保护，但是在网络传输过程中可能会被抓包通过网络抓包来获取从而导致。抓包抓到的数据一般是很难还原成实际可用的文档，但是毕竟存在风险。这个风险可以通过的专有技术方案解决，参考《LeagViewIP防伪技术方案简明指南》UniBDP的其他必要组件有打印控制，参考《LeagView打印控制策略简明指南》文档流转，参考《UniBDP数据流转简明指南》文档外部流转，参考《UniBDP文档外发控制简明指南业务系统登录审计，参考《LeagView业务系统登录审计策略简文档追踪，参考《LeagView文档追踪策略简明指南》屏幕控制，参考《LeagView屏幕控制策略简明指南，参考《LeagView终端用户违例行为申请和流程UniBDP出改不在上何因保护验，下表是具体的影响：性能影电脑启动时1-5文档读写速5%-网络速不影应用启动速1%-应用运行速1%-终 环境要环支持操作系WindowsWindowsXP（包括64位）Windows2003（包括64位） Windows7（包括64位）Windows8（包括64位）WindowsServer200（64位OfficeOfficeOfficeOffice与其他技术方案对比UniBDP和传统的文档透明加产品技术对比产对比文档透明加产需不需虚拟磁需不需文档保存位集中到O文档是否加文档本身不加密文档本身加密过对O盘和业务系文档的密匙都不的管控来防增大管理难文档结构较为脆小部分的损坏可致整个文档无法是否文档保存在O盘和保如果文档加时处档无法或者被破内存中的敏感数明有保明有保保护Web系统上的数支不支支不支支不支支不支支不支较较不需需要并且是程驱动程序稳熟，微软使用，术老旧，微软不支持全系列Windows较容较是否不可能终端兼容较较O盘为最小权限控制题，权限管理用户的文档使用需要用户的使用基本打印控支基于先进的ACL技支屏幕控支最先支支屏幕审支少部即时通信聊天内支少部文档支少部支不支业务系统字段支不支文档离线使支支文档追网上的Office文档；不支文档流基于先进的ACL权限灵活，能适使用传统的基于组织架构或者用刻的权限要文档外部流权限的pdf格式任意