随着信息技术的飞速发展，计算机和网路已成为日常办公、通讯交流和协作互动的必备工具和途径。但是，信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及信息系统中的计算机终端及伺服器的访问控制提出了安全需求。目前对内外安全的解决方案，还停留在防火墙、入侵检测、网路防病毒等被动防护手段上。在过去的一年中，全球98.2%的计算机用户使用防毒软体，90.7%设有防火墙，75.1%使用反间谍程式软体，但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击，79.5%遭遇过至少一次间谍程式攻击事件。据国家计算机信息安全测评中心数据显示，由于内部重要机密数据通过网路泄露而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄露的比例为1：99. 这是来自于国家计算机信息安全测评中心的一个数据，据调查显示，网际网路接入单位由于内部重要机密通过网路泄密而造成重大损失的事件中，只有1%是被黑客窃取造成的，而97%都是由于内部员工有意或者无意之间泄露而造成的。

目前，数据泄漏的途径可归类为三种：在使用状态下的泄密、在存储状态下的泄密和在传输状态下的泄密。一般企业可通过安装防火墙、防毒软体等方法来阻挡外部的入侵，但是事实上97%的信息泄密事件源于企业内部，所以就以上三种泄密途径分析，信息外泄的根源在于：

1、使用泄漏；1）操作失误导致技术数据泄漏或损坏；2）通过列印、剪下、複製、贴上、另外储存为、重命名等操作泄漏数据。

2、存储泄漏：1） 数据中心、伺服器、资料库的数据被随意下载、共享泄漏；2）离职人员通过随身碟、CD/DVD、移动硬碟随意拷走机密资料；3）移动笔记本被盗、丢失或维修造成数据泄漏。

3、传输泄漏：1）通过email、QQ、MSN等轻易传输机密资料；2）通过网路监听、拦截等方式篡改、伪造传输数据。

以下是DLP数据泄漏防护系统的原理图

通过身份认证和加密控制以及使用日誌的统计对内部档案进行控制。目前，在数据泄漏防护市场里面，国内具备自主智慧财产权的产品生产厂家为数不多，以上参考虹安信息的DLP数据泄漏防护系统。

数据泄漏防护技术（DLP）日渐成为目前市场上最为重要的安全技术之一。企业青睐数据泄漏防护技术来保护所有权数据和满足法规遵从的需要，为想要接触安全市场中最敏感部分的解决方案提供商提供了巨大的商机。数据泄漏防护技术也为安全产品销售商带来了大量机遇。

1. 效劳器加密维护

对效劳器群的维护，由DNetSec来完成。DNetSec由硬体和软体两大部分组成，各种硬体採用高机能的蒐集效劳器，软体为文档安全网关软体。DNetSec对一切上传到效劳器的文档自动中止解密，对一切从效劳器下载文档自动中止加密。

2. 办公蒐集和手艺蒐集文档维护

在办公区域网路和手艺区域网路等内部蒐集中，採用透明加密敌手艺蒐集内的手艺文档、设计图纸、原始码、电路图等中间资料中止自动、强迫、实时加密。採用文档许可权管理对管理部门的办公信件、财务部门的财务数据、发卖部门的客户资料、市场部门的谋划方案等商业机密档案中止许可权节制。经由两种管理体式款式，确保内部蒐集终端安全，防止内部中间信息外泄。

3. 文档外发节制

对企业内部发往出差人员、协作单位等系统外的文档。当外发档案掀开时，需经由用户身份认证，方可阅读档案。同时，外发档案可以限制回收者的阅读次数和运用时分等细粒度的许可权，从而有效防止了客户首要信息被非法扩散。

4. 离线脱机办公管理

在人员出差或其他情况下，需求外带笔记本电脑，经由计谋设定，可以确保对离线笔记本电脑数据的节制。

5. 笔记本电脑管理

对存有首要资料的笔记本电脑，採用磁碟加密。

6. 区域网路连线埠管理和移动设备管理

对区域网路中的一切连线埠和移动设备，对随身碟、移动硬碟、红外、WIFI、蓝牙等输出连线埠中止节制，并能对拷贝到移动存储设备的文档加密。

7. 文档自动备份

文档每次保管后均自动备份到备份效劳器中。文档管理员可经由改动备份的方式和路子，完成备份管理。用户在分开效劳器方式下的文档，也将自动备份到当地硬碟中。经由备份，可有效避免因为各类意外招致的数据损失。

8. 日誌审计

能够看管、跟蹤、记录一切用户的悉数操作，实时查看系统的运用情况，完成最高的系统安全。可以从严重的记录数据中抽取有用的信息，对用户的某些操作中止分类整理，经由操作记录，回溯历史活动，从而发现泄密渠道。经由跟蹤今朝用户操作，能及时发现用户的风险操作，在泄密工作发现前就获得警报，遏止泄密工作的发生髮火。一旦泄密工作发生髮火，经由用户操作记录, 可以第一时分拿出最有力的证据。

安全网关是一款专用于企业数据中心与办公网路有效隔离的嵌入式专用设备。採用链路加密的方式，实现客户端的準入，从档案在企业的使用流程入手，将数据泄露防护与企业现有 OA 系统、档案服务系统、ERP 系统、CRM 系统等企业套用系统完美结合，对通过网关的文档数据进行透明加解密工作，有效解决文档在脱离企业套用系统环境后的安全问题。为企业部署的所有套用系统提供有效的安全保障。

完成安全网关和企业现有套用系统无缝集成，自动完成对经过网关的数据进行强制加解密——上传解密，下载加密；

加密客户端通过网关，正常访问套用系统伺服器；

非涉密客户端计算机，在通过安全网关时，会被安全网关筛选和拒绝，无法通过 网关 访问 OA/PDM 伺服器

a.透明加密

产品特点

b.智慧型自动加密

c.高度的稳定性

d.强大的系统兼容性

e.详尽的日誌审计

四、方案特徵：

1. 优盾DLP的一切功用基于一套无缺、和谐的系统，可以完成的统一管理和计谋联动，在实施、管理、维护、升级等一系列活动中，便当灵活，极大地降低了成本;

2. DLP系统以数据加密为中间，别离了身份认证、日誌审计、文档备份、文档流程审批、外发节制等功用，系统本身具备容灾管理功用，在基于用户需求的基础上，合营各类安全计谋，不只从来源上完成了文档的失密，还有效完成蒐集边境管理，是高效的分域安全架构;

3. 能与各套用平台集成，支撑通用档案把戏如：office系列、PDF、CAD、原始码、电路图等。能与各类特徵平台集成，如各类OA系统，支撑各类认证系统(AD、CA、ED等)。

4. 该系统支撑大用户管理系统，能知足10万点以上大局限端点节制需求，可以完成负载均衡、热备和多级管理方式等;

5. 具有高度的模组化和扩展性，可以根据製造企业展开的需求，扩展其他功用，比如：电子邮件加密，输出内容监控等模组。

优盾文档安全管理软体自动加密版适用于对安全性、统一管理有很高要求的用户。可满足需要对主动泄密与被动泄密进行防护的用户。 优盾智慧型信息防泄漏系统採用透明加解密技术，在完全不改变企业原有工作流程和档案使用习惯的前提下，对企业内部的关键数据档案实行监控和强制加密保护，有效的防止被动和主动泄密。

1.在静态工作站镜像上测试是非常不错的，但数据丢失防护的大多数问题出现在首次DLP数据泄露防护系统的用户。在你推出部署数据丢失防护解决方案的第一个部门确定一些关键用户，根据需要对他们进行培训，并在测试阶段与他们密切合作。通过关键用户的帮助，可以避免非技术业务部门测试中出现的问题，也可避免部署中没有任何用户反馈的情形发生。

2.确保你的目录伺服器是最新和準确的（这实际适用于任何形式的DLP数据泄露防护系统）。大部分组织将他们的数据丢失防护策略设计成根据用户角色套用不同的策略。即使一个计算机组已经映射到一个业务单元或该业务单元中的一个特定用户，在下次更新时可能会破坏该策略。依据用户以及组或者角色要比依据计算机来管理好得多，即使这意味着你首先需要花一些时间对你的目录伺服器进行调整。

3.建立适套用户在你的数DLP数据泄露防护系统。切换一个模式匹配策略，例如正则表达将会增加误报，但会减少对电脑性能的影响。你也可以设定策略切换到监控/警告模式，而不是阻塞模式来进一步减少对用户的影响，虽然安全风险较高。

4.首先关注终端发现和USB保护。在一系列的DLP数据泄露防护系统工具中，发现（查找本地硬碟上的敏感信息）和USB监控/阻塞是最重要的两个功能。帮助跟蹤用户在受认可的企业应用程式之外获取敏感信息，和在本地存储或共享敏感信息的行为也是终端数据丢失防护的重要特徵。一旦启用终端发现，选择增量扫描（如果你的产品提供了该功能）；没有人希望他们的电脑因为每周三午间的防毒扫描而突然停止，而每周四又进行数据丢失防护扫描。

5.慢慢来，逐步推出代理和策略。在完成你的DLP数据泄露防护系统初步测试后，一个组一个组的推出那些策略来确保产品具有良好适用性，这样以来不会给你的事件回响团队造成太大压力。当用户第一次开始使用数据丢失防护时，几乎每一个DLP数据泄露防护系统客户都会出现大量的策略违反报告，直到用户自我训练到可以更好地管理受保护的信息之时这一情况才会得到缓解。。