一种客户信息防泄密系统及方法技术方案

本发明专利技术公开一种客户信息防泄密系统及方法，将中心管理模块、网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块共7大模块联合部署，通过中心管理模块的管理应用进行实施。该客户信息防泄密系统支持多种协议，支持最广泛的数据存储库，终端覆盖技术多种多样，支撑相似度匹配，可以将来自所有模块的信息组合到用户界面的一个页面上，客户口可以依据需要自由进行等级配置布署，使用简单方便。

【技术实现步骤摘要】
一种客户信息防泄密系统及方法
本专利技术涉及防泄密领域技术，尤其是指一种客户信息防泄密系统及方法。
技术介绍
对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中，大部分情况下都是员工在无意中泄露出去的，但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员，可能有意或无意地通过无线网络泄漏公司机密信息。与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。
技术实现思路
有鉴于此，本专利技术针对现有技术存在之缺失，其主要目的是提供一种客户信息防泄密系统及方法，适合在整个企业部署，实现牢固的机密数据保护。为实现上述目的，本专利技术采用如下之技术方案：一种客户信息防泄密系统，包括中心管理模块、分别与中心管理模块相连接的网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块，各模块联合部署，通过中心管理模块的管理应用进行实施；所述中心管理模块是其它模块的中心管理应用，用于自动实施企业的数据安全策略，在中心管理模块，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理；中心管理模块用通用的策略和报告来统一各模块的套件；单个数据丢失策略可以部署在所有模块上，报告中包含统一的仪表板，可以将来自所有模块的信息组合到用户界面的一个页面上；所述网络监视模块安装在网络出口处，负责监视网络数据；涉及的协议包括电子邮件SMTP协议、webHTTP协议、即时消息IM协议、文件传输FTP协议和通过任何端口的所有其它TCP会话；所述网络保护模块安装在网络出口处，负责监视并拦截/修改网络数据，涉及的协议包括电子邮件SMTP协议、webHTTP协议和安全webHTTP/HTTPS协议以及文件传输FTP协议；所述端点防范模块安装在员工的笔记本和台式机上，负责监视下载到内部硬盘驱动器上的数据，同时监视和拦截复制到USB设备、iPod和CD/DVD的数据；所述端点发现模块安装在员工的笔记本和台式机上，负责扫描内部硬盘驱动器上的保密数据，以便可以采取措施来存储、保护或重新定位这些数据；所述网络发现模块通常位在数据中心，负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据；所述网络防范模块通常位在数据中心，它会自动重新定位、复制或隔离泄露的保密数据。一种客户信息防泄密方法，基于权利要求1所述客户信息防泄密系统，按以下步骤进行1)先建立机密信息样本库：通过建立机密信息样本库的方式自动化地定义企业的机密信息；2)制定监视和防护策略：中心管理模块提供一种集中用户界面，用户可以从中快速方便地构建可以在其它模块中应用的数据丢失策略；每种策略都是检测规则和响应规则的组合；当违反一种或多种检测规则时，将生成事故；另外，经过指纹识别的数据配置文件在特定的策略外部定义，这使得可以在多个策略中引用经指纹识别的内容；3)部署监视防护策略，检测敏感数据：在中心管理模块中创建或更新了精确数据匹配或索引文件匹配指纹和策略后，它们被立即推送到所有其它适当的系统服务器那里，包括但不仅限于端点防范模块和网络防范模块的服务器；它们将留在这些服务器的物理内存中，以进行快速处理；然后，执行检测的服务器将扫描入局消息或文件、提取破解的内容、对此数据应用散列算法，然后将此散列数据与该服务器的RAM中包含的检测规则进行比较；最后，所有系统服务器产品在所有检测技术中均以相同的方式执行检测；如果识别到敏感数据且生成了事故，系统服务器将自动执行某些自动响应，包括拦截/修改数据发生送或复制/重新定位文件。本专利技术与现有技术相比具有明显的优点和有益效果，具体而言，由上述技术方案可知，将中心管理模块、网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块共7大模块联合部署，通过中心管理模块的管理应用进行实施。该客户信息防泄密系统支持多种协议，支持最广泛的数据存储库，终端覆盖技术多种多样，支撑相似度匹配，可以将来自所有模块的信息组合到用户界面的一个页面上，客户口可以依据需要自由进行等级配置布署，使用简单方便。为更清楚地阐述本专利技术的结构特征和功效，下面结合附图与具体实施例来对本专利技术进行详细说明。附图说明图1是本专利技术之实施例的系统结构框图。附图标识说明：1、中心管理模块2、网络发现模块3、网络防范模块4、端点发现模块5、端点防范模块6、网络监视模块7、网络保护模块。具体实施方式请参照图1所示，其显示出了本专利技术之较佳实施例的具体结构，是一种客户信息防泄密系统，包括中心管理模块1、分别与中心管理模块1相连接的网络发现模块2、网络防范模块3、端点发现模块4、端点防范模块5、网络监视模块6、网络保护模块7，各模块联合部署，通过中心管理模块1的管理应用进行实施。其中，所述中心管理模块1是其它模块的中心管理应用，用于自动实施企业的数据安全策略，在中心管理模块1，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理；中心管理模块1用通用的策略和报告来统一各模块的套件；单个数据丢失策略可以部署在所有模块上，报告中包含统一的仪表板，可以将来自所有模块的信息组合到用户界面的一个页面上。所述网络监视模块6安装在网络出口处，负责监视网络数据。其涉及的协议包括电子邮件SMTP协议、webHTTP协议、即时消息IM协议、文件传输FTP协议和通过任何端口的所有其它TCP会话。工作时，网络监视模块6被动检查网络流量并针对所有的网络协议和内容类型，在保密信息离开网络之前对其进行检测，使企业能够限定和量化数据丢失风险。例如，网络监视模块6可以检测使用IM或公共web邮件提供商的员工向竞争对手发送产品计划和其工作的保密样本。它还可以识别中断的业务流程，该流程导致将社保编号未经加密发送到可靠的合作伙伴。网络监视模块6的基本操作非常简单。它位于网络出口处，分析网络信息包的副本，检测数据是否违反策略。网络监视模块6还可以监视加密的使用和类型，包括检测未经授权使用加密和验证是否遵守了加密策略。网络监视模块6通常由客户配置，检查最有可能丢失保密数据的流量。在典型数据中心中，有大量低威胁流量(如UDP或安全VPN流量)以及与高威胁流量(如SMTP、HTTP、FRP和IM)纠缠在一起的入站流量。在标准部署中，网络监视模块6被配置为过滤出低威胁流量，以确保不会花费CPU周期来处理低风险数据。可以免于分析的数据包括：加密的流量、流媒体或低风险自动管理业务(如IM持续连接)等。所述网络保护模块7安装在网络出口处，负责监视并拦截/修改网络数据。其涉及本文档来自技高网...

【技术保护点】
1.一种客户信息防泄密系统，其特征在于：包括中心管理模块、分别与中心管理模块相连接的网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块，各模块联合部署，通过中心管理模块的管理应用进行实施；所述中心管理模块是其它模块的中心管理应用，用于自动实施企业的数据安全策略，在中心管理模块，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理；中心管理模块用通用的策略和报告来统一各模块的套件；单个数据丢失策略可以部署在所有模块上，报告中包含统一的仪表板，可以将来自所有模块的信息组合到用户界面的一个页面上；所述网络监视模块安装在网络出口处，负责监视网络数据；所述网络保护模块安装在网络出口处，负责监视并拦截/修改网络数据；所述端点防范模块安装在员工的笔记本和台式机上，负责监视下载到内部硬盘驱动器上的数据，同时监视和拦截复制到USB设备、iPod和CD/DVD的数据；所述端点发现模块安装在员工的笔记本和台式机上，负责扫描内部硬盘驱动器上的保密数据，以便可以采取措施来存储、保护或重新定位这些数据；所述网络发现模块通常位在数据中心，负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据；所述网络防范模块通常位在数据中心，它会自动重新定位、复制或隔离泄露的保密数据。...

【技术特征摘要】
1.一种客户信息防泄密系统，其特征在于：包括中心管理模块、分别与中心管理模块相连接的网络发现模块、网络防范模块、端点发现模块、端点防范模块、网络监视模块、网络保护模块，各模块联合部署，通过中心管理模块的管理应用进行实施；所述中心管理模块是其它模块的中心管理应用，用于自动实施企业的数据安全策略，在中心管理模块，数据丢失策略被创建，以自动检测和保护敏感数据，执行事故工作流和纠正措施，生成报告并配置基于角色的接入和系统管理；中心管理模块用通用的策略和报告来统一各模块的套件；单个数据丢失策略可以部署在所有模块上，报告中包含统一的仪表板，可以将来自所有模块的信息组合到用户界面的一个页面上；所述网络监视模块安装在网络出口处，负责监视网络数据；所述网络保护模块安装在网络出口处，负责监视并拦截/修改网络数据；所述端点防范模块安装在员工的笔记本和台式机上，负责监视下载到内部硬盘驱动器上的数据，同时监视和拦截复制到USB设备、iPod和CD/DVD的数据；所述端点发现模块安装在员工的笔记本和台式机上，负责扫描内部硬盘驱动器上的保密数据，以便可以采取措施来存储、保护或重新定位这些数据；所述网络发现模块通常位在数据中心，负责发现文件服务器、数据库、协作平台、web站点、台式机、笔记本和其它数据存储库上泄露或停留的敏感数据；所述网络防范模块通常位在数据中心，它会自动重新定位、复制或隔离泄露的保密数据。2.一种客户信息防泄密方法，基于权利要求1所述客户信息防泄密系统，其特征在于：1)先建立机密信息样本库：通过建立机密信息样本库的方式自动化地定义企业的机密信息；2)制定监视和防护策略：中心管理模块提供一种集中用户界面，用户可以从中快速方便地构建可以在其它模块中应用的数据丢失策略；每种策略都是检测规则和响应规则的组合；当违反一种或多种检测规则时，将生成事故；另外，经过指纹识别的数据配置文件在特定的策略外部定义，这使得可以在多个策略中引用经指纹识别的内容；3)部署监视防护策略，检测敏感数据：在中心管理模块中创建或更新了精确数据匹配或索引文件匹配指纹和策略后，它们被立即推送到所有其它适当的系统服务器那里，包括但不仅限于端点防范模块和网络防范模块的服务器；它们将留在这些服务器的物理内存中，以进行快速处理；然后，执行检测的服务器将扫描入局消息或文件、提取破解的内容、对此数据应用散列算法，然后将此散列数据与该服务器的RAM中包含的检测规则进行比较；最后，所有系统服务器产品在所有检测技术中均以相同的方式执行检测，如果识别...

【专利技术属性】
技术研发人员：王勇，
申请(专利权)人：广东粤迪厚创科技发展有限公司，东莞华南设计创新院，
类型：发明
国别省市：广东,44