源数据

源数据管理用于终端防泄漏产品,与策略中心-防泄漏策略管理联动使用。包含数据标识符、数据库指纹、文档指纹、数据字典、文档类型和语义模型。

  1. 数据标识符 (DataIdentifier)通过预置大量常用的正则表达式以及相应的校验脚本,可以大大加快DLP的部署;
  2. 数据库指纹 比对 (也称精确数据比对,Exact Data Matching, EDM)
  3. 文档指纹 比对 (Indexed Document Matching, IDM) 1.数据字典 是关键字的一种组合形式,数据字典内置了很多已知的关键字及权重,DLP引擎可以通过对多个关键字的检测和权重计算,判断出待检测内容是否包含特定敏感信息; 1.文档类型 检测主要是对文档的类型,文档的类型的检测是基于文件格式进行检测,不是简单的基于后缀名检测,对于修改后缀名的场景,文件类型检测可以准确的检测出被检测文件的类型,目前支持多种标准文件类型,并且可以通过自定义特征,去识别特定文件格式的文档; 1.语义模型 (Semantic Model,SM) 对文档集进行聚类分类后来检测目标文档和语义模型的相似度,来判断目标文件是否和聚类中的分类匹配,达到按照分类进行对文档的检测。
  4. EDM 通常用于保护结构化数据,例如客户或员工的数据库记录。IDM和SM 用于保护非结构化的数据,例如 Microsoft Word 或 PowerPoint 文档。对于 EDM、IDM、SM 而言,敏感数据会先由企业标识出来,然后再由DLP工具提取特征,以进行精准的持续检测。

匹配条件计算匹配项

匹配条件:

  • 检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之,不存在。
  • 计算所有匹配项:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(包括重复的次数),即匹配命中。
    对所有唯一匹配项进行计数:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。
  • 计算所有匹配项且权重阈值达到[]时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
  • 匹配位置:选择内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾选。

  • 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。

  • 检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之。

  • 计算所有匹配项:文档中的关键字或关键字对,出现设置的所有次数(包括重复的次数)满足设置的匹配数,即匹配命中。
  • 对所有唯一匹配项进行计数:文档中的关键字或关键字对,出现设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。 计算所有匹配项并仅报告至少有多少个匹配项的事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,满足设置的个数为匹配项,否则未匹配上。
    匹配位置:根据内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾上。
    同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。

全透明、半透明、普通密文、授权文件、安全域、密级

这些概念在各种应用场景下的分析:

  1. 全透明模式 + 普通密文:在此模式下,权限是通过安全域来隔离的,权限在用户安全策略里根据文档的安全域定义
  2. 全透明模式 + 普通密文 + 授权文件,在此模式下,权限首先和1 一致,对于无法通过1来解决的情形,用户可以通过制作授权文件来解决,一旦做成一个授权文件,其权限管控和安全域独立了(安全域仍然保存在文件内,主要是还原为普通密文时使用),授权文件的初始权限由制作者对此普通密文的权限决定
    1. 在这个模式下,还有一个case,就是某些用户是半透明的,这个时候,用户应该对其要制作的原始文件(明文)具有的权限,按照作者所属安全域权限来给与明文只读、编辑权限,内容复制、打印权限仍然来源于所属安全策略,我们通过为这类用户创建一个特定的安全域和策略,在此策略中,来解决制作授权文件时明文的初始权限问题
  3. 半透明模式 + 授权文件,在此模式下,明文编辑保存还是明文,密文(授权文件)编辑保存后还是密文,用户可以通过制作授权文件来进行权限管控,这个时候授权文件的初始权限由用户本身的安全域对应的权限决定,我们可以理解为,用户先把这个文件编辑保存为一个普通密文(其安全域为当前用户的安全域),然后再把这个普通密文制作为授权文件。
    1. 和2.1类似,我们需要为用户创建一个安全域和策略,在策略中,对此安全域的权限是全部。
  4. 密级只用于授权文件,在权限的判断前做先做一个密级的判断,用户的密级只有大于等于文件的密级,用户才可以使用这个文件
  5. 用户生成密文的安全域由当前用户的安全域决定

连接状态和终端状态

  • DSM从6000开始,终端和服务器之间有一个长连接,终端和服务器之间通过这个长连接进行通信,以提高响应速度和效率,这个长连接的状态即为终端的连接状态,有”在线、离线“两种状态,当服务器在一定时间内收到终端的心跳,此时终端为”在线“状态,否则为”离线“状态,连接状态表示终端是否可以和服务器通信
  • 终端在”在线“时,可以和服务器进行通信,进行各种操作,如登录、登出、卸载客户端等,也可以不做任何操作,这个时候终端有一个终端状态,如”初始、已登录、未登录、卸载“,终端状态表示终端上的DSM客户端处于何种状态
  • 将连接状态和终端状态分离,是为了更好地描述终端在某一时刻和服务器之间的关系

终端更新

灰度更新

  • 灰度更新即局部更新,可最大程度减少更新后程序bug引起的后果。(百度百科)
  • DSM6000的灰度更新分两步实现:
    • 设置灰度更新终端(终端列表)
    • 创建灰度发布的自动更新任务

自动更新和手动更新

  • DSM6000将老版本上的”补丁包管理“命名为”手动更新“
  • 在已经支持”手动更新“的基础上,引入自动更新的概念,主要基于以下的应用场景:
    • 当安装了某个DSM客户端版本,并且通过”手动更新“的方式更新了部分或全部组件时,新加入的用户是无法自动完成这个更新的,需要管理员重新推送这个更新,这样,当更新频繁时,非常不利于客户端组件版本的维护,因此,在DSM6000中,引入了自动更新的概念,管理员只要创建相应的更新任务,客户端自动会根据自身组件的版本号,决定是否需要更新

许可证

  • 为区分授权文件(Auth File)和软授权,DSM将”软授权“统一命名为”许可证“(License)

分布式文件存储

  • DSM6000服务器上文件存储通过一个分布式文件服务器实现,和老版本DSM的文件存储相比,基于分布式文件服务器的文件存储有以下优点:
    • 原生支持文件冗余存储,故障转移Failover等(需要部署多个文件服务器)
    • 支持文件分片上传和下载,文件分片上传下载对于大文件处理十分关键,可以避免系统因处理大文件导致的内存和CPU的耗尽

云配置管理

  • 老版本DSM的一个重大缺陷是,应用程序配置的混乱,尤其是客户自行配置的应用程序,
    • 由于缺乏必要的管理和检查机制,配置可能存在不少错误
    • 同一个应用程序存在多种不同的配置
    • 同一个应用程序的配置无法共享
      基于上述原因,我们引入了云配置管理

组织架构同步

  • DSM6000对组织架构同步做了很大的增强,不仅支持文件的导入、导出,多种配置的域导入等,而且支持通过第三方应用进行组织架构同步
    • 第三方应用实现DSM6000要求的标准接口(导入、认证、测试)
    • 如果第三方无法实现这些标准接口,我们可以通过开发同步工具(二开)的方式,实现和第三方应用的组织架构同步

终端绑定

  • DSM6004在终端管理中新增了”绑定管理“的菜单按钮,绑定管理是指终端绑定的管理
  • 通常情况下,一个DSM终端可以登录任意用户,用户也可以在任意终端登录,终端和用户之间没有任何限定关系,这在一定程度上增加了管理的难度,终端绑定对终端和用户进行了限定,终端和用户绑定后,此终端只允许绑定的用户进行登录,用户也只允许在其绑定的终端上登录,一个终端可以绑定多个用户,一个用户也可以绑定在多个终端上,当然,最常见的是终端和用户之间是一一绑定的。

results matching ""

    No results matching ""