DeviceLock 為 DeviceLock Endpoint DLP Suite 的基本模塊����,該模塊主要是針對電腦的外設裝置進行控管與審計�����。
DeviceLock 為 DeviceLock Endpoint DLP Suite 的基本模塊�����,該模塊主要是針對電腦的外設裝置進行控管與審計��,在任何時間��、任何地點�����、任何人均無法將公司的機密資料透過外設裝置復制出去�����,也可以設定不能使用 U 盤�����,以避免病毒透過 U 盤入侵到企業(yè)的內部網絡���。以下就 DeviceLock 模塊做主要功能說明:
外設裝置訪問控制DL_Permission
DeviceLock 針對電腦常見的外設裝置均能進行控管與審計(支持哪些外設裝置請參考產品規(guī)格說明)��。你可以針對不同的用戶或群組指定不同的讀寫權限(例如:不能使用���、只能讀取、或可讀可寫)�����,而且可以根據不同的工作日及時段來設定權限����。
移動設備更細膩地控管
針對常見的移動設備(如iPhone、Windows Mobile���、BlackBerry��、Palm�、MTP…等)�,提供更細膩的控管策略,例如:你可以對日歷���、聯(lián)系人�、郵件、任務�����、便簽���、備分…等細項進行更細部的設定�����。無論該設備是通過何種接口(USB���、COM���、IrDA���、藍牙)與電腦連接都適用一致的策略,該功能可以讓員工生產力�����、方便性與安全性之間達到平衡。
剪切板控制(Clipboard Control)
DeviceLock 可以讓數據泄漏在萌芽階段即被有效地阻止��。DeviceLock 可以選擇性地控制用戶在剪貼板的各種類型復制或操作�,包括文件、文本數據���、圖像數據��、音頻片段(如Windows聲音記錄器捕獲的記錄)�、和不明身份的數據類型�。截屏操作可以阻止計算機的 Windows 截圖功能和第三方應用程序的截圖功能。
完整的設備使用記錄(Audit Log)DL_Auditing
提供設備使用情形的完整審計記錄����。包含事件時間、設備類別�����、執(zhí)行動作����、執(zhí)行身份、當時的程序(Process)�。記錄以操作系統(tǒng)的記錄(Event Log)格式暫存于使用者電腦上�,也可設定自動集中回傳存儲服務器端��,以達到集中且方便的報表與審計目的����。
提供外存檔案的留檔(Data Shadow)
為審計外存文件的實際內容,可針對許可寫出文件的人員設定外存文件留檔的功能����。當員工通過復制文件至外部儲存裝置或刻錄至光盤,都可以備份一份并回傳至服務器端���;當設備不在內部網絡時���,留檔的資料會暫存于個人電腦端,待回到內網后再將留檔文件回傳到服務器�。
即插即用設備盤點報告
協(xié)助您針對特定用戶或電腦的即插即用設備進行盤點報表,從報表中可以看出哪些設備在何時曾被何人接入到哪些電腦��,該報表可盤點USB�、FireWrie���、及PCMCIA的各種設備���。
USB設備白名單
USB設備的生產廠商會依據其取得的廠商編號���,產品編號加上設備序號合并作為DeviceID,因此�����,我們可以針對特定設備型號或序號(DeviceID)進行允許或鎖定�。常見的應用情境:單位內僅可使用經過申請的特定設備,其他設備一律禁止�����。設定權限時可針對產品整批開放�����,或者是針對唯一設備序號進行開放�。
暫時白名單(Temporary White List)
針對出差在外有臨時需要使用移動存儲設備的人,可以通過電話/Email等方式向相關人員申請臨時性的許可權限���。使用者匯報電腦上顯示的設備序號�����,管理者可據此產生一個臨時性開放碼���,該開放碼可以制定放行的時間段或直到設備拔除���。中間的溝通可通過語音電話完成,而開放期間的使用行為也可留下記錄�����。
真實文件格式管控
支持依據檔案的真正格式制定允許或禁止傳輸的策略�����,使用戶不能通過篡改文件后綴名來規(guī)避策略��。例如:您可以禁止如CAD����、PSD等設計圖文件,輸出到計算機外部���;DeviceLock目前的文件格式特征數據庫超過 3,000 種文件���。
媒體白名單(Media White List)
可針對特定的DVD/CD-ROM光盤建立特定的媒體指紋,并且設定僅有特定的指紋才能使用��。常見的應用是在一些開放的資料查詢電腦上����,如圖書館、公共展示Kisok機等�,要鎖住僅能使用特定的光盤資料,甚至鎖住光盤彈出按鈕����,避免被未經授權的人員抽取調換。
加密軟件整合應用
DeviceLock可以識別經過加密的PGP�、TrueCrypt與DriveCrypt磁盤(含U盤等各種便攜式存儲設備)?�?梢栽诓呗灾付ㄎㄓ型饨釉O備是加密的情況下�,才準許寫出文件,如果接入的是未加密的U盤�����,則僅能只讀����,以符合企業(yè)的安全策略�。
上述是針對 DeviceLock 基本模塊的主要功能說明���,以下是其它通用性功能���,可讓 DeviceLock 在企業(yè)的環(huán)境中運行地更好。其它功能說明如下:
與 AD 組策略無縫整合
當 DeviceLock 應用于使用微軟 AD 域環(huán)境中��,可以通過組策略(Group Policy)集中配置��、存儲與同步策略內容�����。與企業(yè)中暨有的網域采用相同的管理方法����,可以大幅減少管理時間與降低學習成本。
DeviceLock 用戶端服務監(jiān)控
當你的環(huán)境有安裝 DeviceLock Enterprise Server 時�����,可以即時監(jiān)控分散在個人電腦的客戶端程序的運作狀況�����,并進行集中記錄與統(tǒng)計。
Tamper Protection篡改保護
客戶端程序設計了一系列防破壞措施���,以保護本身不被用戶破壞。保護措施包含:服務無法被用戶任意停用�����、后臺程序無法被暴力停止�、即使擁有本機管理員權限也無法破壞。系統(tǒng)可以指定特定DeviceLock管理員賬號���,只有管理員才能進行相關的維護與管理操作���。
防鍵盤記錄 Anti-keylogger 功能
可以偵測使用者的電腦鍵盤是否有被偷偷串接硬件式鍵盤記錄設備。當 DeviceLock 偵測到這些設備存在時����,除了會發(fā)出警告外,還可以欺騙 PS/2 界面的鍵盤輸入���,使得其記錄到的只是一串無意義的亂碼��。
內����、外網的策略差異化
DeviceLock提供內、外網感知能力���,你可以針對用戶在內部網絡或外部網絡時���,套用不同的策略。例如:當用戶端的有線網絡接到內網時��,就禁止使用 WiFi 無線網絡����,以避免有線與無線橋接帶來的風險。
報警(Alerting)
DeviceLock 通過終端的數據防護提供了SNMP 和基于SMTP的報警能力�,對于用戶在設備上的行為對主管或管理員,進行實時的通知�����。
服務器優(yōu)化選擇(Optimal Server Selection)
當你的用戶數較多時����,你可以安裝多臺 DeviceLock 服務器�����,用戶端會自動從企業(yè)服務器列表上選擇最快且可用的服務器��,對審計和留檔的日志進行傳輸��。
流量控制
DeviceLock 可以為發(fā)送審計和留檔文件到企業(yè)服務器時�,進行帶寬的限制�,這樣有助于降低網絡的負載��。
回傳資料流量最佳化與壓縮
針對記錄與留檔文件的資料回收操作���,可以制定帶寬使用限制���,并可對回傳的資料流自動壓縮以降低網絡負載,減少資料大量回傳時所造成的網絡沖擊���。當部署多個資料回收服務器的情況下�����,可自動選擇識別最佳化的回傳路徑����。
Search Server
Search Server 模塊提供針對 DeviceLock Enterprise Server 所收回的留檔文件,進行「全文檢索」方式的審計��。它可以對常用的文件格式中文字內容進行檢索查詢��,這些格式包含: Adobe Acrobat (PDF)����、Ami Pro、壓縮文件案(GZIP���、RAR��、 ZIP)�����、Lotus 1-2-3����、Microsoft Access��、Microsoft Excel�、Microsoft PowerPoint�����、Microsoft Word��、Microsoft Works���、OpenOffice(documents、spreadsheetsand presentations)����、以及其他常用格式。
