DeviceLock 外设管理
DeviceLock 为 DeviceLock Endpoint DLP Suite 的基本模块,该模块主要是针对电脑的外设装置进行控管与审计,在任何时间、任何地点、任何人均无法将公司的机密资料透过外设装置复制出去,也可以设定不能使用 U 盘,以避免病毒透过 U 盘入侵到企业的内部网络。以下就 DeviceLock 模块做主要功能说明:
- 外设装置访问控制
DeviceLock 针对电脑常见的外设装置均能进行控管与审计(支持哪些外设装置请参考产品规格说明)。你可以针对不同的用户或群组指定不同的读写权限(例如:不能使用、只能读取、或可读可写),而且可以根据不同的工作日及时段来设定权限。
- 移动设备更细腻地控管
针对常见的移动设备(如iPhone、Windows Mobile、BlackBerry、Palm、MTP…等),提供更细腻的控管策略,例如:你可以对日历、联系人、邮件、任务、便签、备分…等细项进行更细部的设定。无论该设备是通过何种接口(USB、COM、IrDA、蓝牙)与电脑连接都适用一致的策略,该功能可以让员工生产力、方便性与安全性之间达到平衡。
- 剪切板控制(Clipboard Control)
DeviceLock 可以让数据泄漏在萌芽阶段即被有效地阻止。DeviceLock 可以选择性地控制用户在剪贴板的各种类型复制或操作,包括文件、文本数据、图像数据、音频片段(如Windows声音记录器捕获的记录)、和不明身份的数据类型。截屏操作可以阻止计算机的 Windows 截图功能和第三方应用程序的截图功能。
- 完整的设备使用记录(Audit Log)
提供设备使用情形的完整审计记录。包含事件时间、设备类别、执行动作、执行身份、当时的程序(Process)。记录以操作系统的记录(Event Log)格式暂存于使用者电脑上,也可设定自动集中回传存储服务器端,以达到集中且方便的报表与审计目的。
- 提供外存档案的留档(Data Shadow)
为审计外存文件的实际内容,可针对许可写出文件的人员设定外存文件留档的功能。当员工通过复制文件至外部储存装置或刻录至光盘,都可以备份一份并回传至服务器端;当设备不在内部网络时,留档的资料会暂存于个人电脑端,待回到内网后再将留档文件回传到服务器。
- 即插即用设备盘点报告
协助您针对特定用户或电脑的即插即用设备进行盘点报表,从报表中可以看出哪些设备在何时曾被何人接入到哪些电脑,该报表可盘点USB、FireWrie、及PCMCIA的各种设备。
- USB设备白名单
USB设备的生产厂商会依据其取得的厂商编号,产品编号加上设备序号合并作为DeviceID,因此,我们可以针对特定设备型号或序号(DeviceID)进行允许或锁定。常见的应用情境:单位内仅可使用经过申请的特定设备,其他设备一律禁止。设定权限时可针对产品整批开放,或者是针对唯一设备序号进行开放。
- 暂时白名单(Temporary White List)
针对出差在外有临时需要使用移动存储设备的人,可以通过电话/Email等方式向相关人员申请临时性的许可权限。使用者汇报电脑上显示的设备序号,管理者可据此产生一个临时性开放码,该开放码可以制定放行的时间段或直到设备拔除。中间的沟通可通过语音电话完成,而开放期间的使用行为也可留下记录。
- 真实文件格式管控
支持依据档案的真正格式制定允许或禁止传输的策略,使用户不能通过篡改文件后缀名来规避策略。例如:您可以禁止如CAD、PSD等设计图文件,输出到计算机外部;DeviceLock目前的文件格式特征数据库超过 3,000 种文件。
- 媒体白名单(Media White List)
可针对特定的DVD/CD-ROM光盘建立特定的媒体指纹,并且设定仅有特定的指纹才能使用。常见的应用是在一些开放的资料查询电脑上,如图书馆、公共展示Kisok机等,要锁住仅能使用特定的光盘资料,甚至锁住光盘弹出按钮,避免被未经授权的人员抽取调换。
- 加密软件整合应用
DeviceLock可以识别经过加密的PGP、TrueCrypt与DriveCrypt磁盘(含U盘等各种便携式存储设备)。可以在策略指定唯有外接设备是加密的情况下,才准许写出文件,如果接入的是未加密的U盘,则仅能只读,以符合企业的安全策略。
上述是针对 DeviceLock 基本模块的主要功能说明,以下是其它通用性功能,可让 DeviceLock 在企业的环境中运行地更好。其它功能说明如下:
- 与 AD 组策略无缝整合
当 DeviceLock 应用于使用微软 AD 域环境中,可以通过组策略(Group Policy)集中配置、存储与同步策略内容。与企业中暨有的网域采用相同的管理方法,可以大幅减少管理时间与降低学习成本。
- DeviceLock 用户端服务监控
当你的环境有安装 DeviceLock Enterprise Server 时,可以即时监控分散在个人电脑的客户端程序的运作状况,并进行集中记录与统计。
- Tamper Protection篡改保护
客户端程序设计了一系列防破坏措施,以保护本身不被用户破坏。保护措施包含:服务无法被用户任意停用、后台程序无法被暴力停止、即使拥有本机管理员权限也无法破坏。系统可以指定特定DeviceLock管理员账号,只有管理员才能进行相关的维护与管理操作。
- 防键盘记录 Anti-keylogger 功能
可以侦测使用者的电脑键盘是否有被偷偷串接硬件式键盘记录设备。当 DeviceLock 侦测到这些设备存在时,除了会发出警告外,还可以欺骗 PS/2 界面的键盘输入,使得其记录到的只是一串无意义的乱码。
- 内、外网的策略差异化
DeviceLock提供内、外网感知能力,你可以针对用户在内部网络或外部网络时,套用不同的策略。例如:当用户端的有线网络接到内网时,就禁止使用 WiFi 无线网络,以避免有线与无线桥接带来的风险。
- 报警(Alerting)
DeviceLock 通过终端的数据防护提供了SNMP 和基于SMTP的报警能力,对于用户在设备上的行为对主管或管理员,进行实时的通知。
- 服务器优化选择(Optimal Server Selection)
当你的用户数较多时,你可以安装多台 DeviceLock 服务器,用户端会自动从企业服务器列表上选择最快且可用的服务器,对审计和留档的日志进行传输。
- 流量控制
DeviceLock 可以为发送审计和留档文件到企业服务器时,进行带宽的限制,这样有助于降低网络的负载。
- 回传资料流量最佳化与压缩
针对记录与留档文件的资料回收操作,可以制定带宽使用限制,并可对回传的资料流自动压缩以降低网络负载,减少资料大量回传时所造成的网络冲击。当部署多个资料回收服务器的情况下,可自动选择识别最佳化的回传路径。
- Search Server
Search Server 模块提供针对 DeviceLock Enterprise Server 所收回的留档文件,进行「全文检索」方式的审计。它可以对常用的文件格式中文字内容进行检索查询,这些格式包含: Adobe Acrobat (PDF)、Ami Pro、压缩文件案(GZIP、RAR、 ZIP)、Lotus 1-2-3、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice(documents、spreadsheetsand presentations)、以及其他常用格式。