DeviceLock DLP Suite

使用DeviceLock保护您的数据并防止数据泄露

DeviceLock DLP Suite包含五个模块，可保护您的组织免受数据泄露威胁：
DeviceLock为网络管理员提供了设置和实施语境策略的能力，包括如何、何时、何地以及通过何种方式将数据移动到公司笔记本电脑或台式PC上或从公司笔记本电脑或台式PC上移动，例如手机、数码相机、CD / DVD-R、平板电脑、打印机或MP3播放器。此外，可以通过Windows剪贴板设置和强制执行复制操作的策略，以及端点计算机上的屏幕截图操作。
NetworkLock通过诸如公司电子邮件、个人网络邮件、即时消息服务、社交网络（如Facebook，Google +，Twitter）、网络冲浪、FTP文件传输以及云等通过互联网添加用户网络通信的上下文级控制 Dropbox、SkyDrive和Google云端硬盘等文件共享服务。

ContentLock添加了查看内部文件和其他数据对象（如电子邮件和网络邮件、聊天、博客帖子等）的敏感信息，如社会安全号码、信用卡号码、银行帐号或其他用户可定义信息的功能，基于与文件内容有关的策略来阻止或允许决策。
Discovery是一个单独授权的组件，可帮助网络管理员和安全人员查找存储在公司网络限制内外的某些类型的内容。在试图保护公司的知识产权，控制员工的活动和管理计算机网络时，发现不需要的内容是至关重要的。
Search Server是一个可选的单独许可组件，它提供对记录数据的全文搜索。全文搜索功能在需要基于文档内容搜索文档的卷影副本时非常有用。
所有这些模块的组合在一起就是DeviceLock DLP套件。DLP套件通过各种威胁向量提供对端点（笔记本电脑，台式机或服务器）本地和网络数据泄漏的保护。

这些产品包括：iPhones、Androids、BlackBerry，其他智能手机、iPods、iPads、数码相机、Wi-Fi、蓝牙、FireWire、社交媒体、IM、网络邮件、公司电子邮件、打印、CD或DVD ROM、压缩闪存、FTP / FTPS、HTTP / HTTPS和剪贴板。
与Microsoft Active Directory组策略内置集成，DeviceLock DLP套件非常容易和直接的安装和配置。常见安装由Microsoft网络管理员处理，不需要昂贵的、经过专门培训的资源。
DeviceLock与Active Directory紧密集成的另一个很大的客户利益是它给解决方案几乎无限的可扩展性。DeviceLock DLP Suite可以毫不费力地在Active Directory数据库中列出的每个端点上运行...即使有成千上万。

DeviceLock端点DLP套件 - 综合功能列表
设备访问控制

管理员可以控制哪些用户或组可以访问USB、FireWire、红外、COM和LPT端口; WiFi和蓝牙适配器;任何类型的打印机，包括本地、网络和虚拟打印机; Windows Mobile、BlackBerry、支持MTP的设备（如Android，Windows Phone等），基于iPhone和Palm OS的PDA和智能手机;终端服务设备;以及DVD / BD / CD-ROM，软盘驱动器和其他可移动和即插即用设备。可以将设备设置为只读模式，并根据一天中的时间和星期几控制对设备的访问。
网络通信控制

NetworkLock模块增加了对Windows端点网络通信的全面语境控制，包括网络协议、Web应用程序和列出的即时消息应用程序（如Skype）。常规和SSL隧道电子邮件通信（SMTP，Exchange-MAPI和列出的Webmail服务）由单独处理和过滤的邮件和文件附件控制。NetworkLock还控制Web访问和其他基于HTTP的应用程序，能够从加密的HTTPS会话中提取内容。Web应用程序、社交网络、基于云的文件共享Web访问和Web邮件服务与HTTP控制分开安全，以便于配置，而支持的站点、电子邮件地址和发件人/收件人ID可以列入NetworkLock中的已批准用户。

内容过滤

扩展DeviceLock和NetworkLock功能超出上下文安全性，ContentLock模块可以分析和过滤复制到可移动媒体驱动器，其他即插即用存储设备、剪贴板、发送的打印数据，甚至数据的文本内容否则隐藏在嵌入文档中的屏幕打印、图形文件或图片中 ContentLock还从网络通信中过滤数据对象和会话。这些包括电子邮件、网络访问和流行的基于HTTP的应用程序，如网络邮件服务、社交网络、基于云的文件共享服务、即时通讯、文件附件、网络表单/文件和FTP文件传输。内容分析引擎可以从超过160种文件格式和数据类型提取文本数据，然后基于正则表达式（RegExp）模式的预构建模板，行业特定的关键字过滤器（HIPAA，PCI，等等），文档元属性，验证的文件类型等。内容检测模板可以用数字阈值条件修改和/或与布尔逻辑运算符（AND / OR / NOT）组合，以实现无与伦比的控制灵活性。

主机常驻的OCR

内置的光学字符识别（OCR）引擎允许基于文本的数据对象的内容过滤，允许DeviceLock DLP快速、有效和准确地从文档和许多图像格式的图形文件中的图片提取和检查文本数据。这种高效的OCR引擎使用正则表达式，关键词词典和其他高级方法来识别30多种语言，以提高识别率，并提供发现和保护以图形形式呈现的信息资产中的暴露的机密数据的能力。DeviceLock DLP的独特之处在于OCR模块在每个面向执行的组件中运行：DeviceLock代理，DeviceLock发现服务器和DeviceLock发现代理。这种分布式OCR架构极大地提高了解决方案的整体性能，因为存储在端点上的图形对象可以被本地主机驻留的OCR模块扫描和检查，这又会显着减少发现服务器的负载，“扫描”公司网络上的流量。

内容发现

DeviceLock Discovery使组织能够获取对其IT环境中存储的机密“静态数据”的可见性和控制权，从而主动防止数据泄露并实现对法规和企业数据安全性要求的遵从。通过自动扫描驻留在公司网络内外的网络共享、存储系统和Windows端点计算机上的数据，DeviceLock Discovery可查找具有敏感内容的文档，并提供修复它们的选项，以及启动事件管理程序、实时警报SIEM系统和数据安全人员。通过使用现在包括OCR功能的全套ContentLock功能，DeviceLock可以发现超过120种文件格式和40种嵌套归档的文本数据，以及文档和图形文件中的图片。根据网络拓扑和规格，DeviceLock Discovery可以在无代理，基于代理和混合扫描模式下执行扫描。可以手动启动扫描，或将其配置为按组织中的公司计算机，网络共享和存储系统定向运行。DeviceLock发现代理可以以完全自动和透明的方式远程安装在目标计算机上以及从目标计算机上删除。当与其他DeviceLock DLP组件一起使用时，DeviceLock Discovery还可以利用DeviceLock代理的内置发现功能扫描存储在其主机计算机和可访问的网络共享上的数据。
防篡改

可配置的“DeviceLock Administrators”功能可以防止在Windows和Apple操作系统上本地篡改DeviceLock策略设置，即使具有本地系统管理权限的用户也是如此。激活此功能后，只有从DeviceLock控制台或组策略对象（GPO）编辑器工作的指定DeviceLock管理员才能卸载升级代理或以任何方式修改DeviceLock策略。

Active Directory组策略集成

DeviceLock的主控制台直接与Microsoft管理控制台（MMC）Active Directory（AD）组策略接口集成。由于组策略和MMC风格的接口是AD管理员完全熟悉的，没有专用接口来学习或培训需要集中有效地管理端点DLP策略的类。仅在组策略管理员的计算机上存在DeviceLock MMC管理单元控制台允许直接集成到组策略管理控制台（GPMC）或Active Directory用户和计算机（ADUC）控制台，而无需任何脚本，ADM模板或模式改变。管理员可以动态管理Windows和Apple OS端点设置以及其他组策略自动化任务。缺少组策略环境时，DeviceLock还有经典的Windows控制台和Web浏览器控制台，可以集中管理Windows计算机的任何Novell，LDAP或“工作组”IP网络上的代理。基于XML的策略模板可以在所有DeviceLock控制台之间共享。
真正的文件类型控制。管理员可以选择性地授予或拒绝访问超过4300种可移动媒体的特定文件类型。配置文件类型策略时，DeviceLock将查看文件的二进制内容以确定其真实类型（不管文件名和扩展名），并根据应用的策略执行控制和屏蔽操作。为了灵活性，文件类型的内容感知规则可以在设备/协议类型层基于每用户或每组定义。真正的文件类型规则也可以应用于预先过滤卷影副本以减少捕获的数据量。

剪贴板控制

DeviceLock使管理员能够在其最早阶段有效地阻止数据泄漏 - 当用户通过Windows剪贴板和打印屏幕机制故意或意外地在其本地计算机上的不同应用程序和文档之间传输未授权数据时。 DeviceLock可以选择性地控制用户/组对复制到剪贴板的不同数据类型对象的访问。这些类型包括文件、文本数据、图像、音频片段（即用Windows录音机捕获），甚至“未识别”类型的数据。此外，可以监视和过滤通过剪贴板复制的文本数据的内容。当重定向到终端会话中的远程BYOD设备以提供虚拟DLP时，DeviceLock DLP单独，独立且唯一地保护和过滤剪贴板操作。为了防止老旧的数据窃取方法之一，可以阻止特定用户/组的屏幕截图操作。这些包括Windows PrintScreen键盘功能和第三方应用程序的屏幕捕获功能。如果根据策略上下文允许屏幕截图，ContentLock的高级OCR内容检查可以根据DLP策略过滤捕获的屏幕图像的文本内容。
USB白名单

允许您授权特定型号的设备访问USB端口，同时锁定所有其他设备。您甚至可以“单一”列出单个唯一设备，同时锁定相同品牌和型号的所有其他设备，只要设备制造商提供了合适的唯一标识符（例如序列号）。
媒体白名单

允许您授权访问通过数据签名唯一标识的特定DVD / BD / CD-ROM磁盘，即使DeviceLock已阻止DVD / BD / CD-ROM驱动器。为了便于DVD / BD / CD-ROM盘常规用于分发新软件或使用说明书，Media White Listing还可以指定允许的用户和组，以便只有授权用户才能访问DVD、蓝光或CD-ROM的内容。
临时白名单

允许通过发出访问代码临时访问USB连接的设备，而不是通过常规的DeviceLock权限设置/编辑过程。在需要授予权限并且系统管理员没有网络连接时有用;例如，当在公司网络外部工作时，允许销售经理呼叫USB接入请求的例外情况。

协议白名单

允许您通过IP地址、地址范围、子网掩码、网络端口及其范围指定面向白名单的策略。
审核

DeviceLock的审核功能可跟踪本地计算机上指定的设备类型、端口和网络资源的用户和文件活动。它可以按用户/组，日/小时，端口/设备/协议类型，读/写和成功/失败事件预先过滤审核活动。DeviceLock使用标准事件记录子系统，并将审核记录写入具有GMT时间戳的Windows事件查看器日志。日志可以导出为许多标准文件格式，以导入到其他报告机制或产品。此外，审计记录可以从远程计算机自动收集并集中存储在SQL Server中。即使具有本地管理员权限的用户也无法编辑、删除或以其他方式篡改设置为要传输到DeviceLock Enterprise Server的审核日志。

屏蔽

DeviceLock的数据屏蔽功能可以设置为镜像所有复制到外部存储设备或通过网络以及通过串行和并行端口传输的数据。 DeviceLock还可以在由DeviceLock Enterprise Server（DLES）自动收集时将CD / DVD / BD刻录机生成的ISO映像分割成原始的分隔文件。文件的完整副本可以保存到SQL数据库或由DLES管理的安全共享。阴影活动可以像预定审核一样预先过滤，以缩小收集的内容。 DeviceLock的审计和镜像功能设计用于通过流压缩，服务质量（QoS）的流量整形，性能/配额设置以及自动优化DLES服务器选择来有效利用传输和存储资源。ContentLock的内容过滤技术使DeviceLock的数据镜像功能更加高效，可扩展和智能。所有端点数据通道都支持基于内容的数据屏蔽，包括可移动和即插即用存储设备、网络通信，支持的智能手机的本地同步和文档打印。可以设置条件来屏蔽某些输入和输出。通过在将潜在大数据对象的内容预先过滤到日志之前，DeviceLock将流缩减为仅包含对安全合规性审核，事件调查和网络取证等后分析任务有意义的信息的那些对象。
警报。 DeviceLock提供了由DeviceLock DLP端点事件驱动的基于SNMP和SMTP的警报功能，用于实时通知网络上受保护端点上的敏感用户活动。

移动设备本地同步控制

管理员可以使用DeviceLock专利的本地同步控制技术为Microsoft WindowsMo??bile®，AppleiPhone®/iPad®/ iPodtouch®或Palm®移动设备通过与Windows端点的本地同步进行交换的数据设置精细的访问控制，审核和阴影规则。权限可定义指定用户/组的哪些类型的移动设备数据（文件，图片，电子邮件，联系人，日历等）被允许在受管理端点和个人移动设备之间同步，而不管连接接口。在设备类型级别特别支持Android®，Windows Phone和其他MTP设备以及BlackBerry®智能手机的存在检测，访问控制和事件日志记录。

打印安全

DeviceLock在Windows管理员的严格控制下从Windows端点进行本地和网络打印。通过拦截打印后台处理程序操作，DeviceLock使管理员能够集中控制从受DeviceLock保护的端点发送到本地，网络甚至虚拟打印机的打印文档的用户访问和内容。此外，对于USB连接的打印机，可以允许指定的用户和组指定打印机供应商型号和/或唯一的打印机设备ID。可以记录打印事件，实际打印作业数据可以以可搜索的PDF格式进行卷影复制，收集并集中存储以供审核和后分析。

网络感应

管理员可以为同一用户帐户定义不同的在线或离线安全策略。例如，在移动用户的笔记本电脑上进行合理且经常必要的设置是在停靠到公司网络时禁用WiFi，并在停靠时启用。

可移动媒体加密集成

DeviceLock采用开放式集成方法来加密上传到可移动媒体的数据。客户可以选择使用最佳适合其安全场景的加密解决方案，包括以下最佳技术：Windows BitLocker To Go™，Apple OS X FileVault，PGP®标准FIPS认证加密的全磁盘加密; TrueCrypt®免费开源加密; SafeDisk®，SecurStar®DriveCrypt Plus Pack Enterprise（DCPPE）软件;和Lexar Media的S1100 / S3000系列USB闪存驱动器，用于预加密的可移动介质。此外，任何预加密的USB介质可以被选择性地列入白名单，严格执行使用。 DeviceLock允许针对这种媒体的加密和未加密分区的离散访问规则。

搜索服务器

DeviceLock Search Server提供对存储在DeviceLock Enterprise Server上的记录数据的全文搜索。您可以使用全文搜索来查找通过过滤日志查看器中的数据找不到的数据。全文搜索功能在需要基于文档内容搜索文档的卷影副本时非常有用。DeviceLock Search Server可以自动识别、索引、搜索和显示多种格式的文档，例如：Adobe Acrobat（PDF）、Ami Pro、Archives（GZIP，RAR，ZIP）、Lotus 1-2-3、Microsoft Access、Microsoft Excel 、Microsoft PowerPoint、Microsoft Word、Microsoft Works、OpenOffice（文档，电子表格和演示文稿）、Quattro Pro、WordPerfect、WordStar和更多其他文档。

用于BYOD设备的虚拟DLP

DeviceLock的虚拟DLP功能提供了在使用领先的计算机和应用虚拟化解决方案（如Citrix XenApp / XenDesktop，Microsoft RDS和VMware Horizon View）时保护任何BYOD设备免受内部数据泄漏的能力。在VDI主机或终端服务器上运行，DeviceLock将语境和内容感知端点DLP控制“远程”到连接的远程BYOD设备，以创建虚拟端点DLP代理，防止与本地外围设备，“在会话”中托管应用程序和网络连接的不受控数据交换BYOD设备。此方法在物理和虚拟Windows和BYOD环境中统一了DeviceLock DLP。
扩展的DeviceLock®功能
反击键

DeviceLock检测USB键盘记录器，并阻止连接到它们的键盘。此外，DeviceLock混淆PS / 2键盘输入，并强制PS / 2键盘记录器记录垃圾，而不是真正的击键。

监控

DeviceLock Enterprise Server可以实时监控远程计算机，检查DeviceLock服务状态（是否运行），策略一致性和完整性。详细信息将写入监视日志。此外，可以定义主策略，如果其当前策略被怀疑过时或损坏，可以自动应用于所选远程计算机。

RSoP支持

您可以使用Windows标准策略管理单元的“结果集”来查看当前应用的DeviceLock策略，以及预测在给定情况下应用的策略。

批量处理

允许您以快速一致的方式在大型网络中定义类似类似计算机的类别设置（例如，所有计算机都有USB端口和CD-ROM）的设置。可以使用DeviceLock Enterprise Manager在网络中的所有计算机上自动安装或更新DeviceLock服务。

图形报表

DeviceLock可以根据审核和屏蔽日志自动生成图形报告。

权限报表

允许您生成一个报表，显示已在整个网络上的所有计算机上设置的权限和审核规则。

报表即插即用设备

允许您生成报表，显示当前连接到网络中的计算机和历史上连接的计算机的USB，FireWire和PCMCIA设备。

流量控制

DeviceLock允许您定义将审核和屏蔽日志从DeviceLock服务发送到DeviceLock Enterprise Server的带宽限制。此服务质量（QoS）功能有助于降低网络负载。

流压缩

您可以指示DeviceLock压缩由DeviceLock Enterprise Server服务从端点提取的审核日志和屏蔽数据。这样做会减少数据传输的大小，从而降低网络负载。
最佳服务器选择

为了最佳地传输审计和屏蔽日志，DeviceLock服务可以从可用服务器列表中自动选择最快的可用DeviceLock企业服务器。