| 指标参数(带*为重点指标) | 应答项 | |
| *关键字技术 | 支持以内容为单位,按关键字方式进行检查。多个关键字之间应该可以通过“与”、“或”的关系进行组合 | |
| 支持多个关键字任意次数的检测技术,如5个敏感关键字,每个关键字至少出现3次,5个关键字至少出现15次,满足此条件即命中策略 | |
| 对于英文关键字,可以忽略大小写 | |
| 支持简体、繁体自动转换识别 | |
| *正则表达式技术 | 对于符合某种规则的内容,可以抽象出正则表达式,然后按正则表达式对文字内容进行检查。应提供常见的正则表达式,如手机号码、固话号码、姓名、地址等 | |
| 支持复杂的正则表达式检测技术,多个正则表达式之间可以通过“与”、“或”的关系进行组合 | |
| 数据标识符技术 | 产品可支持比正则表达式更精准的检查方式,除了识别符合某种规则的内容以外,还能对数据的有效性进行验证。如身份证号,银行卡号(包括信用卡号)等 | |
| 多个数据标识符之间可以通过“与”、“或”的关系进行组合 | |
| 结构数据指纹技术或自然语言技术 | 产品应提供专门针对结构化数据的指纹检查方式或自然语言检查方式,检查时,最小精度为字段(单元格) | |
| 能够对所提取数据中的特定列进行匹配检查,能够对所提取数据中的特定列组合进行检查 | |
| 支持相似度检测,可以自定义相似度数值 | |
| 指纹或自然语言策略的提取支持远程提取和本地提取,不论哪种方式均对原始数据不进行系统内部保存。 | |
| 系统应支持离线指纹生成工具,用户部门可以使用该工具对其数据内容进行离线指纹的产生,管理员仅需将产生的指纹导入到系统中即可。并且生成的指纹不可逆。 | |
| 非结构数据指纹技术或自然语言技术 | 产品应提供专门针对非结构化数据的指纹检查方式或自然语言检查方式,可以检查到从所提取文档中抽取的敏感信息 | |
| 可以对指定文件夹下的文件一次性生成指纹库或规则库,也可以根据日程周期性的生成指纹库或规则库 | |
| 非结构化数据提取可以采用本地提取与远程提取多种方式,所有提取技术都对原始数据不进行本地存放。 | |
|
系统应支持离线指纹生成工具,用户部门可以使用该工具对其数据内容进行离线指纹的产生,管理员仅需将产生的指纹导入到系统中即可。并且生成的指纹不可逆。 | |
| *智能学习(向量学习或自然语言)技术 | 产品应提供专门针对分结构化数据的智能学习技术,通过学习方式来检测需要保护的信息类型,智能学习技术可以不断提高查找敏感信息的准确性和可靠性 | |
| 常见规避手法检测技术 | 能识别常见的被密码保护的doc、excel、PowerPoint、PDF、Zip、RAR 等文档,经过加密的数据泄露事件能够完整地保留在系统日志中 | |
| 能对压缩文件里的内容进行检查,能支持Zip、 RAR、7Z等常见压缩格式,产品对于压缩文件的解压层数,需考虑到产品的性能,应最少支持不低于20层的压缩包内的文件内容检测,同时应给管理员开放相应接口,在不进入后台的情况下对解压层数进行任意修改并实现检测功能。 | |
| 能对更对改文件名、更改文件后缀、更改压缩包后缀、转换文件类型等常见规避手段处理过的文件内容进行检查 | |
| 能够对采用多层文档嵌套的泄露行为进行检查,能够发现任何一层文档中含有的敏感信息 | |
| 能对常见图片中的内容进行检查,能支持JPEG、TIF、TIFF、BMP、PNG等常见图片格式 | |
| 语言识别能力 | 产品应能够同时支持简体中文; | |
| *文件类型识别能力 | 能够对嵌套在文档中,如Word、Excel、PPT中的图片如JPEG、TIF、TIFF、BMP、PNG等格式内容进行检查。 | |
| |
| 能对压缩文件里的文件类型进行检查,能支持Zip、 RAR、7Z压缩格式,产品对于压缩文件的解压层数,需考虑到产品的性能,应最少支持不低于20层的压缩包内的文件内容检测,同时应给管理员开放相应接口,在不进入后台的情况下对解压层数进行任意修改并实现检测功能。 | |
| 能够针对人为修改文件后缀名进行文件格式检查,同时进行格式识别与内容识别 | |
| 能够提供文件类型自定义工具,针对用户特有文件类型进行识别 | |
| 网络流量多协议检测 | 支持对HTTP网络协议、SMTP邮件协议的敏感信息识别与监控能力。 | |
| *多镜像流量检测 | 本次部署模式为旁路模式,流量镜像的方式,所以需识别网络VLAN标签信息,不影响数据发现 | |
| 支持同时多个镜像流量的检测,并确保不丢包。 | |
| 单向网络流量检测 | 审计设备能够支持SMTP邮件协议单向数据流量的审计功能,即通过管理平台能简单设置单向流量的审计。 | |
| 策略复杂度和灵活性 | 满足实际工作所需要的复杂策略,单条策略可以包含多个规则,内部规则之间可以通过 “AND/OR”,“条件”以及“排除”的逻辑组合在一起 | |
| 不仅能够基于内容来制定策略,还能结合发送者/接收者,文件特征,通讯协议等来制定策略 | |
| 策略设置灵活,不同策略可以灵活、重复的调用已设置好的例外、数据标识符、正则表达式、指纹等规则 | |
| *高性能流量检测要求 | 支持高达10万封外发邮件的内容检查。 | |
| 百万级事件查询详情延时不超过2秒。 | |
| 千万级事件查询详情延时不超过5秒。 | |
| 策略模板、策略包 | 提供预定义策略模板 | |
| “例外功能”选项 | 产品支持针对特定数据内容,如:关键字、文件类型、文件大小、协议等条件进行例外处理 | |
| 产品支持针对特定用户,灵活设置安全策略例外的功能,即对特定用户,可以灵活设定该用户无需遵守的安全策略,并可以灵活取消这种设定 | |
| 策略分组管理功能 | 服务器中保存的安全策略应方便管理。例如:策略可以通过分组的方式进行管理,策略可以很方便地被启用或禁用等。 | |
| 集中统一配置和管理功能 | 产品的管理、监控和策略配置等功能应集成在同一管理平台上,针对产品所有检测模块相同检查内容只需定义一次策略,无需分别定制。 | |
| 策略导出/导入功能 | 可以对单条策略进行模板模式的实时导出/导入,方便运维管理。 | |
| *集成Ldap系统 | 可集成包括微软AD、OpenLdap系统,获取发送者身份,例如:工号,姓名,部门,直接上级,电话号码等。 | |
| 用户分组及分级管理 | 可根据组织架构,对用户进行分组管理,不同用户组启用不同的策略 | |
| 根据组织架构,系统应可实现总分二级管理,每个区域内的策略和事件等信息独立管理,互不干扰 | |
| 支持基于角色的管理 | *系统使用三权分立方式登陆管理统一管理平台,即:系统管理员(负责系统管理),安全管理员(负责审批管理),审计管理员(负责审计管理) | |
| 系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能 | |
| 时间同步 | 系统支持时间服务器同步机制。 | |
| 安全管理 | 系统支持密码复杂度要求:10-32位字符,数字、字母、大小写、特殊字符各一,支持空闲超时时间断开等安全设置。 | |
| 自定义事件属性 | 系统能自定义筛选事件属性(例如,部门,组织单元,组,文件名称,策略名称,详细信息等),支持筛选条件的灵活调整,也可直接从目录服务中导入组、组织单元等筛选条件,支持用户自定义事件查询条件实现对事件的查询和报表统计。 | |
| 完全的事件历史 | 能查看完全的事件历史,包括备注,事件经过哪些处理,所有过程和编辑。 | |
| 自动邮件通知 | 在一个事件产生时,系统可以自动的发送邮件警告给用户、用户上级,DLP管理员。邮件的主题,信体等内容均可以定制。 | |
| 事件日志完整性 | 通过产品记录完整的违规行为日志,日志中应详细记载如下内容:事件类型、发生时间、上报时间、发送者、接收者、违反策略、告警级别等。 | |
| 日志查询功能 | 支持策略复合查询,比如多个策略组成逻辑与的关系进行查询 | |
| 具备强大的日志查询功能,能按不同参数进行查询、过滤和排序报告。产品应提供过滤器,方便对所有的日志进行精确查询和报告,例如用户组、策略组、策略规则、严重性、用户名等。 | |
| 日志管理 | 为了方便未来安全事件的集中管理,系统可提供日志接口,为其他管理平台收集管理日志(如审计人员登陆日志,管理用户密码修改日志,角色增加、变更、删除日志等)和告警事件审计信息(如告警事件的发送者,接受着,发送时间,发送方式、违反策略,告警级别、命中次数等事件属性信息)。 | |
| 定制的风险仪表盘 | 可定制的图表报告,用直观的图表同时显示多个报告,至少提供10个图表。可点击报告,向下展开额外的事件细节。 | |
| 事件导出 | 能导出独立的事件档案供外部查看或备档,查看者无需登录系统,每次导出不限导出数量。 | |
| 报告订阅和抄送 | 能手动或指定日程的方式,通过邮件发送所有报告。 | |
| 提供趋势分析的报告 | 可按照安全级别,策略趋势,及自定义时间来图形化显示事件趋势。 | |
| 定制报告模板 | 可自定义报告样式及条件。 | |
| 以个人为中心的风险评估报告 | 可以针对个人风险值、个人风险排名、个人事件数据统计等生成以人为中心的报告。 | |
| 敏感数据自动发现 | 预先设定敏感字段策略,当读取到数据库敏感字段,能够事件告警 | |
| 支持mysql、oracle数据的敏感数据发现 | |
| 网络共享文档扫描任务 | 一个扫描任务可以同时加载多个策略。 | |
| 扫描目标可以逐条式添加也可以添加多个扫描目标 | |
| 扫描任务可以一次性支持,也可以设置成周期性的执行任务,由系统自动启动扫描任务。 | |
| 支持在扫描过程中,用户手动暂停、停止扫描。 | |
| 扫描对象也可以应用过滤只扫描某些文件,过滤的条件可以是文件的大小,文件的日期,或者指定的内容。 | |
| 扫描技术支持完整性扫描和增量式扫描。 | |
| *邮件归档 | 支持邮件归档,可自定义归档时间,已命中的邮件,在系统中归档也可以远程存储、归档 | |
| | 系统能够与现有邮件系统集成,通过自有MTA模式,实现自动化的违规邮件审批流程。可以对同一份邮件应该具备多个响应动作,阻断同时给收件人、发件人发送通知、给管理员Notify、给上级领导进行审批。 | |
| 支持识别多种目标 | 支持SMB/CIFS文件服务器 | |
| 支持NFS文件服务器 | |
| 产品部署要求 | 部署方便,支持集中管理,分布式部署。即系统具备专门的集中管理平台,可以同时管理多台设备,如集中的策略下发,集中的事件展示等 | |
| 系统不仅支持旁路SMTP及MTA部署方式,还需要支持代理模式DLP部署并同时支持内置用户认证系统,串行部署,ICAP模式部署以保证多种业务需求, | |
| 支持多种部署方式同台在线切换,并且不会丢失原有事件 | |
| 串行部署支持Bypass功能 | |