揭秘 AnyShare 如何保护桌面数据安全
桌面终端包含有企业大量敏感信息数据,如果没有合理的对终端桌面进行安全管控,非常容易发生泄密事件。Anyshare 通过 与 DLP防泄密产品进行整合,让企业能够更加有效的做好数据管理与数据安全保护的工作。
总体方案
将爱数AnyShare的Windows客户端进程名(tray.exe和ShareWebWindows.exe)加入到 DLP 加密系统的透明加解密策略(Hook名单)中,可以实现:从AnyShare客户端上传到服务端的文件自动解密,从AnyShare客户端下载到本地的文件自动加密。也就是:存储在AnyShare服务端的文件都为明文,存放在终端桌面的文件都为密文(包括AnyShare本地缓存目录)。优点1:爱数和加密厂商都不用做集成开发,实施简单易于部署,只需要加密系统在现场配置策略即可,后期双方也不用做过多的版本维护。
优点2:可以通过灵活的配置满足不同客户的要求,目前遇到的有两类使用场景:
l 一类是需要在终端桌面加密,而对于AnyShare要保留完整的云盘功能(文件内容处理相关功能),这种就可以在加密系统那端添加策略的方式满足。
l 另一类对安全要求更严格,不仅在终端桌面要加密,文件上传到AnyShare服务器也要加密(客户宁愿牺牲一部分云盘功能),这种就不需要在加密系统那端添加策略,各自部署即可。

文件加解密实现方案
总体原则:上传解密、下载加密
前置条件:DLP 客户端将爱数 AnyShare 客户端程序添加到透明加解密策略名单中,钩挂 (hook) 爱数客户端对于文件的操作行为。
1 当文件将要上传时,DLP 客户端拦截到爱数的文件读取行为,对文件内容进行解密,爱数再将文件内容上传到服务端。这样云端的文件即为明文。
2 当文件从服务端下载到本地, DLP 客户端拦截到爱数的文件写入行为,对文件内容进行加密。这样本地的文件即为密文。
3 在本地,不管是爱数云盘缓存目录,还是磁盘分区目录,都由 DLP 客户端控制文件的加解密行为,爱数不进行干预。

下面以某DLP安全管理系统配置为例作为演示:
1. 在终端分别安装AnyShare客户端和DLP加密客户端,然后各自登录普通用户。

2. 在DLP的Web管理控制台,先使用配置管理员登录,在位置 [配置管理] -> [程序控制管理] 下,选中“程序配置”节点,右键【添加配置】,创建专用于AnyShare的程序策略,生成一个子节点。

3. 然后选中该子节点,继续创建进程策略。

4. 再选中进程策略下的子子节点“受控类型”,继续创建受控的文件格式类型,建议把常用的办公文档格式都添加进去。

5. 然后生成如下的配置策略:

6. 按照以上步骤,把AnyShare客户端的两个进程 tray.exe和ShareWebWindows.exe都分别配置好。
7. 在DLP的Web管理控制台,使用系统管理员登录,在位置 [安全策略中心] -> [安全管理策略] 下,添加一个安全策略(专用于AnyShare)。

8. 在新增的策略编辑页面中,点击展开“受控程序设置”栏,将之前已创建的AnyShare程序名单添加到右侧的“已选策略”中,并点击上方的【确定】按钮进行保存。
9. 在DLP客户端的托盘右键菜单里点击【策略更新】,重新获取服务端的管理策略。

达成效果
此时将AnyShare缓存目录以外的某个本地文件进行手动加密或自动加密,手动加密是要选中文件并右键选择加密:
将这个加密的文件放入AnyShare缓存目录,触发上传操作,DLP客户端进程会自动将文件解密,上传到AnyShare服务端后变为明文,可以被全文检索和在线预览。
反之,将AnyShare服务端的文件下载到缓存目录或拷出盘外,DLP客户端也会自动将文件加密,落到本地后变为密文。
合作集成的边界原则
爱数 AnyShare 负责管控云端的文件,以及文件在终端与云端之间的协同过程
DLP 系统(合作方)负责管控终端桌面的文件,以及文件的外发过程


赞
点个赞吧!
请就本文对您的益处进行评级: