亿格云SASE扩展数据防泄漏XDLP解决方案_全域UEBA识别风险系统

亿格云SASE扩展数据防泄漏XDLP解决方案

XDLP结合了零信任和传统DLP技术，是对传统DLP的变革性技术演进，是一种新的、现代的数据保护方法。全场景使用应用DLP、终端DLP、网络DLP、UEBA技术进行全域风险评估。一朵集中管控安全的“云”+ 一张全球办公加速的“网”+ 一个安全能力合一的“端”。

立即咨询

首页 > 产品中心 > 数据安全 > 亿格云SASE扩展数据防泄漏XDLP解决方案

从工作场景看数据泄密风险 icon

常见数据防泄密措施及其适用性分析 icon

传统数据防泄漏（DLP）产品落地常见问题 icon

客户端覆盖难
铺端缺乏抓手，无法覆盖公司全部终端，BYOD设备难以管理和覆盖。

场景覆盖不全
多分支难以一网统管，远程办公场景只有终端DLP且脱离管控，数据安全水位下降，不能管控应用数据访问和下载。

易被绕过
被加密、改名绕过终端检测，网络DLP无法解密，HTTPS流量，被加密流量绕过网络检测，盗用、借用账号难以检测溯源。

运营难
海量告警难以分析，出现数据泄露事件难以溯源取证。

体验差
客户端资源占用高，用户体验差，影响办公效率，导致用户抵制使用。

从传统DLP演进到XDLP icon

XDLP结合了零信任和传统DLP技术，是对传统DLP的变革性技术演进，是一种新的、现代的数据保护方法。在监控模式方面，从原来的监控外发转变为从数据下载到流转到外发的全链路跟踪在数据识别方面，除传统的正则表达式、机器学习外，增加了业务上下文如来源应用、文件血缘关系等识别技术在风险评估方面，全场景使用应用DLP、终端DLP、网络DLP、UEBA技术进行全域风险评估。

亿格云SASE架构助力XDLP全场景一致、全球一网统管 icon

一朵集中管控安全的“云”+ 一张全球办公加速的“网”+ 一个安全能力合一的“端”

基于SASE架构构建结合零信任的XDLP解决方案 icon

内网应用隐身，收敛数据暴露面 icon

收敛互联网暴露面

• 在应用侧部署连接器（Connector），连接器反向TLS隧道连接POP网关，内网应用和连接器都不对互联网暴露

• 有端访问场景对互联网暴露POP网关，POP网关通过TCP-based SPA隐身

• 无端访问场景对互联网暴露企业门户

快速落地零信任

• 无需修改路由或者预留IP段，无需改造应用，快速落地零信任

灵活的访问方式

• 支持零信任客户端访问内网B/S及C/S应用

• 支持无端通过企业门户访问内网B/S应用

• 支持钉钉、企微、飞书工作台通过企业门户访问内网B/S应用

【权限管得细】铺端有抓手，账号难盗用，外来设备可管控 icon

【访问看得清】通过透明应用网关实现员工网络访问行为全面可视 icon

应用自动发现、访问关系自动分析，帮助发现影子IT icon

事前、事中、事后全链路API数据安全防护 icon

定义敏感数据识别及分类分级规则 icon

开启内置数据分类分级规则
内置10类、100+种文件类型分类分级规则，覆盖日常办公95%场景；支持MS Office、Apple iWorks、PDF等办公文件，支持37类工业设计文件

自定义敏感数据来源应用
不依赖内容，基于来源应用识别敏感数据；例如定义GitLab、PLM为敏感应用

自定义敏感数据识别规则
支持字典、正则、关键词、算法、机器学习等敏感内容匹配方式，支持配置X个命中Y个

终端外设传输通道管控 icon

功能：管理和控制终端使用外设；场景：通过设备白名单仅允许使用公司移动硬盘，对高管开启人员白名单允许使用任何外设，对特殊人员开启人员黑名单禁用所有外设。

屏幕水印防截屏拍照，文件水印跟踪外发文件 icon

明水印威慑，暗水印追踪，同时开启明/暗水印时，显示明水印，调用API插入文件水印，或人工上传文件插入文件水印。

基于内容和通道进行拦截 icon

支持主流的即时通信、邮箱、云盘、云笔记、远程控制、代码托管平台等网络通道

透明HTTPS解密防止被加密流量绕过网络检测 icon

不改变网络，透明引流并解密，邮箱可以审计到发件人、收件人、抄送、密送、邮件主题及正文

SaaS应用数据防泄漏 icon

让管理者实时掌握SaaS使用情况，实现精细化访问控制、员工行为可审计和数据防泄漏

全域UEBA分析存在数据安全风险的员工，记录并取证 icon

全链路数据防泄漏

系统部署和终端覆盖
系统部署交付，推动员工安装客户端，配置客户端自保护（防卸载、防注销），配置离职BYOD设备自动卸载客户端。

收敛数据暴露面
通过零信任网络访问收敛内网应用数据暴露面，首先通过远程办公零信任收敛互联网暴露面，有条件可以转向全网办公零信任把内网暴露面也收敛掉。

细粒度访问控制
从网络访问控制转变为基于身份和应用的细粒度访问控制，通过应用自动发现和权限智能梳理功能，梳理并定义最小权限，配置待离职员工降权策略。

数据分类分级
开启内置数据分类分级规则

自定义敏感数据来源应用

自定义敏感数据识别规则

配置终端敏感数据扫描策略

配置外设管控策略
仅允许使用公司移动存储，黑名单禁用所有外设，白名单不做任何限制。

配置网络管控策略
敏感数据网络通道外发拦截及审批规则

审计 & 告警 & 取证
启用内置告警规则，配置风险通知策略（短信、邮件），开启截屏取证功能，开启屏幕水印，或应用集成文件水印功能。

日常运营
运营敏感数据识别规则

定期检查敏感数据资产分布

重点人群监控

高风险告警事件处理

高风险人员调查

最佳实践：结合来源应用和文件血缘技术，防绕过终端检测 icon

最佳实践：定期检查敏感数据是否存在异常分布 icon

场景：比如IT运维终端上存在财务报表，销售终端存在设计文件等。功能：自动扫描监控办公终端中敏感数据资产分布情况，根据文件流转链路形成关系网。支持以文件视角，查看相似文件都在哪些终端设备中存在。

最佳实践：离职员工数据泄露风险管控 icon

待离职

• 内网应用降权，只允许访问非敏感应用

• 禁止从内网应用下载数据

• 风险人员监控&审计

已离职

• 自动同步组织变动信息

• 自动摘除入网权限

• 自动卸载客户端

AWP自动化理念帮助降低数据安全运营成本 icon

自动化配置
一键开启内置通用数据防泄漏场景规则，一键使用内置敏感数据识别规则，机器学习自动生成敏感数据定义

自动化辅助调查
事件全过程记录，关键行为截图取证，自动生成用户风险分析报告，取证及离职行为分析

自动化风险分析
告警规则自适应调整，通过基线进行异常分析与告警，自动化的用户风险画像

亿格云SASE XDLP方案优势 icon

DLP客户端覆盖全部终端
通过零信任网络准入功能，未安装客户端的终端无法访问内网应用，来确保客户端可以覆盖全部终端。

防加密、改名等绕过手段
根据来源应用和文件血缘，从访问应用、下载数据到本地修改、终端间流转、外发，全链路跟踪，自动识别和保护敏感数据，防加密绕过

HTTPS应用DLP
网页邮箱（如M365、Exchange邮箱、阿里云邮）、笔记、云盘（如百度网盘）、IM（如微信）等Web类SaaS应用，数据泄露监控、阻断

全域UEBA识别风险
UEBA识别数据安全风险人员和风险事件，数据地图一键查人和一键查文件，快速分析跟踪

全球快速一网统管
混合部署模式下，全球各地区的办公网点只需要安装Agent即可接入，分钟级完成上线

全场景一致的高安全水位
无论在总部、分支，还是居家、差旅，全场景保持一致的数据安全水位

核心团队曾打造多个亿级安全产品，服务超过10万家企业 icon

创新产品云枢SASE已经获得广泛的市场认可 icon

产品推荐查看更多>>

天融信安全基线管理系统

天融信基线管理系统TopTBM是由天融信公司开发具有自主知识产权的安全配置核查产品。系统采用高效、准确识别技术，实现对网络设备、安全设备、服务器、中间件等IT资源进行自动化安全配置检查、分析，并提供专业的合规性报表与相关安全配置项的建议。

高效稳定

安全可靠

立即咨询查看详情

文档安全外发系统【ODC】

文档安全外发系统针对当前各类组织机构核心数据外发安全需求而自主研发的一款保障信息资产安全的产品。在毫不影响用户操作习惯和工作效率的同时，保障信息资产在外发过程当中的安全。

高可用

安全可靠

立即咨询查看详情

敏捷科技DLP数据防泄漏防护系统

敏捷科技针对文档安全、文档管理、数据泄露防护、打印安全和文件备份需求及当前企业核心数据面临的各个方面的管理问题及安全风险，并结合已有的产品基础，提出数据安全卫士系统DGS（Data Guard System）这一整体数据安全与数据管理解决方案，为企业的各类电子文件提供全生命期的安全保护和有效管理，防止文件泄密。其中Agile DLP数据泄漏防护模块是以监控为主，审计为辅的方式，防止员工泄露企业信息，给企业带来损失。

高效稳定

安全可靠

立即咨询查看详情

数字化社区查看更多>>