Vontu DLP数据防泄漏方案模版

XX移动

数据防泄漏解决方案

赛门铁克软件（北京）有限公司

2008年11月

数据防泄漏方案

目 录

第1章 设计思路 ................................................................................................................................. 1 1.1 1.2 1.3 1.4

什么是数据防泄漏 ................................................................................................................. 1 机密信息的划分标准 ............................................................................................................. 1 全面的多层次防护 ................................................................................................................. 2 首要解决大概率事件 ............................................................................................................. 4

第2章 数据防泄露技术介绍 ............................................................................................................. 5 2.1 2.2

概述 ......................................................................................................................................... 5 产品功能模块介绍 ................................................................................................................. 5

第3章 数据防泄漏技术实现 ............................................................................................................. 8 3.1 3.2 3.3

定义企业机密信息：如何建立机密信息样本库 .................................................................. 8 制定监视和防护策略 ........................................................................................................... 12 部署监视防护策略，检测敏感数据 .................................................................................... 13

3.3.1 3.3.2 3.3.3

网络 DLP ..................................................................................................................... 14 端点DLP ...................................................................................................................... 18 存储DLP ...................................................................................................................... 23

附录一：VONTU DLP支持的文件类型 ............................................................................................ 29

I

数据防泄漏方案

第1章 设计思路

1.1 什么是数据防泄漏

对企业而言，在面临来自外部的病毒、木马、网络攻击等种种网络安全威胁时，来自内部的数据泄露或许是一个更需要重视的问题。无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁。在这些数据泄露情况中，大部分情况下都是员工在无意中泄露出去的，但还有一些则是由员工有意为之。一个使用没有安全防护的笔记本电脑的移动办公人员，可能有意或无意地通过无线网络泄漏公司机密信息。与此同时，大量支持USB连接的设备不断涌现，也使得企业的机密信息很可能便被装进U盘或者移动硬盘等方便地带走。当发生数据泄密时，在安全专家忙于恢复敏感数据和修补泄密漏洞期间，企业的时间、资金和声誉都会遭受到严重的威胁。企业安全专家总处于一场没有终点的战争中：当原来的泄密漏洞刚刚得到控制，新的数据泄密情况却又伴随着其他众多设备的使用而频繁出现。

企业信息化目的是为了信息和数据的共享，而数据的生命周期中包括存储（生成数据的服务器和存储设备）、使用（数据的使用者对数据进行操作）和传输（数据从一个地点传送到到另外一个地点）三个基本的生命过程。

数据防泄漏就是要保护企业的机密信息不被非法的存储、使用和传输。

1.2 机密信息的划分标准

显然，如果对企业内各种各样的海量数据全部进行同样级别的保护，等于没有任何保护。因此数据防泄漏的一个基本点是确定信息的机密性分类。对于可以完全对外公开的数据，不需要任何的信息防泄漏防护措施；对于关系到企业生存、发展、声誉的重要数据，应当严格控制其存储位置，使用方式和传输方式。

如何对信息进行机密性的分类呢？最根本思想的是依据信息的内容来判断其机密性级别。信息的所有者（如业务人员）可以根据个人或者企业的相关规范理解自己创建的信息内容的机密性级别。至于如何操作，实现方式包括以下两种：

- 1 -

数据防泄漏方案

1. 基于权限。信息所有者对信息载体（数据库或者文件）进行权限设定，

即什么样的人可以访问什么样的信息。这是一种最直观的信息保护模型，但是其实践和操作具有很大的局限性。首先，被保护的对象不是数据的内容，而是数据的载体，因此一旦载体发生变化，原有的权限设定和控制就失去效力。比如，从数据库查询到信息存成文件格式，则对数据库表的权限设置即失去意义。另外，当把文件中的某些关键信息拷贝粘贴到其他文档，或者转换成其他格式，对于原有文件的权限设定也同样失去防护意义。其次，权限设定在操作中将极大地影响现有的工作流程管理和用户使用习惯。显然，越大型的网络环境复杂度将呈现指数型上升，这也是基于数字权限的防护技术一直不能在市场上大规模应用的主要原因。特别是对于非结构数据，如文件，设想一下，对不计其数的文件进行权限的管理，为每个文件设定可以访问、阅读、修改等权限，最终用户和管理员将不堪负重。最后，并不是所有的文件类型都可以象pdf文档一样进行权限设定，因此为了保证有效性经常需要进行格式转换，这又带了了转化后数据无法逆转，格式失真，用户使用习惯更改等更多问题。

2. 基于内容。显然，信息防泄漏关注的根本在于信息的内容。基于内容的

机密信息分级将大大地减少管理实施难度，确保防护的有效性。管理员只需要知道我们的机密信息应当存储在数据库的那个表中，或者服务器上的哪个目录下，就可以完成对信息机密性级别的定义。显然，信息的所有者很容易提供以上信息，并且无需费神去设定权限。一旦确定了机密信息的存储位置，则可以自动地建立机密信息样本数据库，进而在存储、网络、终端各个层面发现机密信息泄漏事件。

1.3 全面的多层次防护

信息防泄漏不是单独地依靠一种产品或者一种技术就可以完善解决的任务，必须建立全面的多层次防护体系，并辅以适当的管理、流程和培训，才能确保我们实现数据防护的目标。从防护层次上包括IT基础架构安全、数据安全、安全

- 2 -

数据防泄漏方案

管理三个方面：

? IT基础架构安全防护

IT基础架构安全包括网络、服务器和终端的安全。

对于大型网络首先要划分安全域，在安全域之间的边界实施监视和访问控制，做到看得见、管得着。细粒度的网络访问权限控制是信息防泄密的基础。

服务器往往是存储机密信息的基础平台。因此我们需要在信息泄露事件发生之前能够预警、提前防范；在信息泄露事件发生时能够主动实时地防护；在信息泄露事件发生之后做到及时告警、快速响应和恢复。即在预警、防护和响应三个层次上进行主动防护。以响应为例，用户、管理员、集成商人员等对于服务器的访问和操作应当建立完备的审计机制，无论是通过网络登陆还是本机操作，都可以查询管理人员操作的历史记录。通过详细记录用户行为，约束使用者对服务器上信息的操作，避免越权操作，并且可以确保安全事件发生时可以快速响应。

对于终端，严格地管理和约束终端行为，落实确保合法用户和合归操作。通过采用准入控制技术，使用技术手段进行控制，对于违反企业安全策略的终端限制其访问网络资源，从而保证所有接入网络内部的终端符合企业安全策略要求，特别信息防泄密的要求。

? 数据防泄露

企业需要重点保护客户数据、公司信息、知识产权及敏感或机密信息的安全，无论它们是通过电子邮件、web 邮件或其它因特网协议传出网络，还是通过 USB/CD/DVD 传出端点或保存在端点上，或者是保存在共享服务器和数据存储库中。

本方案将重点介绍Symantec公司Vontu数据防泄漏技术方案。Vontu Data Loss Prevention (DLP) 8是业界第一个结合了终端和网络功能的软件，它为机密数据的存储和使用提供保护。无论是存储在网络的、还是不联网终端上的数据，Vontu都可以发现它们，并且可以防止数据从网络网关和终端泄密。

Vontu网络数据丢失防护功能全面覆盖面很广，包含了email, Web, Secure

- 3 -

数据防泄漏方案

从客户数据库中查找与一条消息中同时出现的“姓”、“名”、“身份证号码”、“帐号”或“电话号码”中的任意三个相对应的记录。EDM 技术能够扩展至非常大的数据集，在每个客户部署的单台服务器上保护 3 亿多条客户记录。实际案例中，在一台服务器上，Vontu 已经在一个拥有 5 亿行数据的数据库测试了 EDM，这些数据每行都有四列，总共 20 亿个单独的数据元。该容量可以随服务器的增加而线性扩展。

EDM 允许在给定数据行的的任意列组合的基础上进行检测，即给定记录的M字段中的N。它可以针对“元组”，或指定的数据类型组进行发。例如，可以接受“名”和“身份证号码”字段的组合，但不能接受“姓”和“身份证号码”字段的组合。EDM 还允许使用更加复杂的规则，如查找 M 字段中的 N，但指定的元组除外。例如，可以要求姓、名和以下字段的任意一个：身份证号码、银行帐号、信用卡号或驾驶证号。

每个数据单元都保存有独立的散列，因此，查找不同数据组合的检测策略只能由一行中的相应数据触发。例如，要求“名 + 姓 + 身份证号码”的 EDM 策略将由“Joe + Smith + [Joe Smith 的 身份证号码]”触发，但不能由“Joe + Smith + [Jane Doe 的 身份证号码]”触发，即使 Jane Doe 也在同一个数据库中。EDM 还支持近接逻辑，以减少潜在的误报。对于检测过程中正在处理的自由格式文本，指纹的某一行中所有数据的字数都必须在可配置的字数范围内才会被视为匹配。例如，默认情况下，要达到匹配，所检测电子邮件正文中的“Joe”、“Smith”和“[Joe Smith 的 身份证号码]”的字数必须在所选字数范围内。对于包含表格数据的文本（如来自 Excel 电子表格的数据），指纹某一行中的所有数据都必须在表格文本的同一行中才会被视为匹配，以减少总体误报。

对于安全性极高的环境，Vontu 提供了一个独立工具“External EDM Indexer”，它允许用户在存储系统上直接创建密码索引，然后再将其移动到 Vontu Enforce 服务器。External EDM Indexer 还能够直接连接到 SQL 数据来创建 EDM 配置文件。

? 非结构化数据：索引文件匹配

- 9 -

数据防泄漏方案

索引文件匹配（IDM）确保精确检测非结构化数据，这些数据以 Microsoft Word 和 PowerPoint 文件、PDF 文档、设计规划、源码文件、CAD/CAM 图像、财务报告、并购文档和其它敏感或专利信息形式保存。业务或者系统管理只需要定义机敏信息应当存储的目录，IDM即可以对该目录下的文件建立索引，类似与google搜索引擎的方式，形成企业机敏信息的内容索引。

IDM 创建文档指纹来检测源文档、草稿或不同版本受保护文档的摘录部分，以及与二进制内容的精确匹配。Vontu IDM 还有将某些内容（如标准样板文本）列入“白名单”的能力，以减少误报。在一台服务器上，Vontu 已通过 IDM 指纹成功创建并检测了超过两百万个文档。与 EDM 一样，其容量也可以随服务器的增加而线性扩展。

部分文档匹配是 Vontu IDM 技术的一个特点。因为 IDM 注册和指纹识别文档的已摘录和已标准化的文本的不同部分，所以它允许在派生文档（如修订和版本）和段落（如粘贴到其它文档中的大块受保护内容）上进行可配置的匹配。如果指纹中检测到所有散列段，则同样的技术也用于文本文档的精确文档匹配。IDM 还支持以所有语言进行检测，包括那些拥有双字节字符集的语言。策略编写UI允许完全控制部分文档检测背后的设置，特别是触发事故所需的原指纹识别文件与检测信息匹配的百分比。内容被标准化，以除去标点符号和格式，这样对内容表示方法的修改就不会中断检测。Vontu IDM 使用统计取样方法来存储指纹识别文档的散列段，因此并非所有文本都存储在文档配置文件中。这种方法使 IDM 同时具有极高的准确率和可扩展性。Vontu 没有使用一些不是很先进的非结构化数据匹配技术，包括对从文档创建的散列进行过度采样，这种方法非常低效且浪费系统资源，或者是对散列进行随机取样，这将导致较高的漏报率。

IDM 检测技术的第二个特点是能够精确匹配二进制内容。除了创建针对部分文档匹配的内容散列之外，再创建一个二进制内容的 MD5 散列可以实现这一点。这种形式的检测可以用于任何文件类型，包括那些不能破解和已提取文本内容的文件，如媒体文件或一些专用文件格式。

? 补充：描述内容匹配

- 10 -

数据防泄漏方案

精确数据匹配和索引文件匹配两种方式都是从现有的数据中提取信息建立样本库。当不可能或难以获取信息副本进行索引，或者当精确内容未知但可以描述时，可以采用描述内容匹配（DCM）辅助建立样本库。不同于精确数据匹配和索引文件匹配自动建立样本哭的方式，DCM需要业务或者系统管理手工输入机密信息的关键内容。

描述内容匹配（DCM）具有高度准确性，对结构化和非结构化数据同样适用，它通过用户输入Vontu Enforce 中的 Vontu 数据标识符、关键字、词典、模式匹配、文件类型、文件大小、发送人、接收人、用户名和网络协议信息来检测数据丢失事故。

DCM 包含 20 多个现成的数据识别符，准确识别基于敏感模式的数据，如信用卡号、社保编号或驾驶证号。数据识别符利用检测算法，将模式匹配与其它准确性检查和验证相结合，如用于信号卡号的 Luhn 检查。与只用正则表达式识别模式的解决方案不同，数据识别符还包括有关不同数据类型有效编号范围的内置智能功能。例如，只有合法的身份证号码才会被检测。这种额外的智能功能使客户能够在屏幕上显示出测试数据和其它频繁发生的误报，并识别特定于各种行业、国家和地区的数据类型，包括信用卡号、符合支付卡行业（PCI）数据安全标准的磁条数据、银行卡发卡行标识代码（BIN）、社保编号和保险编号等。例如，社保编号的数据识别器将不仅查找九位数字的编号，它还将查找以破折号或空格分隔的 DDD-DD-DDDD 模式，其中的编号是处于有效分配编号范围内的公共测试编号（如 123456789），或者已经排除了所有相同的阿拉伯数字，显示社保相关的关键字。

Vontu 的关键字检测提供匹配任意单字或短语的功能，包括那些使用任何普通字定界符，如空格、逗号、短划线或斜杠等。用户可以针对每种情况配置区分大小写的关键字匹配。可以针对每种情况单独配置定义事故的匹配关键字或关键字短语的数量。

- 11 -

数据防泄漏方案

3.2 制定监视和防护策略

Vontu Enforce 提供一种集中用户界面，用户可以从中快速方便地构建可以在所有 Vontu 产品中应用的数据丢失策略。每种策略都是检测规则和响应规则的组合。当违反一种或多种检测规则时，将生成事故。Vontu 支持布尔逻辑来构造复杂的检测规则，允许用户使用 AND、OR 和 NOT 逻辑运算符来组合多条规则和条件，还可以在单个策略中结合不同的检测技术。在异常中将会考虑特定数据和发送人／接收人的“白名单”。这些高度可配置的检测规则和异常规则的最终结果准确性非常高，且误报最少。策略中的每个检测规则都被指定一个严重性等级，事故的总体严重性由所引发的最高严重性级别确定。用户还可以定义消息组件，如正文、标题或附件，针对这些组件可以出现任何检测规则。另外，经过指纹识别的数据配置文件在特定的策略外部定义，这使得可以在多个策略中引用经指纹识别的内容。

客户可以创建他们自己的策略，或者利用 Vontu 提供的 60 多个预先构建的策略模板，这些模板覆盖多个行业和规章，以帮助客户尽快开始工作。

当违反了数据丢失策略时，那么就评估该策略相对应的自动响应规则。自动响应规则可以由不同的条件触发，包括事故严重性、事故匹配计数、消息的通信协议以及检测到该事故的 Vontu 产品类型。Vontu DLP 8 中提供 15 个自动响应规则，包括发送电子邮件通知（向最终用户和／或其经理等）、设置事故的状态、拦截文件被复制到 USB 设备中并向员工显示屏幕弹出消息、拦截数据传送（SMTP/HTTP/HTTPS/FTP）、修改 SMTP 电子邮件（这样就可以将它重新路由到电子邮件加密网关等），或者复制或重新定位休眠的文件。这些自动响应规则提供多种方法来自动划分入局事故的优先等级，以关注纠正工作并确保有适当级别的响应。例如，某些事故（如来自高净值客户的数据或流入竞争对手的敏感设计规划）可能会自动触发拦截规则，且该事故可能会升级为引起立即关注的特殊工作流。或者客户可能会希望区别对待涉及 1000 条客户记录的事故和涉及 10 条客户记录的事故。响应规则是在特定的策略外部定义的，因此可以使用相同的响应，而无需为每个单独策略重新定义响应。

- 12 -

数据防泄漏方案

3.3 部署监视防护策略，检测敏感数据

在 Vontu Enforce 中创建或更新了EDM 或 IDM 指纹和策略后，它们被立即推送到所有其它适当的 Vontu 服务器（Vontu Network Monitor 和 Vontu Network Discover 等）那里。它们将留在这些服务器的物理内存中，以进行快速处理。然后，执行检测的 Vontu 服务器将扫描入局消息或文件、提取破解的内容、对此数据应用 Vontu 散列算法，然后将此散列数据与该服务器的 RAM 中包含的检测规则进行比较。这种在所有 Vontu 服务器中进行分布式检测处理的方法是整个套件可扩展性的关键因素，当在任何大型企业中部署时，在管理服务器上进行集中检测的一些其它方法将会遇到严重的问题。最后，还有一个要点须注意，所有 Vontu 服务器产品在所有检测技术中均以相同的方式执行检测。各服务器产品的不同之处就在于 Vontu 产品接入将扫描的数据的方式：

_ Vontu Network Monitor 服务器：扫描从网络 SPAN 端口或分流器接收的数据副本

_ Vontu Network Prevent for Email 服务器：扫描从 MTA 接收的电子邮件 _ Vontu Network Prevent for Web 服务器：扫描从 web 代理程序接收的 HTTP/S 和 FTP 流量

_ Vontu Endpoint Prevent/Discover 服务器：扫描从 Vontu Endpoint Agent 接收的文件副本

_ Vontu Network Discover/Protect 服务器：扫描从数据存储库读出的文件和数据

该检测过程的明显例外就是当 Vontu Endpoint Agent 可以执行本地检测时并且该策略中只有有基于 DCM 的检测规则推送给它们。在此场景中，Vontu Endpoint Server 不执行检测，而只是将发送给它的事故从 Vontu Endpoint Agent 传递到 Vontu Enforce。本文的“端点 DLP”部分将讨论有关基于代理程序检测的更多内容。

如果识别到敏感数据且生成了事故，Vontu 服务器可以自动执行某些自动响

- 13 -

数据防泄漏方案

应，如拦截／修改数据发生送或复制／重新定位文件。如果代理正在执行本地检测，则会启用 USB/CD/DVD 拦截的自动响应规则。在任何情况下，当检测到某事故时，相关事故信息都会立即发送给 Vontu Enforce，在这里，事故的详细信息将存储在 Vontu Enforce 数据库中，并可以激活其它自动响应规则（如电子邮件通知）。

3.3.1 网络 DLP

Vontu Network DLP 产品位于 DMZ 中的网络出口，其中包括 Vontu Network Monitor 和 Vontu Network Prevent。Vontu Network Monitor 扫描离开企业的所有数据，以查看其是否包含敏感信息。Vontu Network Prevent 添加了为加密、隔离电子邮件和拦截包含敏感数据的 web 和 FTP 通信而重新定向电子邮件的功能。大多数 Vontu 客户在多个协议中都使用 Network DLP 产品，来确保数据丢失威胁的广泛覆盖。他们还看到了前后使用这两种产品的价值，因为 Vontu Network Prevent 增加了自动拦截的功能，且 Vontu Network Monitor 覆盖了 Vontu Network Prevent 没有覆盖的协议。Vontu 的网络 DLP 解决方案使企业能够监视离开企业的数据，以保护知识产权、证明其遵从性并保护他们的品牌和声誉。

? Vontu Network Monitor 的工作原理

Vontu Network Monitor 被动检查网络流量并针对所有的网络协议和内容类型，在保密信息离开网络之前对其进行检测，使企业能够限定和量化数据丢失风险。例如，Vontu Network Monitor 可以检测使用IM或公共 web 邮件提供商的员工向竞争对手发送产品计划和其工作的保密样本。它还可以识别中断的业务流程，该流程导致将社保编号未经加密发送到可靠的合作伙伴。Vontu Network Monitor 的基本操作非常简单。它位于网络出口处，分析网络信息包的副本，检测数据是否违反策略。

网络协议在 Vontu Network Monitor 设置中进行配置，其中可以包括公共数据传输协议和交互协议，如SMTP、HTTP、FTP 流量（包括主动和被动方式发

- 14 -

数据防泄漏方案

送的数据和控制会话）、IM 流量（AIM、Yahoo 和 MSN Messenger）、IRC 和 Internet News（NNTP）。通过Universal TCP协议定义，可以对非标准和专用协议进行定制式监视，如文件共享网络 Kazaa 或 FastTrack。Vontu Network Monitor 还可以监视加密的使用和类型，包括检测未经授权使用加密和验证是否遵守了加密策略。

Vontu Network Monitor 是端口不可知论者，它基于协议签名识别应用程序级别的网络流量来执行策略，即使流量从非本机端口离开也不例外。例如，只要 TCP 连接的格式符合在 Vontu 系统中配置的 HTTP 协议签名，则不使用标准 TCP 80 端口的流量也仍将被分析和分类为 HTTP。类似地，根据 Vontu 基于协议签名匹配流量并识别隧道协议的功能，在 HTTP 内进行隧道传送的即时消息将会被正确识别为 IM 协议。

Vontu Network Monitor 通常由客户配置，检查最有可能丢失保密数据的流量。在典型数据中心中，有大量低威胁流量（如 UDP 或安全 VPN 流量）以及与高威胁流量（如 SMTP、HTTP、FRP 和 IM）纠缠在一起的入站流量。在标准部署中，Vontu Network Monitor 被配置为过滤出低威胁流量，以确保不会花费 CPU 周期来处理低风险数据。可以免于分析的数据包括：加密的流量、流媒体或低风险自动管理业务（如 IM 持续连接）等。将检查网络流量的范围缩小为最高风险的通信是通过为 IP 网络和地址、应用层发送人和接收人以及数据头中的任意名称值对配置过滤器实现的。

? Vontu Network Monitor 部署

有两种方法可以实施 Vontu Network Monitor，通过使用端口镜像（SPAN）或网络分流器配置。在网络交换机上使用端口镜像方法，所有进出端口的网络数据包都将被复制到另一个与 Vontu Network Monitor连接的专用交换机端口。这样，Vontu Network Monitor 将获得所有流量的副本。还有一种备选方法是在物理网络中放置一个硬件网络分流器，使流量经过该分流器，将数据包的副本向外发送到 Vontu Network Monitor 的两个监视端口。该分流器方法会分离入站和出

- 15 -

数据防泄漏方案

站流量，这样可以在不破坏流量的情况下，重新组合接近 Gb/s 速率的流量，以进行分析。

Vontu Network Monitor 实时处理流量，因此它必须能够处理峰值负载。对于流量负载较高的网络，Vontu 建议使用高性能网络接口卡。高速网卡提供缓冲功能，这样对系统 CPU 的中断较少，支持在不丢失数据包的情况下提高 Gb/s 持续吞吐量。为了帮助高负载环境，Vontu Network Monitor 可以水平扩展，在多个 Vontu Network Monitor 间进行流量的负载均衡。可以将多个监视器连接到网络端口镜像或分流器，并配置单独的监视器来查找特定的协议或各种 IP 地址。还有一种选择是使用负载均衡设备在网络分流器和监视器之间引导流量。Vontu Network Monitor 扩展性好，一台服务器能够分析高达 1Gb/s 的流量，而不出现数据包丢失。在若干大型客户部署中，多台 Vontu Network Monitors 覆盖了超过 100,000 名用户，其中一位客户在 24 小时内处理了超过 10 亿条消息。有关产品硬件要求，请参阅附录。

? Vontu Network Prevent 的工作原理和部署

Vontu Network Prevent 可用于 SMTP（“Vontu Network Prevent for Email”）或 HTTP/HTTPS/FTP（“Vontu Network Prevent for Web”），并通过重定向、隔离或拦截包含保密数据的传输，主动防止保密数据丢失。HTTP 覆盖包括通信，如 web 邮件发送（如 Gmail 或 Hotmail）、网站 POST、博客或互联网论坛记录。就像“检测和准确性”节中描述的那样，Network Prevent 检查数据，以确定数据是否违反数据丢失策略。为了使 Vontu Network Prevent 拦截数据传输，实现对Vontu Network Prevent for Email 的有条件加密，要求与一些第三方产品集成。包括：

? Vontu Network Prevent for Email

Vontu Network Prevent 使用一个支持与各种企业级 MTA 兼容的 API，这些 MTA 支持标准 SMTP 和扩展 SMTP（eSMTP）消息及转发功能。这使得公司能够使用他们现有的基础设施，在出站 SMTP 消息传递流中无需其它步骤。

- 16 -

数据防泄漏方案

Vontu Network Prevent 已经成功完成了与各公司 MTA 的集成测试，包括 Symantec、IronPort、Postfix、CipherTrust、Sendmail、Proofpoint、SonicWall 和 Clearswift。对于加密，Vontu Network Prevent 可以使用任何标准加密网关产品，包括 PGP、PostX、Zix、Voltage 和 Tumbleweed。

部署在Vontu Network Prevent 服务器上的策略引导 Vontu Network Prevent 集成 MTA 根据具体的内容或其它消息属性，拦截、重新路由或改变电子邮件消息。例如，如果电子邮件符合策略，它将被发送回 MTA，不作任何改动地随电子邮件链发送。如果电子邮件违反数据丢失策略，Vontu Network Prevent 可以修改该电子邮件标题并将其发回 MTA。例如，某条拦截 SMTP 消息可能会返回 SMTP 5xx 故障响应代码，其中包含在策略响应规则中指定的文本。MTA 还可以丢弃消息、重定向消息到隔离文件夹，或者转发到电子邮件加密网关。重定向消息可以通过在主题行中添加关键字或由 Prevent 服务器创建一个经过修改的 RFC 2822 消息报头（如 X-CFilter: Encrypt）来完成。根据这些经修改的主题行或报头，MTA 可以做出消息转发决策，并包含从加密网关或其它下游消息系统处理所必需的任何其它消息格式。

由于 Vontu Network Prevent 服务器会在出站消息流关闭前，一直保持入站消息流的打开，所以在接收 MTA 保存消息的备用副本之前，永远不会从发送 MTA 删除该消息。请注意，Vontu Network Prevent 服务器不是 MTA。它不会存储消息，也不会以任何方式重新路由消息 —— 它只是将电子邮件“反射”或转发到 MTA。

? Vontu Network Prevent for Web

对 HTTP、HTTPS 和 FTP 来说，Vontu Network Prevent 与符合 ICAP 的 web 代理集成，如 Blue Coat、Cisco 和 Network Appliance。Web 代理被配置为排队出站数据传除，并将副本发送到 Vontu Network Prevent 进行扫描。如果数据传输不违反数据丢失策略，Vontu Network Prevent 将指示代理将数据传输到其指定的目的地。如果数据传输确实违反了策略，Vontu Network Prevent 可以选择告知代理终止传输，或者它可以选择仅把保密数据从 web 传输中删除。在后一

- 17 -

数据防泄漏方案

种情况中，数据传输将继续传送到目的地，且不影响 web 浏览器。这在处理复杂的 Web 2.0 web 应用时特别有用，否则当拦截整个传输时就可能会挂断浏览器。对 HTTP/HTTPS来说，Vontu Network Prevent 可以选择显示一个新 web 页面，传回最终用户，通知最终用户违反了策略，传输被拦截。

Vontu Network Prevent 使用标准的互联网内容适配协议（ICAP）接口，支持对违反所配置策略的内容进行请求修改（REQMOD）和响应修改（RESPMOD）检查。REQMOD 允许扫描出站 HTTP、HTTPS 和 FTP 请求，包括 网站 GETS、网络邮件 POSTS 和 FTP PUTS。RESPMOD 允许扫描相应入站 HTTP/HTTPS 响应，从原始请求返回内容。这种检查能够监视公司网络邮件访问和内联网应用，通过这些应用，可以将保密数据下载到非可靠机器、个人用户机器或远程位置。

3.3.2 端点DLP

Vontu Endpoint DLP 赋予数据安全团队在端点（特别是笔记本和台式机）上保护保密数据安全所需的洞察力和控制权。Vontu Endpoint DLP 包含两个产品。第一个是 Vontu Endpoint Prevent，它监视和拦截离开端点的保密数据。它还可以在屏幕上显示弹出通知，告知最终用户违反策略的情况。第二个产品是 Vontu Endpoint Discover，它扫描端点上已保存的保密数据。这两个产品都由单个服务器（“Vontu Endpoint Server”）和安装在端点上的单个代理（“Vontu Endpoint Agent”）支持，包含数据丢失策略并执行本地检测。即使当端点从公司网络断开连接时，该代理仍然支持这两个产品的运行，因此可以提供持续的“随时随地”的保护。

? 端点DLP架构

Vontu 使用三层架构和基于代理的检测，来支持拥有上万个端点的可扩展企业部署。这三层分别是 Vontu Enforce、Vontu Endpoint Server 和 Vontu Endpoint Agent。下图阐释的是一个使用多个 Vontu Endpoint Server 的大型企业部署。

- 18 -

数据防泄漏方案

Vontu Endpoint Agent 安装在 Windows XP、Windows Vista 和 Windows Server 2003 上，占用约25MB 的磁盘空间和约20MB 的内存。它包含 Vontu Endpoint Server 向它推送的数据丢失策略和过滤器／配置。这些数据丢失策略同时包含检测规则和响应规则。无论 Vontu Endpoint Agent 是否正在执行发现、监视或预防，它都以和本地检测相同的方式工作，通过“破解”开放文件并检查其中的数据来查看它是否违反策略。如果数据违反了策略，Vontu Endpoint Agent 将启动实时本地响应规则（如 USB/CD/DVD 拦截），然后通过 Vontu Endpoint Server 将事故数据发送到 Vontu Enforce。接下来，Vontu Enforce 将启动任何其它适用的自动响应规则，如对最终用户和／或其经理的电子邮件通知。事故信息将保存起来用于报告和补救，为企业提供其端点上数据丢失风险的完整视图。

如果推送到 Vontu Endpoint Agent 的所有策略都使用基于 DCM 或“基于描述”的检测规则（关键字、数据标识、正则表达式等），则Vontu Endpoint Agent只执行本地检测。如果策略包含任何基于 EDM/IDM或“基于指纹”的检测规则，则由于经指纹识别的索引可能很大，且存储这些索引和针对其执行检测所需的服务器级硬件也很大，Endpoint Agent 将不可能执行本地检测。在这种情况下，数据从 Vontu Endpoint Agent 传输到 Vontu Endpoint Server，在这里，服务器将以和所有其它 Vontu 服务器产品类似的方式检查数据是否存在违反策略的情况。当 Vontu Endpoint Server 执行检测时，不可能进行实时端点拦截和屏幕弹出消息。

- 19 -

数据防泄漏方案

? Vontu Endpoint Prevent 的工作原理

Vontu Endpoint Prevent 监视正被下载到或写入本地驱动器的数据，同时监视和拦截复制到 USB、防火墙或 SCSI 存储设备或烧录到 CD/DVD 的保密数据。它还可以选择显示屏幕弹出消息，通知最终用户违反了策略并包含一些字段供用户判断。

Vontu Endpoint Agent 包含 Vontu Enforce 推送给它的数据丢失策略和可配置的 Vontu Endpoint Prevent 过滤器。Vontu Endpoint Agent 能够与 Microsoft 的文件系统过滤驱动器（一种受支持的标准 API）集成，拦截文件系统写入和读取事故。这将确保所有文件系统活动的可视性，包括写入内部驱动器或已安装 USB 文件系统的数据，或者是在操作系统中嵌入的 CD/DVD 应用读取的数据。使用此 API 还可以确保与端点上其它代理的互操作性。Vontu Endpoint Agent“破解”那些满足过滤器参数条件的开放文件，扫描文件内的数据，将其与 Vontu Endpoint Agent 中存储的数据丢失策略进行比较，来查看是否存在策略违反情况。如果数据违反了策略，则触发相应的实时响应规则，如拦截和／或显示弹出通知。然后，Vontu Endpoint Agent 将通过 Vontu Endpoint Server 向 Vontu Enforce 发送事故数据。

Vontu Endpoint Prevent 过滤器包括可移除媒体过滤器和内置驱动器过滤器。可移除过滤器根据文件大小和类型，告知 Vontu Endpoint Agent 要处理的文件。例如，这些过滤器可能会告诉 Vontu Endpoint Agent 只处理复制到 USB 设备、大于 20KB 的 Microsoft Office 文件，或者忽略所有的 MP3 文件。Vontu Endpoint Prevent 内置硬驱动过滤器将根据文件大小、类型和位置，告知 Vontu Endpoint Agent 应该处理哪些正在写入内置驱动器的文件。例如，这些过滤器可能会告诉 Endpoint Agent 只处理写入内置驱动器上“我的文档”文件夹、大于 50KB 的 Microsoft Office 和 PDF 文件。

- 20 -

数据防泄漏方案

? Vontu Endpoint Discover

Vontu Endpoint Discover 扫描端点的内置驱动器来识别存储的保密数据，这样就可以采取一些措施来存储、保护或重新定位此数据。它支持对数千个端点进行高性能并行扫描，且几乎不对系统带来任何影响。每个 Vontu Endpoint Agent 每小时可以扫描约 5 GB数据。

Vontu Endpoint Agent 包含 Vontu Enforce 向它推送的数据丢失策略和可配置的 Vontu Endpoint Discover 过滤器。当 Vontu Administrator 在 Vontu Enforce 中触发端点扫描后，Endpoint Agent 将“破解”满足过滤器参数条件的开放文件并扫描其中的数据，将其与 Vontu Endpoint Agent 中存储的数据丢失策略比较来查看是否存在违反策略的情况。请注意，此扫描过程不会更改文件的“最近访问”属性，确保依赖此属性的其它过程（如备份过程）不会受到 Endpoint Discover 扫描的影响。如果数据违反了策略，Vontu Endpoint Agent 将通过 Vontu Endpoint Server 向 Vontu Enforce 发送事故数据。

Vontu Endpoint Discover 过滤器根据文件的位置（文件路径）、类型、大小和添加／修改日期，告知 Vontu Endpoint Agent 扫描哪些文件。例如，过滤器可能会告诉 Vontu Endpoint Agent 只扫描“我的文档”文件夹中大小在 50KB 和 5MB 之间，自上次完全扫描以来添加或修改的文件。数据过滤器包括自动差异

- 21 -

数据防泄漏方案

扫描，仅扫描自上次扫描以来添加／修改的文件。这些差异扫描比最初的完全扫描小的多、快得多。

? 对网络和端点的影响

Vontu 的端点解决方案对最终用户机器和公司网络的影响最小。许多影响都可以通过前面章节中提到的可配置 Vontu Endpoint Prevent 和 Discover 过滤器进行管理，也可以通过下面讨论的其它过滤器管理。所有的过滤器都在每服务器基础社进行设置，并推送到与给定 Vontu Endpoint Server 连接的所有 Vontu Endpoint Agent。

? 端点影响：

? 可以为 Vontu Endpoint Agent 使用的端点 CPU 和磁盘 I/O 设定的

百分比上限

? Vontu Endpoint Agent 自动作为比其它应用优先级低的进程运行，所

以如果最终用户正在运行需要更多资源的其它应用，它将会自动减少资源占用。

? 本地文件破解和检测只占用少量 CPU，不会引起最终用户的注意 ? 将数据发送到 Vontu Endpoint Server 之前，Vontu Endpoint Agent 为

保存数据将使用的磁盘总量或 MB 上限百分比（当类似笔记本的端点从公司网络断开连接时，将在此高速缓存中保存受监视的文件，直

- 22 -

数据防泄漏方案

到该端点重新连接到网络）。

? 网络影响：

? 假设 Vontu Endpoint Agent 只包含使用 DCM 的策略，则所有检测都

在本地进行，因此可以忽略网络影响。只有事故数据被发送到 Vontu Endpoint Server，而不是来自所有扫描文件的所有数据。

? 即使因为策略使用 EDM、IDM 或 DGM，数据被发送到 Vontu

Endpoint Server 进行检测，也会由于 Vontu Endpoint Agent 在本地破解内容使发送到服务器的数据远远少于源文件中的数据（约5%）。 ? 每个 Vontu Endpoint Agent 和 Vontu Endpoint Server 之间通信的带

宽被限制在每秒 MB 范围内，以确保网络影响受到控制。 ? 先前章节中提到的过滤器通过降低扫描文件的数量最终将减少网络

流量。

? 防篡改和安全性

有几种方法可以确保员工无法禁用或篡改 Vontu Endpoint Agent，最根本最有效的方式是准入控制。

不管端点以何种方式与网络相连，利用网络准入控制都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而确保所有接入网络的终端都安装了Vontu Endpoint Agent，对于未安装代理软件的客户端，可以限制其网络访问。从而避免了用户私自卸载代理软件。

3.3.3 存储DLP

Vontu 的Storage DLP 产品包括 Vontu Network Discover 和 Vontu Network Protect。Vontu Network Discover 识别文件服务器、数据库、协作平台、web 站点、台式机、笔记本和其它数据存储库中泄露或驻留的保密数据。然后，Vontu Network Protect 可以将泄露的保密数据自动重新定位或复制到一个安全位置。两个产品可由一台服务器支持。Vontu 的Storage DLP 产品致力于解决当今企业在

- 23 -

数据防泄漏方案

存储数据时面临的一些重大挑战，包括法规遵从性（如 PCI 和 GLBA）、风险降低、数据分类、数据保留和电子发现集等。

? Vontu Network Discover 的工作原理

Vontu Network Discover 基本上可以扫描任何数据存储库，包括：

? 文件服务器：Windows、Linux、Unix、Novell、Solaris 和 NAS 文件等 ? 数据库：Oracle、Microsoft SQL Server 和 IBM DB2 等

? 协作平台：Lotus Notes、Microsoft Exchange、SharePoint、Documentum 和

LiveLink 等

? Web 站点：公共 web 站点、内联网、外联网、维客和基于 web 的应用

等

? 台式机和笔记本

Vontu Network Discover 利用与所有其它 Vontu 产品一样的代码库，并工作方式也类似。如在“检测和准确性”节中所述，Vontu Network Discover 检查数据是否存在违反策略的情况。然而，Vontu Network Monitor 是通过停留在网络出口并分析离开网络的数据流副本扫描数据，而 Vontu Network Discover 则是通过网络连接数据库，然后读取文件及其包含的其它数据进行扫描。与所有其它 Vontu 产品类似，如果 Vontu Network Discover 发现违反预先制定的数据丢失策略的敏感数据，则会激活适用的自动响应规则，并向 Vontu Enforce 发送事故通知，以进行事故补救和报告。Vontu Enforce 中的Storage DLP 事故快照包括文件所有人和有关该文件或数据的访问控制列表（ACL）信息。在文件系统扫描中，此信息从 NTFS 文件系统读取；在数据存储库扫描中，此信息从存储库（如 SharePoint）读取。ACL 信息提供有权对敏感文件进行读／写接入的人的详细信息，帮助安全团队确定该目标共享是否存在访问控制问题。

为了获得最佳的扩展性，Vontu Network Discover 提供三个部署选项，下面详细列出了这些选项：

- 24 -

数据防泄漏方案

? 无代理

第一个部署选项对于快速熟悉扫描或扫描不能安装代理的中央数据存储库非常理想。它用来在本机上扫描目标，扫描仅从 Vontu Enforce UI 进行配置和控制，无须安装代理或配置其它软件就可以扫描目标。Vontu Network Discover 在无代理方式下可以扫描的存储库的类型包括可从 Windows 或 Linux 访问的任何文件系统，包括 CIFS/SMB、NTFS、NFS、DFS、Novell、ext2、HFS 等。这包括基于 Windows 和 UNIX 的文件服务器、台式机和笔记本。除文件系统扫描外，Vontu Network Discover 还支持以以下两种方式对 Lotus Notes 数据库中的所有内容进行本机扫描：（1） Domino 服务器的 IIOP 扫描 ；（2）扫描任何可从安装在 Vontu Network Discover 服务器上的 Notes 客户端进行访问的数据库。Vontu Network Discover 还可以本机扫描可通过 JDBC 或 ODBC 访问的任何 SQL 数据库，这包括 Oracle、Microsoft SQL Server 和 IBM DB2 数据库。

对于文件系统扫描，Vontu Network Discover 使用 Vontu Network Discover 服务器上的底层操作系统，安装并扫描远程文件系统。例如，当 Vontu Network Discover 安装在 Windows 服务器上时，它可以通过自动调用 Vontu Network Discover 服务器上的 Windows“net use”命令，扫描 Windows 文件服务器。这将使得已扫描的文件通过 CIFS 协议读取。类似方法还可以扫描 NFS、Novell 和其它类型的文件系统。用来安装远程文件系统的命令是可配置的，操作系统返回的错误代码可以映射UI中的应用错误。这使得 Vontu Network Discover 能够符合个别企业的文件共享标准。

使用 Vontu Network Discover 的第一步就是在 Vontu Enforce 中设置扫描配置。这包括确定扫描目标和要扫描的共享文件，然后在 Vontu Enforce 中为目标共享输入相应的登录凭证（用户名和密码）。接下来，Vontu Network Discover 可以使用这些凭证安装远程目标共享，以便以无代理方式进行扫描。使用不同凭证的能力非常有用，因为它支持不同的 Vontu Network Discover 使用情况。例如，Vontu 用户可能希望扫描多部门共享的文件服务器，以查看它所包含的哪些敏感数据可能会泄露给拥有标准凭证的“典型”员工。在这种情况下，用户可以给出

- 25 -

数据防泄漏方案

对文件服务器拥有标准访问权的 Vontu Enforce 登录信息，这样 Vontu Network Discover 就可以扫描泄露给典型员工的那些文件。但是，如果该 Vontu 用户希望了解服务器上所有数据的遵从性和分类情况，则可以赋予 Vontu Network Discover 该服务器管理员级别的凭证，以便它可以扫描整个服务器及其所有文件夹。可以指定默认扫描凭证，并可以在共享级别覆盖默认扫描凭证。这种基于凭证扫描的好处在于，通过用不同访问级别运行扫描，公司可以快速找出泄露最多的数据并且可以实施访问控制和数据分类策略。此外，当 Vontu Network Discover 正在运行扫描时，只有当需要对其扫描时才会在内存中保留文件内容或数据。最后，Vontu Network Discover 文件系统扫描不会更改文件的“最近访问”属性，确保了依赖此属性的其它过程（如备份过程）不会受到扫描的影响。

? 基于扫描程序

第二个部署选项对于涉及各种操作系统的分布式服务器非常理想。扫描程序是基于服务器的代理，在 Vontu 系统外部进行安装、配置和运行。它们通常安装在用于文件系统扫描的目标机器上，或者安装在与多个目标联网的中间机器上，从而实现对多个目标的同时扫描。扫描程序从本机连接到目标存储库，对其进行扫描并通过 HTTP 将数据作为 XML 发回 Vontu Network Discover。扫描程序对网络带宽的影响较小，因为它们“破解”目标上的开放文件，且只将提取的文本和元数据发送回 Vontu Network Discover 进行检测。Vontu DLP 8 中的扫描程序是专门构建的，可用于文件系统（Windows、Linux、Solaris 和 AIX）和 web 站点（公共 web 站点、内联网和维客等）。他们还可以用于五个特定的应用：Microsoft Exchange、Microsoft SharePoint 2003 和 2007、Documentum 和 LiveLink。客户还可以编写他们自己的定制式扫描程序，并通过 Vontu Data Discovery API 将数据发回 Vontu Network Discover ，实现对任何主要数据存储库的扫描。

扫描程序是独立可执行程序，安装后可以针对要扫描的具体目标进行配置。扫描程序配置包括访问凭证、定义每次扫描的起始点（URL、电子邮箱等）、控制、包含／排除过滤器、定义顺序运行的多项作业。

- 26 -

数据防泄漏方案

? 基于 Windows 代理

第三个部署选项使用一个专门针对 Windows Server 2003 的代理，非常适合于 Windows 文件服务器扫描。有了该部署选项，代理可以同时扫描数千个目标，而且是三个部署选项中对网络影响最小的，因为该代理不但“破解”目标上的开放文件，还执行本地检测。因此，只有事故数据通过网络传回 Vontu Enforce。该部署选项由基于代理程扫描的架构支持，前面的 Vontu Endpoint DLP 节中已讨论过这种架构。本节中剩余的Storage DLP 内容仅与前两个部署选项有关。

? 玩网络

扫描对企业网络的影响可以通过服务器放置、扫描过滤器、调度窗口和控制进行管理。作为整个扫描控制过程的一部分，用户可以开始、暂停、控制和停止扫描，也可以应用过滤，只扫描某些文件。可过滤的参数包括文件名、文件类型、文件大小和上次修改日期。控制设置将限制每分钟处理文件数量或每分钟处理的字节数，这在低带宽环境中非常重要。此外，可以设定扫描的时间，在某天和某一时间自动开始和/或暂停扫描，这样企业就可以连续监视其保存的数据。当用户网络流量非常小时，还可以将扫描安排在非高峰时间进行。另外，还可以对 Vontu Network Discover 进行配置，使其执行差异扫描，即只扫描自上次完全扫描以来添加或修改的数据。这样，目标的逐行扫描就比最初的完全扫描快。使用无代理选项，所有这些设置和过滤器都在 Vontu Enforce 用户界面中完成；而使用基于扫描程序选项，大多数配置在扫描程序配置文件中完成。最后，就像前面提到的那样，扫描程序和代理将执行本地文件“破解”，这样，通过网络发回 Vontu Network Discover 以进行检测的数据将远远少于原始文件中的数据（约5%）。

? Vontu Network Protect 的工作原理

Vontu Network Protect 可以自动复制或重新定位（隔离）泄露的保密数据。当扫描支持 CIFS 协议的文件服务器时，它和 Vontu Network Discove 的无代理扫描功能协力工作。复制或重新定位休眠文件的自动响应规则可以基于事故的多个标准，包括所违反的数据丢失策略、事故严重性级别和事故匹配计数。例如，

- 27 -

数据防泄漏方案

可以对 Vontu Network Protect 进行配置，这样当它发现可能会带来具有“高”严重性级别（根据前面给出的策略定义）事故的敏感文件时，此文件可能会从目标服务器中删除并被重新定位到更加安全（可能加密）的文件共享中。隔离位置完全可以配置，并在 Vontu Enforce 内设置。隔离位置保持一个反映源位置的目录结构，以简化管理。重新定位文档时，原文件被删除，Vontu Network Protect 可以选择在该文件的原始位置上留下一个标记文本文件，说明隔离该文件的原因和隔离位置。该标记文件的内容是可以配置的，有助于确保业务流程的保护和员工对安全政策的了解。Vontu Network Protect 的文件复制功能对于电子发现收集和履行诉讼保留也很有用。

? Vontu Storage DLP 部署

为了优化扫描率和网络使用率，建议将 Vontu 存储 DLP 服务器放置在离扫描内容接近的地方。这些服务器也可以在 VMware 虚拟机内部署。这些产品扩展性非常好，单个 Vontu Storage DLP 服务器使用扫描程序能以 15 TB／天的速率扫描内容，或者使用无代理程序方式能以 1 TB／天的速率扫描内容。通过增加额外的处理器或 Vontu 服务器可以线性提高扫描速率。

- 28 -

数据防泄漏方案

附录一：Vontu DLP支持的文件类型

Vontu DLP 8 可以对一下文件格式提取和检查文本内容：

Format Name BinHex GZIP Java Archive Microsoft Compressed Folder Microsoft Compressed Folder PKZIP WinZip RAR archive Tape Archive UNIX Compress UUEncoding AutoCAD Drawing AutoCAD Drawing Exchange Microsoft Visio Microstation Microsoft Access Microsoft Project (metadata only) Adobe PDF Enhanced Metafile Lotus Pic Tagged Image File (metadata only) Windows Metafile Mailbox Microsoft Outlook Microsoft Outlook Express Text Mail (MIME) MPEG-1 Audio layer 3 (metadata only) Applix Presents Corel Presentations Lotus Freelance Graphics Lotus Freelance Graphics 2 Macromedia Flash Microsoft PowerPoint Windows Microsoft PowerPoint PC Microsoft PowerPoint Windows XML Microsoft PowerPoint Macintosh Extension HQX GZ JAR LZH LHA ZIP ZIP RAR TAR Z UUE DWG DXF VSD DGN MDB MPP PDF EMF PIC TIFF WMF MBX MSG EML various MP3 AG SHW PRZ PRE SWF PPT PPT PPTX PPT Format Type Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation Encapsulation CAD CAD CAD CAD Database Database Display Graphics Graphics Graphics Graphics Mail Mail Mail Mail Multimedia Presentation Presentation Presentation Presentation Presentation Presentation Presentation Presentation Presentation - 29 -

数据防泄漏方案

Format Name OpenOffice Impress OpenOffice Impress OpenOffice Impress StarOffice Impress StarOffice Impress StarOffice Impress Applix Spreadsheets Comma Separated Values Corel Quattro Pro Corel Quattro Pro Lotus 1-2-3 Lotus 1-2-3 Lotus 1-2-3 Charts Microsoft Excel Windows Microsoft Excel Windows XML Microsoft Excel Charts Microsoft Excel Macintosh Microsoft Works Spreadsheet Microsoft Works Spreadsheet OpenOffice Calc OpenOffice Calc StarOffice Calc StarOffice Calc ANSI ASCII HTML Microsoft Excel Windows XML Microsoft Word Windows XML Microsoft Visio XML Oasis Open Document Format Oasis Open Document Format Oasis Open Document Format Rich Text Format Unicode Text XHTML XML (generic) Adobe FrameMaker Interchange Format Applix Words Corel WordPerfect Linux Corel WordPerfect Macintosh Corel WordPerfect Windows Corel WordPerfect Windows Extension SXI SXP ODP SXI SXP ODP AS CSV WB2 WB3 123 WK4 123 XLS XLSX XLS XLS S30 S40 SXC ODS SXC ODS TXT TXT HTM XML XML VDX ODT ODS ODP RTF TXT HTM XML MIF AW WPS WPS WO WPD Format Type Presentation Presentation Presentation Presentation Presentation Presentation Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Spreadsheet Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Text and Markup Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing - 30 -

数据防泄漏方案

Format Name DisplayWrite Folio Flat File Fujitsu Oasys Haansoft Hangul IBM DCA/RFT(Revisable Form Text) JustSystems Ichitaro Lotus AMI Pro Lotus AMI Professional Write Plus Lotus Word Pro Lotus SmartMaster Microsoft Word PC Microsoft Word Windows Microsoft Word Windows XML Microsoft Word Macintosh Microsoft Works Microsoft Windows Write OpenOffice Writer OpenOffice Writer StarOffice Writer StarOffice Writer WordPad XyWrite Vontu DLP 8 可以识别的文件格式： Format Name Ability Office (SS) Ability Office (DB) Ability Office (GR) Ability Office (WP) Ability Office (COM) ACT Adobe FrameMaker Adobe FrameMaker Interchange Format Adobe FrameMaker Markup Language Adobe PDF AES Multiplus Comm Aldus Freehand (Macintosh) Aldus PageMaker (DOS) Aldus PageMaker (Macintosh) Amiga IFF-8SVX sound Amiga MOD sound ANSI Extension IP FFF OA2 HWP DC JTD SAM AMI LWP MWP DOC DOC DOCX DOC WPS WRI SXW ODT SXW ODT RTF XY4 Format Type Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Word Processing Format Type <> <> <> <> <> <> <> Word Processing <> Display <> <> <> <> <> <> Text and Markup - 31 -

数据防泄漏方案

Format Name Apple Double Apple Single Applix Alis Applix Asterix Applix Graphics Applix Presents Applix Spreadsheets Applix Words ARC/PAK Archive ASCII ASCII-armored PGP encoded ASCII-armored PGP Public Keyring ASCII-armored PGP signed Audio Interchange File Format AutoCAD Drawing AutoCAD Drawing Exchange AutoDesk Animator FLIC Animation AutoDesk Animator Pro FLIC Animation AutoDesk WHIP AutoShade Rendering BinHex CCITT Group 3 1-Dimensional (G31D) COMET TOP Word Comma Separated Values Compactor/Compact Pro Archive Computer Graphics Metafile Convergent Tech DEF Comm. Corel Draw CMX Corel Presentations Corel Quattro Pro (WB2) Corel Quattro Pro (WB3) Corel WordPerfect Linux Corel WordPerfect Macintosh Corel WordPerfect Windows (WO) Corel WordPerfect Windows (WPD) CorelDRAW cpio Archive (UNIX) cpio Archive (VAX) cpio Archive (SUN) CPT Communication Creative Voice (VOC) sound Curses Screen Image (UNIX) Format Type <> <> <> <> <> Presentation Spreadsheet Word Processing <> Text and Markup <> <> <> Multimedia CAD CAD <> <> <> <> Encapsulation <> <> Spreadsheet <> Graphics <> <> Presentation Spreadsheet Spreadsheet Word Processing Word Processing Word Processing Word Processing Graphics <> <> <> <> <> <> - 32 -

数据防泄漏方案

Format Name Curses Screen Image (VAX) Curses Screen Image (SUN) Data Point VISTAWORD dBase Database DCX Fax DCX Fax System DEC WPS PLUS DECdx Desktop Color Separation (DCS) Device Independent file (DVI) DG CEOwrite DG Common Data Stream (CDS) DIF Spreadsheet Digital Document Interchange Format (DDIF) Disk Doubler Compression DisplayWrite EBCDIC Text ENABLE ENABLE Spreadsheet (SSF) Encapsulated PostScript (raster) Enhanced Metafile Envoy (EVY) Executable- Other Executable- UNIX Executable- VAX Executable- SUN FileMaker (Macintosh) Folio Flat File Framework Framework II FTP Session Data Fujitsu Oasys GEM Bit Image GIF Graphics Environment Manager (GEM VDI) GZIP Haansoft Hangul Harvard Graphics Hewlett-Packard Honey Bull DSA101 HP Graphics Language (HP-GL) HP Printer Control Language (PCL) Format Type <> <> <> <> <> Graphics <> <> <> <> <> <> <> <> <> Word Processing <> <> <> Graphics Graphics <> Binary <> <> <> <> Word Processing <> <> <> Word Processing <> Graphics <> Encapsulation Word Processing <> <> <> <> <> - 33 -

数据防泄漏方案

Format Name HTML IBM 1403 Line Printer IBM DCA/RFT(Revisable Form Text) IBM DCA-FFT IBM DCF Script Informix SmartWare II Informix SmartWare II Communication File Informix SmartWare II Database Informix SmartWare Spreadsheet Interleaf Java Archive JPEG JPEG File Interchange Format (JFIF) JustSystems Ichitaro KW ODA G31D (G31) KW ODA G4 (G4) KW ODA Internal G32D (G32) KW ODA Internal Raw Bitmap (RBM) Lasergraphics Language Link Library- Other Link Library UNIX Link Library VAX Link Library SUN Lotus 1-2-3 (123) Lotus 1-2-3 (WK4) Lotus 1-2-3 Charts Lotus AMI Pro Lotus AMI Professional Write Plus Lotus AMIDraw Graphics Lotus Freelance Graphics Lotus Freelance Graphics 2 Lotus Notes Bitmap Lotus Notes CDF Lotus Notes database Lotus Pic Lotus Screen Cam Lotus SmartMaster Lotus Word Pro Lyrix MacBinary MacBinary Macintosh Raster MacPaint Format Type Text and Markup <> Word Processing <> <> <> <> <> <> <> Encapsulation Graphics <> Word Processing <> <> <> <> <> Binary <> <> <> Spreadsheet Spreadsheet Spreadsheet Word Processing Word Processing Graphics Presentation Presentation <> <> Mail Graphics <> Word Processing Word Processing <> <> Graphics Graphics - 34 -

数据防泄漏方案

Format Name Macromedia Director Macromedia Flash MacWrite MacWrite II MASS-11 Micrografx Designer Microsoft Access Microsoft Compressed Folder (LZH) Microsoft Compressed Folder (LHA) Microsoft Device Independent Bitmap Microsoft Excel Charts Microsoft Excel Macintosh Microsoft Excel Windows Microsoft Excel Windows XML Microsoft Office Drawing Microsoft Outlook Personal Folder Microsoft Outlook Microsoft Outlook Express Microsoft PowerPoint Macintosh Microsoft PowerPoint PC Microsoft PowerPoint Windows Microsoft PowerPoint Windows XML (PPTX) Microsoft Project Microsoft Publisher Microsoft Visio Microsoft Visio XML Microsoft Wave Sound Microsoft Windows Cursor (CUR) Graphics Microsoft Windows Group File Microsoft Windows Help File Microsoft Windows Icon (ICO) Microsoft Windows OLE 2 Encapsulation Microsoft Windows Write Microsoft Word (UNIX) Microsoft Word Macintosh Microsoft Word PC Microsoft Word Windows Microsoft Word Windows XML Microsoft Works (Macintosh) Microsoft Works Microsoft Works Communication (Macintosh) Microsoft Works Communication (Windows) Format Type <> Presentation <> <> <> <> Database Encapsulation Encapsulation <> Spreadsheet Spreadsheet Spreadsheet Text and Markup <> <> Mail Mail Presentation Presentation Presentation Presentation Database <> CAD Text and Markup Multimedia <> <> <> <> <> Word Processing <> Word Processing Word Processing Word Processing Text and Markup <> Word Processing <> <> - 35 -

数据防泄漏方案

Format Name Microsoft Works Database (Macintosh) Microsoft Works Database (PC) Microsoft Works Database (Windows) Microsoft Works Spreadsheet (S30) Microsoft Works Spreadsheet (S40) Microsoft Works Spreadsheet (Macintosh) Microstation MIDI MORE Database Outliner (Macintosh) MPEG-1 Audio layer 3 MPEG-1 Video MPEG-2 Audio MS DOS Batch File format MS DOS Device Driver MultiMate 4.0 Multiplan Spreadsheet Navy DIF NBI Async Archive Format NBI Net Archive Format Netscape Bookmark file NeWS font file (SUN) NeXT/Sun Audio NIOS TOP Nota Bene Oasis Open Document Format (ODT) Oasis Open Document Format (ODS) Oasis Open Document Format (ODP) Object Module UNIX Object Module VAX Object Module SUN ODA/ODIF ODA/ODIF (FOD 26) Office Writer OLE DIB object OLIDIF OpenOffice Calc (SXC) OpenOffice Calc (ODS) OpenOffice Impress (SXI) OpenOffice Impress (SXP) OpenOffice Impress (ODP) OpenOffice Writer (SXW) OpenOffice Writer (ODT) Format Type <> <> <> Spreadsheet Spreadsheet <> CAD Multimedia <> Multimedia Multimedia Multimedia <> <> <> <> <> <> <> <> <> Multimedia <> <> Text and Markup Text and Markup Text and Markup <> <> <> <> <> <> <> <> Spreadsheet Spreadsheet Presentation Presentation Presentation Word Processing Word Processing - 36 -

数据防泄漏方案

Format Name Open PGP OS/2 PM Metafile Graphics Paradox (PC) Database PC COM executable PC Library Module PC Object Module PC PaintBrush PC True Type Font PCD Image PeachCalc Spreadsheet Persuasion Presentation PEX Binary Archive (SUN) PGP Compressed Data PGP Encrypted Data PGP Public Keyring PGP Secret Keyring PGP Signature Certificate PGP Signed and Encrypted Data PGP Signed Data Philips Script PKZIP Plan Perfect Portable Bitmap Utilities (PBM) Portable Greymap Utilities (PGM) Portable Network Graphics Portable Pixmap Utilities (PPM) PostScript File PRIMEWORD Program Information File Q & A for DOS Q & A for Windows Quadratron Q-One (V1.93J) Quadratron Q-One (V2.0) Quark Express (Macintosh) QuickDraw 3D Metafile (3DMF) QuickTime Movie RAR archive Real Audio Reflex Database Rich Text Format RIFF Device Independent Bitmap RIFF MIDI Format Type <> <> <> <> <> <> Graphics <> <> <> <> <> <> <> <> <> <> <> <> <> Encapsulation <> <> <> Graphics <> <> <> <> <> <> <> <> <> <> Multimedia Encapsulation <> <> Text and Markup <> <> - 37 -

数据防泄漏方案

Format Name RIFF Multimedia Movie SAMNA Word IV Serialized Object Format (SOF) Encapsulation SGI RGB Image SGML Simple Vector Format (SVF) SMTP document StarOffice Calc (SXC) StarOffice Calc (ODS) StarOffice Impress (SXI) StarOffice Impress (SXP) StarOffice Impress (ODP) StarOffice Writer (SXW) StarOffice Writer (ODT) Stuff It Archive (Macintosh) Sun Raster Image SUN vfont definition Supercalc Spreadsheet SYLK Spreadsheet Symphony Spreadsheet Tagged Image File Tape Archive Targon Word (V 2.0) Text Mail (MIME) Truevision Targa Ultracalc Spreadsheet Unicode Text Uniplex (V6.01) Uniplex Ucalc Spreadsheet UNIX Compress UNIX SHAR Encapsulation Usenet format UUEncoding Volkswriter VRML Wang Office GDL Header Encapsulation WANG PC Wang WITA WANG WPS Comm. Windows Animated Cursor Windows Bitmap Windows C++ Object Storage Format Type <> <> <> Graphics <> <> <> Spreadsheet Spreadsheet Presentation Presentation Presentation Word Processing Word Processing <> Graphics <> <> <> <> Graphics Encapsulation <> Mail Graphics <> Text and Markup <> <> Encapsulation <> <> Encapsulation <> <> <> <> <> <> Graphics Graphics <> - 38 -

数据防泄漏方案

Format Name Windows Icon Cursor Windows Metafile Windows Micrografx Draw (DRW) Windows Palette Windows Video WinZip (unzip reader) WinZip Word Connection WordERA (V 1.0) WordMARC word processor WordPad WordPerfect General File WordPerfect Graphics 1 WordPerfect Graphics 2 WordStar WordStar 2000 WordStar 6.0 WriteNow Writing Assistant word processor X Bitmap (XBM) X Image X Pixmap (XPM) Xerox 860 Comm. Xerox Writer word processor XHTML XML (generic) XyWrite Format Type Graphics Graphics <> <> Multimedia Encapsulation Encapsulation <> <> <> Word Processing <> Graphics Graphics <> <> <> <> <> <> <> <> <> <> Text and Markup Text and Markup Word Processing

- 39 -

数据防泄漏方案

Format Name Windows Icon Cursor Windows Metafile Windows Micrografx Draw (DRW) Windows Palette Windows Video WinZip (unzip reader) WinZip Word Connection WordERA (V 1.0) WordMARC word processor WordPad WordPerfect General File WordPerfect Graphics 1 WordPerfect Graphics 2 WordStar WordStar 2000 WordStar 6.0 WriteNow Writing Assistant word processor X Bitmap (XBM) X Image X Pixmap (XPM) Xerox 860 Comm. Xerox Writer word processor XHTML XML (generic) XyWrite Format Type Graphics Graphics <> <> Multimedia Encapsulation Encapsulation <> <> <> Word Processing <> Graphics Graphics <> <> <> <> <> <> <> <> <> <> Text and Markup Text and Markup Word Processing

- 39 -

本文来源：https://www.bwwdw.com/article/supp.html