网巡(NetPatrol)DLP 数据防泄密解决方案与配置手册

创建时间:2026-05-21

网巡(NetPatrol)DLP 数据防泄密解决方案与配置手册

一、方案概述

1.1 方案背景

企业终端数据泄露风险频发,核心机密文档、客户资料、研发数据易通过外发、拷贝、打印、截屏等渠道泄露。网巡 DLP(数据泄露防护系统)依托驱动层透明加密、内容精准识别、全链路审计能力,构建 “事前防护、事中管控、事后追溯” 的全周期数据防泄密体系,适配政企办公、研发、涉密等多场景数据安全需求。

1.2 方案核心目标

  • 防泄露:阻断敏感数据通过 IM、邮件、网盘、USB 等渠道外发;
  • 可管控:实现文件加解密、外发、打印、拷贝等操作精细化管控;
  • 可追溯:全流程记录数据操作日志,支持泄露事件溯源;
  • 易合规:适配等保 2.0、数据安全法,满足企业内部数据分级管控要求。

1.3 适用范围

覆盖企业Windows 终端(7/10/11 32/64 位),支持办公文档、图纸、代码、涉密文件等全类型数据防护,兼容 360、瑞星、卡巴斯基等主流杀毒软件。

1.4 核心架构

采用 “服务器 + 终端客户端 + 管理平台” 三层架构:

  • 服务器:部署网巡服务端,负责策略存储、日志汇总、审批流转;
  • 终端客户端:安装数据卫士 DLP 模块,执行策略、管控终端操作、上报日志;
  • 管理平台:WEB 端可视化管理,支持策略配置、审批管理、审计分析、报表导出。

1.5 网巡 DLP 核心优势

相比传统 DLP 与常规加密软件,网巡具备技术深、识别准、管控全、外发可控、国产化适配、运维轻量六大核心优势:

1)底层驱动级防护,业务无感知、稳定强

  • 驱动层透明加密,保存即加密、打开即解密,不改变用户操作习惯;
  • 不劫持应用、不卡机、不蓝屏,兼容主流杀毒软件与还原软件;
  • 支持Windows / 国产化麒麟 / Linux/Mac/ 移动端全覆盖,信创适配能力强。

2)多引擎深度识别,精准抓敏感、穿透伪装

  • 指纹 + 关键词 + 正则 + OCR + 文件属性五合一识别引擎;
  • 支持2000 + 文件类型,可穿透改后缀、改文件名、压缩包嵌套等伪装;
  • 内置行业词库,支持自定义正则,精准识别身份证、合同、核心参数等敏感内容。

3)全链路外发管控,通道全覆盖、响应灵活

  • 覆盖IM、邮件、网盘、浏览器、USB、打印、截屏、远程、FTP等所有外发通道;
  • 支持阻断 / 放行 / 确认 / 隔离四级响应,可按部门、角色、文件类型精细化策略;
  • 细粒度权限:禁止编辑、打印、截屏、拷贝、另存、拖拽,可控性强。

4)外发云盒可控,文件出去仍能管、能回收

  • 外发文件打包为云盒(zip/ias/exe),外发后权限不失效;
  • 可设阅读次数、有效期、设备绑定、水印、禁止打印 / 截屏;
  • 支持权限回收、禁用、过期自删、离线使用,真正做到 “外发可控”。

5)审批流程灵活,多级审批、高效协同

  • 支持1–5 级多级审批,可自定义解密、外发、打印模板;
  • 对接钉钉 / 企微 / 飞书,审批消息实时推送;
  • 支持自动审批、自审批、代办、会签,适配企业组织架构。

6)离线 + 审计双保障,断网也安全、出事可追溯

  • 离线模式:终端断网仍正常加解密、正常办公,支持离线授权;
  • 全维度日志:用户、终端、IP/MAC、文件、操作、结果、水印全程记录;
  • 实时预警 + 合规报表:风险事件自动告警,支持导出审计报表,满足等保 / 合规要求。

7)国产化深度适配,信创环境无缝落地

  • 兼容麒麟 V10、银河麒麟国产操作系统;
  • 支持达梦数据库,适配国产服务器、终端硬件;
  • 符合信创生态要求,政企、军工、国企场景优先适配。

8)轻量易运维,部署快、管理简单

  • WEB 可视化管理平台,策略统一配置、一键下发;
  • 支持远程批量安装、升级、卸载客户端;
  • 终端状态实时监控、日志集中汇总,降低运维成本。

二、核心功能方案

2.1 数据分级分类防护

2.1.1 敏感内容识别

依托多引擎识别技术,精准定位敏感数据:

  • 指纹识别:支持 2000 + 文件类型(Office、PDF、图纸、代码等),批量生成文件指纹库;
  • 关键词 / 正则识别:内置行业关键词库(如 “机密、涉密、核心参数”),支持自定义正则规则,匹配身份证、手机号、合同编号等敏感信息;
  • OCR 识别:识别图片、截图中的文字内容,拦截含敏感信息的图片外发;
  • 文件属性识别:按文件名称、大小、类型、创建人识别敏感文件。

2.1.2 数据分级标密

  • 分级标准:按数据重要性分为公开、内部、秘密、机密四级;
  • 标密方式:支持智能标密(自动识别敏感数据分级)、手动标密(人工指定密级);
  • 权限隔离:不同密级文件采用独立密钥,实现跨密级文件单向 / 双向隔离,低权限用户无法访问高密级文件。

2.2 终端外发全链路管控

覆盖7 大类外发通道,精准拦截敏感数据泄露:

  1. IM 聊天:企微、微信、钉钉、飞书、QQ 外发管控,阻断敏感文件 / 文字发送;
  2. 邮件外发:Outlook、Foxmail 邮件审批,敏感附件自动触发审批,通过后解密发送;
  3. 网盘 / 浏览器:百度网盘、阿里网盘、浏览器上传拦截,禁止敏感文件上传;
  4. USB 存储:U 盘、移动硬盘读写管控,仅允许已注册介质拷贝非敏感数据;
  5. 打印刻录:敏感文件打印审批,支持水印打印,禁止未授权打印;
  6. 截屏拷贝:阻断敏感文件截屏、内容拖拽 / 拷贝到明文软件;
  7. 远程传输:FTP、文件共享、远程桌面管控,禁止敏感数据远程传输。

管控动作支持四级响应:

  • 阻断:直接拦截外发行为,禁止操作;
  • 放行:仅审计不拦截,允许操作;
  • 确认:弹窗提示用户,自主选择是否外发;
  • 隔离:自动将敏感文件隔离至沙盒,防止泄露。

2.3 透明加解密防护

2.3.1 自动透明加密

  • 驱动层加密:终端文件保存即加密,无需手动操作,不影响用户正常使用;
  • 支持格式:Office、PDF、CAD、AI、WPS、代码文件等全类型文档;
  • 落地加密:业务系统下载文件自动加密,防止下载后明文泄露。

2.3.2 解密管控

  • 自动解密:授权软件打开加密文件自动解密,关闭后自动加密;
  • 流程解密:加密文件解密需提交申请,审批通过后自动解密;
  • 特权解密:高权限用户可直接解密,需记录特权操作日志;
  • 离线解密:离线终端通过离线授权文件,支持离线加解密操作。

2.4 外发文件安全管控(外发云盒)

敏感文件外发需制作加密云盒文件(zip/ias/exe 格式),外发后仍可控:

  • 权限设置:可配置阅读次数、有效时间、禁止编辑 / 打印 / 截屏、水印;
  • 设备绑定:绑定指定机器码,仅授权设备可打开;
  • 离线使用:支持离线打开,权限失效后自动删除;
  • 权限回收:管理员可远程禁用已外发云盒文件,防止二次泄露。

2.5 全流程审计与追溯

2.5.1 操作日志记录

全维度记录终端操作,日志包含:用户、终端 IP/MAC、操作时间、文件路径、操作类型(加密 / 解密 / 外发 / 打印)、结果。

2.5.2 审计分析

  • 事件统计:按文件类型、敏感策略、外发通道、风险等级生成 TOP 报表;
  • 趋势分析:按日 / 周 / 月展示敏感事件趋势,识别高频风险行为;
  • 溯源追溯:泄露事件发生后,通过日志定位操作人、终端、时间、行为,快速溯源。

三、详细配置方法

3.1 部署前准备

3.1.1 服务器配置

  • 硬件:4 核 CPU、16G 内存、2*1T 硬盘、双千兆网卡;
  • 系统:CentOS 7.9、麒麟 V10、RockyLinux 9.4;
  • 数据库:MySQL 8、达梦 V8;
  • 网络:开放 8443 端口(客户端通信端口),WEB 端支持谷歌 / 火狐浏览器。

3.1.2 终端配置

  • 系统:Windows 7/10/11(32/64 位);
  • 权限:非 Administrator 权限(User/PowerUser),开放 UAC 权限;
  • 软件:卸载还原类软件,安装兼容杀毒软件,关闭防火墙拦截客户端通信。

3.2 服务端部署配置

3.2.1 安装服务端

  1. 上传网巡服务端安装包至服务器,解压后执行安装脚本;
  2. 配置数据库:输入数据库 IP、端口、账号、密码,初始化数据库;
  3. 配置网络:设置服务器 IP,开放 8443 端口,启动服务端;
  4. 登录 WEB 管理平台:浏览器访问https://服务器IP:8443,默认账号密码登录。

3.2.2 基础配置

  1. 用户 / 组织管理:

    • 新建组织架构,同步企业 AD 域用户;
    • 新增用户,分配角色(管理员、审批员、普通用户);
    • 角色授权:为不同角色分配策略配置、审批、审计等权限。

  2. 审批配置:

    • 流程模板:新建解密、外发、打印审批模板,设置1-5 级审批;
    • 审批员设置:指定各级审批员,开启自动审批、自审批;
    • 消息同步:绑定钉钉 / 企微 / 飞书,审批消息实时推送。

3.3 终端客户端安装与配置

3.3.1 客户端安装

  1. 管理员从 WEB 平台下载客户端安装包,分发至终端;
  2. 终端安装:双击安装包,按提示完成安装,重启计算机;
  3. 客户端初始化:
    • 右键桌面右下角 “数据卫士” 图标,点击系统设置;
    • 输入服务器 IP、端口(固定 8443),点击确定;
    • 弹出登录界面,输入用户名,默认初始密码admin@123456;
    • 首次登录强制修改密码,输入原密码、新密码,提交后重新登录。

3.3.2 客户端基础配置

  1. 离线时长:WEB 平台设置终端默认离线时长(如 7 天),离线后仍可正常使用;
  2. 水印配置:开启屏幕水印,显示用户名、终端 IP、日期、部门;
  3. 卸载码:设置终端卸载密码,防止用户私自卸载客户端。

3.4 DLP 核心策略配置(WEB 平台)

3.4.1 敏感识别策略配置

  1. 进入策略配置→敏感规则,新建规则:

    • 规则名称:如 “涉密文件识别”;
    • 识别类型:勾选关键词、正则、指纹、OCR;
    • 关键词:添加 “机密、涉密、核心参数、合同编号”;
    • 正则:添加身份证、手机号、银行卡号正则表达式;
    • 指纹:上传敏感文件,批量生成指纹库;
    • 保存并启用规则。

  2. 进入策略配置→分级标密,设置自动标密规则:

    • 规则触发:匹配敏感规则的文件;
    • 密级设置:自动标为 “秘密 / 机密”;
    • 生效范围:指定部门 / 用户 / 终端。

3.4.2 外发管控策略配置

  1. 进入策略配置→外发管控,新建策略:
    • 策略名称:如 “研发部外发管控”;
    • 生效范围:选择研发部所有终端;
    • 外发通道:勾选 IM、邮件、网盘、USB、打印;
    • 管控动作:敏感文件阻断 + 审计,非敏感文件放行 + 审计;
    • 特殊配置:邮件外发触发审批,USB 仅允许已注册介质;
    • 保存并启用策略。

3.4.3 透明加解密策略配置

  1. 进入策略配置→加解密策略,新建策略:
    • 策略名称:如 “办公文档加密”;
    • 生效范围:全终端;
    • 加密类型:自动加密;
    • 文件类型:勾选 Office、PDF、CAD、WPS;
    • 豁免软件:添加信任软件(如系统工具),豁免加密;
    • 保存并启用策略。

3.4.4 外发云盒策略配置

  1. 进入策略配置→外发云盒,新建模板:
    • 模板名称:如 “客户外发模板”;
    • 权限设置:阅读次数 3 次、有效期 30 天、禁止编辑 / 打印 / 截屏、加载水印;
    • 认证方式:密码认证;
    • 生效范围:全终端;
    • 保存并启用模板。

3.5 终端文件操作配置(用户端)

3.5.1 文件解密申请

  1. 右键加密文件→数据卫士→解密申请;
  2. 勾选目标文件,填写申请原因(如 “项目交付”);
  3. 提交申请,等待审批;
  4. 审批通过后,文件自动解密。

3.5.2 文件外发制作

  1. 右键加密文件→数据卫士→外发制作;
  2. 添加文件 / 文件夹,选择外发模板;
  3. 设置输出路径、申请原因;
  4. 提交申请,审批通过后生成外发云盒文件;
  5. 将云盒文件发送给外部人员,对方需输入密码打开。

3.5.3 沙盒使用

  1. 双击数据卫士→工具箱→数据沙盒;
  2. 导入加密文件,沙盒内明文编辑;
  3. 导出文件需提交申请,审批通过后导出,导出文件自动加密。

3.6 审计与报表配置

  1. 进入审计中心→事件审计,查看实时敏感事件,支持按时间、用户、终端筛选;
  2. 进入审计中心→报表管理,生成外发统计、风险趋势、解密记录报表,导出 Word/PDF 格式;
  3. 进入审计中心→预警设置,开启高风险事件预警,触发后推送管理员钉钉 / 邮件通知。
前一个:
后一个:

高质量、高信价比

网络安全建设,数据安全建设