企业文件数据泄露防护（DLP）

什么是数据丢失防护

数据丢失防护 （DLP） 是保护数据不落入坏人之手的做法。如今，数据传输的主要问题是使大量数据容易受到未经授权的传输。通过设置足够的安全边界，您可以控制数据在网络中的移动。由于您的数据非常有价值，因此您需要专注于在设备控制解决方案的帮助下仅允许相关且有限的传输。Device Control Plus 是一种强大的文件传输管理 DLP 解决方案，可遏制不必要的数据传输，从而消除数据丢失和数据盗窃。

文件访问控制

数据是组织内最大的资产之一，因此必须只有经过最彻底审查的用户才能访问存储信息的文件。借助Device Control Plus，管理员可以有效地阻止所有恶意参与者，并仅将文件访问权限分配给他们信任的用户。此外，管理员可以向这些授权人员提供不同级别的设备访问权限。根据用户的可信度和目的，可以允许他们简单地查看或传输特定数量的数据。

为什么需要文件访问控制

文件访问控制机制对于防止可能导致入侵者完全控制网络的漏洞是必要的。让我们看一个以“读两次”为特色的示例！攻击，通过非法使用 USB 设备发生。在这种攻击中，一旦受感染的大规模可移动媒体设备连接到计算机，它就可以更改该系统的文件内容并劫持对该系统整个数据存储器的控制。对于此类情况，文件访问控制也是一种有效的方法，可确保及时检测并阻止任何未经授权的可移动媒体设备以及试图访问您的系统的恶意用户。

文件访问控制有什么好处

• 创建系统、可重复的权限分配
• 运营效率
• 防止潜在的数据泄露

创建系统、可重复的权限分配

为文件访问控制创建策略是一个快速而简单的过程。可以为每种类型的员工层创建文件访问策略的常规模板。这是实现基于角色的访问控制 （RBAC） 的步骤之一，RBAC 是一种根据用户角色和任务分配用户访问权限的技术，可以使用 Device Control Plus 来完成。每当引入新用户时，都可以轻松地将其计算机添加到自定义组，并且可以复制策略模板，根据其特定要求进行修改，然后轻松部署策略模板。此方法可确保为每个用户遵循清晰简洁的文件访问安全协议。

运营效率

由于组织成员可以不断获取新信息并执行多种职责，因此应调整文件访问权限以匹配其新的数据访问要求。Device Control Plus 确保及时满足每个人的需求，因为在必要时始终可以在几分钟内编辑权限。

防止潜在的数据泄露

借助 Device Control Plus，大多数用户可以轻松地获得只读访问权限，而更高的权限（例如在设备中创建文件）可以临时临时授予。对于具有更高访问级别的策略，可以将其授予一些高度信任的用户，例如管理员和领导人员。通过根据用户的信誉和任务授予权限，可以巧妙地避免由于权限提升场景而导致的内部攻击。

使用 Device Control Plus 实现文件访问控制

组织内的信息通常分为不同程度的敏感度。虽然某些数据可以出于销售和广告等目的公开提供，但大多数其他信息通常在公司托管的硬件据点（例如高度保护的服务器）中私有化和保护。管理员可以利用 Device Control Plus 来实施文件访问系统，该系统为选定数量的已验证用户提供独占权限，以便他们可以查看或复制相关的机密信息，例如知识产权、商标以及个人和公司相关的客户配置文件。

• 只读文件访问
• 在 USB 设备中创建文件以及后续修改
• 从 USB 设备到计算机的文件移动

只读文件访问

此文件访问权限是最基本的访问级别，建议普通员工使用。只读选项仍允许团队成员在不更改数据或其位置的情况下获取所需的知识。通过分配文件访问权限以构成只读文件系统，管理员可以维护有条理的文件结构，同时确保重要信息保持不变。这还可以防止数据泄露，以及因重新定位合法数据并将其与恶意信息（如跨站点脚本）穿插在一起而产生的攻击。

在 USB 设备中创建文件，并对复制的文件进行后续修改

如果启用了文件创建选项，设备可以从计算机中提取数据并将其传输到其外围设备。如果需要，用户还可以修改设备中的数据。请放心，原始数据仍可以通过文件重影保留，文件重影是一种安全功能，可生成传输数据的副本，然后将其存储在受保护的网络共享中。

从 USB 设备到计算机的文件移动

在 Device Control Plus 的文件系统权限中，还有一个设置，用于启用文件从设备移动到计算机。此选项应仅允许高度受信任的用户使用;否则，恶意脚本和恶意软件可能会被谨慎地隧道传输到计算机中。这可能会对硬件和软件产生负面影响，进而阻碍机器的正常运行。

文件传输限制防止数据丢失

Device Control Plus根据指定的文件大小和文件类型管理每次传输。在控制台中，您可以导航到策略>新建。然后，您可以选择设备类型并开始在文件访问设置下配置数据传输限制。您将能够利用以下功能：

• 允许基于文件大小的文件传输
• 根据文件类型限制文件传输
• 设置可以传输的文件扩展名
• 主动监控对文件执行的操作

允许基于文件大小的文件传输

随着业务的增长，您的数据也会随之增长。由于您的系统中包含如此丰富的数据，因此设置数据传输的界限至关重要。设置可以传输文件的最大大小;通过这样做，您可以防止前所未有的数据丢失，因为用户无法创建大于设置限制的文件或在连接的可移动存储设备上传输它们。如果最终用户尝试执行此类操作，他们将收到拒绝访问的通知。

根据文件类型限制文件传输

你怎么知道一个心怀不满的员工是否试图复制一些业务敏感的 EXE、BAT 文件或 XML 来谋取利益？Device Control Plus的文件传输限制允许您决定哪些文件可以传输，哪些文件应该被锁定。

设置可以传输的文件扩展名

根据业务和您处理的数据类型，您只需单击几下即可指定您认为可以安全传输的扩展程序。

主动监控对文件执行的操作

每次设备尝试访问您的文件（例如复制未经授权的文件或传输大于设置限制的数据）时，其操作都会更新。查看仪表板可以让您了解经常传输的活动文件扩展名。使用此信息来确定对文件执行的每个操作。

由于专用网络中蕴藏着大量敏感、机密信息，因此必须形成一种有条不紊的方法来授予文件访问权限。文件访问控制是分配或限制用户对某些文件的访问权限的技术。它确保为授权用户提供足够的信息，但保护免受恶意入侵者试图发起基于文件的攻击或煽动数据泄露事件的侵害。

Device Control Plus是一个全面的数据丢失防护解决方案，可帮助您控制、阻止和监视USB及外围设备未经授权的访问敏感数据。