产品简介
       终端防系统（以下简称DLP）致力于为用户提供数据安全防范措施，减少数据风险。
       系统具有硬盘加密、移动存储介质管理、外设管理、协议外发加密和应用程序外发加密等功能，以用户单位内部局域网为边界对敏感数据进行保护。系统同时具有完善的安全审计功能，提供事后追踪手段；可与身份认证系统联动，实现高强度的身份认证；可与文件审批系统联动，建立完善文档审批机制，规范员工外发行为。
产品功能
      硬盘加密
      提供全盘加密功能，利用加密技术实现对硬盘上存储的数据进行保护。
      1）开机认证
      系统提供开机认证功能，此认证是优先于系统启动之前发生，即在BIOS启动后通过密码进行认证，有效的保证了硬盘数据的安全性。同时，系统支持当用户忘记认证密码后通过管理员赋予码进入系统。
      2）加密算法
      系统支持多种加密算法，如：DES、AES、SM4等，系统默认内置SM4 128位加密算法。
      3）全盘加密
      系统支持所有类型的硬盘扇区级动态加解密，所有加密过程均在后台全自动完成，整个过程用户毫无感知，并且支持断点继加解密，即客户端在加密或解密过程中，系统关机、断电等异常操作后，重启计算机后，客户端继续执行相应的加解密动作。
      4）集中部署
      系统提供策略集中下发，客户端统一受控于管理端，后期维护简单。
      移动存储介质管理
      提供完善的移动存储设备管理方案，实现对已注册设备、未注册设备进行统一的管理，并通过注册、、挂失和注销等手段实现移动存储设备生命周期管理。
      1)分类管理
      系统提供对移动存储设备分级管理，支持对移动存储设备分类分级管理，如可划分为防病毒的资料盘和普通类型非资料盘。
      2)设备管理
      系统提供对对移动存储设备生命周期管理，通过注册、、挂失和注销等方式进行管理，同时，支持对未注册进行统一管理。
      注册：系统提供远程注册、批量注册；
      ：系统支持所有设备（已注册、未注册）进行管理，权限包括：正常读写、只读（明文）、只读（明文+密文）、加密读写、禁用；范围包括：用户、用户组。
      挂失：挂失已注册设备。
      注销：注销已注册设备。
      3)日志审计
      系统提供对移动存储设备文件操作日志、插拔日志、违规日志等。文件操作日志包括：包括文件创建、修改、删除、重命名等文件操作以及文件内容审计等；插拔日志包括：插入客户端、拔出客户端、时间、用户名等；违规日志包括：违规设备ID、时间、用户名等。
      终端外设管理
      系统提供对所有的外部设备进行管理。
      1)预置设备库
      系统预置常见的设备类型，支持对这些设备类型进行启用或关闭。预置的设备类型有：设备类型包括串行总线控制器、全部端口（COM和LPT）、全部调整解调器、蓝牙设备、红外设备、1394端口、光驱设备及软驱设备等。
      支持厂家维护更新设备库，并可以通过关键字添加各类型自定义设备。
      2)黑白名单管理
      系统支持对客户端外部设备实现黑白名单管理，并可依据不同应用场景实现黑名单或白名单管理方式。
      协议外发加密
      系统提供网络协议外发加密功能，实现通过客户端外发的文件自动透明被加密，从而保证客户端存储数据的安全性。
      1)HTTP协议外发加密
      系统支持HTTP协议外发加密，客户端所有通过HTTP协议外发的附件均为加密文件，并可设置目标IP地址、端口、URL等参数实现灵活控制。
      2)SMTP/POP3协议外发加密
      系统支持SMTP/POP3协议智能控制，智能控制手段包括：明文发送、全文加密发送、附件加密发送，并可设置收件人邮件地址或发件人目标等参数实现上述控制手段。
      3)解密策略
      系统支持加密策略和解密策略分开，实现对某些特殊群体既能单独下发加密策略或加密策略，以满足不同应用场景下客户需求。
      应用程序外发加密
      系统提供应用程序外发加密功能，实现通过应用程序外发的文件自动透明被加密，从而保证客户端存储数据的安全性。
      1)应用程序外发加密
      系统支持应用程序外发加密，通过设置的应用程序外发的文件自动透明被加密，控制手段包括：加密、明文、禁止发送。
      2)解密策略
      系统支持加密策略和解密策略分开，实现对某些特殊群体既能单独下发加密策略或加密策略，以满足不同应用场景下客户需求。
      网络管理
      系统提供客户端网络层管理，通过网络层控制可实现虚拟安全域管理和网络外发白名单功能。
      1)虚拟安全域
      系统支持按用户的组织架构将内部网络划分为几个逻辑虚拟安全域，虚拟安全域作为系统管理单元，虚拟安全域内可以正常通信，不同虚拟安全域之间不能通信，各虚拟安全域之间通过设置信任关系后，可以达到不同子网之间通信的目的。
      2)网络外发白名单
      系统支持网络层外发白名单控制功能，通过设置网络外发白名单有效的控制了网络外发途径，上规范和管理网络外发行为，系统提供基于应用程序/IP地址/协议/端口四个维度进行控制，管理员可以根据实际需要，在策略中设置应用程序的黑、白名单。从而达到某些程序的网络连接，或者仅允许某些应用程序可以进行网络连接的两种效果。
产品优势
      sec-DLP采用严格的数据边界防护，通过对硬盘、外设、移动存储设备及网络等多个维度进行管控，实现了数据安全控制的同时，又实现了数据“原态化”存储在本地硬盘；实现了数据安全控制的同时，又没有因加密技术提高了数据被破坏的风险；实现了数据安全控制的同时，又没有因加密技术增加了客户端的资源开销。