1.Tổng quan
DLP SearchInform là giải pháp phòng chống rò rỉ dữ liệu (Data Loss Prevention) giúp doanh nghiệp kiểm soát, theo dõi và ngăn chặn việc chia sẻ thông tin nhạy cảm ra bên ngoài, dù cố ý hay vô tình.
Hệ thống hoạt động bằng cách thu thập, giám sát và phân tích toàn bộ luồng dữ liệu trong tổ chức — từ thiết bị đầu cuối, mạng nội bộ, máy chủ thư cho đến các kênh gửi nhận báo cáo nội bộ (SMTP).
Điểm mạnh của SearchInform là khả năng bao phủ toàn bộ chuỗi lưu chuyển dữ liệu, đảm bảo khôngcó điểm mù trong quá trình giám sát.
Cụ thể, hệ thống hoạt động thông qua bốn cơ chế chính:
- Interception on endpoints – Giám sát dữ liệu trực tiếp tại các máy trạm của người dùng.
- Network interception – Phân tích và theo dõi dữ liệu đi qua đường truyền mạng nội bộ.
- Integration with mail server – Thu thập email và tệp đính kèm trực tiếp từ máy chủ thư doanh nghiệp.
- SMTP integration – Nhận và xử lý các gói báo cáo được gửi đến thông qua giao thức SMTP.
Nhờ sự kết hợp linh hoạt của bốn cơ chế này, DLP SearchInform có thể theo dõi, phân loại và ngăn chặn rủi ro rò rỉ thông tin trong mọi môi trường làm việc, từ mạng nội bộ đến hệ thống email và các kênh truyền thông Internet.
2. Cơ chế hoạt động của DLP SearchInform – Bức tường bảo vệ dữ liệu toàn diện cho doanh nghiệp
Hệ thống hoạt động dựa trên bốn cơ chế chính:
- Interception on endpoints – Chặn và giám sát dữ liệu tại thiết bị đầu cuối.
- Network interception – Theo dõi dữ liệu truyền qua mạng nội bộ.
- Integration with mail server – Thu thập dữ liệu email ngay từ máy chủ thư.
- SMTP integration – Nhận và xử lý dữ liệu thông qua kênh SMTP nội bộ.
2.1. Interception on endpoints – Chặn dữ liệu tại thiết bị đầu cuối
Ở chế độ này, agent của EndpointController được cài trực tiếp lên các máy tính của người dùng trong mạng LAN.
Các agent này có nhiệm vụ:
- Ghi lại toàn bộ dữ liệu gửi đi và nhận về,
- Theo dõi hoạt động trên tệp, ứng dụng, và các cổng giao tiếp (USB, cloud, email, v.v.),
- Gửi thông tin đã thu thập về máy chủ EndpointController để lưu trữ và phân tích.
Ví dụ: Khi một nhân viên cố gắng sao chép tài liệu mật lên USB hoặc gửi qua email cá nhân, agent sẽ ghi nhận hành động đó và, nếu có chính sách chặn, sẽ ngăn chặn ngay lập tức.
2.2. Network interception – Giám sát lưu lượng ở cấp mạng
Với cơ chế này, EndpointController không cần cài agent trên từng máy, mà sẽ giám sát trực tiếp lưu lượng mạng tại điểm trung chuyển dữ liệu (như router, switch,..).
Thông thường, lưu lượng mạng được sao chép (mirrored) bằng thiết bị traffic-mirroring để hệ thống có thể phân tích.
Hệ thống sau đó giám sát các giao thức mạng để phát hiện các hành vi đáng ngờ như gửi dữ liệu ra ngoài trái phép hoặc truy cập vào các máy chủ không hợp lệ.
Ví dụ: Nếu một người dùng trong mạng cố tải tệp nhạy cảm lên một trang web ngoài công ty, Network interception có thể phát hiện và ghi lại toàn bộ nội dung giao dịch đó.
2.3. Integration with mail server – Tích hợp với máy chủ thư
Trong chế độ này, SearchInform kết nối trực tiếp với máy chủ email nội bộ (như Microsoft Exchange, Kerio, hoặc Mdaemon,..).
Hệ thống sử dụng dịch vụ sinsmail.exe để thu thập email và tệp đính kèm ngay từ máy chủ, thay vì chặn ở cổng mạng (gateway).
Nhờ đó, hệ thống có thể:
- Phân tích nội dung email đi và đến,
- Phát hiện thông tin nhạy cảm trong file đính kèm,
- Ghi nhận đầy đủ ngữ cảnh người gửi – người nhận – thời gian – nội dung.
Ví dụ: Khi một nhân viên gửi báo cáo tài chính cho người ngoài công ty, SearchInform sẽ phát hiện từ khóa hoặc nội dung nhạy cảm trong email đó và tạo cảnh báo cho bộ phận an ninh.
2.4. SMTP integration – Tích hợp SMTP
Ở chế độ này, EndpointController đóng vai trò như một máy chủ SMTP.
Các agent hoặc dịch vụ khác trong hệ thống có thể gửi báo cáo hoặc dữ liệu giám sát trực tiếp đến máy chủ này qua giao thức SMTP.
EndpointController sẽ:
- Nhận các gói báo cáo (report packages),
- Phân tích và xử lý nội dung,
- Lưu dữ liệu vào cơ sở dữ liệu để phục vụ việc tra cứu, thống kê, hoặc tạo cảnh báo.
Ví dụ: Khi một agent trên máy người dùng ghi nhận hành vi đáng ngờ, nó có thể gửi báo cáo sự kiện qua SMTP đến máy chủ để hệ thống xử lý và thông báo cho người phụ trách an ninh.
