企业数据安全,防泄密解决方案
企业防泄密方案
企业防泄密方案企业防泄密方案是为了保护企业的敏感信息和知识产权而采取的一系列措施和策略。
以下是一些常见的企业防泄密方案:1.制定和执行信息安全政策:企业应制定详细的信息安全政策,明确规定员工在处理敏感信息时应遵守的规定,包括数据分类、访问控制、数据存储和传输等方面的要求。
2.员工教育和培训:企业应对员工进行定期的信息安全教育和培训,提高员工对机密信息的认识和保护意识,教导员工如何识别和应对潜在的泄密风险。
3.访问控制和身份认证:采用适当的访问控制措施,如密码、双因素认证、访问权限管理等,确保只有授权人员能够访问敏感信息。
4.数据加密:对企业的敏感数据进行加密,确保即使在数据被盗或泄露的情况下,未授权人员无法读取数据内容。
5.网络安全和防火墙:通过使用防火墙、入侵检测系统、入侵防御系统等技术手段,确保网络安全,阻止潜在的黑客攻击和非法访问。
6.定期更新和维护系统:将安全漏洞和软件补丁及时应用到企业的系统和应用程序中,确保系统的安全性和稳定性。
7.文件和设备管理:建立严格的文件和设备管理制度,确保敏感信息不会被随意复制、存储在移动设备上或外部存储介质上。
8.监控和审计:通过实施监控和审计措施,及时检测和响应潜在的泄密行为,并对员工行为和系统访问进行跟踪和审计。
9.内部控制和权限分离:建立适当的内部控制措施,限制员工对敏感数据的访问权限,实施权限分离原则,减少内部人员滥用权限的风险。
10.应急响应计划:建立健全的应急响应计划,包括灾难恢复策略、数据备份和恢复策略等,以便在发生泄密事件时能够快速有效地应对和恢复。
这些是一些常见的企业防泄密方案,企业可以根据自身的需求和情况,结合具体的技术和管理手段,制定适合自己的防泄密措施。
同时,随着技术的不断发展和威胁的不断演变,企业应定期评估和更新防泄密方案,以保持信息安全性。
防泄密解决方案
一、目的随着公司业务的发展,有大量的技术、专利、客户信息以及财务数据等方面的电子文档的生成。
加密软件系统能提高集团内部数据协同和高效运作,实现内部办公文档内容流转安全可控,实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。
对于内部文档使用范围、文档流转等进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。
从而实现防止文档外泄和扩散的目的。
二、存在问题目前在数据安全隐患存在以下几种途径的泄密方式:(一)、输出设备(移动设备)泄密:通过移动存储设备,内部人员泄密;或在不注意的情况下,导致非相关人员获取资料。
移动设备包括:U盘、移动硬盘、蓝牙、红外等。
(二)、网络泄密:1.通过互联网将资料通过电子邮件发送出去。
2.通过互联网将资料通过网页BBS发送出去。
3.将资料通过QQ、企业微信、微信等聊天软件发送出去。
4.随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。
(三)、客户泄密:客户将公司提供的文件自用或者给了竞争对手。
三、解决方案:数据加密产品对公司的核心数据进行防护,在文档创建时即对其进行透明加密,并与用户、权限相结合。
文档加密后,有权限的用户正常双击打开使用,非授权用户显示为乱码,无法使用,从而实现数据防泄密的目的。
在整个加解密过程中,无需用户参与。
文档加密软件主要用于文档、图纸类数据加密保护。
四、效果分析使用文档加密软件可实现以下几方面数据防泄密效果:1.文档透明加密:在文档创建时即加密,加密后,文档以密文形式存储、流转、使用,实现全周期安全。
2.文档权限管理:按用户、用户组、部门,进行加解密、截屏录屏、粘贴复制等细粒度权限控制。
有权限人员正常双击打开加密文档,非授权用户则显示为乱码、无法使用。
3.文档安全流转:在需发送加密文件给内部/部非授权用户使用时,可通过文档安全流转实现在线审核、文档授权、文档解密。
4.文档外发制作:在需制作受控的文档发送给外部人员使用时,控制其打开次数、时间、自动销毁、密码、打印、粘贴复制等。
企业信息数据防泄漏解决方案
现有安全设备难以有效保护网络
无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏
2020年8月2日星期日
防水墙数据防泄漏系统的工作流程
2、安全验证 用户操作认证 证书和权限信息交互
禁止外部用户访问 无访问身份及访问权限
身份验证失败
防水墙服务器
12
无法下载权限信息
4
3、信息分发 通过Internet, 邮件附件, ftp下载,其他存储设备
外部用户
向 外 分 发 信 息
防水墙客户端
主机审计
•【打印审计】【外设使用审计】【外设内容审计】【删除审计】 •【操作审计】【审批审计】 •【硬件资产】【软件资产】 •【网络管理】【共享管理】 •【外设认证】【外设注册】【外设控制】【外设只读】 •【操作预警:管理者,审计者,使用者各种预先设置操作的报警:短信,Mail,界面】
2020/8/2
13
2020/8/2
14
2.1
2020/8/2
15
2.1
优点:自己的文件不必加密,其他人的密文也可以看,对工作效率无影响;
空加密 缺点:安全性取决于用户本人;电脑丢了因为数据不是加密的,可能会造成无意中的数据泄密。
一般仅仅用于企业最高管理层;[存在泄密风险]
优点:自己的文件放到加密目录就会自动加密,移动到非加密目录之外就自动变成明文;其他人的密文也可以看; 对工作效率无影响;电脑即使丢了原来是密文的数据还是得到了保护;
数据防泄密技术(DLP)
数据防泄密技术(DLP)1.DLP解决方案的类型与防护目标(1)DLP解决方案的类型数据泄漏防护(Data Leakage Prevention,DLP)指的是用于监控、发现和保护数据的一组新技术。
数据泄漏防护又称为数据泄密防护、数据防泄密技术。
目前各种DLP解决方案,通常分为3种类型:1)网络DLP:通过假设网络设备于主要网络边界之间,最常见的是企业网络和互联网之间,像一个数据网关。
网络DLP监控通过网关的流量,检测敏感数据或者与之相关的事情,发现异常时,阻止数据离开网络。
2)存储DLP:通过软件运行在一台设备上或直接运行在文件服务器上,执行类似网络DLP的功能。
存储DLP扫描存储系统寻找敏感数据。
发现异常时,可以删除、隔离数据或通知管理员。
3)终端DLP:软件运行在终端系统上监控操作系统活动和应用程序,观察内存和网络流量,以检测使用不当的敏感信息。
(2)DLP的防护目标网络DLP、存储DLP和终端DLP都有相当的防护作用,也有各自的局限性,最终的解决方案经常是混合使用,来满足以下部分或全部目标:1)监控:被动监控,报告网络流量和其他信息通信通道,如将文件复制到附加的存储。
2)发现:扫描本地或远程数据存储,对数据存储或终端上的信息进行分类。
3)捕获:捕获异常情况,并存储,以便事后分析和分类,或优化策略。
4)防护/阻塞:根据监控和发现组件的信息,阻止数据传输,或者通过中断网络会话或中断本地代理与计算机交互来阻断信息流。
DLP解决方案需要混合以上技术,还需要管理配置策略集中服务器,来定义哪些数据需要保护及如何保护。
2.DLP解决方案所面临的挑战在实际业务中,如果DLP解决方案没有监控到特定的存储设备或网段,或者某种特定的文件没有关联合适的策略,DLP解决方案便不能执行正确的保护,这意味着DLP技术的组件必须覆盖每个网段文件服务器、每个内容管理系统和每个备份系统,这显然不是容易的事情。
另外,配置DLP环境和策略是项艰巨的任务,忽视任何一个方面,都可能会导致整体DLP解决方案的失效。
企业数据安全,防泄密解决方案
技术白皮书苏州深信达2013年10月目录第一章. 概述31.1 常见的机密电子文件泄密途径31.2 防泄密的现状31.3 深信达SDC机密数据保密系统4第二章SDC系统介绍52.1 SDC系统架构52.2 SDC系统功能52.2.1客户端涉密文件自动加密52.2.2涉密网络内部通畅,隔离外来PC62.2.3非涉密受限白名单62.2.4涉密文件外发62.2.5打印内容日志72.2.6离线客户端72.2.7 客户端涉密文件自动备份82.2.8涉密文件加密导出导入82.2.9 服务器端数据保护8第三章SDC系统特点93.1沙盒加密是个容器,和软件类型无关,文件类型无关93.2能和文件共享服务器,应用服务器无缝结合93.3安全稳定,不破坏数据93.4使用便利,操作机密数据的同时,可以上网103.5超强的反截屏10第四章推荐运行环境114.1 管理端(可以和机密端装在一起)114.2 机密端(可以和管理端装在一起)114.3 外发审核服务器(可以和管理端装在一起)114.4 客户端11第五章关于深信达125.1深信达介绍125.2联系我们错误!未定义书签。
附录一:透明加密技术发展13附录二:SDC沙盒资质及成功客户错误!未定义书签。
第一章. 概述1.1 常见的机密电子文件泄密途径近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。
电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。
众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。
企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出;- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;- 内部人员将机密电子文件打印、复印后带出公司;- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
企业内部防泄密的有效管理方案
企业内部防泄密的有效管理方案企业内部防泄密有效管理方案内部泄密问题涌现现代企业的发展已经离不开计算机和网络,企业的绝大多数信息是以电子文件的形式被管理和存储,网络信息化使信息的生产、存储、获取、共享和传播更加便利快速,企业内部的信息沟通、企业与外部的信息交换更加自由;然而,与此同时,网络和办公设备的自由使用却因为缺乏有效的管理机制,给企业带来更多的信息泄露安全威胁,企业内网的安全问题日益严重。
企业的重要文件几乎每天都被悄无声息地访问、拷贝、传送、打印、刻录、被窃密软件进入计算机内部窃取,甚至硬件丢失……据权威机构Gartner的调查显示:超过85%的安全威胁来自组织内部;各种安全漏洞造成的损失中,30%-40%是由电子文件泄露造成的;在Fortune排名前1000家的公司中,每次电子文件泄漏所造成的损失平均是50万美元。
数据资产成为企业长期生存和发展的生命线,保护数据资产的安全成为现代企业的首要任务。
但是在中国,高达80%的计算机应用单位未设立相应的安全管理系统、技术措施和制度,缺乏有效的内部信息安全防护机制。
典型事件==美国郎讯公司的新产品图纸从内部泄密,直接损失达3.5亿美元(2001年)==华为的核心员工离职带走企业核心资料,造成华为重大经济损失(2002年)==某大型企业投巨资研发新产品,研发才接近尾声,竞争对手已经拿到了复制有全部研发成果图纸的移动硬盘,并抢先一步申请专利,迅速投放市场,给该企业造成直接经济损失超过1亿元(2003年)==日本软银公司发生内部客户数据泄密,损失达数亿美元(2004年)==某专用设备厂一位跟随老板创业十余年的销售经理突然离职,带走1万多份产品电子图纸,在距该厂不到500米处自己开厂,生产同类产品与原厂竞争,使原厂产品利润空间损失50%以上(2005年)==澳大利亚力拓公司驻上海代表处首席代表非法泄漏中国钢铁行业商业机密,仅09年中国钢铁企业多支出预付款10.18亿,下半年利息损失即达1170.3万(2009年)==香港八达通公司承认,内部曾将200多万客户资料转售给其它公司,非法获利4400万港元,消息一经传出,社会一片哗然,企业名誉受损严重(2010年)==工行农行等银行员工售卖客户信息,使银行客户造成严重威胁(2011年)问题分析为什么企业已经部署了周密的网络安全,原因是:传统的信息安全解决方案,如防火墙、VPN专网、入侵检测等,可以防止外部人员非法访问,但不能防止内部人员、以及用户本人对机密文档进行复制和传播。
最强干货:企业数据防泄密的26种实战方法
最强⼲货:企业数据防泄密的26种实战⽅法企业数据防泄密建设要做到“敏感数据快速识别、泄密风险及时预警、泄密⾏为有效拦截、泄密事件快速追溯”四⼤⽬标。
本⽂中,就为⼤家带来最强防泄密⼲货,从内部到外部,从主动到被动,从预防攻击到主动防御,各个层⾯,应有尽有。
关于企业防泄密这块,先推荐⼀个资料,供⼤家参考,就是,⾥⾯分析的⽐较全⾯,包括各种泄密的途径和类型、防泄密的常⽤和新型⽅法、防泄密的专业产品等等。
(PS:免费下载)好了,⾔归正传,26种⽅法请看下⽂:防⽌内部泄密的⽅法1、教育员⼯:不要低估员⼯教育的⼒量。
CoSoSys的研究显⽰,60%的员⼯不知道哪些公司的数据是机密的。
因此,他们可能会意外泄漏或使⽤不当。
2、签署法律⽂件:很多企业在员⼯⼊职的时候,都会签署保密协议,尤其是开发⼈员这样的涉密⼈员,通过这种⽅式,可以⼀定程度上的防⽌员⼯主动泄密。
3、⽂件加密:⽂件加密是⼀种⽐较常见的数据安全保护⼿段。
不影响员⼯⽇常的操作,加密的⽂件只能在单位内部电脑上正常使⽤,⼀旦脱离单位内部的⽹络环境,在外部电脑上使⽤是乱码或⽆法打开。
这样可以防⽌内部的⼆次泄密。
4、第三⽅⾝份验证:现在有许多基于标准且⾼度安全的⾝份验证产品可供选择,这样的话,你的员⼯/客户等等就不需要⼀个个记住账号密码了,这样就能减少账号泄密的风险了。
5、禁⽤USB接⼝:这种⽅式可以有效防⽌恶意的数据拷贝,如果需要对外发送的话,需要经过审核后由专⼈拷贝出来再外发。
6、控制⽹络访问权限:⽹站⽩名单,只允许访问⼯作需要的⽹站,其他⼀律禁⽌掉。
这个算是⽐较严格的限制⽅式了。
7、控制内部⽂件访问权限:⽐如销售类企业要保护的就是客户的信息,⽽设计类企业要保护的就是图纸等信息,所以需要设置权限,每个⼈只能访问⾃⼰权限范围内的数据。
8、对企业数据信息存储介质做渗透测试:渗透测试是完全模拟⿊客可能使⽤的攻击技术和漏洞发现技术,对⽬标系统的安全做深⼊的探测,发现系统最脆弱的环节。
数据防泄密保证措施
数据防泄密保证措施引言:随着互联网时代的发展,我们的生活已经紧密依赖各类信息系统,而这些信息系统中存储着大量的个人和机密数据。
然而,泄露个人和机密数据的风险也随之增加。
因此,确保数据的安全性和保密性就变得至关重要。
本文将重点探讨数据防泄密保证措施,旨在帮助企业和个人从技术和管理两个方面加强数据安全措施,有效防止数据泄露。
一、技术措施1. 强化身份验证身份验证是保证数据安全的第一步。
使用强密码、多因素身份验证、生物识别技术等方式可以提高身份验证的安全性。
此外,还可以实施访问控制机制,限制用户访问敏感数据或系统。
如此一来,即使密码泄露,黑客也无法进一步获取重要信息。
2. 数据加密数据加密是防止数据泄露的重要技术手段。
对于重要的数据,尤其是个人隐私数据,应该采用加密方式进行存储和传输。
常见的加密算法有对称加密和非对称加密。
此外,还可以采用端到端加密来保护通信中的数据。
3. 引入安全防护措施数据泄露的风险来自于外部攻击,如黑客入侵、病毒、恶意软件等,所以需要引入安全防护措施。
例如,网络防火墙、入侵检测和防御系统、反病毒软件等。
这些安全措施可以阻挡潜在的攻击者,减少对系统和数据的威胁。
4. 定期备份与灾难恢复定期备份数据是一项重要的数据安全措施。
在数据泄露事件发生后,可以及时恢复丢失的数据。
此外,应该建立完善的灾难恢复计划,确保在系统崩溃或遭受攻击时迅速恢复业务,并保护重要数据的安全。
二、管理措施1. 建立许可制度建立许可制度可以限制对敏感数据的访问权,只授权特定的人员能够访问特定的数据。
这样一来,可以更好地保护数据免受未经授权的访问。
2. 严格的安全策略和操作规程制定并执行严格的安全策略和操作规程非常重要。
包括规定密码使用标准、更新软件补丁、定期审查系统日志、监测异常行为等方面。
同时,对员工进行相关培训,提高他们的安全意识也是至关重要的。
3. 安全审计和监控安全审计和监控是发现和防止数据泄露的重要手段。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术白皮书苏州深信达2013年10月目录第一章. 概述 (3)1.1 常见的机密电子文件泄密途径 (3)1.2 防泄密的现状 (3)1.3 深信达SDC机密数据保密系统 (4)第二章SDC系统介绍 (6)2.1 SDC系统架构 (6)2.2 SDC系统功能 (7)2.2.1客户端涉密文件自动加密 (7)2.2.2涉密网络内部通畅,隔离外来PC (7)2.2.3非涉密受限白名单 (8)2.2.4涉密文件外发 (9)2.2.5打印内容日志 (10)2.2.6离线客户端 (10)2.2.7 客户端涉密文件自动备份 (10)2.2.8涉密文件加密导出导入 (11)2.2.9 服务器端数据保护 (11)第三章SDC系统特点 (13)3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13)3.2能和文件共享服务器,应用服务器无缝结合 (13)3.3安全稳定,不破坏数据 (13)3.4使用便利,操作机密数据的同时,可以上网 (14)3.5超强的反截屏 (14)第四章推荐运行环境 (15)4.1 管理端(可以和机密端装在一起) (15)4.2 机密端(可以和管理端装在一起) (15)4.3 外发审核服务器(可以和管理端装在一起) (15)4.4 客户端 (15)第五章关于深信达 (16)5.1深信达介绍 (16)5.2联系我们............................................................................................. 错误!未定义书签。
附录一:透明加密技术发展 (17)附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
第一章. 概述1.1 常见的机密电子文件泄密途径近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。
电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。
众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。
企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出;- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;- 内部人员将机密电子文件打印、复印后带出公司;- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密- 内部人员将通过Internet网络存储,进行保存。
1.2 防泄密的现状为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方法来进行限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。
但人们很快发现,限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方法效果不是很好,主要存在的弊端为:-影响员工工作情绪甚至造成法律纠纷;-增加企业运营成本,降低工作效率;-无法防止软件研发人员泄密;-精力都花在泄密后的事后追溯上;1.3 深信达SDC机密数据保密系统技术处于国际领先的深信达公司研发的SDC(Secret Data Cage)机密数据保密系统,采用世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
现在的企业都有自己的局域网,一般主要核心机密数据存放于服务器上,一部分存储在员工在自己的电脑上。
SDC的保密设计理念是:当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和服务器进行认证对接,然后形成服务器-客户端沙盒这样一个涉密的工作空间,员工在沙盒中工作,这样一来:--服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密沙盒中。
--沙盘是和外界隔绝的,所以不会泄密。
SDC加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。
也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示意图客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。
而这个容器是透明的,使用者感觉不到它的存在。
SDC采用最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。
系统本身集成网络验证,文件加密,打印控制,程序控制,上网控制,服务器数据保护等,能有效防止外来PC,移动存储,光盘刻录,截屏等泄密行为发生。
其主要特点为:- 全透明加密,不影响员工工作效率和习惯;- 可以保护所有文件格式,包括所有文档格式,所有源代码格式,图纸格式;- 安全稳定,不破坏文件;- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。
- 外发文档审计,加密,防泄密处理;- 外发邮件申请,审计业务流。
使用深信达SDC沙盒数据保密系统,可以切实保护企机密数据的安全。
SDC机密数据防泄密系统示意图适合的行业包括:- 软件、通讯、游戏、制造、电力、金融等拥有研发设计部门的企事业单位;- 拥有自己的研发部门,具有一定的技术优势企业;- PDM/ERP/文档管理/OA等应用系统的开发商;- 所有需要对自己的机密信息保密的企事业单位。
第二章SDC系统介绍2.1 SDC系统架构深信达SDC机密数据保密系统分管理端,机密端,外发审核服务器,客户端四部分。
管理端是整个系统的控制中心,系统中只有一个;机密端是存放机密数据的服务器,一个系统中允许有多台机密服务器;外发审核服务务器是对外发文件进行审核;客户端是安装在员工PC上的防泄密策略的执行程序。
根据需要,管理端,机密端,外发审核服务器可以安装在同一台电脑上。
SDC防泄密系统架构图管理端:对系统中的机密端,客户端进行策略管理,组织管理;客户端日志收集;企业加密密钥管理;客户端卸载管理;机密服务器,外发审核服务器认证管理;机密端:保存机密数据的服务器,对来访用户进行严格审计,加密认证。
可以是文件共享服务器,ERP,PDM服务器,文档管理系统。
或者是VSS,CVS,SVN文件版本管理服务器。
非客户端无法访问机密端。
外发审核服务器:对外发的邮件,文件进行审核,对于涉密文件可自动加密。
外发结果记录。
客户端:透明加密解密,真正和格式无关的加密。
可信网络认证,机密资源认证。
打印控制,禁止打印,指定打印机打印,打印内容日志回传。
离线控制;文档外发等2.2 SDC系统功能2.2.1客户端涉密文件自动加密SDC采用内核级纵深加密技术,对所有涉密文件都进行透明加密处理,真正做到不区分文件格式,不区分软件类型。
只要是涉密信息,不管Office系列,PDF等常用文档,还是AutoCAD等制图类软件,或者是Microsoft Visual Studio, Eclipse等软件开发工具,一律自动加密,不但包括源代码,源图纸,而且编译中间文件等都自动加密,关键的是不影响本地编译,不影响性能。
对于需要提交服务器进行编译的也能轻松适用。
客户端透明加密解密示意图加密的数据不能通过移动存储(如U盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,甚至把硬盘拔走都不会造成泄密。
2.2.2涉密网络内部通畅,隔离外来PC机密服务器和进入涉密沙盒模式下的客户端,形成一个涉密地,安全的网络空间,在涉密网络内部,信息传输是透明的,流畅的。
传输方式包括文件共享,C/S (客户端和管理端)B/S(浏览器/服务器)构架的应用,和布置SDC前比,没什么区别。
涉密网络内,飞秋,IPMSG等局域网内部聊天工具照常可以使用。
但是,没有进入沙盒模式的客户端,或者外来PC接入网络,由于无法通过认证,立即被隔离,成为孤岛,不能访问机密服务器,不能访问其他涉密客户端,局域网通讯工具也无法和涉密的客户端进行对话。
外来PC被隔离示意图2.2.3非涉密受限白名单在策略允许前提下,客户端在涉密工作的同时,在保证不会泄密的前提下,允许安某些程序进行非涉密上网。
在策略允许的前提下,上网可以进行的行为包括:--浏览互联网进行必要的资料查询;--QQ,MSN,飞信的使用;--非涉密邮件的使用,如WebMail或者OutLook/Foxmail的非涉密收发邮件;上述非涉密上网过程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被非涉密程序使用。
举例说明:用户正在编辑涉密的一个AutoCAD图纸,此时可以通过IE上互联网查找资料,通过QQ和业内人士讨论,但是涉密AutoCAD中的图片,文字,文件等都无法通过IE和QQ发送出去。
QQ的截屏等任何截屏软件,录屏软件都无法截去涉密AutoCAD画面。
当然,如果觉得该员工上网会影响工作效率的话,通过策略设定,可以把外网完全断开。
安全隔离上网功能,极大地提高了员工查找资料的便利性。
安全隔离非涉密受限上网示意图2.2.4涉密文件外发当业务需要把涉密文件拿出涉密环境时,必须走SDC的外发审核流程才能脱密。
SDC系统提供了明文外发,加密外发和邮件外发三种方式。
下面简单做下介绍。
明文外发:当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,经过审批后的涉密文件,可以通过邮件,QQ,U盘等方式外发给客户。
如果外发的文件格式为PDF,审核时可以为该文档添加公司标识的水印。
每个外发出的PDF格式文件都包含了签名,通过该签名,可以判断出该文件是谁什么时间申请外发的,谁什么时间审批的。
审批支持多级审批,如组员->组长->经理->副总的多级审批模式加密外发:当业务需要,需要把涉密的文件发给客户,同时还希望控制该文件的使用范围,则可以使用加密外发业务流程。