篇一:防泄密解决方案
一需求分析
1 总体需求
通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个方面全面部署实施内网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。
2进一步加强对内网行为的有效审计
目前单位内缺乏对各种内网行为的系统化审计工具和流程,通过内网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业内部,与工作相关的各种内网行为处于企业的审计和管控之中。
3加强对信息流动(外发和外带)的管理和控制
对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走:
? 文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司;
? 可通过3G上网卡等连接网络,把信息通过网络带走;
? 可将文件通过邮件(NOTES、WEB)发送给外部人员;
? 能通过打印把电子文档转换成纸质资料带走;
? ??
4员工行为管理缺乏有效技术手段
目前公司不能从技术上规范员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。
5 内部文件缺乏有效的安全保护机制
公司拥有大量的机密、敏感信息,关系到客户的资料,方案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来
不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。 二解决方案
针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现:
2.1上网行为管理解决方案
2.1.1 用户认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。
? 内部用户
对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
? 无线临时用户
对于无线临时用户,通过(短信认证、微信认证)方式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
2.1.2 上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。因此,全面的应用控制帮助管理员掌控网络应用现
状和用户行为,保障管理效果。
? 应用控制
深信服上网行为管理AC内置庞大应用特征识别库,包含2000多种应用,4500种规则,600种移动应用。可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
? 网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
深信服AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
? 发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。天涯、猫扑、百度贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
? 邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
? 文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
? 加密应用识别
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
2.1.2 流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
? 多线路复用和智能选路
企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,往往因为跨
篇二:某公司数据防泄密方案
数据防泄密方案
一、 数据泄密的原因
1、 黑客、间谍、竞争对手窃密;
2、 内部人员离职拷贝带走资料泄密;
3、 内部人员无意泄密和恶意泄密;
4、 内部文档权限失控失密;
5、 存储设备丢失和维修失密;
二、 数据泄密的途径
1、 USB口、光驱等外设;
2、 打印文件、虚拟打印文件转换;
3、 邮件发送;
4、 QQ、MSN即时通讯;
5、 截屏、复制粘贴、拖拽;
根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案:
三、 防泄密方案一
薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求:
1、 电脑禁用网络、蓝牙、WIFI;
2、 电脑禁止打印;
3、 电脑禁用光驱;
4、 电脑限制使用USB口,使用时需输入密码;
5、 对存储数据分区进行加密,打开分区需输入密码;
6、 对重要文件进行加密,打开文件需输入密码;
7、 使用USB设备考取数据后,使用完即刻删除;
该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。
四、 防泄密方案二
对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能:
1、 对电脑中全部数据根据配置策略自动加密
2、 对电脑中重要的数据进行手动选取加密
3、 外发加密数据可根据策略配置审批人员、阅览次数、使用
时限等使用权限
4、 加密数据可根据策略配置打印机、USB口设备、刻录光驱、
虚拟打印、复制粘贴、截屏、拖拽等使用权限
5、 对电脑中数据操作进行人员、时间、行为信息的日志记录 该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W费用。
五、 对公司数据安全的规划建议
以上提及的数据防泄密只是保证公司数据安全的部分组成,除此还需考虑网络、数据存储、安全合规审计等层面的建设规划
1、 将企业邮箱、内部即时通讯系统由外部租赁迁移至内部自
建。现已有微软exchange+lync、IBM lotus+sametime等多种成熟的解决方案可供参考、测试,搭建、配置、测试需3-6个月时间。
2、 搭建、推广在外人员、机构使用VPN连接公司内部系统,
避免数据在无加密的公网上传播。
3、 建设数据自动备份系统,将代码、数据库、重要文档集中
存储管理,避免因硬件损坏、恶意删除等行为带来的数据丢失。
4、 搭建办公虚拟桌面系统,将公司内、外网完全隔离。
5、 增加安全合规审计人员及设备,对数据和员工进行有效的
监管和审计。
篇三:企业数据安全,防泄密解决方案
技
术
白
皮
书
苏州深信达
2013年10月
1/20
目录
第一章. 概述 .................................................................................................................................... 3
1.1 常见的机密电子文件泄密途径 ........................................................................................ 3
1.2 防泄密的现状 .................................................................................................................... 3
1.3 深信达SDC机密数据保密系统 ...................................................................................... 4
第二章 SDC系统介绍 .................................................................................................................... 6
2.1 SDC系统架构 .................................................................................................................... 6
2.2 SDC系统功能 .................................................................................................................... 7
2.2.1客户端涉密文件自动加密 ...................................................................................... 7
2.2.2涉密网络内部通畅,隔离外来PC ........................................................................ 7
2.2.3非涉密受限白名单 .................................................................................................. 8
2.2.4涉密文件外发 .......................................................................................................... 9
2.2.5打印内容日志 ........................................................................................................ 10
2.2.6离线客户端 ............................................................................................................ 10
2.2.7 客户端涉密文件自动备份 ................................................................................... 10
2.2.8涉密文件加密导出导入 ........................................................................................ 11
2.2.9 服务器端数据保护 ............................................................................................... 12
第三章 SDC系统特点 .................................................................................................................. 13
3.1沙盒加密是个容器,和软件类型无关,文件类型无关 ............................................... 13
3.2能和文件共享服务器,应用服务器无缝结合 ............................................................... 13
3.3安全稳定,不破坏数据 ................................................................................................... 13
3.4使用便利,操作机密数据的同时,可以上网 ............................................................... 14
3.5超强的反截屏 ................................................................................................................... 14
第四章 推荐运行环境 ................................................................................................................... 15
4.1 管理端(可以和机密端装在一起) .............................................................................. 15
4.2 机密端(可以和管理端装在一起) .............................................................................. 15
4.3 外发审核服务器(可以和管理端装在一起) .............................................................. 15
4.4 客户端 .............................................................................................................................. 15
第五章 关于深信达 ....................................................................................................................... 16
5.1深信达介绍 ....................................................................................................................... 16
5.2联系我们 ........................................................................................... 错误!未定义书签。
附录一:透明加密技术发展 ......................................................................................................... 17 附录二:SDC沙盒资质及成功客户 ............................................................ 错误!未定义书签。
2/20
第一章. 概述
1.1 常见的机密电子文件泄密途径
近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:
- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出; - 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;
- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去; - 内部人员将机密电子文件打印、复印后带出公司;
- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;
- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;
- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密
- 内部人员将通过Internet网络存储,进行保存。
。。。。 。。。。
1.2 防泄密的现状
为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方法来进行限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快发现,限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方法效果不是很好,主要存在的弊端为:
- 影响员工工作情绪甚至造成法律纠纷;
- 增加企业运营成本,降低工作效率;
- 无法防止软件研发人员泄密;
- 精力都花在泄密后的事后追溯上;
3/20
1.3 深信达SDC机密数据保密系统
技术处于国际领先的深信达公司研发的SDC(Secret Data Cage)机密数据保密系统,采用世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
现在的企业都有自己的局域网,一般主要核心机密数据存放于服务器上,一部分存储在员工在自己的电脑上。SDC的保密设计理念是:
当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和服务器进行认证对接,然后形成服务器-客户端沙盒 这样一个涉密的工作空间,员工在沙盒中工作,这样一来:
--服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密沙盒中。 --沙盘是和外界隔绝的,所以不会泄密。
SDC加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示意图
客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。而这个容器是透明的,使用者感觉不到它的存在。
SDC采用最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。系统本身集成网络验
4/20
证,文件加密,打印控制,程序控制,上网控制,服务器数据保护等,能有效防止外来PC,移动存储,光盘刻录,截屏等泄密行为发生。其主要特点为:
- 全透明加密,不影响员工工作效率和习惯;
- 可以保护所有文件格式,包括所有文档格式,所有源代码格式,图纸格式; - 安全稳定,不破坏文件;
- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。 - 外发文档审计,加密,防泄密处理;
- 外发邮件申请,审计业务流。
使用深信达SDC沙盒数据保密系统,可以切实保护企机密数据的安全。
SDC机密数据防泄密系统示意图
适合的行业包括:
- 软件、通讯、游戏、制造、电力、金融等拥有研发设计部门的企事业单位; - 拥有自己的研发部门,具有一定的技术优势企业;
- PDM/ERP/文档管理/OA等应用系统的开发商;
- 所有需要对自己的机密信息保密的企事业单位。
5/20
《部队防泄密》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/15689.html
转载请保留,谢谢!
- 上一篇:县人大七五普法决议
- 下一篇:天车工工作心得