數(shù)據(jù)安全管理(DLP)
需求分析
現(xiàn)如今公司已經(jīng)進(jìn)入了計算機(jī)辦公時代。員工們用計算機(jī)代替了傳統(tǒng)的筆和計事本,各種應(yīng)用格式的電子文檔也代替了傳統(tǒng)的紙制文件。目前公司的政務(wù)信息、財務(wù)報表、設(shè)計圖紙都以電子文檔的方式制作、流轉(zhuǎn)、使用、存儲。
與紙制文件相比電子文檔的優(yōu)勢非常明顯:編輯功能強(qiáng)大、制作方便、易于修改、便于編目存儲與查閱。
電子文檔給大家?guī)矸奖愕耐瑫r也帶來了重大的安全隱患。由于電子文檔便于攜帶和傳播,一臺筆記本電腦、一張軟盤、一個U盤、甚至一封電子郵件都有可能將絕密的電子文檔輕易的復(fù)制、非法帶離。
設(shè)計中心作為公司的技術(shù)核心機(jī)構(gòu),有大量的重要的信息資產(chǎn),隨著公司的發(fā)展和研發(fā)能力的不斷增強(qiáng),這些信息的價值也逐步提高,信息的泄露或丟失將會對企業(yè)造成非常大的損失,將直接影響企業(yè)產(chǎn)品競爭力和品牌競爭力。
因此,企業(yè)需要一套系統(tǒng)來對傳輸?shù)闹匾娮游臋n進(jìn)行加密,在合理的安全成本基礎(chǔ)上,建立信息安全的基本框架,建立安全管理策略和流程,實施信息安全工具和系統(tǒng),保障研發(fā)信息的安全受控。
文檔安全系統(tǒng)需要具備以下功能:防止重要文檔被非法帶離單位、防止由于文檔載體丟失造成的泄密、文檔對外發(fā)布具有全生命周期的保護(hù)、防止文件越權(quán)使用、記錄涉及文檔安全的各種信息。
技術(shù)解決方案
系統(tǒng)的總體設(shè)計思想是在不損害信息化建設(shè)帶來的便利前提下保證核心數(shù)字資產(chǎn)的安全,達(dá)到安全性和易用性、穩(wěn)定性的有機(jī)結(jié)合。
該系統(tǒng)的技術(shù)實現(xiàn)思路如下:
◆ 對電子文件以密文形式在工作環(huán)境流轉(zhuǎn),未授權(quán)而脫離工作環(huán)境無法使用。
◆ 在工作環(huán)境中,經(jīng)過授權(quán)后,電子文檔會自動解密使用,整個過程對最終用戶透明。
◆ 通過統(tǒng)一的安全策略,控制使用者對內(nèi)容進(jìn)行二次傳播。包括打印、編輯、內(nèi)容復(fù)制拷貝甚至截屏等。
◆ 客戶端采用Windows APIHOOK技術(shù),滿足可擴(kuò)展性和穩(wěn)定性要求。
◆ 服務(wù)器采用 Java 作為開發(fā)平臺,滿足可移植性要求。
技術(shù)結(jié)構(gòu)圖
上圖是文檔使用的流程圖:
1.管理員通過控制臺向安全策略服務(wù)器;
2.系統(tǒng)按照設(shè)置好的安全策略保護(hù)系統(tǒng)中所有計算機(jī)的文檔;
3.用戶在打開文檔時會向服務(wù)器提出申請,從服務(wù)器下載密鑰;
4.服務(wù)器會對客戶端進(jìn)行驗證,通過驗證后發(fā)放密鑰,沒有通過驗證不發(fā)放密鑰;
5.取得密鑰后的用戶可以使用加密后的文檔,沒有密鑰的用戶不能正常打開文檔;
6.使用密文的用戶不能將密文拷貝出單位,一旦拷出文檔將無法正常打開;
定義涉密類型
DSM文檔加密類型包含但不限于以下文件類型,并可以根據(jù)需求靈活擴(kuò)展,使系統(tǒng)適應(yīng)應(yīng)用于各種環(huán)境
電子辦公類:(如Word、Excel、PowerPoint、PDF、WPS等)
機(jī)械設(shè)計類:(如UG、ProE、Catia、SolidWorks、CAXA等)
圖形圖像類:(如3DMax、Photoshop、Core Draw、JPG、GIF等)
電路設(shè)計類:(如Protel、Cadence、LabView等)
安全系統(tǒng)部署
1、服務(wù)器:在企業(yè)部署一臺前沿文檔安全系統(tǒng)服務(wù)器
2、客戶端:通過域分發(fā)功能,對公司內(nèi)計算機(jī)進(jìn)行客戶端自動部署安裝。
應(yīng)急預(yù)案
