四川省农业机械设计院数据防泄密解决方案gjfn.docx

《四川省农业机械设计院数据防泄密解决方案gjfn.docx》由会员分享，可在线阅读，更多相关《四川省农业机械设计院数据防泄密解决方案gjfn.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 五粮液.普拉斯数据防泄密解决方案四川省农农业机械械设计院院数据防泄泄密方案书厂家名称称： 深深圳市虹虹安信息息技术有有限公司司项目负责责：成都都易佰科科技有限限公司密级：秘秘密版本信息息：Veer1.020111.088目 录1.第一一章 背背景介绍绍第3页2.第二二章 方方案目标标第4页页3.第四四章 四四川省农农业机械械设计院院内网数数据泄密密风险分分析第5页4.第四四章解决决方案第第6页5.第五五章系统统分析第第8页6.第六六章 技技术概述述第9页 66.1系统简简介第9页6.1.4核心心技术介介绍第112页 66.1.5产品品技术优优势第114页7.第七七章 典典型案例例第17页8.

2、第八八章 厂厂家介绍绍第20页第一章 背景介绍绍随着企事事业单位位全面信信息化时时代的到到来，各各单位越越来越多多地借助助以计算算机、互互联网等等先进技技术为代代表的信信息手段段，将企企事业的经经营及管管理流程程在线实实现，所所有业务务数据经经由系统统处理，快快速形成成管理层层所需商商业智能能，这样样，电子子文档就就成为企企事业单单位信息息的主要要存储方方式及企企事业单单位内、外外部之间间进行信信息交换换的重要要载体。如如何保护护电子文文档的安安全问题题，作为为信息安安全领域域的一个个重要内内容，必必将越来来越受到到重视。 近年来，国国内设计计院所在在科技建建院、科科技兴院院和可持持续发展展的

3、方针针指导下下，大力力推进信信息化建建设，以以信息化化带动设设计院的的现代化化，取得得了瞩目目的成绩绩。特别别在远程程异地办办公、设设计应用用软件资资产规模模、三维维设计技技术推广广应用和和协同办办公等领领域，单单位投入入了大量量的资金金，逐步步形成了了一整套套覆盖设设计院各各个业务务和管理理领域的的信息化化基础体体系。在在此基础础上，安安全作为为信息化化建设的的重要一一环，对对于以知知识成果果为企事业单单位重要要效益来来源的设设计院所所，尤显显重要。第二章 方案目标标为提高设设计院内内部数据据的安全全性，实实现内部部办公文文档内容容流转安安全可控控，实现现文档脱脱离设计计院管理理平台后后能有

4、效效防止文文件的扩扩散和外外泄，需需要建立立一套完完善的文文档安全全管理系系统，即即对于设设计院内内部文档档使用范范围、用用户权限限、用户户操作、文文档流转转进行控控制管理理，以防防止文档档内部核核心信息息非法授授权阅览览、拷贝贝、篡改改。达到到既防止止文档外外泄和扩扩散，又又支持内内部知识识积累和和文件共共享的目目的。内内部的数数据安全全需从以以下几方方面解决决：1.确保保设计院院内部与与外部之之间重要要电子文文档的畅畅通、安安全的交交流；2.保障障各应用用、办公公系统等等数据的的存储和和使用安安全；3.保障障终端数数据的离离线安全全；4.保障障电子文文档整个个生命周周期内，在在办公终终端、

5、业业务系统统之间流流转的安安全；5.解决决与外协协人员、合合作伙伴伴等的数数据交互互安全；6.保障障移动设设备、存存储介质质的数据据安全。第三章 四川省农农业机械械设计院院内网数据泄密密风险分分析3.1泄泄密分析析311、设设计图纸纸不可控控，内部部存在泄泄密风险险312、移移动存贮贮设备未未有效管管理，UU盘、移移动硬盘盘成最大大泄密载载体。313、外外发文件件未审核核，泄密密后无法法查找泄泄密途径径。314、外外发文件件不可控控，存在在设计理理念被合合作伙伴伴泄密或或剽窃的的可能。315、文文件提供供给甲方方后造成成客户资资源流失失、内部部人员私私自将文文件带走走后造成成客户流流失泄密分析

6、析图第四章 解决决方案41、采采用透明明加密技技术，可可实现驱驱动级自自动加密密，不改改变使用用者任何何操作习习惯。如如图4-142、虹虹安DLLP数据据防泄密密系统，具具备完善善的外发发审批系系统，多多级审核核模式，所所有外发发审核都都由统一一路径出出去，保保证了数数据的安安全审计计。如图图4-2243、强强大的外外设管理理系统，能能对移动动存贮设设备统一一注册管管理，保保证外带带的设备备丢失后后，里面面的数据据不外泄泄。如图图4-3344、可可制作可可控的外外发文档档，能限限制使用用者的打打开次数数、能否否复制、能能否打印印、能否否抓屏等等细小权权限，很很好地保保护了外外发出去去的文档档安

7、全。图4-11透明加加密示意意图图4-22 文件外外发审请请图4-33 外设设管理图4-44外发文文件制作作第五章 系统统分析 5.1、业务流流程图5.2、系统功功能图第六章 技术概概述6.1、系统简简介6.1.1、概述深圳虹安安DLPP数据泄泄漏防护护系统（以以下简称称：虹安安DLPP）是深深圳虹安安信息技技术有限限公司自自主研发发，拥有有完全自自主知识识产权的的DLPP平台产产品。它它以密码码技术为为支撑，数数据保密密为核心心，身份份认证为为基础，信信息安全全为目标标。虹安安DLPP通过内内核级加加密技术术，整合合端点控控制技术术，有效效防止任任何状态态（使用用、传输输、存储储）的内内部资

8、料料和智慧慧资产泄泄漏。虹安DLLP的内内核级加加密技术术和端点点控制技技术，能能够在数数据和文文件使用用时便对对其进行行自动加加密，确确保以任任何方式式泄漏的的数据和和文件均均是密文文，同时时能够有有效防止止数据和和文件通通过任何何非法操操作和传传输路径径（如：截屏和和另存、共共享和外外设、邮邮件、和和移动存存储设备备）等方方式泄漏漏，助你你更好的的管理数数据存储储、使用用、传输输的生命命周期全全过程，如如图所示示：虹安DLLP防护护数据存存储、使使用、传传输概念念图部署虹安安DLPP，使泄泄密者不不合法就就进不来来，进来来了也找找不到，找找到了也也打不开开，打开开了也看看不懂；没有审审核发

9、不不出，带带走了也也没有用用，相关关操作有有记录，出出现情况况跑不了了6.1.2、系统架架构虹安DLLP数据据泄漏防防护系统统包括服服务端和和客户端端软件（含含USBBKEYY）,服服务端可可以是纯纯软件，也也可以是是硬件服服务端的的设备形形式，软软件硬件件两种形形式均支支持多台台同级服服务器分分布部署署模式，系系统整体体架构图图如下所所示：服务端虹安DLLP数据据泄漏防防护系统统服务端端后台管管理系统统分：证证书密钥钥管理、策策略库管管理、系系统管理理、日志志记录、外外部存储储设备管管理、用用户管理理等功能能。服务务器端通通过向客客户端下下发管理理策略，客客户端再再根据相相关策略略来执行行相

10、应的的加密保保护动作作。可以以适应不不同企业业对不同同数据文文档的保保护。同同时也接接收客户户端上传传的操作作日志。虹安DLLP服务务端功能能模块图图服务端控控制台基基于通过过Webb方式登登陆管理理。若放放宽登录录限制，只只要能上上网，即即可登录录服务端端控制台台进行配配置操作作。客户端客户端软软件运行行于需要要保护的的计算机机终端后后台，实实现策略略加密、策策略解密密、日志志管理、数数据通讯讯等功能能，并集集成文件件外发工工具。该该客户端端采用安安全的方方式接受受服务器器统一管管理，接接受服务务器下发发的策略略，并通通知相应应的功能能模块执执行策略略。客户户端软件件还要与与服务器器通讯，上

11、上传日志志和其他他服务器器需要的的数据，同同时客户户端提供供加解密密功能，并并通过服服务端下下发的策策略来对对不同类类型的文文件进行行加解密密。当受保护护的文件件需要外外发时，可可以通过过客户端端集成的的外发工工具给管管理者审审核，审审核通过过后可以以外发。虹安DLLP客户户端功能能模块图图6.1.3、网络部部署图6.1.4、核心技技术介绍绍(a)、内核级透明加密虹安DLLP支持持目前业业界领先先的1228位、2256位位DESS、3DDES、AAES、RRC4加加密算法法，将底底层透明明加密驱驱动嵌入入到操作作系统内内核，对对文档有有多层保保护手段段。结合合RSAA公私钥钥体系实实现密钥钥安

12、全传传输，保保证加密密强度的的同时，兼兼顾密钥钥传输安安全。相相关内核核技术主主要通过过以下三三类中的的六种内内核驱动动程序实实现：（a.11）应用程程序保护护l 文件过滤滤驱动，实现进程和文件的透明加密，也可做全盘加密操作，文件产生时即被强制加密，在文件使用（编辑、保存等）过程中进行跟踪加密，以任何方式泄漏出去的文件均为密文。l 进程保护护驱动，防防止进程程被恶意意终止，欺欺骗，注注入攻击击等，同同时避免免内存直直接读取取的漏洞洞。l 访问控制制驱动，对对文件和和数据加加以权限限保护。(a.22)设备外外设保护护l 设备文件件驱动，对对移动存存储等文文件加密密，用于于密文明明文通用用设备。l

13、 设备磁盘盘驱动，对对移动存存储或硬硬盘等设设备全盘盘加密，用用于密文文专用设设备。(a.33)网络保保护l 防火墙驱驱动，用用于控制制客户端端的网络络使用。如如：禁止止内部连连接，禁禁止外部部连接，或或是同时时禁止内内部和外外部的连连接。虹安DLLP系统统通过上上述内核核技术，从从高层用用户接口口，到底底层存储储和传输输，全部部实现加加密保护护。且所所有操作作都通过过驱动程程序来实实现，对对用户完完全透明明，不改改变用户户使用习习惯。(b)、身份认证和密钥管理身份认证证通过UUSBKKey和和软证书书来进行行注册，确确保系统统用户注注册、登登陆、注注销和回回复的全全过程安安全可靠靠。基于PP

14、KI/CA标标准密钥钥和数字字证书管管理体系系，银行行交易级级别的密密钥管理理，在密密钥的产产生、存存储、分分配、使使用和销销毁的全全过程保保护密钥钥安全。USBBkeyy硬件标标识作为为密钥证证书载体体，结合合密码认认证登录录。双因子子认证登登录，增增强身份份认证的的可信度度，并实实现一机机多用户户情况下下权限明明晰。虹安DLLP密钥钥体系图图如下：根证书（CER、PEM）根证书备份（PFX）公司密钥（DAT）公司密钥备份（DAT）用户证书（CER、PEM）用户密钥（DAT）HTTPS证书（CER、PEM）公钥数据密文签名签名备份备份WEB服务器 （TOMCAT）IE浏览器配置HTTPSUS

15、BKEY私钥、公司密钥HTTPSHTTPS客户端HTTPS内核私钥解密6.1.5、产品技技术优势势(a)、进程学习文档加密密的策略略配置过过程中，最最头痛的的就是多多个进程程识别，如如某些文文档的编编辑软件件，主进进程运行行时还会会调用其其他的子子进程，而而这些进进程都是是看不到到的，如如果这些些子进程程没有添添加到策策略中，则则文档无无法正常常加密保保护，甚甚至运行行错误。在在虹安DDLP中中，加入入了进程程自动学学习功能能，所以以，配置置策略时时，大部部分程序序只要把把主进程程填上即即可，在在软件运运行时，就就会把该该主进程程所调用用的子进进程都送送到内核核中，策策略就会会自动按按需要学学

16、习到子子进程并并添加到到策略中中，而其其他不起起作用的的或导致致安全问问题的进进程则可可以过滤滤。这就就使本来来复杂专专业的策策略配置置变得相相对简单单。（b）、全面的客户端保护数据加密密保护系系统，经经常碰到到的问题题，就是是客户端端离线状状态下，要要么失去去保护，要要么无法法使用。虹虹安DLLP可分分别设定定在线和和离线策策略，根根据两种种不同状状态采取取针对性性控制，既既实现保保护控制制，又不不影响工工作。（c）、灵活的移动存储管理对于移动动设备的的管理，虹虹安DLLP除可可控制在在线和离离线两种种状态外外，还可可以将UU盘等移移动存储储设备设设定为内内网专用用和内外外网通用用两种不不同

17、模式式，不会会因为加加密保护护的原因因，造成成移动设设备无法法移动的的尴尬。U盘传播播病毒的的现象常常令管理理员头痛痛，轻则则破坏UU盘内文文件，严严重的会会影响整整个内网网稳定运运行。虹虹安DLLP可控控制U盘盘将病毒毒带入内内网传播播，并保保护U盘盘内文件件不遭破破坏。（d）、多种外设接口控制虹安DLLP可实实现所有有外设接接口处在在离线和和在线两两种不同同状态下下的权限限控制。如如：蓝牙牙、打印印机、数数码相机机、光驱驱、串口口、并口口、刻录录机、SSD卡槽槽、无线线上网卡卡、U盘、UUSB无无线网卡卡等等。(e)、备份服服务器虹安DLLP所有有的加密密操作，都都可以配配置备份份保护，并

18、并根据需需要配置置实时更更新，避避免重要要数据因因系统崩崩溃、断断电等原原因损毁毁。备份份服务器器可以同同DLPP服务器器集成部部署，也也可以使使用专用用文件服服务器分分别部署署，用大大容量的的文件服服务器来来满足海海量存储储需求。(f)、数据迁迁移虹安DLLP提供供备份和和恢复系系统数据据的功能能，在系系统升级级过程中中，能实实现不同同版本之之间的数数据迁移移。第七章 典型型案例党政机关关广州市（区区）机要要局广州黄埔埔区城建建办广州黄埔埔区国资资局广州黄埔埔区委办办公室广州黄埔埔区纪委委四川省德德阳市国国土勘测测规划所所四川省上上的德阳阳国土资资源局黑龙江省省道路运运输管理理局金融行业业招

19、商银行行中信银行行移动通信信中兴通讯讯河北网通通杭州电意意电子有有限公司司深圳市时时讯迪科科技有限限公司深圳市业业通达实实业有限限公司医药/医医疗器械械沈阳三生生制药有有限责任任公司宁夏泰瑞瑞制药股股份有限限公司深圳市博博锐德生生物科技技有限公公司建筑/装装饰深圳市艺艺鼎装饰饰设计有有限公司司汽车电子子博世汽车车检测设设备（深深圳）有有限公司司（世界界5000强企业业）深圳中软软创协信信息技术术有限公公司江苏金正正伟业投投资实业业有限公公司设计研究究中科院深深圳先进进技术研研究院天津中科科遥感信信息技术术有限公公司楼宇智能能深圳高境境界智能能科技有有限公司司软件开发发天津市科科之比科科技有限限

20、公司深圳市海海思博科科技有限限公司深圳市塞塞普爱德德信息技技术有限限公司珠海网博博信息科科技有限限公司哈尔滨蓝蓝易科技技开发有有限公司司潍坊金贝贝尔软件件工程有有限公司司电气机械械及器材材制造业业佛山市巨巨电机电电制造有有限公司司深圳市博博孚机电电有限公公司惠州市裕裕元华阳阳精密部部件有限限公司宁波市科科钺机械械有限公公司宁波市第第一注塑塑模具有有限公司司宁海县德德科模塑塑有限公公司佛山市南南海区新新正压铸铸厂网络设备备深圳市鹏鹏讯信息息技术有有限公司司（拉卡卡啦厂家家）深圳市华华信智能能科技有有限公司司仪器设备备/检测测深圳市杰杰科信仪仪器有限限公司深圳市业业昕工程程检测有有限公司司电子电器

21、器佛山市佳佳特电脑脑有限公公司珠海市金金邦达保保密卡有有限公司司（国内内五大卡卡商之一一）深圳市苗苗方科技技有限公公司北京环耀耀汽车服服务有限限公司宁波方正正汽车模模具有限限公司IT服务务苏州蓝盟盟信息系系统服务务有限公公司安防深圳市傲傲天智能能系统有有限公司司贸易宁波泰仕仕国际贸贸易有限限公司备注：由由于保密密协议限限制，只只提供个个别案例例，不便便于提供供全部客客户信息息及相关关合同细细节信息息。第八章、厂厂家介绍绍8.1、公公司简介介 公司司名称：深圳市市虹安信信息技术术有限公公司公司定位位：数据据安全解解决方案案提供商商公司愿景景：打造造中国数数据安全全领域第第一品牌牌公司使命命：为用

22、用户提供供高安全全、技术术领先、可可持续的的数据和和内容安安全解决决方案，帮帮助用户户构建无无忧的数数据安全全平台，从从而保障障并提升升整个IIT平台台的价值值和适应应性，最最终帮助助用户规规避风险险、降低低管理成成本、提提升运营营效益。经营理念念：技术术领先、用用户导向向、持续续共赢核心价值值观：专专注、创创新、责责任、共共赢深圳虹安安的组成成：卫士通公公司（股股票代码码00222688）：为为深圳虹虹安公司司主要股股东，中中国信息息安全第第一股，深深圳虹安安是卫士士通公司司唯一投投资的非非三系企业业。公司成立立于20009年年，公司司经营团团队、技技术骨干干均来自自卫士通通公司以以及华为为

23、、中兴兴。公司注册册资本8800万万，现有有人员近近1000人，440%为为研发人人员。作为国内内为数不不多的具具备完全全自主知知识产权权的信息息安全厂厂商，虹虹安产品品核心技技术完全全自主研研发，具具有极强强的后续续开发和和维护能能力。220100年提交交6项国国家发明明型专利利。深圳圳虹安产产品已获获得国家家商用密密码，国国家保密密局，公公安部计计算机安安全产品品等准入入认证，并并成为省省市两级级政府采采购供应应商。8.2资资质证书书8.2.1、软件企企业认定定证书8.2.2、深深圳市版版权协会会理事单单位8.2.3、深圳市市软件行行业协会会会员单位位8.2.4、软软件产品品登记证证书8.

24、2.5涉密密信息系系统检测测证书8.2.6计算算机信息息系统安安全专用用产品销销售许可可证8.2.7商用用密码产产品销售售许可证证8.3荣荣誉8.3.1、220099年度DDLP数数据泄漏漏防护最最佳产品品奖8.3.2、220099年度内内网安全全用户最最值得依依赖奖8.3.4、220099年度内内网安全全产品创创新奖8.3.5、220100年政府府及公共共事业单单位最值值得推荐荐的数据据保护产产品8.3.6、220100年度值值得CSSO信赖赖的信息息安全产产品8.3.7、220111年制造造行业最最佳信息息安全解解决方案案8.4、知知识产权权a、采用用标记文文件和数数据文件件相结合合的文件件透明加加密算法法专利号：2000910018888777.7b、基于于文件通通知消息息的文件件主动加加密方法法专利号：2000910018888755.8c、结合合访问偏偏转的文文件加密密方法专利号：2000910018888744.3d、增加加文件头头的文件件透明加加密方法法专利号：2000910018888733.9e、增加加文件尾尾的文件件透明加加密方法法专利号：2000910018888722.4f、采用用加密沙沙箱的文文件加密密方法专利号：2000910018888766.2深圳市虹安信息技术有限公司 成都易佰科技有限公司 第36页 /共36页