《四川省农业机械设计院数据防泄密解决方案.doc》由会员分享,可在线阅读,更多相关《四川省农业机械设计院数据防泄密解决方案.doc(30页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 五粮液.普拉斯数据防泄密解决方案四川省农业机械设计院数据防泄密方案书 厂家名称: 深圳市虹安信息技术有限公司项目负责:成都易佰科技有限公司密级:秘密版本信息:Ver1.02011.08目 录1.第一章 背景介绍第3页2.第二章 方案目标第4页3.第四章 四川省农业机械设计院内网数据泄密风险分析第5页4.第四章 解决方案第6页5.第五章 系统分析第8页6.第六章 技术概述第9页 6.1系统简介第9页 6.1.4核心技术介绍第12页 6.1.5产品技术优势第14页7.第七章 典型案例第17页8.第八章 厂家介绍第20页第一章 背景介绍随着企事业单位全面信息化时代的到来,各单位越来越多地借助以计算
2、机、互联网等先进技术为代表的信息手段,将企事业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,电子文档就成为企事业单位信息的主要存储方式及企事业单位内、外部之间进行信息交换的重要载体。如何保护电子文档的安全问题,作为信息安全领域的一个重要内容,必将越来越受到重视。 近年来,国内设计院所在科技建院、科技兴院和可持续发展的方针指导下,大力推进信息化建设,以信息化带动设计院的现代化,取得了瞩目的成绩。特别在远程异地办公、设计应用软件资产规模、三维设计技术推广应用和协同办公等领域,单位投入了大量的资金,逐步形成了一整套覆盖设计院各个业务和管理领域的信息化基础体系。
3、在此基础上,安全作为信息化建设的重要一环,对于以知识成果为企事业单位重要效益来源的设计院所,尤显重要。第二章 方案目标为提高设计院内部数据的安全性,实现内部办公文档内容流转安全可控,实现文档脱离设计院管理平台后能有效防止文件的扩散和外泄,需要建立一套完善的文档安全管理系统,即对于设计院内部文档使用范围、用户权限、用户操作、文档流转进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散,又支持内部知识积累和文件共享的目的。内部的数据安全需从以下几方面解决:1.确保设计院内部与外部之间重要电子文档的畅通、安全的交流;2.保障各应用、办公系统等数据的存储和使用安全;3
4、.保障终端数据的离线安全;4.保障电子文档整个生命周期内,在办公终端、业务系统之间流转的安全;5.解决与外协人员、合作伙伴等的数据交互安全;6.保障移动设备、存储介质的数据安全。第三章 四川省农业机械设计院内网数据泄密风险分析3.1泄密分析311、设计图纸不可控,内部存在泄密风险312、移动存贮设备未有效管理,U盘、移动硬盘成最大泄密载体。313、外发文件未审核,泄密后无法查找泄密途径。314、外发文件不可控,存在设计理念被合作伙伴泄密或剽窃的可能。315、文件提供给甲方后造成客户资源流失、内部人员私自将文件带走后造成客户流失泄密分析图第四章 解决方案41、采用透明加密技术,可实现驱动级自动加
5、密,不改变使用者任何操作习惯。如图4-142、虹安DLP数据防泄密系统,具备完善的外发审批系统,多级审核模式,所有外发审核都由统一路径出去,保证了数据的安全审计。如图4-243、强大的外设管理系统,能对移动存贮设备统一注册管理,保证外带的设备丢失后,里面的数据不外泄。如图4-344、可制作可控的外发文档,能限制使用者的打开次数、能否复制、能否打印、能否抓屏等细小权限,很好地保护了外发出去的文档安全。图4-1透明加密示意图图4-2 文件外发审请图4-3 外设管理图4-4外发文件制作第五章 系统分析 5.1、业务流程图5.2、系统功能图第六章 技术概述6.1、系统简介6.1.1、概述 深圳虹安DL
6、P数据泄漏防护系统(以下简称:虹安DLP)是深圳虹安信息技术有限公司自主研发,拥有完全自主知识产权的DLP平台产品。它以密码技术为支撑,数据保密为核心,身份认证为基础,信息安全为目标。虹安DLP通过内核级加密技术,整合端点控制技术,有效防止任何状态(使用、传输、存储)的内部资料和智慧资产泄漏。虹安DLP的内核级加密技术和端点控制技术,能够在数据和文件使用时便对其进行自动加密,确保以任何方式泄漏的数据和文件均是密文,同时能够有效防止数据和文件通过任何非法操作和传输路径(如:截屏和另存、共享和外设、邮件、和移动存储设备)等方式泄漏,助你更好的管理数据存储、使用、传输的生命周期全过程,如图所示:虹安
7、DLP防护数据存储、使用、传输概念图部署虹安DLP,使泄密者不合法就进不来,进来了也找不到,找到了也打不开,打开了也看不懂;没有审核发不出,带走了也没有用,相关操作有记录,出现情况跑不了6.1.2、系统架构虹安DLP数据泄漏防护系统包括服务端和客户端软件(含USBKEY),服务端可以是纯软件,也可以是硬件服务端的设备形式,软件硬件两种形式均支持多台同级服务器分布部署模式,系统整体架构图如下所示:服务端虹安DLP数据泄漏防护系统服务端后台管理系统分:证书密钥管理、策略库管理、系统管理、日志记录、外部存储设备管理、用户管理等功能。服务器端通过向客户端下发管理策略,客户端再根据相关策略来执行相应的加
8、密保护动作。可以适应不同企业对不同数据文档的保护。同时也接收客户端上传的操作日志。虹安DLP服务端功能模块图服务端控制台基于通过Web方式登陆管理。若放宽登录限制,只要能上网,即可登录服务端控制台进行配置操作。客户端客户端软件运行于需要保护的计算机终端后台,实现策略加密、策略解密、日志管理、数据通讯等功能,并集成文件外发工具。该客户端采用安全的方式接受服务器统一管理,接受服务器下发的策略,并通知相应的功能模块执行策略。客户端软件还要与服务器通讯,上传日志和其他服务器需要的数据,同时客户端提供加解密功能,并通过服务端下发的策略来对不同类型的文件进行加解密。当受保护的文件需要外发时,可以通过客户端
9、集成的外发工具给管理者审核,审核通过后可以外发。虹安DLP客户端功能模块图6.1.3、网络部署图6.1.4、核心技术介绍(a)、内核级透明加密虹安DLP支持目前业界领先的128位、256位DES、3DES、AES、RC4加密算法,将底层透明加密驱动嵌入到操作系统内核,对文档有多层保护手段。结合RSA公私钥体系实现密钥安全传输,保证加密强度的同时,兼顾密钥传输安全。相关内核技术主要通过以下三类中的六种内核驱动程序实现:(a.1)应用程序保护l 文件过滤驱动,实现进程和文件的透明加密,也可做全盘加密操作,文件产生时即被强制加密,在文件使用(编辑、保存等)过程中进行跟踪加密,以任何方式泄漏出去的文件
10、均为密文。l 进程保护驱动,防止进程被恶意终止,欺骗,注入攻击等,同时避免内存直接读取的漏洞。l 访问控制驱动,对文件和数据加以权限保护。(a.2)设备外设保护l 设备文件驱动,对移动存储等文件加密,用于密文明文通用设备。l 设备磁盘驱动,对移动存储或硬盘等设备全盘加密,用于密文专用设备。(a.3)网络保护l 防火墙驱动,用于控制客户端的网络使用。如:禁止内部连接,禁止外部连接,或是同时禁止内部和外部的连接。虹安DLP系统通过上述内核技术,从高层用户接口,到底层存储和传输,全部实现加密保护。且所有操作都通过驱动程序来实现,对用户完全透明,不改变用户使用习惯。(b)、身份认证和密钥管理身份认证通
11、过USBKey和软证书来进行注册,确保系统用户注册、登陆、注销和回复的全过程安全可靠。基于PKI/CA标准密钥和数字证书管理体系,银行交易级别的密钥管理,在密钥的产生、存储、分配、使用和销毁的全过程保护密钥安全。USBkey硬件标识作为密钥证书载体,结合密码认证登录。双因子认证登录,增强身份认证的可信度,并实现一机多用户情况下权限明晰。虹安DLP密钥体系图如下:根证书(CER、PEM)根证书备份(PFX)公司密钥(DAT)公司密钥备份(DAT)用户证书(CER、PEM)用户密钥(DAT)HTTPS证书(CER、PEM)公钥数据密文签名签名备份备份WEB服务器 (TOMCAT)IE浏览器配置HT
12、TPSUSBKEY私钥、公司密钥HTTPSHTTPS客户端HTTPS内核私钥解密6.1.5、产品技术优势(a)、进程学习文档加密的策略配置过程中,最头痛的就是多个进程识别,如某些文档的编辑软件,主进程运行时还会调用其他的子进程,而这些进程都是看不到的,如果这些子进程没有添加到策略中,则文档无法正常加密保护,甚至运行错误。在虹安DLP中,加入了进程自动学习功能,所以,配置策略时,大部分程序只要把主进程填上即可,在软件运行时,就会把该主进程所调用的子进程都送到内核中,策略就会自动按需要学习到子进程并添加到策略中,而其他不起作用的或导致安全问题的进程则可以过滤。这就使本来复杂专业的策略配置变得相对简
13、单。(b)、全面的客户端保护数据加密保护系统,经常碰到的问题,就是客户端离线状态下,要么失去保护,要么无法使用。虹安DLP可分别设定在线和离线策略,根据两种不同状态采取针对性控制,既实现保护控制,又不影响工作。(c)、灵活的移动存储管理对于移动设备的管理,虹安DLP除可控制在线和离线两种状态外,还可以将U盘等移动存储设备设定为内网专用和内外网通用两种不同模式,不会因为加密保护的原因,造成移动设备无法移动的尴尬。U盘传播病毒的现象常令管理员头痛,轻则破坏U盘内文件,严重的会影响整个内网稳定运行。虹安DLP可控制U盘将病毒带入内网传播,并保护U盘内文件不遭破坏。(d)、多种外设接口控制虹安DLP可
14、实现所有外设接口处在离线和在线两种不同状态下的权限控制。如:蓝牙、打印机、数码相机、光驱、串口、并口、刻录机、SD卡槽、无线上网卡、U盘、USB无线网卡等等。(e)、备份服务器虹安DLP所有的加密操作,都可以配置备份保护,并根据需要配置实时更新,避免重要数据因系统崩溃、断电等原因损毁。备份服务器可以同DLP服务器集成部署,也可以使用专用文件服务器分别部署,用大容量的文件服务器来满足海量存储需求。(f)、数据迁移虹安DLP提供备份和恢复系统数据的功能,在系统升级过程中,能实现不同版本之间的数据迁移。第七章 典型案例党政机关广州市(区)机要局广州黄埔区城建办广州黄埔区国资局广州黄埔区委办公室广州黄
15、埔区纪委四川省德阳市国土勘测规划所四川省上的德阳国土资源局黑龙江省道路运输管理局金融行业招商银行中信银行移动通信中兴通讯河北网通杭州电意电子有限公司深圳市时讯迪科技有限公司深圳市业通达实业有限公司医药/医疗器械沈阳三生制药有限责任公司宁夏泰瑞制药股份有限公司深圳市博锐德生物科技有限公司建筑/装饰深圳市艺鼎装饰设计有限公司汽车电子博世汽车检测设备(深圳)有限公司(世界500强企业)深圳中软创协信息技术有限公司江苏金正伟业投资实业有限公司设计研究中科院深圳先进技术研究院天津中科遥感信息技术有限公司楼宇智能深圳高境界智能科技有限公司软件开发天津市科之比科技有限公司深圳市海思博科技有限公司深圳市塞普爱
16、德信息技术有限公司珠海网博信息科技有限公司哈尔滨蓝易科技开发有限公司潍坊金贝尔软件工程有限公司电气机械及器材制造业佛山市巨电机电制造有限公司深圳市博孚机电有限公司惠州市裕元华阳精密部件有限公司宁波市科钺机械有限公司宁波市第一注塑模具有限公司宁海县德科模塑有限公司佛山市南海区新正压铸厂网络设备深圳市鹏讯信息技术有限公司(拉卡啦厂家)深圳市华信智能科技有限公司仪器设备/检测深圳市杰科信仪器有限公司深圳市业昕工程检测有限公司电子电器佛山市佳特电脑有限公司珠海市金邦达保密卡有限公司(国内五大卡商之一)深圳市苗方科技有限公司北京环耀汽车服务有限公司宁波方正汽车模具有限公司IT服务苏州蓝盟信息系统服务有限
17、公司安防深圳市傲天智能系统有限公司贸易宁波泰仕国际贸易有限公司备注:由于保密协议限制,只提供个别案例,不便于提供全部客户信息及相关合同细节信息。第八章、厂家介绍8.1、公司简介 公司名称:深圳市虹安信息技术有限公司公司定位:数据安全解决方案提供商公司愿景:打造中国数据安全领域第一品牌公司使命:为用户提供高安全、技术领先、可持续的数据和内容安全解决方案,帮助用户构建无忧的数据安全平台,从而保障并提升整个IT平台的价值和适应性,最终帮助用户规避风险、降低管理成本、提升运营效益。经营理念:技术领先、用户导向、持续共赢核心价值观:专注、创新、责任、共赢深圳虹安的组成:卫士通公司(股票代码002268)
18、:为深圳虹安公司主要股东,中国信息安全第一股,深圳虹安是卫士通公司唯一投资的非三系企业。公司成立于2009年,公司经营团队、技术骨干均来自卫士通公司以及华为、中兴。公司注册资本800万,现有人员近100人,40%为研发人员。作为国内为数不多的具备完全自主知识产权的信息安全厂商,虹安产品核心技术完全自主研发,具有极强的后续开发和维护能力。2010年提交6项国家发明型专利。深圳虹安产品已获得国家商用密码,国家保密局,公安部计算机安全产品等准入认证,并成为省市两级政府采购供应商。8.2资质证书 8.2.1、软件企业认定证书 8.2.2、深圳市版权协会理事单位8.2.3、深圳市软件行业协会会员单位8.
19、2.4、软件产品登记证书8.2.5涉密信息系统检测证书8.2.6计算机信息系统安全专用产品销售许可证8.2.7商用密码产品销售许可证8.3荣誉8.3.1、2009年度DLP数据泄漏防护最佳产品奖8.3.2、2009年度内网安全用户最值得依赖奖8.3.4、2009年度内网安全产品创新奖8.3.5、2010年政府及公共事业单位最值得推荐的数据保护产品8.3.6、2010年度值得CSO信赖的信息安全产品8.3.7、2011年制造行业最佳信息安全解决方案8.4、知识产权a、采用标记文件和数据文件相结合的文件透明加密算法专利号:200910188877.7b、基于文件通知消息的文件主动加密方法专利号:200910188875.8c、结合访问偏转的文件加密方法专利号:200910188874.3d、增加文件头的文件透明加密方法专利号:200910188873.9e、增加文件尾的文件透明加密方法专利号:200910188872.4f、采用加密沙箱的文件加密方法专利号:200910188876.2深圳市虹安信息技术有限公司 成都易佰科技有限公司 第30页 /共30页
限制150内