四川省农业机械设计院数据防泄密解决方案文档格式.docx
《四川省农业机械设计院数据防泄密解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《四川省农业机械设计院数据防泄密解决方案文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
8.第八章厂家介绍第20页
第一章背景介绍
随着企事业单位全面信息化时代的到来,各单位越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将企事业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,电子文档就成为企事业单位信息的主要存储方式及企事业单位内、外部之间进行信息交换的重要载体。
如何保护电子文档的安全问题,作为信息安全领域的一个重要内容,必将越来越受到重视。
近年来,国内设计院所在科技建院、科技兴院和可持续发展的方针指导下,大力推进信息化建设,以信息化带动设计院的现代化,取得了瞩目的成绩。
特别在远程异地办公、设计应用软件资产规模、三维设计技术推广应用和协同办公等领域,单位投入了大量的资金,逐步形成了一整套覆盖设计院各个业务和管理领域的信息化基础体系。
在此基础上,安全作为信息化建设的重要一环,对于以知识成果为企事业单位重要效益来源的设计院所,尤显重要。
第二章方案目标
为提高设计院内部数据的安全性,实现内部办公文档内容流转安全可控,实现文档脱离设计院管理平台后能有效防止文件的扩散和外泄,需要建立一套完善的文档安全管理系统,即对于设计院内部文档使用范围、用户权限、用户操作、文档流转进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。
达到既防止文档外泄和扩散,又支持内部知识积累和文件共享的目的。
内部的数据安全需从以下几方面解决:
1.确保设计院内部与外部之间重要电子文档的畅通、安全的交流;
2.保障各应用、办公系统等数据的存储和使用安全;
3.保障终端数据的离线安全;
4.保障电子文档整个生命周期内,在办公终端、业务系统之间流转的安全;
5.解决与外协人员、合作伙伴等的数据交互安全;
6.保障移动设备、存储介质的数据安全。
第三章四川省农业机械设计院内网
数据泄密风险分析
3.1泄密分析
3.1.1、设计图纸不可控,内部存在泄密风险
3.1.2、移动存贮设备未有效管理,U盘、移动硬盘成最大泄密载体。
3.1.3、外发文件未审核,泄密后无法查找泄密途径。
3.1.4、外发文件不可控,存在设计理念被合作伙伴泄密或剽窃的可能。
3.1.5、文件提供给甲方后造成客户资源流失、内部人员私自将文件带走后造成客户流失
泄密分析图
第四章解决方案
4.1、采用透明加密技术,可实现驱动级自动加密,不改变使用者任何操作习惯。
如图4-1
4.2、虹安DLP数据防泄密系统,具备完善的外发审批系统,多级审核模式,所有外发审核都由统一路径出去,保证了数据的安全审计。
如图4-2
4.3、强大的外设管理系统,能对移动存贮设备统一注册管理,保证外带的设备丢失后,里面的数据不外泄。
如图4-3
4.4、可制作可控的外发文档,能限制使用者的打开次数、能否复制、能否打印、能否抓屏等细小权限,很好地保护了外发出去的文档安全。
图4-1透明加密示意图
图4-2文件外发审请
图4-3外设管理
图4-4外发文件制作
第五章系统分析
5.1、业务流程图
5.2、系统功能图
第六章技术概述
6.1、系统简介
6.1.1、概述
深圳虹安DLP数据泄漏防护系统(以下简称:
虹安DLP)是深圳虹安信息技术有限公司自主研发,拥有完全自主知识产权的DLP平台产品。
它以密码技术为支撑,数据保密为核心,身份认证为基础,信息安全为目标。
虹安DLP通过内核级加密技术,整合端点控制技术,有效防止任何状态(使用、传输、存储)的内部资料和智慧资产泄漏。
虹安DLP的内核级加密技术和端点控制技术,能够在数据和文件使用时便对其进行自动加密,确保以任何方式泄漏的数据和文件均是密文,同时能够有效防止数据和文件通过任何非法操作和传输路径(如:
截屏和另存、共享和外设、邮件、和移动存储设备)等方式泄漏,助你更好的管理数据存储、使用、传输的生命周期全过程,如图所示:
虹安DLP防护数据存储、使用、传输概念图
部署虹安DLP,使泄密者不合法就进不来,进来了也找不到,找到了也打不开,打开了也看不懂;
没有审核发不出,带走了也没有用,相关操作有记录,出现情况跑不了……
6.1.2、系统架构
虹安DLP数据泄漏防护系统包括服务端和客户端软件(含USBKEY),服务端可以是纯软件,也可以是硬件服务端的设备形式,软件硬件两种形式均支持多台同级服务器分布部署模式,系统整体架构图如下所示:
服务端
虹安DLP数据泄漏防护系统服务端后台管理系统分:
证书密钥管理、策略库管理、系统管理、日志记录、外部存储设备管理、用户管理等功能。
服务器端通过向客户端下发管理策略,客户端再根据相关策略来执行相应的加密保护动作。
可以适应不同企业对不同数据文档的保护。
同时也接收客户端上传的操作日志。
虹安DLP服务端功能模块图
服务端控制台基于通过Web方式登陆管理。
若放宽登录限制,只要能上网,即可登录服务端控制台进行配置操作。
客户端
客户端软件运行于需要保护的计算机终端后台,实现策略加密、策略解密、日志管理、数据通讯等功能,并集成文件外发工具。
该客户端采用安全的方式接受服务器统一管理,接受服务器下发的策略,并通知相应的功能模块执行策略。
客户端软件还要与服务器通讯,上传日志和其他服务器需要的数据,同时客户端提供加解密功能,并通过服务端下发的策略来对不同类型的文件进行加解密。
当受保护的文件需要外发时,可以通过客户端集成的外发工具给管理者审核,审核通过后可以外发。
虹安DLP客户端功能模块图
6.1.3、网络部署图
6.1.4、核心技术介绍
(a)、内核级透明加密
虹安DLP支持目前业界领先的128位、256位DES、3DES、AES、RC4加密算法,将底层透明加密驱动嵌入到操作系统内核,对文档有多层保护手段。
结合RSA公私钥体系实现密钥安全传输,保证加密强度的同时,兼顾密钥传输安全。
相关内核技术主要通过以下三类中的六种内核驱动程序实现:
(a.1)应用程序保护
●文件过滤驱动,实现进程和文件的透明加密,也可做全盘加密操作,文件产生时即被强制加密,在文件使用(编辑、保存等)过程中进行跟踪加密,以任何方式泄漏出去的文件均为密文。
●进程保护驱动,防止进程被恶意终止,欺骗,注入攻击等,同时避免内存直接读取的漏洞。
●访问控制驱动,对文件和数据加以权限保护。
(a.2)设备外设保护
●设备文件驱动,对移动存储等文件加密,用于密文明文通用设备。
●设备磁盘驱动,对移动存储或硬盘等设备全盘加密,用于密文专用设备。
(a.3)网络保护
●防火墙驱动,用于控制客户端的网络使用。
如:
禁止内部连接,禁止外部连接,或是同时禁止内部和外部的连接。
虹安DLP系统通过上述内核技术,从高层用户接口,到底层存储和传输,全部实现加密保护。
且所有操作都通过驱动程序来实现,对用户完全透明,不改变用户使用习惯。
(b)、身份认证和密钥管理
身份认证通过USBKey和软证书来进行注册,确保系统用户注册、登陆、注销和回复的全过程安全可靠。
●基于PKI/CA标准密钥和数字证书管理体系,银行交易级别的密钥管理,在密钥的产生、存储、分配、使用和销毁的全过程保护密钥安全。
●USBkey硬件标识作为密钥证书载体,结合密码认证登录。
●双因子认证登录,增强身份认证的可信度,并实现一机多用户情况下权限明晰。
虹安DLP密钥体系图如下:
6.1.5、产品技术优势
(a)、进程学习
文档加密的策略配置过程中,最头痛的就是多个进程识别,如某些文档的编辑软件,主进程运行时还会调用其他的子进程,而这些进程都是看不到的,如果这些子进程没有添加到策略中,则文档无法正常加密保护,甚至运行错误。
在虹安DLP中,加入了进程自动学习功能,所以,配置策略时,大部分程序只要把主进程填上即可,在软件运行时,就会把该主进程所调用的子进程都送到内核中,策略就会自动按需要学习到子进程并添加到策略中,而其他不起作用的或导致安全问题的进程则可以过滤。
这就使本来复杂专业的策略配置变得相对简单。
(b)、全面的客户端保护
数据加密保护系统,经常碰到的问题,就是客户端离线状态下,要么失去保护,要么无法使用。
虹安DLP可分别设定在线和离线策略,根据两种不同状态采取针对性控制,既实现保护控制,又不影响工作。
(c)、灵活的移动存储管理
对于移动设备的管理,虹安DLP除可控制在线和离线两种状态外,还可以将U盘等移动存储设备设定为内网专用和内外网通用两种不同模式,不会因为加密保护的原因,造成移动设备无法移动的尴尬。
U盘传播病毒的现象常令管理员头痛,轻则破坏U盘内文件,严重的会影响整个内网稳定运行。
虹安DLP可控制U盘将病毒带入内网传播,并保护U盘内文件不遭破坏。
(d)、多种外设接口控制
虹安DLP可实现所有外设接口处在离线和在线两种不同状态下的权限控制。
蓝牙、打印机、数码相机、光驱、串口、并口、刻录机、SD卡槽、无线上网卡、U盘、USB无线网卡等等。
(e)、备份服务器
虹安DLP所有的加密操作,都可以配置备份保护,并根据需要配置实时更新,避免重要数据因系统崩溃、断电等原因损毁。
备份服务器可以同DLP服务器集成部署,也可以使用专用文件服务器分别部署,用大容量的文件服务器来满足海量存储需求。
(f)、数据迁移
虹安DLP提供备份和恢复系统数据的功能,在系统升级过程中,能实现不同版本之间的数据迁移。
第七章典型案例
党政机关
广州市(区)机要局
广州黄埔区城建办
广州黄埔区国资局
广州黄埔区委办公室
广州黄埔区纪委
四川省德阳市国土勘测规划所
四川省上的德阳国土资源局
黑龙江省道路运输管理局
金融行业
招商银行
中信银行
移动通信
中兴通讯
河北网通
杭州电意电子有限公司
深圳市时讯迪科技有限公司
深圳市业通达实业有限公司
医药/医疗器械
沈阳三生制药有限责任公司
宁夏泰瑞制药股份有限公司
深圳市博锐德生物科技有限公司
建筑/装饰
深圳市艺鼎装饰设计有限公司
汽车电子
博世汽车检测设备(深圳)有限公司(世界500强企业)
深圳中软创协信息技术有限公司
江苏金正伟业投资实业有限公司
设计研究
中科院深圳先进技术研究院
天津中科遥感信息技术有限公司
楼宇智能
深圳高境界智能科技有限公司
软件开发
天津市科之比科技有限公司
深圳市海思博科技有限公司
深圳市塞普爱德信息技术有限公司
珠海网博信息科技有限公司
哈尔滨蓝易科技开发有限公司
潍坊金贝尔软件工程有限公司
电气机械及器材制造业
佛山市巨电机电制造有限公司
深圳市博孚机电有限公司
惠州市裕元华阳精密部件有限公司
宁波市科钺机械有限公司
宁波市第一注塑模具有限公司
宁海县德科模塑有限公司
佛山市南海区新正压铸厂
网络设备
深圳市鹏讯信息技术有限公司(拉卡啦厂家)
深圳市华信智能科技有限公司
仪器设备/检测
深圳市杰科信仪器有限公司
深圳市业昕工程检测有限公司
电子电器
佛山市佳特电脑有限公司
珠海市金邦达保密卡有限公司(国内五大卡商之一)
深圳市苗方科技有限公司
北京环耀汽车服务有限公司
宁波方正汽车模具有限公司
IT服务
苏州蓝盟信息系统服务有限公司
安防
深圳市傲天智能系统有限公司
贸易
宁波泰仕国际贸易有限公司
备注:
由于保密协议限制,只提供个别案例,不便于提供全部客户信息及相关合同细节信息。
第八章、厂家介绍
8.1、公司简介
公司名称:
深圳市虹安信息技术有限公司
公司定位:
数据安全解决方案提供商
公司愿景:
打造中国数据安全领域第一品牌
公司使命:
为用户提供高安全、技术领先、可持续的数据和内容安全解决方案,帮助用户构建无忧的数据安全平台,从而保障并提升整个IT平台的价值和适应性,最终帮助用户规避风险、降低管理成本、提升运营效益。
经营理念:
技术领先、用户导向、持续共赢
核心价值观:
专注、创新、责任、共赢
深圳虹安的组成:
卫士通公司(股票代码002268):
为深圳虹安公司主要股东,中国信息安全第一股,深圳虹安是卫士通公司唯一投资的非三○系企业。
公司成立于2009年,公司经营团队、技术骨干均来自卫士通公司以及华为、中兴。
公司注册资本800万,现有人员近100人,40%为研发人员。
作为国内为数不多的具备完全自主知识产权的信息安全厂商,虹安产品核心技术完全自主研发,具有极强的后续开发和维护能力。
2010年提交6项国家发明型专利。
深圳虹安产品已获得国家商用密码,国家保密局,公安部计算机安全产品等准入认证,并成为省市两级政府采购供应商。
8.2资质证书
8.2.1、软件企业认定证书
8.2.2、深圳市版权协会—理事单位
8.2.3、深圳市软件行业协会会员单位
8.2.4、软件产品登记证书
8.2.5涉密信息系统检测证书
8.2.6计算机信息系统安全专用产品销售许可证
8.2.7商用密码产品销售许可证
8.3荣誉
8.3.1、2009年度DLP数据泄漏防护最佳产品奖
8.3.2、2009年度内网安全用户最值得依赖奖
8.3.4、2009年度内网安全产品创新奖
8.3.5、2010年政府及公共事业单位最值得推荐的数据保护产品
8.3.6、2010年度值得CSO信赖的信息安全产品
8.3.7、2011年制造行业最佳信息安全解决方案
8.4、知识产权
a、采用标记文件和数据文件相结合的文件透明加密算法
专利号:
200910188877.7
b、基于文件通知消息的文件主动加密方法
200910188875.8
c、结合访问偏转的文件加密方法
200910188874.3
d、增加文件头的文件透明加密方法
200910188873.9
e、增加文件尾的文件透明加密方法
200910188872.4
f、采用加密沙箱的文件加密方法
200910188876.2