装备制造业数据防泄露解决方案.doc
《装备制造业数据防泄露解决方案.doc》由会员分享,可在线阅读,更多相关《装备制造业数据防泄露解决方案.doc(8页珍藏版)》请在冰豆网上搜索。
解决方案
山丽防水墙数据防泄漏系统在制造装备行业的
解决方案
用户介绍
装备制造业是为国民经济各行业提供技术装备的战略性产业,产业关联度高、吸纳就业能力强、技术资金密集,是各行业产业升级、技术进步的重要保障和国家综合实力的集中体现。
为应对国际金融危机的影响,落实党中央、国务院关于保增长、扩内需、调结构的总体要求,确保装备制造业平稳发展,加快结构调整,增强自主创新能力,提高自主化水平,推动产业升级,特编制了规划期为2009-2011年的战略规划,以作为装备制造业综合性应对措施的行动方案。
不断发展的互联网技术在一方面促进着装备业的创新发展,另外一方面却给形形色色数据窃密者提供了机会,防范装备制造业创新结果扩散是摆在信息安全公司面前的一道最主要的问题。
贝卡尔特拥有超过129年的公司发展史,并于上世纪90年代早期进入中国市场。
贝卡尔特始终坚信中国在全球市场上的重要地位,是比利时来华投资最早也是最重要的公司之一。
近年来,贝卡尔特在中国的业务取得了长足发展,尤其是用于轮胎骨架材料的钢帘线产品。
在中国,贝卡尔特现已拥有15家合资或独资公司,其中包括一个研发中心、一个技术中心,一个贸易公司以及亚洲区总部。
目前,贝卡尔特中国区员工总数已近7000人。
贝卡尔特在钢丝制品、钢帘线制品、先进材料和镀膜产品的开发、生产及销售方面保持全球领先地位。
为实现上述目标,公司在全球分布分支机构,促进全球生产平台卓越运营,推进流程和产品创新,并加强与业务合作伙伴及技术合作伙伴的合作。
贝卡尔特在其两大核心竞争力:
先进金属变形技术及先进材料和镀膜技术领域居全球技术领先地位,是全球市场领先的钢丝拉拔产品及产品应用的生产商和供应商。
贝卡尔特(EuronextBrussels:
BEKB)是一家全球性公司,总部位于比利时,拥有23000多名员工。
贝卡尔特为遍及全球120个国家的客户服务,致力于业务有效益的可持续增长,年销售额超过40亿欧元。
用户需求分析
对防数据泄密软件的要求包括五大部分:
软件厂家需要达到国家相关资质的要求、软件功能应当满足公司的详细要求、软件实施应具有便捷性、厂家在售后服务方面应具有优势厚势、软件本身应具有灾难恢复建设。
根据国家关于文档保护类软件的销售规定,生产厂家应当必须具有以下几种资质:
1、中华人民共和国公安部颁发的安全产品销售许可证
2、中华人民共和国保密局颁发的涉密信息系统检测证书(销售许可证)
3、中国人民解放军总参谋部颁发的军用信息安全产品检测证书(销售许可证)
4、中华人民共和国密码管理局颁发的商用密码产品销售许可证
5、中华人民共和国密码管理局颁发的商用密码产品生产许可证
贝卡尔特技术需求:
1、usb的使用
在贝卡尔特,usb类数据存储设备有使用的需要,同时又希望不能泄密数据,而不仅仅是将usb设备封掉。
2、administrator账户的使用
在贝卡尔特,工控软件原来都是由公司统一安排安装,然后administrator的密码掌握在管理人员手里面,但是,有些部门有需要就告知了,结果机器就不受约束了,自由的装软件,自由的资料外发了;
3、硬盘拆卸的可能性
在贝卡尔特,工程师有将机器外卸的可能性,于是在公司管理人员的视线范围之外,仅仅需要将笔记本的硬盘拆下来外挂到别的机器上资料就可以被随意的拷走了,即使目前使用了硬盘密码也没有用,因为使用者必须知道密码才能工作,管理人员必须将密码告知他,结果就是有密码的机器仅仅能够浅层次的预防笔记本丢失后资料外泄的风险;
4、工作模式
贝卡尔特工程师的工作模式是:
工作一天下来,需要将资料往服务器上同步一次,或者将服务器上的新资料从服务器上下载下来,或者上传上去;希望传出去的明文,下载到本地自动变成密文,但同时可以被工程软件调用;
5、沈阳出差
贝卡尔特的工程师经常需要出差,希望在外地仍可以维持目前的工作模式,并且不会缠产生资料泄密;
6、代理服务器
处于已经发生了事故的警戒,贝卡尔特在中国区采用了代理服务器和比利时总部连接的方法。
这样,资料都是经过代理服务器转发的,希望不要在代理服务器上产生泄密;
7、网络布局
贝卡尔特目前在全球的网路布局是officenet5是全球网,officenet8是各地的网,用户只能通过officenet5联系;
8、兄弟单位
到兄弟单位存在着泄密和交互的矛盾;
9、英文界面
多语言版本的支持;
10、工程软件等专业软件的使用
贝卡尔特员工因为工作的需求,工程软件有多款,这些软件都存在着将资料外发的可能;
11、ftp、qq等工具的使用
贝卡尔特员工因为工作的需求,除了工程软件之外,有时候也会使用ftp、qq等软件,这些软件都存在着将资料外发的可能。
解决方案介绍
文档安全需从以下方面来保证:
¨强保密:
防止未授权的用户获得文档内容,防止由于存储设备的遗失、失窃窃造成机密文档的泄漏。
¨防篡改:
防止未授权的用户篡改文档内容。
¨可用性:
保证授权的用户能使用机密数据,包括在公司网络内的员工、出差的员工、客户、合作伙伴。
¨防泄漏:
防止授权用户在获得文档后,通过拷贝、移动存储、网络发送、打印等方式将文档或文档内容发送给其它人,造成机密数据的散播。
¨防恢复:
防止硬盘等数据载体在维修等脱离管理者视线的情况下,被别有用心的人使用各种恢复工具将看似安全的硬盘变成了安全的噩梦。
文档安全的直接目的是保证文档的安全,保证机密的数据只能在安全环境下使用,即便脱离了特定的网络环境也应能控制机密数据的使用。
但不能因此对文档本身的处理效率产生过大影响,改变文档的使用流程。
山丽防水墙信息安全管理系统(数据防泄漏系统)具备双重的管理对象:
1、管理的对象首先是计算机本身。
比如管理计算机的IT资产、管理计算机的端口和介质、管理计算机的程序使用。
2、管理的对象还需要是计算机上存在的各种密级的文档。
这些文档才是真正的财富来源。
管理的目标之一就是不能防止泄密。
在世界范围内,各国不断出具各种法律对信息审计进行管控,其中以美国的SOX法案、日本的暗号化为代表。
中国政府通过制定《企业内部控制基本规范》、《等级保护》、《分级保护》等系列法规对不同类型的组织机构进行信息安全的评估管理,一场全面的信息安全普及推广正在国内有力推动。
山丽防水墙信息安全管理系统是一套得到工信部创新基金支持的产品,该产品应用有7项专利,通过6项资质认证,是一款具有很大价值的数据防泄漏、终端管理产品,在技术点上,该产品占据着制高点,并且有着极大的领先优势。
山丽防水墙通过数据作者管理、同事管理、伙伴管理、用户管理、销毁管理一套数据生命周期管理(DLM)模型,在软件实施后可以达到技术本质的防泄漏效果。
山丽防水墙通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理一套计算机终端管理模式,在软件实施后可以达到技术手段的管理效果。
对被保护的电脑,可以做到:
•外设管理:
或禁止,或只读,或审计;
•非法外联:
多端口,多设备,有记录;
•透明加密:
盗走了,拿走了,没法用;
•权限控管:
谁能看,谁能印,防篡改;
•时间期限:
可次数,可时间,严限制;
•使用追踪:
谁看过,谁印过,有记录;
•生命周期:
谁生成,谁共享,谁销毁;
•日志审计:
谁设置,谁使用,谁审计。
山丽公司作为一家通过SEI软件能力成熟度CMMI3级评估的软件研发企业,同时也是国家双软认证企业,公司在北京、上海、广州设立有营销机构,在上海、西安、成都设立有研发机构,在深圳、福州、武汉、长沙、南京、杭州、济南、沈阳、郑州、长春、哈尔滨设立有产品售后服务技术支持中心(ASC)。
通过CMMI3软件能力成熟度管理模型和PMI项目模型的结合,采用项目总监(经理)、实施总监(经理)负责制的管理方法,以人员现场、800电话、800信息、mail沟通等方式为客户提供7*24小时的专业服务。
效果评估
1、usb的使用
可以自由使用,但拷走的资料都是密文。
还可以设置某些u盘仅仅只能在某些部门使用。
2、Administartor帐号的使用
即使获得了adnministrator帐号(获得帐号是一个社会行为学的范畴,从人类行为来讲,人都有获得自己不知道的东西的冲动),随意安装软件,也不会造成资料的泄密。
3、硬盘拆卸的可能性
将笔记本等电脑硬盘拆下来外挂到别的机器上,看到的资料仍然是密文,不会发生外泄。
4、工作模式
满足贝卡尔特工程师的工作模式:
工作一天下来,需要将资料往服务器上同步一次,传出去的明文,下载到本地自动变成密文,同时可以被工程软件调用。
5、沈阳出差
出差仍然不会造成资料的外泄,但需要使用电子钥匙。
6、代理服务器
在代理服务器上以密文存在,不会产生泄密。
7、网络布局
部署在officenet5全球网,将来满足所有用户需要,部署在officenet8各地的网,仅仅满足自己单位的使用。
8、兄弟单位
贝卡尔特有许多兄弟单位,交叉地点工作的可能性仍然存在,目前希望安装了防水墙的pc导入的资料就是密文,导出的方法是资料由涉密pc上传到代理服务器上(不是和比利时总部同步的资料),然后在将资料审核后明文给兄弟单位,如果兄弟单位也装了山丽防水墙软件,则不需要上传了,直接拷给他们就可以用了(密文)。
9、英文界面
在语言版本的支持上,山丽防水墙有中文简体、中文繁体、英语、日语四种版本,可以应对用户的需求,在界面的语言上,也欢迎英语语言使用者的给出更好的表达。
10、工程软件等专业软件的使用
贝卡尔特员工因为工作的需求,工程软件有多款,这些软件都存在着将资料外发的可能,外发到机器设备上是明文,一般通过工程软件发送到机器里面时候需要使用com口等外设端口。
(参见后文测试成功的软件列表)
11、ftp、qq等工具的使用
贝卡尔特员工因为工作的需求,除了工程软件之外,有时候也会使用ftp等软件,这些软件都存在着将资料外发的可能,通过这些软件外发的资料都是密文,不会产生泄密。
原有拓扑
部署设计
12、工程软件等专业软件的使用
工控软件测试成功列表
工控软件测试结果
序
号
软件名称
可以通过软件指定的通讯方式实现烧录到
工控设备里面自动变成明文,而在本地仍是
密文存在.
这些通讯方式包括但不限于:
网口
串口
并口
Usb
Usb(非标准)
Pcmcia卡
Pcmcia卡(非标准)
1
RSLOGIX5
2
RSLOGIX500
3
RSLOGIX5000
4
Devicenet
5
Rslinx
6
review
7
Driverwindows2.11
8
easyflash
9
Designer5
10
Designer6
11
Sucos3,4,5
12
S40
13
dspcomm
14
eview
15
Pro_driver
16
Powersuite
17
cx-programmer
18
Lauerv6.1
19
Ccs3.1
20
Step-7
21
FLASHMAGIC1.98
22
KEILUvision2.4
23
SILICONLABS2.91
24
CodeWarriorforStarCoreDSP3.2.1
25
CodeWarriorforMicrocontrollers6.2
26
MPLABIDE8.1
27
AVRStudio
28
Multi-ICES