工业化和信息化融合,对制造业数据安全来说是一个巨大的挑战。随着信息化的推进,制造企业产生的多种商业机密电子文档保护成为数据安全的重点,也是比较难以解决的复杂问题。
一、制造业数据环境和数据安全特征
制造业信息化状况和数据安全需求主要有以下特点:
1. 系统内产生的数据和文档有高度保密性、高度敏感性,数据泄露会造成重大危险;
2. 企业的认证体系、业务信息系统和办公OA系统等应用平台数据交互频繁,与合作单位有大量的对外接口;企业内部网络有多种业务平台,移动设备如笔记本电脑、U盘使用广泛;
3. 与外部单位的合作,对外发出文件数量较多。
二、制造业数据安全需求分析
结合制造业上述特征,企业内部的数据安全需要重点关注如下几方面问题:
1. 需要结合企业认证体系如ED域、AD域等各种平台;
2. 需要与企业的各种业务系统如OA、PDM、ERP等有效集成;
3. 需要采用等级保护制度,对文档划分不同的安全等级,对不同等级的文档实现不同强度的安全保护;
4. 对涉密文档集中式管理,防止分散储存导致的泄密风险;
5. 对所有笔记本电脑需要全盘加密,有效提高笔记本电脑数据的安全性和保密性,防止被动泄密风险;
6. 移动存储介质管理, 确保移动存储介质的方便性和安全性;
7. 对所有移动存储设备和端口必须要进行控制,允许合法接入的畅通,同时也要严密防止非法接入;
8. 针对外发文件,需要加强权限管理,确保外发数据和文件的安全。
亿赛通数据泄露防护(DLP)解决方案,基于“驱动级透明动态加解密技术”,在全面结合现有认证体系和业务信息系统的前提下,配合业务需求,以文档流转途径为导引,融合服务器保护、文档透明加密、文档权限管理、文档外发管理、笔记本电脑离线脱机管理、笔记本全盘加密管理、设备安全管理等功能,全方位地保护制造业数据安全,防止数据泄露。如图:
方案说明:
1. 服务器加密保护
对服务器群的保护,由DNetSec来完成。DNetSec由硬件和软件两大部分组成,其中硬件采用高性能的网络服务器,软件为亿赛通研发的文档安全网关软件。DNetSec对所有上传到服务器的文档自动进行解密,对所有从服务器下载文档自动进行加密。
2. 办公网络和技术网络文档保护
在办公局域网和技术局域网等内部网络中,采用“文档安全管理系统CDG”。通过文档透明加密对技术网络内的技术文档、设计图纸、源代码、电路图等核心资料进行自动、强制、实时加密。采用文档权限管理对管理部门的办公文件、财务部门的财务数据、销售部门的客户资料、市场部门的策划方案等商业机密文件进行权限控制。通过两种管理方式,确保内部网络终端安全,防止内部核心信息外泄。
3. 文档外发控制
对企业内部发往出差人员、合作单位等系统外的文档,采用“文档外发管理系统ODM”。ODM应用文档外发管理程序打包生成外发文件发出。当外发文件打开时,需通过用户身份认证,方可阅读文件。同时,外发文件可以限定接收者的阅读次数和使用时间等细粒度的权限,从而有效防止了客户重要信息被非法扩散。
4. 离线脱机办公管理
在人员出差或其他情况下,需要外带笔记本电脑,通过策略设定,可以确保对离线笔记本电脑数据的控制。
5. 笔记本电脑管理
对存有重要资料的笔记本电脑,采用“磁盘全盘加密系统DiskSec”。DiskSec是一款防止笔记本电脑丢失、维修和报废后导致数据泄露的透明加密软件。在电脑关机的状态下,硬盘中存储的数据均被做了高强度加密,没有用户本人输入密钥,他人无法获得硬盘上的加密数据,从而防止笔记本电脑数据泄露。
6. 内网端口管理和移动设备管理
对内网中的所有端口和移动设备,采用“设备安全管理系统(DeviceSec)”进行管理。DeviceSec通过IP范围和端口范围的交叉判断,对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口进行控制,并能对拷贝到移动存储设备的文档加密。
7. 文档自动备份
文档每次保存后均自动备份到备份服务器中。文档管理员可通过改变备份的模式和途径,实现备份管理。用户在脱离服务器模式下的文档,也将自动备份到本地硬盘中。通过备份,可有效避免因为各种意外导致的数据损失。
8. 日志审计
能够监督、跟踪、记录所有用户的全部操作,实时查看系统的使用情况,实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息,对用户的某些操作进行分类整理,通过操作记录,回溯历史活动,从而发现泄密渠道。通过跟踪目前用户操作,能及时发现用户的危险操作,在泄密事件发现前就获得警报,制止泄密事件的发生。一旦泄密事件发生,通过用户操作记录, 可以第一时间拿出最有力的证据。
四、方案特点:
1. 亿赛通DLP的所有功能基于一套完整、协调的体系,可以实现的统一管理和策略联动,在实施、管理、维护、升级等一系列活动中,方便灵活,极大地降低了成本;
2. DLP体系以数据加密为核心,结合了身份认证、日志审计、文档备份、文档流程审批、外发控制等功能,系统本身具备容灾管理功能,在基于用户需求的基础上,配合各种安全策略,不仅从源头上实现了文档的保密,还有效实现网络边界管理,是高效的分域安全架构;
3. 能与各应用平台集成,支持通用文件格式如:office系列、PDF、CAD、源代码、电路图等。能与各种特性平台集成,如各种OA系统,支持各种认证系统(AD、CA、ED等)。
4. 该系统支持大用户管理系统,能满足10万点以上大规模端点控制需求,可以实现负载均衡、热备和多级管理模式等;
5. 具有高度的模块化和扩展性,可以根据制造企业发展的需要,扩展其他功能,比如:电子邮件加密,输出内容监控等模块。