制造业数据泄露防护(DLP)方案解析

ZDNet软件频道 时间:2009-11-04 作者: | 比特网 我要评论()
本文关键词:数据保护 DLP 数据泄露 Windows
工业化和信息化融合,对制造业数据安全来说是一个巨大的挑战。随着信息化的推进,制造企业产生的多种商业机密电子文档保护成为数据安全的重点,也是比较难以解决的复杂问题。

  工业化和信息化融合,对制造业数据安全来说是一个巨大的挑战。随着信息化的推进,制造企业产生的多种商业机密电子文档保护成为数据安全的重点,也是比较难以解决的复杂问题。

  一、制造业数据环境和数据安全特征

  制造业信息化状况和数据安全需求主要有以下特点:

  1. 系统内产生的数据和文档有高度保密性、高度敏感性,数据泄露会造成重大危险;

  2. 企业的认证体系、业务信息系统和办公OA系统等应用平台数据交互频繁,与合作单位有大量的对外接口;企业内部网络有多种业务平台,移动设备如笔记本电脑、U盘使用广泛;

  3. 与外部单位的合作,对外发出文件数量较多。

  二、制造业数据安全需求分析

  结合制造业上述特征,企业内部的数据安全需要重点关注如下几方面问题:

  1. 需要结合企业认证体系如ED域、AD域等各种平台;

  2. 需要与企业的各种业务系统如OA、PDM、ERP等有效集成;

  3. 需要采用等级保护制度,对文档划分不同的安全等级,对不同等级的文档实现不同强度的安全保护;

  4. 对涉密文档集中式管理,防止分散储存导致的泄密风险;

  5. 对所有笔记本电脑需要全盘加密,有效提高笔记本电脑数据的安全性和保密性,防止被动泄密风险;

  6. 移动存储介质管理, 确保移动存储介质的方便性和安全性;

  7. 对所有移动存储设备和端口必须要进行控制,允许合法接入的畅通,同时也要严密防止非法接入;

  8. 针对外发文件,需要加强权限管理,确保外发数据和文件的安全。

  三、制造业数据泄露防护(DLP)方案简述

  亿赛通数据泄露防护(DLP)解决方案,基于“驱动级透明动态加解密技术”,在全面结合现有认证体系和业务信息系统的前提下,配合业务需求,以文档流转途径为导引,融合服务器保护、文档透明加密、文档权限管理、文档外发管理、笔记本电脑离线脱机管理、笔记本全盘加密管理、设备安全管理等功能,全方位地保护制造业数据安全,防止数据泄露。如图:

  

1

  方案说明:

  1. 服务器加密保护

  对服务器群的保护,由DNetSec来完成。DNetSec由硬件和软件两大部分组成,其中硬件采用高性能的网络服务器,软件为亿赛通研发的文档安全网关软件。DNetSec对所有上传到服务器的文档自动进行解密,对所有从服务器下载文档自动进行加密。

  2. 办公网络和技术网络文档保护

  在办公局域网和技术局域网等内部网络中,采用“文档安全管理系统CDG”。通过文档透明加密对技术网络内的技术文档、设计图纸、源代码、电路图等核心资料进行自动、强制、实时加密。采用文档权限管理对管理部门的办公文件、财务部门的财务数据、销售部门的客户资料、市场部门的策划方案等商业机密文件进行权限控制。通过两种管理方式,确保内部网络终端安全,防止内部核心信息外泄。

  3. 文档外发控制

  对企业内部发往出差人员、合作单位等系统外的文档,采用“文档外发管理系统ODM”。ODM应用文档外发管理程序打包生成外发文件发出。当外发文件打开时,需通过用户身份认证,方可阅读文件。同时,外发文件可以限定接收者的阅读次数和使用时间等细粒度的权限,从而有效防止了客户重要信息被非法扩散。

  4. 离线脱机办公管理

  在人员出差或其他情况下,需要外带笔记本电脑,通过策略设定,可以确保对离线笔记本电脑数据的控制。

  5. 笔记本电脑管理

  对存有重要资料的笔记本电脑,采用“磁盘全盘加密系统DiskSec”。DiskSec是一款防止笔记本电脑丢失、维修和报废后导致数据泄露的透明加密软件。在电脑关机的状态下,硬盘中存储的数据均被做了高强度加密,没有用户本人输入密钥,他人无法获得硬盘上的加密数据,从而防止笔记本电脑数据泄露

  6. 内网端口管理和移动设备管理

  对内网中的所有端口和移动设备,采用“设备安全管理系统(DeviceSec)”进行管理。DeviceSec通过IP范围和端口范围的交叉判断,对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口进行控制,并能对拷贝到移动存储设备的文档加密。

  7. 文档自动备份

  文档每次保存后均自动备份到备份服务器中。文档管理员可通过改变备份的模式和途径,实现备份管理。用户在脱离服务器模式下的文档,也将自动备份到本地硬盘中。通过备份,可有效避免因为各种意外导致的数据损失。

  8. 日志审计

  能够监督、跟踪、记录所有用户的全部操作,实时查看系统的使用情况,实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息,对用户的某些操作进行分类整理,通过操作记录,回溯历史活动,从而发现泄密渠道。通过跟踪目前用户操作,能及时发现用户的危险操作,在泄密事件发现前就获得警报,制止泄密事件的发生。一旦泄密事件发生,通过用户操作记录, 可以第一时间拿出最有力的证据。

  四、方案特点:

  1. 亿赛通DLP的所有功能基于一套完整、协调的体系,可以实现的统一管理和策略联动,在实施、管理、维护、升级等一系列活动中,方便灵活,极大地降低了成本;

  2. DLP体系以数据加密为核心,结合了身份认证、日志审计、文档备份、文档流程审批、外发控制等功能,系统本身具备容灾管理功能,在基于用户需求的基础上,配合各种安全策略,不仅从源头上实现了文档的保密,还有效实现网络边界管理,是高效的分域安全架构;

  3. 能与各应用平台集成,支持通用文件格式如:office系列、PDF、CAD、源代码、电路图等。能与各种特性平台集成,如各种OA系统,支持各种认证系统(AD、CA、ED等)。

  4. 该系统支持大用户管理系统,能满足10万点以上大规模端点控制需求,可以实现负载均衡、热备和多级管理模式等;

  5. 具有高度的模块化和扩展性,可以根据制造企业发展的需要,扩展其他功能,比如:电子邮件加密,输出内容监控等模块。

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134