制造业数据泄露防护（DLP）方案解析

　　工业化和信息化融合，对制造业数据安全来说是一个巨大的挑战。随着信息化的推进，制造企业产生的多种商业机密电子文档保护成为数据安全的重点，也是比较难以解决的复杂问题。

　　一、制造业数据环境和数据安全特征

　　制造业信息化状况和数据安全需求主要有以下特点：

　　1. 系统内产生的数据和文档有高度保密性、高度敏感性，数据泄露会造成重大危险;

　　2. 企业的认证体系、业务信息系统和办公OA系统等应用平台数据交互频繁，与合作单位有大量的对外接口;企业内部网络有多种业务平台，移动设备如笔记本电脑、U盘使用广泛;

　　3. 与外部单位的合作，对外发出文件数量较多。

　　二、制造业数据安全需求分析

　　结合制造业上述特征，企业内部的数据安全需要重点关注如下几方面问题：

　　1. 需要结合企业认证体系如ED域、AD域等各种平台;

　　2. 需要与企业的各种业务系统如OA、PDM、ERP等有效集成;

　　3. 需要采用等级保护制度，对文档划分不同的安全等级，对不同等级的文档实现不同强度的安全保护;

　　4. 对涉密文档集中式管理，防止分散储存导致的泄密风险;

　　5. 对所有笔记本电脑需要全盘加密，有效提高笔记本电脑数据的安全性和保密性，防止被动泄密风险;

　　6. 移动存储介质管理, 确保移动存储介质的方便性和安全性;

　　7. 对所有移动存储设备和端口必须要进行控制，允许合法接入的畅通，同时也要严密防止非法接入;

　　8. 针对外发文件，需要加强权限管理，确保外发数据和文件的安全。

　　三、制造业数据泄露防护(DLP)方案简述

　　亿赛通数据泄露防护(DLP)解决方案，基于“驱动级透明动态加解密技术”，在全面结合现有认证体系和业务信息系统的前提下，配合业务需求，以文档流转途径为导引，融合服务器保护、文档透明加密、文档权限管理、文档外发管理、笔记本电脑离线脱机管理、笔记本全盘加密管理、设备安全管理等功能，全方位地保护制造业数据安全，防止数据泄露。如图：

　　方案说明：

　　1. 服务器加密保护

　　对服务器群的保护，由DNetSec来完成。DNetSec由硬件和软件两大部分组成，其中硬件采用高性能的网络服务器，软件为亿赛通研发的文档安全网关软件。DNetSec对所有上传到服务器的文档自动进行解密，对所有从服务器下载文档自动进行加密。

　　2. 办公网络和技术网络文档保护

　　在办公局域网和技术局域网等内部网络中，采用“文档安全管理系统CDG”。通过文档透明加密对技术网络内的技术文档、设计图纸、源代码、电路图等核心资料进行自动、强制、实时加密。采用文档权限管理对管理部门的办公文件、财务部门的财务数据、销售部门的客户资料、市场部门的策划方案等商业机密文件进行权限控制。通过两种管理方式，确保内部网络终端安全，防止内部核心信息外泄。

　　3. 文档外发控制

　　对企业内部发往出差人员、合作单位等系统外的文档，采用“文档外发管理系统ODM”。ODM应用文档外发管理程序打包生成外发文件发出。当外发文件打开时，需通过用户身份认证，方可阅读文件。同时，外发文件可以限定接收者的阅读次数和使用时间等细粒度的权限，从而有效防止了客户重要信息被非法扩散。

　　4. 离线脱机办公管理

　　在人员出差或其他情况下，需要外带笔记本电脑，通过策略设定，可以确保对离线笔记本电脑数据的控制。

　　5. 笔记本电脑管理

　　对存有重要资料的笔记本电脑，采用“磁盘全盘加密系统DiskSec”。DiskSec是一款防止笔记本电脑丢失、维修和报废后导致数据泄露的透明加密软件。在电脑关机的状态下，硬盘中存储的数据均被做了高强度加密，没有用户本人输入密钥，他人无法获得硬盘上的加密数据，从而防止笔记本电脑数据泄露。

　　6. 内网端口管理和移动设备管理

　　对内网中的所有端口和移动设备，采用“设备安全管理系统(DeviceSec)”进行管理。DeviceSec通过IP范围和端口范围的交叉判断，对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口进行控制，并能对拷贝到移动存储设备的文档加密。

　　7. 文档自动备份

　　文档每次保存后均自动备份到备份服务器中。文档管理员可通过改变备份的模式和途径，实现备份管理。用户在脱离服务器模式下的文档，也将自动备份到本地硬盘中。通过备份，可有效避免因为各种意外导致的数据损失。

　　8. 日志审计

　　能够监督、跟踪、记录所有用户的全部操作，实时查看系统的使用情况，实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息，对用户的某些操作进行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。通过跟踪目前用户操作，能及时发现用户的危险操作，在泄密事件发现前就获得警报，制止泄密事件的发生。一旦泄密事件发生，通过用户操作记录, 可以第一时间拿出最有力的证据。

　　四、方案特点：

　　1. 亿赛通DLP的所有功能基于一套完整、协调的体系，可以实现的统一管理和策略联动，在实施、管理、维护、升级等一系列活动中，方便灵活，极大地降低了成本;

　　2. DLP体系以数据加密为核心，结合了身份认证、日志审计、文档备份、文档流程审批、外发控制等功能，系统本身具备容灾管理功能，在基于用户需求的基础上，配合各种安全策略，不仅从源头上实现了文档的保密，还有效实现网络边界管理，是高效的分域安全架构;

　　3. 能与各应用平台集成，支持通用文件格式如：office系列、PDF、CAD、源代码、电路图等。能与各种特性平台集成，如各种OA系统，支持各种认证系统(AD、CA、ED等)。

　　4. 该系统支持大用户管理系统，能满足10万点以上大规模端点控制需求，可以实现负载均衡、热备和多级管理模式等;

　　5. 具有高度的模块化和扩展性，可以根据制造企业发展的需要，扩展其他功能，比如：电子邮件加密，输出内容监控等模块。