数据防泄密方案.doc

xxxxxxxxxxxx数据防泄密方案 完整、彻底地解除重要数据泄密威胁用一万的努力，防止万一的发生 安一公司宣安一（东莞）有限公司2008-8-25目 录1.数据防泄密需求22.安一防泄密方案的价值及实施效果33.安一数据防泄密解决方案ADLP简介54.安一防泄密方案ADLP的产品优势55.实施76.售后服务介绍107.关于安一111. 数据防泄密需求1.1 背景当前信息化的普及，使得“数据”的安全越来越关系企业的生死存亡，但是，传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏，对于企业网络内部的信息泄漏（如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等），却没有引起足够的重视。显然，对于企业内部的信息泄密，上述这些传统手段显然无法起到有效的预防和控制作用。由于内部网络泄密的事件时有发生，而且给企业和机构带来的损失也越来越大。此外，信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序，更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比，这种来自内部的恶意泄露更具有针对性，隐蔽性，给企业造成的损失也更大。泄密途径浅析1.2 企业信息泄露事件愈演愈烈自加入世贸至今，广东立案侦办的侵犯商业（技术）秘密犯罪案达44宗，而其中80的商业（技术）秘密是在职工跳槽时带走的 深圳华为技术有限公司起诉王某等3名原技术人员侵犯技术秘密； 广州市好又多百货广场有限公司起诉原技术资讯部副课长李某侵犯商业秘密； 深圳市东进通讯技术有限公司起诉王某等3名原技术人员侵犯技术秘密； 汕头超声仪器研究所起诉深圳某公司及两名原技术人员侵犯技术秘密； 佛山陶瓷研究所起诉两名原技术人员及两家本地工厂侵犯技术秘密； 德国安若泰克公司起诉原代理商深圳某公司侵犯商业秘密； 广东佛山市政府项目招标方案书泄露，直接领导承担管理责任； Xxxxxxx公司也有自己的数据安全管理策略和管理流程，但策略的执行和监控等多个方面存在很大的缺陷。例如：在企业的日常办公过程中，可能需要公司内外的人员通过电子邮件、演示文稿、电子表格或文档的形式来共享机密文件等信息，当然每个人都担任不同的角色，从而对机密数据也就有不同的访问和使用权限。这种信息的公开性就给数据的泄漏造成了巨大的威胁，但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下，采取积极的措施深刻理解和解决机密文件信息流失的问题。防火墙、访问控制、网关过滤等技术，能够控制用户准许或拒绝访问机密数据。但这些技术对用户不能提供更加细分化的策略权限控制，也就是说它们不能限定用户具体的使用权限，这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。当然，除了以上泄密途径之外还有很多，如内部人员可通过USB接口、打印机、移动设备，笔记本电脑、QQ或MSN等途径泄密。2. 安一防泄密方案的价值及实施效果安一公司旨在帮助xxxx公司制品厂解决以上难题，以下是防泄密过程中常见的八大场景描述，在实施过程中：2.1 .防止内部员工泄密对内部员工而言泄密途径很多，如通过打印机、光驱、QQ、邮件、移动存储设备、USB接口等途径进行泄密。如何解决？解决方法：首先要对客户端下发透明加密策略，需要对何种文件进行透明加密，则根据客户自身企业的需求定制即可，在系统的“透明加密”策略一栏种可以进行设置。策略下发后客户端的创建的受保护文件会自动加密。在未解密的情况下通过光驱，QQ，邮件，移动设备等泄漏出去的文件都是密文。在“系统设置”策略一栏中有很多对这一类设备的禁止使用策略，同时可以自定义策略组合，这样的灵活性很高，将指定的策略组合到一起形成一个新的策略，企业可根据自身需求进行应用。2.2 .文件外发如果要外发受保护的加密文件，那么必须对其进行解密才能外发，否则发出去的文件打开为一堆乱码。传统的方法是经过上级的审核或通过安装客户端才能外发文件，而整个审核的过程非常复杂，如何解决这些问题。解决方法：对审核人员下发一个右键解密策略，当有员工需要外发文件时，只要将需要解密的文件放在审核人可访问的位置，审核人即可进行解密，可访问的位置不需要安装任何客户端或其它额外的软件。2.3 .离线策略如何防止外出工作人员通过笔记本泄密？如果对笔记本设置某个时间段才允许打开文件的策略，而外出工作人员在外地需要延长使用时间，如何解决？解决方法：（1）可以对笔记本下发离线使用策略。是否允许使用USB，离线是否允许打开加密文件，离线是否允许打印等。（2）只需要通过客户端工具导出一个验证信息，发送给管理员，管理员通过工作人员的验证信息再导出一个延时策略，发送给工作人员导入即可。2.4 .防止合作伙伴泄密工作中有很多合作伙伴，文件发给合作伙伴之后又担心合作伙伴泄密，那么怎样保证仅合作伙伴能打开我们的文件，而其他人不能打开？解决方法：合作伙伴机器上需要安装一个客户端。在服务器端定制一个离线使用策略，当中要添加一个“仅透明解密”策略，导入到合作伙伴机器中即可。合作伙伴打开我们发过去的密文会透明解密，而其他人打开则是一堆乱码。2.5 .防止文件篡改文件共享或外发的时候如何防止其他人改动文件？解决方法：添加右键解密策略，解密为只读即可。如果有人要修改它，则无法保存，否则只能另存为其它文件。2.6 .组间隔离公司部门有很多，如果财务部不希望其它部门隔离随意打开本部门文件，是否可以做到？在部门隔离之后，财务部主管希望有权利打开其它部门的文件，是否可以做到？解决方法：（1）不同部门之间的文件不能互防只需要下发一个“组间隔离”策略即可实现。（2）除设置“组间隔离”之外，对财务部主管同时设置一个超级解密策略即可实现。2.7 .剪切板粘贴功能。在默认情况下对受保护的文件编辑时，如果复制了受保护文件中的内容，到其它地方是无法粘贴的。这样防止了泄密，但也会带来不便。如果某文档很多内容，希望临时可以对其进行复制粘贴，有没有解决办法？解决方法：只要开启剪切板放行策略，指定对某个应用程序放行即可，未指定的应用程序则不放行。使用者的复制粘贴记录会在日志中进行记录，如果出现泄密可以通过日志进行追查。2.8 .全盘加密解密如何一次性对某一台或多台客户端机器进行全盘加解密？解决方法：管理员只要在服务器端选中已绑定的用户即可一次性对客户端机器下发全盘加解密的策略，客户端会自动执行。这样对管理带来很大的便利。3. 安一数据防泄密解决方案ADLP简介安一ADLP(Asin Data Leak Preavention)是专为企业级用户设计的数据防泄密解决方案。它不但能够对Office、CAD等任意格式的电子文档及设计图纸进行加密保护，并且能够对加密的文件进行细分化的应用权限设置和备份保护。确保企业的机密数据只能被经过授权的人，在授权的应用环境中（例如企业内部），在指定的时间内，进行指定的应用操作，并且整个过程会被详细、完整的记录下来，以便您对数据的访问记录进行安全审计。通过实施安一数据防泄密方案，企业可以有效杜绝机密信息泄漏和窃取事件的发生，保护企业的核心竞争力，将企业管理的执行力度深入到数据信息的具体应用层面，从而推动企业的发展。方案布署l 网络拓扑图如图所示，xxxx公司制品厂数据防泄密方案基于现有的网络架构，如下图所示软件安装示意:注：上图描绘可能的网络架构，可能与现实情况并不完全符合4. 安一防泄密方案ADLP的产品优势4.1 ADLP综合优势1. 架构安一数据防泄密方案的保护过程涉及机密文件的创建、编辑、传输、共享、销毁等多个环节，能够出色适应多种IT架构，降低企业的硬件投入成本。并且，安一数据防泄密方案具有平滑的升级功能，可以跟随企业IT规模的发展而不断升级。2. 技术安一数据防泄密方案采用的是基于Windows系统底层的驱动级数据加解密技术，所有加密、认证、备份等安全操作过程均在系统后台完成，用户在 ADLP 实施前后不会有任何的体验差异，与 Windows 的操作过程完全相同。 3. 服务与支持由于加密技术是一个存在较大技术壁垒，以及较高服务壁垒的领域。企业在实施数据加密相关的解决方案后，如果得不到提供商有力的支持和维护，其局面将十分危险。安一作为中国DLP的服务领导者，获得了来自广大客户的广泛认可。4.2 ADLP技术优势1. 先进性安一产品方案的总体设计充分考虑了各类企业各种不同的实际需求和安全策略，并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想，使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。同时在系统设计中使用可扩展的设计方式，为系统将来的扩展提供了一个良好的基础。 本方案产品是采用可扩展的系统结构设计，研发完成的企业级的信息安全管理系统。系统在设计中将融入基于组建化和模块化设计的思想，使整个系统具有高度的可扩展性和可定制性。本方案产品采用C/S+B/S的结构设计，管理员在内网中任意一台可以连接服务器的机器上，即可以完成统一的浏览器界面操作，进行企业的管理工作，方便相关管理人员使用。设计风格上以“简洁方便”为宗旨，操作界面完全从用户角度出发，减少获取信息的操作层次。本系统界面友好、美观，操作方便。在颜色、字体、标题、操作提示信息等均采用了标准化、统一化的风格，降低了对使用者计算机知识的要求，易学易用。 考虑到企业安全需求的变化性，本系统在设计上考虑到最小的修改来满足企业在安全上的要求。整体上，系统采用了模块化的设计，新的模块可以进行便捷地动态加载，扩展非常方便。系统客户端安装可以采用远程推送+本地安装+域脚本安装，多种安装方式可以灵活选择并组合使用，更大程度上提高了管理效率。2. 兼容性 本方案产品支持Windows的各类系统。同时可访问各种大型关系数据管理系统，如Mysql、Oracle、Sybase、DB2、SQL Server等，实现各类系统和数据库之间的信息交换。3. 安全性本方案产品运用了PKI安全认证技术解决系统中所涉及的授权问题、加密问题。系统整个架构可以容纳各种安全协议，适应系统结构的各种变化。 同时系统中的安全管理模块可帮助各级企业，根据各部门的不同权限，设置严密的文件安全策略，保证机密文件及数据的使用安全。 其次，为了满足不同企业对安全的不同要求，在身份认证方面支持USB电子锁、智能卡、指纹、声纹、虹膜等多种先进的终端用户信息认证方式。与传统的用户名/密码登陆手段相比，硬件认证设备具有更为突出的安全性。另外，作为信息安全产品，从传输通道安全密钥不能被截获、本地安全不能被轻易破解、备份文件安全即使系统管理员也不能随意查看等各个环节都体现着系统的安全性。 4. 稳定性 在本方案产品的设计和实现中，我们推行按照软件工程标准体系和ISO9001的软件质量标准体系、软件能力成熟度模型CMM来进行产品开发和实施过程，确保系统的标准化。同时基于在信息安全方面的丰富经验，设计中本系统采用模块化设计，可以根据企业的实际需求增加或减少模块。无论用户的需求发生何种变化，本系统都能够根据变化后的实际需求对系统进行调整，以适应新的企业管理流程。提高企业的信息化安全管理水平，帮助企业领导者借助计算机管理工具及先进的手段来提高企业的安全级别，同时也给系统的稳定性提供了良好的运行机制。 5. 兼容性 支持复杂网络应用环境 支持主流操作系统 灵活与其他系统结合应用 与主流杀毒软件无冲突 支持跨网段网络环境 支持域管理的管理方式 支持VPN的网络连接方式 办公OA系统结合应用 与财务系统结合应用 6. 可维护性 本方案产品基于企业的管理流程，支持管理流程的灵活定制，能够对不同的业务系统与模块进行整合，统一管理、调度。此外，本系统支持组织结构的灵活定制，能够方便地调整用户组之间的隶书关系，方便地将用户从一个用户组调到另一个用户组。 7. 可移动性 本方案产品可满足各类企业的远程、移动办公的需要。企业人员通过高速网络连接，实现对本系统的无障碍使用，方便快捷地掌握企业内部的工作进度与状况，及时处理工作问题。同时保证企业办公等机密文件的安全性。 8. 可重组性 本方案产品是通过基于模块的开发模式来实现系统功能的。按照一定的需求集合成各类具有特定功能的模块，这些模块之间可以无缝集成。 9. 可管理性 对于一个承载了很多需求，跨越多个部门，甚至在地理上跨越不同地区的安全系统来说，系统是否容易管理是非常重要的。安一企业级信息安全产品做到了这点，它不但大大降低系统管理员的负担，而且能够在系统发生任何问题的时候都能够很容易地进行诊断，并立即采取有效的措施，使得系统在任何情况下，都能正常稳定运行，不影响用户正常的工作，时刻处于良好运行的状态。 5. 实施防泄密系统实施是一项系统工程。该系统的实施将为xxxx公司制品厂迅速建立起完备的数据保护体系。为确保系统实施按计划、进度、目标、质量进行，现制定系统实施计划书。需要公司此次系统实施负责人认真履行其职责，以及各部门密切配合，保证该系统圆满成功，并在实施中不断优化管理程序和组织结构，为系统稳定、高效运行打好坚实的基础。5.1 实施阶段表阶段内容是否需要备份项目实施经理XX公司项目负责人开始时间结束时间项目启动 1. 召开项目启动会议；2. 制定项目实施计划，指定实施负责人；3. 明确项目实施范围和双方责任。第一阶段：系统初始化工作1. 系统运行的软硬件环境收集；2. 系统安装、调试和运行；3. 系统管理人员简要培训。第二阶段：管理员培训1. 管理员系统使用培训；2. 管理员系统操作水平考试。第三阶段：系统模拟测试系统试运行以及业务模拟测试。第四阶段：系统验收系统验收，并交接系统维护工作。第五阶段：技术支持与服务1. 在线技术支持与解答；2. 系统异常故障上门服务；系统升级服务。6. 售后服务介绍xxxx公司制品厂可以获得来自安一周到完善的软件咨询、安装布署、技术答疑、升级更新等服务。安一提供的服务如下：6.1 服务内容产品名称服 务 内 容服 务 方 式安一备份、加密产品系列产品功能答疑（永久）电话、信函、邮件软件安装、调试支持（一年）电话、远程协助、上门服务产品使用、安全策略设置等咨询（永久）电话、即时通讯、网络在线相关技术文档在线查阅和下载（永久）网站、邮件软件更新及维护服务（一年）网站、邮件、远程协助服务类型受 理 方 式响 应 时 间电 时邮 件supportAsinD列队等候，二天内网络在线远程协助QQ/MSN: supportAsinD即 时信 函地址：东莞市莞太路34号软件园2G收到信函，三天内注：l 响应时间：购买产品服务包后，按规定时间内，客户可通过除现场以外的任一方式向安一提出服务申请，安一最迟将在三个工作日内与您取得联系。其中包括电话、邮件、网络在线、传真、信函等多种方式。l 现场支持：该服务中包括上门在方案实施现场安装、调试、维护、培训等多项内容。需由客户直接向安一提出申请，根据客户要求，可在24小时内赶赴现场实施服务。 l 版本升级：可在安一官方网站上直接下载版本升级包及操作指南，购买后安一将在1个工作日内派送“升级注册码”。敬请客户留意网站的最新动态。l 投诉方式：若您对安一服务品质，或者对产品有任何不满，请致信E-mail: accuseAsinD。6.2 服务规范适用范围安一售后服务规范适用于最终购买用户所有产品的售后服务行为，并由安一享有最终解释权。如安一服务规范有任何更改，则更改适用于更改后购买的最终用户和售后的服务行为，原出售产品售后服务继续按此规范实行。最新服务规范公布在安一官方网站（www.AsinD）上，敬请及时关注。7. 关于安一安一是中国信息安全服务业的领导者之一。安一致力于帮助客户构建经济、高效的信息安全平台，保障客户业务系统正常运转，协助客户提高运营绩效。l 安一总部位于深圳，在上海设有网络安全研究中心。l 与国内