防信息泄露解决方案

防信息泄密解决方案,ISCA,文档目录,背景介绍防信息泄露实施路线安全管理途径文档保护管理体系建设文档安全管理组织建设安全技术途径网络架构改造设备加固产品解决方案,背景介绍,企业现状：设计过程中采用协同办公模式。设计人员通过共享设计类文件夹的方式进行协同设计。对于该企业来说大量文档均是重要的机密文档，例如设计类的技术标准和规定、客户名录、设计项目合同文件等。但是在实际的文档处理过程中，企业存在如下几方面的问题：企业文档的种类和类型较多，除常用的office文档、AutoCAD等文档，还根据不同的设计软件产生不同类型、后缀名的文档。但目前缺乏对文档的重要性识别和分级，因此难以采取合理的保护措施。虽然采用共享文件夹进行协同办公，但个人PC仍可以保存共享文件夹中的机密文档。大多数员工均有加班需要，各种类型的文档都有可能带离企业。同时，大多数文档需与业主、第三方合作者、施工单位、模型和效果图公司进行交互，因此重要文档可通过多方面的途径泄露。,上海某知名的建筑设计公司发现其设计的一些项目文档在网络中公开，且对其声誉、信誉造成了一定影响，这些文档是如何被公开的？如何防止这样的事情再次发生是企业急需解决的问题。,企业防信息泄露的需求,通过对该企业的深入分析，为实现文档保护的目的，既需要保护当前文档服务器中的文档，又需要对员工PC中的文档加以保护。需要考虑问题包括：哪些文档需要加密保护？如何使用加密后的文档？文档加密以后，对现有的业务流程有什么影响？文档加密以后，如何和客户、合作伙伴交互文档？不同的分公司、业务部门之间是否要限制使用？文件又如何流转？员工如何知道哪些文档需要加密？哪些人可以使用加密的文件？谁能对文件进行解密操作？需要什么样的审批、审计流程？,文档目录,背景介绍防信息泄露实施路线安全管理途径文档保护管理体系建设文档安全管理组织建设安全技术途径网络架构改造设备加固产品解决方案,设计原则,防信息泄露实施路线,安全管理途径,文档保护管理体系建设,组织建设,流程和制度规范建设,人力资源管理,安全技术途径,网络架构安全加固,IT设备和终端安全加固,终端安全管理,文档防泄露,企业防信息泄密,文档目录,背景介绍防信息泄露实施路线安全管理途径文档保护管理体系建设文档安全管理组织建设安全技术途径网络架构改造设备加固产品解决方案,文档保护管理体系建设,根据企业保护建筑设计等重要文档的需求，特为企业制定相关企业信息安全管理规范，建立健全文档保护管理体系。,安全标准和规范,建立和健全的文档保护安全制度、标准、流程、规范：文档资产安全管理标准、信息安全合规检查标准、员工办公终端安全使用守则、第三方安全管理标准、信息文档资产安全管理流程、文档资产管理指导方针、帐号安全管理标准、安全意识培训框架、应用软件安全开发标准、新系统上线安全检查标准、集中帐户安全管理流程、终端安全配置操作指南、信息系统平台安全配置操作指南、网络设备安全标准配置指南、软件许可使用列表等。文档资产安全管理标准主要明确信息文档资产在企业的重要性，说明各类关键文档在创建、修订、阅览、拷贝、删除等诸多管理环节中需要遵循的安全要求，帮助企业从制度上规范员工使用文档的行为。,安全标准和规范,员工办公终端安全使用守则主要明确员工使用PC时，需要遵循的安全规范要求，包括：定期更新补丁、安全防病毒软件、定期更新防病毒库、禁止安装其他一些公司不允许非法软件、正确使用网络资源要求、个人PC终端的物理保护等。从而降低由于员工终端PC不安全带来的文档泄密。第三方安全管理标准规范第三方人员使用公司IT资源，有效的防止第三方人员盗取或者非授权使用企业的核心文件。信息安全合规检查标准建立企业范围内的信息安全检查标准，及相关违法的惩罚制度，对不遵守公司规定的员工和行为进行处罚。信息文档资产安全管理流程建立企业文档管理流程，明确各管理岗位职能、要求和配合流程，提高企业文档管理工作的效率和受控程度。,保密协议和竞业禁止合同,与人力资源管理部门一起确定企业“保密协议”的内容：约束内外人员对涉及企业秘密信息及知识产权内容的保密要求，保密期限，违约责任等内容。对企业内部人员、外部组织和人员签订保密协议与人力资源管理部门一起确定“竞业禁止合同”的内容：约束企业员工在职期间不得自营或者为他人经营与企业同类的行业以及离职后所入职单位的要求等内容。,文档资产分类和分级,定义企业内文档资产的保护范围，在文档资产保护范围中采取分类、定级等措施，实施不同的安全保护策略。通过对文档资产进行安全等级分类，为文档资产的管理和保护措施提供有效依据，是风险管理的一个重要的先决条件。,标准类,专业技术标准和规定,设计类,绘图文件、计算书、技术成果等文档,质量管理类,质量管理体系文件、内部质量审核单、质量检查文件,流程控制类,任务下达单、流程审核单、项达回证、修改通知单、技术核定单、审图意见单。,档案类,归档文件,合同类,经营合同、劳动合同、劳务合同,计算机类,计算机网络文档、计算机系统文档、计算机应用程序文档、计算机软件开发文档、计算机软硬件文档。,不同级别的安全保护策略制定,机密数据,保密数据,内部数据,公开数据,文档资产等级化,安全保护策略制定,操作权限：允许：不允许：需审核授权，方可操作（审核人可为文档资产的所有者或者文档安全管理人员）安全保护策略：无安全要求（即使用文档过程中不需进行任何安全设置）：有安全保护要求（即使用文档过程中要采用设置文档密码、加水印、限制拷贝、打印等设置）,根据文档资产泄密时可能对企业造成损失的严重程度将文档资产定级为机密、保密、内部、公开四个等级。,建立文档安全管理组织,一个合理的文档安全管理组织架构为：,信息安全委员会,文档安全管理组织,文档管理人员,建立专门的机构负责企业文档安全管理的具体工作。负责计划、实施企业的文档安全管理；规定企业重要文档资产的保护责任，并明确定义责任人。听取和采纳来自内部或外部安全专家的建议，及时进行文档安全管理工作的改进。建立检查机制和措施来检查的文档安全策略的执行情况。,设立由企业高级管理层组成的信息安全委员会来支持文档安全管理工作。信息安全委员会为文档安全保护提供明确的方向和支持。,属于文档安全管理组织成员或者指定某些人员为文档安全管理人员，负责文档安全具体工作的开展。,文档保护管理体系建设阶段性划分,按照优先级进行阶段性划分，逐步完成文档保护管理体系建设,红色：第一阶段完成,黄色：第二阶段完成,文档目录,背景介绍防信息泄露实施路线安全管理途径文档保护管理体系建设文档安全管理组织建设安全技术途径网络架构改造设备加固产品解决方案终端安全管理信息防泄漏技术解决方案,网络架构安全评估,网络架构安全状况,收集、整理网络、安全设备的信息，检查网络设备安全规则配置，从网络架构、网络设备配置安全几方面，查找存在的风险和配置漏洞。,服务器和PC终端安全评估,主要安全弱点1.安全补丁不全2.服务版本低3.配置不规范4.弱服务开放5.弱口令,主要服务器和PC终端安全状况,网络架构改造,设备加固,对主要承载业务系统以及PC终端的操作系统进行了加固,对主要承载业务系统数据库进行了加固,更新重要业务系统中间件安全补丁,将对实施成果进行前后对比，确定加固的完整性,终端安全管理,主要功能集准入控制、安全管理、传统桌面管理功能于一体以解决桌面安全管理问题为主，同时兼顾传统桌面管理需求,系统安全文件安全,传统桌面管理(提升效率),网络准入控制,强制遵守组织安全策略禁止非法用户随意接入,软件部署资产发现使用监控远程维护设备定位,防病毒管理补丁管理策略遵循漏洞管理安全加固外联控制个人防火墙,实现完整的安全管理流程,定义类别丰富的安全事件定义检查设备的操作系统漏洞、必须安装的软件、USB硬盘插入、拨号上网、Windows域等安全策略定义多种软件、硬件、交换机端口连接关系的配置变更事件定义每类安全事件处理预案指定事件处理预案的触发启动时间每个处理预案可以同时指定多种动作指定事件恢复的处理动作处理的动作包括：通知用户、通知管理员、限制对网络的访问、拒绝对网络的访问，或者和其它的ServiceDesk联动。将安全管理纳入信息系统的服务管理(ITSM)体系为用户提供信息系统的服务管理整体解决方案可以与其它的服务管理软件紧密集成,防止非法传送文件,总体思路：技术管理威慑防止Copy方式外传U盘使用监管，禁止/审计将文件从终端COPY到U盘禁止/审计将文件从终端COPY到软盘禁止/审计以共享方式COPY文件到其它计算机防止网络传送阻止/审计访问外部的WebMail阻止/审计使用外部的SMTP/POP3服务器阻止/审计使用MSN/QQ传送文件阻止本机终端开启FTP等网络服务(个人防火墙),防止非法传送文件(续),支持漫游、离线保护离开内部网络或者VPN接入时也会接受控制终端用户不能私自中止、卸载Agent或删除Agent文件管理员可以卸载Agent(需要口令)蛮力卸载、删除Agent通过特殊的工具、重新安装操作系统管理员可以发现这种行为，且准入控制系统可以自动阻止其接入网络,终端安全管理达成效果,信息防泄露技术解决方案,信息防泄露技术解决方案,加解密管理,外发/离线管理,日志审计,客户端管理,信息防泄露技术解决方案考虑以下功能设计：简化客户端安装，实现透明加解密；具有灵活的权限管理设置；方便外发文件和离线管理的安全策略设置；能提供详细的日志记录可进行二次开发和与其它系统集成,技术解决方案实现效果,无法使用，为乱码形式&$&*$#$%&()#%$,正常使用,外用加密文件处理,加密文档,加密文档,只有正常安装并启动了信息防泄漏系统客户端的用户才能使用加密文档,常见文件丢失方式：,病毒破坏,文件误删除,同名文件覆盖,完备的备份措施自动后台备份多版本恢复,当机密文件被破坏或丢失时,可以轻松进行恢复,技术解决方案文件备份和恢复功能,外发文档,打包,自解压包,加密文档,客户端,客户端,自解压,1、需要在企业外部使用的加密文档，可在企业内部利用打包工具进行打包和安全保护策略设置。2、使用已打包的文档时，双击后可自解压自动释放、打开外发文档，并在后台安装客户端对外发文档进行保护。,技术解决方案外发文件控制,技术解决方案分级分组权限控制,软、硬件资产信息,软、硬件资产信息,端口控制策略,可对客户端端口进行控制（USB端口、软驱、光驱等），并对客户端安装的软、硬件进行监控，真正做到密级文档不泄露。,端口控制策略,技术解决方案资产和端口监控,技术解决方案实施第一阶段工作内容,内容实现人力资源管理部等职能部门的所有文档进行保护。步骤1）将人力资源管理部文档上传到文档服务器进行统一管理。在文档服务器中部署产品，实现文档保护。2）对人力资源管理部使用文档的人员进行授权。3）在人力资源管理部PC中安装客户端程序。,技术解决方案实施第一阶段工作内容,外发使用1）没有安装客户端的主机中无法打开加密后的文档；在使用外发打包功能后才可在未安装客户端的主机中使用。2）对文档服务器中存放人力资源管理部文档的存储区域进行加密，该区域的文档需要外发时进行外发打包管理，即可在设置安全策略的情况下进行文档外发。管理要求1）需要增加对外发文件的审核控制2）需要对各人员进行角色的划分。并根据产品特性划分不同的权限。,技术解决方案实施第二阶段工作内容,内容实现对机密类型文档的保护。步骤1)将企业内所有文档资产根据数据类型的重要程度进行划分。2)将文档保护数据类型为机密的文档统一放到一个存储区域，对该存储区域中的文档进行加密保护。3)对使用机密文档的人员进行角色划分和授权。4)一旦文档被加密，在整个生命周内都会保持加密状态。,技术解决方案实施第二阶段工作内容,外发使用1)加密后的机密文档，在没有安装客户端的主机中无法打开；在使用外发打包功能后才可在未安装客户端的主机中使用。2)对进行解密操作的文档，可通过日志进行审计。管理要求1)需要增加对外发文件审核控制。2)需要对使用机密文档的人员进行角色的划分。并根据产品特性划分不同的权限。3)需要根据使用人角色增加“解密”权限的授权。,技术解决方案实施第三阶段工作内容,内容实现文档服务器中所有文档的加密保护。含所有部门使用的文档，设计部门的过程文档等。步骤1)将所有文档资产根据文档数据保护类型的重要程度进行划分。2)对不同保护类型的文档实现不同的权限划分和授权。3)对于一般用户加密文件权限应仅限于阅读使用，如果用户需要解密释放或解密发送的某些文档，可通过邮件等方式发送给高权限用户请求解密释放，高权限用户在审查并解密完成后送回释放后的文档。,技术解决方案实施第三阶段工作内容,外发使用1)加密后的文档，在没有安装客户端的主机中无法打开；在使用外发打包功能后才可在未安装客户端的主机中使用。2)对进行解密操作的文档，可通过日志进行审计。管理要求1）需要增加对外发文件的审核控制。2）需要对各人员进行角色的划分并根据产品特性划分不同的权限。3）需要根据使用人角色增加“解密”权限的授权。,信息防泄露技术解决方案实施对企业的影响,流程控制方面1）在一定程度上增加了流程的管理