保险行业解决方案VIP

保险行业数据防泄密解决方案用一万的努力，防止万一的发生广东七洲科技股份有限公司2016年6月14日

行业背景保险行业是我国市场经济体系的重要组成部分，在国民经济发展过程中发挥了重要作用，随着经济全球一体化，保险业务的发展也日趋竞争激烈，各保险公司的业务模式也发生了颠覆性的变革，从以保单以产品为中心的传统业务模式，慢慢向以客户为中心的方向转换。为了能更好体现以客户为中心，必需在内部管理模式和客户服务模式上做变革，突破原有的一些不足之处，当前计算机软件应用技术和网络环境及手持终端设备等相关条件为此波变革浪潮供应了可能性。随着信息技术的快速发展，利用网络发布、传递信息的个人数量日益增长，如何利用信息网络进行平安通信的同时又要爱护网络信息的平安，成为网络建设中燃眉之急的问题,而笔记本、U盘等移动存储介质的普及更让这种风险雪上加霜。需求分析综上所述归纳起来，XXXX保险公司需求如下：内网数据的防泄密社保基金管理局内部主机以及服务器上都存储了大量的涉密信息；内部人员很有可能会通过网络、通讯工具、邮件、移动介质等多种途径将内部的核心数据非法带出去；所以，必需对存储在终端、服务器上的关键数据进行防护，禁止非法带出数据，实现单位数据的爱护防文件二次扩散外发出去给客户的文件，由于脱离了限制，客户有可能对此文件进行有意或无意的二次扩散，须要对外发出去的文件做到肯定的权限限制，例如只读、编辑、打印、打开次数、时间等。应用系统防护对于ERP、OA系统数据进行爱护，禁止用户在未授权的状况下登陆ERP和OA系统，并且要求从ERP和OA拷贝出的文件必需为加密文件。内部文档有效管理为了更好地管理单位各种类型的文档，要求对档一般文档、权限内部运用的文档、机密文档进行有效、合理的管理。三．防泄密解决方案介绍3.1方案介绍黑匣子文档平安管理系统是专为单位级用户设计的数据防泄密解决方案。它不但能够对Office、CAD、3DMax、VC2005、VS2005.c#等随意格式的电子文档及设计图纸进行加密爱护，并且能够对加密的文件进行细分化的应用权限设置和备份爱护。确保单位的机密数据只能被经过授权的人，在授权的应用环境中（例如公司内部），在指定的时间内，进行指定的应用操作，并且整个过程会被具体、完整的记录下来，以便您对数据的访问记录进行平安审计。通过部署实施黑匣子文档平安管理系统，单位可以有效杜绝机密信息泄漏和窃取事务的发生，爱护单位的核心竞争力，将管理的执行力度深化到数据信息的具体应用层面，从而推动业务的发展3.1方案部署方案介绍黑匣子文档平安管理系统是专为企业级用户设计的数据防泄密解决方案。它不但能够对Office、CAD、3DMax等随意格式的电子文档及设计图纸进行加密爱护，并且能够对加密的文件进行细分化的应用权限设置和备份爱护。通过文档外发的功能可以确保档案文档只能被借阅的人员（电脑未安装加密客户端的状况下）在内部，指定的时间、指定的次数、指定的机器、指定的应用操作（阅读、打印、编辑、自删除）下运用，并且并且整个过程会被具体、完整的记录下来，以便您对数据的访问记录进行平安审计。通过部署实施黑匣子文档平安管理系统，企业可以有效杜绝机密信息泄漏和窃取事务的发生，使保密工作登上新的台阶。部署实施如图所示，基金管理局数据防泄密方案基于现有的网络架构，如下图所示软件安装示意:网络架构ERP、OA防护注：上图描绘可能的网络架构，可能与现实状况并不完全符合核心价值及实施效果黑匣子文档平安管理系统旨在帮助基金管理局解决以上难题，以下是防泄密过程中用户常见的问题需求点也是黑匣子的核心价值所在。1、防止内部员工泄密：阻挡内部员工通过打印机、光驱、QQ、邮件、移动存储设备、USB接口等途径进行泄密。2、文件外发：对于与客户的正常沟通，假如要外发受爱护的加密文件，那么必需对其进行解密或是外发授权才能外发，否则发出去的文件打开为显示为乱码3、离线策略：对于外出工作人员通过笔记本泄密的问题，可以借助离线功能对笔记本设置某个时间段才允许打开文件的策略，而外出工作人员在外地须要延长运用时间，可以进行离线持续外出时长申请，从而达到防止出差人员机器数据的外泄。4、防止合作伙伴泄密：工作中有许多合作伙伴，文件发给合作伙伴之后又担忧合作伙伴泄密，为保证合作伙伴泄密，可以通过对外发文档的进行时间、打开次数、编辑、打印等权限进行有效地限制，避开机密数据的二次扩散。5、部门分隔：单位部门有许多，假如财务部不希望其它部门随意打开本部门文件，但是财务部主管希望有权利打开其它部门的文件，黑匣子文档平安管理系统可以通过部门建设和特别权限达到您想要的效果6、剪切板粘贴功能：为确保加密内容不被拷贝、邮件、QQ、MSN等方式将内容外发出去，在默认状况下打开受爱护的文件编辑时，是不允许随意复制了受爱护文件中的内容。7、指定分区和指定格式加密解密：可以针对用户的特别性，制定某种格式的文档进行手动加密，那些自动加密，并且可以建立一个爱护区作为特地的机密信息的指定存储区8、ERP、OA防护：从ERP、OA系统下载的数据全部自动加密，文件格式包括txt、doc、xls、docx、xlsx、zip、rar、gz、z、sql等。为了便利ERP、OA系统与其他应用系统的对接，在用户编辑完密文进行上传时需自动解密。为了防止非法用户登录系统，只有安装加密客户端并登录的电脑才能访问平安管理平台系统。实施效果：黑匣子文档平安管理系统采纳驱动级的透亮加密技术，以主动加密的形式，实现图纸文档的强制自动加密。公司全部人员在操作电脑新建的图纸或文档同时后台自动加密，操作人员毫无察觉。强制自动加密的文件离开单位电脑环境无法运用，文件只能在公司内部授权下运用。经过公司专人解密，文件才能正常运用于外部。这样，一些核心数据资料就牢牢限定在了单位内部，杜绝内部泄密，有效的保证了单位的文档平安。四．黑匣子文档平安管理系统4.1系统架构黑匣子文档平安管理系统是C/S架构，由客户端BDMAgent、BDMServer、BDMNOC构成。系统总体结构如下图所示：客户端BDMAgent通过MOM（消息中间件）与服务器端BDMServer进行通讯。限制端BDMNOC通过限制台或者WEB的方式来设置各种文档平安管理策略。为了保障系统的稳定牢靠的运行。服务器可以做双机热备。该系统可与第三方认证系统无缝集成，在用户登录时无需多次认证。4.2系统组成客户端（BDMAgent）：对文档进行加密和解密接收服务器对文件访问权限的指令限制向服务器发送客户端的恳求服务器端（BDMServer）：管理用户和用户组、管理用户认证、管理终端电脑认证、管理文件权限信息、管理日志向服务器发送文件访问权限限制指令限制中心（BDMNOC）：配置系统基本信息、配置用户和用户组、配置文件访问策略、查看日志消息中间件（MOM）：供应端到端的实时通信服务、供应端到端的长久传输服务。对通信的牢靠性要求较高的文档平安管理系统，供应多层次的异步通信机制、消息传送的功能。针对消息的多样性、传输的平安性、高效性等需求采纳多种机制来适应各种不同环境下的需求。对传输的消息实行优先级管理，保证不同类型消息的不同传输要求、增加大型系统的稳定性，系统消息传输的高效性4.3功能方案4.3.1透亮加解密：重要资料文档要保证其在企业内部平安流通和运用，同时也要防止文件非法扩散和泄密。动态加解密将对核心文档进行全生命周期爱护。其业务流程如下图：公司内部透亮运用公司内部透亮运用正常交换密文外发明文外发合法离线脱机非法获得竞争对手窃密员工离职拷贝内部有意无意泄密间谍黑客窃密设备丢失非法脱机合法离网正常运用非法获得或非法离线表现为乱码动态透亮加解密部署效果动态加解密的区域划分原则依据人员分组和文件种类两个原则处理，先依据业务人员所从事的业务敏感程度和文档对外交互的频度，确定是否划分到动态加解密区域，然后依据其所处理的文档类型确定哪些文档须要启用动态加解密策略。动态加解密区域中文件类型的加密爱护过程如下：文件保存时自动加密；加密的文件在同一动态加解密区域内（同一部门内或部门之间）可以不受限制运用，文件非法流转到企业外部，将无法运用；加密的文件假如要给区域外部人员运用，必需通过有解密权限的人员专岗通过出口解密或文件加密外发；动态加解密区域员工出差时，将通过终端脱机管理限制进行离线管理。可对随意后缀名的文件加密，且加密后不能更改文件的名称和后缀名，不损坏文件；用户可自主选择文件加密，同一后缀名文件可以加密也可以不加密；系统可强制性对某一后缀名文件或某应用程序产生的文件加密；可对不同应用进程设置不同加密方式，如word进程产生文件自动加密，其他类型文件用户可自主选择是否加密；加密文件被二次编辑后仍旧是加密文件；加密文件被另存为后创建的文件仍旧是加密文件；加密文件内容被复制到新文件后，新文件自动加密；用户可设置一个文件夹，放到该文件夹里的文件自动加密；可同时将全部登录到加密系统的电脑上的加密文件解密。4.3.2权限管理：权限管理区域的人员的授权，须要手工完成，授权后相应的人员才有相应的权限功能。对于有敏感信息的大多数业务部门员工都适用。其效果如图：核心数据权限限制权限区域文件加密爱护过程如下：文件作者（指第一个将文件加密的人，下同）可将文件授权给其它用户，也可使只有自己拥有该文件的权限；文件作者可将文件授权给一个单位（可以是部门、分公司、专业室等），则该单位全部人都得到授权；在加密文件要对公司全体人员授权运用时，为了便利授权，可将密文转换成公有方式供全公司人员运用；为了便利集中管理解密权限，系统可指定某一用户或者某些用户才能做密文解密申请；4.3.3保密文件夹：对于一部分终端，并不是全部的文件都须要加密，只是其中重要的部门须要加密爱护，保密文件夹供应的敏捷的解决方案。可设置终端某个分区为保密分区可设置终端某个文件夹为保密文件夹只要是保密分区及保密文件夹内的文件，都是加密的状态复制或是拖拽文件到保密文件夹，文件自动加密可以自定义设置复制或拖拽到保密文件夹加密的文件格式未登录加密客户端的状态下删除保密文件夹，当再次重启电脑后还原该文件夹。保密区或保密文件夹内的文件操作将有具体的日志跟踪记录4.3.4文档对外交互解决方案：明文对外发布解决方案单位内部部分加密资源通过前期的平安爱护方案已经达到了预期保密效果，出于各种因素的考虑可能会对这部分资源开放，也就是说明文解密；业务部门由于业务特性须要常见的对外部固定用户发布相关信息，而特别的业务往来中可能无法全部以密文限制的方式传递给目标客户或合作伙伴，只能以明文方式传播。为了能提高业务效率，平安解决方案为用户供应了可选的明文对外发布方案：非接触性解密申请明文发布方案，通过非接触性解密申请(自动解密和手动解密)提交给审批员，审批员通过审批之后,采纳解密方式的就可以干脆实现明文发送；解密审批后明文发布方案，通过审批员对待发布信息进行在线审批后自动完成解密。解密申请流程图密文对外发布解决方案企业与外界进行常见的信息沟通已成为一个必要的业务模式，这些交互的信息可能会涉及企业核心信息，而这些信息一旦流出企业就面临着失控的风险。为了解决企业对外业务交互的后顾之忧，在企业文档平安体系中，我们供应信息对外发布技术方案，其特点如下：通过外发系统发布的信息，用户可以自定义信息访问密级，使外界严格依据预设密级权限运用信息，在加密的同时，对信息进行平安限制，防止信息扩散；外界用户无需安装任何插件就可干脆阅读外发信息；能够严格限制外发信息的运用权限，如读取次数、时间、打印限制等；可审计，全部外发信息的发布日志和外界运用信息，内部服务器可实时审计，确保外发流程的运行平安；外发处理流程图通过外发限制方案，不仅可以解决企业对外业务的发布的平安管控，同时也可以解决集团公司与其子公司间的信息沟通隐患。文档外发交互提取方案为保证企业文档不被第三方泄密，以及保证其文档版本的唯一性，企业可以通过文档外发方式与合作伙伴进行核心文档的交互，共同完成图纸的看法交换工作，可运用文档外发提取功能，将交互的文档提取还原到最原始的格式，为便数据的入库封存外发提取处理流程图4.3.5移动办公：移动办公是企业不行少的一个业务环节，员工业务出差或外出商业活动时，必需运用内网涉密资源，假如是明文带出可能面临泄密的风险。为了能解决终端离开单位网络后能正常处理涉密业务，文档平安体系供应了强大的终端脱机限制方案。通过对终端进行脱机设置，使终端能在预设时间范围内脱离公司环境而又能正常处理涉密业务，超出预设期限将不再解密任何涉密信息，保证终端外出的运用平安：离线审批解决方案，通过审批员对离线用户进行在线审批后，申请用户可实现离线限定时长平安运用；通过离线补时功能，可以实现离线用户逾期无法连接服务器时的离线补时支持。离线申请流程图4.3.6截屏限制：人性化屏幕限制技术：支持明文截屏：只要有密文打开，程序自动屏蔽一般截屏工具；在关闭全部密文时，支持QQ、MSN等第三方截屏工具。支持密文截屏：黑匣子文档平安管理软件供应独有的截屏模块，支持密文或明文截屏；截屏后的图片文件将自动加密，只有对方安装黑匣子加密客户端才能正常阅读图片文档。同时支持明文和密文截屏，保证密文文件内容不外泄，同时兼顾用户个人截屏功能须要。满意工作上的须要，还支持个人文档的截屏沟通。方案特点：在登录加密系统状态下，非加密文件可被QQ、MSN等截屏工具截屏；在登录加密系统状态下，加密文件禁止被工具截屏；支持加密文件截屏，但只有安装加密客户端的电脑才能查看密文截屏的内容；在登录加密系统状态下，加密文件禁止被屏幕录像；支持加密文件录像，但只有安装加密客户端的电脑才能观看录像。4.3.7应用爱护：应用系统进行加密爱护，运用户从该应用系统下载的文件自动加密，用户上传至应用系统自动解密，不影响应用系统后台内部数据的流转，支持同一物理服务器上指定的应用系统爱护，对该服务器上其他应用系统无影响。支持在应用系统爱护状态下，用户的其他操作（如上网、编辑个人文件、非加密文件截屏、非加密文件打印等）不受影响。系统扩展性强、便于部署、适合多种网络环境，支持C/S、B/S架构随意应用系统。五．售后服务XXX保险公司可以获得来自七洲周到完善的产品询问、安装布署、技术答疑、升级更新等服务。七洲供应的服务如下：5.1服务内容产品名称服务内容服务方式黑匣子文档平安管理系统产品功能答疑电话、信函、邮件软件安装、调试支持电话、远程帮助、上门服务产品运用、平安策略设置等询问电话、即时通讯、网络在线相关技术文