四川省农业机械设计院数据防泄密解决方案

四川省农业机械设计院数据防泄密方案书厂家名称：深圳市虹安信息技术有限公司项目负责：成都易佰科技有限公司密级：秘密版本信息：Ver1.02011.08五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第2页/共30页目录1.第一章背景介绍............................................................................第错误!未定义书签。页2.第二章方案目标.........................................................................................................第4页3.第四章四川省农业机械设计院内网数据泄密风险分析...............................................第5页4.第四章解决方案.........................................................................................................第6页5.第五章系统分析.........................................................................................................第8页6.第六章技术概述.........................................................................................................第9页6.1系统简介..............................................................................................................第9页6.1.4核心技术介绍................................................................................................第12页6.1.5产品技术优势................................................................................................第14页7.第七章典型案例.......................................................................................................第17页8.第八章厂家介绍.......................................................................................................第20页五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第3页/共30页第一章背景介绍随着企事业单位全面信息化时代的到来，各单位越来越多地借助以计算机、互联网等先进技术为代表的信息手段，将企事业的经营及管理流程在线实现，所有业务数据经由系统处理，快速形成管理层所需商业智能，这样，电子文档就成为企事业单位信息的主要存储方式及企事业单位内、外部之间进行信息交换的重要载体。如何保护电子文档的安全问题，作为信息安全领域的一个重要内容，必将越来越受到重视。近年来，国内设计院所在科技建院、科技兴院和可持续发展的方针指导下，大力推进信息化建设，以信息化带动设计院的现代化，取得了瞩目的成绩。特别在远程异地办公、设计应用软件资产规模、三维设计技术推广应用和协同办公等领域，单位投入了大量的资金，逐步形成了一整套覆盖设计院各个业务和管理领域的信息化基础体系。在此基础上，安全作为信息化建设的重要一环，对于以知识成果为企事业单位重要效益来源的设计院所，尤显重要。五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第4页/共30页第二章方案目标为提高设计院内部数据的安全性，实现内部办公文档内容流转安全可控，实现文档脱离设计院管理平台后能有效防止文件的扩散和外泄，需要建立一套完善的文档安全管理系统，即对于设计院内部文档使用范围、用户权限、用户操作、文档流转进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散，又支持内部知识积累和文件共享的目的。内部的数据安全需从以下几方面解决：1.确保设计院内部与外部之间重要电子文档的畅通、安全的交流；2.保障各应用、办公系统等数据的存储和使用安全；3.保障终端数据的离线安全；4.保障电子文档整个生命周期内，在办公终端、业务系统之间流转的安全；5.解决与外协人员、合作伙伴等的数据交互安全；6.保障移动设备、存储介质的数据安全。五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第5页/共30页第三章四川省农业机械设计院内网数据泄密风险分析3.1泄密分析3．1．1、设计图纸不可控，内部存在泄密风险3．1．2、移动存贮设备未有效管理，U盘、移动硬盘成最大泄密载体。3．1．3、外发文件未审核，泄密后无法查找泄密途径。3．1．4、外发文件不可控，存在设计理念被合作伙伴泄密或剽窃的可能。3．1．5、文件提供给甲方后造成客户资源流失、内部人员私自将文件带走后造成客户流失泄密分析图五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第6页/共30页第四章解决方案4．1、采用透明加密技术，可实现驱动级自动加密，不改变使用者任何操作习惯。如图4-14．2、虹安DLP数据防泄密系统，具备完善的外发审批系统，多级审核模式，所有外发审核都由统一路径出去，保证了数据的安全审计。如图4-24．3、强大的外设管理系统，能对移动存贮设备统一注册管理，保证外带的设备丢失后，里面的数据不外泄。如图4-34．4、可制作可控的外发文档，能限制使用者的打开次数、能否复制、能否打印、能否抓屏等细小权限，很好地保护了外发出去的文档安全。图4-1透明加密示意图图4-2文件外发审请五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第7页/共30页图4-3外设管理图4-4外发文件制作五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第8页/共30页第五章系统分析5.1、业务流程图5.2、系统功能图五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第9页/共30页第六章技术概述6.1、系统简介6.1.1、概述深圳虹安DLP数据泄漏防护系统（以下简称：虹安DLP）是深圳虹安信息技术有限公司自主研发，拥有完全自主知识产权的DLP平台产品。它以密码技术为支撑，数据保密为核心，身份认证为基础，信息安全为目标。虹安DLP通过内核级加密技术，整合端点控制技术，有效防止任何状态（使用、传输、存储）的内部资料和智慧资产泄漏。虹安DLP的内核级加密技术和端点控制技术，能够在数据和文件使用时便对其进行自动加密，确保以任何方式泄漏的数据和文件均是密文，同时能够有效防止数据和文件通过任何非法操作和传输路径（如：截屏和另存、共享和外设、邮件、和移动存储设备）等方式泄漏，助你更好的管理数据存储、使用、传输的生命周期全过程，如图所示：虹安DLP防护数据存储、使用、传输概念图部署虹安DLP，使泄密者不合法就进不来，进来了也找不到，找到了也打不开，打开了也看不懂；没有审核发不出，带走了也没有用，相关操作有记录，出现情况跑不了……6.1.2、系统架构虹安DLP数据泄漏防护系统包括服务端和客户端软件（含USBKEY）,服务端可以是纯软件，也可以是硬件服务端的设备形式，软件硬件两种形式均支持多台同级服务器分布部署模式，系统整体架构图如下所示：五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第10页/共30页服务端虹安DLP数据泄漏防护系统服务端后台管理系统分：证书密钥管理、策略库管理、系统管理、日志记录、外部存储设备管理、用户管理等功能。服务器端通过向客户端下发管理策略，客户端再根据相关策略来执行相应的加密保护动作。可以适应不同企业对不同数据文档的保护。同时也接收客户端上传的操作日志。DLP服务端系统管理功能日志记录功能用户管理功能证书密钥管理功能策略库管理功能外部存储设备管理虹安DLP服务端功能模块图服务端控制台基于通过Web方式登陆管理。若放宽登录限制，只要能上网，即可登录服务端控制台进行配置操作。五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第11页/共30页客户端客户端软件运行于需要保护的计算机终端后台，实现策略加密、策略解密、日志管理、数据通讯等功能，并集成文件外发工具。该客户端采用安全的方式接受服务器统一管理，接受服务器下发的策略，并通知相应的功能模块执行策略。客户端软件还要与服务器通讯，上传日志和其他服务器需要的数据，同时客户端提供加解密功能，并通过服务端下发的策略来对不同类型的文件进行加解密。当受保护的文件需要外发时，可以通过客户端集成的外发工具给管理者审核，审核通过后可以外发。外发工具策略解密策略加密数据通讯日志管理客户端虹安DLP客户端功能模块图6.1.3、网络部署图五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第12页/共30页6.1.4、核心技术介绍(a)、内核级透明加密虹安DLP支持目前业界领先的128位、256位DES、3DES、AES、RC4加密算法，将底层透明加密驱动嵌入到操作系统内核，对文档有多层保护手段。结合RSA公私钥体系实现密钥安全传输，保证加密强度的同时，兼顾密钥传输安全。相关内核技术主要通过以下三类中的六种内核驱动程序实现：（a.1）应用程序保护文件过滤驱动，实现进程和文件的透明加密，也可做全盘加密操作，文件产生时即被强制加密，在文件使用（编辑、保存等）过程中进行跟踪加密，以任何方式泄漏出去的文件均为密文。进程保护驱动，防止进程被恶意终止，欺骗，注入攻击等，同时避免内存直接读取的漏洞。访问控制驱动，对文件和数据加以权限保护。(a.2)设备外设保护设备文件驱动，对移动存储等文件加密，用于密文明文通用设备。设备磁盘驱动，对移动存储或硬盘等设备全盘加密，用于密文专用设备。五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第13页/共30页(a.3)网络保护防火墙驱动，用于控制客户端的网络使用。如：禁止内部连接，禁止外部连接，或是同时禁止内部和外部的连接。虹安DLP系统通过上述内核技术，从高层用户接口，到底层存储和传输，全部实现加密保护。且所有操作都通过驱动程序来实现，对用户完全透明，不改变用户使用习惯。(b)、身份认证和密钥管理身份认证通过USBKey和软证书来进行注册，确保系统用户注册、登陆、注销和回复的全过程安全可靠。●基于PKI/CA标准密钥和数字证书管理体系，银行交易级别的密钥管理，在密钥的产生、存储、分配、使用和销毁的全过程保护密钥安全。●USBkey硬件标识作为密钥证书载体，结合密码认证登录。●双因子认证登录，增强身份认证的可信度，并实现一机多用户情况下权限明晰。虹安DLP密钥体系图如下：五粮液.普拉斯数据防泄密解决方案深圳市虹安信息技术有限公司成都易佰科技有限公司第14页/共30页6.1.5、产品技术优势(a)、进程学习文档加密的策略配置过程中，最头痛的就是多个进程识别，如某些文档的编辑软件，主进程运行时还会调用其他的子进程，而这些进程都是看不到的，如果这些子进程没有添加到策略中，