前言
现今我国已是全球第三大电子信息产品制造国,电子信息产品已经渗透到我们生活的各个角落,包括通信、医疗、计算机及周边视听产品、玩具、军工用品等。IT电子行业是典型的知识技术密集型行业,具有科技含量高、专利多,知识产权丰富,核心数据密级高等特点。随着业内竞争的加剧,为寻求竞争中的有利地位,保证产品的核心技术优势以及保护自己核心知识产权的安全变得尤其重要。
敏感数据类型
1.常见的办公研发环境中,如:元器件图纸设计、软件代码研发(包括编写、编译、分布式编译等)、数据运算、硬件烧录等。
2.常见的信息系统中,如:代码编写与编译、版本控制、图纸设计和文档编写等系统/软件等。
敏感数据分布
研发类计算机、硬盘、移动存储设备和文件服务器等。
需求分析
Demand analysis
1.电子文档(源代码、设计图纸、设计方案等)均要做数据保护措施,防止内部人员有意或无意造成数据泄露;
2.对数据进行规范化管理,数据外发时进行安全控制;
3.有效管理移动存储设备,避免泄密事件的发生;
4.对员工出差携带的笔记本做相应管控,保证数据的安全存储;
5.只有受控的计算机并同时拥有权限的用户才能访问指定应用服务器;
6.不能影响硬件烧录工具的使用,向硬件中烧录程序可以正常使用。
解决方案
Solution
1. 数据透明加解密
通过驱动层动态加解密技术,对企业内部核心电子文档(源代码、设计图纸、设计方案等)进行强制加密处理,从文件创建开始即可自动加密保护。核心数据在加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成,对用户而言完全透明、无感知。
2. 针对Linux电脑环境下文件透明加密
Linux操作系统是当前最流行的开发平台,所以对IT电子行业企业来说Linux平台上的源代码安全同样至关重要。未来数安采用基于Linux内核的文档透明加解密技术,能够在不改变用户使用习惯、计算机文件格式大小和编译程序的前提下,对指定类型的文件进行实时、强制、透明加密,同windows加密体验无差别,且能够与windows加密客户端完美兼容。方便用户在windows和Linux平台上对源代码加密文件进行查看、编译等交互操作。
3. 防止外发文件在外二次扩散泄密
当需要给客户或者合作伙伴外发文件时,首先向上级领导进行外发申请。
被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证。身份认证的方式包括:口令认证、机器码认证、联网认证;
访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等;
4. 防止应用服务器上的数据泄密
安全隐患:
无关人员和电脑,随意接入内部网络,访问服务器数据导致泄密,应该如何管控?
如果要求终端数据上传到公司某些应用服务器(比如:ERP、OA)的数据是明文,该如何管控?
应用服务器上明文数据下载该如何管控?
解决方案:
终端准入:只允许安装有数据防泄密系统客户端的终端用户正常接入应用服务器,非法用户禁止接入;
上传下载:文件上传自动解密、下载自动加密;
数据加密安全通道:客户端用户在与公司内部服务器进行数据交换时,采用数据加密安全通道,保障数据在传输过程中不被窃取。
非法外联:安装有数据防泄密系统客户端的终端用户将禁止连接仿冒应用服务器,防止非法用户利用客户端上传自动解密机制进行非法外联泄密。
5. 防止员工外出办公泄密
回家加班:针对笔记本办公人员,由于笔记本携带方便,且人数较多,未来数安提供用户配置默认时间,比如:7小时默认时间,那么笔记本办公人员只要在默认7个小时内,无需申请,在家办公和在公司内部一样的防泄密管理效果;
出差办公:针对携带笔记本出差办公人员,在出差之前通过未来数安流程进行申请,经上级审批后,在授予的时间期限内,在外出差办公。如果在授予的时间期限内,仍需要在外继续办公的,可以通过电话联系上级,再重新制作一个授权文件,发给在外人员导入电脑后,又可以继续在外办公。
永久离线:主要运用于脱离总部,长期或永久在外面使用的电脑,一般是分公司或办事处。使用离线终端,可保证总部与分部之间的资料都是加密的,可以互相访问,又可以控制分部的资料。
6. 内部U盘、光盘等移动存储介质安全管控
USB存储设备限制
根据公司的实际情况,限制哪些电脑的USB接口能否使用。分别有允许使用、禁止使用、USB设备只读(即单向传输拷贝控制,只能从U盘上拷出数据,不能拷入数据)和断网使用(即插入USB存储设备时终端断网)四种限制方式。
USB存储设备认证
对接入公司的U盘进行注册认证管理,只有通过事先认证过的U盘才可以在公司内使用。
USB外发日志
对公司内部员工的USB拷贝行为进行详细记录,记录信息包括操作时间、终端名称、操作用户、文件名称、源路径、目的路径,并支持下载查看文件内容。从而为企业内的信息拷贝提供更严格的安全保障,防止内部机密信息被非法拷贝。
方案优势
Program advantage
1.国内独有的“三重密钥”体系:
主密钥:由未来数安分配给每个用户全球唯一的密钥,保证每个购买未来数安的单位文件不会互通;
企业密钥:由用户自己设置的密钥,保证加密厂家获取加密文件也无法解密;
文件密钥:每个文件加密时随机生成一个文件密钥,提高加密的安全性。
2.未来数安采用Windows内核的文件过滤驱动实现数据透明加解密,安全、稳定、效率高。
3.提供成熟的企业核心业务系统集成及整合方案(支持WindowsMACLinux终端),满足与各类业务系统的无缝安全集成,实现对核心业务系统数据的安全防护及加固。
4.指定某些类型的文件进行新建、编辑时,自动备份到未来数安服务器,避免办公人员误删或故意删除,导致数据丢失。
5.支持IPAD在线阅读加密文件,比如:mail、OA、CRM、ERP等加密附件在线阅读,方便办公。
6.未来数安全面覆盖Mac、Windows以及Linux系统,在多个系统之间实现文档的统一加密,无缝管控!
7.支持“多采集服务器”部署方式,即实现集中式和分布式一体化管理。
8.所有操作记录可查可审,方便管理员查询及审计。