制造業數據泄露防護(DLP)方案解析
【51CTO.com 綜合消息】工業化和信息化融合,對制造業數據安全來說是一個巨大的挑戰。隨著信息化的推進,制造企業產生的多種商業機密電子文檔保護成為數據安全的重點,也是比較難以解決的復雜問題。
一、制造業數據環境和數據安全特征
制造業信息化狀況和數據安全需求主要有以下特點:
1.系統內產生的數據和文檔有高度保密性、高度敏感性,數據泄露會造成重大危險;
2.企業的認證體系、業務信息系統和辦公OA系統等應用平臺數據交互頻繁,與合作單位有大量的對外接口;企業內部網絡有多種業務平臺,移動設備如筆記本電腦、U盤使用廣泛;
3.與外部單位的合作,對外發出文件數量較多。
二、制造業數據安全需求分析
結合制造業上述特征,企業內部的數據安全需要重點關注如下幾方面問題:
1.需要結合企業認證體系如ED域、AD域等各種平臺;
2.需要與企業的各種業務系統如OA、PDM、ERP等有效集成;
3.需要采用等級保護制度,對文檔劃分不同的安全等級,對不同等級的文檔實現不同強度的安全保護;
4.對涉密文檔集中式管理,防止分散儲存導致的泄密風險;
5.對所有筆記本電腦需要全盤加密,有效提高筆記本電腦數據的安全性和保密性,防止被動泄密風險;
6.移動存儲介質管理, 確保移動存儲介質的方便性和安全性;
7.對所有移動存儲設備和端口必須要進行控制,允許合法接入的暢通,同時也要嚴密防止非法接入;
8.針對外發文件,需要加強權限管理,確保外發數據和文件的安全。
三、制造業數據泄露防護(DLP)方案簡述
億賽通數據泄露防護(DLP)解決方案,基于“驅動級透明動態加解密技術”,在全面結合現有認證體系和業務信息系統的前提下,配合業務需求,以文檔流轉途徑為導引,融合服務器保護、文檔透明加密、文檔權限管理、文檔外發管理、筆記本電腦離線脫機管理、筆記本全盤加密管理、設備安全管理等功能,全方位地保護制造業數據安全,防止數據泄露。如圖:
 |
| 圖1 |
方案說明:
1.服務器加密保護
對服務器群的保護,由DNetSec來完成。DNetSec由硬件和軟件兩大部分組成,其中硬件采用高性能的網絡服務器,軟件為億賽通研發的文檔安全網關軟件。DNetSec對所有上傳到服務器的文檔自動進行解密,對所有從服務器下載文檔自動進行加密。
2.辦公網絡和技術網絡文檔保護
在辦公局域網和技術局域網等內部網絡中,采用“文檔安全管理系統CDG”。通過文檔透明加密對技術網絡內的技術文檔、設計圖紙、源代碼、電路圖等核心資料進行自動、強制、實時加密。采用文檔權限管理對管理部門的辦公文件、財務部門的財務數據、銷售部門的客戶資料、市場部門的策劃方案等商業機密文件進行權限控制。通過兩種管理方式,確保內部網絡終端安全,防止內部核心信息外泄。
3.文檔外發控制
對企業內部發往出差人員、合作單位等系統外的文檔,采用“文檔外發管理系統ODM”。ODM應用文檔外發管理程序打包生成外發文件發出。當外發文件打開時,需通過用戶身份認證,方可閱讀文件。同時,外發文件可以限定接收者的閱讀次數和使用時間等細粒度的權限,從而有效防止了客戶重要信息被非法擴散。
4.離線脫機辦公管理
在人員出差或其他情況下,需要外帶筆記本電腦,通過策略設定,可以確保對離線筆記本電腦數據的控制。
5.筆記本電腦管理
對存有重要資料的筆記本電腦,采用“磁盤全盤加密系統DiskSec”。DiskSec是一款防止筆記本電腦丟失、維修和報廢后導致數據泄露的透明加密軟件。在電腦關機的狀態下,硬盤中存儲的數據均被做了高強度加密,沒有用戶本人輸入密鑰,他人無法獲得硬盤上的加密數據,從而防止筆記本電腦數據泄露。
6.內網端口管理和移動設備管理
對內網中的所有端口和移動設備,采用“設備安全管理系統(DeviceSec)”進行管理。DeviceSec通過IP范圍和端口范圍的交叉判斷,對U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口進行控制,并能對拷貝到移動存儲設備的文檔加密。
7.文檔自動備份
文檔每次保存后均自動備份到備份服務器中。文檔管理員可通過改變備份的模式和途徑,實現備份管理。用戶在脫離服務器模式下的文檔,也將自動備份到本地硬盤中。通過備份,可有效避免因為各種意外導致的數據損失。
8.日志審計
能夠監督、跟蹤、記錄所有用戶的全部操作,實時查看系統的使用情況,實現***的系統安全。可以從龐大的記錄數據中抽取有用的信息,對用戶的某些操作進行分類整理,通過操作記錄,回溯歷史活動,從而發現泄密渠道。通過跟蹤目前用戶操作,能及時發現用戶的危險操作,在泄密事件發現前就獲得警報,制止泄密事件的發生。一旦泄密事件發生,通過用戶操作記錄, 可以***時間拿出最有力的證據。
四、方案特點:
1.億賽通DLP的所有功能基于一套完整、協調的體系,可以實現的統一管理和策略聯動,在實施、管理、維護、升級等一系列活動中,方便靈活,極大地降低了成本;
2.DLP體系以數據加密為核心,結合了身份認證、日志審計、文檔備份、文檔流程審批、外發控制等功能,系統本身具備容災管理功能,在基于用戶需求的基礎上,配合各種安全策略,不僅從源頭上實現了文檔的保密,還有效實現網絡邊界管理,是高效的分域安全架構;
3.能與各應用平臺集成,支持通用文件格式如:office系列、PDF、CAD、源代碼、電路圖等。能與各種特性平臺集成,如各種OA系統,支持各種認證系統(AD、CA、ED等)。
4.該系統支持大用戶管理系統,能滿足10萬點以上大規模端點控制需求,可以實現負載均衡、熱備和多級管理模式等;
5.具有高度的模塊化和擴展性,可以根據制造企業發展的需要,擴展其他功能,比如:電子郵件加密,輸出內容監控等模塊。
