前言
現今我國已是全球第三大電子信息產品制造國,電子信息產品已經滲透到我們生活的各個角落,包括通信、醫療、計算機及周邊視聽產品、玩具、軍工用品等。IT電子行業是典型的知識技術密集型行業,具有科技含量高、專利多,知識產權豐富,核心數據密級高等特點。隨著業內競爭的加劇,為尋求競爭中的有利地位,保證產品的核心技術優勢以及保護自己核心知識產權的安全變得尤其重要。
敏感數據類型
1.常見的辦公研發環境中,如:元器件圖紙設計、軟件代碼研發(包括編寫、編譯、分布式編譯等)、數據運算、硬件燒錄等。
2.常見的信息系統中,如:代碼編寫與編譯、版本控制、圖紙設計和文檔編寫等系統/軟件等。
敏感數據分布
研發類計算機、硬盤、移動存儲設備和文件服務器等。
2.對數據進行規范化管理,數據外發時進行安全控制;
3.有效管理移動存儲設備,避免泄密事件的發生;
4.對員工出差攜帶的筆記本做相應管控,保證數據的安全存儲;
5.只有受控的計算機并同時擁有權限的用戶才能訪問指定應用服務器;
6.不能影響硬件燒錄工具的使用,向硬件中燒錄程序可以正常使用。
解決方案
1.數據透明加解密
通過驅動層動態加解密技術,對企業內部核心電子文檔(源代碼、設計圖紙、設計方案等)進行強制加密處理,從文件創建開始即可自動加密保護。核心數據在加密前后對于數據合法使用者無任何差異,不增加用戶負擔、不改變任何工作流程及使用習慣。文件的保存加密、打開解密完全由后臺加解密驅動內核自動完成,對用戶而言完全透明、無感知。
2.針對Linux電腦環境下文件透明加密
Linux操作系統是當前最流行的開發平臺,所以對IT電子行業企業來說Linux平臺上的源代碼安全同樣至關重要。系統采用基于Linux內核的文檔透明加解密技術,能夠在不改變用戶使用習慣、計算機文件格式大小和編譯程序的前提下,對指定類型的文件進行實時、強制、透明加密,同windows加密體驗無差別,且能夠與windows加密客戶端完美兼容。方便用戶在windows和Linux平臺上對源代碼加密文件進行查看、編譯等交互操作。
3.防止外發文件在外二次擴散泄密
當需要給客戶或者合作伙伴外發文件時,首先向上級領導進行外發申請。
被授權的客戶或合作伙伴獲得該受控外發文件后,打開時需先進行合法的身份認證。身份認證的方式包括:口令認證、機器碼認證、聯網認證;
訪問權限包括:閱讀次數、可打印、可截屏、可編輯、閱讀期限、過期自毀、回收等;
4.防止應用服務器上的數據泄密
安全隱患:
無關人員和電腦,隨意接入內部網絡,訪問服務器數據導致泄密,應該如何管控?
如果要求終端數據上傳到公司某些應用服務器(比如:ERP、OA)的數據是明文,該如何管控?
應用服務器上明文數據下載該如何管控?
解決方案:
終端準入:只允許安裝有數據防泄密系統客戶端的終端用戶正常接入應用服務器,非法用戶禁止接入;
上傳下載:文件上傳自動解密、下載自動加密;
數據加密安全通道:客戶端用戶在與公司內部服務器進行數據交換時,采用數據加密安全通道,保障數據在傳輸過程中不被竊取。
非法外聯:安裝有數據防泄密系統客戶端的終端用戶將禁止連接仿冒應用服務器,防止非法用戶利用客戶端上傳自動解密機制進行非法外聯泄密。
5.防止員工外出辦公泄密
回家加班:針對筆記本辦公人員,由于筆記本攜帶方便,且人數較多,系統提供用戶配置默認時間,比如:7小時默認時間,那么筆記本辦公人員只要在默認7個小時內,無需申請,在家辦公和在公司內部一樣的防泄密管理效果;
出差辦公:針對攜帶筆記本出差辦公人員,在出差之前通過系統流程進行申請,經上級審批后,在授予的時間期限內,在外出差辦公。如果在授予的時間期限內,仍需要在外繼續辦公的,可以通過電話聯系上級,再重新制作一個授權文件,發給在外人員導入電腦后,又可以繼續在外辦公。
永久離線:主要運用于脫離總部,長期或永久在外面使用的電腦,一般是分公司或辦事處。使用離線終端,可保證總部與分部之間的資料都是加密的,可以互相訪問,又可以控制分部的資料。
6.內部U盤、光盤等移動存儲介質安全管控
USB存儲設備限制
根據公司的實際情況,限制哪些電腦的USB接口能否使用。分別有允許使用、禁止使用、USB設備只讀(即單向傳輸拷貝控制,只能從U盤上拷出數據,不能拷入數據)和斷網使用(即插入USB存儲設備時終端斷網)四種限制方式。
USB存儲設備認證
對接入公司的U盤進行注冊認證管理,只有通過事先認證過的U盤才可以在公司內使用。
USB外發日志
對公司內部員工的USB拷貝行為進行詳細記錄,記錄信息包括操作時間、終端名稱、操作用戶、文件名稱、源路徑、目的路徑,并支持下載查看文件內容。從而為企業內的信息拷貝提供更嚴格的安全保障,防止內部機密信息被非法拷貝。
主密鑰:由系統分配給每個用戶全球唯一的密鑰,保證每個購買系統的單位文件不會互通;
企業密鑰:由用戶自己設置的密鑰,保證加密廠家獲取加密文件也無法解密;
文件密鑰:每個文件加密時隨機生成一個文件密鑰,提高加密的安全性。
2.系統采用Windows內核的文件過濾驅動實現數據透明加解密,安全、穩定、效率高。
3.提供成熟的企業核心業務系統集成及整合方案(支持Windows\MAC\Linux終端),滿足與各類業務系統的無縫安全集成,實現對核心業務系統數據的安全防護及加固。
4.指定某些類型的文件進行新建、編輯時,自動備份到系統服務器,避免辦公人員誤刪或故意刪除,導致數據丟失。
5.支持IPAD在線閱讀加密文件,比如:mail、OA、CRM、ERP等加密附件在線閱讀,方便辦公。
6.系統全面覆蓋Mac、Windows以及Linux系統,在多個系統之間實現文檔的統一加密,無縫管控!
7.支持“多采集服務器”部署方式,即實現集中式和分布式一體化管理。
8.所有操作記錄可查可審,方便管理員查詢及審計。