互联网外发防泄密解决方案
防范互联网泄密的挑战
互联网使信息具有了无与伦比的扩散能力,因此一旦敏感信息被泄露到互联网上,其扩散范围及造成的影响都是难以估量的。
那么对于所有接入互联网的企事业单位,如何守好互联网这扇大门,降低随之而来的信息泄密风险,就是必须认真考虑和应对的问题。
解决思路分析
防范互联网泄密的应该是一项系统性工程,包括信息资产分类、管理制度建设、技术手段支撑等环节,其中的任何一环出现“短板”都将危及整体的防御效果。而本文将聚焦于技术环节来阐述防范泄密的思路和措施。
总体概括来看,泄密事件可以分成主动、被动两种,并且按照“事前防御、事中控制、事后审计”的技术原则,防范泄密需要从以下三方面入手:
1.拦截主动泄密;
2.防范被动泄密;
3.日志审计追溯;
根据赛迪统计,将近80%的泄密事件都是由于内部人员造成的主动泄密,因此防泄密的关键点在于上述的第一点“拦截主动泄密”,再配合第二、三点共同构成一套完备的技术体系。
网康ICG的防泄密解决之道
网康互联网控制网关(简称ICG)是一款软硬件一体化的上网行为管理产品,凭借精准的应用协议识别、外发内容过滤及丰富的用户身份识别机制,ICG可以实现差异化的互联网外发权限控制,发现并阻断高风险的访问及外发行为,并提供了证据留存和追查的功能,帮助客户最大化的降低信息泄密的风险。
拦截主动泄密
网康ICG产品设计时就将“控制内部信息进入互联网”为价值点之一。针对由内部人员主动泄密的行为,ICG可以提供如下的控制:
1.提供专门的“互联网邮箱”网页分类,ICG可以禁止内部人员访问互联网邮箱;
2.提供专门的“互联网Web存储空间”网页分类,ICG可以禁止内部人员访问互联网存储;
3.针对由FTP、HTTP上传的文件,ICG可以根据文件名、文件大小进行控制及审计;
4.针对即时通讯软件的聊天、文件传输功能,ICG可以进行控制及审计;
5.针对BBS论坛发帖的内容,ICG可以进行关键字过滤和审计;
6.针对P2P文件共享工具,ICG可以根据应用协议识别并控制,如RaySource;
7.针对组织内部的SMTP邮件,ICG可以自动过滤并拦截潜在泄密邮件,交由管理员审核;
8.针对SMTP外发的文件,ICG可以进行文件特征的深度检测及关键字过滤,以应对改名、
压缩等逃避手段。
防范被动泄密
1.降低恶意网站的威胁
由于Web2.0网站提供的服务,让很多黑客已然放弃了自行建立恶意网站,他们通过在知名的拥有庞大用户群的Web2.0网站中,构建动态网页并植入木马、病毒等恶意代码,达到入侵的目的。
为了准确识别这些Web2.0的动态网站,网康独到的使用了三重网页过滤机制——网页预分类库、本地智能识别、网页分析云,可以有效屏蔽病毒、木马等包含恶意代码的网页。ICG提供专门的“木马”、“病毒”等恶意网站的分类,管理员只需配置一条策略封堵这些分类。
2.应对木马程序、黑客远程控制
潜伏木马程序或被黑客远程控制的个人电脑接入内网,极易导致敏感信息泄露。使用ICG
的终端安全策略检查功能,可以强制要求所有电脑必须满足安全策略才能访问网络,比如安装操作系统的补丁、杀毒软件版本、安装主机防火墙等等。
另外ICG的协议识别功能,还可以识别出多种主流木马、远程控制的流量,管理员可以阻止这些高危流量。这样即使电脑染毒,仍可避免被远程控制或信息泄密。
日志审计追溯
实施行之有效的互联网行为审计平台,不仅仅是为了满足公安部82法规的要求,更是为了追溯泄密事件提供线索证据,震慑恶意泄密的企图。
ICG可以详细记录各种外发信息日志、上网日志,并提供图形化的日志统计、查询、检索工具,如发现可疑行为,将触发实时邮件告警功能。
网康日志中心使用oracle数据库,可以支撑海量数据存储、查询、统计的性能要求。另外,分级分权的管理和报表功能,可以为单位领导、IT部门、审计部门提供不同的视图权限及报表类型。
网康方案的优势及价值
简单易用,减少IT部门工作量
●无插件的全图形化的BS操作界面,确保用户可使用任何浏览器快速上手使用
●网康科技独有的同步帮助信息提示,可保障用户快速的获得当前操作的详细操作指导●结构清晰的操作与策略配置框架使用户几乎不用讲解就可认知如何配置策略
高安全性、高可靠性
●独有的双系统的硬盘+FLASH双重系统提升设备的可用性;
●使用专用的硬件设备、加固的操作系统;
●独有的软件智能Bypass功能,自动探测软件系统是否崩溃;
●独有的物理按钮式的Bypass开关;
●独有的远程Bypass开关;
●独有的智能硬件bypass技术,确保任何设备无法正常工作的情况下可保障用户网络畅
通。
持续升级服务,确保系统持续有效
●使用基于Web方式的在线升级方式;
●独有的在升级前自动进行系统完整性校验,保障升级过程的成功。
●软件版本升级后,自动保留原有的用户配置信息;
●有明确的升级周期,应用协议库每2周升级,网`页分类库每天升级;
系统可管理性,满足实际管理的需要
●提供分级分权的管理模式,不同管理员可以被授予不同的管理权限和管辖用户;
●提供分级分权的审计模式,不同管理员可以被授予不同的审计权限和管辖用户;
Maixin金融行业CRM解决方案 一、方案简介 IT技术和信息化改变了金融竞争的规则,也使客户在寻求金融服务时有了巨大的选择空间。为了抢占更大的市场份额,获得更多的高端客户,越来越多的金融服务企业开始选用上海脉信CRM客户关系管理解决方案。由于结合了企业的自身需求和特点,Maixin金融行业CRM可以帮助企业最大限度地利用客户资源,包括对现有客户的管理和潜在客户的挖掘。 无论是零售银行业务、理财还是保险业务,上海脉信Maixin金融CRM系统都能利用Microsoft平台帮助您全方位掌握客户的情况,从而: 能在所有渠道上交付高质量的一致性服务 识别高价值客户,帮助建立客户忠诚度 充分利用新的创收机会 与核心系统和现有应用进行整合,从而进一步延伸IT 投资的价值 采用XRM 框架迅速交付各类客户端管理和金融行业应用 二、方案功能 针对金融行业企业对CRM系统的不同需求,Maixin金融行业CRM管理系统可提供定制化的CRM解决方案,通过业务系统平台化提高工作效率及客户满意度。 Maixin金融行业CRM系统解决方案包括: 1、理财咨询平台 使用上海脉信Maixin CRM 系统可进一步增加销售机会,降低管理成本。加深对客户的全面了解,从而根据客户的需求和偏好量身定制个性化服务,以在提高客户满意度的同时与其建立更持久的关系。 在统一系统中捕获并跟踪所有潜在顾客的详细情况,以确定更多符合资质条件的潜在客户 充分发挥界面熟悉、以及与Maixin CRM自身的无缝集成的优势,员工能够迅速使用CRM 深入了解情况,以帮助您实现升级销售和交叉销售的最大化 实现流程自动化,以简化管理工作,从而将更多时间用于客户拓展 根据与客户进行互动的实时信息制定新的战略 2、机构客户平台 高效管理客户群,按时交付以留住更多客户,进而提高收入。作为微软全球金牌合作伙伴,欧唯特信息系统通过全面整合研发、订单管理、CRM 以及通信系统等不同系统来帮助您实现上述目标。 为销售人员和渠道商提供统一平台 推动内外部统一协作 提供所有客户活动的全面视图 监控研发成本和贸易流程,有助于确定能吸引客户的产品类别
解决方案 一、客户需求 1.保护对象 主要使用PRO/E、CAD等机械制图工具,重点对这几种设计软件产生出来的图纸等进行安全防范。 2.效果要求 1)公司内部的重要图纸资料不会因复制、邮件等各种方式泄密出去 2)文件可以给公司外部人员修改,但不会因此被随意拷贝泄密出去 二、泄密途径分析 1)利用U盘、移动硬盘、SD卡、刻录机刻录等方式复制; 2)通过打印机打印; 3)通过P2P传输、即时通讯、电子邮件等网络方式传送; 4)网络黑客、商业间谍通过病毒、木马等非法侵入,直接传送或复制企业 涉密信息,盗卖获利; 5)在报废电脑或硬盘时,未对其中的文件进行销毁处理,导致泄密; 6)公司员工携带涉密图纸资料的电脑离职或涉密电脑外带时不慎丢失。 三、反商业泄密软件解决方案 1.设计原理 公司是一家专业从事文档加密软件的研发和服务的高技术公司,公司成立于2005年,国内知名的加密软件产品的研发供应机构。反商业泄密系统软件集文档加密、硬件管理、行为监控、日志审计、程序控制等多个功能模块于一体,为企
事业单位提供了一套安全、方便、实用、低应用成本的反商业泄密一体化解决方案。 基本设计原理就是阻断计算机文档的通用性,并保证这种通用性在内部的有效性、数据使用的方便性。 在此基础上,文档守望者要达成以下设计目标: (1)保证理想的防护效果,不能因为各种原因(内部、外部、有意、无意)而导致泄密发生; (2)万一产生泄密事件,要能够追查回溯,查出责任人,并保存相关证据; (3)不影响现有的工作模式和操作习惯; (4)不提高管理成本; (5)内部沟通没有阻碍。 2.实现原理以及设备需求 在操作系统中, I/O(输入输出)管理器负责处理所有设备的I/O操作。 I/O 管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、文件系统驱动程序等完成I/O操作,见图。
技术白皮书 苏州深信达2013年10月
目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅,隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13) 3.2能和文件共享服务器,应用服务器无缝结合 (13) 3.3安全稳定,不破坏数据 (13) 3.4使用便利,操作机密数据的同时,可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端(可以和机密端装在一起) (15) 4.2 机密端(可以和管理端装在一起) (15) 4.3 外发审核服务器(可以和管理端装在一起) (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17) 附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
电子文档防泄密整体解决方案 FileSafeGuard 电子文档防泄密系统 一、引言 伴随着社会现代化的发展,信息化的全面应用,计算机产生的电子文件作为信息交换最主要的载体得到了全面的使用,在各企事业单位中都在利用网络、USB设备等方法传递电子文件以保持着迅速、及时的沟通,不再依赖于原有的纸质文件流转方式,在得到极大的方便性的同时也使得文件信息更容易泄密,在极短暂的时间就可能造成大面积泄密。据调查,各种机密泄露30%-40%是由电子文件的泄露造成的,超过85%的安全威胁来自单位内部。防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。无线上网、移动通讯、活动硬盘在带来方便和高效的同时,却无法防止内部工作人员的无意或有意的泄漏各种电子文件信息,甚至传送给竞争者,也难以防止网络系统被截获、仿冒、侦听后造成的泄密。如何解决在各种基于计算机的信息交流活动、电子商务活动、电子政务活动中的电子文件安
全问题已经成为一个十分迫切的市场需求。 二、电子文件的安全问题 您的单位是否总是担心内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去?若泄漏是否会直接影响单位生存和发展?您的单位是否总有人员流动?原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了?现在的工作人员是否有可能将各种机密泄漏给竞争对手?工作人员离职后是否变成了单位的竞争对手? 您的单位把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不泄漏出去吗? 1、各种泄密途径,安全漏洞分析 1)、USB设备、软驱、可写光驱 现在的USB设备的使用非常普遍,USB设备的文件拷贝成为单位内部、外部交换文件最常用的方式之一,将电子文件拷贝到USB设备上,然后拷贝给内部其他工作人员或者拷贝给外单位合作人员来完成信息交换。但是拷贝的过程是不可控的,拷贝后存在泄密可能性。软驱和光驱是传统常用的计算机硬件,同样可以拷贝电子文件到软驱和可写光驱上。 针对这些硬件设备,大多数单位的做法是关闭大多数计算机的USB接口、软驱、光驱,只允许少数特权计算机可以使用,虽然如此,特权计算机还是存在泄密可能性,而且关闭硬件端口无法防止直接拆下硬盘来获取所有的文件信息。 2)、互联网发送 现在各个单位和外界的交流越来越多,互联网是必不可少的信息交换手段。 3)、互联网上传文件 互联网上传文件的方法很多,也都是泄密的途径,目前较为常用方法有: POP3Email附件方式、WebEmail附件方式、FTP方式、BT方式、QQ直传、MSN直传、Skype直传、等其他种种方式。 这些互联网操作是内部工作人员自行进行的,防火墙、防入侵等系统不会处理,所以是一个很直接、快速、隐蔽的泄密途径。 很多单位通过封锁FTP端口、封锁QQ端口、封锁发送邮件等方法来控制,但是这样仅仅
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
防泄密解决方案
一需求分析 1 总体需求 经过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个方面全面部署实施内网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对内网行为的有效审计 当前单位内缺乏对各种内网行为的系统化审计工具和流程,经过内网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业内部,与工作相关的各种内网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,可是限制不够全面,信息有可能经过以下途径被带走: ?文件可能经过USB口拷贝到U盘、移动硬盘等移动存 储介质带离公司; ?可经过3G上网卡等连接网络,把信息经过网络带走;
?可将文件经过邮件(NOTES、WEB)发送给外部人员; ?能经过打印把电子文档转换成纸质资料带走; ?…… 4 员工行为管理缺乏有效技术手段 当前公司不能从技术上规范员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不但降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 内部文件缺乏有效的安全保护机制 公司拥有大量的机密、敏感信息,关系到客户的资料,方案,投标文件、设计图纸等等,如果发生泄密情况,不但对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。因此公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不但对公司负责,更要对客户负责。 二解决方案 针对当前xxx公司的需求,如要解决,主要经过以下三个角度来实现:
D L P G P数据防泄密解 决方案 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
密级:商业秘密 文档编号: XX集团数据防泄密解决方案 技术建议书 专供 XX 集团 2013年11月2013年11月4日 尊敬的XX集团用户,您好! 赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。 赛门铁克致力于: ?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途 本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图, 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents
金融行业解决方案 概述 中国加入WTO后,国外银行业巨头最终将以国民待遇与中资商业银行在国内展开竞争,同时国内金融企业需要面对未来的业务模式: 混业、跨国、多渠道、增值及联合经营的全新挑战。新的业务模式和市场环境呼唤新的管理模式:集中管理、风险控制、客户至上、接轨国际和面向未来,新巴塞尔协议的要求和银行日趋国际化的环境,要求商业银行更加注重精确化、科学化的管理。由于金融业信息密集而不对称,信息化和风险防范是新的业务模式及管理模式成败的关键。 目前中国金融企业已有较完整的前台业务处理系统,并正在进行数据整合,但尚缺乏强大的后台支持管理系统;而这正是中国金融企业全面管理集中、全面成本控制、全面风险控制、全面客户服务和全面面向未来所必需的。从另一个角度看,中国金融企业基本上完成了或需要继续完成告别手工的电子化,下一步需要进行信息化(利用数据仓库和管理系统把数据转化为有用的信息以支持管理决策),并最终实现知识化(利用数据挖掘和管理学及金融学模型从信息中发现具有普遍意义的知识以优化管理决策)。将现代经营管理技术、财务管理技术、概率与数理统计技术、人工智能技术与计算机软件技术相结合是提高金融企业管理水平和核心竞争力的至关重要途径 金算盘软件公司凭借在企业信息化领域多年来卓有成效的研发工作经验,以及对金融行业的深入调查分析,基于先进的纯Interent技术架构,结合未来技术发展趋势和方向,推出了金算盘金融行业的解决方案(该方案着重于银行后台的全面管理),该方案具有全面性、可扩展性、可移植性、安全性、友好性和高效性等优势。
应用架构 特点 ?基于3C管理理念 因为银行等金融企业普遍采用一级法人制的垂直管理体系,所以金融行业的管理信息化必然是以大集中为其基本要求,这种要求正与金算盘提出的3C管理理念不谋而合,3C不但深度诠释了大集中的实质内涵,而且全面渗透到了金算盘金融行业解决方案中,在软件的每个细节都得到了体现。 管理大集权(Centralization) 通过金算盘的集团财务管理、全面预算管理、集团资产管理等系统,建立高效、顺畅的应用平台,实现对分子机构的集权管理与控制。 数据大集中(Concentration) 通过金算盘纯Internet架构的金融行业解决方案,可以实现总行和分子机构的全部数据集中部署,从而达到对整个集团的物流、资金流和信息流进行实时操作和控制,同时,减少由于数据分散管理带来的硬件投资和高维护成本。金算盘商业智能(BI)系统可以对集中后的海量数据进行实时分析。
数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱;
4、电脑限制使用USB口,使用时需输入密码; 5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密
2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用 时限等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、 虚拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W费用。
一需求分析 1 总体需求 通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个面全面部署实施网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对网行为的有效审计 目前单位缺乏对各种网行为的系统化审计工具和流程,通过网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业部,与工作相关的各种网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走: ?文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司; ?可通过3G上网卡等连接网络,把信息通过网络带走; ?可将文件通过(NOTES、WEB)发送给外部人员; ?能通过打印把电子文档转换成纸质资料带走; ?…… 4 员工行为管理缺乏有效技术手段 目前公司不能从技术上规员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 部文件缺乏有效的安全保护机制
公司拥有大量的机密、敏感信息,关系到客户的资料,案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。 二解决案 针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现: 2.1 上网行为管理解决案 2.1.1 用户认证 为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。 ●部用户 对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC 能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 ●无线临时用户 对于无线临时用户,通过(短信认证、微信认证)式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
安恒信息数据安全防“脱库”解决方案 1.前言 近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。 注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。 针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求:各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。 各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。 工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。 2.信息泄密的根源 2.1.透过现象看本质 2.1.1.攻击者因为利益铤而走险 攻击者为什么会冒着巨大的法律风险去获取用户信息? 2001年随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场;
公司数据防泄密方案 Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱; 4、电脑限制使用USB口,使用时需输入密码;
5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操 作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密 2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用时限 等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、虚 拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录 该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需 5-10W费用。 五、对公司数据安全的规划建议
金融行业解决方案 一、金融行业信息安全概述 金融行业信息化系统经过多年的发展建设,目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展,银行业务系统对信息技术的高度依赖,银行业网络信息安全问题也日益严重,新的安全威胁不断涌现,并且由于其数据的特殊性和重要性,更成为黑客攻击的重要对象,针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求,金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。 二、金融业安全风险及需求分析
金融行业典型网络拓扑如下,通常为一个层次化的互联广域网体系结构: 2、1金融行业风险分析 金融行业网络系统面临的风险复杂多样,既有来自外部的,也有来自内部的。可以概括为以下三个大的方面: ·组织方面的风险。缺乏统一的安全规划和安全职责部门; ·技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品,但是目前安全技术的采用是不足的,存在大量这样、那样的风险和漏洞;·管理方面的风险。安全管理有待提高,安全意识培训、安全策略和业务连续性计划都需要完善和加强; 具体风险分析如下: ·缺乏对内部用户的行为控制和行为监管,表现在对内部人员的过分信任,没有可靠的管理手段往往是出现内部高科技犯罪的开始。 ·虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理手段,
银行业数据防泄密平台 方案建议书
目录 1 项目背景概述 (4) 1.1 项目背景 (4) 1.2 企业泄密风险 (4) 1.3 数据防泄密项目背景 (5) 1.4 数据防泄密项目网络现状和信息安全需求分析 (5) 2 山丽防水墙产品介绍 (6) 3 山丽防水墙数据防泄漏系统解决方案 (7) 3.1 产品功能对透明加密管理的满足 (7) 3.2 产品功能对加密模式本地策略管理的满足 (8) 3.3 产品功能对多种加密模式管理的满足 (9) 3.4 产品功能对一文一密钥安全性管理的满足 (11) 3.5 产品功能对加密系统剪贴板管理的满足 (12) 3.6 产品功能对加密系统多种登录方式管理的满足 (12) 3.7 产品功能对出差笔记本防泄漏(加密客户端离网使用)管理的满足 (13) 3.9 产品功能对文件解密申请管理的满足 (14) 3.10 产品功能对密文明送文件外发控制管理的满足 (17) 3.12 产品功能对文件权限管理的满足 (18) 3.12.1基于用户为脚色的文档权限控制 (19) 3.12.2基于文档为角色的自定义文档权限控制 (20) 3.12.3文档权限控制的精细化管理 (21) 3.15 产品功能对基于B/S应用服务器和防水墙系统融合方案的满足 (23) 3.16 产品功能对PDM、FTP服务器和防水墙系统融合方案的满足 (23) 3.16.1产品功能和应用服务器融合的原理 (24) 3.16.2产品功能和应用服务器融合的方案 (25) 3.17 产品功能对文件交互管理的满足 (27) 3.17.1分支机构和总部的交流 (27) 3.17.2产品功能对分支机构和供应商管理的满足 (28) 3.18 产品功能对计算机外设管理的满足 (29) 3.18.1 终端外设管理范围 (29) 3.18.2外设管理在线、离线策略 (30) 3.18.3注册移动存储设备管理策略 (30) 3.18.4认证移动存储设备管理策略 (31) 3.19 产品功能对服务器灾难恢复功能的满足 (33) 3.20产品功能对审计功能的满足 (34) 3.20.1对加密文件的各种操作行为进行审计 (34) 3.20.2对加密系统各种操作行为的自动预警式审计 (35) 3.21 产品功能对系统管理功能的满足 (38) 3.21.1防水墙加密系统三员分立管理模式 (38) 3.21.2防水墙加密系统系统管理员管理模式 (39) 3.22 产品功能对安全性要求的满足 (41) 3.23 产品功能对客户端自我防护的满足 (42) 3.24 产品功能对加密客户端授权管理的满足 (42) 3.25 产品功能对客户端自动升级的满足 (42) 4 产品部署方法和部署效果 (43) 4.1 部署方法 (43) 4.2 部署效果 (43) 4.2.1 法规的遵从 (43)
金融行业解决方案 行业背景 金融行业按照客户类型划分可分为国有商业银行(政策性商业银行)、股份制商业银行(大型股份制商业银行、城市商业银行、农村信用社等)、证券、基金、期货、保险等,近年来为加强金融行业信息科技风险管理,各行业监管机构相继出台了针对信息科技安全的相关政策法规,如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》和《保险公司信息化管理工作指引》,可以看出目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方面的投入力度。 行业现状 金融行业客户出于信息业务安全和维护等多方面考虑,一般都会自己搭建数据中心,因此随着银行、证券行业业务量火热发展,信息安全风险也随之增大,业务访问效率同时也变成了网络和应用管理员最头疼的话题。 商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统等;证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等;保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题,因此我们的方案主要针对以上各个方面。 建议网络架构
下载后可见 移动办公接入(SSLVPN网关): 客户为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。 服务器负载均衡、应用优化(本地流量管理器): 由于网上交易系统都采用SSL 加密的方式,对于如何卸载服务器在处理SSL 加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL 加速,卸载服务器处理SSL 加解密的压力。在站点之内,负载均衡产品能够同时对Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。 各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统): 客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修
数据防泄漏解决方案 - - - Array & VMware 整体解决方案 一、前言 您是否遇到过这样的问题? 1、您公司的某个员工在出差时,不慎把笔记本电脑丢失。电脑并不值多少钱,但电脑中的数据万一被竞争对手获得,后果将不堪设想。 2、某个对公司不满的员工将电脑中的数据复制并故意泄漏。 3、员工的电脑中了恶意木马,在不知情的情况下,电脑中的机密信息不幸被泄露。 此时您该怎么办? 难道您要放弃网络给大家带来的便利,要把公司的电脑全部都锁到保险柜中,让员工只能在办公室摄像头的监控下工作吗? 只要您拥有Array & VMware数据防泄漏解决方案,企业机密信息仅在VMware的虚拟机中运行,并且只能通过Array的SSL VPN加密隧道的方式传输到公司数据中心,这样您就能轻松保护企业的数据安全了。 Array & VMware 数据防泄漏解决方案让一切变得都这么简单! 二、企业数据风险分析 当今企业在迅猛发展的同时,企业的机密数据存在如下风险: 风险1,用户故意将电脑中的数据拷贝泄漏。 风险2,用户上网时,恶意木马窃取了电脑中的机密信息。 风险3,用户电脑丢失而导致的数据泄漏。 风险4,。。。。 如何解决移动办公和数据安全之间的矛盾?如何保证企业机密数据在个人PC中的安全?很多企业采用了严格的内、外网隔离的管理方式,试图用管理方式来解决现实中面临的数据泄漏方面的风险。 内外网隔离的管理方式,虽然可以解决数据防泄漏的问题,但是,它一方面要求客户建
设两套完全不同的网络,增加了客户的投资。另一方面又无法解决用户同时使用两套网络的灵活性。 是否能通过技术手段来解决机密数据隔离的问题?是否可以构建一个安全虚拟网络来代替物理的内外网分离方式,让机密的数据只能在安全虚拟的网络环境中运行? 请看Array & VMware 数据防泄漏整体解决方案! 三、Array & VMware 数据防泄漏解决方案 Physical PC ACE Management Server Physical PC VMware ACE Remote User 如上图所示,物理机用于处理日常非机密类的流量,而物理机上的虚拟机则用于处理机密的业务类数据流。 虚拟机与物理机的通信隔离,保证虚拟机中数据在本地不被窃取。且虚拟机是加密方式存储的,即使电脑丢失,也可保证虚拟机中的数据不被破解泄漏。 在虚拟机上,启动L3 功能与企业数据中心的Array SSL VPN 建立一条full tunnel,并且虚拟机上的安全策略,只允许与SPX 通信,保证虚拟机联网时的数据不被恶意木马窃取。 通过以上技术手段,我们可以利用VMware 虚拟机,实现数据在同一物理介质上的安全隔离,利用Array SSL VPN 的full tunnel,构建一个安全的虚拟专用网络。保证数据在传输时的安全。从而通过技术手段实现了非业务流量与业务流量的隔离。
密级:商业秘密 文档编号: XX集团数据防泄密解决方案 技术建议书 专供 XX集团 2013年11月2013年11月4日 尊敬的XX集团用户,您好! 赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。 赛门铁克致力于: ?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途 本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图, 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents 1 概述.......................................................................................................................................................... 1.1项目背景 ........................................................................................................................................... 1.2 XX集团信息安全项目目标............................................................................................................. 1.3 术语解释........................................................................................................................................... 2XX集团信息安全项目需求及实现......................................................................................................... 2.1 XX集团信息安全涉密信息分级控管需求与实现......................................................................... 2.1.1分阶段推进方法 ........................................................................................................................ 2.1.2 管理要求建议 ............................................................................................................................ 2.1.3 人员岗位建议 ............................................................................................................................ 2.1.3 管理流程建议 ...........................................................................................................................