当前位置:文档之家› 防泄密--思智ERM系统701解决方案

防泄密--思智ERM系统701解决方案

防泄密--思智ERM系统701解决方案
防泄密--思智ERM系统701解决方案

思智ERM解决方案

(701)

公司名称:北京思智泰克技术有限公司

公司地址:北京市海淀区上地信息路2号D栋602-606室

邮政编码: 100085

公司网址:https://www.doczj.com/doc/df11532046.html,

联系电话: +86 (10) 82896015/16/17

传真: +86 (10) 82896011转127

目录

一、系统开发背景 (1)

1.1安全重点由外到内的转变 (1)

1.2信息泄露事件愈演愈烈 (2)

1.3机密信息管理薄弱 (3)

1.4企业需要建立数据安全管理 (4)

二、企业需求分析 (5)

三、思智ERM系统组成及设计 (6)

3.1 系统组成 (6)

3.2 解决问题 (7)

3.3 实施方案 (9)

四、设计及技术特点 (12)

4.1 C/S+B/S的体系架构 (12)

4.2 SSF的服务器架构 (13)

4.3分级管理架构 (14)

4.4驱动级透明加解密技术 (14)

4.5剪贴板防护技术 (15)

4.6用户身份认证技术 (16)

4.7软件开发质量保障体系 (16)

4.8多种技术保障系统健壮性 (17)

五、系统性能 (17)

5.1兼容性 (17)

5.2安全性 (17)

5.3稳定性 (18)

5.4兼容性 (18)

5.5可维护性 (18)

5.6可移动性 (19)

5.7可重组性 (19)

5.8可管理性 (19)

六、技术支持及售后服务 (20)

6.1支持及服务内容 (20)

6.2产品质量保证 (20)

附录:思智泰克介绍 (21)

北京思智泰克技术有限公司介绍 (21)

典型成功客户 (21)

资质列表 (22)

一、系统开发背景

1.1安全重点由外到内的转变

为了实现企业内部的机密数据文件信息的安全管理,通过设置防火墙,入侵检测,防病毒软件等手段,对来自于外部网络的攻击和入侵做到了有效的防御。但是,传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏,对于企业网络内部的信息泄漏(如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等),却没有引起足够的重视。

据2006年CSI调查显示,在所有的安全技术应用中,以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。

通过这一调查,我们可以看到数据加密技术正在成为传统安全技术—防病毒、防火墙、VPN、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化,我们可以看到针对于机密信息的安全保

护正在成为更多企业的新关注方向。

因此,信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比,这种来自内部的恶意泄露更具有针对性,隐蔽性,给企业造成的损失也更大。

1.2信息泄露事件愈演愈烈

据CSI调查显示,2006年,内部安全事件所占比率为68%。2007年这一数据依然保持,为64%。

2007年,由于内部人员窃取机密信息所造成的经济损失累计为1515万美元,2006年的这一数据为2329万美元。这一数据的变化说明越来越多的企业开始重视企业内部的机密数据安全。同时,财务数据的安全性问题日益涌现。对于财务数据来讲,安全和连续性是最为重要的因素。

企业信息安全已不再单属于技术专家、情报局及学术机构所关注的问题。企业中机密的数据信息的泄漏已经严重影响了企业正常的业务流程。一次数据泄漏事件会严重损失公司的声誉,甚至导致无法预知的成本损失。

1.3机密信息管理薄弱

企业的核心机密数据就是影响企业发展的关键数据信息。企业通常都有自己的数据安全管理制度和管理流程,但公司在具体执行管理制度和流程中,策略的执行和监控等多个方面存在很大的缺陷。高级员工的联系方式及工资待遇、技术部门的设计数据、企业信息化数据、公司的服务操作流程、规章制度等信息的泄漏,都会对企业造成意想不到的损失。而且,大多公司的业务流程已不再是狭窄孤立的,而是非常具有动态性,协作性和广泛性的合作过程。例如:在企业的日常办公过程中,可能需要公司内外的人员通过电子邮件、演示文稿、电子表格或文档的形式来共享机密文件等信息,当然每个人都担任不同的角色,

从而对机密数据也就有不同的访问和使用权限。这种信息的公开性就给数据的泄漏造成了巨大的威胁,但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下,采取积极的措施深刻理解和解决机密文件信息流失的问题。虽然防火墙、访问控制、网关过滤等技术,能够控制用户准许或拒绝访问机密数据。但这些技术对用户不能提供更加细分化的策略权限控制,也就是说它们不能限定用户具体的使用权限。因此,这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。

1.4企业需要建立数据安全管理

在2006年,国内《信息安全等级保护管理办法》,美国《萨班斯—奥克斯利法案》的正式实施对于信息安全产业产生了标志性的影响。这两部法规都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。作为国家“十一五”计划的开局,2007年将是国家各机关部委及企事业单位规划五年发展计划的关键时间,又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行,无论从产业发展阶段、国家政策、外部环境来看,还是借鉴国外的发展规律,都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。

思智泰克在这样的大环境下,把握当前信息安全产业的形势,从关注用户的业务安全需求出发,借助千载难逢的发展机会,通过整合自身数据加密技术、数据生命周期管理技术等方面的优势,定位于以数据信息本身的安全保护和应用权限管理为核心,以文件安全策略管理、文件审批流程管理、日志和审计管理、文件自动备份管理为主要组成部分,构建了一个安全、高效、智能化的企业应用办公环境——思智ERM系列产品,从而实现了企业数据信息的完整安全保护和权限管理,实现了企业数据安全管理的新安全!

二、企业需求分析

思智泰克安全专家通过对企业文件安全管理的需求分析,以及对国内外众多典型企业在各自领域内对信息安全的需求整理,结合多年的研发经验总结出企业文件安全管理存在几乎相同的产品需求:需要集数据的强安全保护、文件权限灵活可控、管理权限的灵活分级管理、实时的文件备份、完善的日志管理、极强的易用性、高适应的兼容性于一体的解决方案。

数据强安全保护:所有企业控制的机密文件在创建、存储、应用、传输等环节中均以加密形式存在,杜绝使用黑客等工具的窃取,即使窃取也无法使用。不同于平常的加解密技术,强制自动加密企业中的机密文件。加密支持常用的文件格式。使企业关心的、易泄露的机密文件,自动并强制加密。只有通过合法身份认证的用户才能够正常使用,从而防止用户对机密文件的拷贝、复制\粘贴、打印、传输等非法操作。

文件权限灵活可控:可以控制企业中机密文件信息的访问权限,对于设置了访问权限的文件,企业员工只能在自己业务范围内,并在有权限许可的情况下使用该文件,且只具有相匹配的应用权限,无法访问权限以外的机密文件。文件权限可以细化,不同组不同用户权限不同、软件可以防止卸载。

管理权限的灵活分级管理:根据企业实际的组织结构和管理制度,可以由管理员设置不同级别的分级管理员的权限及对应的管理者,方便企业在实际管理过程中的灵活设置和应用。

实时的文件备份:拥有实时的文件备份功能,以便管理员在系统故障或者服务器崩溃的情况下,能够保证企业机密文件信息的安全备份,并能够恢复,使文件正常使用。同时能够由企业设置需要备份的文件类型,备份需要备份的文件格式。机密文件备份到文件服务器之后,可以由文件管理员在文件备份服务器上进行管理,而且,所有上传到文件服务器上的文件都是加密存储。

完善的日志管理:拥有完善的日志记录功能,帮助管理人员及时了解系统运行的各种状况及受保护文件的安全生命周期。记录客户端启动、关闭等行为,同时对客户端所有关于文件的操作进行详细的记录,包括:文件新建、打开、

关闭、文件复制、重命名、删除、共享等行为。系统管理员可以对日志进行归档,可以方便的搜索和查看日志信息,支持日志信息导出。

极强的易用性:系统安装、卸载简单、快捷,操作方便。不改变用户使用习惯。支持扩展、升级。系统服务故障紧急处理快速、可靠。

高适应的兼容性:支持复杂的网络应用环境。支持多种操作系统。灵活与其他系统结合应用。与主流杀毒软件无冲突。

三、思智ERM系统组成及设计

3.1 系统组成

思智ERM文件安全管理子系统由服务器、控制台、客户端三部分组成。思智ERM系统服务器端与客户端以C/S结构工作,控制台即对系统的管理是以B/S方式工作。见下图所示系统结构示意图:

●服务器

服务器是该ERM系统运行的基础。服务器主要包括认证服务、文件自动备份服务、负载均衡服务、升级服务四部分服务。

●控制台

为了实现集中统一管理的目的,思智ERM系统采用集中化的管理方式和基于角色的权限管理体系,是整个系统管理和维护的平台,是客户端与服务器连接的桥梁。

控制台可以完成客户端管理、机构用户管理、策略配置、策略应用、服务

器远程管理、日志审计管理、文件访问权限管理、文件安全审批管理、文件备份管理、消息管理、系统设置的配置及维护的工作。

●客户端

客户端软件以身份认证技术、驱动级透明加解密技术、剪贴板保护技术和文档权限控制技术为核心,通过执行控制台各角色管理者制定的各种安全管理策略,实现对本地机密文件的安全管理,为企业员工提供易用、稳定、安全的安全信息终端。为企业用户提供易用、稳定、安全的安全信息终端。

3.2 解决问题

“思智ERM文件安全管理子系统”全面整合了网络访问控制、强身份认证、数据通讯机密性、数据存贮机密性、数据使用可控性等多项先进的信息安全技术,为企业用户开发的全新的电子文档安全管理解决方案。系统通过采用DLM(Data Lifecycle Management)数据生命周期管理技术,可以确保企业的数据信息从初期生成、分发使用、编辑、直到最终数据被删除等生命周期的安全性,数据无论是在企业内部网络中,还是在企业外部,均可防止泄密和窃密事件的发生。换句话说,通过应用“思智ERM文件安全管理子系统”企业不但可以确保数据信息的安全性,可以将数据资源的应用权限进行全面的细分管理和分配,企业中获得数据信息的一般用户将不在拥有完全的权限,而只将拥有在规定时间内完成某一项特定工作所需的数据信息使用权。

1. 实现企业内部数据的强安全保护

企业控制的机密文件在创建、存储、应用、传输等环节中均以加密形式存在,杜绝使用黑客等工具的窃取,即使窃取也无法使用。

思智采用驱动级的强制自动加密技术,将企业关心的、易泄露的机密文件加密保护。

加密文件保护支持常用文件格式。

只有通过合法身份认证的用户才能够正常使用企业加密的文件,从而防止用户对机密文件的拷贝、复制\粘贴、打印、传输等非法操作。

在对文件实行透明加密保护的基础上,提供对剪贴板保护功能。系统将受透明加解密保护应用程序作为受信进程,其它应用程序作为不受信进程,受信进程内及受信进程之间的基于快捷键、鼠标右键、拖拽操作等各种方式进行的拷贝、剪贴操作,将不受任何限制;对从不受信进程到受信进程的拷贝、剪贴操作也不受限制;但系统禁止任何方式的从受信进程到不受信进程的拷贝、剪贴操作。

2. 实现企业机密文件的权限的灵活可控

细粒度控制企业机密数字文件信息的访问权限

企业只能在权限权限范围内使用文件,且只具有相匹配的应用权限,无法访问权限以外的机密文件。

文件权限可以细化,不同组不同用户权限不同、软件可以防止卸载。

3. 离线文件的安全使用管理

提供一系列离线策略。客户端支持用户离线使用加密文档,通过控制台可以按组或用户设定文件的离线使用权限。

只能在离线策略允许范围内访问文件。在拥有“离线打开自己的加密文件”

和是否能够“离线打开共享的加密文件”的情况下,管理员可以设置用户离线打开加密文件的时间,超出设置的时间,则无法离线访问加密的文件。 离线策略脚本生成器。当员工带笔记本外出办公,规定员工某一时间使用受保护的文件,但是在规定的时间内没有完成工作,这时可以通过离线策略脚本生成功能对离线客户端定制新的策略下发。

离线文件权限安全使用。结合驱动级透明加密策略,在用户离线状态下,可以将文件的共享,并设置共享文件的使用权限,然后通过常用的文件传输工具QQ、MSN等,使用企业的机密文件。

4. 企业机密文件实时备份

管理员在客户端系统故障或者服务器崩溃的情况下,保证企业机密文件信

息的安全备份,并能够恢复,使文件正常使用。

能够由企业设置需要备份的机密文件类型,备份需要备份的文件格式。

机密文件备份到文件服务器之后,可以由文件管理员在文件备份服务器上进行管理。

所有上传到文件服务器上的文件都是加密存储。

5. 完善的日志管理

帮助管理人员及时了解系统运行的各种状况及受保护文件的安全生命周期。

记录客户端启动、关闭等行为。

对客户端所有关于文件的操作进行详细的记录,包括:文件新建、打开、关闭、文件复制、重命名、删除、共享等行为。

系统管理员可以对日志进行归档,可以方便的搜索和查看日志信息,支持日志信息导出。

3.3 实施方案

通过以上对企业的实际需求分析,管理员需要通过以下部署应用来满足其安全需求:

1. “内网环境下机密AutoCad图纸文件、Office系列文件安全保护”需

求部署应用过程:

1) 根据企业信息安全管理者关心的AutoCad图纸文件格式,系统管理员

通过系统控制台提供的策略库,定义“AutoCad系列透明加密”策略

和“Office系列透明加密”策略,在策略中添加AutoCad图纸文件格

式和Office系列文件格式,这样应用该策略的所有员工,只要操作在

本策略定义范围内的AutoCad图纸文件格式和Office系列文件格式,

AutoCad图纸文件和Office系列文件就强制被自动加密。该策略应用

之后,对受保护的AutoCad图纸文件和Office系列文件的应用效果见

下图所示:

2) 作为防止用户主动泄密的重要环节,思智ERM系统提供了剪贴板保护

功能。系统将受透明加解密模块保护的AutoCad、Office文件的应用

进程作为受信进程,其它应用程序作为不受信进程:在受信的AutoCad

进程、Office应用进程之间,基于快捷键、鼠标右键、拖拽操作等各种

方式进行的拷贝、剪贴操作,将不受任何限制;对从不受信进程到受

信AutoCad进程、Office进程的拷贝、剪贴操作也不受限制;但系统

禁止任何方式的从AutoCad、Office受信进程到不受信进程的拷贝、

剪贴操作。

2. “离线环境下机密AutoCad图纸文件、Office系列文件安全管理”需

求部署应用过程:

根据企业实际的业务流程和工作习惯,思智ERM企业数据安全解决方案提供了灵活的离线文件的安全使用策略。具体离线设置和应用如下:

1) 安装思智ERM系统的用户即使离线也能够安全使用企业的加密文件。

通过控制台设定文件的离线使用策略来保护离线使用文件的安全:

“离线打开自己的密文”

“离线打开共享给自己的密文”

“离线打开文件的日期和时间限制”。

这样即使出差在外的员工,或者在企业以外办公的员工,都能够访问笔记本上受企业保护的机密文件。同时能够保证这些离线员工访问企业的文件安全,不会在企业内网之外,把企业的机密文件泄露,从而保证离线文件的访问安全。

2) 安装思智ERM系统的用户可以根据实际用户在离线状态下使用企业

机密文件的变化,通过离线“策略脚本”功能,及时更新用户的离线应用策略,既保证离线文件的安全,又不影响离线文件的使用。例如,某用户临时出差,没有相关离线访问文件的策略,但在出差时需要查看笔记本上企业的加密文件,这时,只要通过管理员从控制台导出离线时需要使用的“策略脚本”文件.ses,然后传给该客户,客户在机器上导入“策略脚本”,这样本机的离线策略就更新了,也就可以离线时使用企业加密文件。

3) 在保证离线文件安全使用的同时,系统还提供了“离线状态文件安全

共享及权限控制”。

在线用户如果需要给离线用户共享文件,可以使用“脱机授权”功能,操作完全同两个用户都在线一样的文件共享操作。

受加密保护的文件,在互相共享时支持内部原有的共享方式。例如通过windows共享、即时通讯工具、邮件等方式共享不改变,只是

添加更细粒度的文件权限设置。

在拥有“离线打开自己的加密文件”和是否能够“离线打开共享的加密文件”的情况下,管理员还可以设置用户离线打开加密文件的

时间,即“离线打开文件时间”策略,超出设置的时间,则无法离

线访问加密文件。

离线“脱机授权”可设置允许离线打开的文件权限。权限包括“只读”、“可打印”、“可复制”、“完全控制”、“访问时效”等,这样将

会生成一个脱机文件夹,该文件夹中的脱机文件可共享给离线用

户。离线用户拿到该文件夹之后,可以通过客户端提供的“解开脱

机共享文件”,这样文件就可以按照设置的访问权限进行访问。同

时在线之后,出于对加密文件的安全日志和审计管理,所有脱机的

操作以及权限信息,都会上传到服务器上,以便日志管理员的审计

工作。

同时,有离线文件访问权限的员工,也无法通过邮件附件形式、QQ、MSN等及时聊天工具对受控文件及其内容进行传输,即便传输,

文件也是加密的形式,无法阅读文件内容,不会在离线时把文件泄

露。

3. 文件权限集中授权管理需求部署应用

针对企业具体业务以及文件应用情况,可以通过部署以下三种策略来实现其具体需求:

1) 公司所有文件由统一的文件管理者进行文件集中授权管理——需要在

控制台,给指定的文件管理者下发“授权所有文件”策略。这样,该

文件管理者则能够对其他员工的文件进行集中授权管理。只要事先把

需要授权的文件通过任何文件传输方式,发送给文件管理者即可。

2) 部门内文件由部门指定的文件管理者进行集中授权管理——需要在控

制台,给指定的部门文件管理者下发“授权同组文件”策略。这样,

该部门文件管理者则能够对本部门内其他员工的文件进行集中授权管

理。也需要事先把需要授权的文件通过任何文件传输方式,发送给部

门的文件管理者。

3) 员工自己控制文件的授权管理——需要在控制台,给指定特殊岗位员

工下发“授权自己文件”策略。这样,该员工可以对自己所有的文件

进行授权管理。

四、设计及技术特点

4.1 C/S+B/S的体系架构

思智泰克企业级安全管理解决方案采用了C/S+B/S的结构设计,管理员在内网中任意一台可以连接服务器的机器上,即可以完成统一的浏览器界面操作,进行企业的管理工作,方便相关管理人员使用。设计风格上以“简洁方便”为宗旨,操作界面完全从用户角度出发,减少获取信息的操作层次。本系统界面友好、美观,操作方便。在颜色、字体、标题、操作提示信息等均采用了标准化、统一化的风格,降低了对使用者计算机知识的要求,易学易用。考虑到企业安全需求的变化性,本系统在设计上考虑到最小的修改来满足企业在安全上

的要求。整体上,系统采用了模块化的设计,新的模块可以进行便捷地动态加载,扩展非常方便。系统客户端安装可以采用远程推送+本地安装+域脚本安装,多种安装方式可以灵活选择并组合使用,更大程度上提高了管理效率。

思智泰克企业级安全管理解决方案的总体设计充分考虑了各类企业各种不同的实际需求和安全策略,并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想,使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。同时在系统设计中使用可扩展的设计方式,为系统将来的扩展提供了一个良好的基础。

4.2 SSF的服务器架构

思智泰克企业级安全管理解决方案服务器采用级SSF(Scalable Service Framework可扩展服务框架)技术,能够实现可靠的且易于扩展的服务器框架,包括可动态规划的主框架、底层通信、内存管理、自定义协议的处理。思智SSF 服务器设计具有以下特点:

可重用性:思智SSF服务器把功能与功能之间相互独立,降低各服务之间的偶合性,提高各功能代码的可重用性,减少开发新功能的重复工作。

稳定性:思智SSF采用相对独立的组件实现每个服务要素,所有功能都可以从框架中单独的剥离出来进行单元测试,有利于开发自动化测试工具来加快问题排查的速度。

可配置性:思智SSF引用先有解决方案后有具体功能的思想,整个服务器框架的初始化模块,根据配置脚本动态生成,方便不同的部署环境配置不同的解决方案。

可扩展性:因为思智SSF组件对外开放功能是以接口的形式实现的,每个接口具体实现对于模块之外是透明的,外部只需要知道以固定方式调用所需接口就能实现其功能,而被引用模块的具体行为外部模块并不关心,这样更易于扩展。

可靠性:思智SSF的实现能够减少对已稳定阶段性成果进行修改,减少因为版本不兼容、偶合性问题等等所带来的不稳定因数。

4.3分级管理架构

思智泰克企业级安全管理解决方案采用了分级管理的结构设计,可以根据企业的实际组织结构以及企业安全管理规章制度,建立不同级别的分级管理员。

1. 超级管理员可以根据企业组织结构管理,建立不同级别的分级管理员,

即部门管理员。

2. 系统对不同分级管理员,默认有对应的权限。

3. 超级管理员可以改变各管理员对应权限。

4. 各级管理员登录控制台的菜单及功能由设置的对应管理员权限决定。4.4驱动级透明加解密技术

思智泰克企业级安全管理解决方案采用了驱动级透明加解密技术,以下为技术示意图:

对于某类受控制的应用程序保存的文件,在从内存写入硬盘前,都将自动进行加密。

对于使用受控制应用程序打开的文件,读入内存前,首先进行身份认证及权限判定,对合法访问的用户自动进行解密。

驱动级透明加解密应用,不会改变用户文件默认打开方式,当用户选择使用特定的应用程序打开密文时,如该程序也属于受保护程序范围内,

在通过权限验证后,系统也将自动解密,否则将不会自动进行解密操作。

文件透明加密过程不改变文件本身的格式和文件管理原有的操作方式。

用户在对文件进行安全保护的过程中,不改变文件本身的格式。用户在

使用加密文件的过程中,也无需安装特殊的文件阅读器,只需要安装有

思智ERM系统的客户端程序。同时按照文件原有的使用习惯,打开和

操作加密后的文件即可,所有的操作实现透明化。

整个驱动级透明加解密过程安全、简便、快捷,不会生成任何可能泄密的临时文件,对用户的操作也不会产生任何影响。

当用户被应用强制加解密策略之后,被加密保护的文件操作可以像操作普通文件一样,文件的加解密转换完全在系统后台完成。

在任何存储介质中,被加密过的文件将始终保持加密格式,只有授权用户才能进行解密和应用。

驱动级透明加解密技术比应用级透明加解密技术工作效率更高、独立性更好、安全性更强。同时由于其涉及操作系统底层驱动编程技术,技术难度也更大,目前国内只有极个别信息安全企业拥有完整的该项技术。

4.5剪贴板防护技术

作为防止用户主动泄密的重要环节,思智ERM文件安全管理系统采用了剪贴板保护技术。系统将受透明加解密模块保护的应用程序作为受信进程,其它应用程序作为不受信进程,受信进程内及受信进程之间,基于快捷键、鼠标右键、拖拽操作等各种方式进行的拷贝、剪贴操作,将不受任何限制;对从不受信进程到受信进程的拷贝、剪贴操作也不受限制;但系统禁止任何方式的从受信进程到不受信进程的拷贝、剪贴操作。

见下图所示:

4.6用户身份认证技术

对用户身份认证是企业级安全系统建设的基础。只有首先区分出哪些用户是经过授权的,并且只允许经过授权的用户登录内部网络和访问关键的数据信息,才能做到企业级文件安全系统的安全性。如果不对用户身份进行安全认证,对任何人都开放权限的话,那么企业和机构将面临巨大的安全威胁和风险。

“思智ERM文件安全管理系统”采用了身份认证技术,系统支持“一次一密”认证,并能够支持结合USB电子锁、智能卡、指纹、声纹、虹膜等多种先进的终端用户信息认证方式。经过身份认证后,企业可以确保只有被授权的用户可以进入内部网络,使用内部网络的资源(企业可以确保只有被授权的用户可以打开和使用本地以及网络中的加密文件)。在内部网络的结构中,计算机终端既是主要的组成部分,也是进入内部网络的入口。所以,我们在对内部文件进行安全管理的同时,首先要做的就是加强对终端登录的安全管理和控制。企业中的用户只有经过合法身份认证,才能进入企业内部网络访问企业的内部(加密)文件,从而有效避免企业机密文件泄密事件的发生。

4.7软件开发质量保障体系

思智泰克的软件开发过程参照ISO软件质量保证与评估体系标准,基于国内外先进开发管理方法,借鉴众多软件企业开发项目管理的实践经验,同时体现并蕴含现代软件工程管理理念、动态的项目组织管理、过程控制的软件质量管理、过程控制的项目成本管理的思想。在最大程度上保证了项目的质量控制。

4.8多种技术保障系统健壮性

系统采用“远程推送”技术,系统管理员在部署过程中,只需要在控制台机器上远程安装,即可以快速完成系统部署及便捷地配置用户的

组织结构。所有部门变更、用户删除和用户恢复操作均可轻松完成。

思智ERM系统通过进程监控、进程守护、注册表保护、时间同步、定时与服务器通讯、程序完整性检测等方式,确保客户端系统自身的安

全。

考虑到用户机器的环境多样性,思智ERM系统能够与主流杀毒软件(瑞星、江民、卡巴斯基、诺顿)、防火墙软件、财务系统、OA系统

等应用系统保持兼容。

五、系统性能

5.1兼容性

思智企业级安全管理解决方案支持WINDOWS的各类系统。同时可访问各种大型关系数据管理系统,如MYSQL、ORACLE、SYBASE、DB2、SQL SERVER等,实现各类系统和数据库之间的信息交换。

5.2安全性

思智企业级安全管理解决方案运用了PKI安全认证技术解决系统中所涉及的授权问题、加密问题。系统整个架构可以容纳各种安全协议,适应系统结构的各种变化。同时系统中的安全管理模块可帮助各级企业,根据各部门的不同权限,设置严密的文件安全策略,保证机密文件及数据的使用安全。其次,为了满足不同企业对安全的不同要求,在身份认证方面支持USB电子锁、智能卡、指纹、声纹、虹膜等多种先进的终端用户信息认证方式。另外,作为信息安全产品,从传输通道安全-密钥不能被截获、本地安全-不能被轻易破解、备份

文件安全-即使系统管理员也不能随意查看等各个环节都体现着系统的安全性。

5.3稳定性

在思智企业级安全管理解决方案的设计和实现中,我们推行按照软件工程标准体系和ISO9001的软件质量标准体系、软件能力成熟度模型CMM来进行产品开发和实施过程,确保系统的标准化。同时基于在信息安全方面的丰富经验,设计中本系统采用模块化设计,可以根据企业的实际需求增加或减少模块。无论用户的需求发生何种变化,本系统都能够根据变化后的实际需求对系统进行调整,以适应新的企业管理流程。提高企业的信息化安全管理水平,帮助企业领导者借助计算机管理工具及先进的手段来提高企业的安全级别,同时也给系统的稳定性提供了良好的运行机制。

5.4兼容性

支持复杂网络应用环境

支持主流操作系统

灵活与其他系统结合应用

与主流杀毒软件无冲突

支持跨网段网络环境

支持域管理的管理方式

支持VPN的网络连接方式

办公OA系统结合应用

与财务系统结合应用

5.5可维护性

思智企业级安全管理解决方案基于企业的管理流程,支持管理流程的灵活定制,能够对不同的业务系统与模块进行整合,统一管理、调度。此外,本系

校园网络安全防护解决方案

校园网安全防护解决方案

提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.doczj.com/doc/df11532046.html,
2

职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.doczj.com/doc/df11532046.html,
3

挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.doczj.com/doc/df11532046.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!

挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.doczj.com/doc/df11532046.html,
5

手机是如何泄密个人隐私的

手机是如何泄密个人隐私的 当前,手机已经成为人们现代生活的必备品之一。手机的私密性使得用户在手机上的信息与自身利益密切相关。手机一旦遭受恶意软件、病毒的侵袭,就会妨碍机主的使用,容易泄露个人隐私,损害用户经济利益,严重的甚至危害国家安全。手机如何防偷窥、防泄密的问题,越来越受到人们重视。 手机泄露个人隐私的途径五花八门 据统计,截至2015年4月,我国共有手机用户12.93亿户,不少人还拥有两部以上手机,每年全国淘汰和废弃的手机就有约1亿部。网民中用手机接入互联网的用户占比接近80%,超过了台式电脑,手机已经成为我国网民的第一大上网终端。 与此同时,近年来我国手机遭到恶意软件攻击的数量也不断攀升,隐私泄露已经司空见惯。这些信息主要包括个人位置信息、通信信息、账号密码信息、存储文件信息等四大类。 那么,手机是如何泄露这些信息的?第一,是因为应用程序本身不完善。这其中最突出的就是Android(安卓)系统。有关研究显示,Android系统已经成为恶意软件的重点感染对象,国内市场中近六成的Android应用程序有问题,约有四分之一的安卓用户隐私遭到泄露威胁。

有专家表示,其主要原因就在于Android是开源的,软件用户有自由使用和接触源代码的权利,可自行对软件进行修改、复制及再分发,直接进行信息交换。有些用户还会自己对系统进行破解,并获取权限。这些都是造成Android平台泄露个人信息的重要原因。一些山寨手机甚至还留有后门程序,固化窃听软件,并通过远程遥控使手机话筒在用户不知情的情况下开启,把手机变成一个窃听器,造成个人隐私泄露。第二是软件监管不力。目前,国内Android市场用户获取软件的途径不一,难免鱼龙混杂。Android软件二次开发者本身也比较混乱。加之软件上线审核和监管不严格,开发者会有意无意滥用权限,在软件中加入某些获取用户信息的功能,造成泄密。比如一款游戏APP,居然要访问用户的通讯录和通话记录,甚至地理位置信息,而这些并不是软件所需要的权限,这就使大量用户隐私面临泄露风险。 第三是未能妥善处理旧手机。在处置不用的旧手机时,很多用户没有彻底删除相关信息,或者只是采取了简单的删除、格式化等方式。无论这些旧手机被转送给亲朋好友,还是转卖到二手市场,被删除的信息完全可以通过数据恢复工具还原,使旧手机上个人信息存在泄露的隐患。目前,不法分子和敌对情报机构已经把触角伸向二手手机交易市场,利用数据恢复技术搜集整理情报信息已经成为不法分子非法获取信息的新方式。此外,如果手机意外丢失或被盗,其存储的

校园网安全防护解决方案

校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会

数据泄露防护解决方案

数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。

具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;

手机是如何泄密的

手机是如何泄密的 朱剑斌李伟《中国青年报》( 2015年07月20日 09 版)当前,手机已经成为人们现代生活的必备品之一。手机的私密性使得用户在手机上的信息与自身利益密切相关。手机一旦遭受恶意软件、病毒的侵袭,就会妨碍机主的使用,容易泄露个人隐私,损害用户经济利益,严重的甚至危害国家安全。手机如何防偷窥、防泄密的问题,越来越受到人们重视。 手机泄露个人隐私的途径五花八门 据统计,截至2015年4月,我国共有手机用户12.93亿户,不少人还拥有两部以上手机,每年全国淘汰和废弃的手机就有约1亿部。网民中用手机接入互联网的用户占比接近80%,超过了台式电脑,手机已经成为我国网民的第一大上网终端。 与此同时,近年来我国手机遭到恶意软件攻击的数量也不断攀升,隐私泄露已经司空见惯。这些信息主要包括个人位置信息、通信信息、账号密码信息、存储文件信息等四大类。 那么,手机是如何泄露这些信息的?第一,是因为应用程序本身不完善。这其中最突出的就是Android(安卓)系统。有关研究显示,Android系统已经成为恶意软件的重点感染对象,国内市场中近六成的Android应用程序有问题,约有四分之一的安卓用户隐私遭到泄露威胁。 有专家表示,其主要原因就在于Android是开源的,软件用户有自由使用和接触源代码的权利,可自行对软件进行修改、复制及再分发,直接进行信息交换。有些用户还会自己对系统进行破解,并获取权限。这些都是造成Android 平台泄露个人信息的重要原因。一些山寨手机甚至还留有后门程序,固化窃听软

件,并通过远程遥控使手机话筒在用户不知情的情况下开启,把手机变成一个窃听器,造成个人隐私泄露。 第二是软件监管不力。目前,国内Android市场用户获取软件的途径不一,难免鱼龙混杂。Android软件二次开发者本身也比较混乱。加之软件上线审核和监管不严格,开发者会有意无意滥用权限,在软件中加入某些获取用户信息的功能,造成泄密。比如一款游戏APP,居然要访问用户的通讯录和通话记录,甚至地理位置信息,而这些并不是软件所需要的权限,这就使大量用户隐私面临泄露风险。 第三是未能妥善处理旧手机。在处置不用的旧手机时,很多用户没有彻底删除相关信息,或者只是采取了简单的删除、格式化等方式。无论这些旧手机被转送给亲朋好友,还是转卖到二手市场,被删除的信息完全可以通过数据恢复工具还原,使旧手机上个人信息存在泄露的隐患。目前,不法分子和敌对情报机构已经把触角伸向二手手机交易市场,利用数据恢复技术搜集整理情报信息已经成为不法分子非法获取信息的新方式。此外,如果手机意外丢失或被盗,其存储的敏感信息更易泄露。 第四,通过侦听定位设备截获信息。目前,针对手机通信的各种侦听设备层出不穷,性能不断提高。特别是使用WIFI时,由于个人信息在互联网传输过程中需要经过传输的路由,如果路由设备被人控制,个人隐私自然就泄露了。 而侦听设备只要对截获的手机信号进行相应技术处理,就能轻而易举地获取手机信号的语音和数据信息。比如,美国研发的“梯队系统”可对全球95%的各种无线电信号进行窃听。很显然,除个人隐私外,如果国家事务的重大决策、武装力量的活动等国家秘密被敌人掌握,将严重危及我国国家安全。

视频监控数据安全防护系统解决方案

文档类型: 文档编号: 视频数据安全防护系统 解决方案 北京XX公司科技发展有限责任公司 二O一二年五月

目录 第一章项目背景............................................................................................................................... 第二章需求分析.. (5) 2.1需求分析............................................................................................................................ 2.2使用效果............................................................................................................................ 2.3管理手段............................................................................................................................ 第三章解决方案............................................................................................................................... 3.1系统体系原则.................................................................................................................... 3.1.1合理性 ............................................................................................................................ 3.1.2先进性 ............................................................................................................................ 3.1.3稳定性 ............................................................................................................................ 3.1.4健壮性 ............................................................................................................................ 3.1.5拓展性 ............................................................................................................................ 3.1.6易操作性 ........................................................................................................................ 3.2详细设计............................................................................................................................ 3.2.1方案概述 ........................................................................................................................ 3.2.2系统构成 ........................................................................................................................ 3.3方案功能模块.................................................................................................................... 3.3.1在线视频系统准入控制 ................................................................................................ 3.3.2视频存储数据下载管控 ................................................................................................ 3.4产品核心技术.................................................................................................................... 3.4.1文件级智能动态加解密技术 ........................................................................................ 3.4.2网络智能动态加解密技术 ............................................................................................ 3.4.3协议隧道加密技术 ........................................................................................................ 3.4.4终端自我保护技术 ........................................................................................................ 3.5方案管理应用功能基础 (16) 3.5.1透明动态加密 ................................................................................................................ 3.5.2通讯隧道加密 ................................................................................................................ 3.5.3终端强身份认证 ............................................................................................................

亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点

按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6 北京亿赛通科技发展有限责任公司 2010 年 8 月 亿赛通科技 ANISEC 产品白皮书 V1.6 版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产品白皮书。文中的资料、说明等相关内容归北京亿赛通科技发展有限责任公司所有。本文中的任何部分未经北京亿赛通科技发展有限责任公司(以下简称“亿赛通” )许可,不得转印、影印或复印。支持信息感谢您关注亿赛通数据泄露防护产品!公司地址:北京市海淀区上地信息路 10 号南天大厦 2 层邮编:100085 亿赛通客服中心:电话:400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以及产品的报价等信息,请您查阅我公司网站: https://www.doczj.com/doc/df11532046.html, 亿赛通科技北京亿赛通科技发展有限责任公司 亿赛通科技 ANISEC 产品白皮书 V1.6 目录第 1 章亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简 介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块) .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管

网站安全防护解决方案

网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.doczj.com/doc/df11532046.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:

1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;

企业数据安全,防泄密解决方案

技术白皮书 苏州深信达2013年10月

目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅,隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13) 3.2能和文件共享服务器,应用服务器无缝结合 (13) 3.3安全稳定,不破坏数据 (13) 3.4使用便利,操作机密数据的同时,可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端(可以和机密端装在一起) (15) 4.2 机密端(可以和管理端装在一起) (15) 4.3 外发审核服务器(可以和管理端装在一起) (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17) 附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。

手机防泄密解决方案

XX单位手机防泄密建设方案 建设方案 适用军队手机不能带入涉密场所 北京博睿勤信息技术有限公司 2015年8月6日

目录 一、现场调研情况 (3) 二、建设目标 (3) 三、技术方案 (3) 3.1手机检测门 (3) 3.2手机信号屏蔽 (6) 3.3手持式电子产品探测器 (8) 3.4 频谱分析仪 (10) 3.5手机木马检测工具 (12) 四、方案配置一览表 (13)

一、现场调研情况 经过对XX单位实地调研,针对贵方智能设备、智能手机防泄密的要求,我方围绕着智能手机及智能设备进不来、用不了、能找到的原则建设方案: 进不来:手机、数码相机、照相机、笔记本、iPAD等智能设备无法进入到贵单位涉密场所; 用不来:即使有手机等智能设备进入到涉密场所用不了; 能找到:进入到涉密场所的违规电子设备通过检测仪器能够找到。 二、建设目标 系统建成能够实现制度管理和技术管理相结合完整解决方案,制度约束目标:禁止在携带手机,手机电池、数码相机、录像机、微型摄像机、笔记本、iPAD等电子带入,即使是关闭的手机也不准带入。 三、技术方案 3.1手机检测门 通过技术手段在11层南北2个大礼堂门口部署手机探测门,实现被检测人员通过该设备,智能识别通过人员是否携带手机(开机、关机、移除电池情况下)、数码相机、录像机、微型摄像机、笔记本、iPAD等电子产品,并实现报警。大礼堂门口部署如图(1)-摆放在礼堂门口;图(2)-嵌入到礼堂大门里面。 贵单位党委会议室属于涉密会议室,从安全保密的设计角度,在党委会议室部署1台手机探测门。 作战指挥厅涉密演习不允许携带手机,包括关闭的手机也不允许带入,设计放在在作战指挥厅门口部署1台手机探测门。

信息安全防护方案(初稿)

编号:密级: 1. 概 要 项目名称:计划日期:客户方项目负责人信息安全防护方案 一期实施计划书 xxx 有限公司 二〇一六年十一 月

软件实施人员: 实施规划书重要说明: 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施 培训工作提供指导性的文件,以便使该项目的实施工作更有计划性与条理性; 2.实施日程的具体计划,xxx 有限公司将在软件购销及服务协议签署之后 做详细调研(不超过3 个工作日)后提供,经双方负责人同意确认之后,严格执行;xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际项目实施结案时间超过本实施规划十个工作日。过此期限,导致实施结案延误,其责任归软件公司自行承担;xxx 有限公司必须就此南京交通厅信息安全防护实际实施完毕并得到客户方确认方可结案; 3.本实施规划书是一份对双方均有约束力的一份文件,对双方的工作内容 有明确的规定,请详细阅读,各步骤完成之后需相关人员签字确认,将作为项目结案文档重要文件,作为实施进度及工作评估的最重要依据,并成为xxx 有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。

2. 问题阐述 2.1数据安全 通常,机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为, 是各类机构面临的一个关键问题。 2.2日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3服务器异地备份 1、服务器异常 2、网络节点异常

企业OA系统数据防泄密解决防案

在当信息化高速发展的今天,国内很多企业业务流程对OA系统,CRM客户关系管理系统,财务软件,PLM/PDM等业务软件依赖度越来越高。通常ERP服务器上存放关系着企业生死存亡的核心数据和各种技术文档,但是企业老总或IT部门对信息安全的投入仅限于采购软硬防火墙,杀毒软件,备份软件等传统外围信息安全工具等,还没有一个切实有效的防泄密手段,一旦发生黑客入侵或内部员工非法泄漏事件,给企业将带来重大损失甚至是灭顶之灾! 经调查,国内常见的通达OA、用友OA、金蝶OA等网络办公系统在使用过程中,经常发生的泄密事件大致通过以下几种途径: 一、员工在访问OA系统的时候,屏幕内容通过截屏键截图或者截屏软件进行截屏或录屏,导致信息外泄。 二、员工在访问OA系统的时候,系统内的页面,文档,图片可以下载或者另存到本地,然后经过邮件,u盘,网络等各种泄密途径传播。 三、员工在访问OA系统的时候,浏览的内容,表单,图片,文字等通过剪切板复制粘贴方式复制到OA系统外,然后通过文件另存,或者直接贴到IM中发送脱离OA系统。 四、外部黑客通过漏洞攻击,网页木马、暴力破解、非法入侵、数据库注入等方式获取企业核心数据,募取暴利。 虽然有些企业,已经采取了一些信息安全防护措施,但是防泄密效果都非常差: 措施一:断网,内外隔离-----影响工作效率,并且无法防止把数据复制到新接入的电脑上。 措施二:安装监控软件------电脑进入安全模式或者用WinPE重新启动或者重新安装操作系统后,就可以自由访问OA系统并不被监控。新接入的电脑也能访问OA系统不受监控。 OA系统的软件架构大多数是B/S架构,或者C/S架构,通过在企业内部机房部署ERP服务器来保证企业业务的正常运行,因ERP服务器上存放着企业的核心数据,所以企业的经营者希望OA系统在被使用的过程中,能够进行有效的防泄密强制措施;也就是讲,在不影响员工正常的浏览阅读,编辑修改,上传下载等正常业务流程的前提下,需要禁止员工数据另存,内容复制粘贴,U盘拷贝,邮件发送,甚至是屏幕截图,录屏等非法操作。但是现实中员工使用OA系统的方式各种各样,时间、地点、网络环境都不同,归纳来讲,员工一般通过http/https网页浏览,编辑,上传下载,远程登录等方式使用OA系统;所以企业需要一种有效的强制防泄密工具,在不影响员工工作效率的同时,进行必要的数据防泄密措施,杜绝泄密事件的发生! 有没有一个不影响工作效率,不影响OA系统正常使用,并且可以彻底杜绝数据扩散的系统呢? 国内著名的防泄密解决方案厂商--北京合力天下公司推出的合力天下防泄密系统解决方案,可以彻底解决上述问题。 合力天下防泄密系统,在权限控制,操作审计,文档加密,数据库加密,文档外发管理上具有独家核心技术;HL-DATAAS安全稳定,不占用系统资源,适用各种企业网络环境,可保护各种OA系统运行,杜绝企业泄密事件的发生!

关于部队手机泄密心得体会

关于部队手机泄密心得体会 篇一:20XX 最新部队安全教育心得体会 20XX 最新部队安全教育心得体会 安全是部队稳定和集中统一的基本标志,是部队全面建设好坏的综合反映,安全工作作为反映部队管理教育水平的镜子,既是经常性行政管理工作的组成部分,也是经常性思想政治工作的一项重要内容。实践告诉我们,人的安全意识和安全行为的形成,不仅有赖于法律、法规、制度等外部手段、条件的约束、管理和规范,同时更要靠强有力的思想教育和政治工作,提高人的素质和觉悟来达到。 一、加强思想政治工作,是奠定安全工作的思想基础在发生事故案件的诸多原因中,组织纪律观念差,法纪观念淡薄,违反条令条例、不遵守规章制度是一个重要原因。因此,要做好安全防事故工作,就必须从思想入手调动和发挥人的主观能动性,提高人的素质,创造良好的安全工作环境和氛围。 要筑起安全工作的坚固防线,抓紧世界观和人生观的教育是根本。人的控制力,容忍力在很大程度上依赖其世界观和人生观。一个有崇高的思想觉悟,良好的道德品行,严明的政策法纪观念,懂得真、善、美的人,是能够正确对待挫折、失败以及各种意外变故的。因此,必须经常进行马列主义基本理论,党的基本路线和革命人生观教育,使官兵思想觉悟不断提高,尽快成熟,在实践中划清是非

界限、荣辱界限,增强光荣感,责任感,这样就能从思想上消除发生事故、案件的因素,打好安全工作根基。 要增强安全防事故的能力,注意安全意识的培养是基础。事故往往发生在思想松懈麻痹的瞬间和片刻,头脑中意识减弱就会带来行动的偏差。因此,安全工作的教育一刻也不能放松,要让安全意识在头脑中牢牢扎根。安全意识不仅体现在重视安全上,还应明确如何防止事故和保证安全上,尤其要善于引导官兵从耳闻目睹的事例中受到教育,学到知识,培养把事故、案件消除在萌芽阶段,把损失减少到最低限度,把影响控制在最小范围的能力。 要提高安全管理工作的水平,做好经常性思想工作是保证。经常性思想工作和经常性管理工作,是部队建设的重要环节,两者紧密联系,相辅相承,都是以提高部队战斗力,圆满完成本职任务为目的,都是把人作为工作对象。离开了思想政治工作,行政管理就会成为无源之水,无本之木。把经常性思想工作做深做细,各类事故、案件就能有效地得到预防,安全管理工作就会更有深度和水平。加强对人员的管理、监督,使人人都在组织中,处处都有人管理。 二、加强思想政治工作,提高安全工作成效 要把安全防事故工作变为广大官兵的自觉意识和行为,需要针对官兵的心理状态,调动思想政治工作的积极手段,生动、活跃、全方位、多层次地开展工作。 首先,要加强基层组织建设,充分发挥党、团组织作用。增强党团组织的核心力量,动员团结党团骨干和广大群众,落实岗位责任

某公司数据防泄密方案

数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱;

4、电脑限制使用USB口,使用时需输入密码; 5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密

2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用 时限等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、 虚拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W费用。

数据库安全防护用数据防泄漏系统的制作方法

图片简介: 本技术介绍了一种数据库安全防护用数据防泄漏系统,属于大数据管理技术领域,包括用户层、服务层、应用层和数据层;所述用户层通过提供web浏览器作为交互界面,使用户和所述服务层之间进行数据交互;所述服务层包括数据智能分类模块和入侵防护模块,通过所述智能分类模块将所述用户层上传的数据进行分类,通过所述入侵防护模块对交互的场景进行保护;所述应用层为该数据防泄漏系统核心功能层,包括数据保护模块、文档安全模块和事件溯源模块;所述数据层用于为该数据防泄漏系统提供硬件支持。通过服务层对数据库和用户的交互进行安全防护,应用层对文件进行安全防护,从而对数据上传、交互和自身安全进行全面保护,使数据使用更加安全。 技术要求 1.一种数据库安全防护用数据防泄漏系统,其特征在于:包括用户层、服务层、应用层和数据层; 所述用户层通过提供web浏览器作为交互界面,使用户和所述服务层之间进行数据交互; 所述服务层包括数据智能分类模块和入侵防护模块,通过所述智能分类模块将所述用户层上传的数据进行分类,通过所述入侵防护模块对交互的场景进行保护; 所述应用层为该数据防泄漏系统核心功能层,包括数据保护模块、文档安全模块和事件溯源模块; 所述数据层用于为该数据防泄漏系统提供硬件支持。

2.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据智能分类模块包括文件内容识别分类、文件压缩识别分类、文件嵌套识别分类、关键词匹配识别分类、文件智能打标分类和OCR图像识别分类。 3.根据权利要求2所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述入侵防护模块包括防火墙管理、邮件安全管理和磁盘定期杀毒。 4.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据保护模块包括网络DLP、终端DLP和邮件DLP,通过网络DLP对通过网络交互的流量数据进行内容扫描和安全防护,通过终端DLP对终端使用监控,通过邮件DPL对邮件交互的数据进行内容扫描和安全防护。 5.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述文档安全模块包括智能加密、权限管理和外发控制,通过智能加密对包含敏感数据的文件进行加密,通过权限管理对访问该文件的用户进行管理,通过外发控制对文件转发进行管控。 6.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述事件溯源模块包括文件溯源、事件日志和事件取证,通过文件溯源对文件的流动进行追溯,通过事件日志记录每次访问文件的操作日志,通过事件取证对发生泄露的事件进行记录。 7.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据层包括文件服务器、数据存储服务器和web服务器。 技术说明书 一种数据库安全防护用数据防泄漏系统 技术领域 本技术涉及大数据管理技术领域,特别涉及一种数据库安全防护用数据防泄漏系统。 背景技术 当前,全球大数据产业正值活跃发展期,技术演进和应用创新并行加速推进,非关系型数据库、分布式并行计算以及机器学习、深度挖掘等新型数据存储、计算和分析关键技术应运而生并快速演进,大数据挖掘分析在电信、互联网、金融、交通、医疗等行业创造商业价值和应用价值的同时,开始向传统第一、第二产业传导渗透,大数据逐步成为国家基础战略资源和社会基础生产要素。

相关主题
相关文档 最新文档