数据防泄密软件选型报告
2014.7
建峰集团信息中心
目录
一、背景 (2)
二、集团数据安全建设目标 (3)
三、数据防泄密软件行业分析 (4)
3.1数据泄露防护主流技术 (4)
3.2数据泄露防护市场格局 (5)
四、数据防泄密软件产品同需求切合度 (6)
五、数据防泄密软件产品选型结论 (7)
一、背景
当前,获取有价值的数据信息已成为各类攻击者的主要目标。大量数据泄露事件并没有浮出水面,或者更准确的说,大部分数据泄露事件根本没有被发现。显而易见,仅仅依靠传统的边界防护措施,已无法完全保护我集团内部的数据资产安全,加强数据资产自身安全迫在眉睫。
1)利益驱动是主因,数据泄露事件不会停止;
2)数据泄露不知何时发生,而一旦发生,后果则难以承受;
为积极有效维护我集团内部数据资产安全,信息中心在年初就已着手集团数据安全整体规划与建设工作,现已取得阶段性成果。经过信息中心前期对数据加密软件厂商的摸底、考察、测试等一系列准备工作,数据加密软件产品选型工作现已接近尾声,力争在本年度内实现集团数据资产泄露防护。
二、集团数据安全建设目标
通过对我集团中长期数据安全需求进行深入分析,并结合当前数据加密软件行业现状,现制定如下数据安全目标:
>>针对性防护:Solidworks图纸、Office文档、E-Mail邮件针对性防护;>>模块化部署:依据应用场景按需部署、支持移动智能终端;
>>平台化管理:灵活可扩展、降低集团部署管理风险与整体投入成本;
>>可视化呈现:整体数据资产安全态势可视化呈现;
>>支持三权分立:避免管理员权限过大带来风险;
>>支持多级部署:满足上海总部与南京、福州、杭州分支机构多级部署要求;>>支持多级审核:满足集团内部多种审核流程;
三、数据防泄密软件行业分析
3.1数据泄露防护主流技术
3.1.1加密技术
主要针对Office文档类数据
主要采用内核级透明加解密技术,在文档创建时即对文档自身进行透明加密,并与用户、权限相结合。文档加密后,合法用户正常双击打开,在授权范围内使用,非法用户无法则无法使用密文,从而实现防泄密的目的;
3.1.2隔离技术
主要针对源代码、Solidworks图纸类
主要采用数据安全隔离技术,通过存储、网络以及应用等多重隔离技术,在终端中隔离出数据安全区,并以此为基础在内部网络上按需隔离出一个或多个数据安全区域,用于保护源代码等敏感数据。在安全区域内敏感数据存储、流转、使用全周期安全且不受任何限制,但当数据离开安全区域时则必须通过审核;
3.1.3DLP技术
主要针对大型企业、集团类用户
以数据资产为对象,数据安全威胁为驱动,依据用户具体数据特征、应用场景,在DLP平台上,灵活采用加密、隔离、内容识别、态势感知等技术手段,按需提供针对性整体解决方案,防止敏感数据泄露、扩散;
3.2数据泄露防护市场格局
3.3.1数据加密软件市场格局
60%市场份额:亿赛通、虹安、明朝万达、铁卷
25%市场份额:绿盾、华途、中软、全湾、思智泰克
15%市场份额:大蓝、凤凰卫士、羽翼、博瑞勤、安腾、神盾、山丽网安等3.3.2数据安全隔离市场格局
45%市场份额:虹安
25%市场份额:深信达
20%市场份额:亿赛通
10%市场份额:明朝万达
3.3.3DLP数据泄露防护市场格局
40%市场份额:虹安
25%市场份额:亿赛通
20%市场份额:明朝万达
15%市场份额:华途
四、数据防泄密软件产品同需求切合度
从产品角度看,DLP数据泄露防护更符合大型企业、集团用户:
电子邮件:DLP满足
OA系统:DLP满足
Office文档:DLP、数据加密软件满足
文档密级:DLP满足
Solidworks设计图纸:DLP、数据安全隔离满足
针对性防护:DLP满足
模块化部署:DLP满足
平台化管理:DLP满足
可视化呈现:DLP满足
支持三权分立:DLP满足
支持多级部署:DLP满足
支持多级审核:DLP满足
五、数据防泄密软件产品选型结论
结论:
我集团数据安全建设应采用DLP数据泄露防护技术,在DLP平台上以数据资产为对象,数据安全威胁为驱动,依据用户具体数据特征(Office文档、Solidworks 设计图纸等)、应用场景(电子邮件、OA系统、多级部署等),灵活采用加密、隔离、内容识别、态势感知等技术手段,按需提供针对性整体解决方案,实现针对性防护、模块化部署、平台化管理、可视化呈现,防止敏感数据泄露、扩散;
技术部数据分析报告(编号:NT-Q13-T01) 拟制人: 批准人: xxxx年x月x日
北京xxx有限公司技术部自xxxx年3月1日开始运行ISO9001质量管理体系以来产生如下数据,为了更好的控制技术部的质量工作,特对相关数据进行统计及分析,提出预防或改进要求。 本部门质量目标完成情况如下:
一.系统集成项目统计 纠正和预防措施: 目前项目实施过程中存在的潜在问题是由于用户的原因推迟项目进度,使项目不能按实施计划的进度完成。针对此问题,技术部售前工程师在做需求分析及方案设计时应充分考虑用户方责任问题,做好前期的计划;项目中问题发生时,项目经理应做为接口与用户明确好进度推迟的原因、及具体进度安排,形成文件,并随时与用户沟通。 二.客户满意度的统计 纠正和预防措施: 在接受统计的4个项目中,存在的问题主要有:与用户沟通的及时性不够、现场培训的内容不能完全满足用户需求、文档提交的不及时几方面。针对上述问题,技术部应①增强技术人员的质量意识,由质量小组对技术人员进行质量意识的培训;②召开项目经理会议,明确项目经理在项目中的作用和指责权限;③在派工培训时考虑到个人专长,尽量安排经验丰富的培训师,并定期组织内部技术交流和培训。
三.维护服务统计 1. 按用户分类统计如下: 2. 按故障级别分类统计如下: 3. 按故障类型分类统计如下:
33% 33% 软件故障人为故障 0% 纠正和预防措施: 从维护和服务的统计数据分析,造成用户系统的故障原因主要是设备故障和操作系统故障,其次是线路故障和其他故障,为出现软件故障和人为故障。针对以上故障类型,技术部应①在项目实施过程中对用户日后的维护人员加强培训和指导②在项目交付时提供内容完整、实用性强的的维护操作指导性手册;③售前技术人员在做方案设计时提示用户准备关键设备的备品备件及备份线路④公司在资源允许的情况下适量购置常用设备备件。 四. 办公IT 系统维护统计 1. 按故障级别分类统计如下:
数据防泄露已经成为中国信息安全市场的新热点。随着信息化进程推进,信息安全建设的重点逐渐转移到信息内容自身的安全方面。近年来,数据泄露造成国家、政府、企业的损失越来越大,数据泄露防护(DLP)日渐成为信息化建设的重点。 一、中国防泄密市场需求庞大 据估计,2010年全球数据泄露防护市场总额将达到20亿美元,而在中国,至少可达到5亿元RMB。旺盛的市场需求,对所有从事防泄密事业的企业来说,都是一个极好的消息。 从行业分布来看,政府、军队和军工单位、金融机构、电信运营商在企业内控、防数据泄露方面将是2010年信息安全需求的重点。这一点,在许多跨国信息安全公司的内部报告中可以看到。 二、泄密的原因和途径具备多样性特点 从实际情况来看,数据泄露的原因主要有三种:窃密、泄密和失密。结合各种实际情况,数据泄露的主要途径有以下七种: 1. 国外黑客和间谍窃密:国际国内许多黑客和间谍,通过层出不穷的技术手段,窃取国内各种重要信息,已经成为中国信息安全的巨大威胁。如果放任不管,必将造成无可估量的损失。 2. 外部竞争对手窃密:企业与企业之间采用多种方式窃取竞争对手机密信息,自古以来都是普遍发生的。如果中国企业不重视自身机密信息的保护,不仅会造成商业竞争的被动,直接损失造成经济损失,甚至会导致整体行业的衰落与灭亡。 3. 内部人员离职拷贝带走资料泄密:由于中国企业不重视知识产权保护,不重视机密信息安全,所以离职人员在离职前都会大量拷贝带走核心资料。在这
些人员再次就业之时,这些被拷贝带走的商业信息,就成为竞争对手打击和挤压原单位的重要武器。 4. 内部人员无意泄密和恶意泄密:国家单位和企事业单位人员对于信息安全重要性的认识不足,会导致涉密人员在无意中泄密。而部分不良分子,出于对原就业单位的报复,肆意将机密信息公之于众,甚至发布到网上任人浏览。 5. 内部文档权限失控失密:在内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级。当前多数单位的涉密信息的权限划分是相当粗放的,很难细分到相应的个人。因此,内部数据和文档在权限管控方面的失控,会导致不具备权限的人员获得涉密信息,或者是低权限的人员获得高涉密信息。 6. 存储设备丢失和维修失密:移动存储设备例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等,一旦遗失、维修或者报废后,其存储数据往往暴露无遗。“艳照门事件”就是此类事件的典型。 7. 对外信息发布失控失密:在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息。甚至是涉密信息流出到处于竞争关系的第三方。 三、当前五种主要的防泄密手段概述 1、内网管理软件 内网管理一般是指对单位内部网络终端的综合管理。内网管理软件如Anyview网络警主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文件监视、上网行为检查和打印监控等网络监控功能(可选组件);具有禁用USB、禁用光驱、软驱、管理非法外联等阻断管理功能;具有禁用QQ、禁用BT、禁用游戏、远程修改IP、禁止修改IP、通过进程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监控、流量排名和流量报警阻断等运行维护功能。
赛门铁克DLP数据防泄密方案 文档编号: 创建日期:2009-02-12 最后修改日期:2010-04-13 版本号:1.0.0
目录 1.设计思路 (1) 1.1.什么是数据防泄漏 (1) 1.2.机密信息的划分标准 (1) 1.2.1.基于权限 (1) 1.2.2.基于内容 (2) 1.3.全面的多层次防护 (2) 1.3.1.IT基础架构安全防护 (2) 1.3.2.数据防泄密 (2) 1.3.3.安全管理 (3) 1.4.首要解决大概率事件 (3) 2.数据防泄露技术介绍 (4) 2.1.概述 (4) 2.2.产品功能模块介绍 (5) 2.2.1.V ontu Enforce (5) 2.2.2.V ontu Network Monitor (5) 2.2.3.V ontu Network Prevent (5) 2.2.4.V ontu Endpoint Prevent (5) 2.2.5.V ontu Endpoint Discover (6) 2.2.6.V ontu Network Discover (6) 2.2.7.V ontu Network Protect (6) 3.数据防泄漏技术实现 (6) 3.1.定义企业机密信息:如何建立机密信息样本库 (7) 3.1.1.结构化数据:精确数据匹配 (7) 3.1.2.非结构化数据:索引文件匹配 (8) 3.1.3.补充:描述内容匹配 (8) 3.2.制定监视和防护策略 (9)
3.3.部署监视防护策略,检测敏感数据 (9) 3.3.1.网络DLP (10) 3.3.1.1.V ontu Network Monitor 的工作原理 (10) 3.3.1.2.V ontu Network Monitor 部署 (11) 3.3.1.3.V ontu Network Prevent 的工作原理和部署 (11) 3.3.1.3.1.V ontu Network Prevent for Email (12) 3.3.1.3.2.V ontu Network Prevent for Web (12) 3.3.2.端点DLP (13) 3.3.2.1.端点DLP架构 (13) 3.3.2.2.V ontu Endpoint Prevent 的工作原理 (14) 3.3.2.3.V ontu Endpoint Discover (15) 3.3.2.4.对网络和端点的影响 (16) 3.3.2.4.1.端点影响 (16) 3.3.2.4.2.网络影响 (16) 3.3.2.5.防篡改和安全性 (17) 3.3.3.存储DLP (17) 3.3.3.1.V ontu Network Discover 的工作原理 (17) 3.3.3.1.1.无代理 (18) 3.3.3.1.2.基于扫描程序 (18) 3.3.3.1.3.基于Windows 代理 (19) 3.3.3.2.玩网络 (19) 3.3.3.3.V ontu Network Protect 的工作原理 (19) 3.3.3.4.V ontu Storage DLP 部署 (20) 4.关于Gartner MQ (Magic Quadrant) (20) 4.1.赛门铁克DLP评估(摘自2008年6月的Gartner报告) (21) 4.2.什么是魔力象限(Magic Quadrant) (21)
解决方案 一、客户需求 1.保护对象 主要使用PRO/E、CAD等机械制图工具,重点对这几种设计软件产生出来的图纸等进行安全防范。 2.效果要求 1)公司内部的重要图纸资料不会因复制、邮件等各种方式泄密出去 2)文件可以给公司外部人员修改,但不会因此被随意拷贝泄密出去 二、泄密途径分析 1)利用U盘、移动硬盘、SD卡、刻录机刻录等方式复制; 2)通过打印机打印; 3)通过P2P传输、即时通讯、电子邮件等网络方式传送; 4)网络黑客、商业间谍通过病毒、木马等非法侵入,直接传送或复制企业 涉密信息,盗卖获利; 5)在报废电脑或硬盘时,未对其中的文件进行销毁处理,导致泄密; 6)公司员工携带涉密图纸资料的电脑离职或涉密电脑外带时不慎丢失。 三、反商业泄密软件解决方案 1.设计原理 公司是一家专业从事文档加密软件的研发和服务的高技术公司,公司成立于2005年,国内知名的加密软件产品的研发供应机构。反商业泄密系统软件集文档加密、硬件管理、行为监控、日志审计、程序控制等多个功能模块于一体,为企
事业单位提供了一套安全、方便、实用、低应用成本的反商业泄密一体化解决方案。 基本设计原理就是阻断计算机文档的通用性,并保证这种通用性在内部的有效性、数据使用的方便性。 在此基础上,文档守望者要达成以下设计目标: (1)保证理想的防护效果,不能因为各种原因(内部、外部、有意、无意)而导致泄密发生; (2)万一产生泄密事件,要能够追查回溯,查出责任人,并保存相关证据; (3)不影响现有的工作模式和操作习惯; (4)不提高管理成本; (5)内部沟通没有阻碍。 2.实现原理以及设备需求 在操作系统中, I/O(输入输出)管理器负责处理所有设备的I/O操作。 I/O 管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、文件系统驱动程序等完成I/O操作,见图。
关于某地区361个人旅游情况统计分析报告 一、数据介绍: 本次分析的数据为某地区361个人旅游情况状况统计表,其中共包含七变量,分别是:年龄,为三类变量;性别,为二类变量(0代表女,1代表男);收入,为一类变量;旅游花费,为一类变量;通道,为二类变量(0代表没走通道,1代表走通道);旅游的积极性,为三类变量(0代表积极性差,1代表积极性一般,2代表积极性比较好,3代表积极性好 4代表积极性非常好);额外收入,一类变量。通过运用spss统计软件,对变量进行频数分析、描述性统计、方差分析、相关分析,以了解该地区上述方面的综合状况,并分析个变量的分布特点及相互间的关系。 二、数据分析 1、频数分析。基本的统计分析往往从频数分析开始。通过频数分地区359个人旅游基本 状况的统计数据表,在性别、旅游的积极性不同的状况下的频数分析,从而了解该地区的男女职工数量、不同积极性情况的基本分布。 统计量 积极性性别 N 有效359 359 缺失0 0 首先,对该地区的男女性别分布进行频数分析,结果如下
性别 频率百分比有效百分 比 累积百分 比 有效女198 55.2 55.2 55.2 男161 44.8 44.8 100.0 合计359 100.0 100.0 表说明,在该地区被调查的359个人中,有198名女性,161名男性,男女比例分别为44.8%和55.2%,该公司职工男女数量差距不大,女性略多于男性。 其次对原有数据中的旅游的积极性进行频数分析,结果如下表: 积极性 频率百分比有效百分 比 累积百分 比 有效差171 47.6 47.6 47.6 一般79 22.0 22.0 69.6 比较 好 79 22.0 22.0 91.6 好24 6.7 6.7 98.3 非常 好 6 1. 7 1.7 100.0 合计359 100.0 100.0 其次对原有数据中的积极性进行频数分析,结果如下表: 其次对原有数据中的是否进通道进行频数分析,结果如下表:
技术白皮书 苏州深信达2013年10月
目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅,隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13) 3.2能和文件共享服务器,应用服务器无缝结合 (13) 3.3安全稳定,不破坏数据 (13) 3.4使用便利,操作机密数据的同时,可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端(可以和机密端装在一起) (15) 4.2 机密端(可以和管理端装在一起) (15) 4.3 外发审核服务器(可以和管理端装在一起) (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17) 附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
电子文档防泄密整体解决方案 FileSafeGuard 电子文档防泄密系统 一、引言 伴随着社会现代化的发展,信息化的全面应用,计算机产生的电子文件作为信息交换最主要的载体得到了全面的使用,在各企事业单位中都在利用网络、USB设备等方法传递电子文件以保持着迅速、及时的沟通,不再依赖于原有的纸质文件流转方式,在得到极大的方便性的同时也使得文件信息更容易泄密,在极短暂的时间就可能造成大面积泄密。据调查,各种机密泄露30%-40%是由电子文件的泄露造成的,超过85%的安全威胁来自单位内部。防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。无线上网、移动通讯、活动硬盘在带来方便和高效的同时,却无法防止内部工作人员的无意或有意的泄漏各种电子文件信息,甚至传送给竞争者,也难以防止网络系统被截获、仿冒、侦听后造成的泄密。如何解决在各种基于计算机的信息交流活动、电子商务活动、电子政务活动中的电子文件安
全问题已经成为一个十分迫切的市场需求。 二、电子文件的安全问题 您的单位是否总是担心内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去?若泄漏是否会直接影响单位生存和发展?您的单位是否总有人员流动?原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了?现在的工作人员是否有可能将各种机密泄漏给竞争对手?工作人员离职后是否变成了单位的竞争对手? 您的单位把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不泄漏出去吗? 1、各种泄密途径,安全漏洞分析 1)、USB设备、软驱、可写光驱 现在的USB设备的使用非常普遍,USB设备的文件拷贝成为单位内部、外部交换文件最常用的方式之一,将电子文件拷贝到USB设备上,然后拷贝给内部其他工作人员或者拷贝给外单位合作人员来完成信息交换。但是拷贝的过程是不可控的,拷贝后存在泄密可能性。软驱和光驱是传统常用的计算机硬件,同样可以拷贝电子文件到软驱和可写光驱上。 针对这些硬件设备,大多数单位的做法是关闭大多数计算机的USB接口、软驱、光驱,只允许少数特权计算机可以使用,虽然如此,特权计算机还是存在泄密可能性,而且关闭硬件端口无法防止直接拆下硬盘来获取所有的文件信息。 2)、互联网发送 现在各个单位和外界的交流越来越多,互联网是必不可少的信息交换手段。 3)、互联网上传文件 互联网上传文件的方法很多,也都是泄密的途径,目前较为常用方法有: POP3Email附件方式、WebEmail附件方式、FTP方式、BT方式、QQ直传、MSN直传、Skype直传、等其他种种方式。 这些互联网操作是内部工作人员自行进行的,防火墙、防入侵等系统不会处理,所以是一个很直接、快速、隐蔽的泄密途径。 很多单位通过封锁FTP端口、封锁QQ端口、封锁发送邮件等方法来控制,但是这样仅仅
在当信息化高速发展的今天,国内很多企业业务流程对OA系统,CRM客户关系管理系统,财务软件,PLM/PDM等业务软件依赖度越来越高。通常ERP服务器上存放关系着企业生死存亡的核心数据和各种技术文档,但是企业老总或IT部门对信息安全的投入仅限于采购软硬防火墙,杀毒软件,备份软件等传统外围信息安全工具等,还没有一个切实有效的防泄密手段,一旦发生黑客入侵或内部员工非法泄漏事件,给企业将带来重大损失甚至是灭顶之灾! 经调查,国内常见的通达OA、用友OA、金蝶OA等网络办公系统在使用过程中,经常发生的泄密事件大致通过以下几种途径: 一、员工在访问OA系统的时候,屏幕内容通过截屏键截图或者截屏软件进行截屏或录屏,导致信息外泄。 二、员工在访问OA系统的时候,系统内的页面,文档,图片可以下载或者另存到本地,然后经过邮件,u盘,网络等各种泄密途径传播。 三、员工在访问OA系统的时候,浏览的内容,表单,图片,文字等通过剪切板复制粘贴方式复制到OA系统外,然后通过文件另存,或者直接贴到IM中发送脱离OA系统。 四、外部黑客通过漏洞攻击,网页木马、暴力破解、非法入侵、数据库注入等方式获取企业核心数据,募取暴利。 虽然有些企业,已经采取了一些信息安全防护措施,但是防泄密效果都非常差: 措施一:断网,内外隔离-----影响工作效率,并且无法防止把数据复制到新接入的电脑上。 措施二:安装监控软件------电脑进入安全模式或者用WinPE重新启动或者重新安装操作系统后,就可以自由访问OA系统并不被监控。新接入的电脑也能访问OA系统不受监控。 OA系统的软件架构大多数是B/S架构,或者C/S架构,通过在企业内部机房部署ERP服务器来保证企业业务的正常运行,因ERP服务器上存放着企业的核心数据,所以企业的经营者希望OA系统在被使用的过程中,能够进行有效的防泄密强制措施;也就是讲,在不影响员工正常的浏览阅读,编辑修改,上传下载等正常业务流程的前提下,需要禁止员工数据另存,内容复制粘贴,U盘拷贝,邮件发送,甚至是屏幕截图,录屏等非法操作。但是现实中员工使用OA系统的方式各种各样,时间、地点、网络环境都不同,归纳来讲,员工一般通过http/https网页浏览,编辑,上传下载,远程登录等方式使用OA系统;所以企业需要一种有效的强制防泄密工具,在不影响员工工作效率的同时,进行必要的数据防泄密措施,杜绝泄密事件的发生! 有没有一个不影响工作效率,不影响OA系统正常使用,并且可以彻底杜绝数据扩散的系统呢? 国内著名的防泄密解决方案厂商--北京合力天下公司推出的合力天下防泄密系统解决方案,可以彻底解决上述问题。 合力天下防泄密系统,在权限控制,操作审计,文档加密,数据库加密,文档外发管理上具有独家核心技术;HL-DATAAS安全稳定,不占用系统资源,适用各种企业网络环境,可保护各种OA系统运行,杜绝企业泄密事件的发生!
一需求分析 1 总体需求 通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个面全面部署实施网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对网行为的有效审计 目前单位缺乏对各种网行为的系统化审计工具和流程,通过网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业部,与工作相关的各种网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走: ?文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司; ?可通过3G上网卡等连接网络,把信息通过网络带走; ?可将文件通过(NOTES、WEB)发送给外部人员; ?能通过打印把电子文档转换成纸质资料带走; ?…… 4 员工行为管理缺乏有效技术手段 目前公司不能从技术上规员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 部文件缺乏有效的安全保护机制
公司拥有大量的机密、敏感信息,关系到客户的资料,案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。 二解决案 针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现: 2.1 上网行为管理解决案 2.1.1 用户认证 为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。 ●部用户 对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC 能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 ●无线临时用户 对于无线临时用户,通过(短信认证、微信认证)式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱;
4、电脑限制使用USB口,使用时需输入密码; 5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密
2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用 时限等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、 虚拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W费用。
数据防泄密软件选择的几点建议 随着企业对信息防泄密的需求越来越大,市场上出现了各种各样的文档防泄密软件,加之目前国内行业标准尚未建立,导致许多用户在选购此类产品时感到十分困惑。那么,如何才能挑选到一款称心如意的防泄密软件呢?这里参考一些厂家提供的文档并结合自己的经验,提供一些建议供大家参考。 1、防泄密软件的设计思路 信息时代的高速发展,泄密形式越来越多样化,单单只是对外置接口进行禁用已经远远无法满足企业的信息保护要求。防泄密软件应站在时代的前端,依据“事前主动防御、事中全程控制、事后有据可查”的设计理念,从源头保护企业的信息安全,为企业提供一体化的信息安全解决方案。即使泄密事件无可必免的发生了,也能够为企业提供有用的数据以供调查,将企业的损失降到最低。 事前主动防御:文件在创建、编辑、保存时自动加密,能保证存放在硬盘上的文件是密文,防止主动泄密。指定类型的文件能自动备份,防止恶意删除。 事中全程控制:对信息泄密的各种途径都做了有效控制,比如:剪切板加密、禁止OLE、禁止打印、禁止截屏等,同时只有受保护的程序才能读取密文。 事后有据可查:能详细记录文件的各种操作行为,包括新建、编辑、打开、复制、删除、重命名等,支持网络共享操作以及对可移动磁盘的操作。记录用户的计算机操作行为,给事后追查提供依据。 2、防泄密软件的安全性 1)密钥的安全性:
加密文件的安全由算法和密钥来保证。加密算法一般都是采用国际流行的安全性高的算法,这些算法都是公开的,所以确切的说加密算法的安全性真正依赖的是密钥。 防泄密软件的密钥是否安全应该解决以下问题: a)要保证不能够搭建出两套一样的软件环境,也就是要保证不同企业能有不同的加密密钥,确保不同的企业即使安装相同的加密软件,也无法打开彼此加密的文件。 b)要保证厂商即使获取到密文也无法解密。很多防泄密软件,企业无法自己设置密钥。厂商拿到了密文后,只要根据软件本身的特征就可以进行破解,这样子的防泄密软件形同虚设,无法真正的保护企业的信息安全。 c)如果密钥泄露,要有补救的措施,比如说密钥能够了支持更改,这样密钥泄密了,企业可以方便的更换。 2)泄密途径的管控 泄密途径控制的好坏,是选择防泄密软件的一个重要考查点。 企业信息经常通过以下渠道被泄露: 1、移动存储介质复制,如U盘、移动硬盘等; 2、利用系统截图工具将相关的文档信息通过QQ、MSN、E-mail等各种网络工具向外传输内部重要信息文档; 3、通过打印机将文档打印带走; 4、通过虚拟打印机转换后带走; …… 防泄密软件必须对泄密的途径进行管理,禁止终端使用指定的设备,包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制和打印机限制。虚拟打印机是目前企业中比较重要的输出设备,但是由于虚拟打印机支持大部分的格式文
公司数据防泄密方案 Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱; 4、电脑限制使用USB口,使用时需输入密码;
5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操 作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密 2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用时限 等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、虚 拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录 该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需 5-10W费用。 五、对公司数据安全的规划建议
XX单位手机防泄密建设方案 建设方案 适用军队手机不能带入涉密场所 北京博睿勤信息技术有限公司 2015年8月6日
目录 一、现场调研情况 (3) 二、建设目标 (3) 三、技术方案 (3) 3.1手机检测门 (3) 3.2手机信号屏蔽 (6) 3.3手持式电子产品探测器 (8) 3.4 频谱分析仪 (10) 3.5手机木马检测工具 (12) 四、方案配置一览表 (13)
一、现场调研情况 经过对XX单位实地调研,针对贵方智能设备、智能手机防泄密的要求,我方围绕着智能手机及智能设备进不来、用不了、能找到的原则建设方案: 进不来:手机、数码相机、照相机、笔记本、iPAD等智能设备无法进入到贵单位涉密场所; 用不来:即使有手机等智能设备进入到涉密场所用不了; 能找到:进入到涉密场所的违规电子设备通过检测仪器能够找到。 二、建设目标 系统建成能够实现制度管理和技术管理相结合完整解决方案,制度约束目标:禁止在携带手机,手机电池、数码相机、录像机、微型摄像机、笔记本、iPAD等电子带入,即使是关闭的手机也不准带入。 三、技术方案 3.1手机检测门 通过技术手段在11层南北2个大礼堂门口部署手机探测门,实现被检测人员通过该设备,智能识别通过人员是否携带手机(开机、关机、移除电池情况下)、数码相机、录像机、微型摄像机、笔记本、iPAD等电子产品,并实现报警。大礼堂门口部署如图(1)-摆放在礼堂门口;图(2)-嵌入到礼堂大门里面。 贵单位党委会议室属于涉密会议室,从安全保密的设计角度,在党委会议室部署1台手机探测门。 作战指挥厅涉密演习不允许携带手机,包括关闭的手机也不允许带入,设计放在在作战指挥厅门口部署1台手机探测门。
银行业数据防泄密平台 方案建议书
目录 1 项目背景概述 (4) 1.1 项目背景 (4) 1.2 企业泄密风险 (4) 1.3 数据防泄密项目背景 (5) 1.4 数据防泄密项目网络现状和信息安全需求分析 (5) 2 山丽防水墙产品介绍 (6) 3 山丽防水墙数据防泄漏系统解决方案 (7) 3.1 产品功能对透明加密管理的满足 (7) 3.2 产品功能对加密模式本地策略管理的满足 (8) 3.3 产品功能对多种加密模式管理的满足 (9) 3.4 产品功能对一文一密钥安全性管理的满足 (11) 3.5 产品功能对加密系统剪贴板管理的满足 (12) 3.6 产品功能对加密系统多种登录方式管理的满足 (12) 3.7 产品功能对出差笔记本防泄漏(加密客户端离网使用)管理的满足 (13) 3.9 产品功能对文件解密申请管理的满足 (14) 3.10 产品功能对密文明送文件外发控制管理的满足 (17) 3.12 产品功能对文件权限管理的满足 (18) 3.12.1基于用户为脚色的文档权限控制 (19) 3.12.2基于文档为角色的自定义文档权限控制 (20) 3.12.3文档权限控制的精细化管理 (21) 3.15 产品功能对基于B/S应用服务器和防水墙系统融合方案的满足 (23) 3.16 产品功能对PDM、FTP服务器和防水墙系统融合方案的满足 (23) 3.16.1产品功能和应用服务器融合的原理 (24) 3.16.2产品功能和应用服务器融合的方案 (25) 3.17 产品功能对文件交互管理的满足 (27) 3.17.1分支机构和总部的交流 (27) 3.17.2产品功能对分支机构和供应商管理的满足 (28) 3.18 产品功能对计算机外设管理的满足 (29) 3.18.1 终端外设管理范围 (29) 3.18.2外设管理在线、离线策略 (30) 3.18.3注册移动存储设备管理策略 (30) 3.18.4认证移动存储设备管理策略 (31) 3.19 产品功能对服务器灾难恢复功能的满足 (33) 3.20产品功能对审计功能的满足 (34) 3.20.1对加密文件的各种操作行为进行审计 (34) 3.20.2对加密系统各种操作行为的自动预警式审计 (35) 3.21 产品功能对系统管理功能的满足 (38) 3.21.1防水墙加密系统三员分立管理模式 (38) 3.21.2防水墙加密系统系统管理员管理模式 (39) 3.22 产品功能对安全性要求的满足 (41) 3.23 产品功能对客户端自我防护的满足 (42) 3.24 产品功能对加密客户端授权管理的满足 (42) 3.25 产品功能对客户端自动升级的满足 (42) 4 产品部署方法和部署效果 (43) 4.1 部署方法 (43) 4.2 部署效果 (43) 4.2.1 法规的遵从 (43)
***变 DLP 数据防泄密项目 一期方案
北京&&&科技发展有限责任公司 二 O 一二年十二月
***变 DLP 数据防泄密项目方案
保密级别: 项目组内部公开
版本信息
更新历史 编写人 吴悠 吴悠 日期 2012-12-21 2013-1-15 版本号 1.0 2.0 审核 创建 变更 变更内容
2 / 16
***变 DLP 数据防泄密项目方案
保密级别: 项目组内部公开
目录
第一章 产品介绍 ............................................................................................................................. 4 第二章 总体方案介绍 ..................................................................................................................... 5 2.1 方案概述.......................................................................................................................... 5 2.2 总体部署示意图.............................................................................................................. 5 第三章 详细项目方案 ..................................................................................................................... 7 3.1 安全策略.......................................................................................................................... 7 3.1.1 通用安全策略 .............................................................................................................. 7 3.1.2 加密集成策略 .............................................................................................................. 8 3.1.3 日志审计策略 .............................................................................................................. 9 3.2 系统管控........................................................................................................................ 10 3.2.1 DLP 系统角色及权责 ................................................................................................ 10 3.2.2 DLP 管理方式............................................................................................................ 10 3.2.3 安全策略分发 ............................................................................................................ 10 3.3 应用场景........................................................................................................................ 11 3.3.1 入网终端涉密数据外发 ............................................................................................ 11 3.3.2 入网终端应急解密响应 ............................................................................................ 12 3.3.3 系统故障应急机制 .................................................................................................... 12 第四章 日常系统维护 ................................................................................................................... 12 第五章 实施人员计划 ................................................................................................................... 13 5.1 项目组织及成员............................................................................................................ 13 5.2 实施计划........................................................................................................................ 14 5.3 测试方案........................................................................................................................ 15
3 / 16
密级:商业秘密 文档编号: XX集团数据防泄密解决方案 技术建议书 专供 XX集团 2013年11月2013年11月4日 尊敬的XX集团用户,您好! 赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。 赛门铁克致力于: ?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途 本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图, 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents 1 概述.......................................................................................................................................................... 1.1项目背景 ........................................................................................................................................... 1.2 XX集团信息安全项目目标............................................................................................................. 1.3 术语解释........................................................................................................................................... 2XX集团信息安全项目需求及实现......................................................................................................... 2.1 XX集团信息安全涉密信息分级控管需求与实现......................................................................... 2.1.1分阶段推进方法 ........................................................................................................................ 2.1.2 管理要求建议 ............................................................................................................................ 2.1.3 人员岗位建议 ............................................................................................................................ 2.1.3 管理流程建议 ...........................................................................................................................