数据防泄密方案
一、数据泄密的原因
1、黑客、间谍、竞争对手窃密;
2、内部人员离职拷贝带走资料泄密;
3、内部人员无意泄密和恶意泄密;
4、内部文档权限失控失密;
5、存储设备丢失和维修失密;
二、数据泄密的途径
1、USB口、光驱等外设;
2、打印文件、虚拟打印文件转换;
3、邮件发送;
4、QQ、MSN即时通讯;
5、截屏、复制粘贴、拖拽;
根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案:
三、防泄密方案一
薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求:
1、电脑禁用网络、蓝牙、WIFI;
2、电脑禁止打印;
3、电脑禁用光驱;
4、电脑限制使用USB口,使用时需输入密码;
5、对存储数据分区进行加密,打开分区需输入密码;
6、对重要文件进行加密,打开文件需输入密码;
7、使用USB设备考取数据后,使用完即刻删除;
该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。
四、防泄密方案二
对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能:
1、对电脑中全部数据根据配置策略自动加密
2、对电脑中重要的数据进行手动选取加密
3、外发加密数据可根据策略配置审批人员、阅览次数、使用时限等
使用权限
4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、虚拟
打印、复制粘贴、截屏、拖拽等使用权限
5、对电脑中数据操作进行人员、时间、行为信息的日志记录
该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W 费用。
五、对公司数据安全的规划建议
以上提及的数据防泄密只是保证公司数据安全的部分组成,除此还需考虑网络、数据存储、安全合规审计等层面的建设规划
1、将企业邮箱、内部即时通讯系统由外部租赁迁移至内部自建。现
已有微软exchange+lync、IBM lotus+sametime等多种成熟的解决方案可供参考、测试,搭建、配置、测试需3-6个月时间。
2、搭建、推广在外人员、机构使用VPN连接公司内部系统,避免数
据在无加密的公网上传播。
3、建设数据自动备份系统,将代码、数据库、重要文档集中存储管
理,避免因硬件损坏、恶意删除等行为带来的数据丢失。
4、搭建办公虚拟桌面系统,将公司内、外网完全隔离。
5、增加安全合规审计人员及设备,对数据和员工进行有效的监管和
审计。