下载文档原格式
企业防泄密方案企业防泄密方案是为了保护企业的敏感信息和知识产权而采取的一系列措施和策略。
以下是一些常见的企业防泄密方案:1.制定和执行信息安全政策:企业应制定详细的信息安全政策,明确规定员工在处理敏感信息时应遵守的规定,包括数据分类、访问控制、数据存储和传输等方面的要求。
2.员工教育和培训:企业应对员工进行定期的信息安全教育和培训,提高员工对机密信息的认识和保护意识,教导员工如何识别和应对潜在的泄密风险。
3.访问控制和身份认证:采用适当的访问控制措施,如密码、双因素认证、访问权限管理等,确保只有授权人员能够访问敏感信息。
4.数据加密:对企业的敏感数据进行加密,确保即使在数据被盗或泄露的情况下,未授权人员无法读取数据内容。
5.网络安全和防火墙:通过使用防火墙、入侵检测系统、入侵防御系统等技术手段,确保网络安全,阻止潜在的黑客攻击和非法访问。
6.定期更新和维护系统:将安全漏洞和软件补丁及时应用到企业的系统和应用程序中,确保系统的安全性和稳定性。
7.文件和设备管理:建立严格的文件和设备管理制度,确保敏感信息不会被随意复制、存储在移动设备上或外部存储介质上。
8.监控和审计:通过实施监控和审计措施,及时检测和响应潜在的泄密行为,并对员工行为和系统访问进行跟踪和审计。
9.内部控制和权限分离:建立适当的内部控制措施,限制员工对敏感数据的访问权限,实施权限分离原则,减少内部人员滥用权限的风险。
10.应急响应计划:建立健全的应急响应计划,包括灾难恢复策略、数据备份和恢复策略等,以便在发生泄密事件时能够快速有效地应对和恢复。
这些是一些常见的企业防泄密方案,企业可以根据自身的需求和情况,结合具体的技术和管理手段,制定适合自己的防泄密措施。
同时,随着技术的不断发展和威胁的不断演变,企业应定期评估和更新防泄密方案,以保持信息安全性。
一、目的随着公司业务的发展,有大量的技术、专利、客户信息以及财务数据等方面的电子文档的生成。
加密软件系统能提高集团内部数据协同和高效运作,实现内部办公文档内容流转安全可控,实现文档脱离内部管理平台后能有效防止文件的扩散和外泄。
对于内部文档使用范围、文档流转等进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。
从而实现防止文档外泄和扩散的目的。
二、存在问题目前在数据安全隐患存在以下几种途径的泄密方式:(一)、输出设备(移动设备)泄密:通过移动存储设备,内部人员泄密;或在不注意的情况下,导致非相关人员获取资料。
移动设备包括:U盘、移动硬盘、蓝牙、红外等。
(二)、网络泄密:1.通过互联网将资料通过电子邮件发送出去。
2.通过互联网将资料通过网页BBS发送出去。
3.将资料通过QQ、企业微信、微信等聊天软件发送出去。
4.随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。
(三)、客户泄密:客户将公司提供的文件自用或者给了竞争对手。
三、解决方案:数据加密产品对公司的核心数据进行防护,在文档创建时即对其进行透明加密,并与用户、权限相结合。
文档加密后,有权限的用户正常双击打开使用,非授权用户显示为乱码,无法使用,从而实现数据防泄密的目的。
在整个加解密过程中,无需用户参与。
文档加密软件主要用于文档、图纸类数据加密保护。
四、效果分析使用文档加密软件可实现以下几方面数据防泄密效果:1.文档透明加密:在文档创建时即加密,加密后,文档以密文形式存储、流转、使用,实现全周期安全。
2.文档权限管理:按用户、用户组、部门,进行加解密、截屏录屏、粘贴复制等细粒度权限控制。
有权限人员正常双击打开加密文档,非授权用户则显示为乱码、无法使用。
3.文档安全流转:在需发送加密文件给内部/部非授权用户使用时,可通过文档安全流转实现在线审核、文档授权、文档解密。
4.文档外发制作:在需制作受控的文档发送给外部人员使用时,控制其打开次数、时间、自动销毁、密码、打印、粘贴复制等。
数据防泄密技术(DLP)1.DLP解决方案的类型与防护目标(1)DLP解决方案的类型数据泄漏防护(Data Leakage Prevention,DLP)指的是用于监控、发现和保护数据的一组新技术。
数据泄漏防护又称为数据泄密防护、数据防泄密技术。
目前各种DLP解决方案,通常分为3种类型:1)网络DLP:通过假设网络设备于主要网络边界之间,最常见的是企业网络和互联网之间,像一个数据网关。
网络DLP监控通过网关的流量,检测敏感数据或者与之相关的事情,发现异常时,阻止数据离开网络。
2)存储DLP:通过软件运行在一台设备上或直接运行在文件服务器上,执行类似网络DLP的功能。
存储DLP扫描存储系统寻找敏感数据。
发现异常时,可以删除、隔离数据或通知管理员。
3)终端DLP:软件运行在终端系统上监控操作系统活动和应用程序,观察内存和网络流量,以检测使用不当的敏感信息。
(2)DLP的防护目标网络DLP、存储DLP和终端DLP都有相当的防护作用,也有各自的局限性,最终的解决方案经常是混合使用,来满足以下部分或全部目标:1)监控:被动监控,报告网络流量和其他信息通信通道,如将文件复制到附加的存储。
2)发现:扫描本地或远程数据存储,对数据存储或终端上的信息进行分类。
3)捕获:捕获异常情况,并存储,以便事后分析和分类,或优化策略。
4)防护/阻塞:根据监控和发现组件的信息,阻止数据传输,或者通过中断网络会话或中断本地代理与计算机交互来阻断信息流。
DLP解决方案需要混合以上技术,还需要管理配置策略集中服务器,来定义哪些数据需要保护及如何保护。
2.DLP解决方案所面临的挑战在实际业务中,如果DLP解决方案没有监控到特定的存储设备或网段,或者某种特定的文件没有关联合适的策略,DLP解决方案便不能执行正确的保护,这意味着DLP技术的组件必须覆盖每个网段文件服务器、每个内容管理系统和每个备份系统,这显然不是容易的事情。
另外,配置DLP环境和策略是项艰巨的任务,忽视任何一个方面,都可能会导致整体DLP解决方案的失效。
企业内部防泄密的有效管理方案企业内部防泄密有效管理方案内部泄密问题涌现现代企业的发展已经离不开计算机和网络,企业的绝大多数信息是以电子文件的形式被管理和存储,网络信息化使信息的生产、存储、获取、共享和传播更加便利快速,企业内部的信息沟通、企业与外部的信息交换更加自由;然而,与此同时,网络和办公设备的自由使用却因为缺乏有效的管理机制,给企业带来更多的信息泄露安全威胁,企业内网的安全问题日益严重。
企业的重要文件几乎每天都被悄无声息地访问、拷贝、传送、打印、刻录、被窃密软件进入计算机内部窃取,甚至硬件丢失……据权威机构Gartner的调查显示:超过85%的安全威胁来自组织内部;各种安全漏洞造成的损失中,30%-40%是由电子文件泄露造成的;在Fortune排名前1000家的公司中,每次电子文件泄漏所造成的损失平均是50万美元。
数据资产成为企业长期生存和发展的生命线,保护数据资产的安全成为现代企业的首要任务。
但是在中国,高达80%的计算机应用单位未设立相应的安全管理系统、技术措施和制度,缺乏有效的内部信息安全防护机制。
典型事件==美国郎讯公司的新产品图纸从内部泄密,直接损失达3.5亿美元(2001年)==华为的核心员工离职带走企业核心资料,造成华为重大经济损失(2002年)==某大型企业投巨资研发新产品,研发才接近尾声,竞争对手已经拿到了复制有全部研发成果图纸的移动硬盘,并抢先一步申请专利,迅速投放市场,给该企业造成直接经济损失超过1亿元(2003年)==日本软银公司发生内部客户数据泄密,损失达数亿美元(2004年)==某专用设备厂一位跟随老板创业十余年的销售经理突然离职,带走1万多份产品电子图纸,在距该厂不到500米处自己开厂,生产同类产品与原厂竞争,使原厂产品利润空间损失50%以上(2005年)==澳大利亚力拓公司驻上海代表处首席代表非法泄漏中国钢铁行业商业机密,仅09年中国钢铁企业多支出预付款10.18亿,下半年利息损失即达1170.3万(2009年)==香港八达通公司承认,内部曾将200多万客户资料转售给其它公司,非法获利4400万港元,消息一经传出,社会一片哗然,企业名誉受损严重(2010年)==工行农行等银行员工售卖客户信息,使银行客户造成严重威胁(2011年)问题分析为什么企业已经部署了周密的网络安全,原因是:传统的信息安全解决方案,如防火墙、VPN专网、入侵检测等,可以防止外部人员非法访问,但不能防止内部人员、以及用户本人对机密文档进行复制和传播。
最强⼲货:企业数据防泄密的26种实战⽅法企业数据防泄密建设要做到“敏感数据快速识别、泄密风险及时预警、泄密⾏为有效拦截、泄密事件快速追溯”四⼤⽬标。
本⽂中,就为⼤家带来最强防泄密⼲货,从内部到外部,从主动到被动,从预防攻击到主动防御,各个层⾯,应有尽有。
关于企业防泄密这块,先推荐⼀个资料,供⼤家参考,就是,⾥⾯分析的⽐较全⾯,包括各种泄密的途径和类型、防泄密的常⽤和新型⽅法、防泄密的专业产品等等。
(PS:免费下载)好了,⾔归正传,26种⽅法请看下⽂:防⽌内部泄密的⽅法1、教育员⼯:不要低估员⼯教育的⼒量。
CoSoSys的研究显⽰,60%的员⼯不知道哪些公司的数据是机密的。
因此,他们可能会意外泄漏或使⽤不当。
2、签署法律⽂件:很多企业在员⼯⼊职的时候,都会签署保密协议,尤其是开发⼈员这样的涉密⼈员,通过这种⽅式,可以⼀定程度上的防⽌员⼯主动泄密。
3、⽂件加密:⽂件加密是⼀种⽐较常见的数据安全保护⼿段。
不影响员⼯⽇常的操作,加密的⽂件只能在单位内部电脑上正常使⽤,⼀旦脱离单位内部的⽹络环境,在外部电脑上使⽤是乱码或⽆法打开。
这样可以防⽌内部的⼆次泄密。
4、第三⽅⾝份验证:现在有许多基于标准且⾼度安全的⾝份验证产品可供选择,这样的话,你的员⼯/客户等等就不需要⼀个个记住账号密码了,这样就能减少账号泄密的风险了。
5、禁⽤USB接⼝:这种⽅式可以有效防⽌恶意的数据拷贝,如果需要对外发送的话,需要经过审核后由专⼈拷贝出来再外发。
6、控制⽹络访问权限:⽹站⽩名单,只允许访问⼯作需要的⽹站,其他⼀律禁⽌掉。
这个算是⽐较严格的限制⽅式了。
7、控制内部⽂件访问权限:⽐如销售类企业要保护的就是客户的信息,⽽设计类企业要保护的就是图纸等信息,所以需要设置权限,每个⼈只能访问⾃⼰权限范围内的数据。
8、对企业数据信息存储介质做渗透测试:渗透测试是完全模拟⿊客可能使⽤的攻击技术和漏洞发现技术,对⽬标系统的安全做深⼊的探测,发现系统最脆弱的环节。
数据防泄密保证措施引言:随着互联网时代的发展,我们的生活已经紧密依赖各类信息系统,而这些信息系统中存储着大量的个人和机密数据。
然而,泄露个人和机密数据的风险也随之增加。
因此,确保数据的安全性和保密性就变得至关重要。
本文将重点探讨数据防泄密保证措施,旨在帮助企业和个人从技术和管理两个方面加强数据安全措施,有效防止数据泄露。
一、技术措施1. 强化身份验证身份验证是保证数据安全的第一步。
使用强密码、多因素身份验证、生物识别技术等方式可以提高身份验证的安全性。
此外,还可以实施访问控制机制,限制用户访问敏感数据或系统。
如此一来,即使密码泄露,黑客也无法进一步获取重要信息。
2. 数据加密数据加密是防止数据泄露的重要技术手段。
对于重要的数据,尤其是个人隐私数据,应该采用加密方式进行存储和传输。
常见的加密算法有对称加密和非对称加密。
此外,还可以采用端到端加密来保护通信中的数据。
3. 引入安全防护措施数据泄露的风险来自于外部攻击,如黑客入侵、病毒、恶意软件等,所以需要引入安全防护措施。
例如,网络防火墙、入侵检测和防御系统、反病毒软件等。
这些安全措施可以阻挡潜在的攻击者,减少对系统和数据的威胁。
4. 定期备份与灾难恢复定期备份数据是一项重要的数据安全措施。
在数据泄露事件发生后,可以及时恢复丢失的数据。
此外,应该建立完善的灾难恢复计划,确保在系统崩溃或遭受攻击时迅速恢复业务,并保护重要数据的安全。
二、管理措施1. 建立许可制度建立许可制度可以限制对敏感数据的访问权,只授权特定的人员能够访问特定的数据。
这样一来,可以更好地保护数据免受未经授权的访问。
2. 严格的安全策略和操作规程制定并执行严格的安全策略和操作规程非常重要。
包括规定密码使用标准、更新软件补丁、定期审查系统日志、监测异常行为等方面。
同时,对员工进行相关培训,提高他们的安全意识也是至关重要的。
3. 安全审计和监控安全审计和监控是发现和防止数据泄露的重要手段。
一、背景随着信息化时代的到来,各类信息泄露事件频发,企业、政府、科研机构等单位的机密信息泄露风险日益增加。
为有效预防和应对信息泄露事件,保障国家利益、企业利益和公民个人信息安全,特制定本防泄密安全预案。
二、预案目标1. 保障企业、政府、科研机构等单位的机密信息不泄露;2. 提高员工信息安全和保密意识;3. 建立健全信息安全管理制度和应急响应机制;4. 最大限度地降低信息泄露事件造成的损失。
三、组织架构1. 成立防泄密工作领导小组,负责统筹协调、组织落实防泄密工作;2. 设立防泄密办公室,负责具体实施防泄密工作;3. 各部门、各单位设立信息安全管理员,负责本部门、本单位的防泄密工作。
四、防泄密措施1. 加强员工培训:定期开展信息安全保密培训,提高员工信息安全和保密意识。
2. 制定信息安全管理制度:建立健全信息安全管理制度,明确各部门、各单位及员工的信息安全责任。
3. 技术手段:a. 加密技术:对涉密文件、数据等采用加密技术,确保信息在传输和存储过程中的安全性。
b. 访问控制:通过身份验证、权限管理等手段,严格控制对涉密信息的访问权限。
c. 数据备份与恢复:定期备份涉密信息,确保在发生意外情况时能够迅速恢复数据。
d. 安全审计:采用安全审计工具对涉密信息操作进行监控和记录,以便及时发现异常行为并进行处理。
4. 物理防护:a. 设备管理:对涉密设备进行统一管理,确保设备安全。
b. 网络隔离:内外网采用物理隔离或网闸隔离,防止内外网信息交互。
c. 外来设备管理:严格控制外来设备接入,防止病毒感染和非法数据传输。
5. 应急响应:a. 事件报告:发现信息泄露事件时,立即向防泄密工作领导小组报告。
b. 事件调查:对信息泄露事件进行调查,查明原因,追究责任。
c. 应急处理:根据事件情况,采取相应的应急措施,防止信息泄露扩大。
五、预案实施与监督1. 防泄密工作领导小组负责预案的组织实施和监督。
2. 各部门、各单位按照预案要求,落实具体工作。
数据防泄密解决方案V1数据泄露是企业所面临的严重问题,一旦发生数据泄露,可能会导致用户隐私泄露、商业机密泄露等问题,不仅会造成企业形象的损失,还会影响企业未来的发展。
为此,许多企业都在积极寻求数据防泄密的解决方案。
下面我们将围绕“数据防泄密解决方案V1”进行介绍。
第一步:了解数据泄露首先,我们需要了解什么是数据泄露。
数据泄露指企业的敏感信息(包括个人信息、商业机密等)遭到盗窃、丢失或者泄露的情况。
其中,数据泄露可以分为主动泄露和被动泄露两种情况。
主动泄露是指攻击者通过攻击手段获取信息,被动泄露是指员工或其他内部人员意外或故意泄露信息。
第二步:防范措施为了防范数据泄露,我们需要采取一系列防范措施。
包括:1. 建立完善的信息安全管理体系,制定科学合理的安全管理制度,确保敏感信息得到妥善保护。
2. 加强网络安全建设,包括保护系统、网络、服务器等信息技术基础设施的安全。
3. 加强外部攻击防范,如采取防火墙、入侵检测等措施,抵御黑客攻击。
4. 加强内部管理,确保所有员工都了解公司的安全管理制度,并严格按照规定执行。
5. 加强监测和检测,对网络、系统、应用等进行定期检测,发现安全漏洞及时进行修补。
第三步:使用数据防泄密软件除了采取上述防范措施之外,企业还可以使用数据防泄密软件来进一步确保信息的安全。
数据防泄密软件是一种用于防止数据泄露、信息外流的软件工具,可以帮助企业识别风险、盖住漏洞、防止数据泄露,这种软件可以帮助企业多层次、多角度的保护企业数据。
例如“数据防泄密解决方案V1”可以通过以下方式为企业提供数据保护:1. 通过加密技术,将企业的核心业务数据加密,确保信息安全。
2. 通过敏感词汇自动识别技术,对企业的敏感信息进行监测和保护。
3. 通过权限控制,对企业的不同员工进行不同等级的权限分配,保护数据不被误操作。
4. 通过审计、报告等功能,对企业的数据安全状况进行分析和评估。
总之,数据安全是企业日常运营中极为重要的环节,企业应根据自身情况采取不同的数据防泄密措施,比如建立完善的安全管理制度、加强员工管理、使用数据防泄密软件等,以确保数据安全。
防泄密解决方案随着信息技术的飞速发展,数据泄密问题成为当今社会亟待解决的重要问题之一。
数据泄密不仅对个人和企业的隐私安全造成威胁,还可能导致经济损失和法律纠纷。
因此,制定一套有效的防泄密解决方案,保护敏感信息的安全性就变得尤为重要。
1. 加强员工培训首先,加强员工的信息安全意识培训至关重要。
员工是信息泄密的最大风险来源之一,因此,确保员工具备基本的安全意识和操作技能是防泄密的首要任务。
培训内容可以包括如何识别并应对电子邮件钓鱼、社交工程等常见的网络攻击手段,以及如何正确处理敏感信息等。
2. 规范内部信息管理其次,建立规范的内部信息管理制度是防泄密的重要环节。
制定明确的信息管理政策,包括数据分类、访问权限、数据备份与恢复等,以确保敏感信息的安全存储和传输。
同时,加强对员工操作行为的监控和审核,防止信息被恶意篡改或泄露。
3. 强化网络安全防护除了内部管理,强化网络安全防护也是防泄密的关键措施之一。
企业应建立完善的网络安全体系,包括防火墙、入侵检测系统、反病毒软件等,及时发现和阻止网络攻击。
此外,及时更新软件补丁和加密敏感数据,从技术上提高网络系统的安全等级。
4. 加强物理安全管理除了网络安全,加强物理安全管理也是防泄密的重要手段之一。
确保办公场所的安全监控设施完善,对进出办公区域的人员和物品进行严格管控。
同时,建立反内鬼机制,对高风险岗位的员工进行背景调查和定期审查,减少泄密风险。
5. 定期演练与评估对防泄密解决方案的有效性进行定期演练和评估也是非常重要的。
定期组织模拟攻击演练,检验现有的安全措施是否能够有效抵御外部攻击,并根据演练结果及时修正和改进防泄密策略。
另外,还需要定期评估信息管理制度和网络安全设施,发现潜在的安全隐患并及时解决。
6. 密码安全管理密码安全管理也是防泄密的重要环节之一。
制定规范的密码设置和管理制度,包括密码的复杂性要求、定期更换密码、禁止密码共享等。
此外,推广使用密码管理工具,提高密码管理的效率和安全性。
技术白皮书苏州深信达2013年10月目录第一章. 概述31.1 常见的机密电子文件泄密途径31.2 防泄密的现状31.3 深信达SDC机密数据保密系统4第二章SDC系统介绍52.1 SDC系统架构52.2 SDC系统功能52.2.1客户端涉密文件自动加密52.2.2涉密网络内部通畅,隔离外来PC62.2.3非涉密受限白名单62.2.4涉密文件外发62.2.5打印内容日志72.2.6离线客户端72.2.7 客户端涉密文件自动备份82.2.8涉密文件加密导出导入82.2.9 服务器端数据保护8第三章SDC系统特点93.1沙盒加密是个容器,和软件类型无关,文件类型无关93.2能和文件共享服务器,应用服务器无缝结合93.3安全稳定,不破坏数据93.4使用便利,操作机密数据的同时,可以上网103.5超强的反截屏10第四章推荐运行环境114.1 管理端(可以和机密端装在一起)114.2 机密端(可以和管理端装在一起)114.3 外发审核服务器(可以和管理端装在一起)114.4 客户端11第五章关于深信达125.1深信达介绍125.2联系我们错误!未定义书签。
附录一:透明加密技术发展13附录二:SDC沙盒资质及成功客户错误!未定义书签。
第一章. 概述1.1 常见的机密电子文件泄密途径近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。
电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。
众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。
企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出;- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;- 内部人员将机密电子文件打印、复印后带出公司;- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密- 内部人员将通过Internet网络存储,进行保存。
1.2 防泄密的现状为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方法来进行限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。
但人们很快发现,限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方法效果不是很好,主要存在的弊端为:-影响员工工作情绪甚至造成法律纠纷;-增加企业运营成本,降低工作效率;-无法防止软件研发人员泄密;-精力都花在泄密后的事后追溯上;1.3 深信达SDC机密数据保密系统技术处于国际领先的深信达公司研发的SDC(Secret Data Cage)机密数据保密系统,采用世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
现在的企业都有自己的局域网,一般主要核心机密数据存放于服务器上,一部分存储在员工在自己的电脑上。
SDC的保密设计理念是:当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和服务器进行认证对接,然后形成服务器-客户端沙盒这样一个涉密的工作空间,员工在沙盒中工作,这样一来:--服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密沙盒中。
--沙盘是和外界隔绝的,所以不会泄密。
SDC加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。
也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示意图客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。
而这个容器是透明的,使用者感觉不到它的存在。
SDC采用最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。
系统本身集成网络验证,文件加密,打印控制,程序控制,上网控制,服务器数据保护等,能有效防止外来PC,移动存储,光盘刻录,截屏等泄密行为发生。
其主要特点为:- 全透明加密,不影响员工工作效率和习惯;- 可以保护所有文件格式,包括所有文档格式,所有源代码格式,图纸格式;- 安全稳定,不破坏文件;- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。
- 外发文档审计,加密,防泄密处理;- 外发邮件申请,审计业务流。
使用深信达SDC沙盒数据保密系统,可以切实保护企机密数据的安全。
SDC机密数据防泄密系统示意图适合的行业包括:- 软件、通讯、游戏、制造、电力、金融等拥有研发设计部门的企事业单位;- 拥有自己的研发部门,具有一定的技术优势企业;- PDM/ERP/文档管理/OA等应用系统的开发商;- 所有需要对自己的机密信息保密的企事业单位。
第二章SDC系统介绍2.1 SDC系统架构深信达SDC机密数据保密系统分管理端,机密端,外发审核服务器,客户端四部分。
管理端是整个系统的控制中心,系统中只有一个;机密端是存放机密数据的服务器,一个系统中允许有多台机密服务器;外发审核服务务器是对外发文件进行审核;客户端是安装在员工PC上的防泄密策略的执行程序。
根据需要,管理端,机密端,外发审核服务器可以安装在同一台电脑上。
SDC防泄密系统架构图管理端:对系统中的机密端,客户端进行策略管理,组织管理;客户端日志收集;企业加密密钥管理;客户端卸载管理;机密服务器,外发审核服务器认证管理;机密端:保存机密数据的服务器,对来访用户进行严格审计,加密认证。
可以是文件共享服务器,ERP,PDM服务器,文档管理系统。
或者是VSS,CVS,SVN文件版本管理服务器。
非客户端无法访问机密端。
外发审核服务器:对外发的邮件,文件进行审核,对于涉密文件可自动加密。
外发结果记录。
客户端:透明加密解密,真正和格式无关的加密。
可信网络认证,机密资源认证。
打印控制,禁止打印,指定打印机打印,打印内容日志回传。
离线控制;文档外发等2.2 SDC系统功能2.2.1客户端涉密文件自动加密SDC采用内核级纵深加密技术,对所有涉密文件都进行透明加密处理,真正做到不区分文件格式,不区分软件类型。
只要是涉密信息,不管Office系列,PDF等常用文档,还是AutoCAD等制图类软件,或者是Microsoft Visual Studio, Eclipse等软件开发工具,一律自动加密,不但包括源代码,源图纸,而且编译中间文件等都自动加密,关键的是不影响本地编译,不影响性能。
对于需要提交服务器进行编译的也能轻松适用。
客户端透明加密解密示意图加密的数据不能通过移动存储(如U盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,甚至把硬盘拔走都不会造成泄密。
2.2.2涉密网络内部通畅,隔离外来PC机密服务器和进入涉密沙盒模式下的客户端,形成一个涉密地,安全的网络空间,在涉密网络内部,信息传输是透明的,流畅的。
传输方式包括文件共享,C/S (客户端和管理端)B/S(浏览器/服务器)构架的应用,和布置SDC前比,没什么区别。
涉密网络内,飞秋,IPMSG等局域网内部聊天工具照常可以使用。
但是,没有进入沙盒模式的客户端,或者外来PC接入网络,由于无法通过认证,立即被隔离,成为孤岛,不能访问机密服务器,不能访问其他涉密客户端,局域网通讯工具也无法和涉密的客户端进行对话。
外来PC被隔离示意图2.2.3非涉密受限白名单在策略允许前提下,客户端在涉密工作的同时,在保证不会泄密的前提下,允许安某些程序进行非涉密上网。
在策略允许的前提下,上网可以进行的行为包括:--浏览互联网进行必要的资料查询;--QQ,MSN,飞信的使用;--非涉密邮件的使用,如WebMail或者OutLook/Foxmail的非涉密收发邮件;上述非涉密上网过程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被非涉密程序使用。
举例说明:用户正在编辑涉密的一个AutoCAD图纸,此时可以通过IE上互联网查找资料,通过QQ和业内人士讨论,但是涉密AutoCAD中的图片,文字,文件等都无法通过IE和QQ发送出去。
QQ的截屏等任何截屏软件,录屏软件都无法截去涉密AutoCAD画面。
当然,如果觉得该员工上网会影响工作效率的话,通过策略设定,可以把外网完全断开。
安全隔离上网功能,极大地提高了员工查找资料的便利性。
安全隔离非涉密受限上网示意图2.2.4涉密文件外发当业务需要把涉密文件拿出涉密环境时,必须走SDC的外发审核流程才能脱密。
SDC系统提供了明文外发,加密外发和邮件外发三种方式。
下面简单做下介绍。
明文外发:当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,经过审批后的涉密文件,可以通过邮件,QQ,U盘等方式外发给客户。
如果外发的文件格式为PDF,审核时可以为该文档添加公司标识的水印。
每个外发出的PDF格式文件都包含了签名,通过该签名,可以判断出该文件是谁什么时间申请外发的,谁什么时间审批的。
审批支持多级审批,如组员->组长->经理->副总的多级审批模式加密外发:当业务需要,需要把涉密的文件发给客户,同时还希望控制该文件的使用范围,则可以使用加密外发业务流程。
加密外发的文件发到客户处,被客户使用时,需要密码验证,并且可以设定使用次数,使用时间,能在哪台PC上打开等,该文档是否允许修改,复制,打印等,也可以设定。
邮件外发:为了提高效率,系统支持可信邮件地址列表和可信发件人。
可信发件人向可信邮件地址列表中发送带有涉密文件的邮件,无需审核,直接发送。
以上三种涉密文件外发审核流程,都是申请-〉审核-〉外发,并且日后有日志可以审核。
