信息安全項(xiàng)目建議書

1、xxxxx股份有限公司信息安全項(xiàng)目建議書廈門天銳科技有限公司xiamen tipray technology co.,ltd2012年1月1日 信息安全項(xiàng)目建議書目 錄一背景- 2 -二需求分析- 3 -三管理目標(biāo)- 4 -四管理思路- 4 -4.1防止公司內(nèi)部數(shù)據(jù)泄密- 4 -4.2防止機(jī)密文件在公司內(nèi)部擴(kuò)散- 5 -4.3防止員工外出辦公泄密- 6 -4.4防止員工離職泄密- 6 -4.5防止文件外發(fā)后泄密- 7 -4.6防止筆記本丟失泄密- 8 -4.7防止員工打印泄密- 8 -4.8防止移動(dòng)終端辦公泄密- 9 -4.9避開服務(wù)器復(fù)雜環(huán)境，防止服務(wù)器數(shù)據(jù)泄密- 9 -4.10內(nèi)部辦公規(guī)范

2、化管理，降低泄密風(fēng)險(xiǎn)- 10 -五管理效果- 10 -六關(guān)于天銳- 11 -6.1天銳簡介- 11 -6.2典型案例:- 11 -6.3 資質(zhì)證書- 13 -一背景二需求分析 您的員工利用qq、msn、email等隨意外發(fā)重要文檔？ 您的員工利用剪貼板、截屏、打印等方式有意或者無意的泄露內(nèi)部機(jī)密文件？ 您的員工在跳槽到競爭公司前帶走機(jī)密文檔并格式化他們的計(jì)算機(jī)？ 您的業(yè)務(wù)員隨意給客戶發(fā)送未經(jīng)審批的文檔？ 如何防止用戶利用u盤、cd/dvd、藍(lán)牙、數(shù)碼相機(jī)等設(shè)備違規(guī)帶出電子文檔？ 如何能在用戶出差時(shí)繼續(xù)保護(hù)其筆記本中的機(jī)密文檔以防止離線泄密？ 如何防止員工外出辦公，不慎筆記本丟失也不會(huì)造成泄密？

3、 如何精確控制外發(fā)文檔的傳播范圍以防止文檔外發(fā)后發(fā)生二次泄密？ 如何才能防止內(nèi)部員工隨意打印公司重要文件造成泄密？ 如何防止外來計(jì)算機(jī)隨意接入公司內(nèi)網(wǎng)，造成數(shù)據(jù)泄密？ 如果防止員工通過ipad、iphone訪問服務(wù)器數(shù)據(jù)泄密？ 三管理目標(biāo) 對終端軟硬件環(huán)境規(guī)范化管理、對員工網(wǎng)絡(luò)行為規(guī)范管理，讓員工養(yǎng)成良好的工作習(xí)慣，提高保密意識(shí)，降低泄密風(fēng)險(xiǎn)； 對內(nèi)部文件透明加密后，保持現(xiàn)有的工作模式和操作習(xí)慣不變，不改變文件格式、不封閉網(wǎng)絡(luò)、外設(shè)端口，保證辦公效率，實(shí)現(xiàn)數(shù)據(jù)泄密管理，形成“對外受阻，對內(nèi)無礙”的管理效果； 未經(jīng)公司授權(quán)允許，數(shù)據(jù)不管任何方式離開了公司均無法正常訪問。只有經(jīng)過合法流程審批后，才

4、能在公司授于的權(quán)限范圍內(nèi)訪問； 全程監(jiān)督、跟蹤、記錄所有員工的全部操作，實(shí)時(shí)回溯泄密全過程。 四管理思路4.1防止公司內(nèi)部數(shù)據(jù)泄密通過動(dòng)態(tài)加解密技術(shù)，有效防止公司內(nèi)部數(shù)據(jù)泄密。即員工在創(chuàng)建、編輯文檔時(shí)，一旦發(fā)出寫硬盤的操作，文檔會(huì)被自動(dòng)加密存放在硬盤上，若發(fā)出讀硬盤的操作，文檔將被自動(dòng)解密以明文的形式打開，防止作者故意或由于疏忽而造成泄密或?qū)ξ募阂馄茐?。管理思路?q 不改變員工使用習(xí)慣、不改變文件格式、不改變公司網(wǎng)絡(luò)結(jié)構(gòu)、不降低員工辦公效率、不封閉公司網(wǎng)絡(luò)、不封閉公司電腦的外設(shè)端口； q 做到公司內(nèi)部員工文檔交互依舊自由流通，無任何影響； q 企業(yè)內(nèi)部形成類似一個(gè)“用戶無感知的加密網(wǎng)”，員

5、工未經(jīng)授權(quán)，不管任何方式，數(shù)據(jù)離開了公司的環(huán)境，無法正常查看； q 只有經(jīng)過公司審批后，用戶才可在授于的權(quán)限范圍內(nèi)，訪問該文件。4.2防止機(jī)密文件在公司內(nèi)部擴(kuò)散 管理思路：q 作者在公司內(nèi)部創(chuàng)建了機(jī)密文件（如：工資表、技術(shù)方案等）后，根據(jù)實(shí)際業(yè)務(wù)的需要，對需要訪問的不同員工設(shè)定不同的訪問權(quán)限；q 被授權(quán)的員工獲得該機(jī)密文件后，打開時(shí)必須輸入作者賦予的正確口令，才能訪問該機(jī)密文件；q 被授權(quán)的員工經(jīng)過合法的身份認(rèn)證后，也只能在賦予的權(quán)限范圍內(nèi)訪問該機(jī)密文件；q 機(jī)密文件的訪問權(quán)限的控制包括：閱讀次數(shù)、次數(shù)打印、是否可截屏、是否可編輯、閱讀時(shí)間、禁止刪除、過期自毀等。4.3防止員工外出辦公泄密管理

6、思路： q 短期外出：方便員工晚上回家或者周末在家也能正常加解密文件，不需要額外的操作。 q 長期外出：在規(guī)定的期限內(nèi)，攜帶筆記本在外也可以正常工作，超過期限，將無法打開加密文檔。 q 永久外出：對在分公司或辦事處用戶，可使用永久離線，保證總部與分部之間的資料都是加密的，可以互相訪問，又可以控制分部的資料，防止外泄。4.4防止員工離職泄密管理思路：q 員工在新建、編輯重要文件（如：cad文件、設(shè)計(jì)圖紙等）時(shí)，服務(wù)器自動(dòng)對重要文件備份到服務(wù)器指定隱藏目錄下保存，避免員工離職時(shí)有意刪除或格式化電腦，給企業(yè)帶來損失；q 通過對公司電腦上的數(shù)據(jù)透明加密，有效地避免了員工離職時(shí)，想帶走幾年下來大量重要的

7、資料。4.5防止文件外發(fā)后泄密與外界進(jìn)行頻繁的信息溝通已成為公司必要的一種業(yè)務(wù)模式，這些交互的信息可能會(huì)涉及企業(yè)核心信息，而這些信息一旦流出企業(yè)就面臨著失控的風(fēng)險(xiǎn)。為了解決對外業(yè)務(wù)交互的后顧之憂，我們提供信息對外發(fā)布管理思路：管理思路：q 當(dāng)需要給客戶或者合作伙伴外發(fā)文件時(shí)，首先向上級(jí)領(lǐng)導(dǎo)進(jìn)行外發(fā)申請，而后才能有權(quán)將該文件打包成一個(gè)受控文件，外發(fā)給客戶或合作伙伴；q 被授權(quán)的客戶或合作伙伴獲得該受控外發(fā)文件后，打開時(shí)需先進(jìn)行合法的身份認(rèn)證，而后才能在授予的權(quán)限范圍內(nèi)訪問；q 身份認(rèn)證的方式包括：口令認(rèn)證、機(jī)器碼認(rèn)證、聯(lián)網(wǎng)認(rèn)證；q 訪問權(quán)限包括：閱讀次數(shù)、可打印、可截屏、可編輯、閱讀期限、過期自

8、毀、回收等；q 被授權(quán)的客戶或或者伙伴在訪問該文件時(shí)，無需在自己的電腦上安裝任何插件，即可訪問。4.6防止筆記本丟失泄密在計(jì)算機(jī)廣泛使用的今天，筆記本電腦的丟失會(huì)給我們帶來很大的麻煩，除了經(jīng)濟(jì)損失外，電腦中存儲(chǔ)的涉密資料、個(gè)人隱私的泄密會(huì)成為另一個(gè)潛在的威脅，有可能給我們帶來無可挽回的損失。數(shù)據(jù)的加密保證了筆記本電腦丟失的情況下，電腦中存儲(chǔ)的資料仍然不被泄密。只有輸入合法的口令，才可以查看筆記本上的數(shù)據(jù)。4.7防止員工打印泄密管理思路：q 對員工是否可打印、可在哪臺(tái)打印、打印何類型文檔，做到事前控制；q 對打印的內(nèi)容進(jìn)行記錄，并提供詳細(xì)打印日志報(bào)表，便于審計(jì)；q 提供水印功能起到防偽的作用.4

9、.8防止移動(dòng)終端辦公泄密q 與ipad、iphone結(jié)合，實(shí)現(xiàn)通過ipad、iphone方式在線訪問公司服務(wù)器的加密數(shù)據(jù)，提供公司領(lǐng)導(dǎo)層的辦公效率。4.9避開服務(wù)器復(fù)雜環(huán)境，防止服務(wù)器數(shù)據(jù)泄密管理思路：q 公司內(nèi)部加密數(shù)據(jù)上傳到公司制定的白名單服務(wù)器時(shí)，數(shù)據(jù)會(huì)被自動(dòng)解密成明文后保存在服務(wù)器上；q 員工將服務(wù)器上明文數(shù)據(jù)下載到公司內(nèi)部終端時(shí)，數(shù)據(jù)被自動(dòng)加密，避免數(shù)據(jù)泄密；q 員工在公司外在線訪問公司服務(wù)器上的數(shù)據(jù)時(shí)，可正常訪問；q 當(dāng)員工在公司外下載服務(wù)器上的明文數(shù)據(jù)時(shí)，下載被自動(dòng)禁止，避免明文數(shù)據(jù)下載后泄密。4.10內(nèi)部辦公規(guī)范化管理，降低泄密風(fēng)險(xiǎn)管理思路：q 對終端硬件使用規(guī)范管理：u盤、刻

10、錄機(jī)、打印機(jī)等使用規(guī)范化管理；q 對終端軟件使用規(guī)范管理：規(guī)定企業(yè)不同的部門電腦統(tǒng)一安裝哪些軟件，之外的所有軟件都是禁止安裝；q 對員工網(wǎng)絡(luò)行為規(guī)范管理：對員工的上網(wǎng)行為規(guī)范化管理；q 對員工終端軟硬件環(huán)境、上網(wǎng)行為規(guī)范管理后，讓員工潛移默化地養(yǎng)成良好的工作習(xí)慣，提高保密意識(shí)和辦公效率，降低數(shù)據(jù)泄密風(fēng)險(xiǎn)。五管理效果 文檔加密： 盜走了 拿走了 沒法用 權(quán)限控管： 能看不能改 能改不能印 時(shí)間期限： 過期了 離職后，帶走了 不能用 身份認(rèn)證： 你是誰 怎確認(rèn) 要認(rèn)證 全程追蹤： 誰看過 誰印過 有記錄 離線管理： 出差了 斷網(wǎng)了 也能看 使用習(xí)慣： 原來怎么用 現(xiàn)在還怎么用 六關(guān)于天銳6.1天銳

11、簡介廈門天銳科技有限公司總部位于廈門珍珠灣軟件園，是“國家高新技術(shù)企業(yè)”、“雙軟認(rèn)證企業(yè)”，公司始終專注于研發(fā)具有自主核心技術(shù)和知識(shí)產(chǎn)權(quán)的信息安全軟件產(chǎn)品，專業(yè)從事數(shù)據(jù)防泄密產(chǎn)品的研究、開發(fā)和銷售。公司堅(jiān)持以人為本，以技術(shù)為核心，歷經(jīng)數(shù)年積淀，目前技術(shù)骨干團(tuán)隊(duì)由美國留學(xué)歸國博士及來自于清華大學(xué)、廈門大學(xué)、福州大學(xué)等著名學(xué)府的專業(yè)人士組成。在現(xiàn)有的研發(fā)人員中，碩士以上學(xué)歷占60%以上。作為國內(nèi)數(shù)據(jù)防泄密領(lǐng)域的領(lǐng)導(dǎo)者，公司已有多個(gè)產(chǎn)品取得了著作權(quán)登記證書、軟件產(chǎn)品登記證書、信息安全產(chǎn)品銷售許可證、涉密產(chǎn)品認(rèn)證證書、軍工產(chǎn)品認(rèn)證證書。產(chǎn)品廣泛應(yīng)用于金融、政府、軍隊(duì)軍工、管理咨詢、設(shè)計(jì)開發(fā)、貿(mào)易、制造

12、業(yè)等諸多行業(yè)。在研發(fā)創(chuàng)新技術(shù)領(lǐng)先的同時(shí)，憑著對市場的精心耕耘，目前已在浙江、廣東成立分公司，北京、天津、上海、蘇州、南京、西安等多個(gè)直轄市和省會(huì)城市設(shè)立辦事處，并在全國各地建立50 多個(gè)經(jīng)銷網(wǎng)點(diǎn)，為終端客戶提供滿意周到的服務(wù)，以專業(yè)、熱忱的信念持續(xù)為客戶推出具有國際先進(jìn)水平的信息安全產(chǎn)品，為推進(jìn)中國的信息安全步伐不懈努力。6.2 典型案例:彩虹集團(tuán)電子股份有限公司彩虹集團(tuán)電子股份有限公司（簡稱“彩虹電子”）是由國務(wù)院國資委管理的中央企業(yè)彩虹集團(tuán)公司于2004年9月10日根據(jù)中國法律獨(dú)家發(fā)起設(shè)立之股份有限公司，公司于2004年12月20日在香港聯(lián)合交易所成功掛牌。 彩虹電子地處歷史古城陜西咸陽，

13、在西安、昆山、珠海、南京等地均設(shè)有工廠，是具有世界影響的顯示器件及其資源相關(guān)產(chǎn)業(yè)制造商。公司擁有11家一級(jí)控股子公司及6家二級(jí)子公司，其中彩虹股份于1996年5月在上海證券交易所上市，從事顯示器件的生產(chǎn)，其彩色顯像管的年產(chǎn)銷量和市場占有率在行業(yè)中排名國內(nèi)第一，全球前三。彩虹電子同時(shí)在其它顯示器件、電子玻璃、發(fā)光材料及高精密金屬部品等領(lǐng)域全力開拓發(fā)展。作為行業(yè)的領(lǐng)先者，彩虹電子對信息安全建設(shè)的要求尤為重視。既要求對內(nèi)部信息的強(qiáng)力保護(hù)，又不能夠影響員工的工作效率是彩虹電子對信息安全解決方案的重要指標(biāo)。天銳綠盾公司通過其強(qiáng)大的技術(shù)實(shí)力、良好的用戶口碑、健全的服務(wù)體系，于2010年2月成功中標(biāo)。天銳綠盾全力為彩虹電子建立起集信息安全管理、監(jiān)督和審查為一體的數(shù)據(jù)泄漏防護(hù)體系。1項(xiàng)目需求 n 與公司內(nèi)部無縫ad整合；n 與公司內(nèi)部oa無縫整合；n 與公司內(nèi)部cvs、erp、crm系統(tǒng)無縫集成整合；n 保護(hù)公司內(nèi)部的重要技術(shù)資產(chǎn)不流失，如設(shè)計(jì)圖紙、源代碼，資源文檔等；n 保護(hù)集團(tuán)、子公司