數(shù)據(jù)安全保護(hù)解決方案

1、 數(shù)據(jù)安全保護(hù)解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc47454101 1.項(xiàng)目背景 PAGEREF _Toc47454101 h 3 HYPERLINK l _Toc47454102 2.安全需求和解決方案 PAGEREF _Toc47454102 h 3 HYPERLINK l _Toc47454103 2.1網(wǎng)絡(luò)泄密途徑: 網(wǎng)絡(luò)云盤(pán)（360云盤(pán)，百度云盤(pán)，阿里云等私有云） PAGEREF _Toc47454103 h 4 HYPERLINK l _Toc47454104 2.2 服務(wù)器泄密途徑：應(yīng)用服務(wù)器server（pdm，oa，sap，mes，

2、crm等） PAGEREF _Toc47454104 h 4 HYPERLINK l _Toc47454105 2.3 網(wǎng)絡(luò)泄密途徑：郵件系統(tǒng)（webmail，outlook，foxmail，exchange，notes等） PAGEREF _Toc47454105 h 5 HYPERLINK l _Toc47454106 2.4 終端泄密途徑：andriod和ios智能終端管理 PAGEREF _Toc47454106 h 5 HYPERLINK l _Toc47454107 3.產(chǎn)品部署 PAGEREF _Toc47454107 h 51.項(xiàng)目背景伴隨著信息安全事件的不斷發(fā)生，信息安全的重

3、要性呈指數(shù)增長(zhǎng)的趨勢(shì)。隨著互聯(lián)網(wǎng)的不斷滲透，各種智能終端設(shè)備和云存儲(chǔ)廣泛使用等，企業(yè)面臨各種新的信息安全風(fēng)險(xiǎn)。如何應(yīng)對(duì)因互聯(lián)網(wǎng)發(fā)展、社會(huì)進(jìn)步帶來(lái)的新生事物對(duì)企業(yè)信息安全的風(fēng)險(xiǎn)，如何確保用戶本地?cái)?shù)據(jù)和服務(wù)器上數(shù)據(jù)的安全，這些都成為了成為了擺在IT系統(tǒng)安全管理人員面前一道棘手的問(wèn)題。本方案目的在于尋求解決內(nèi)網(wǎng)數(shù)據(jù)安全，內(nèi)外網(wǎng)數(shù)據(jù)交互安全，避免因智能終端設(shè)備，服務(wù)器，郵件系統(tǒng)，網(wǎng)絡(luò)云等廣泛使用帶來(lái)的企業(yè)信息泄密風(fēng)險(xiǎn)。2.安全需求和解決方案在企業(yè)內(nèi)部各種云存儲(chǔ)的使用，郵件系統(tǒng)，應(yīng)用服務(wù)器系統(tǒng)的常態(tài)使用，Android、iOS智能終端設(shè)備的普遍使用，會(huì)給給企業(yè)帶來(lái)非常具體的泄密風(fēng)險(xiǎn)。目前主要數(shù)據(jù)泄密風(fēng)險(xiǎn)

4、分被動(dòng)和主動(dòng)兩類，既要防止數(shù)據(jù)主動(dòng)泄密，也要防止數(shù)據(jù)被動(dòng)泄密。更要防止數(shù)據(jù)在無(wú)意識(shí)之間造成的泄密。可能的泄密途徑，應(yīng)該來(lái)講主要包括：服務(wù)器上泄密、 網(wǎng)絡(luò)泄密、終端泄密 主要的表現(xiàn)形式如下：服務(wù)器泄密：1、網(wǎng)絡(luò)維護(hù)人員在進(jìn)行維護(hù)時(shí)使用移動(dòng)硬盤(pán)將服務(wù)器上的資料自備一份。2、維護(hù)人員知道服務(wù)器密碼，遠(yuǎn)程登陸上，將服務(wù)器上的資料完全的拷到本地或者自己家里的機(jī)器上。終端泄密：1、終端智能設(shè)備的任意使用和丟失帶來(lái)個(gè)人隱私的泄密風(fēng)險(xiǎn)2、終端智能設(shè)備任意接入公司的網(wǎng)絡(luò)安全區(qū)域帶來(lái)wifi管理的泄密風(fēng)險(xiǎn)網(wǎng)絡(luò)泄密：1、內(nèi)部人員通過(guò)互聯(lián)網(wǎng)將資料通過(guò)電子郵件發(fā)送出去。2、內(nèi)部人員通過(guò)互聯(lián)網(wǎng)將資料通過(guò)云端的上傳下載把文

5、件發(fā)送出去。3、隨意將文件設(shè)成共享，通過(guò)公有云分享導(dǎo)致非相關(guān)人員獲取資料。解決方案：為了杜絕上述幾種泄密途徑，主動(dòng)對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)防泄密，有多種解決方案，信息行業(yè)共識(shí)的方案為：以裁剪后的信息安全標(biāo)準(zhǔn)為規(guī)范，結(jié)合行政、管理制度，采用數(shù)據(jù)透明加密是目前最徹底的防護(hù)方案。在數(shù)據(jù)透明加密方面，以加密3.0多模透明加密技術(shù)，一文一密鑰加密效果，對(duì)稱加密和非對(duì)稱加密相結(jié)合加密密鑰機(jī)制成為目前透明加密技術(shù)的主流。本解決方案推薦采用山麗防水墻數(shù)據(jù)防泄密系統(tǒng)7.0來(lái)實(shí)現(xiàn)數(shù)據(jù)防護(hù)。該產(chǎn)品采用加密3.0多模透明加密技術(shù)。多模加密技術(shù)的特征是采用系統(tǒng)內(nèi)核級(jí)別的驅(qū)動(dòng)技術(shù)、采用對(duì)稱加密和非對(duì)稱加密相結(jié)合，可以實(shí)現(xiàn)一文一密鑰

6、；目前的代表產(chǎn)品：Windows的EFS、win7的BitLock、Adobe的PDF、山麗網(wǎng)安的防水墻數(shù)據(jù)防泄漏系統(tǒng)；多模加密的多場(chǎng)景：全盤(pán)、格式、目錄、空加密、外設(shè)加密、網(wǎng)絡(luò)加密。2.1網(wǎng)絡(luò)泄密途徑: 網(wǎng)絡(luò)云盤(pán)（360云盤(pán)，百度云盤(pán)，阿里云等私有云）問(wèn)題：現(xiàn)在越來(lái)越多分享式云存儲(chǔ)服務(wù)產(chǎn)品的興起，企業(yè)內(nèi)部使用網(wǎng)絡(luò)云盤(pán)功能對(duì)企業(yè)內(nèi)部數(shù)據(jù)上傳下載存在一定的泄密風(fēng)險(xiǎn)，成為網(wǎng)絡(luò)泄密新的一種形式。解決方案1：首先使用防水墻多模加密策略進(jìn)行本地?cái)?shù)據(jù)進(jìn)行動(dòng)態(tài)透明的加密，且不改變用戶使用習(xí)慣和工作模式，在防水墻客戶端實(shí)現(xiàn)上傳到云盤(pán)的文件為密文（無(wú)論是客戶端還是網(wǎng)頁(yè)上傳），因?yàn)樯蟼鞯奈募槊芪?，密文脫離了防水

7、墻客戶端環(huán)境打開(kāi)是亂碼或者無(wú)法使用。從而達(dá)到對(duì)企業(yè)內(nèi)部數(shù)據(jù)安全保護(hù)和杜絕了泄密風(fēng)險(xiǎn)。2：在使用網(wǎng)絡(luò)云盤(pán)的時(shí)候調(diào)用防水墻接口，登陸網(wǎng)絡(luò)云盤(pán)后防水墻客戶端伴隨啟動(dòng)登陸，確保了在使用網(wǎng)絡(luò)云盤(pán)的時(shí)候，網(wǎng)絡(luò)云盤(pán)始終保持在防水墻加密環(huán)境運(yùn)行從而達(dá)到無(wú)論在網(wǎng)絡(luò)云盤(pán)下載的文件落地加密2.2 服務(wù)器泄密途徑：應(yīng)用服務(wù)器server（pdm，oa，sap，mes，crm等）問(wèn)題：一般企業(yè)內(nèi)部均存在應(yīng)用服務(wù)器pdm等服務(wù)器做文件存儲(chǔ)及備份歸檔管理功能。用戶可以直接訪問(wèn)文件服務(wù)器，需要對(duì)文件服務(wù)器數(shù)據(jù)進(jìn)行權(quán)限管控BS結(jié)構(gòu)的應(yīng)用往往成為一般辦公系統(tǒng)的主流，尤其是如OA系統(tǒng)，是組織成員進(jìn)行業(yè)務(wù)溝通，外部用戶可以通過(guò)web

8、形式訪問(wèn)公司web前端，web前端需要再訪問(wèn)內(nèi)部數(shù)據(jù)庫(kù)及服務(wù)器，需要保護(hù)數(shù)據(jù)庫(kù)及數(shù)據(jù)服務(wù)器解決方案1：TPM可信程序管理模塊，在安裝有防水墻客戶端終端之前可以實(shí)現(xiàn)自由互相訪問(wèn)，在沒(méi)有安裝防水墻客戶端產(chǎn)品的終端或者沒(méi)有啟動(dòng)防水墻客戶端都無(wú)法訪問(wèn)安裝防水墻客戶端的終端，如果需要訪問(wèn)需要講沒(méi)有安裝防水墻客戶端的終端ip添加到白名單才能訪問(wèn)，有效的保護(hù)了服務(wù)器的安全，做到了服務(wù)器的網(wǎng)絡(luò)準(zhǔn)入控制和管理2：TPM可信程序管理模塊可以無(wú)需改變用戶網(wǎng)絡(luò)結(jié)構(gòu)部署安全網(wǎng)關(guān)硬件產(chǎn)品，和在服務(wù)器上部署軟件產(chǎn)品輕松實(shí)現(xiàn)上傳解密，下載加密，設(shè)置用戶（組）上傳到各種應(yīng)用系統(tǒng)（包括內(nèi)部網(wǎng)絡(luò)OA，svn，pdm，crm，sap

9、，mes系統(tǒng)）文件的密文和明文之間的變化增加操作的便捷性不會(huì)對(duì)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)做任何的變更不會(huì)增加用戶的實(shí)施難度不會(huì)增加單點(diǎn)故障。2.3 網(wǎng)絡(luò)泄密途徑：郵件系統(tǒng)（webmail，outlook，foxmail，exchange，notes等）問(wèn)題：企業(yè)內(nèi)部存在將資料以電子郵件網(wǎng)頁(yè)發(fā)送出去，導(dǎo)致非相關(guān)人員獲取資料等是網(wǎng)絡(luò)途徑最多泄密途徑解決方案：對(duì)pc端文件進(jìn)行加密(郵件附件內(nèi)容變成密文文件），無(wú)論通過(guò)webmail或者客戶端mail形式發(fā)送出去始終保持密文狀態(tài)，密文脫離了防水墻環(huán)境都會(huì)打不開(kāi)或者打開(kāi)亂碼，達(dá)到了數(shù)據(jù)安全的保護(hù)。且結(jié)合企業(yè)內(nèi)部郵箱使用實(shí)現(xiàn)郵箱白名單的功能。方案一：預(yù)先申請(qǐng)郵箱作為永久明

10、文郵箱發(fā)送給這些郵箱的密文將全部自動(dòng)解密方案二:預(yù)先對(duì)用戶定密級(jí)，對(duì)申請(qǐng)的永久郵箱定密級(jí)發(fā)送對(duì)應(yīng)密級(jí)的文件給對(duì)應(yīng)密級(jí)的郵箱密文將全部自動(dòng)解密 方案三：郵件外發(fā)申請(qǐng)，用戶可對(duì)特定的文件進(jìn)行申請(qǐng)當(dāng)申請(qǐng)通過(guò)后，發(fā)送出去的文件也將自動(dòng)解密2.4 終端泄密途徑：andriod和ios智能終端管理問(wèn)題：智能終端存在公司任意建立wifi熱點(diǎn)，設(shè)備丟失帶來(lái)的個(gè)人隱私泄密風(fēng)險(xiǎn)：解決方案：1.個(gè)人隱私數(shù)據(jù)功能包括：將聯(lián)系人、照片加密功能效果：將聯(lián)系人、照片加密后，手機(jī)本身的聯(lián)系人、照片界面將不再顯示這些加密數(shù)據(jù)的預(yù)覽，想查看到這些信息就必須要進(jìn)入防水墻APP解密這些數(shù)據(jù)才能進(jìn)行查看2.安全區(qū)域管理功能包括：安全wifi