公司數(shù)據(jù)泄漏防護(DLP)項目技術建議方案

濟南蘭光機電數(shù)據(jù)泄漏防護(DLP)工程技術方案建議書天津永富關西涂料化工DLP工程技術方案建議書4名目\l“_TOC_250002“第1章工程概述 6工程背景 6信息現(xiàn)狀分析 6建設目標 7\l“_TOC_250001“第2章技術解決方案 8設計思路 8根本要求 8內(nèi)部使用 8應用框架圖 8應用方案 9系統(tǒng)架構規(guī)劃 11系統(tǒng)功能特點 12實施影響評估 14\l“_TOC_250000“第3章工程實施建議 18工程實施打算 18工程治理 25工程實施分工協(xié)調(diào) 27天津永富關西涂料化工DLP工程技術方案建議書51工程背景在Internet高速進展的背景下，企業(yè)信息化也得到了空前的富強。隨著信息司的治理力量、工作效率。但Internet是一個開放的網(wǎng)絡，企業(yè)在享受它帶來便子文檔安全治理系統(tǒng)，即對于公司內(nèi)部電子文檔，就其使用范圍、用戶權限、用篡改。到達既防止文檔外泄和集中，又支持公司學問積存和文件共享的目的。信息現(xiàn)狀分析目前濟南蘭光機電核心信息均以明文方式存儲于各終端和應用系統(tǒng)中，并依據(jù)業(yè)務需要，通過業(yè)務平臺、網(wǎng)絡、便攜終端(筆記本)等進展數(shù)據(jù)傳遞、存儲和使用。從數(shù)據(jù)形態(tài)上復制性和不行完整追溯性問題；明文信息在業(yè)務流轉(zhuǎn)過程中，表達的歸屬權不清楚問題；因業(yè)務需要，將核心信息發(fā)出內(nèi)部環(huán)境使用導致的信息安全問題；從安全意識上核心信息通過郵件、業(yè)務平臺誤發(fā)送泄密問題；核心信息未按標準流程和保密歸檔隨便傳遞給外部泄密問題；題。從忠誠度上

內(nèi)部員工為了商業(yè)目的，違反保密規(guī)定主動泄漏核心信息引起的泄密天津永富關西涂料化工DLP工程技術方案建議書6建設目標捷性制定一整套功能完備的解決方案，防止信息外泄。通過導入信息加密治理和權限掌握，實現(xiàn)以下重要目標：了，沒法用；操作簡潔，應用便利，現(xiàn)場無痕；②權限控管。各組織、部門、使用者按實際需求，合理的權限利用；方適應，技管結(jié)合，兼顧現(xiàn)狀”的系統(tǒng)應用機制；審計；作為國內(nèi)信息安全領軍廠商，億賽通結(jié)合自身8年的軟件研發(fā)應用和國內(nèi)30萬以上終端用戶實施效勞閱歷的根底上，結(jié)合有關制度、治理體系和應用模有效防范數(shù)據(jù)泄密。天津永富關西涂料化工DLP工程技術方案建議書72設計思路DLP2.1.1.根本要求對核心文檔進展全生命周期保護；核心文檔只能在受控范圍內(nèi)被指定授權人員使用，非授權用戶不能篡改文檔內(nèi)容，不能隨便打印，不能隨便拷貝，不能截屏，未授權外帶制止使用；核心文檔受控后，文檔全部使用行為均可審計；不轉(zhuǎn)變研發(fā)用戶原有工作習慣、不增加用戶工作負擔、不限制用戶的用戶在安全的環(huán)境中無感知的處理各種研發(fā)業(yè)務。2.1.2.內(nèi)部使用權限掌握，防止核心文檔在內(nèi)部隨便集中。應用框架圖，通過數(shù)據(jù)加密來實現(xiàn)安全防護，策略應用效果如以下圖所示：天津永富關西涂料化工DLP工程技術方案建議書82.1策略應用框架圖主要策略應用如下：透亮加密：實現(xiàn)對核心數(shù)據(jù)的強制加密和透亮使用，如對OFFICEPDF〔二三維圖紙〕等進展加密防護；解密審批：實現(xiàn)明文外發(fā)需求業(yè)務支撐；離線審批：實現(xiàn)離線辦公需求業(yè)務支撐；內(nèi)容掌握：實現(xiàn)對明文內(nèi)容的安全防護，如內(nèi)容復制粘貼、拷屏、打印、拖拽等。應用方案1.文檔透亮加密系統(tǒng)承受文件過濾驅(qū)動技術，通過實時攔截文件系統(tǒng)的讀/寫懇求，對文件進天津永富關西涂料化工DLP工程技術方案建議書9行動態(tài)跟蹤和透亮加/解密處理。加密的安全性主要取決為加密算法和密鑰強度，目前承受的加密算法為RC4，密鑰長度最大可達512業(yè)級用戶的安全需求。其主要優(yōu)點：文件加/解密動態(tài)、透亮，不轉(zhuǎn)變使用者的操作習慣；性能使用格外便利。所示：應用程序 安全策略SmartSec應用層訪問掌握 文件訪問審核日志API

操作系統(tǒng) 程序行為掌握文件過濾驅(qū)動SmartSec內(nèi)核層文件系統(tǒng)(DAT)

文件訪問掌握動態(tài)加解密圖2.2 SmartSec技術實現(xiàn)SmartSec關性、敏捷拓展性。其實現(xiàn)效果如以下圖：天津永富關西涂料化工DLP工程技術方案建議書10

2.3數(shù)據(jù)加密效果圖2.5系統(tǒng)部署物理架構圖〔CDG〕系統(tǒng)為Client-Server構造與Brower-Server構造相結(jié)合。C/S構造是由客戶端軟件CDG-Client和CDG-ServerB/S構造則是指客戶端及效勞器端上通過掃瞄器〔Browser〕操作、維護保密系統(tǒng)，兼顧兩種構造的優(yōu)點又便利用戶操作。CDG天津永富關西涂料化工DLP工程技術方案建議書11端治理員是二級治理員，負責部門的終端維護和加解密策略的分發(fā)。轉(zhuǎn)。對加密文檔的內(nèi)容可掌握拷貝粘貼、拷屏、另存等操作。在內(nèi)部環(huán)境中，文件以密文存儲或流轉(zhuǎn)。對用戶完全透亮，不轉(zhuǎn)變用戶操作部核心數(shù)據(jù)進展細?；瘷嘞拚莆?，防止核心文檔在內(nèi)部隨便集中。系統(tǒng)功能特點強制加解密掌握CDG強制加密掌握，對用戶完全透亮無影響。數(shù)據(jù)完整性保護將風險降到最低。應用安全性防護幕拷貝、打印及允許打印時帶水印等。天津永富關西涂料化工DLP工程技術方案建議書12敏捷拓展功能CDG的任何環(huán)節(jié)，只需要在效勞器CDG略組合技術和簡潔明白的操作步驟，為企業(yè)的安全共性需求供給了有力保障。文檔權限掌握：權限集中。無縫集成特性CDG(PDM、CVS、CC、ERP也不轉(zhuǎn)變?nèi)我庥脩舻氖褂昧晳T；CDG還可以掌握通過任意途徑到達終端(系統(tǒng)下載、共享拷貝、自主創(chuàng)立)的涉密數(shù)據(jù)全部強制加密，用戶在終端使用透亮；同需人為參與。智能透亮特性CDG日常業(yè)務，安全終端將智能的在后臺完成數(shù)據(jù)的加密和解密，與用戶無關。自我防護功能天津永富關西涂料化工DLP工程技術方案建議書13全，防止信息泄密。日志審計至后臺數(shù)據(jù)庫進展集中存儲。治理員可以隨時通過供給的治理界面查詢跟蹤系統(tǒng)操作或加密文檔的使用的全部操作〔翻開、修改、重命名、打印等動作均可被后臺捕獲并記錄。自動升級功能CDG大大降低了企業(yè)的維護本錢，同時也可提高企業(yè)的安全收益。實施影響評估實施后安全性評估加密算法、密鑰及加密方式安全性RC4，此算法在國際上廣泛流行使用，其安全性和牢靠性是經(jīng)過長期的實踐檢驗得到各界廣泛認可的。512的字符掩蓋計算機的全部字符集〔即包含不行顯示字符在內(nèi)的全部字符碰撞和破解代價格外高，在商用領域根本不具有可操作性?？蛻舳朔€(wěn)定性及鍵壯性億賽通DLP產(chǎn)品客戶端是各項安全策略的執(zhí)行載體，其承受驅(qū)動層加密技術，驅(qū)動層加密技術是基于文件系統(tǒng)〔過濾〕驅(qū)動〔IFS〕技術，工作在系統(tǒng)的天津永富關西涂料化工DLP工程技術方案建議書14刪除等多種功能手段，防止非授權的卸載操作，系統(tǒng)強健性好。加密文件應用層掌握多種防護手段，舉例如下在操作系統(tǒng)安全模式下，只加密不解密。在應用層掌握方面：效勞器與終端之間密鑰的傳輸承受加密方式，以防止密鑰被竊；本地密鑰也是以密文方式存儲，可確保密鑰本地存放的安全；數(shù)據(jù)在編輯使用過程中，剪切板內(nèi)容用加密方式進展保護；對明文內(nèi)容供給拷貝粘貼、拷屏、拖拽等安全掌握。典型用戶應用效果300080000年為長春一汽部署了億賽通的CDG系統(tǒng)：規(guī)模為3000點效勞器〔數(shù)據(jù)庫〕安全性CDG數(shù)據(jù)后臺存儲安全問題。效勞器的安全性保障措施：效勞應用信息的正常使用,必需同時協(xié)作使用授KEY〔授權信息和證書，即使非法獵取數(shù)據(jù)庫文件和億賽通產(chǎn)品效勞應用軟件，由于無法獵取授權KEYCDG系統(tǒng)治理人員安全掌握億賽通CDG產(chǎn)品的治理人員設置，是在組織架構中定義各種角色并安排責天津永富關西涂料化工DLP工程技術方案建議書15對不同角色的責任安排和制衡。實施后對業(yè)務流程的影響1)內(nèi)部原有流程無影響對內(nèi)部原有流程做重大的變更。實施后對業(yè)務效率的影響加密數(shù)據(jù)效率分析/不轉(zhuǎn)變原始文件的格式和狀態(tài)。權限掌握效率分析效率的影響格外小。用戶應用感知影響分析知。實施后對用戶工作模式的影響原有工作模式影響分析CDGCDG全性，而且不轉(zhuǎn)變原有用戶工作模式。與外界溝通方式的影響天津永富關西涂料化工DLP工程技術方案建議書16此時需要審批人員。內(nèi)部部門溝通方式的影響CDGCDGCDG件。實施后資源投入評估系統(tǒng)運維治理員。審計果。從而需要專職的審計人員。流程審批專職的流程審批員。天津永富關西涂料化工DLP工程技術方案建議書173工程實施打算〔工程預備階段、方案設計階段、技術預備階段、試點部署階段、推廣部署階段、工程驗收說明。工程實施總體安排如以下圖所示。天津永富關西涂料化工DLP工程技術方案建議書18工作 工程階段 序號工程啟動

時間〔時間段，啟動位：天/工作日)

工程組協(xié)作

交付文檔紹、領導發(fā)言稿工程預備階段方案設計階段

工程組成立境預備業(yè)務調(diào)研方案制定

工程組協(xié)作工程組協(xié)作工程組協(xié)作組織：研能人員主要人員及領導訪談

工程組成員名單條件預備、相關硬件預備系統(tǒng)運維治理標準與手冊技術測試技術預備階段 集成測試流程測試試點部署階段 試點部署

確定納入到CDG應用系統(tǒng)和軟件操作人員幫助軟件測試工作；依據(jù)技術測試結(jié)品客戶化開發(fā)。發(fā)放試部署通知；幫助推動客戶端的試部署工作。

集成性測試結(jié)果匯總表用戶培訓資料；試部署問推廣部署階段 推廣部署

發(fā)放全面部署通知用工程期間問題處理結(jié)果匯戶培訓的組織工作； 總表客戶端安裝幫助工作。工程驗收 工程總結(jié)

工程組成員 竣工報告天津永富關西涂料化工DLP工程技術方案建議書19工程預備階段和召開啟動會議。環(huán)境預備：辦公環(huán)境、效勞器、測試電腦；單；技術預備階段參與軟件集成測試人員名單。啟動會議：文檔安全工程啟動會議組織工作。方案設計階段狀況、流轉(zhuǎn)狀況及文檔安全保護需求，不僅為各業(yè)務部門設計合理的CDG安全CDG安全解決方案，此階段CDG天津永富關西涂料化工DLP工程技術方案建議書20方案設計 內(nèi)容實施周期 _3_工作日前提條件〔需要幫助〕

業(yè)務流程、標準、解決方案確實定需要相關部門人員的充分參與；相關流程/標準確實定和優(yōu)化需要領導的參與；異分析，確定是否需要二次開發(fā)。風險分析 2. 產(chǎn)品功能差異分析未充分結(jié)合濟南蘭光機電現(xiàn)有的系統(tǒng)功能特點，會影響后期加密系統(tǒng)的運行，進而影響工作效率。在業(yè)務流程、標準、解決方案的設計過程中需要部門人員的充分參與，參與人員最好生疏本部門的業(yè)務狀況和文檔、軟件應用狀況；防范風險措施

相關流程/標準確實定需要領導的參與與支持；對問題快速的響應機制。對于突發(fā)性問題，賜予快速的反響解決。文檔安全系統(tǒng)運維治理標準與手冊文檔安全支撐系統(tǒng)的日常維護要求、數(shù)據(jù)治理要求、日常備份和審計數(shù)據(jù)提取工作流程文檔安全平臺的維護人員崗位標準和相關流程交付物 c. 文檔安全系統(tǒng)的安裝、策略配置指導手冊文檔安全產(chǎn)品日常維護手冊文檔安全產(chǎn)品客戶端安全、使用、問題解決指導手冊常見問題處理指導蘭光機電DLP解決方案〔含特別應用解決方案〕技術預備階段用系統(tǒng)的結(jié)合測試、加密產(chǎn)品與應用軟件的結(jié)合測試等。技術預備實施周期前提條件〔需要幫助〕

內(nèi)容 3 工作日技術測試、集成性測試需要相關的硬件、軟件環(huán)境。確定納入到文檔加密系統(tǒng)中的應用軟件；生疏相關應用系統(tǒng)和軟件操作人員幫助軟件測試工作；天津永富關西涂料化工DLP工程技術方案建議書21風險分析防范風險措施

技術測試、集成性測試不充分可能會造成后期一些潛在的技術問題消滅，影響工程進度。加密系統(tǒng)跟濟南蘭光機電現(xiàn)有的應用系統(tǒng)結(jié)合不當會較大轉(zhuǎn)變用戶操作習慣，影響到正常的工作效率。在根本功能測試、產(chǎn)品集成性測試過程中需要部門人員的充分參與，參與人員最好生疏系統(tǒng)、軟件的操作；技術測試、集成性測試要全面充分，測試環(huán)境要盡可能接近與真實環(huán)境；對問題快速的響應機制。對于突發(fā)性消滅的問題，賜予快速的反響解決。根本功能測試結(jié)果匯總表交付物 2. 集成性測試結(jié)果匯總表試點部署階段廣部署的順當進展。天津永富關西涂料化工DLP工程技術方案建議書22試點部署 內(nèi)容部署周期 5 工作日1.確認試點部署的部門；前提條件2.發(fā)放試部署通知；〔需要幫助〕3.用戶培訓的組織工作；4.幫助推動客戶端的試部署工作。1.試點部署的效果直接影響到下階段的推廣部署工作風險分析 次面對用戶，首次在真實環(huán)境中運行，可能會暴露前期未覺察的技術問題；遇到局部有抵觸心情的用戶，影響工程進度。往案例中的閱歷盡量躲避；防范風險措施

描述，快速跟進問題解決；3.用戶培訓，讓員工正確生疏文檔加密系統(tǒng)。1.用戶培訓資料；交付物2.試部署問題、處理結(jié)果匯總表；3.文檔安全FAQ；推廣部署階段運轉(zhuǎn)。尤為重要，主要包括以下方面：CDG運維治理流程培訓；CDG業(yè)務處理流程、工具使用培訓；CDG治理員崗位操作流程、工具使用培訓；CDG系統(tǒng)維護人員的崗位培訓培訓。天津永富關西涂料化工DLP工程技術方案建議書23推廣部署實施周期前提條件〔需要幫助〕

內(nèi)容 3 工作日發(fā)放全面部署通知；用戶培訓的組織工作；客戶端安裝幫助工作。1. 治理標準與制度與業(yè)務運作結(jié)合不好會影響到正常的工作效率；風險分析 2. 偶發(fā)的技術問題解決不準時會影響到工作效率；3. 用戶對加密系統(tǒng)的不生疏會影響到文檔加密應用的推動。結(jié)合實際的業(yè)務運作準時調(diào)整文檔加密方案流程；保持快速的問題響應速度，對于消滅的問題，首先保證用戶的正常工作，后續(xù)跟蹤問題的對應解決，問題的處理進度實時在工程組共享；防范風險措施交付物

用戶培訓工作。站在用戶的角度，盡快讓用戶把握文檔加密系統(tǒng)的應用，提高安全意識；發(fā)放文檔安全FAQ，讓用戶可自己應對常見問題的處理；文檔加密系統(tǒng)關鍵崗位的培訓工作，保證特別需求下文檔的正常流轉(zhuǎn)。1. 工程期間問題處理結(jié)果匯總表；工程驗收階段進展工程的驗收工作。工程各階段輸出文檔的完整性；工程期間問題解決狀況；工程期間共性需求的解決狀況；CDG系統(tǒng)的運行狀況。天津永富關西涂料化工DLP工程技術方案建議書24工程治理實施過程。工程實施團隊組成分析、工程技術支撐等成員組成。工程總體負責：負責工程總體打算的制定、工程啟動會議的主導、關鍵工程節(jié)點協(xié)調(diào)、工程總結(jié)匯報等環(huán)節(jié)工程經(jīng)理：負責工程總體把控、工程進度跟蹤、工程節(jié)點協(xié)調(diào)、工程進度驅(qū)動、工