企业内外网信息防泄密解决方案.docx

企业内外网信息防泄密解决方案 基于山丽防水墙技术目 录1项目背景 42网络场景 43安全需求情况 53.1 网络情况 53.2 工作场景 63.3 目前安全措施 63.4 用户信息安全需求 64安全风险 75监管政策 95.1 信息安全法律 95.2 行政法规 95.3 信息安全部门规章及规范性文件 105.4 信息安全国际、国内技术标准 105.5 行政法规信息安全框架 106产品方案 117加密1.0环境加密和其生存现状 116.2加密2.0格式加密和其生存现状 116.3加密3.0多模加密和其生存现状 117解决方案 127.1产品功能之多模加密技术 137.2产品功能之剪贴板控制技术 147.5产品功能之离线管理技术 157.6产品功能之审批管理技术 167.7产品功能之审批流定制技术 197.9产品功能之TPM防护技术 217.10产品功能之密文明送技术 227.12产品功能之屏幕水印&文档水印技术 247.14产品功能之U盘防水墙技术 247.16产品功能之自主分发安装技术 257.17产品功能之服务器容灾管理技术 257.18产品功能之文件备份和删除管理技术 267.20产品功能之日志管理技术 268产品优势 279售后服务 311项目背景伴随着信息安全事件的不断发生，信息安全的重要性呈指数增长的趋势。

随着互联网的不断渗透，各种智能终端设备和云存储广泛使用等，企业面临各种新的信息安全风险如何应对因互联网发展、社会进步带来的新生事物对企业信息安全的风险，如何确保用户本地数据和服务器上数据的安全，这些都成为了成为了摆在IT系统安全管理人员面前一道棘手的问题本方案目的在于寻求解决内网数据安全，内外网数据交互安全，避免因智能终端设备，服务器，，邮件系统，网络云等广泛使用带来的企业信息泄密风险2网络场景图：用户网络结构图图：用户部署结构图3安全需求情况在内网、外网存在多种场景的应用程序，这些应用程序采用BS或者CS的方式部署，为使用者提供丰富多彩的业务，是企业IT信息系统的核心组成部分，而且，随着全球数据大集中和云计算技术的发展，基于云服务方式的应用将成为IT系统提供应用的最重要方式，这种方式在服务器端往往不进行内外网的区分，只是用户在因为处于不同网络环境从而只能允许使用不同的应用而已本方案用户的实际情况如下：3.1 网络情况当前公司正处于发展壮大中，构建有办公用的局域网，同时在外建设有分公司分公司和总部共用相同的ERP服务器；3.2 工作场景文档制作，各种业务运行数据分析等笔记本可以链接外网，笔记本可以上网。

服务器交互：数据会存储保存在图库等应用服务器上3.3 目前安全措施目前企业内部暂时未部署有任何对应信息安全产品3.4 用户信息安全需求1， 数据可以自由进入，非经过允许，不能随意出；2， 在内部的数据，存在服务器上，电脑上，笔记本电脑上，云盘或者网盘上，均处于加密状态，无法被非授权泄露；3， 对不同角色的用户，执行不同的安全加密策略:空加密，目录加密，格式加密，全盘加密等；加密技术效果需要达到一文一密钥，和格式无关，采用多模加密技术；4， 在需要将这些数据脱密的时候，可以经过自主脱密、绿色邮箱脱密、自动审核、人工审核；5， 数据还可以进行半脱密处理，防止数据发给用户的时候，用户造成的二次泄密，即：用户收到收据后，对数据的使用接收次数、时间、打印、水印、绑定U盘电脑等的设置；6， 在带入公司内部的U盘、移动硬盘等外设进行注册、认证处理，确保这些数据设备只能在公司内部或者内部制定的电脑上使用；7， 在员工出差的时候，可以给用户设置固定时间离线的工作模式；8， 在员工临时回家加班的时候，可以为员工提供U盘客户端，然员工在家里电脑也可以自由处理涉密数据而不会造成泄密；9， 当数据加密系统服务器崩溃的72小时内，客户端可以切换为本地登录，让员工仍然可以自由的处理涉密数据；10， 对公司ERP服务器数据进行防护，防止通过ERP等应用系统产生的数据泄密；用户特殊信息安全需求： 1，程序的防泄密：山丽防水墙采用多模加密中全盘加密实现防护 2，程序的到时禁止使用：山丽防水墙的离线控制使用； 3，数据往PLC设备里面的烧录：山丽防水墙的烧录管理模块的使用； 4，个别文件的时间控制：山丽防水墙的密文明送控制使用； 防护方式： 在用户提交的设备上，安装部署山丽防水墙软件，实现对整体的数据防护。

4安全风险数据泄密存在被动和主动两类，既要放置数据主动泄密，也要防止数据被动泄密更要方法数据在无意识之间造成的泄密可能的泄密途径，应该来讲主要包括： 服务器上泄密、 工作站泄密、 移动设备泄密、 网络泄密、 输出设备泄密、 客户泄密、 合作单位员工转发泄密等主要的表现形式如下：服务器泄密：1、 网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份2、 维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机器上工作站泄密：1、 乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料2、 内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走3、 将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走4、 将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃5、 将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来装上6、 将办公用便携式电脑直接带回家中7、 将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走8、 将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走9、 电脑易手后，硬盘上的资料没有处理，导致泄密。

10、 笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取网络泄密：1、 内部人员通过互联网将资料通过电子邮件发送出去2、 内部人员通过互联网将资料通过网页bbs发送出去3、 随意将文件设成共享，导致非相关人员获取资料4、 将自己的笔记本带到公司，连上局域网，使用各种手段如ftp、telnet窃取资料5、 随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密输出设备（移动设备）泄密：1、 移动存储设备共用，导致非相关人员获取资料移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等2、 将文件打印后带出客户泄密：1、 客户将公司提供的文件自用或者给了竞争对手2、 客户处管理不善产生的泄密3、 员工收到文件后将文件发送给其他人员产生的泄密5监管政策5.1 信息安全法律l 中华人民共和国宪法相关信息安全部分l 中华人民共和国刑法相关信息安全部分l 中华人民共和国保守国家秘密法l 中华人民共和国标准化法l 中华人民共和国国家安全法5.2 行政法规l 中华人民共和国计算机安全等级保护条例l 商用密码管理条例l 中华人民共和国产品质量认证管理条例5.3 信息安全部门规章及规范性文件l 计算机信息网络国际联网安全保护管理办法l 计算机病毒防治管理办法l 计算机信息系统国际联网保密管理规定l 计算机信息系统安全专用产品检测和销售许可证管理办法l 科学技术保密规定l 注册信息安全专业人员认证程序l 企业内部控制基本规范l 商业银行信息科技风险管理指引5.4 信息安全国际、国内技术标准l 基础类标准l 物理安全标准l 系统与网络标准l 应用与工程标准l 管理标准5.5 行政法规信息安全框架l 开放系统安全框架ISO 10181-1)l 鉴别框架(ISO 10181-2)l 访问控制框架(ISO 10181-3)l 抗抵赖框架(ISO l0181-4)l 完整性框架(ISO 1018l-5)l 保密性框架(ISO l018l-6)l 安全审计框架(ISO 1018l-7)l 管理框架(ISO 7498-4)l 安全保证框架(ISO /IEC WD l5443:1999)6产品方案数据防泄密，有多种解决方案，信息行业共识的方案为：以裁剪后的信息安全标准为规范，结合行政、管理制度，采用数据透明加密是目前最彻底的防护方案。

在数据透明加密方面，以加密3.0多模透明加密技术，一文一密钥加密效果，对称加密和非对称加密相结合加密密钥机制成为目前透明加密技术的主流本解决方案推荐采用山丽防水墙数据防泄密系统5.0来实现数据防护该产品采用加密3.0多模透明加密技术7加密1.0环境加密和其生存现状环境加密的本质是硬盘引导区的加密，数据本身不加密；全公司采用一个密钥；可以采用引导区重建工具等破解；目前国内还剩一家公司在执行这种技术，已经被大多数公司抛弃6.2加密2.0格式加密和其生存现状格式加密的本质是采用驱动级别或者应用程序级别的hook技术，监控具体程序的操作，将该程序特定进程和后缀的文件进行加密；目前国内大部分公司采用的是这个技术因为这种技术需要用户频繁升级，频繁设置，虽有一定应用但诟病严重，采用单个或者人工干预的多个密钥，无法实现一文一密钥；6.3加密3.0多模加密和其生存现状多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合，可以实现一文一密钥；目前的代表产品：Windows的EFS、win7的BitLock、Adobe的PDF、山丽网安的防水墙数据防泄漏系统；多模加密的多场景：全盘、格式、目录、空加密、外设加密、网络加密。

7解决方案产品功能多维阐述模块序号功能模块通俗解释专业解释效果模拟1多模透明加密模块实现客户端加密方式多样化如全盘加密、目录加密、程序加密等功能的模块支持防水墙客户端采用多种加密模式而不仅仅是加密程序变化的管理模块控制台可以按照用户组、用户的方式对具体的用户（组）设置不同的加密策略，该用户登陆防水墙加密系统将按照对应的策略被约束；2密文明送管理模块对发送到用户客户的明文文件进行阅读次数、阅读时间等进行控制的模块对用户外发到客户处的特殊明文进行权限控制的管理模块，又称作外发控制；用户客户对需要密文明送的文件进行审批，在审批同意之后，该文件将发送出去之后即具有预先设置的控制属性；3多级审批管理模块对用户申请解密的审核者先后次序可以进行自定义设置的模块实现对解密流程按照用户管理结构、管理需要进行设置的管理模块；管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以支持并行；5可信程序管理模块实现本地密文上传到OA等应用系统上自动加密、下载自动加密的模块通过一系列参数的设置，实现密文上传到应用系统自动解密、下载自动加密的管理模块通过控制台对可信程序管理模块的设置，实现密文上传到应用系统自动解密、下载自动加密7.1产品功能之多模加密技术1，系统内核透明加密功能：可以应企业现有任何软件产生之文件的加密需求；加密模式为实时进行，并对用户透明，不需要用户的任何干预；企业现有软件的加密，包括常用office类软件、可能的设计类软件如CAD等、可能的编程类软件如c++、java等、可能的烧录类。