数据安全保护解决方案
数据安全保护解决方案


1.项目背景
伴随着信息安全事件的不断发生,信息安全的重要性呈指数增长的趋势。随着互联网的不断渗透,各种智能终端设备和云存储广泛使用等,企业面临各种新的信息安全风险。
如何应对因互联网发展、社会进步带来的新生事物对企业信息安全的风险,如何确保用户本地数据和服务器上数据的安全,这些都成为了成为了摆在IT系统安全管理人员面前一道棘手的问题。
本方案目的在于寻求解决内网数据安全,内外网数据交互安全,避免因智能终端设备,服务器,,邮件系统,网络云等广泛使用带来的企业信息泄密风险。
2.安全需求和解决方案
在企业内部各种云存储的使用,邮件系统,应用服务器系统的常态使用,Android、iOS智能终端设备的普遍使用,会给给企业带来非常具体的泄密风险。
目前主要数据泄密风险分被动和主动两类,既要防止数据主动泄密,也要防止数据被动泄密。更要防止数据在无意识之间造成的泄密。
可能的泄密途径,应该来讲主要包括:
    服务器上泄密、
  网络泄密、
    终端泄密
   
主要的表现形式如下:
服务器泄密:
1、    网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。
2、    维护人员知道服务器密码,远程登陆上,将服务器上的资料完全的拷到本地或者自己
家里的机器上。
终端泄密:
1、终端智能设备的任意使用和丢失带来个人隐私的泄密风险
2、终端智能设备任意接入公司的网络安全区域带来wifi管理的泄密风险
   
网络泄密:
1、    内部人员通过互联网将资料通过发送出去。
2、    内部人员通过互联网将资料通过云端的上传下载把文件发送出去。
3、    随意将文件设成共享,通过公有云分享导致非相关人员获取资料。
共享文件如何加密解决方案:为了杜绝上述几种泄密途径,主动对数据进行数据防泄密,有多种解决方案,信息行业共识的方案为:
以裁剪后的信息安全标准为规范,结合行政、管理制度,采用数据透明加密是目前最彻底的防护方案
在数据透明加密方面,以加密3.0多模透明加密技术,一文一密钥加密效果,对称加密和非对称加密相结合加密密钥机制成为目前透明加密技术的主流。
本解决方案推荐采用山丽防水墙数据防泄密系统7.0来实现数据防护。该产品采用加密3.0多模透明加密技术。多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合,可以实现一文一密钥;
目前的代表产品:Windows的EFS、win7的BitLock、Adobe的PDF、山丽网安的防水墙数据防泄漏系统;
多模加密的多场景:全盘、格式、目录、空加密、外设加密、网络加密。
2.1网络泄密途径: 网络云盘(360云盘,百度云盘,阿里云等私有云)
问题:现在越来越多分享式云存储服务产品的兴起,企业内部使用网络云盘功能对企业内部数据上传下载存在一定的泄密风险,成为网络泄密新的一种形式。
解决方案
1:首先使用防水墙多模加密策略进行本地数据进行动态透明的加密,且不改变用户使用习惯和工作模式,在防水墙客户端实现上传到云盘的文件为密文(无论是客户端还是网页上传),因为上传的文件为密文,密文脱离了防水墙客户端环境打开是乱码或者无法使用。从而达到对企业内部数据安全保护和杜绝了泄密风险。
2:在使用网络云盘的时候调用防水墙接口,登陆网络云盘后防水墙客户端伴随启动登陆,确保了在使用网络云盘的时候,网络云盘始终保持在防水墙加密环境运行从而达到无论在网络云盘下载的文件落地加密
2.2 服务器泄密途径:应用服务器server(pdm,oa,sap,mes,crm等)
问题:一般企业内部均存在应用服务器pdm等服务器做文件存储及备份归档管理功能。用户可以直接访问文件服务器,需要对文件服务器数据进行权限管控BS结构的应用往往成为一般办公系统的主流,尤其是如OA系统,是组织成员进行业务沟通,外部用户可以通过web形式访问公司web前端,web前端需要再访问内部数据库及服务器,需要保护数据库及数据服务器
解决方案
1:TPM可信程序管理模块,在安装有防水墙客户端终端之前可以实现自由互相访问,在没有安装防水墙客户端产品的终端或者没有启动防水墙客户端都无法访问安装防水墙客户端的终端,如果需要访问需要讲没有安装防水墙客户端的终端ip添加到白名单才能访问,有效的保护了服务器的安全,做到了服务器的网络准入控制和管理
2:TPM可信程序管理模块可以无需改变用户网络结构部署安全网关硬件产品,和在服务器上部署软件产品轻松实现上传解密,下载加密,设置用户(组)上传到各种应用系统(包括内部网络OA,svn,pdm,crm,sap,mes系统)文件的密文和明文之间的变化增加操作的便捷性不会对对网络结构做任何的变更不会增加用户的实施难度不会增加单点故障。
2.3 网络泄密途径:邮件系统(webmail,outlook,foxmail,exchange,notes等)
问题企业内部存在将资料以网页发送出去,导致非相关人员获取资料等是网络途径最多泄密途径
解决方案:对pc端文件进行加密(邮件附件内容变成密文文件),无论通过webmail或者客户
端mail形式发送出去始终保持密文状态,密文脱离了防水墙环境都会打不开或者打开乱码,达到了数据安全的保护。且结合企业内部邮箱使用实现邮箱白名单的功能。
方案一:预先申请邮箱作为永久明文邮箱发送给这些邮箱的密文将全部自动解密
方案二:预先对用户定密级,对申请的永久邮箱定密级发送对应密级的文件给对应密级的邮箱密文将全部自动解密
方案三:邮件外发申请,用户可对特定的文件进行申请
当申请通过后,发送出去的文件也将自动解密
2.4 终端泄密途径:andriod和ios智能终端管理
问题:智能终端存在公司任意建立wifi热点,设备丢失带来的个人隐私泄密风险
解决方案
1.个人隐私数据
功能包括:将联系人、照片加密
功能效果:将联系人、照片加密后,手机本身的联系人、照片界面将不再显示这些加密数据的预览,想查看到这些信息就必须要进入防水墙APP解密这些数据才能进行查看
2.安全区域管理
功能包括:安全wifi、安全地址
功能效果:在安全wifi、地址下才能够登录防水墙才能访问加密数据。可以通过交叉使用,达到使手机只能在固定范围内才能正常使用的效果
3.审批流管理
功能包括:审批流的申批申请将会在这个界面显示相应数字的提示。点击可进入相应申请的列表进行审批相关操作
功能效果:实现在移动终端对企业内部密文文件的审批功能
3.产品部署

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。