狼烟支招:云南昆明测绘行业如何守护数据安全
来源:昆明狼烟 新闻类型:信息数据安全 日期:2019-02-26 浏览:914次[小中大]
摘要:国家测绘地理信息局印发《关于加强涉密测绘地理信息安全管理的通知》,其中要求测绘机构对本单位工作人员特别是领导干部和主要涉密人员进行地理信息安全保密形势、测绘与安全保密法律法规知识、技术防范防护知识与技能等方面的教育培训。
云南省测绘行业面临的难题
员工离职泄密、出差泄密、合作伙伴泄密等等,泄密风险无处不在;同时泄密途径多种多样,往往防不胜防,聊天工具、U盘、电子邮件、移动设备、打印、扫描等办公常用的信息传播载体都是潜在的泄密“黑手”。
对于测绘行业,一方面,信息化带来海量数字备份存储、高效数据分析以及便捷资料分享,极大推动了测绘勘测行业的快速发展;另一方面,生成的数据量之大,加大了安全管理难度;数据散落在各部门机构电脑上,如何有效监管保护;各种移动存储设备,加上IPAD、手机等移动办公的兴起,各种泄密口防不胜防。如何建设内部信息安全,测绘机构在加强内部规范管理的同时,亟需加密软件的技术支持。
国家测绘地理信息局下发的《通知》中明确了五项涉密测绘地理信息安全重点环节管理要求:
一是涉密计算机和涉密信息系统管理;二是介质使用和保管;三是涉密计算机外接设备管理;四是涉密信息系统配置管理;五是涉密载体销毁管理。
万物互联的今天,单单依靠切掉网络、封堵端口、限制移动存储设备的使用等原始方法,一方面,无法满足高效办公的要求;另一方面,进行海量数据拷贝存储,加大工作量的同时,海量数据的拷贝、存储、管理各个环节都存在泄密风险。所以,依靠原始的“断连”“封堵”方法无法真正解决问题。
狼烟防泄密系统信息安全整体解决方案采用“事前主动防御、事中全程控制、事后有据可查”的设计理念,从数据源头进行透明加解密,融合文件外发管控、服务器白名单、邮件白名单、移动存储设备管控、行为审计等功能,实现数据泄密管理的同时,保证办公效率。能够实现不改变原有的工作模式和员工操作习惯,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,而真正实现“对外受阻,对内无碍”的管理效果。
昆明狼烟公司的防泄密解决方案
基于测绘行业的信息安全需求,天锐科技依托多年丰富的实施经验,推出了一套符合测绘行业特点的数据防泄密解决方案。
(1)单位内部数据透明加密
狼烟防泄密系统采用文件过滤驱动层加密技术,驱动层加密工作在Windows内核,加解密动作都是在文件打开的时候动态解密,文件保存的时候强制自动加密,不产生临时文件。对办公人员操作习惯没有任何影响。当文件未经授权流到单位外,打开时会出现乱码或无法打开,并且始终处于加密状态。整个加密的过程在操作系统内核完成,保证了加密的高效性。
(2)自定义添加受控程序,支持各种类型文件加密
狼烟防泄密系统“自定义添加受控应用程序”,理论上满足对所有的应用程序产生的文件加密。只需将该应用程序(如:ArcMap)的可执行程序添加到狼烟防泄密系统系统中就可以了,ArcMap产生的各种文件即可实现自动加密。如果该应用程序有多个可执行程序,则把所有的可执行程序都添加就可以了,操作非常的灵活简单,并且用户不必担心后续应用程序升级而导致加密不能使用的问题。
(3)内外网安全管理
内外网安全管理模块主要对公司内部计算机进行有效的桌面和行为管理,包括:设置软件的黑白名单、远程协助、屏幕录制、计算机资产管理、ARP防火墙、窗口监视、聊天工具控制等对内网资源的合理、有效使用进行管理与控制,从而有效提高员工的办公效率,并降低泄密风险。同时,对终端用户的所有操作行为进行记录并审计,协助定位安全事件源头,提供有力依据。
(4) 外发文件安全管控
与外界进行频繁的信息沟通已成为测绘院必要的一种业务模式,为了保障外发文件的安全,对于一些安全性要求比较高的重要文件,可以把它们制作成受控外发文件。受控条件包括:打开次数、生存周期、密码验证、修改限制、截屏限制、打印限制、过期自毁等,超出限制将无法打开文件,防止外发文档二次扩散,确保信息安全。
(5)提供安全的离线办公管理策略
针对携带笔记本出差的员工,在出差之前需通过狼烟防泄密系统流程进行申请,经上级审批后,在授予的时间期限内,在外出差办公。如果在授予的时间期限内,仍需要在外继续办公的,可以通过电话联系上级,再重新制作一个授权离线策略,发给出差人员导入笔记本后,又可以继续在外办公。超过离线时间,外带笔记本上的加密文件将无法打开使用。
(6)解决单位内部U盘信息外泄的问题
对单位内部的U盘进行集中注册管理,根据不同的安全管理需要,可以给每个U盘设置不同的类别,分为通用U盘和专用U盘,通用U盘在单位内部和单位外部都能使用,专用U盘只能在单位内部使用,在单位外部不能使用; 将已注册的U盘分配给单位内的用户,并进行读写控制(只读、可读写),并对U盘的操作行为进行实时监控。
(7)多平台移动终端管理
支持IPAD、IPhone及Android系统的移动终端在线阅读加密文件,比如:Mail、OA、CRM、ERP等加密附件在线阅读,方便移动办公。
(8)防止电子化转为纸质化泄密
对员工是否可打印、可使用哪台打印、打印何类型文档,做到事前控制;对打印的内容进行记录,并提供详细打印日志报表,便于审计;提供水印功能起到防伪的作用。
(9)对应用服务器数据保护
狼烟防泄密系统对公司内部所有的终端数据透明加密后,在不改变服务器现状的情况下,通过服务器白名单功能实现对公司内部各种服务器上的数据保护。将需要受保护的应用服务器配置添加到白名单队列中,这样终端上传的数据会被自动解密成明文后保存在服务器上。员工将服务器上明文数据下载到公司内部终端时,数据被自动加密,避免数据泄密。
(10)全维跟踪审计
泄密事件的发生,不再受人工审计难的困扰。狼烟防泄密系统全程监督、跟踪、记录所有办公人员的全部操作,实时回溯泄密全过程,并提供详细审计报表。
昆明狼烟公司的防泄密方案优势
1.安全方面
驱动层加密
采用Windows内核的文件过滤驱动层数据加解密,指定文件类型在复制、新建、修改时被系统强制自动加密;加密的文件只能在单位内部电脑上正常使用,一旦脱离单位内部的网络环境或没有得到授权访问,在外部电脑上使用是乱码或无法打开;数据加密安全、稳定、效率高。
国内独有的三重密钥体系
在主密钥、文件密钥的基础上特别设计了企业密钥。企业密钥由用户自己设置,并支持修改,确保即使知道了密钥的内部人员离职时,企业也能重新修改密钥,保障企业信息安全。
国内独有的“多采集服务器”架构
实现总公司统一平台化管理,比如:策略下发、流程审批、日志审计等;理论上,可以支持无限终端用户数。
2.易用方面
透明加密技术
对于加密部署,内部人员几乎无感,不改变员工使用习惯、不封闭网络、不封闭丰富外设端口、不改变文件格式。
用户自定义添加受控应用程序
支持批量添加自定义程序,操作灵活简单,理论上满足对所有的应用程序产生的文件加密。
IPAD在线阅读加密文件
支持IPAD在线阅读加密文件,比如:mail、OA、CRM、ERP等加密附件在线阅读,方便办公。
3.灵活方面
丰富的流程化审批
自定义多人多级审批(如:A/B角色)审批,可用性高;支持审批人在线、离线、全部状态时自动审批;支持Web审批方式、移动终端(如:iPad、iPhone)流程审批,提高流程审批便捷性。
邮件白名单
邮件白名单功能,可与Outlook、Foxmail相结合,设置邮件白名单地址后,通过Outlook、Foxmail发送邮件到邮件白名单地址,加密的邮件附件会自动解密,减少了文件解密的次数,方便企业高效办公,省时省力。
服务器白名单
在不改变服务器群网络架构的情况下,实现服务器和客户端间的高效合作:当加密文件上传到白名单服务器时自动解密,保证服务器安全;当白名单服务器上的明文文件下载到终端后自动加密,防止文件下载泄密。