昆明狼烟科技公司的数据防泄密系统设计行业解决方案

 

需求分析

 

1）在网络开放的设计单位，大部分涉密数据都以明文的方式保存在办公计算机上，存在数据涉密隐患；

 

2）移动设备、存储介质、打印机等硬件外设没做控制，重要数据容易通过外设途径泄密；

 

3）数据外发给上下游厂商、合作伙伴时无法控制，由于种种原因导致图纸二次扩散泄密；

 

4）员工带设计图纸外出办公无法进行授权控制，涉密图纸容易外泄；

 

5）员工利用工作时间干私活，导致工作效率无法达到预期效果；

 

6）内部信息泄密的防范技术手段不够健全，很多还依赖单位保密制度；

 

7）一旦发生泄密事件，难以第一时间发现，难以提供有力的证据；

 

8）员工违反IT政策，使用可能含有未知风险的应用程序，或耗费大量时间在与工作无关的炒股、游戏等娱乐应用上，单位的IT应用合规性管理面临重大挑战和风险。

 

解决方案

 

1. 终端数据透明加密保护

 

对设计单位来说，勘察、设计所得到的各种空间数字信息、设计图纸等敏感数据分散存储在终端计算机上，最根本有效的防泄密措施就是采取技术手段从数据源头进行加密，保障数据安全。

 

采用Windows内核的文件过滤驱动实现透明加解密，对用户完全透明，用户打开文件、编辑文件和平常一样，甚至毫无感觉，不影响用户操作习惯。而一旦加密文件未经过上级领导审批解密，无论是通过QQ、电子邮件还是移动存储设备等手段传输到单位授权范围以外，文件都无法正常打开使用，文件始终保持加密状态。

 

2. 防止外发文件在外二次扩散泄密

 

对于一个设计单位来说，由于业务需要，经常需要与其他合作伙伴或客户进行数据交流。这些交互的数据信息可能会涉及单位核心信息，而这些数据信息一旦流出就面临着失控的风险。为了解决对外业务交互的后顾之忧，我们提供信息对外发布管理思路：

 

当需要给客户或者合作伙伴外发文件时，首先向上级领导进行外发申请，而后才有权将该文件打包成一个受控文件，外发给客户或合作伙伴；

 

被授权的客户或合作伙伴获得该受控外发文件后，打开时需先进行合法的身份认证，而后才能在授予的权限范围内访问；

 

身份认证的方式包括：口令认证、机器码认证、联网认证；

 

访问权限包括：阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等；

 

被授权的客户或者伙伴在访问该文件时，无需在自己的电脑上安装任何插件，即可访问。

 

3. 涉密计算机外带安全管控

 

针对员工携带笔记本外出勘察的情况，首先，数据的加密保证了在笔记本电脑丢失的情况下，电脑中存储的资料仍然不被泄密；其次，离线外带的电脑，终端登录时，需使用口令认证或者USBKey认证，没有合法的口令和USBKey，终端不能正常登录，电脑上的文件也就打不开；最后，通过离线管理功能，控制出差人员只能在授权离线时间内正常打开离线计算机上的加密文件，一旦超过离线时间，笔记本上的所有加密文档均无法打开。

 

4. 应用系统数据安全防护

 

由于某些应用服务器的特殊性，要求存储在应用服务器上的数据为明文状态。这时候我们可以通过服务器白名单功能，在不改变服务器现状的情况下，实现对单位内部各种服务器上的数据保护。由于此时服务器上是直接存储的明文，如果没有安装加密客户端，直接访问服务器后，从服务器下载文件会导致泄密。

 

通过部署“数据防泄密应用服务器安全接入系统”，实现：只有安装了加密客户端的电脑才能访问应用系统。因为加密客户端下载文件时自动加密，所以能够保障数据落地的安全。

 

5. 实时屏幕监控，掌握员工工作状态

 

大部分的IT审计产品，只提供文字式的记录或者报表，并不能完全重现用户当时的操作行为。数据防泄密系统行为审计系统提供高质量的屏幕追踪和屏幕录像功能，可以完整跟踪截取用户的桌面，实时察看用户的即时桌面并记录屏幕画面，最直观的重现用户的操作行为，甚至可以将屏幕历史导出为视频以供查看。

 

6. 详细文件操作日志

 

系统提供详细的文档操作行为审计可以完整记录单位内部的文档使用与传播的全过程，并可发现非法的文档访问、修改、删除、复制等违规使用行为，防止文档被非法篡改或泄露，同时当风险操作发生时，完善的备份机制还能进一步保护机密文档的安全，可以有效地保护终端、文档服务器等各种位置的文档的应用安全。

 

方案优势

 

1)国内独有的“三重密钥”体系：

 

主密钥：由软件分配给每个用户全球唯一的密钥，保证每个购买数据防泄密软件的单位文件不会互通；

 

企业密钥：由用户自己设置的密钥，保证加密厂家获取加密文件也无法解密；

 

文件密钥：每个文件加密时随机生成一个文件密钥，提高加密的安全性。

 

2)数据防泄密系统采用Windows内核的文件过滤驱动实现数据透明加解密，安全、稳定、效率高。

 

3)支持应用服务器的安全接入控制和上传下载保护。

 

4)指定某些类型的文件在进行新建、编辑时自动备份到数据防泄密系统服务器，避免办公人员误删或故意删除，导致数据丢失。

 

5)支持IPAD在线阅读加密文件，比如：mail、OA、CRM、ERP等加密附件在线阅读，方便办公。

 

6)支持“多采集服务器”部署方式，即实现集中式和分布式一体化管理。

 

7)所有操作记录可查可审，方便管理员查询及审计。

 

8)建立IT终端标准化的管理制度和手段，提升办公人员的工作效率，维护系统的安全稳定，让单位内部环境井然有序。