收藏
下载资源

数据泄漏防护解决方案2 -解析

上传人:我** 文档编号:114709800 上传时间:2019-11-12 格式:DOC 页数:41 大小:2.53MB
返回 下载 相关 举报
数据泄漏防护解决方案2 -解析_第1页
第1页 / 共41页
数据泄漏防护解决方案2 -解析_第2页
第2页 / 共41页
数据泄漏防护解决方案2 -解析_第3页
第3页 / 共41页
数据泄漏防护解决方案2 -解析_第4页
第4页 / 共41页
数据泄漏防护解决方案2 -解析_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《数据泄漏防护解决方案2 -解析》由会员分享,可在线阅读,更多相关《数据泄漏防护解决方案2 -解析(41页珍藏版)》请在金锄头文库上搜索。

1、数据泄漏防护项目解决方案深圳市XXXX设备有限公司数据泄漏防护项目解决方案北京亿赛通科技发展有限责任公司 2012-11-26第一章 现状及风险分析1.1 安全现状及风险随着深圳市XXXX有限公司 的高速发展和信息化工作的推进,越来越多的公司涉密文档以电子化的形式流转,一方面极大的提高了工作效率,另一方面也令泄密风险俱增,这些文档一旦失控,损失将会难以估计。而深圳市XX机械设备有限公司 现有的涉密数据管理仍然集中在存储环节,流通环节则缺乏有效监管,无论是在公司内部还是外部,分发出去之后的文档没有得到全程控制,形成相当严重的安全隐患,建立一个架构于全集团的数据泄漏防护体系已经成为一个非常关键和迫

2、切的任务。由于目前深圳市XX机械设备有限公司 的所有技术研发、设计、归档管理的资料均无形成适合整个集团的整体防护手段,在公司OA系统、知识管理平台等内存储流通的重要信息文档,因其电子文档的不可回收性,无法控制文件的回收以及失效,从而存在借阅后非法扩散的风险;造成深圳市XX机械设备有限公司 在核心数据资产的使用、传输、保管、销毁的过程中存在较多安全风险,同时也加大了信息安全管理工作的难度;通过对深圳市XX机械设备有限公司 现有信息资产进行安全评估,潜在风险统计如下:1.1.1 数据风险1. 核心数据以明文方式分散储存,难于管理;2. 核心数据传输环节有较多合法或非法的输出途径且无法有效监管;3.

3、 核心数据授权带离企业内部环境后面临外部扩散泄密风险;4. 人员离职时可以将数据资产带离公司环境,造成损失;5. 各类数据存储设备及介质由于使用、管理及处置不当引发的泄密风险等;6. 特殊研发场景需开放网络及USB等端口使用权限(如调试、仿真、烧录等),权限一旦开放将存在重大数据泄密隐患等。1.1.2 人员风险信息泄密事件的发生大多数和人密切相关,泄密的途径和方式也多种多样,可概括为如下三方面:1.1.2.1 主动泄密隐患主动泄密已经成为当前企业信息安全的首要问题,据报告数据显示,目前泄密事件78.9的损失都是由内部人员主动泄密导致。目前企业面临的主动泄密隐患包括:1. 将企业内部文档私自拷贝

4、外带及复用泄密(USB/网络/即时通讯/刻录);2. 越权访问非授权数据泄密;3. 盗用他人账号及设备非法访问数据泄密;4. 伙同他人实现敏感数据跨安全域转移泄密;5. 通过打印机、传真机等将敏感数据进行介质转换泄密;6. 私自携带笔记本设备接入内部网络非法下载数据泄密;7. 对敏感数据的恶意传播及扩散泄密;8. 对核心应用系统的非安全接入及访问泄密;9. 不遵守管理制度的其他导致数据泄密的行为等。1.1.2.2 被动泄密隐患被动泄密是指导致信息泄密的人员在无意识或不知情的情况下所发生的泄密隐患,被动泄密已成为当前日益激烈的恶性商业竞争下的主要泄密隐患。目前存在的被动泄密隐患包括:1. 移动笔

5、记本、USB存储设备遗失或失窃导致数据泄密;2. 邮件或网络误操作、误发送引起的泄密;3. 保密意识淡薄对敏感数据保管不当引起的泄密,如随意共享等;4. 感染病毒、木马后引发的敏感数据泄密;5. 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密;6. 移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。1.1.2.3 第三方泄密隐患第三方泄密是指重要数据交付给合作伙伴、客户或其他关系密切人员后保管不当或故意分发所引起的第三方扩散泄密,是目前企业商业化合作需求背景下逐渐体现的信息安全问题。目前存在的第三方泄密隐患包括:1. 合作伙伴、外协人员接入内部网络非法获取敏感数据泄密;2.

6、应用维护、开发人员访问系统后台及数据库非法获取敏感数据泄密;3. 发送给客户、合作伙伴及其他关系密切人员的敏感数据保管不当或恶意扩散引起的泄密;4. 合同、图纸以及科研、学术报告等敏感资料外部打印、复印时副本拷贝泄密;5. 应用系统、邮件服务器以及数据中心外部托管时非法窃取泄密。1.1.3 管理风险1. 现有安全管控措施不能有效预防核心数据主动、被动泄密风险;2. 合法授权用户对核心数据的使用无法审计;3. 出现信息安全事件后不能快速定位责任人;4. 缺乏有效的技术手段或平台落实核心数据资产的保护政策等。第二章 项目建设可行性评估2.1 项目建设总体需求鉴于上述安全现状及风险,需要建立一套完善

7、的数据安全防护平台,以保护深圳市旺鑫精密工业有限公司核心数据资产并落实安全目标。平台建设需求将从安全、业务、系统、管理等四个方面进行统计:2.1.1 安全需求1. DLP系统可实现对核心数据资产的透明加密保护;2. 建立数据全生命周期安全访问及使用边界;3. 防止非授权访问窃取及透过其他途径外泄数据。2.1.2 业务需求1. 各业务部门及组织可正常、合法使用核心数据资产;2. DLP系统平台与企业现有信息化系统、业务系统等无缝安全集成;3. 不改变或不过多改变现有业务流程效率及用户使用习惯。2.1.3 系统需求1. 核心数据资产使用行为可追溯,可快速发现及识别数据应用风险;2. DLP系统平台

8、应用及保护对用户需易用、透明且无感知;3. DLP系统平台需具备高可用性和稳定性,确保业务连续性。2.1.4 管理需求1. DLP系统平台可纳入企业ISO/ISMS安全管理体系作为安全落地及执行的补充;2. DLP系统平台具备持续、稳定的安全运维服务能力;3. DLP系统平台建设需落实数据安全保护的各项制度及规范;4. 符合企业信息安全审计的规定及要求。2.2 项目建设可行性分析2.2.1 需求可行性我们根据大型研发、生产、制造类企业,如比亚迪集团、艾默生集团、正泰集团、国人通信、宇龙通信、晨迅集团、远光集团、特变电工等有自主知识产权的国内大型集团化企业在数据安全方面的实践经验,结合企业自身的

9、数据管理现状,提出数据安全管理体系的主要需求:2.2.1.1 数据内部保护的需求企业内部使用的敏感数据能够进行加密保护,并可根据数据密级及数据管理需求进行授权管理,可以控制是否可阅读、可打印、可编辑、可复制等功能,禁止将敏感数据通过复制、另存为副本、拷屏等手段转换为明文而泄密;内部使用的非敏感信息可以不进行加密处理,也可由数据生产者或数据管理员识别并加密授权后再进行传播;内部人员使用敏感数据行为均可审计,审计内容包括:阅读、打印、修改、删除、解密以及外发等重要操作行为。2.2.1.2 数据对外防范的需求对于严格控制外发的敏感数据,采用加密手段进行保护,在传播途径方面严格控制外发权限。即使数据被

10、非法传播出去,外部非授权人员也无法打开使用。对于需要和外部如合作伙伴、客户等交换的重要数据,需要有严格的解密审批流程或外发管控手段,并对数据外发行为进行严格审计。2.2.1.3 业务方面的需求企业的良性发展体现在组织架构及分支机构的增加、业务运作体系的日益复杂、业务流程及场景的日益庞大等,数据安全平台构建时需关注如下方面:1. 各业务体系对数据安全保护的实际要求;2. 数据安全保护平台与现有业务系统及平台的协同关系;3. 数据资产管理现状;4. 总公司、分公司、业务部门之间数据交互的便利与保密;5. 与合作伙伴、客户的数据交互便利与保密;6. 历史重要数据资产的妥善处置;7. KPI考核体系的

11、落实及执行。2.2.1.4 流程与制度的需求为保证数据安全管理体系的落地与正常运作,必须配套完整的管理制度和流程规范,包括但不限于:1. 敏感数据全生命周期各环节的处理流程;2. 数据密级划分及授权管理流程;3. 历史数据的界定、处理、保护流程;4. 数据对外、各子公司间、业务部门间无缝交互流程;5. 特权用户、特殊业务场景支撑流程建立;6. 数据使用、传播等环节的审计流程;7. 管理体系维护规范建立8. 体系审计流程规范建立;9. 体系安全使用及运维管理规定建立;10. 用户培训、考核流程及规范等。2.2.1.5 技术平台需求技术平台的好坏直接影响到系统的运维和使用,在技术平台方面要满足以下

12、重要原则:1. 能满足内核级透明加密及数据权限管理要求的成熟产品;2. 能和企业现有的信息化平台、业务支撑系统无缝、安全集成,保证核心数据的在线、离线一体化安全;3. 产品解决方案成熟,具备大型企业级用户成功实践;4. 需建立完善、快速、有效及安全的体系运行维护机制。以上需求在国内很多大型企业级客户得到落实,符合具备自身知识产权的大型集团化企业的数据安全管理目标,并可以落实和实施。2.2.2 技术可行性作为DLP系统平台核心技术之一的内核级动态加解密技术,该项技术发展已经历经单缓存过滤驱动技术、双缓存过滤驱动技术和虚拟文件系统技术(LayerFSD)三个阶段,目前该项技术已经发展成熟并拥有大规

13、模企业级成功实践:序号核心技术发布年份案例数典型客户1单缓存文件过滤驱动技术2005年200北京德信无线(2006)、上海晨讯(sim)(2007)、飞利浦中国(2007)、ABB中国(2007)、中国移动集团等2双缓存文件过滤驱动技术2008年500正泰集团(2008)、比亚迪集团(2008)、中集集团(2009)、宇龙通信(2008)、国人通信(2008)、动力源(2009)等3虚拟文件系统技术2009年1000+广汽研究院(2010)、广汽本田(2010)、艾默生网络能源(2010)、武桥重工(2010)、烽火科技集团(2010)、全友家私(2011)、远光集团(2011)等通过这些集团

14、化企业的实践检验,可以证明此项技术在企业级客户中应用是完全可行的。2.2.3 资源可行性2.2.3.1 管理资源任务可行性企业各相关业务部门人力资源的调配可行决定系统投资与启动可行统一协调各相关部门配合进行项目测试和实施可行统一协调各分公司及成员组织配合进行项目测试和实施可行2.2.3.2 IT/IS部门资源在项目建设过程中需要信息化/信息安全部门的支持主要工作如下:任务可行性对现有IT系统结构的了解可行协调集成商对现有系统的调研可行参与实施计划制定,确保实施计划稳妥、可靠、并且适合大规模推广可行跟踪系统实施进度,以确保项目按计划执行可行监控系统试运行可行收集用户使用中的反馈可行2.2.3.3

15、 各业务相关部门资源在项目建设过程中需要业务部门的支持主要工作如下任务可行性配合进行功能、性能、兼容性、稳定性等测试可行业务需求及流程调研可行实施情况及意见、建议反馈可行2.2.3.4 项目资金投入根据业界最佳项目实践分析及调研,DLP系统平台建设的投资分为以下几个方面:项目条件业务咨询费用投入可选设备采购及软件购买费用投入常规预算实施及部署资源费用投入常规预算安全运维及售后服务费用投入常规预算2.2.4 项目收益分析数据安全防护体系的建立及实施,可以全方位的保护企业核心知识产权和商业机密,保证企业核心竞争力,并为企业良性的运作保驾护航。通过实施DLP体系,企业将在以下方面得到收益:2.2.4.1 核心知识产权的保护DLP系统平台的建立,将对企业的核心数据资产,如:研究成果、设计图纸等提供全生命周期的有效保

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号