《数据安全保护解决方案》由会员分享,可在线阅读,更多相关《数据安全保护解决方案(6页珍藏版)》请在金锄头文库上搜索。
1、1 数据安全保护解决方案 2 目录 1.项目背景 . 3 2.安全需求和解决方案 . . 3 2.1 网络泄密途径 : 网络云盘( 360 云盘,百度云盘,阿里云等私有云) . 4 2.2 服务器泄密途径:应用服务器server (pdm ,oa ,sap ,mes ,crm 等) . 4 2.3 网络泄密途径:邮件系统(webmail,outlook,foxmail ,exchange,notes 等) . 5 2.4 终端泄密途径:andriod和 ios 智能终端管理 . 5 3. 产品部署 . 5 3 1.项目背景 伴随着信息安全事件的不断发生,信息安全的重要性呈指数增长的趋势。随着互
2、联网的不断 渗透,各种智能终端设备和云存储广泛使用等,企业面临各种新的信息安全风险。 如何应对因互联网发展、社会进步带来的新生事物对企业信息安全的风险,如何确保用户本 地数据和服务器上数据的安全,这些都成为了成为了摆在IT系统安全管理人员面前一道棘手的 问题。 本方案目的在于寻求解决内网数据安全,内外网数据交互安全,避免因智能终端设备,服务 器, ,邮件系统,网络云等广泛使用带来的企业信息泄密风险。 2.安全需求和解决方案 在企业内部各种云存储的使用,邮件系统, 应用服务器系统的常态使用,Android、iOS 智能 终端设备的普遍使用,会给给企业带来非常具体的泄密风险。 目前主要数据泄密风险
3、分被动和主动两类,既要防止数据主动泄密,也要防止数据被动泄密。 更要防止数据在无意识之间造成的泄密。 可能的泄密途径,应该来讲主要包括: 服务器上泄密、 网络泄密、 终端泄密 主要的表现形式如下: 服务器泄密: 1、 网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。 2、 维护人员知道服务器密码,远程登陆上,将服务器上的资料完全的拷到本地或者自己家 里的机器上。 终端泄密: 1、终端智能设备的任意使用和丢失带来个人隐私的泄密风险 2、终端智能设备任意接入公司的网络安全区域带来wifi 管理的泄密风险 网络泄密: 1、 内部人员通过互联网将资料通过电子邮件发送出去。 2、 内部人员
4、通过互联网将资料通过云端的上传下载把文件发送出去。 3、 随意将文件设成共享,通过公有云分享导致非相关人员获取资料。 解决方案: 为了杜绝上述几种泄密途径,主动对数据进行数据防泄密,有多种解决方案,信 息行业共识的方案为: 4 以裁剪后的信息安全标准为规范,结合行政、管理制度,采用数据透明加密是目前最彻底的 防护方案。 在数据透明加密方面,以加密3.0 多模透明加密技术,一文一密钥加密效果,对称加密和非 对称加密相结合加密密钥机制成为目前透明加密技术的主流。 本解决方案推荐采用山丽防水墙数据防泄密系统7.0 来实现数据防护。该产品采用加密3.0 多模透明加密技术。多模加密技术的特征是采用系统内
5、核级别的驱动技术、采用对称加密和非对 称加密相结合,可以实现一文一密钥; 目前的代表产品:Windows的 EFS 、win7 的 BitLock 、 Adobe的 PDF、山丽网安的防水 墙数据防泄漏系统; 多模加密的多场景:全盘、格式、目录、空加密、外设加密、网络加密。 2.1 网络泄密途径 : 网络云盘( 360 云盘,百度云盘,阿里云等私有云) 问题 :现在越来越多分享式云存储服务产品的兴起,企业内部使用网络云盘功能对企业内部 数据上传下载存在一定的泄密风险,成为网络泄密新的一种形式。 解决方案 1:首先使用防水墙多模加密策略进行本地数据进行动态透明的加密,且不改变用户使用习惯 和工作
6、模式, 在防水墙客户端实现上传到云盘的文件为密文(无论是客户端还是网页上传),因为 上传的文件为密文,密文脱离了防水墙客户端环境打开是乱码或者无法使用。从而达到对企业内 部数据安全保护和杜绝了泄密风险。 2:在使用网络云盘的时候调用防水墙接口,登陆网络云盘后防水墙客户端伴随启动登陆,确 保了在使用网络云盘的时候,网络云盘始终保持在防水墙加密环境运行从而达到无论在网络云盘 下载的文件落地加密 2.2 服务器泄密途径:应用服务器server (pdm ,oa ,sap ,mes ,crm 等) 问题 :一般企业内部均存在应用服务器pdm等服务器做文件存储及备份归档管理功能。用 户可以直接访问文件服
7、务器,需要对文件服务器数据进行权限管控BS结构的应用往往成为一般 办公系统的主流,尤其是如OA 系统,是组织成员进行业务沟通,外部用户可以通过web形式 访问公司web前端, web前端需要再访问内部数据库及服务器,需要保护数据库及数据服务 器 解决方案 1:TPM 可信程序管理模块,在安装有防水墙客户端终端之前可以实现自由互相访问,在没 有安装防水墙客户端产品的终端或者没有启动防水墙客户端都无法访问安装防水墙客户端的终 端,如果需要访问需要讲没有安装防水墙客户端的终端ip 添加到白名单才能访问,有效的保护 了服务器的安全,做到了服务器的网络准入控制和管理 2:TPM 可信程序管理模块可以无需
8、改变用户网络结构部署安全网关硬件产品,和在服务器 上部署软件产品轻松实现上传解密,下载加密,设置用户(组)上传到各种应用系统(包括内部 网络 OA ,svn ,pdm ,crm ,sap ,mes 系统)文件的密文和明文之间的变化增加操作的便捷 5 性不会对对网络结构做任何的变更不会增加用户的实施难度不会增加单点故障。 2.3 网络泄密途径:邮件系统(webmail ,outlook ,foxmail ,exchange, notes 等) 问题 :企业内部存在将资料以电子邮件网页发送出去,导致非相关人员获取资料等是网络途 径最多泄密途径 解决方案 :对 pc 端文件进行加密(邮件附件内容变成
9、密文文件),无论通过webmail或者客 户端 mail 形式发送出去始终保持密文状态,密文脱离了防水墙环境都会打不开或者打开乱码,达 到了数据安全的保护。且结合企业内部邮箱使用实现邮箱白名单的功能。 方案一:预先申请邮箱作为永久明文邮箱发送给这些邮箱的密文将全部自动解密 方案二 :预先对用户定密级,对申请的永久邮箱定密级发送对应密级的文件给对应密级的邮箱 密文将全部自动解密 方案三:邮件外发申请,用户可对特定的文件进行申请 当申请通过后,发送出去的文件也将自动解密 2.4 终端泄密途径: andriod和 ios 智能终端管理 问题 :智能终端存在公司任意建立wifi 热点,设备丢失带来的个
10、人隐私泄密风险: 解决方案 : 1.个人隐私数据 功能包括:将联系人、照片加密 功能效果:将联系人、照片加密后,手机本身的联系人、照片界面将不再显示这些加密数据 的预览,想查看到这些信息就必须要进入防水墙APP 解密这些数据才能进行查看 2.安全区域管理 功能包括:安全wifi 、安全地址 功能效果:在安全wifi 、地址下才能够登录防水墙才能访问加密数据。可以通过交叉使用, 达到使手机只能在固定范围内才能正常使用的效果 3.审批流管理 功能包括: 审批流的申批申请将会在这个界面显示相应数字的提示。点击可进入相应申请的 列表进行审批相关操作 功能效果:实现在移动终端对企业内部密文文件的审批功能 3.产品部署
