银行数据防泄密平台方案建议书

《银行数据防泄密平台方案建议书》由会员分享，可在线阅读，更多相关《银行数据防泄密平台方案建议书（55页珍藏版）》请在金锄头文库上搜索。

1、银行数据防泄密平台方案建议书目 录1 技术解决方案41.1 项目背景41.2 企业泄密风险41.3 XXX银行关于认证部文档安全管理系统采购项目背景51.4 XXX银行关于认证部文档安全管理系统采购项目网络现状和信息安全需求分析52 山丽防水墙数据防泄漏系统解决方案72.1 产品功能对透明加密管理的满足82.2 产品功能对加密模式本地策略管理的满足92.3 产品功能对多种加密模式管理的满足102.4 产品功能对一文一密钥安全性管理的满足122.5 产品功能对加密系统剪贴板管理的满足132.6 产品功能对加密系统多种登录方式管理的满足132.7 产品功能对出差笔记本防泄漏（加密客户端离网使用）管

2、理的满足142.8 产品功能对文件解密申请管理的满足152.9 产品功能对密文明送文件外发控制管理的满足182.10 产品功能对文件权限管理的满足19基于用户为脚色的文档权限控制20基于文档为角色的自定义文档权限控制21文档权限控制的精细化管理222.11产品功能对基于B/S应用服务器和防水墙系统融合方案的满足242.12 产品功能对PDM、FTP服务器和防水墙系统融合方案的满足24产品功能和应用服务器融合的原理25产品功能和应用服务器融合的方案262.13产品功能对文件交互管理的满足28分支机构和总部的交流28产品功能对分支机构和供应商管理的满足292.14 产品功能对计算机外设管理的满足3

3、0终端外设管理范围30外设管理在线、离线策略31注册移动存储设备管理策略31认证移动存储设备管理策略322.15 产品功能对服务器灾难恢复功能的满足342.16产品功能对审计功能的满足35对加密文件的各种操作行为进行审计35对加密系统各种操作行为的自动预警式审计362.17 产品功能对系统管理功能的满足39防水墙加密系统三员分立管理模式39防水墙加密系统系统管理员管理模式402.18 产品功能对安全性要求的满足422.19产品功能对客户端自我防护的满足432.20 产品功能对加密客户端授权管理的满足432.21 产品功能对客户端自动升级的满足433 产品部署方法和部署效果443.1 部署方法4

4、43.2 部署效果443.2.1 法规的遵从443.2.2 管理的视角453.2.3 用户的视角454 技术优势455 售后服务体系465.1系统售后服务内容465.2售后服务的关键是处理应急服务485.3售后服务流程506 产品培训506.1培训计划506.2培训对象516.3培训时间516.4培训师资516.5培训考核527 项目实施527.1项目实施流程527.2 实施进度安排537.3 风险管理551 技术解决方案1.1 项目背景2012年1月16日，中国互联网络信息中心(CNNIC)发布第29次中国互联网络发展状况统计报告，报告显示，截至2011年12月底，中国网民规模突破5亿，达到

5、5.13亿。网民的生活、信息交流、办公已经无法离开互联网；基于网络的工作、创新、仿真、制造、管理已经是当代企业生存的必要条件。但因为国际、国内企业之间的进一步加剧、各个国家保护产权创新的力度和范围大有不同，基于个人或者企业的信息泄密事件时时在发生中其中，超过80%是由内部员工故意或无意地泄漏和破坏引起的对IT资产中电脑硬件的终端管理，和对电脑硬件里面的数据管理成为信息泄密安全管理问题亟待解决的两大问题。信息安全的核心是内部信息安全的问题，是对内部电脑资源设备的管控和电脑资源设备上的数据文档的管控。1.2 企业泄密风险可能的泄密途径，应该来讲主要包括： 服务器上泄密、 工作站泄密、 移动设备泄密

6、、 网络泄密、 输出设备泄密、 客户泄密、 合作单位员工转发泄密等主要的表现形式如下： 服务器泄密：1、 网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。2、 维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机器上。工作站泄密：1、 乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。2、 内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。3、 将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。4、 将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃。5、 将笔记本（或者台式机）的硬盘拆回家盗窃资料

7、，第二天早早来装上。6、 将办公用便携式电脑直接带回家中。7、 将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走。8、 将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走。9、 电脑易手后，硬盘上的资料没有处理，导致泄密。10、 笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。网络泄密：1、 内部人员通过互联网将资料通过电子邮件发送出去。2、 内部人员通过互联网将资料通过网页bbs发送出去。3、 随意将文件设成共享，导致非相关人员获取资料。4、 将自己的笔记本带到公司，连上局域网，使用各种手段如PDM、FTP、telnet窃取资料5、 随意点

8、击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。输出设备（移动设备）泄密：1、 移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等2、 将文件打印后带出。 客户泄密：1、 客户将公司提供的文件自用或者给了竞争对手。2、 客户处管理不善产生的泄密。3、 员工收到文件后将文件发送给其他人员产生的泄密。1.3 XXX银行关于认证部文档安全管理系统采购项目背景XXX银行关于认证部文档安全管理系统采购项目已经采取了积极的手段对重要文档加以保护，能够有效地防止外部威胁入侵窃取公司敏感信息，但仍存在一定的文档泄密风险。1.4 XXX银行关于认证部

9、文档安全管理系统采购项目网络现状和信息安全需求分析企业大量机密数据均以电子文档的形式存在，其传播方式也是多种多样。互联网时代的快速发展推进了企业信息化进程，同时也将企业机密数据置于巨大的风险之中，保护机密数据和敏感信息免遭恶意或意外泄露，是当今企业所面临的最大安全问题之一。目前，XXX银行关于认证部文档安全管理系统采购项目已经在内部采用了一些管理措施，就数据安全方面，公司的基本情况和需求如下： 基于上述对XXX银行关于认证部文档安全管理系统采购项目项目需求的分析，结合山丽信息安全有限公司在数据泄露防护领域多年信息安全项目建设经验，我们建议部署山丽防水墙数据防泄漏系统来保护XXX银行关于认证部文

10、档安全管理系统采购项目数据的安全性。2 山丽防水墙数据防泄漏系统解决方案山丽防水墙数据防泄漏系统是一套包含了数据透明加密、剪贴板截屏控制、文件外发控制、USB存储设备控制、信息资产查询、文档权限控制、数据备份管理的综合性信息安全管理系统。系统的各个模块广泛用于企业、政府、金融、军工等单位，为服装、设计、制造、集成电路、软件开发、船舶、航空等各行业提供着强大的信息安全防护。山丽防水墙数据安全保护系统软件部署与效果2.1 产品功能对透明加密管理的满足山丽防水墙采用基于操作系统内核的处理技术,并不使用Hook技术,满足对不同软件的加密需求。目前可以设置成支持所有格式的加密（全盘加密，包括绿色软件的加

11、密，随意压缩格式文件的加密，所有数据库格式文件的加密），可以设置为支持特定格式的加密，可以设置为支持具体目录的加密等等。一般公司的加密软件无法支持所有格式的加密，无法支持绿色软件的加密，甚至都不能支持特定目录的加密。市场上所见的加密技术，或者是采用了个钩子（Hook）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加密，市场上许多硬盘如seagate硬盘已经自带硬盘加密，实际上互联网上已经有了这些加密软件的破解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。山丽加密功能不采用Hook技术

12、体现在即使将防水墙客户端程序终止了用户仍会在加密环境中，而许多加密软件只要将进程终止后加密效果就失效了，而从原理上，么有不能禁止的进程！山丽防水墙支持穿透压缩包功能，可以实现对压缩文件的穿透加密。（所有压缩格式均可）山丽防水墙支持对所有格式的加密，包括所有压缩文件的加密，经过加密的压缩文件，压缩包里面的内容也都是密文，即使被解压缩出来也是密文，除非是在加密环境里面解压缩。文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，

13、加密策略（算法、密钥和加密文件的指定）是内置在透明加密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。透明加密效果示意图2.2 产品功能对加密模式本地策略管理的满足山丽防水墙完全和文件格式无关，山丽防水墙的透明加解密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。管理人员可以自由定义用户（组）的加密模式或策略：全盘加密、目录加密、特定格式加密、特定格式不加密、自主加密等。用户在登陆进入加密系统后，本地即执行对应加密策略。管理人员也可以设置系统为自动登陆或者开机登陆，满足用户不需要输入密码的使用体验。（实际上，有时候

14、为了安全，在实践中又往往是在企业内部选择采用自动登陆在企业外部采用秘密登陆的方式）达到效果：1、内部的用户，管理的需要，可以加载全盘加密方式、目录加密方式、程序加密方式、空加密方式，满足对不同角色用户的管理；2、内部资料，不经过公司允许，通过各种途径外发的均是密文，对大多数用户而言，需要审批批准方可解密，对特殊用户，可以自行解密外发；2.3 产品功能对多种加密模式管理的满足山丽网安的多种客户端加密模式，管理人员可以自由的组合，以应用与任何组，或者组的成员；区别于一般公司的产品不同的是，山丽网安的产品的这些模式是同时提供给用户的，而不是仅仅只能提供其中一种加密模式，不会造成用户的适用性、扩展性无

15、法满足的现状。另外，互联网上已经有公开的加密软件解密工具可以得到。这些工具可随意的对格式加密类软件进行破解。这也是山丽防水墙提供了多种加密模式的原因。多种加密模式示意图具体来讲，山丽防水墙对数据的加密提供动态加密和静态加密两种。其中，动态加密有7种方式，可以根据管理目标-用户或者用户组，进行设置，具体包括：1、加密特定的格式，如用户所列出的各种软件，这个是市面上一般企业可以提供的加密模式；这种模式的优点是简单，但存在着被破解的可能性，目前网上已经出现了破解工具；这种方式的另外特点是应对未来的发展性较差；2、某些格式不加密，其他格式均被加密，这个目前仅只有山丽网安提供；这种方式的特点也是简单，同时安全性相比1有所提高，对未来的扩展性也有很好的适应，因为未来的均会被加密；3、目录加密，这种模式可以做到和文件格式无关，即文件放到加密目录下面即自动被加