一、用户背景资料
目前某深圳分公司,员工有200多个人,分为几个子部门进行管理,公司外部网络还没有部署防火墙等外部攻击防护软件,现正在考虑选型;公司的机密数据主要是设计图纸且主要存储在本地终端机器上,没有做任何保护措施,用户可以随意的接入U盘等移动存储设备,也可以通过QQ等网络方式进行外发;公司因业务需要会将图纸交给打印公司打印、给第三方合作公司合作完成设计、给多媒体公司制作宣传视频。
作为跨国高科技公司的代表,公司内部流传的设计图纸和设计方案等是公司的核心知识产权,也是企业的核心竞争力所在,随着业界竞争的加剧,信息系统的数据传播便捷化,这些重要数据被泄密的风险越来越大,必须采用信息安全保密技术手段,同时采用监控和审计等控制技术,结合企业保密管理制度,对企业数字知识产权保护实现有效的保护。
二、泄密风险分析
通过详细考察,发现该高科技公司由于网络规模大,信息化程度高,许多重要数据分散在员工计算机和服务器上,泄密途径相当多。主要归结为以下几类泄密风险:电脑被盗和遗失、移动存储外带风险、图纸扩散泄密、QQ、MSN、邮件等网络通讯工具泄密以及终端恶意代码泄密等风险。需要采取完善的管理措施,对这些设计图纸和设计方案等数字知识产权进行全方位的保护。
为了帮助该企业构建安全的内网环境,构筑企业核心智慧资产的保护体系,保证数据在存储、使用、交互过程中的安全需求,建立配套的安全管理制度,提高整个企业员工的安全意识,虹安为该企业量身制定了以下数据安全解决方案。
三、用户解决方案
1.为解决终端恶意代码病毒以及QQ、邮件等及时通讯软件泄密,同时能够保障数据在内部顺畅流转,采用DSA数据安全区域系统。DSA将终端计算机硬盘分成个人区域与工作区域,个人区可上外网。工作区域则采用安全稳定的磁盘透明加密技术对磁盘进行加密,控制和审计各区域间的数据流向,结合外设与网络管控,将数据限定在安全区域内,并可以接入内部资源,如SVN、OA、ERP等。终端与应用服务器通信时,TCP或UDP数据包也是加密传输。可使数据在安全区域内顺畅流转使用,又跑不出安全区域定义的范围。既满足了该高科技企业部门内部数据正常沟通流转的问题,又解决数据使用中的安全问题。
2.为解决频繁外发图纸给第三方(政府、打印公司、多媒体公司、合作公司)防扩散泄密问题,为该用户提供外设控制管理系统配合外发控制管理系统。1)所有外发文件都必须通过审核,且有记录可追溯。2)可设定认证方式,第三方使用文件需通过认证。3)可限制第三方对外发文件的使用权限,比如复制、打印、拷贝、打开次数、时间等等。有效解决外发文件扩散、泄密问题。
3.为解决移动存储设备随意接入引发的数据拷贝泄密问题,设定两种角色,一是主管角色,二是职员角色。主管角色移动存储设备可以使用,但所有操作行为都有记录可查;职员角色的终端外设被禁止使用。
4.为保证网络使用效果,又能防止泄密问题。用户的个人工作区域是可以不受约束的,可以使用外网。对应是数据可以保存在个人区域。个人区域的数据要移到工作区域内也是不受限制的。但凡是数据从工作区域移到个人区域就必须通过审核才可以,且有记录。
四、方案取得效果
该高科技企业通过部署虹安量身定制的数据安全方案,可以解决如下泄密问题:1)U盘外设泄密问题;2)QQ、邮件等网络通讯软件泄密问题;3)终端病毒恶意代码泄密问题;4)终端丢失泄密问题;
在解决客户泄密问题的同时,该方案还具有如下6个方面的特点:
1)高安全性:安全区域,采用高强度加密算法,任何数据都能被加密保护,数据不能非法出安全区 ,硬盘丢失或者计算机维修,也不存在数据泄密风险。
2)内部沟通不受束缚:安装DSA之后,能够有效化解员工上网工作和企业内部信息安全的矛盾,为企业人性化管理迈出一大步。
3)高性能稳定:采用磁盘加密技术,从根本上保证了数据连续性和稳定性,基本不存在性能损耗。
4)离线终端安全:离线状态下的外带笔记本普通用户,所有的编辑操作记录都只能保存在安全区域,充分保证了安全区域的源代码或者设计文档的安全。
5)人性化设计:部署安装简单,兼容性好。从运营管理的角度,降低企业增加额外的管理维护成本。在保证数据安全的前提下,与企业内部配置管理平台、研发平台兼容。
6)安全区域设置灵活:支持虚拟分区,可设置最多26个数据区域,并可将多个物理存储空间合并到一个虚拟分区。