- 数据防泄密解决方案
越来越多企业已步入信息化正轨,但在核心机密数据保密的措施因为没有完善,导致数据频繁外泄。
应用场景
制造行业、设计行业、互联网IT行业、电子通信行业以及金融行业,随着市场环境的饱和,行业之间的竞争力持续加大,能在行业中突围而出,依赖的还是核心竞争力。
数据防泄密解决方案
一、方案背景概述
随着大数据时代的来临,越来越多企业已步入信息化正轨,但在核心机密数据保密的措施因为没有完善,导致数据频繁外泄。从三通运维服务的几百家客户总结得出,大多数据外泄案例体现在高技术含量的行业,如:制造行业、设计行业、互联网IT行业、电子通信行业以及金融行业。随着市场环境的饱和,行业之间的竞争力持续加大,能在行业中突围而出,靠的还是核心竞争力,因此对于核心数据的保密也需要提供更高的防护措施。
二、方案组成
数据防泄密方案,并非单一种技术,在三通运维看来,它是一种系统架构,而且这个架构是要根据实际需求去升级完善,同时要结合公司的流程制度去约束规范才能很好地实施。
1. 技术要点:
- 行为管理策略
- 网络隔离策略
- 终端管理系统
- 灾备基础架构
2. 方案分解:
- 外网权限管理
- 局域网络隔离
- 应用软件管控
- 文件加密解密
- 存储设备管控
- 物理机箱管控
-
流程制度规范
1、 外网权限管理:部署网络行为管理设备,结合防火墙网关设计信任区与安全规则组。
- 对外网危险端口管控,风险网站分级管理,对上外网权限授权;
- 对应用软件协议层识别,限制传输机密数据并记录违规行为;
- 针对不同部门制定不同网络行为管理策略,合理应用方案;
2、 局域网隔离:借助核心三层交换机VLAN子网划分功能,实现部门网络隔离,同时不影响访问公共设备,如文件共享服务器、OA服务器、打印机等。
- 核心三层交换技术对网络划分;
- 访问控制列表技术做策略隔离;
- 对于高要求的部门实现单向隔离;
- 终端接入局域网做三重绑定认证;
3、 应用软件管控:通过部署内网终端管理系统,制定规则统一管理局域网终端设备。
- 发布统一认证URL地址实行局域网终端认证;
- 针对对各类网盘软件做黑名单限制安装使用
- 采集局域网软件特征库定义进程黑白名单表;
- 根据实际需求对不同部门开放不同软件权限;
-
对于泄密风险的行为或操作记录并报警通知;
4、 文件加解密系统:部署业界领先的绿盾文档防泄密系统,实现终端数据盘加密,为机密数据提供最后一道数据防护。
- 文件透明加密;
- 文件外发管控;
- 离线加密管理;
- 多系统加密支持;
5、 存储设备管控:基于终端管理系统定制策略实现USB集中管理以及日志记录。
- 部门分组权限管理:不可读、只读、可读写;
- 高机密部门可彻底关闭USB数据传输;
- 记录每一次USB接口详细使用日志;
6、 物理层管控:针对机箱定制通用机箱所,且钥匙唯一匹配,实现从物理途径上杜绝外部存储介质读取数据文件。
- 定制带锁安全机箱,并配套钥匙;
- 从主板上拔除USB线,按需申请;
-
定制封条日志,并定期巡检记录;
7、 流程制度规范:再好的方案,都离不开流程制度的指引与部门之间人员的配合实施,企业可根据实际的操作能力去制定相关流程和制度,让方案更好地运转实施,三通推荐企业制定配合防泄密方案实施的流程制度包括不仅限于以下这些:
- 外网权限申请流程
- 打印权限申请流程
- 附件外发申请流程
- USB读写申请流程
- 机箱开锁申请流程
- 安全稽查巡检制度
- 泄密违规处罚制度
8、 三通运维参照ITSS中国IT标准流程,将方案以项目管理的高度规划,以最精简高效的过程管理为采纳解决方案的客户实施,项目收尾以相关文档交付。
方案总结:
数据防泄密解决方案是由多个模块或系统组合而成,可根据企业实际的需求采购对应模块,实现不同程度的数据防泄密等级保护。本方案可以灵活扩容,可根据公司后续的发展而升级对应的模块,满足企业防泄密需求的同时又能为企业解约不少成本。
预计采购明细:| 产品名称 | 型号 | 参数 | 数量 |
| 行为管理设备 | 深信服/华为 | AC-1000-A200 | |
| 核心交换机 | 华为S5720s | 52P-EI-AC,全千兆 | |
| 文件防泄密系统 | 绿盾 | 文件加密模块/行为管理模块 | |
| 物理服务器 | Dell R420 | H710 阵列卡 Raid5阵列 | |
| 终端管理系统 | 360天擎 | 终端管理 | |
| 技术调试 | SANTOM 绿层网管 | 项目工程师,根据实际天计算 |
