1、军工行业敏感数据安全建方案关键词:敏感内容、保密性、内部隐患 行业背景 信息安全现状分析 军工行业数据泄密风险分析 数据防泄漏技术方案 方案优势 成功案例分享目录海尔前高管跳槽窃取商业秘密 获刑三年经评估,齐某某、张某某给海尔集团分别造成直接经济损失372.44万元和2579.81万元。2015年2月爆出,由于Uber的一处数据库出现数据泄露,约5万名司机的姓名和驾驶证号信息被泄露。Uber表示,该公司的网络中有着数十万名司机,而这一事故只对其中的很少一部分造成了影响。Uber将向受影响的司机免费提供为期一年的Experian身份保护会员服务。Uber的收入、用户注册、打车请求以及成交数据 U
2、ber信息安全事故导致5万名司机信息泄露 原中兴员工与合作方“私通”盗取商业机密企业损失百万2015年4月消息,秦某原系大型国企中兴公司的技术员工,负责主流产品IPTV游戏业务开发,跳槽后与企业合作方田某开设新企业。为加快自己公司IPTV游戏平台研发速度,秦某违反与中兴公司签订的保密协议,将中兴公司IPTV游戏平台相关保密文档和程序发送给田某,田某又转发给技术人员于某等人。而后三人公司的IPTV游戏平台上线,共造成中兴公司损失人民币161.6万元。4234文件随意查看:员工缺乏有效管理,公司重要文件被随意查看造成泄密。外发文件扩散:将重要文件外发给客户或合作企业,对防扩散造成泄密。商业间谍窃密
3、:商业间谍通过各种手段窃取企业机密造成泄密。移动设备丢失:U盘、笔记本等移动办公设备丢失造成企业信息泄密。员工出差泄密:员工出差带走大量企业数据,无有效监督容易造成泄密。员工离职泄密:掌握企业重要信息的员工离职,带走企业数据造成泄密。5671时刻隐藏在日常生活中的泄密风险员工上网泄密:员工利用QQ、MSM、Email等网络传输工具随意将公司内部重要文件数据外发。员工打印泄密:员工随意打印公司重要文件或未及时打印文件造成泄密。772023-5-187驱动力(来自国家):2009年国家开始立法监管十一届全国人大常委会第四次会议审议刑法修正案(七)草案刑法修正案(七)草案专门增加有关条款,规定:“国
4、家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”十一届全国人大常委会第六次会议审议刑法修正案(七)草案12月22日新增规定:对非法侵入他人计算机获取数据,或对计算机实施非法控制,或为实施这类行为提供程序工具,情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。驱动力:国家保密局、国家档案局、证监会联合发文 行业背景 信息安全现状分析 军工行业数据泄密风险分析
5、数据防泄漏技术方案 方案优势 成功案例分享目录1.黑客、病毒攻击一直是军工行业重点关注的问题,一旦外围防线被攻破,如果数据本身没有任何加密保护措施,敏感数据泄密的可能性极大;2.计算机终端 USB 外设端口,必须要进行控制,允许合法接入的畅通,同时也要严密防止非法接入;3.存储介质泄密隐患。存储设备防泄密管理主要集中各种计算机硬盘、移动硬盘、U 盘的外带、遗失、被盗等防泄密管理;4.安全软件与军工企业系统内的指挥中心系统、业务信息系统和办公 OA 系统等应用平台结合的问题;5.不同的级别,文件访问权限应不同,访问权限控制问题;6.与外部单位之间往来的外发文件,管控不当,容易造成泄密;7.出差时
6、笔记本丢失、被盗等引起的泄密。8.移动无线通讯设备的不断普及,给军工行业敏感数据泄密带来更多的途径;根据涉及国家秘密的信息系统分级保护技术要求和 计算机信息系统等级保护技术要求等技术要求,大力发展系统保密技术,加强信息系统安全,提高与信息安全风险相抗衡的能力,堵塞泄密漏洞,已经成为国防信息化建设中越来越重要的一个环节。安全专家以敏感数据为焦点,风险为驱动,融合文档安全、U 盘外设安全、应用系统安全、文档外发安全、移动办公安全形成贯穿数据产生、存储、使用、传输、销毁全生命周期的整体性数据泄密防护体系。军工解决方案介绍 军工企业在设计、生产和管理中涉及到大量机密的信息,为了有效的保证信息的安全性,
7、有必要对现有网络系统进行以数据信息安全保护为中心的信息安全建设,建立信息安全保障体系,确保网络中应用信息的安全性。在涉密网内构建数据保密体系;对涉密文档进行密级管理,防止内部人员越权访问;内部文件外发管控,保障与合作企业的文档交互安全;涉密文档应用审计管理;业务系统安全加固;行业背景 信息安全现状分析 军工行业数据泄密风险分析 数据防泄漏技术方案 方案优势 成功案例分享目录可以怎么控?可以怎么控?警告,阻断,选择性阻断警告,阻断,选择性阻断加密、标密、授权加密、标密、授权邮件告警通知邮件告警通知什么是敏感数据?什么是敏感数据?重要文件重要文件敏感内容敏感内容基础:关键字、正则、格式基础:关键字
8、、正则、格式学习:文档指纹、确切数据匹配学习:文档指纹、确切数据匹配组合:同时匹配;例外匹配组合:同时匹配;例外匹配需要控什么?需要控什么?邮件(正文、附件)邮件(正文、附件)网页,微博,网页,微博,BBSIM(内容,附件)(内容,附件)打印,刻录,粘贴打印,刻录,粘贴USB,蓝牙等端口管控蓝牙等端口管控共享,系统传输共享,系统传输敏感数据在哪?敏感数据在哪?办公终端办公终端文件服务器文件服务器应用系统应用系统DLP核心能力核心能力数据泄漏防护综合方案思路数据泄漏防护综合方案思路实现敏感数据从产生、存储、使用、流转、追踪到销毁的整个生命周期的安全管控实现敏感数据从产生、存储、使用、流转、追踪到
9、销毁的整个生命周期的安全管控!构筑敏感数据全生命周期综合智能安全管控平台构筑敏感数据全生命周期综合智能安全管控平台防水墙数据防泄漏系统与业务系统相结合技术支撑理论支撑:环境指纹专利:ZL 2004 1 0017241.3;US 7,890,993 B2;BLP数据控制模型运营支撑类ERP|OA|CRM生产支撑类PDM|PLM|SVN内核级别文件过滤驱动商密形成阶段安全密级标示与设定管理商密流转与应用阶段安全商密过程安全管控商密存储阶段安全商密存储安全管控商密脱密及销毁阶段安全商密脱密和销毁管控密标设定多模加密审批管理外设管理打印管理屏幕水印审批管理文档权限剪贴控制外设管理打印管理智能终端透明加
10、密一文一密外设管理可信管理密标脱标文档解密删除管理外设管理物理销毁操作审计下载加密外发管理文档权限审批管理离线管理操作审计网络驱动外设管理驱动打印驱动敏感数据防泄密敏感数据防泄密技术架构技术架构防水墙系统采用RESTful架构,前端采用Electron开发。采用RESTful架构,并将架构的约束条件作为一个整体应用,实现了一个可以扩展到大量客户端的防水墙应用程序。采用RESTful架构,还降低了客户端和服务器之间的交互延迟。统一界面简化了整个系统架构,改进了子系统之间交互的可见性。简化了客户端和服务器的实现。防水墙前端采用Electron开发,以最大限度实现跨平台应用。在功能模块上,它由“服务
11、器端”和“工作站端/控制台/管理员”组成,两者配合使用组成防水墙系统,二者构成一个完整的信息安全保护整体。向外分发信息12、安全验证 用户操作认证 证书和权限信息交互2343、信息分发通过Internet,邮件附件,ftp下载,其他存储设备身份验证失败无法下载权限信息禁止外部用户访问无访问身份及访问权限防水墙服务器防水墙客户端1、信息保护用户加密文件文件权限信息交互防水墙客户端4、信息访问接收用户认证获取证书和权限无网络时候,授权离线操作外部用户解决方案技术路线 电子文档透明加密;电子文档分级授权;外发电子文件管理;文档操作控制及审计;应用系统安全加固电子文档透明加密军工企业涉密网合法出口密文
12、外发明文外发合法离网脱机非法出口竞争对手窃密员工离职拷贝内部不当行为系统漏洞失密设备丢失非法脱机合法离网正常使用非法离网表现为乱码乱乱 码码电子文档分级授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权授权A部门员工1只读授权B部门员工2只读/打印授权C部门员工3只读/打印/修改授权D部门员工4只读/打印/修改/再授权员工1只读员工2只读/打印员工3只读/打印/修改员工4只读/打印/修改/再授权机密机密机密机密机密机密授权信息已授权用户其它用户机密作者机密文档防泄密服务器权限集中式管理 文档管理员授权授权授权文档权限权限机密机密授权授权外发电子文件管控文档操作控制及审
13、计第三方内容接触者内容传播、使用者内容生产者内容接触者内容接触者透明加密细粒化分级授权外发文档管理信息加密模式信息加密模式管理控制模式管理控制模式数据生命周期管理确保内容可销毁数据操作跟踪数据使用流程保证安全审计应用控制模式应用控制模式剪贴板控制防止内容脱离安全范围打印、传真控制防止内容转换介质打印管理2223操作预警Page 24三种角色、操作审计应用系统安全加固TPM实现下载加密上传解密应用系统数据明文保存支持查询便于应用终端数据密文保存防止扩散确保安全磁盘全盘加密防止磁盘整体被盗26 外设管理自定义审批流Page 28防水墙 系统高可靠、可扩展、高性能高可靠 -数据库双机热备 -服务器双
14、机热备 -证书加密存储 -系统灾难恢复可扩展 -满足企业其它应用系统文档加密和授权需求,为企业提供统一文档安全管理平台高性能 -单台支持最大用户并发数20000个防水墙系统防水墙系统应用系统N公文系统Lotus Notes统一内网信息统一内网信息安全管理平台安全管理平台方案特点总结一 1.涉密文档传播安全管理 在对涉密文档安全管理的同时,又结合军工行业本身的业务流程和组织结构,将密级文档使用权限深入到组织机构业务流程之中。2.涉密文档密级标识管理 系统可实现严格按照分级保护要求对人员密级和文档密级进行定义和划分,依据文件密级实现文件强制标密和手动标密;用户可对密级文件进行定密、密级变更和授权,
15、系统按照涉密单位的管理规范提供了标准流程对定密或密级变更进行统一管控。方案特点总结二 3.涉密文档外发安全管理 当涉密网络安全域内的涉密文档需要外发至其安全域外的他用户时,系统提供外发审批流程,也提供标准的接口实现与原有信息输出流程集成。4.涉密文档应用审计管理 涉密文档管理系统除了提供事前防范策略外,通过日志审计及统计功能,使管理者可即时查看到涉密单位员工对涉密文档使用信息,也可就涉密文档的终端分布进行统计,可实现有效的追踪定位。方案特点总结三 5.外设安全控制 外设管理模块对计算机上各类外设进行统一管理,采用访问控制、数据加密和安全审计等手段、针对每一类的外设设置细粒度使用权限以及启用、禁
16、用等控制策略,精确区别 U 盘、移动硬盘、鼠标、打印机等不同接口设备。6.涉密系统文档下载安全控制 系统对应用系统文件下载采用加密控制机制,通过TPM实现对涉密文档的加解密控制,用户从应用系统下载的敏感文件自动加密授权,涉密终端能够自动识别并进行身份认证、权限认证、安全解密、日志记录等操作。方案实施效果图网盘网盘web邮件邮件论坛论坛办公办公终端终端网网络络途途径径OUTLOOK等等邮件发送邮件发送QQ等等IM消息传递消息传递对办公终端数据进行端口外对办公终端数据进行端口外设输出和网络数据输出的完整监设输出和网络数据输出的完整监控,可根据安全策略进行加密、控,可根据安全策略进行加密、阻断、告警
17、与审计阻断、告警与审计终终端端途途径径CD/DVD刻录刻录打印机打印机打印打印USB等移等移动存储动存储网络共享网络共享终端数据防泄漏解决方案终端数据防泄漏解决方案已知通道已知通道Page 34磁盘文件(密文)文件过滤驱动一文一密钥、格式无关、透明加密:一文一密钥、格式无关、透明加密:和文件格式无关的加密,支持绿色和文件格式无关的加密,支持绿色软件加密软件加密高安全性高安全性保护企业商业信息保护企业商业信息-动态加解密技术动态加解密技术-密钥本身也是密文,密钥是随机的密钥本身也是密文,密钥是随机的-客户端与服务器,及服务器间的通讯报客户端与服务器,及服务器间的通讯报文经过加密处理文经过加密处理
18、高效率高效率快速加密文档快速加密文档-手动加密:只须单击加密按钮并设置权手动加密:只须单击加密按钮并设置权限,避免复杂的人工密钥管理限,避免复杂的人工密钥管理-自动加密:按照设置的策略,处理的文自动加密:按照设置的策略,处理的文件自动被透明加密件自动被透明加密透明透明自动加解密,对使用者完自动加解密,对使用者完全透明全透明-加解密过程透明,不改变文档使用习惯加解密过程透明,不改变文档使用习惯高安全性高安全性高效率高效率透明透明+密文密文密文密文证书证书自动加解密,对用户透明自动加解密,对用户透明应用程序(明文)读/写数据请求读/写数据请求读/写数据响应读/写数据响应策略与分类策略与分类规规则则
19、导导入入服务器服务器 数据运算与远数据运算与远程扫描服务器程扫描服务器防泄密服务器防泄密服务器防火墙防火墙互联网与邮件数据外互联网与邮件数据外发风险预警及事件报发风险预警及事件报告告Internet关键字、正则表达式、指纹、格式关键字、正则表达式、指纹、格式策略定义策略定义策略管理员策略管理员行业规则与模板库行业规则与模板库网络数据防泄漏解决方案网络数据防泄漏解决方案办办公公终终备份服务器备份服务器工作站工作站对互联网与邮件数据外发的阻断、告警与审计!对互联网与邮件数据外发的阻断、告警与审计!统一出口统一出口数数错错据据数数据据无无效效误误数数据据错错误误数数据据效效无无NoteBookPDA
20、Phone PAD合法移动终端用户合法移动终端用户离网用户离网用户合法合法PC终端用户终端用户防泄密服务器防泄密服务器合法智能终端安全解密合法智能终端安全解密拨号用户 VPN用户 内网用户内网用户安全解密内网用户安全解密3G/GPRS非法非法PC终端用户终端用户数据数据无效无效数据乱码数据乱码数据无效数据无效非法移动终端用户非法移动终端用户3G/GPRS数据乱码数据乱码应用数据防泄漏解决方案应用数据防泄漏解决方案已知来源已知来源 行业背景 信息安全现状分析 军工行业数据泄密风险分析 数据防泄漏技术方案 方案优势 成功案例分享目录唯一支持任意类型应用系统零耦合的加密系统 支持包含OA、ERP、数
21、据库、邮件系统等所有B/S、C/S类型的业务系统,对浏览器以及客户端程序没有任何要求唯一支持任意格式文件加密的系统 不仅对Office格式文件支持,所有文档、图档、音频、视频等格式文件均能做到在线编辑及下载/导出加密保护唯一实时不更改网络结构的业务数据加密 业务系统上的数据下载/导出到本地,落地即加密,不存在明文缓存状态,有效保障数据安全性唯一完全不更改用户使用习惯 用户数据操作以及数据自身流转100%保持习惯惯性,如文件的打开通过双击、右键、应用软件导出,拖入等方式均可唯一支持对称加密非对称加密的系统 数据安全产品第一个也是当前唯一采用对称加密,非对称加密技术相结合的系统。优势之唯一优势之领
22、先业内唯一基于多模加密模式的框架设计:可以同时提供全盘,目录,格式,空加密,外设加密,网络加密等各种方式,方便对不同人员管理;业内唯一实现了一文一密钥的商业产品:文件内容级别的加密,采用对称加密和非对称加密相结合技术,实现每个加密文件密钥均不一样;防止一个文件密钥被破解造成的全公司破解;国际范围内第一个提出环境指纹技术并获得国际专利授权防止IT管理人员将加密服务器上的服务器数据Copy走从而造成的公司整体数据泄密;业内最先实现三权分立设计的系统三权分立设计:用户,控制台,安全管理员分立设置,用户被管理,控制台仅仅负责设置策略和维护系统,安全管理员负责审计前二者的日志;业内唯一全程文件密钥透明的系统密钥透明:不管是用户还是管理人员,均无法接触到密钥,更不会存在导出密钥这种操作;行业背景 信息安全现状分析 军工行业数据泄密风险分析 数据防泄漏技术方案 方案优势 成功案例分享目录Page 42网安高度关注和维护中国网络空间安全网安高度关注和维护中国网络空间安全运营商运营商:企业:企业:教育:教育:船舶:船舶:金融:金融:汽车:汽车:长沙交通局长沙交通局政府:政府:国家安全局国家安全局上海各局办委上海各局办委 国家财政部国家财政部 贵州检察院贵州检察院谢谢聆听谢谢聆听!
