企业信息数据防泄漏解决方案
非法用户随意接入内部网络 内部合法用户滥用权限 终端不能及时打系统补丁 员工私自安装软件、开启危险服务 员工私自访问与工作无关网站 员工绕过防火墙访问互联网 员工未安装防病毒软件 员工忘记设置必要的口令 ……
现有安全设备难以有效保护网络
无法检查网络内计算机的安全状况 缺乏对合法终端滥用网络资源的安全管理 无法防止恶意终端的蓄意破坏
2020年8月2日星期日
防水墙数据防泄漏系统的工作流程
2、安全验证 用户操作认证 证书和权限信息交互
禁止外部用户访问 无访问身份及访问权限
身份验证失败
防水墙服务器
12
无法下载权限信息
4
3、信息分发 通过Internet, 邮件附件, ftp下载,其他存储设备
外部用户
向 外 分 发 信 息
防水墙客户端
主机审计
•【打印审计】【外设使用审计】【外设内容审计】【删除审计】 •【操作审计】【审批审计】 •【硬件资产】【软件资产】 •【网络管理】【共享管理】 •【外设认证】【外设注册】【外设控制】【外设只读】 •【操作预警:管理者,审计者,使用者各种预先设置操作的报警:短信,Mail,界面】
2020/8/2
13
2020/8/2
14
2.1
2020/8/2
15
2.1
优点:自己的文件不必加密,其他人的密文也可以看,对工作效率无影响;
空加密 缺点:安全性取决于用户本人;电脑丢了因为数据不是加密的,可能会造成无意中的数据泄密。
一般仅仅用于企业最高管理层;[存在泄密风险]
优点:自己的文件放到加密目录就会自动加密,移动到非加密目录之外就自动变成明文;其他人的密文也可以看; 对工作效率无影响;电脑即使丢了原来是密文的数据还是得到了保护;
有9千名白金资格以上的客户离开了汇丰银行 2011年12月CSDN网站600万用户信息泄露事件 2014年1月2000万酒店开房数据泄漏 2014年12月25日,13万个12306用户信息遭泄露,其中包括账号、明文密码
等 2015年4月22日千万级社保信息面临数据泄漏的危险 ……
企业网面临复杂多样的威胁
企业信息数据防泄漏解决方案
技术创新,变革未来
内容提要
背景分析 解决方案 行业方案 方案优势
2020年8月2日星期日
业界现状
信息作为IT的核心,其安全问题随着它的价值越来越凸显 “11.30”特大电信诈骗案中国内银行客户损失了1.4亿人民币 汇丰银行因内部IT员工盗窃客户资料损失重大,导致在受到侵害的2.4万客户中
Figure1 企业面临的TOP10安全威胁
信息泄密成为组织面临的TOP10安 全威胁之一
在Fortune排名1000的公司中,每 次电子文档泄密造成的损失平均为 $50 Million
Page 5
行业法规
01
国际法规
PCI DSS - 支付卡行业 FISMA - 联邦信息管理法案 SOX - 塞班斯法案 HIPAA - 健康保险流通与责任法
外部合作
明
外发出口
文 上
OA
邮件安全网关 传
组织内部 授权信息
职能部门 半透明加密
高层、懂事 主动加密
业务系统集成 SAP系统 管理信息系统
密 文 下 载
明 文 下 载
流
竞争对手
程
审
批
离职拷贝
平
台
有意无意
非法出口
漏洞、黑客
设备丢失
非法脱机
2.功能模块
数据防泄密
•多模加密【全盘加密,目录加密,空加密,格式加密】 •外发控制【时间,次数,设备,截屏,修改,打印,水印】 •【文件密级】【云端备份】【审批管理】 •【烧录管理】
2013年2月1日起实施。 最高人民法院2014年10月9日公布《最高人民法院关于审理利
用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规 定》,该司法解释于10月10日起施行。 政府行业的信息安全等级保护工作开展
行业标准逐渐形成
应用背景分析
应用环境中的实际需求
所有组织内部的信息只要存在就有可能成为泄密隐患; 任何类型电子文档内容都有可能造成泄密; 电子文档的接触者都有可能能为泄密源头; 电子文档应用行为都可能引起内容扩散泄露。
加密 测略 说明
目录加密 缺点:安全性取决于用户本人;但电脑丢了因为数据是加密的,不会造成无意中的数据泄密。
一般用于企业较高的管理层;[存在泄密风险] 优点:不需要一直关注加密策略,只要设置全盘加密,则用户创建的所有文件均是加密的,安全控制策略属于最严 格的;
1、信息保护 用户加密文件 文件权限信息交互
3
防水墙客户端
4、信息访问 接收用户认证 获取证书和权限 无网络时候,授权离线操作
2020/8/2
11
34.防10火墙内外网数据解决方案
内部外出
合法出口
合法离网脱机
流 系统管理员 程
外部合作
审
批
平
明文外发
台
外发出口
外发管理员
密文外发
核心部门 强制加密
密 文 上 传
案 GLBA - 格莱姆-布里勒法案 各地区的个人资产保护法
02 国内法规
《信息系统安全等级保护》 GBT 22239-2008 信息安全技术 信息系统安全等级保护基本
要求 GBT 22240-2008 信息安全技术 信息系统安全等级保护定级
指南 “人大常委会关于加强网络信息保护决定草案” 《信息安全技术公共及商护必须,但还不够!
从根本上解决问题
2020年8月2日星期日
内容提要
背景分析 解决方案 行业方案 方案优势
2020年8月2日星期日
1.设计思路
事
事
事
前
中
后
预
控
审
防
制
计
2020/8/2
9
解决方案体系介绍
解决方法目标分解
采用加密的手段控制各种类型电子文档内容; 赋予不可篡改电子文档身份,并与操作者建立所属关系; 细化权限,控制读/写、打印和摘抄动作; 电子文档与组织结构成员关联实现分级授权; 电子文档生命周期管理,记录电子文档使用过程,实现操作行为审计; 建立离开组织机构电子文档的管理手段; 加固应用系统,提高安全等级; 建立审批流程、三权分立等级
接入终端数量大、系统复杂,难以管理
内网缺乏有效安全监控、审计手段 系统软件安全漏洞修复不及时 系统缺乏行之有效的管理及紧急响应手段 无法跟踪恶意员工泄露企业信息 无法及时掌握终端的更新和变化 ……
需求理解
网络终端的 安全威胁
Page 4
最严重和亟待应对的:信息泄密风险
内部员工泄密 黑客窃密
存储介质遗失
