鸿萌设计行业数据防泄密解决方案.doc

厦门天锐科技有限设计院 Xiamen Tipray Technology Co.,Ltd 2013-07-10 目 录 一．项目需求 2 二．建设目标 3 三．解决方案 4 3.1总院、地市分院加密管理 4 3.2电脑离线加解密管理 6 3.3 与客户文件交互管理 7 3.3.1 针对不可信的客户 8 3.3.2 针对可信的客户 8 3.4 内部涉密测绘成果 9 3.5 电子化转为纸质化泄密管理 10 3.6对加密文件类型管理 11 3.7 职工作业数据的自动备份 12 四．方案优势 12 4.1 功能优势 12 4.2 技术优势 13 4.3 服务优势 14 六．典型案例 15 一．项目需求 设计行业可以说是一个充满信息安全危机的行业，因为设计是一个从无到有的过程，而且必须是具有独创性的，设计行业的产品独创性越强，价值也就越高。但是设计往往是一个长期而且可能需要团队合作完成的过程，期间必然会产生大量的信息和数据。在还没有互联网以及PC机的时代，人们用纸和笔记录创造设计的过程，那些纸就是设计者创意的载体。但即便是正，在那时还是会有各种人觊觎这种信息数据，各种图纸盗窃事件屡有发生，给那时的设计行业带来不小的损失。　　时间跳回到现在，由于电脑的普及和网络的告诉发展，传统的图纸记录已经被电脑记录所取代；传统的书信交流沟通创意也被各种即时聊天攻击所取代；就连设计的纸和笔也逐渐被各种设计软件所取代。可以说在这个时代，所有的设计过程都会转化为一条条数据，一条电子信息。　　这些信息有的只流通于企业内网，有的甚至要经过外网来传递，所以他的安全性也面临极大的考验，再加之现在的黑客技术越发成熟，信息在传递过程中，储存过程中都将受到来自于各方黑客的攻击，前提只要你的数据信息能为他们带来巨大的经济收益。 二．建设目标 在不改变设计院办公人员的操作习惯、不改变文件格式、不改变文件大小、不改变现有的网络结构、不降低办公人员的办公效率，对设计院内部数据强制透明加密，使得设计院防泄密效果做到：“对外受阻，对内无碍”。 办公人员新建、编辑文件强制透明加密，未经授权任何方式外发，文件均无法访问； 针对技术人员流动频繁，提供文件本身加密的形式，保证企业技术资料不会流失； 对内部的核心文件阅读人员、阅读权限进行严格控制，避免内部核心文件在单位内部二次扩散，导致每个人电脑上都保存着大量核心文件，成为保密管理的“死角”； 对外发给客户的文件只有经过单位领导严格审批，授权后在可以发给客户，避免文件在单位外二次扩散； 对笔记本办公人员未经单位领导严格审批，只能在授予默认的时间内，可以携带笔记本在外办公。在外办公的与单位内部一样的防泄密效果； 对文件打印进行监督与管控，避免打印泄密； 能够监督、跟踪、记录所有用户的全部操作，一旦泄密事件发生，通过用户操作记录, 可以第一时间拿出最有力的证据。 三．解决方案 基于上述对需求的简要分析，结合厦门天锐在数据泄露防护领域多年信息安全项目建设经验，针对涉密信息安全体系提出以下方案建议： 3.1总院、地市分院加密管理 天锐绿盾采用文件过滤驱动加密技术，驱动层加密工作在Windows内核，加解密动作都是在文件打开的时候动态解密，在新建、编辑文件时强制自动加密，不产生临时文件。 在广域网的环境下，总院、各地市分院的加密管理效果 如下图所示： 部署方法： 在总院、各地市分院分别单独部署一台天锐绿盾服务器，且每台服务器的密钥是一样的。每台服务器分别管理本地的各终端加密数据。 管理效果： 在总院、各地市分院数据加密后，在平时没有任何影响，不改变办公人员操作习惯，无需手动输入密码。加密后的文件未经授权，任何的方式流到单位外，打开时会出现乱码或无法打开，并且始终处于加密状态； 总院与各地市分院的文件可以正常交互，不受任何影响； 总院、各地分院的分别管理，对文件解密申请都需要对本地领导审批。比如：福州市分院办公人员加密的文件申请解密，只能是本地分院的上级领导审批，无法实现总院领导审批； 各院的加密策略下发、日志审计等均在不同的服务器完成。且各分院的各种行为日志只需要上传到本地服务器，无需上传到总院服务器。 在VPN专网的环境下，总院、各地市分院的加密管理效果 如下图所示： 部署方法： 在总院部署一台天锐绿盾服务器，各地分院的终端电脑通过VPN的方式，与总院的绿盾服务器建立连接，实现对管理。 管理效果： 在总院、各地市分院数据加密后，在平时没有任何影响，不改变办公人员操作习惯，无需手动输入密码。加密后的文件未经授权，任何的方式流到单位外，打开时会出现乱码或无法打开，并且始终处于加密状态； 总院与各地市分院的文件可以正常交互，不受任何影响； 总院、各地分院对文件解密申请即可通过分院本地领导审批，也可以通过总院领导审批； 各院的加密策略下发、