信息資產(chǎn)綜合安全管控平臺研究

1、中國移動集團級重點研發(fā)項目中國移動集團級重點研發(fā)項目 結題匯報報告結題匯報報告 20112011年年1212月月2929日日 項目名稱：信息資產(chǎn)綜合安全管控平臺研究 課題目標實現(xiàn)情況課題目標實現(xiàn)情況 目目 錄錄 二、主要研究成果（整合后）二、主要研究成果（整合后） 1.1 1.1 研究背景及目標（開題報告）研究背景及目標（開題報告） 應用背景：應用背景： 湖南移動已經(jīng)建立起包括終端安全、內(nèi)容安全在內(nèi)的敏感信息防泄漏系統(tǒng)，這些系統(tǒng)在保 障信息資產(chǎn)安全方面已經(jīng)發(fā)揮了重要作用。但使用中發(fā)現(xiàn)分散建設的模式與切實保障信息資產(chǎn)安全的要 求相距很遠，也不符合集中化、標準化的建設思路。 這種局面同樣也存在于兄

2、弟省公司，各個省公司 在敏感信息保護方面都已經(jīng)取得相當?shù)某煽?。但是對比后發(fā)現(xiàn)，在信息資產(chǎn)保護方面省公司各有所長， 同時也存在很多不足。 q 現(xiàn)有系統(tǒng)都側重解決某一領域的問題，要全面解決信息資產(chǎn)面臨的所有問題必須綜合所有系統(tǒng)才能實現(xiàn) 。全面解決敏感信息防泄密問題就需要建設部署數(shù)量眾多的防護系統(tǒng)需要建設部署數(shù)量眾多的防護系統(tǒng)。 q 這些系統(tǒng)給給用戶使用帶來巨大困難，對管理維護工作也會形成巨大壓力給用戶使用帶來巨大困難，對管理維護工作也會形成巨大壓力。 q 多種防護系統(tǒng)并存的局面也極大的影響了用戶體驗，造成系統(tǒng)難以推廣影響了用戶體驗，造成系統(tǒng)難以推廣。 q 湖南移動的it系統(tǒng)建設已經(jīng)走在國內(nèi)甚至國際

3、的先進行列，但it系統(tǒng)的先進和豐富帶來了若干安全問題 ，湖南移動在信息資產(chǎn)安全管控方面尚沒有專門的系統(tǒng)來保障尚沒有專門的系統(tǒng)來保障 。 q 隨著通信行業(yè)競爭的加劇，信息資產(chǎn)面臨的各種威脅也日趨嚴重。國資委、集團公司已經(jīng)多次要求國資委、集團公司已經(jīng)多次要求強化 企業(yè)信息安全管理。 1.2 1.2 主要研究內(nèi)容（開題報告）主要研究內(nèi)容（開題報告） q 對現(xiàn)有的防護手段進行調(diào)研梳理：對現(xiàn)有的防護手段進行調(diào)研梳理：近年來總部、省公司陸續(xù)建立了很多具備 敏感信息防泄密功能的系統(tǒng)，本項目進行過程中對這些系統(tǒng)以及業(yè)界新出現(xiàn)的防 護技術進行調(diào)研梳理，確定構建信息資產(chǎn)綜合管控平臺的防護手段。 q 制定信息資產(chǎn)防

4、護手段的接入規(guī)范：制定信息資產(chǎn)防護手段的接入規(guī)范：在前期對防護手段梳理的基礎上我們制 定了防護手段的接入規(guī)范，接入規(guī)范包括：終端接入、服務接入兩部分，分別實 現(xiàn)用戶終端層面、管理維護層面的集中化、標準化。 q 制定信息資產(chǎn)綜合管控平臺的解決方案：制定信息資產(chǎn)綜合管控平臺的解決方案：通過信息資產(chǎn)綜合管控平臺解決方 案對現(xiàn)有的防護系統(tǒng)進行融合。綜合各種技術手段保護企業(yè)信息資產(chǎn)安全。 q 提出對運維人員管控的解決方案：提出對運維人員管控的解決方案：在研究過程中發(fā)現(xiàn)現(xiàn)有系統(tǒng)對運維人員可 能造成的泄密風險估計不足，直接導致運維人員可以通過各種手段竊取系統(tǒng)保存 的敏感信息，為此信息資產(chǎn)綜合管控平臺解決方案

5、中也包含了對運維人員管控的 內(nèi)容。 1.3 1.3 目標完成情況總結目標完成情況總結 項目進度執(zhí)行情況表可作為附件項目進度執(zhí)行情況表可作為附件 項目研究產(chǎn)出項目研究產(chǎn)出產(chǎn)出成果產(chǎn)出成果承擔單位承擔單位 研究成果：包括研究報告、 形成的軟硬件平臺 信息資產(chǎn)綜合安全管控平 臺技術方案 湖南移動管理信息系統(tǒng)部 標準成果：形成的企業(yè)標 準及標準化組織成果 無 專利成果：專利情況無 試驗成果：開展的相關試 驗室及外場測試工作中形 成的試驗報告（模板見（模板見xxxx） 1.3 1.3 目標完成情況總結目標完成情況總結- -續(xù)續(xù)( (方案部分方案部分) ) 通過研究實現(xiàn)如下目標： q通過整合各種防護技術為

6、用戶提供敏感信息防泄密的全面技術手段。 q通過整合敏感信息防護的客戶端、服務端，提升用戶體驗簡化管理員 操作，減少運維難度。 q通過融合各種防護產(chǎn)品，在構造整體防護體系的同時避免重復建設減 少投資。 q加強對運維人員的管理，避免通過從后臺篡改數(shù)據(jù)造成敏感信息泄密。 通過上述目標的實現(xiàn)可以為企業(yè)： 對重要電子文檔生成、存儲、傳輸、使用、銷毀等全生命周期活動進行全生命周期活動進行 管控管控。為實現(xiàn)it服務的標準化、集中化管理提供信息化保障。 通過自助服務、整合客戶端等方式改善用戶體驗，減少用戶使用敏感信 息防泄密系統(tǒng)的難度，推進敏感信息防泄密系統(tǒng)的使用。 1.3 1.3 目標完成情況總結目標完成情

7、況總結- -續(xù)續(xù)( (試驗部分試驗部分) ) 試驗內(nèi)容包括： q客戶端實現(xiàn)應用代理功能客戶端實現(xiàn)應用代理功能：對通過客戶端實現(xiàn)應用代理的可行性進行 測試，包括功能測試與安全性測試。 q安全郵件編碼傳輸安全郵件編碼傳輸：對通過普通郵件服務器傳輸安全郵件的可行性進 行測試。 q獨立的認證技術實現(xiàn)獨立的認證技術實現(xiàn)：對獨立認證技術的可行性尤其是運維的可行性 進行測試。 q業(yè)務環(huán)節(jié)與認證環(huán)境關聯(lián)審計業(yè)務環(huán)節(jié)與認證環(huán)境關聯(lián)審計：對業(yè)務環(huán)節(jié)與認證環(huán)境關聯(lián)審計進行 安全性測試。 q客戶端托管技術客戶端托管技術：對客戶端托管技術進行功能測試。 通過試驗得出如下結論： q可以通過接管等技術實現(xiàn)敏感信息防泄密客戶

8、端的整合實現(xiàn)敏感信息防泄密客戶端的整合， 整合后的客戶端將大大改善用戶體驗將大大改善用戶體驗。 q可以通過獨立認證等技術加強對運維人員的管控加強對運維人員的管控，相關 技術措施運維人員難以繞過難以繞過。 q可以通過頁面適配技術對網(wǎng)絡傳輸?shù)男畔⑦M行保護對網(wǎng)絡傳輸?shù)男畔⑦M行保護，引 入保護措施不改變現(xiàn)有應用、不改變用戶使用習慣。 項目對企業(yè)績效貢獻的量化路徑圖項目對企業(yè)績效貢獻的量化路徑圖 1.4 1.4 項目企業(yè)績效貢獻和特征指標項目企業(yè)績效貢獻和特征指標 項目特征指標（項目特征指標（pav） 指標名稱項目應用前指標現(xiàn)狀值： pavc 項目應用1年后指標預期值： pave1 此項目帶來的指標變動

9、量： pav 用戶使用軟件 時間 每次完成工作使用時間50分鐘每次完成相同工作使用時間為30分 鐘 20分鐘 企業(yè)特征指標企業(yè)特征指標網(wǎng)絡及生產(chǎn)類（網(wǎng)絡及生產(chǎn)類（eav-pseav-ps） 指標 名稱 項目應用 前指標現(xiàn) 狀值 （eavc） 項目應用1 年后指標 預期值 （eave） 此項目應用帶 來的指標變動 量（eav） 用戶使用 軟件時間 縮短 每年20000人次 使用，使用時間 共計 20000*50 分鐘=1000000分 鐘=16667小時 每年20000人次使用， 使用時間共計 20000*30分鐘 =600000分鐘=10000 小時 節(jié)約時間=1000000- 600000=

10、400000分鐘 =6667小時 企業(yè)特征指標企業(yè)特征指標市場及財務類（市場及財務類（eav-mf） 指標名稱項目應用前 指標現(xiàn)狀值 （eavc） 項目應用1年 后指標預期 值（eave） 此項目應用帶 來的指標變動 量（eav） 人工成 本 人工費用：50元/人. 時，共計， 16667*100=833350 元 人工費用：50元/人. 時，共計 10000*50=500000元 節(jié)省費用：每年節(jié)省 833350-500000=33350元 =33.4萬元 企業(yè)績效指標（企業(yè)績效指標（epv） 指標名稱 項目應用前指標現(xiàn)狀值： eavc 項目應用1年后指標預期值： eave 此項目應用帶來的

11、指標變動量： eav 營運收入 營運支出 資本開支 1.4 1.4 項目企業(yè)績效貢獻和特征指標項目企業(yè)績效貢獻和特征指標 項目特征指標的年度預期數(shù)值表項目特征指標的年度預期數(shù)值表 項目特征指標（項目特征指標（pav）的名稱：）的名稱： 項目應用前指標現(xiàn)狀值：pavc 項目應用1年后指標預期值：pave1 項目應用2年后指標預期值：pave2 項目應用3年后指標預期值：pave3 項目應用4年后指標預期值：pave4 項目應用5年后指標預期值：pave5 項目應用6年后指標預期值：pave6 項目應用7年后指標預期值：pave7 項目應用8年后指標預期值：pave8 項目應用9年后指標預期值：p

12、ave9 項目應用10年后指標預期值：pave10 一一. . 課題目標實現(xiàn)情況課題目標實現(xiàn)情況 目目 錄錄 二、主要研究成果二、主要研究成果 q 敏感信息統(tǒng)一標識：敏感信息統(tǒng)一標識：統(tǒng)一標識不同系統(tǒng)中處理的敏感信息，當敏感信息在系統(tǒng)間 進行流轉時確保不同系統(tǒng)間用戶權限信息的同步； q 統(tǒng)一的授權管理：統(tǒng)一的授權管理：統(tǒng)一管理各個系統(tǒng)的用戶權限，支持一次授權全局可用；支持 權限撤銷；當不同系統(tǒng)間權限發(fā)生沖突時，可以根據(jù)策略（最小權限、最大權限 ）進行判別； q 標準的接入介面：標準的接入介面：支持將不同的防護產(chǎn)品按照規(guī)范接入平臺，通過統(tǒng)一接入將不 同防泄漏的技術手段融合成一個整體。 q 統(tǒng)一的

13、用戶界面：統(tǒng)一的用戶界面：對不同防護產(chǎn)品的客戶端進行融合，統(tǒng)一用戶界面支持用戶在 一個客戶端中即可調(diào)用所有防護功能。 q 統(tǒng)一的配置手段：統(tǒng)一的配置手段：統(tǒng)一管理各個防護系統(tǒng)的參數(shù)，包括防護策略、關鍵字；統(tǒng)一 各個防護系統(tǒng)的審計日志。 研究思路研究思路 實現(xiàn)將業(yè)務系統(tǒng)與防護系統(tǒng)分開，即通過完全獨立部署的頁面適配子系統(tǒng)來完成加密功能。敏 感信息的密文由防護系統(tǒng)來處理，業(yè)務系統(tǒng)只負責傳輸、存儲敏感信息的密文，而無法獲取敏 感信息的明文，敏感信息只有在展現(xiàn)給用戶的最后環(huán)節(jié)才被部署在用戶終端上的防護系統(tǒng)自動 恢復成明文。 業(yè)務與防護的分離業(yè)務與防護的分離 頁面適配頁面適配 q接收用戶訪問應用系統(tǒng)的請求

14、，監(jiān)聽端口數(shù)據(jù)，解析訪問應用系統(tǒng)的 http流，提取正文/附件； q調(diào)用加密接口對提取出的正文/附件進行加密； q將加密后的正文/附件填充回http流，應用代理重構原h(huán)ttp流后，轉發(fā)請 求到應用系統(tǒng)； q將html頁面發(fā)送頁面翻譯進行頁面翻譯頁面樣式的統(tǒng)一和更新正文編輯 控件； q實現(xiàn)密文識別，正確識別加密文件，同時處理文件加密標識； q觸發(fā)權限適配服務獲取用戶的權限/角色信息。 頁面適配頁面適配 q接收應用代理發(fā)送的需要翻譯的html頁面，發(fā)送頁面翻譯后的頁面 到應用代理； q解析html頁面，根據(jù)頁面翻譯配置置換html頁面中的元素，保持頁 面風格樣式的基本一致和調(diào)用不同的正文編輯控件，

15、重構置換后的 html頁面。 頁面適配頁面適配 加加 密密 流流 程程 解解 密密 流流 程程 防護環(huán)節(jié)防護環(huán)節(jié) 適配接入方式：適配接入方式： q針對每種防護產(chǎn)品開發(fā)相應的適配，統(tǒng)一防護產(chǎn)品客戶端與服務端的通訊； q部署在終端的標準客戶端通過適配調(diào)用不同的客戶端； q標準服務端通過適配將客戶端狀態(tài)返回給防護產(chǎn)品的服務端； q數(shù)據(jù)提取負責提供各個防護產(chǎn)品中保存的審計信息，同時完成授權信息的同步； q用戶通過統(tǒng)一操作界面操作客戶端，管理員通過統(tǒng)一管理界面管理服務端。 適配 客戶端a 客戶端b 客戶端d 客戶端c 適配 適配 適配 標 準 客 戶 端 標 準 服 務 端 適配 適配 適配 適配 服務

16、端a 服務端b 服務端d 服務端c 數(shù)據(jù) 統(tǒng)一管理界面統(tǒng)一操作界面 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù) 據(jù) 提 取 防護技術接入防護技術接入 插件接入方式：插件接入方式： q針對每種防護產(chǎn)品開發(fā)相應的插件，通過插件調(diào)用防護產(chǎn)品的客戶端功能； q防護產(chǎn)品的客戶端服務端直接進行交互； q管理員通過操作防護產(chǎn)品的數(shù)據(jù)庫完成統(tǒng)一授權、統(tǒng)一審計； q客戶端通過插件調(diào)用防護產(chǎn)品提供的防護功能。 客戶端a 客戶端b 客戶端d 客戶端c 服務端a 服務端b 服務端d 服務端c 數(shù)據(jù) 統(tǒng)一管理界面統(tǒng)一操作界面 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù) 據(jù) 提 取 插件 插件 插件 插件 標 準 客 戶 端 防護技術接入防護技術接入

17、接管接入方式：接管接入方式： q通過模擬用戶操作調(diào)用防護產(chǎn)品提供的防護功能； q防護產(chǎn)品的客戶端服務端直接進行交互； q管理員通過操作防護產(chǎn)品的數(shù)據(jù)庫完成統(tǒng)一授權、統(tǒng)一審計。 客戶端a 客戶端b 客戶端d 客戶端c 服務端a 服務端b 服務端d 服務端c 數(shù)據(jù) 統(tǒng)一管理界面統(tǒng)一操作界面 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù) 據(jù) 提 取 標 準 客 戶 端 防護技術接入防護技術接入 三種方式的對比：三種方式的對比： q適配方式適配方式：融合效果最好，通過適配調(diào)用防護產(chǎn)品提供的各項功能；在 統(tǒng)一客戶端界面、管理員界面的同時還將交互數(shù)據(jù)進行了統(tǒng)一；根據(jù)不同 產(chǎn)品提供功能適配方式還可以在一定程度上進行自由組合，

18、但需要廠商支 持較多技術支持。 q插件方式插件方式：融合效果一般，通過插件調(diào)用防護產(chǎn)品提供的各項功能；可 以提供統(tǒng)一的客戶端界面、管理員界面。需要廠商提供一定的技術支持； q接管方式接管方式：融合效果較差，通過模擬用戶操作調(diào)用防護產(chǎn)品提供的各項 功能；可以提供統(tǒng)一的客戶端界面、管理員界面。無需廠商提供技術支持。 防護技術接入防護技術接入 編寫郵件編寫郵件 授權授權 分配權限分配權限 發(fā)送發(fā)送 郵件分發(fā)郵件分發(fā) 收件人收件人 申請認證申請認證 郵件操作郵件操作 安全郵件安全郵件 編寫郵件編寫郵件 授權授權 發(fā)送發(fā)送 郵件分發(fā)郵件分發(fā) 收件人收件人 申請認證申請認證 郵件操作郵件操作 1：用戶可以

19、起草加密郵 件。 2：加密郵件中正文附件正文附件 都將被加密都將被加密。 1：郵件接受者默 認對郵件有只讀權 限。 2：發(fā)送者可以對 郵件內(nèi)容進行附加 授權。 1：加密后的郵件 可以與普通郵件一 樣被發(fā)送、傳輸。 1：郵件接收者在 經(jīng)過認證后可以訪 問郵件。 1：接收者對另存在本地的附 件進行訪問時也需要被認證。 2：接收者在需要轉發(fā)郵件時 必須按照他被授予的權限。 3：接收者可以使用客戶端使用客戶端 ( (如如outlookoutlook、foxmail)foxmail)、 webweb方式訪問郵件方式訪問郵件。 可以根據(jù)實際賦予用戶只讀、編輯、拷貝、 截屏、錄屏、打印、水印打印、再授權、

20、脫密、離線權限?？梢栽O置權限執(zhí)行的的 次數(shù)、頻率、時限、地點。 分配權限分配權限 安全郵件安全郵件 郵件服務器郵件服務器 發(fā)信方發(fā)信方收信方收信方 傳傳 統(tǒng)統(tǒng) 方方 案案 ca服務器服務器 1. 查詢證書 2. 加密后的正 文、附件 3. 加密后的正 文、附件 4. 驗證簽名 只能保證傳輸過程的安全只能保證傳輸過程的安全 郵件服務器郵件服務器 權限管理權限管理 發(fā)信方發(fā)信方 1. outlook插件加密正 文、附件 建建 議議 方方 案案 收信方收信方 3. 加密后的正 文、附件 4. 加密后的正 文、附件 6. 打開郵件 5. 查詢權限 2. 根據(jù)郵件授權 安全郵件安全郵件 通過使用outl

21、ook插件技術完成對正文、附件的加密保護： q針對正文在保證不改變用戶使用習慣的前提下應用多種防護措施； q針對附件每次打開都需要經(jīng)過認證，通過認證后才能按照權限訪問； 安全郵件安全郵件 q用戶可以在文檔安全服務器中以加密形式共享各種資料； q可以根據(jù)實際情況針對每個文檔為用戶進行細粒度授權。 文檔安全服務器文檔安全服務器 web 應用服務器應用服務器 數(shù)據(jù)加密數(shù)據(jù)加密 數(shù)據(jù)解密數(shù)據(jù)解密 密文傳輸密文傳輸 通過部署在用戶終端上的插件技術完成對重要信息的加密保護： q在保證不改變用戶使用習慣、不改變應用系統(tǒng)的前提下對重要數(shù)據(jù)進行加密； q數(shù)據(jù)在傳輸處理過程始終以密文形式存在，保證考核過程的公正性

22、； 考核管理系統(tǒng)考核管理系統(tǒng) 磁盤 數(shù) 據(jù) 過 濾 即時通訊 電子郵件 文件共享 web傳輸 預掃描 網(wǎng)網(wǎng) 絡絡 數(shù) 據(jù) 過 濾 移移 動動 存存 儲儲 文件管理 配置管理 關鍵字管理 掃描策略 告警策略 管管 理理 員員 告警管理 dlpdlp數(shù)據(jù)防泄密數(shù)據(jù)防泄密 q針對各種信息傳播的途徑（郵件、web、即時通訊、文件傳輸、移動設 備）進行過濾； q通過關鍵字匹配、文檔指紋匹配、結構化數(shù)據(jù)審計識別敏感信息； q對壓縮文件進行預識別，對重要可疑文件進行備份； q審計日志能夠根據(jù)需求進行分組、過濾、排序、索引，并支持靈活的統(tǒng) 計、報表功能；支持事件響應流程，能夠自動通過郵件等方式把違反策 略的審

23、計信息通知日志管理員； q通過對壓縮文件進行預掃描，識別壓縮文件中包含的敏感信息； q在發(fā)現(xiàn)非法傳輸敏感信息時可以采取包括提示、阻斷、告警等措施。 dlpdlp數(shù)據(jù)防泄密數(shù)據(jù)防泄密 授權信息 策略信息 服務服務a服務分發(fā)服務分發(fā)服務服務b 交互信息：交互信息： dlp報警報警 數(shù)據(jù)加密數(shù)據(jù)加密 審計信息審計信息 自助服務門戶 自助服務自助服務 30 結束結束 謝謝大家！ majpjmvcyzj21hlfrvy96dv02lppfygxus7iymzkyemz0kgeyzs3bplckyh1lt4ek7cxmux3ijoysoer7zuavwygz4epzruirvpmzzvntf1xzw5oswsxotfaejnocmfe1lzgnn1rsxg8wlcg8cvq3xpjmvodpfwcpiyjgzaznsepniaklysu7qsd1upaxmzdlpn9zw7kljfslcli26yv109ffbndh8l