數(shù)據(jù)泄露防護(hù)解決方案0001

1、數(shù)據(jù)泄露防護(hù)（DLP 解決方案以數(shù)據(jù)資產(chǎn)為焦點(diǎn)、數(shù)據(jù)泄露風(fēng)險(xiǎn)為驅(qū)動(dòng)，依據(jù)用戶數(shù)據(jù)特點(diǎn)（源代碼、設(shè)計(jì)圖紙、Office文檔等）與具體應(yīng)用場(chǎng)景（數(shù)據(jù)庫(kù)、文件服務(wù)器、電子郵件、應(yīng)用系統(tǒng)、PC 終端、筆記本終端、智能終端等），在 DLP 平臺(tái)上靈活采取數(shù)據(jù)加密、隔離、內(nèi)容識(shí)別等多種技術(shù)手段， 為用戶提供針對(duì)性數(shù)據(jù)泄露防護(hù)整體解決方案，保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露。其中包括：數(shù)據(jù)安全網(wǎng)關(guān)數(shù)據(jù)安全隔離桌面電子郵件數(shù)據(jù)安全防護(hù)U 盤(pán)外設(shè)數(shù)據(jù)安全防護(hù)筆記本涉密數(shù)據(jù)隔離安全保護(hù)系統(tǒng)筆記本電腦及移動(dòng)辦公安全文檔數(shù)據(jù)外發(fā)控制安全1 數(shù)據(jù)安全網(wǎng)關(guān)背景：如今，企業(yè)正越來(lái)越多地使用ERR OA PLM 等多種應(yīng)用系統(tǒng)提升自

2、身競(jìng)爭(zhēng)力。與此同時(shí)，應(yīng)用系統(tǒng)中的數(shù)據(jù)資產(chǎn)正受到前所未有的安全挑戰(zhàn)。如何防止核心數(shù)據(jù)資產(chǎn)泄露，已成為信息安全建設(shè)的重點(diǎn)與難點(diǎn)。概述：數(shù)據(jù)安全網(wǎng)關(guān)是一款部署于應(yīng)用系統(tǒng)與終端計(jì)算機(jī)之間的數(shù)據(jù)安全防護(hù)硬件設(shè)備。瞬間部 署、無(wú)縫集成，全面實(shí)現(xiàn) ERR、OA、RLM 等應(yīng)用系統(tǒng)數(shù)據(jù)資產(chǎn)安全，保障應(yīng)用系統(tǒng)中數(shù)據(jù) 資產(chǎn)只能被合法用戶合規(guī)使用，防止其泄露。瞬間部署無(wú)縫集成全面實(shí)現(xiàn) ERP、OA、PLM 等應(yīng)用系統(tǒng)中數(shù)據(jù)資產(chǎn)安全具體可實(shí)現(xiàn)如下效果：應(yīng)用安全準(zhǔn)入采用雙向認(rèn)證機(jī)制，保障終端以及服務(wù)器的真實(shí)性與合規(guī)性， 防止數(shù)據(jù)資產(chǎn)泄露。非法終端 用戶禁止接入應(yīng)用服務(wù)器， 同時(shí)保障合法終端用戶不會(huì)鏈接至仿冒的應(yīng)用服務(wù)器

3、。合法用戶可正常接入應(yīng)用服務(wù)器，訪問(wèn)應(yīng)用系統(tǒng)資源，不受限制；統(tǒng)一身份認(rèn)證數(shù)據(jù)安全網(wǎng)關(guān)可與 LDAP 協(xié)議等用戶認(rèn)證系統(tǒng)無(wú)縫集成，對(duì)用戶進(jìn)行統(tǒng)一身份認(rèn)證，并可進(jìn)一步實(shí)現(xiàn)用戶組織架構(gòu)分級(jí)管理、角色管理等；下載加密上傳解密下載時(shí)，對(duì)經(jīng)過(guò)網(wǎng)關(guān)的文件自動(dòng)透明加密，下載的文檔將以密文保存在本地，防止其泄露；上傳時(shí)對(duì)經(jīng)過(guò)網(wǎng)關(guān)的文件自動(dòng)透明解密，保障應(yīng)用系統(tǒng)對(duì)文件的正常操作；提供黑白名單機(jī)制可依據(jù)實(shí)際管理需要，對(duì)用戶使用權(quán)限做出具體規(guī)則限定，并以此為基礎(chǔ)，提供白名單、黑名單等例外處理機(jī)制。如：對(duì)某些用戶下載文檔可不執(zhí)行加密操作；提供豐富日志審計(jì)詳細(xì)記錄所有通過(guò)網(wǎng)關(guān)的用戶訪問(wèn)應(yīng)用系統(tǒng)的操作日志。包括：時(shí)間、服務(wù)

4、器、客戶端、傳輸文件名、傳輸方式等信息，并支持查詢查看、導(dǎo)出、備份等操作；支持雙機(jī)熱備、負(fù)載均衡，并可與虹安 DLP 客戶端協(xié)同使用，更大范圍保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)安 全；2、數(shù)據(jù)安全隔離桌面背景：保護(hù)敏感數(shù)據(jù)的重要性已不言而喻，但如何避免安全保護(hù)的“一刀切”模式（要么全保護(hù)、要么全不保護(hù)）？如何在安全保護(hù)的同時(shí)不影響外部網(wǎng)絡(luò)與資源的正常訪問(wèn)？如何在安全保 護(hù)的同時(shí)不損壞寶貴數(shù)據(jù)？ 概述：在終端中隔離出安全區(qū)用于保護(hù)敏感數(shù)據(jù)，并在保障安全區(qū)內(nèi)敏感數(shù)據(jù)不被泄露的前提下, 創(chuàng)建安全桌面用于安全訪問(wèn)外部網(wǎng)絡(luò)與資源。在保障敏感數(shù)據(jù)安全的同時(shí)，提升工作效率。安全區(qū)具體可實(shí)現(xiàn)效果:1）只保護(hù)安全區(qū)內(nèi)敏感數(shù)據(jù)安全

5、，其它數(shù)據(jù)不做處理；2）通過(guò)身份認(rèn)證后，方可進(jìn)入安全區(qū)；3）安全區(qū)內(nèi)可直接通過(guò)安全桌面訪問(wèn)外部網(wǎng)絡(luò)與資源；4）安全區(qū)內(nèi)敏感數(shù)據(jù)外發(fā)必須通過(guò)審核，數(shù)據(jù)不會(huì)通過(guò)網(wǎng)絡(luò)、外設(shè)等途徑外泄;5）敏感數(shù)據(jù)不出安全區(qū)不受限制，數(shù)據(jù)進(jìn)入安全區(qū)是否受限，由用戶自定義；特色優(yōu)勢(shì)：1）避免安全保護(hù)“一刀切”，可只保護(hù)敏感數(shù)據(jù)；2）敏感數(shù)據(jù)保護(hù)與自由上網(wǎng)，互不影響；3） 不會(huì)損壞敏感數(shù)據(jù)，適合保護(hù)各類敏感數(shù)據(jù)，包括源代碼、設(shè)計(jì)圖紙等動(dòng)則上G 的大文件； 3、電子郵件數(shù)據(jù)安全防護(hù)背景：電子郵件已經(jīng)成為日常工作中最常用的通信工具之一。然而，電子郵件在網(wǎng)絡(luò)中是以明文形式傳輸和存儲(chǔ)，就猶如在信息高速公路上 “裸奔” 一樣，企業(yè)

6、敏感信息隨時(shí)存在被截獲和瀏 覽的風(fēng)險(xiǎn)。端到端電子郵件加密服務(wù)已成為電子郵件市場(chǎng)的迫切需求。電子郵件加密客戶端概述：電子郵件加密客戶端是在實(shí)現(xiàn)普通郵件系統(tǒng)功能之上，綜合運(yùn)用身份認(rèn)證、數(shù)字簽名、郵件正文及附件加密等安全技術(shù)手段，為用戶提供安全、可控、便捷的電子郵件服務(wù)合法用戶正常瀏覽郵件正文與使用附件電子郵件加密客戶端主要實(shí)現(xiàn)效果：1）身份認(rèn)證：保障電子郵件使用者身份的真實(shí)性；2）數(shù)字簽名與摘要：保障電子郵件內(nèi)容的不可否認(rèn)性與完整性；3）正文及附件加密：可對(duì)電子郵件的正文以及附件進(jìn)行加密，未通過(guò)身份認(rèn)證無(wú)法使用，保障電子郵件內(nèi)容的安全性；4）權(quán)限控制：細(xì)粒度管控用戶對(duì)電子郵件的使用權(quán)限，并對(duì)下載至

7、本地終端的郵件附件仍 可進(jìn)行安全管控，保障合法用戶在授權(quán)范圍內(nèi)使用電子郵件；X軌店親曽疋洼博見(jiàn)*MtM口硬另疥為苣畫(huà)令玄曲其它歎聲並全jft吞下捽*1暫1!就曲本塩的權(quán)H圭抻用戶自疋爻葉略it宣IJJ1.i |j.115）日志審計(jì)：詳細(xì)記錄對(duì)電子郵件的操作記錄，泄露行為可追溯; 電子郵件加密主要特色優(yōu)勢(shì)：1）郵件正文與附件均可加密保護(hù)且不改變正常操作習(xí)慣；2）可與其它安全模塊協(xié)同使用，更大范圍保障用戶數(shù)據(jù)安全；4、U 盤(pán)外設(shè)數(shù)據(jù)安全防護(hù) 部署結(jié)構(gòu)圖圖 2 策略實(shí)現(xiàn)結(jié)構(gòu)圖針對(duì)移動(dòng)存儲(chǔ)設(shè)備的信息防泄露的安全需求，通過(guò)部署外設(shè)控制管理產(chǎn)品，可以有效解決前述的各種問(wèn)題和矛盾。首先，通過(guò)數(shù)據(jù)加密機(jī)制和外

8、設(shè)端口管理，包括無(wú)線網(wǎng)卡、藍(lán)牙、紅外、打印機(jī)、光驅(qū)（或 只禁止刻錄）、軟驅(qū)、1394、調(diào)制解調(diào)器等外設(shè)接口，對(duì)移存儲(chǔ)設(shè)備中的工作文件進(jìn)行安全 防護(hù)，防止各種方式的泄露以及意外丟失所帶來(lái)的安全風(fēng)險(xiǎn)。其次，通過(guò)分組注冊(cè)機(jī)制，專用 U 盤(pán)（內(nèi)部使用），通用 U 盤(pán)（內(nèi)外均可正常使用），對(duì)策略進(jìn) 行細(xì)分，詳細(xì)控制使用者的使用范圍和使用權(quán)限，實(shí)現(xiàn)移動(dòng)存儲(chǔ)設(shè)備的統(tǒng)一管理和策略授權(quán)。再次，通過(guò)離線時(shí)間控制策略，根據(jù)在線和離線不同場(chǎng)景，防止外出人員出差時(shí)候移動(dòng)電腦失控，隨意使用 U 盤(pán)拷貝文件。配合網(wǎng)絡(luò)防火墻控制和訪問(wèn)權(quán)限控制功能，防止外網(wǎng)連接帶來(lái)的木馬和病毒傳播擴(kuò)散風(fēng)險(xiǎn)。最后，對(duì) U 盤(pán)拷貝數(shù)據(jù)的流量進(jìn)行限

9、制，給出報(bào)警信息，并生成違規(guī)日志上報(bào)到后臺(tái)。客戶端在離線和在線的情況下都會(huì)進(jìn)行USB 交換數(shù)據(jù)的記錄，并在連線時(shí)自動(dòng)連接服務(wù)器上傳日志文件。USB 交換數(shù)據(jù)的記錄能夠?qū)С龅?Excel，方便進(jìn)一步的流轉(zhuǎn)和分析。策略實(shí)現(xiàn)r |HBJ本審計(jì)/井出人艮外設(shè)控制管理系統(tǒng)已經(jīng)在被多家大型企業(yè)長(zhǎng)期運(yùn)行，結(jié)合信息在不同企業(yè)不同的流轉(zhuǎn)過(guò)程，基于全面的數(shù)據(jù)安全防護(hù)理念， 建立主動(dòng)的內(nèi)網(wǎng)信息防泄露平臺(tái)， 有效管控了 U 盤(pán)等移動(dòng)存 儲(chǔ)設(shè)備泄密的風(fēng)險(xiǎn)， 運(yùn)行穩(wěn)定，與操作系統(tǒng)和各類應(yīng)用軟件完全兼容， 絲毫不影響員工的工 作習(xí)慣。使用外設(shè)控制管理系統(tǒng)可以有效保護(hù)知識(shí)產(chǎn)權(quán)， 防止企業(yè)核心數(shù)據(jù)通過(guò)移動(dòng)存儲(chǔ)設(shè)備泄密，系統(tǒng)簡(jiǎn)便

10、、 易操作，不改變現(xiàn)有使用習(xí)慣。外設(shè)控制管理系統(tǒng)與虹安數(shù)據(jù)泄露防護(hù)系統(tǒng)結(jié)合， 可進(jìn)一步提升安全管理水平。彈性的外部設(shè)備使用管理，無(wú)需完全禁用 USB 設(shè)備，安全享受移動(dòng)存儲(chǔ)設(shè)備為辦公帶來(lái)的便 攜性。建立移動(dòng)存儲(chǔ)設(shè)備使用規(guī)范，加強(qiáng)使用權(quán)限管理，規(guī)范信息轉(zhuǎn)移，保證完整審計(jì)。通過(guò)透明加密文檔信息， 保證移動(dòng)存儲(chǔ)設(shè)備中的敏感信息安全。限制新接入移動(dòng)存儲(chǔ)設(shè)備的使用，有效預(yù)防 U 盤(pán)病毒泛濫。5、筆記本涉密數(shù)據(jù)隔離安全保護(hù)系統(tǒng)在筆記本終端上對(duì)涉密數(shù)據(jù)進(jìn)行安全隔離保護(hù)，全方位防止涉密數(shù)據(jù)泄密， 具體實(shí)現(xiàn)如下效果：1、在筆記本終端構(gòu)建涉密數(shù)據(jù)隔離保護(hù)模式與正常工作模式在筆記本終端構(gòu)建涉密數(shù)據(jù)隔離模式與正常工作

11、模式。隔離保護(hù)模式下保護(hù)涉密數(shù)據(jù)，正常工作模式下不做處理，給予用戶自由空間，最大限度消除用戶抵觸情緒，提升工作效率；2、 需要進(jìn)入筆記本涉密數(shù)據(jù)隔離保護(hù)模式時(shí)插入硬件KEY 即可在需要進(jìn)入筆記本終端涉密數(shù)據(jù)隔離保護(hù)模式時(shí)，僅須插入硬件KEY 通過(guò)身份認(rèn)證即可進(jìn)入隔離保護(hù)模式。涉密數(shù)據(jù)安全保護(hù)方便快捷；3. 保護(hù)模式下多重隔離保護(hù)體系全方位防止涉密數(shù)據(jù)泄密在涉密數(shù)據(jù)隔離保護(hù)模式下，多重隔離防護(hù)體系，可全方位防止涉密數(shù)據(jù)泄密：3.1 防止通過(guò)偽造身份途徑泄密；通過(guò)硬件 KEY 加強(qiáng)用戶身份認(rèn)證，且 KEY 與用戶終端綁定，進(jìn)一步增強(qiáng)安全性；3.2 防止通過(guò)卸解磁盤(pán)途徑泄密；通過(guò)內(nèi)核級(jí)磁盤(pán)加密技術(shù)，

12、即使筆記本磁盤(pán)被卸載也不會(huì)導(dǎo)致涉密數(shù)據(jù)泄密；3.3 防止通過(guò)拷貝、粘貼復(fù)制、另存為途徑泄密；通過(guò)還原技術(shù)，防止涉密數(shù)據(jù)通過(guò)拷貝、粘貼復(fù)制、另存為等途徑泄密；3.4 防止通過(guò)網(wǎng)絡(luò)、U 盤(pán)外設(shè)途徑泄密；通過(guò)網(wǎng)絡(luò)、U 盤(pán)外設(shè)隔離，防止涉密數(shù)據(jù)通過(guò)郵件、QQ MSN 飛信、移動(dòng)存儲(chǔ)設(shè)備、打印機(jī)、紅外、藍(lán)牙、無(wú)形網(wǎng)卡等各種途徑泄密；3.5 涉密數(shù)據(jù)泄密行為可追溯；全面記錄涉密數(shù)據(jù)的操作行為，據(jù)此可對(duì)泄密行為進(jìn)行追溯。并可通過(guò)安全審計(jì)， 檢查系統(tǒng)所實(shí)施的安全策略是否恰當(dāng)，尋求安全的持續(xù)改善；3.6 只允許合法授權(quán)用戶外發(fā)涉密數(shù)據(jù)；通過(guò)基于人員角色的權(quán)限控制，保障涉密數(shù)據(jù)外發(fā)必須通過(guò)合法授權(quán)且對(duì)外發(fā)行為進(jìn)行

13、記錄；既不影響工作正常開(kāi)展，也解決了涉密數(shù)據(jù)外發(fā)安全問(wèn)題；4、支持筆記本移動(dòng)辦公場(chǎng)景，提升工作效率；通過(guò)離線策略，支持合法授權(quán)用戶攜帶筆記本外出辦公，既不影響工作正常開(kāi)展， 也解決了攜帶筆記本外出的數(shù)據(jù)安全問(wèn)題；5、系統(tǒng)損耗低且不會(huì)損壞數(shù)據(jù)，穩(wěn)定性好；通過(guò)隔離構(gòu)建安全環(huán)境，而非對(duì)海量數(shù)據(jù)自身進(jìn)行處理，來(lái)實(shí)現(xiàn)涉密數(shù)據(jù)安全保護(hù)目的。系統(tǒng)性能損耗低且不會(huì)損壞涉密數(shù)據(jù)，穩(wěn)定性好； 6、筆記本電腦及移動(dòng)辦公安全如今，在企業(yè)或用戶組織中， 經(jīng)常使用筆記本電腦或需要移動(dòng)辦公的人員，往往在組織中處在比較重要的地位。對(duì)于企業(yè)而言，最典型的筆記本或移動(dòng)辦公用戶是企業(yè)管理層、核心員工、銷(xiāo)售或支持人員。這些成員處理的

14、信息往往具備較大的流動(dòng)性和重要性，有些甚至是公司的核心機(jī)密。由于這些人員的業(yè)務(wù)特征， 其流動(dòng)性和靈活性是必不可少的要求，因此，信息所面臨的風(fēng)險(xiǎn)也就更加突出。筆記本或移動(dòng)辦公的信息安全問(wèn)題也就成為大部分企業(yè)或 組織的焦點(diǎn)問(wèn)題。筆記本或移動(dòng)辦公的安全問(wèn)題從管理角度來(lái)看，一般存在下列突出的矛盾：? 出差人員時(shí)常處理一些核心機(jī)密，而出差在外，信息面臨的風(fēng)險(xiǎn)更大，需要更加嚴(yán)格 的安全保護(hù)。事實(shí)上，筆記本丟失，硬盤(pán)丟失，出差人員使用外網(wǎng)發(fā)送機(jī)密信息，出差人員涉密數(shù)據(jù)隔離保護(hù)模式正常工作模式涉密數(shù)據(jù)其它數(shù)據(jù)網(wǎng)絡(luò)隔離不做牡理外設(shè)隅霸更鉅不儺牡理存儲(chǔ)隔離8曹不儺赴理過(guò)份證可入施據(jù)離護(hù)式通身認(rèn)方進(jìn)涉數(shù)隔保模違規(guī)將

15、信息發(fā)送給不恰當(dāng)?shù)膶?duì)象等等。這些無(wú)一不成為企業(yè)信息安全主管，甚至是企業(yè)領(lǐng)導(dǎo)擔(dān)心的焦點(diǎn)。?在出差或移動(dòng)辦公過(guò)程中，公司業(yè)務(wù)的連續(xù)性和及時(shí)性需要得到更強(qiáng)的保障。而一般的安全解決方案，比如常見(jiàn)的離線策略、 解密審批策略等往往缺乏時(shí)效性，安全是有了保障,業(yè)務(wù)卻受到極大的干擾。?筆記本或移動(dòng)辦公用戶往往會(huì)在處理公司正常業(yè)務(wù)的同時(shí)，需要處理一些個(gè)人私事，甚至一些商務(wù)工作也必須要在公共網(wǎng)絡(luò)和平臺(tái)上開(kāi)展。安全方案的實(shí)施，應(yīng)該在不影響個(gè)人事務(wù)的開(kāi)展前提下進(jìn)行。?使用筆記本出差或移動(dòng)辦公情況下，外發(fā)的文檔和信息需要得到有效的監(jiān)控和審計(jì)。概括上述問(wèn)題，許多客戶都陷入到一個(gè)困境之中： 溝通要順暢，安全要保障，二者似乎

16、不可 兼得。魚(yú)和熊掌可以兼得，基于虹安 Isolator 信息安全隔離系統(tǒng)，虹安提出一個(gè)全新的筆 記本和移動(dòng)辦公安全解決方案。安全方案隔離產(chǎn)品要求從存儲(chǔ)隔離、運(yùn)行隔離和網(wǎng)絡(luò)隔離三個(gè)層次為用戶信息建立完備的安全保障體 系。首先，將用戶電腦上的數(shù)據(jù)存儲(chǔ)分為普通區(qū)和數(shù)據(jù)保護(hù)區(qū)，數(shù)據(jù)保護(hù)區(qū)進(jìn)行數(shù)據(jù)加密處理。然后，針對(duì)兩個(gè)存儲(chǔ)區(qū)域數(shù)據(jù)的使用，分別形成普通模式和數(shù)據(jù)保護(hù)模式，二者隔離共 存，切換自如。最后，保證用戶在數(shù)據(jù)保護(hù)模式中只能夠訪問(wèn)辦公網(wǎng)絡(luò)，數(shù)據(jù)保護(hù)區(qū)的信息在外發(fā)時(shí)受到安全策略控制。在普通模式中可以任意訪問(wèn)外部網(wǎng)絡(luò)，不受約束。策略部署結(jié)構(gòu)圖隔離產(chǎn)品須具有 5 大功能：?網(wǎng)絡(luò)資源隔離?應(yīng)用環(huán)境隔離?

17、 數(shù)據(jù)存儲(chǔ)隔離? 文件日志審計(jì)?磁盤(pán)分區(qū)加密針對(duì)網(wǎng)絡(luò)隔離的需要，通過(guò)部署，可以有效解決前述的各種問(wèn)題和矛盾。首先，通過(guò)在員工電腦終端上安裝管理軟件，電腦磁盤(pán)被劃分為兩個(gè)區(qū)域一一普通區(qū)和數(shù)據(jù)保護(hù)區(qū)，數(shù)據(jù)保護(hù)區(qū)進(jìn)行數(shù)據(jù)加密處理。即使硬盤(pán)被盜，也不會(huì)導(dǎo)致由磁盤(pán)引起數(shù)據(jù)泄密。其次，員工在數(shù)據(jù)保護(hù)模式開(kāi)展工作，在普通模式下查閱資料，處理商務(wù)或個(gè)人事務(wù)。模式中的各種信息可以通過(guò)簡(jiǎn)單的復(fù)制、粘貼或拖拽動(dòng)作就很方便的拷貝到數(shù)據(jù)保護(hù)區(qū)中。普通在普通模式下，各種外設(shè)端口都可以正常使用；而在數(shù)據(jù)保護(hù)模式下， 除了外發(fā)文件受到監(jiān)控之外，所有外設(shè)端口都是禁用的。最后，員工在普通模式中可以隨意上外部網(wǎng)絡(luò)、使用即時(shí)通訊軟件

18、， 但不能登錄公司內(nèi)部辦公網(wǎng)絡(luò)和使用公司內(nèi)部即時(shí)通訊軟件。相反，員工只能夠在數(shù)據(jù)保護(hù)模式中訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)上獲得的信息也只會(huì)保存在數(shù)據(jù)保護(hù)區(qū)中。從數(shù)據(jù)保護(hù)模式向普通模式傳遞的任何信息都會(huì)受到安全策略的管理。根據(jù)權(quán)限，可能是禁止，也可能是申請(qǐng)審批或者事后審計(jì)。策略部署網(wǎng)絡(luò)隔離信息安全解決方案，可以有效的解決網(wǎng)絡(luò)隔離的安全性與便利性之間的矛盾，使安全方案真正的被用戶所接受，提高工作效率，工作舒適度，確保工作思路不被隨意 打斷，安全策略得到理解和尊重。網(wǎng)絡(luò)隔離信息安全解決方案在一個(gè)終端上實(shí)現(xiàn)了網(wǎng)絡(luò)、應(yīng)用環(huán)境和存儲(chǔ)的隔離，極大的降低企業(yè)的管理、運(yùn)維和 IT 成本。網(wǎng)絡(luò)隔離方案在網(wǎng)絡(luò)隔離的

19、基礎(chǔ)上，將信息外發(fā)簡(jiǎn)化為從數(shù)據(jù)保護(hù)模式到普通模式的唯一通 道，管理策略簡(jiǎn)單一致， 員工容易理解和遵守，也極大的提高了安全策略的可維護(hù)性，降低管理難度，提高了管理效率。最后，最新的隔離產(chǎn)品一般都具有三重隔離手段，使網(wǎng)絡(luò)隔離從存儲(chǔ)加密開(kāi)始，又在存儲(chǔ)加密上落地，杜絕了一切特例和私自拷貝或外發(fā)的可能，提高了隔離的實(shí)效。7、文檔數(shù)據(jù)外發(fā)控制安全信息化高速發(fā)展的今天， 企業(yè)的各種數(shù)據(jù)均以電子文檔的形式存儲(chǔ)和使用，而現(xiàn)代企業(yè)的運(yùn)作建立在分工協(xié)作的基礎(chǔ)上。由此，工作中我們的文件資料經(jīng)常需要在內(nèi)部或者外部人員之間流通使用，電子文檔易于傳播和擴(kuò)散的特點(diǎn)造成企業(yè)核心數(shù)據(jù)容易泄露給競(jìng)爭(zhēng)對(duì)手，導(dǎo)致企業(yè)的核心利益的損失。

20、鑒于此，我們以企業(yè)日常交流、 協(xié)作過(guò)程中遇到的問(wèn)題為例，說(shuō)明文件外發(fā)所面臨的信息泄露以及安全保護(hù)問(wèn)題。1.企業(yè)將內(nèi)部重要數(shù)據(jù)發(fā)給客戶后，客戶會(huì)將這些核心資料傳遞給其他用戶或者競(jìng)爭(zhēng)對(duì)手使用，這些用戶又會(huì)將資料傳遞給另外的人員使用。如此循環(huán)，企業(yè)商業(yè)文件將大范圍不受控制地任意擴(kuò)散、傳播，會(huì)使企業(yè)機(jī)密遭受惡意曝露；由此引起的商業(yè)糾紛，即使通過(guò)法律手段解決，也不好界定或者為時(shí)已晚。2.現(xiàn)行的操作系統(tǒng)，對(duì)企業(yè)外發(fā)文件沒(méi)有使用權(quán)限的管理機(jī)制。致使企業(yè)外發(fā)文件具 備被任意操作的權(quán)限，例如復(fù)制、剪切、編輯、另存等，方便企業(yè)人員在使用外發(fā)文件過(guò)程 中有意或者無(wú)意將數(shù)據(jù)泄露。3.企業(yè)的外發(fā)文件即使采取身份認(rèn)證、使

21、用范圍限制和使用權(quán)限的控制等手段來(lái)保護(hù)外發(fā)文檔的安全，但出差、外出辦公等造成筆記本丟失等情況的發(fā)生，也會(huì)出現(xiàn)文件容易被非法破解而導(dǎo)致數(shù)據(jù)的泄露。4.文件在整個(gè)外發(fā)使用過(guò)程中，不同的人員會(huì)參與其中，如果不對(duì)外發(fā)文件的生命周 期內(nèi)進(jìn)行記錄，則很難保證外發(fā)文件被安全使用。5.早期的一些外發(fā)文件控制系統(tǒng)，采用格式轉(zhuǎn)換的方式，配以專用的瀏覽閱讀工具，使用權(quán)限控制強(qiáng)度不夠，外發(fā)文件制作效率低下，用戶使用起來(lái)很不方便。這類系統(tǒng)能夠控 制的文件類型也非常有限，導(dǎo)致這些產(chǎn)品不能很好地滿足用戶的需求?；谝陨蠈?duì)企業(yè)外發(fā)文件的使用問(wèn)題分析，一個(gè)良好的文件外發(fā)控制管理系統(tǒng)所需要滿足用戶的需求可以概括為：1.企業(yè)外發(fā)文

22、件的使用需要驗(yàn)證使用者身份以及使用范圍，從這兩個(gè)方面入手，可以 確保外發(fā)文件的傳播擴(kuò)散的速度和范圍。2.驗(yàn)證外發(fā)文件使用者身份和使用范圍可以在一定程度上確保外發(fā)文件不為非授權(quán)用戶非法使用；但對(duì)外發(fā)文件的使用進(jìn)行相應(yīng)的如打印、編輯、復(fù)制等權(quán)限授權(quán)控制，更杜絕了授權(quán)用戶在使用過(guò)程中有意或無(wú)意將內(nèi)容泄露的途徑。3.為了保證外發(fā)文件的機(jī)密性和減少文件丟失所帶來(lái)的安全威脅，需要對(duì)外發(fā)文件進(jìn) 行加密保護(hù)處理，確保文件不因意外情況導(dǎo)致數(shù)據(jù)泄露。4.需要監(jiān)控外發(fā)文件整個(gè)操作過(guò)程，詳細(xì)記錄外發(fā)文件的使用，并形成相應(yīng)的日志記 錄，保證企業(yè)能清楚地知道外發(fā)出去的文檔的受控情況。5.需要滿足用戶對(duì)外發(fā)文件制作流程復(fù)雜

23、度、文件格式支持以及外發(fā)控制安全性方面 的要求，符合行業(yè)相關(guān)安全規(guī)范。安全系統(tǒng)設(shè)計(jì)方案 系統(tǒng)要求文件外發(fā)控制管理系統(tǒng)，結(jié)合企業(yè)在協(xié)同工作過(guò)程中對(duì)外發(fā)文件的控制和管理要求，制定了針對(duì)性強(qiáng)的外發(fā)控制管理策略。該方案采用目前成熟的加密機(jī)制，對(duì)外發(fā)文件的機(jī)密性進(jìn)行保護(hù)；同時(shí)考慮到市場(chǎng)對(duì)大文件外發(fā)控制的需求，增加了可對(duì)大文件的外發(fā)制作進(jìn)行特殊的加密壓縮處理策略，極大節(jié)省了存儲(chǔ)空間和網(wǎng)絡(luò)帶寬的占用。文件外發(fā)控制管理系統(tǒng)需要具有的核心功能如下：? 豐富的授權(quán)認(rèn)證? 細(xì)粒度權(quán)限控制? 嚴(yán)格的版權(quán)標(biāo)記? 統(tǒng)一的授權(quán)管理? 靈活的制作方式? 詳細(xì)的日志記錄 系統(tǒng)實(shí)施企業(yè)針對(duì)文件外發(fā)制作對(duì)于防止信息泄露的安全需求，通過(guò)文件外發(fā)控制管理系統(tǒng)的部署，可以有效解決前述的各種問(wèn)題和安全威脅。首先，通過(guò)數(shù)據(jù)加密和壓縮機(jī)制對(duì)需要外發(fā)的文件進(jìn)行機(jī)密性防護(hù)處理，防止各種方式的泄露以及意外丟失所帶來(lái)的安全風(fēng)險(xiǎn)。其次，通過(guò)外發(fā)文件的身份認(rèn)證以及使用范圍的限制，經(jīng)過(guò)授權(quán)使用的用戶、