行业背景
现今我国已是全球第三大电子信息产品制造国,电子信息产品已经渗透到我们生活的各个角落,包括通信、医疗、计算机及周边视听产品、玩具、军工用品等。IT电子行业是典型的知识技术密集型行业,具有科技含量高、专利多,知识产权丰富,核心数据密级高等特点。随着业内竞争的加剧,为寻求竞争中的有利地位,保证产品的核心技术优势以及保护自己核心知识产权的安全变得尤其重要。
敏感数据类型
1.常见的办公研发环境中,如:元器件图纸设计、软件代码研发(包括编写、编译、分布式编译等)、数据运算、硬件烧录等。
2.常见的信息系统中,如:代码编写与编译、版本控制、图纸设计和文档编写等系统/软件等。
敏感数据分布
研发类计算机、硬盘、移动存储设备和文件服务器等。
需求分析
1.电子文档(源代码、设计图纸、设计方案等)均要做数据保护措施,防止内部人员有意或无意造成数据泄露;
2.对数据进行规范化管理,数据外发时进行安全控制;
3.有效管理移动存储设备,避免泄密事件的发生;
4.对员工出差携带的笔记本做相应管控,保证数据的安全存储;
5.只有受控的计算机并同时拥有权限的用户才能访问指定应用服务器;
6.不能影响硬件烧录工具的使用,向硬件中烧录程序可以正常使用。
解决方案
1. 数据透明加解密
通过驱动层动态加解密技术,对企业内部核心电子文档(源代码、设计图纸、设计方案等)进行强制加密处理,从文件创建开始即可自动加密保护。核心数据在加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成,对用户而言完全透明、无感知。
2. 针对Linux电脑环境下文件透明加密
Linux操作系统是当前最流行的开发平台,所以对IT电子行业企业来说Linux平台上的源代码安全同样至关重要。安秉网盾采用基于Linux内核的文档透明加解密技术,能够在不改变用户使用习惯、计算机文件格式大小和编译程序的前提下,对指定类型的文件进行实时、强制、透明加密,同windows加密体验无差别,且能够与windows加密客户端完美兼容。方便用户在windows和Linux平台上对源代码加密文件进行查看、编译等交互操作。
3. 防止外发文件在外二次扩散泄密
当需要给客户或者合作伙伴外发文件时,首先向上级领导进行外发申请。
被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证。身份认证的方式包括:口令认证、机器码认证、联网认证;
访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等;
4. 防止应用服务器上的数据泄密
安全隐患:
无关人员和电脑,随意接入内部网络,访问服务器数据导致泄密,应该如何管控?
如果要求终端数据上传到公司某些应用服务器(比如:ERP、OA、git、svn)的数据是明文,该如何管控?
应用服务器上明文数据下载该如何管控?
解决方案:
终端准入:只允许安装有
数据防泄密系统客户端的终端用户正常接入应用服务器,非法用户禁止接入;
上传下载:文件上传自动解密、下载自动加密;
数据加密安全通道:客户端用户在与公司内部服务器进行数据交换时,采用数据加密安全通道,保障数据在传输过程中不被窃取。
非法外联:安装有
数据防泄密系统客户端的终端用户将禁止连接仿冒应用服务器,防止非法用户利用客户端上传自动解密机制进行非法外联泄密。
5. 防止员工外出办公泄密
回家加班:针对笔记本办公人员,由于笔记本携带方便,且人数较多,安秉网盾提供用户配置默认时间,比如:7小时默认时间,那么笔记本办公人员只要在默认7个小时内,无需申请,在家办公和在公司内部一样的防泄密管理效果;
出差办公:针对携带笔记本出差办公人员,在出差之前通过安秉网盾流程进行申请,经上级审批后,在授予的时间期限内,在外出差办公。如果在授予的时间期限内,仍需要在外继续办公的,可以通过电话联系上级,再重新制作一个授权文件,发给在外人员导入电脑后,又可以继续在外办公。
永久离线:主要运用于脱离总部,长期或永久在外面使用的电脑,一般是分公司或办事处。使用离线终端,可保证总部与分部之间的资料都是加密的,可以互相访问,又可以控制分部的资料。