■ 用戶概況:
隨著信息化日益普及和完善,珠海移動建立了以業(yè)務(wù)為核心的各種IT應(yīng)用系統(tǒng)���,如OA�、ERP����、FTP等���。這些系統(tǒng)的廣泛應(yīng)用,極大的方便了公司的管理���,提升了公司的工作效率��。同時在這些應(yīng)用系統(tǒng)中存在大量的敏感數(shù)據(jù)����,如數(shù)據(jù)提取系統(tǒng)中的客戶資料信息�����,F(xiàn)TP系統(tǒng)中重要資料信息,組成了重要的數(shù)據(jù)中心�����。由于系統(tǒng)的開放性���、便利性使其成為數(shù)據(jù)泄密的重要途徑���。
■ 移動需求:
1、應(yīng)用系統(tǒng)面臨以下安全風險:
2�����、合法用戶登錄系統(tǒng)下載敏感數(shù)據(jù)造成泄密可能��。
3��、非法用戶通過暴力手段進入核心業(yè)務(wù)系統(tǒng)下載敏感數(shù)據(jù)����。
4、敏感數(shù)據(jù)在二次修改中沒有任何權(quán)限控制。
5�、敏感數(shù)據(jù)在流轉(zhuǎn)過程中沒有任何保護。
6�����、敏感數(shù)據(jù)的使用沒有有效的審計措施�。
■ 解決方案:
以上需求分析中可知文檔安全管理系統(tǒng)需要做到以下:
1�、 敏感數(shù)據(jù)下載到本地進行強制性加密;
2��、 加密數(shù)據(jù)上傳到應(yīng)用服務(wù)器需要解密成明文��;
3���、 編輯使用敏感數(shù)據(jù)時不能復(fù)制或拷屏��;
4��、 支持加密數(shù)據(jù)外發(fā)�����,防止二次擴散���;
5���、 防止未安裝加密客戶端的電腦隨意訪問應(yīng)用系統(tǒng);
6�、 受保護的系統(tǒng)下載到終端電腦的數(shù)據(jù)進行加密;
7�����、 用戶可自定義受保護的應(yīng)用系統(tǒng)�;
黑匣子文檔安全管理系統(tǒng)是專為企業(yè)級用戶設(shè)計的數(shù)據(jù)防泄密解決方案。它不但能夠?qū)K端零散的電子文檔及設(shè)計圖紙進行加密保護��,并且能夠在不影響應(yīng)用系統(tǒng)正常運轉(zhuǎn)的情況下對應(yīng)用系統(tǒng)中的數(shù)據(jù)進行加密保護�,并對其加密數(shù)據(jù)進行細化的權(quán)限控制。
內(nèi)部用戶通過郵件附件�����、QQ�����、msn等網(wǎng)絡(luò)工具發(fā)出去的加密文檔��,外界拿到的依然是加密文檔,強行打開該加密文檔呈亂碼��。從而有效保護了內(nèi)部信息不被外泄���,即使無意丟失���,也不會造成信息泄露。
■ 實施部署:
■ 部署圖解析:
文檔安全策略服務(wù)器:安裝文檔安全管理系統(tǒng)數(shù)據(jù)庫����、文檔安全管理系統(tǒng)服務(wù)及控制臺���;管理員可定制權(quán)限策略��,自定義受保護的應(yīng)用系統(tǒng)����,定制需要保護的數(shù)據(jù)格式��;
文件安全訪問控制:該插件部署在受保護的應(yīng)用系統(tǒng)中����,拒絕非法用戶或未安裝文檔安全系統(tǒng)客戶端的用戶訪問,只有安裝文檔安全系統(tǒng)客戶端的用戶在正常登錄情況下才能訪問受保護的應(yīng)用系統(tǒng),該功能不僅保護應(yīng)用系統(tǒng)安全訪問���,同時可協(xié)助管理員規(guī)范化管理終端電腦�����;
文檔安全系統(tǒng)客戶端:實現(xiàn)自動加解密���,下載加密、上傳解密�、權(quán)限控制實施、文檔外發(fā)��、計算機離線等功能����。根據(jù)服務(wù)器定義的策略可以只保護以上“需受保護”的應(yīng)用系統(tǒng),也可擴展到其他文檔�;
本系統(tǒng)為C/S部署架構(gòu),需要安裝文檔安全策略服務(wù)器��、文檔安全系統(tǒng)客戶端���,文檔安全訪問控制插件�����;客戶端安裝在所有需要保密的終端電腦上��。
■ 實施效果:
黑匣子文檔安全管理系統(tǒng)旨在幫助珠海移動解決以上難題�����,以下是防泄密過程中黑匣子的核心價值所在��。
1.保護核心的應(yīng)用系統(tǒng)數(shù)據(jù):核心應(yīng)用系統(tǒng)數(shù)據(jù)落地自動加密�����,結(jié)合權(quán)限控制對其進行保護���,對加密數(shù)據(jù)的操作進行詳細的日志審計。
2.文件外發(fā):如果要外發(fā)受保護的加密文件�,那么必須對其進行解密才能外發(fā),否則發(fā)出去的文件打開為一堆亂碼����。
3.離線策略:防止外出工作人員通過筆記本泄密?對筆記本設(shè)置某個時間段才允許擁有打開文件的策略����,而且外出工作人員在外地可申請延長使用時間�����。
4.防止合作伙伴泄密:工作中有很多合作伙伴����,文件發(fā)給合作伙伴之后又擔心合作伙伴泄密����,那么怎樣保證僅合作伙伴能打開我們的文件,而其他人不能打開�����。
5.防止文件篡改:文件共享或外發(fā)的時候如何防止其他人改動文件���。
6.剪切板粘貼功能:在打開受保護的文件編輯時���,不允許隨意復(fù)制了受保護文件中的內(nèi)容,這樣就可以防止通過內(nèi)容拷貝��、郵件�����、QQ、MSN等方式將內(nèi)容外發(fā)�。
