终端数据防泄露解决方案

概述

    随着公司不断发展以及信息化办公的不断深入，办公越来越依赖信息化，信息化在提升办公效率的同时，也带来了安全风险。信息化技术的应用使得企业大部分的商业秘密信息：例如商业文档、客户资料、专利技术、技术文档等，都是以明文电子文档的形式存放在企业内部网络和服务器中，为了保证机密文档的安全，需要对这些文档进行加密处理，这些电子文档可能通过外接设备、U盘、打印等方式进行外泄，并且对于文档通过U盘、网络、打印外带也需要相应的日志记录及副本备份。在管理上需要对系统管理方式进行改进，也需要规范员工的行为，保证员工的工作效率。

    种种轻而易举的行为，给公司埋下了安全风险。如何防止内部员工的泄密行为，如何确保内部数据文档的安全就成了目前的首要问题。本项目通过建设内部文档防泄密系统，采用文档加密技术，并对流通渠道进行审计、控制，从根源上杜绝内部核心文档的外泄，确保数据安全，从而保护核心竞争力。

解决方案

• 强制透明加密

    通过在用户计算机上部署客户端并启用强制透明加密，系统能对需要保护的电子文档进行强制性的加密，合法用户使用时自动解密，整个过程完全自动并且不影响用户原有的使用习惯。

    1.采用高强度加密技术，对文档进行强制透明加密，使得无论何时何地图纸文档都以密文形式存在。

    2.在授信环境中，文档能自动解密,丝毫不影响技术人员原有的使用习惯；在非授信环境中，加密文档则无法正常打开和使用。

    3.在加密文档的合法使用过程中默认禁止截屏、打印等操作，或者剪切、拖拽加密文档内容到Email等可能造成泄密的应用。

• 内部权限控制

    对于公司需要对不同部门存放的文档，需要保证文档的安全的需求，系统引入了分部门分级别的权限控制机制，根据文档所属部门和重要程度贴上标签，用户对不同标签的文档的访问权限的集合组合成其特有的内部文档使用权限。

    根据文档的重要程度不同和使用要求的不同，可将加密文档划归不同的安全区域和级别，以便让不同部门和职位的用户使用，建立分部门分级别的保密机制，例如技术部门不同项目组技术人员只能打开本项目组加密文档，对于不同项目组需要相互查看加密文件，可以通过权限变更来实现。

• 离线办公控制

    默认情况下，计算机断开与服务器的连接时，用户将不能使用客户端上的加密文档。针对公司员工出差或在家办公等需要，系统提供离线安全策略。离线策略由管理员设定，策略的内容包括离线的时间以及离线时运行使用的权限。

• 外部沟通安全

    对于合作伙伴等外部用户，系统提供加密文档阅读器，可以保证外发的加密文档只能被指定的用户在指定的时间内正确的使用，保证加密文档离开内网后的安全。

• 加密网关高效防护

    加密安全网关系统是一套软件技术和硬件技术相结合的系统，严格审核对访问公司重要服务器的计算机。只有合法的计算机才能与服务器进行正常通讯；不合法的计算机将被引导至修复区进行修复或完全阻断访问。这样可以有效防止用户对客户端进行破坏和限制以逃避监管，防止外来计算机私自接入网络访问服务器资源。同时，职员的加密文件有时候需要上传到OA、PLM、SVN等系统中时，上传文档自动解密保存到服务器上，而下载服务器上的文档到计算机上时自动加密保护。

    解决方案示意图如下。

1．服务器访问控制

    在服务器组交换机前部署加密安全网关，则外来计算机、职员带来的私人笔记本电脑或公司重装系统后的计算机被禁止访问服务器，以防止文档被不受监控的计算机所获取。

2．上传下载控制

    通过系统透明加密系统配置受保护的服务器对应的客户端程序为授权程序，例如配置SVN客户端程序、访问OA服务器的浏览器等为授权程序，授权后该程序只允许访问指定的服务器系统，实现与服务器系统的唯一安全加密通讯。

    同时，通过该客户端程序上传文件到服务器时，客户端程序的加密文档自动被解密保存到服务器上，而通过该客户端程序下载服务器的文件到本地时自动被加密保护，以防止通过客户端计算机泄漏企业信息。

方案优势

• 一个客户端提供审计-管控-加密一体化解决方案

    产品拥有16大模块，覆盖了内网信息防泄密的方方面面。提供整体的信息安全解决方面，既包括桌面管理、上网行为管理，也包括重要的文档加密功能。各个模块可以灵活组合，可以根据需要灵活增减，达到不同的控制目的。

    只需要一个客户端，从网络边界的防护，到计算机桌面安全的防护，全面的解决了用户的内网安全难题。

• 管理架构贴近实际

    采用三权分立的管理架构，将策略设置、日志查看、权限监察相互分开，管理权、监督权、审查权相互独立，符合管理需求。

• 产品成熟性和稳定性

    系统有着17年的市场成功表现。截止至今，产品已经覆盖到全球69个国家和地区，全球用户数超过15万，产品应用在制造业、金融、政府等超过20个细分行业。现在，全球有超过470万的计算机终端运行客户端。

• 技术先进性及前瞻性

系统使用的加密技术是当前业界主流的文档透明加解密。这是一种主动防御的防泄密技术。采用高强度加密算法对文档直接进行加密，可以根据公司的需要更改加密算法。

• 良好的用户体验

    易部署

        系统提供直接安装，远程推送和域登陆脚本安装等多种安装方法，方便企业根据自身网络情况选择最便利的方式进行部署。

    易使用

        界面十分友好，即使是非技术人员也能在短时间内运用自如

        系统的策略继承与组合机制使得为每一台计算机各自设定策略变得简单易行。

    易管理 

        通过灵活的策略继承与组合，系统可以满足管理者多种多样的管理需求

        系统能够分别针对计算机或者用户进行管理，针对同一台计算机，对不同的用户也可以进行差异性的设置