0公司数据泄漏防护(DLP)项目技术建议方案

天津永富关西涂料化工有限公司DLP项目技术方案建议书4济南兰光机电有限公司数据泄漏防护(DLP)项目技术方案建议书天津永富关西涂料化工有限公司DLP项目技术方案建议书5目录第1章项目概述..........................................................................................................61.1项目背景..........................................................................................................61.2信息现状分析..................................................................................................61.3建设目标..........................................................................................................7第2章技术解决方案..................................................................................................82.1设计思路..........................................................................................................82.1.1.基本要求.......................................................................................82.1.2.内部使用.......................................................................................82.2应用框架图......................................................................................................82.3应用方案..........................................................................................................92.3.4系统架构规划..............................................................................112.3.5系统功能特点..............................................................................122.3.6实施影响评估..............................................................................14第3章项目实施建议................................................................................................183.1项目实施计划...............................................................................................183.2项目管理.......................................................................................................253.3项目实施分工协调.......................................................................................27天津永富关西涂料化工有限公司DLP项目技术方案建议书6第1章项目概述1.1项目背景在Internet高速发展的背景下，企业信息化也得到了空前的繁荣。随着信息时代的来临和信息化产业的成熟，企业也越来越重视自身信息化的发展，提高公司的管理能力、工作效率。但Internet是一个开放的网络，企业在享受它带来便利的同时，也对企业带来了网络安全问题。为提高内部信息管理的安全性，实现文档内容流转安全可控，能有效防止文件的扩散和外泄，需要建立一套完善的电子文档安全管理系统，即对于公司内部电子文档，就其使用范围、用户权限、用户操作、文件流转进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散，又支持公司知识积累和文件共享的目的。1.2信息现状分析目前济南兰光机电有限公司核心信息均以明文方式存储于各终端和应用系统中，并根据业务需要，通过业务平台、网络、便携终端(笔记本)等进行数据传递、存储和使用。1)从数据形态上核心信息在全生命周期过程中均为明文电子文档形式存储，存在轻易复制性和不可完整追溯性问题；明文信息在业务流转过程中，体现的归属权不清晰问题；因业务需要，将核心信息发出内部环境使用导致的信息安全问题；2)从安全意识上核心信息通过邮件、业务平台误发送泄密问题；核心信息未按标准流程和保密归档随意传递给外部泄密问题；竞争对手、黑客通过欺骗、仿冒或其他途径恶意窃取核心信息泄密问题。3)从忠诚度上内部员工为了商业目的，违反保密规定主动泄漏核心信息引起的泄密隐患。天津永富关西涂料化工有限公司DLP项目技术方案建议书71.3建设目标本方案是为构建济南兰光机电有限公司数据泄漏防护平台，基于亿赛通数据泄漏防护产品提出的技术方案与设想。方案中将针对客户关注的文档安全性、便捷性制定一整套功能完备的解决方案，防止信息外泄。通过导入信息加密管理和权限控制，实现以下重要目标：①文件加密。对文档进高强度加密和对使用者透明解密。实现盗走了，拿走了，没法用；操作简单，应用方便，现场无痕；②权限控管。各组织、部门、使用者按实际需求，合理的权限利用；③应用灵活。根据业务实际情况进行结合、使对文档灵活的管理。达到“多方适应，技管结合，兼顾现状”的系统应用机制；④审计报表。实现对身份、操作行为的完整记录、报表分析与查询，以便审计；作为国内信息安全领军厂商，亿赛通结合自身8年的软件研发应用和国内30万以上终端用户实施服务经验的基础上，结合有关制度、管理体系和应用模式，为曙光集团倾力打造数据泄漏防护系统，采用了自主研发的文档安全管理系统，将透明加密、权限管理、文档安全防护、日志审计等技术完美地结合在一起，有效防范数据泄密。天津永富关西涂料化工有限公司DLP项目技术方案建议书8第2章技术解决方案2.1设计思路通过对核心信息进行现状分析和风险评估，形成DLP方案总体设计思路。2.1.1.基本要求对核心文档进行全生命周期保护；核心文档只能在受控范围内被指定授权人员使用，非授权用户不能篡改文档内容，不能随意打印，不能随意拷贝，不能截屏，未授权外带禁止使用；核心文档受控后，文档所有使用行为均可审计；不改变研发用户原有工作习惯、不增加用户工作负担、不限制用户的正常操作行为，在保证用户原有业务模式的情况下，不影响用户的工作效率，让用户在安全的环境中无感知的处理各种研发业务。2.1.2.内部使用用户使用文档完全透明，不影响其日常操作。可对内部核心数据进行细粒化权限控制，防止核心文档在内部随意扩散。2.2应用框架图为了实现对核心研发数据的全生命周期保护，DLP方案将从数据源头开展控制，通过数据加密来实现安全防护，策略应用效果如下图所示：天津永富关西涂料化工有限公司DLP项目技术方案建议书9图2.1策略应用框架图主要策略应用如下：透明加密：实现对核心数据的强制加密和透明使用，如对OFFICE文档、PDF文档、结构图（二三维图纸）等进行加密防护；解密审批：实现明文外发需求业务支撑；离线审批：实现离线办公需求业务支撑；内容控制：实现对明文内容的安全防护，如内容复制粘贴、拷屏、打印、拖拽等。2.3应用方案1.文档透明加密系统采用文件过滤驱动技术，通过实时拦截文件系统的读/写请求，对文件进天津永富关西涂料化工有限公司DLP项目技术方案建议书10行动态跟踪和透明加/解密处理。加密的安全性主要取决为加密算法和密钥强度，目前采用的加密算法为RC4，密钥长度最大可达512位，完全可以满足企业级用户的安全需求。其主要优点：文件加/解密动态、透明，不改变使用者的操作习惯；性能影响小，系统运行效率高；不改变原始文件的格式和状态，同时，部署和内部使用非常方便。结合内容防拷贝、防拖拽、防打印、防拷屏等访问控制技术，形成成熟的数据防泄露解决方案(简称：透明加密系统，DLP-SmartSec)，其技术实现如下图所示：应用程序编程接口API文件过滤驱动文件系统SmartSec应用层访问控制SmartSec内核层动态加解密文件访问控制程序行为控制文件访问审核日志操作系统安全策略数据文件(DAT)图2.2SmartSec技术实现SmartSec的显著特征为：加密强制性、使用透明性、保密彻底性、应用无关性、灵活拓展性。其实现效果如下图：天津永富关西涂料化工有限公司DLP项目技术方案建议书11图2.3数据加密效果图2.3.4系统架构规划图2.5系统部署物理架构图文档安全管理（CDG）系统为Client-Server结构与Brower-Server结构相结合。C/S结构是由客户端软件CDG-Client和CDG-Server构成，而B/S结构则是指客户端及服务器端上通过浏览器（Browser）操作、维护保密系统，兼顾两种结构的优点又方便用户操作。CDG服务器负责系统的维护和管理，系统划分系统管理员、终端管理员、日志管理员等多种角色，系统管理员负责终端的管理、用户和组织结构的划分和维护、日志的查看、安全策略的制定，日志管理员负责日志的维护和报表输出，终天津永富关西涂料化工有限公司DLP项目技术方案建议书12端管理员是二级管理员，负责部门的终端维护和加解密策略的分发。客户端在接到安全策略后，加解密操作在终端完成，在内部以密文的形式流转。对加密文档的内容可控制拷贝粘贴、拷屏、另存等操作。在内部环境中，文件以密文存储或流转。对用户完全透明，不改变用户操作习惯。未安装亿赛通客户端的计算机无法查阅加密文档，需要与外部用户交流时，将加密文件解密成明文外发，也可登录外发管理平台以密文的形式外发。可对内部核心数据进行细粒化权限控制，防止核心文档在内部随意扩散。2.3.5系统功能特点强制加解密控制通过安全服务器策略控制，在部署CDG系统的情况下，只要终端数据符合策略要求，用户无论是将数据文件保存、剪切、复制、上传到任意位置，数据将被强制加密控制，对用户完全透明无影响。数据完整性保护安全终端的核心为数据加密，任何受控数据一旦加密，原则上会改变该数据的原有结构，即使在前端对用户完全透明；数据内部结构一旦发生改变，就会带来数据使用的安全性问题，即数据完整性如何保障。数据完整性风险主要有：病毒破坏、意外断电、保存死机、人为破坏等。为了能保障受控信息的存储和使用安全，安全终端提供了数据自动备份机制，用户在使用任意受控文档时，文档安全管理系统将自动备份当前操作文档，目前最多对同一文档提供两个备份信息，该备份信息可滚动存储在本地，也可根据设定自动备份存储到指定服务器中。当由于不可抗拒因素导致数据出现异常时，安全终