没有合适的资源?快使用搜索试试~ 我知道了~
能源行业数据安全系统解决方案.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 163 浏览量
2023-07-08
23:35:14
上传
评论
收藏 813KB DOCX 举报
温馨提示
试读
42页
能源行业数据安全系统解决方案.docx
资源推荐
资源详情
资源评论
能源行业解决方案
I. 行业信息安全背景
能源化工是国家的基础和支柱行业,是我们日常各项工作和生活的基础与保障。随着现
代化建设的迅速发展,各行各业需求日益强劲,尤其是对能源化工行业的依赖也越来越强,
能源化工的发展和建设关系到国计民生,是整个国家安全保障体系的重要一环。
随着能源化工业的发展和业务规模不断扩大,各大能源化工企业实现业务过程中,总部
与各个分支机构需要实时信息传输和资源的共享。在数据传输上既要保证内部业务网络较高
的可用性、可靠性、保密性,又要对内部核心数据有较强的防御和管控能力。
在信息安全建设工程实施上,能源化工行业一直走在前列,而能源化工行业本身存在的
生产、销售、管理较为分散的特性,也成为该行业信息安全建设中的特殊挑战。大型的能源
企业由于管理系统网络点数众多、空前庞大,网络中只要一个地方出现了安全问题,那么整
个网络都是不安全的。这就要求在网络安全方案设计上, 主要考虑网络的分布、功能、性
能等,从安全体系入手部署安全功能,实现防止外部网(Internet)对内部网的安全威胁的目的。
确切地说,中国能源企业广域网的网络状况与安全风险的现状是——面临着黑客、蠕虫
病毒、网络入侵、不良内容、垃圾邮件等的攻击。因此,需要使用专门的安全产品,从网络
隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。在企业广域网出口处应
配置应用级防火墙来加强访问控制,并部署入侵监控系统,杜绝可能存在的安全隐患,来保
证网络安全可靠的正常运行。
II. 行业信息安全需求
在能源化工行业中,企业投入了大量的人力、设备、资金来打造先进的 CAD 开发平台,
这些资源投入所换取的就是包含企业核心竞争优势的 CAD 图纸等重要数字资产。但是基于
能源化工行业的高人员流动率,以及专门针对于机密图纸和文档的病毒、黑客程序,这些机
密数据很容易被泄露到企业外部,或者被多种人为和自然 原因所破坏,造成了数字资产的
流失和资源投入的损失。与此同时,伴随着行业内分工和协同的不断发展,越来越多的企业
开始通过与上下游企业开展合作来提升自 身的竞争优势。在这个过程中,大量的机密设计
图纸需要在企业之间进行共享和传递。并且,由于数字资产的易复制和易存储性,合作伙伴
将有可能永久和多版本的 保留这些重要数据,从而增加了图纸被多次扩散的安全管理风险。
1. 行业信息安全特点
企业知识产权保护,谁能独当一面。电脑或存储设备遗失时的解决方案,员工离职带走
文件的解决方案。终端用户被植入木马带来的文档泄密问题,部分无法禁用存储介质的环境
如何保密。在安装部署电子文档管理产品后,是否会带来一系列新的困扰。
传统的电子文档管理系统,呈现出多方面的问题:大量终端的部署工作问题,是否支持
多种应用程序,文件编辑者本身的问题,数百万计文件的存取权限、文件的控制管理问题,
审计文件的人力资源问题,系统上线后的学习培训问题等等。文件保护措施不能只做到一半,
“铁卷电子文档安全系统”让脱离企业网络环境的所有包 含机密信息的电子文档自动无法使
用,从而使电子文档窃取者使用任何手段对文件无法读取和使用。
能源化工行业信息安全需求主要表现为以下几个方面:
● 如何统一安全管理跨区域网络环境数据安全与机密文档安全;
● 如何防范化工配方和技术文档在总部与各分支机构、部门之间的流转交流过程的数据泄
密;
● 如何保障终端数据安全,以及离线出差等脱离企业网络环境的办公文档安全;
● 如何保障与上下游厂商、合作伙伴间的数据资料、机密文档交互安全;
● 如何保障移动设备、存储介质(U 盘、移动硬盘)的数据安全;
● 如何完美整合企业 AD、ERP、PDM、CRM 等专业业务平台,不影响员工工作效率。
2. 行业主要数据泄密途径
● 主动泄密
拷贝涉密信息
打印涉密信息
使用电子邮件、QQ 发送涉密信息
● 被动泄密
终端(笔记本)涉密信息被盗
移动存储介质(U 盘、移动硬盘)丢失/被盗
移动存储介质使用不当
计算机遭受间谍软件攻击导致无意识泄密
方案目标
随着信息化安全和风险技术的进步,传统的信息保护技术已经很难达到高安全保护的要求,
现代信息安全理论把安全防护的对象,从传统的针对途径的堵截转变为保护对象本身,因此
能够更有效地达到安全防护效果。
传统的安全防护技术包括防止黑客攻击、木马、病毒入侵,从防火墙、入侵检测设备、网关
等硬件设备的使用。现代安全防护技术采用加密技术,保护数据文件本身,整个信息化过程
中都伴随着数据安全的问题。
为实现企业内部文档安全保护,防止文档外泄和扩散,提高企业内部文档交流,对于内部文
档使用范围、文档交流等进行控制管理。针对行业和企业的特点满足如下目标需求:
1. 统一管理企业内网、跨网络环境的数据文档,确保其不被外泄和扩散;
2. 防止因机器丢失,盗窃等,导致数据文档泄露;
3. 保障数据文档安全的同时,确保离线、出差等脱离企业网络环境的文档安全;
4. 解决外发给合作客户、合作伙伴的文档的安全,防止扩散和外泄;
5. 保障移动设备、存储设备(U 盘、移动硬盘)的数据文档安全;
6. 防止因病毒入侵或黑客攻击等,导致数据丢失和泄露;
7. 防止员工有意、无意泄露文档内容;
解决方案
解决方案及其组成
系统物理架构
本系统由服务器群,控制台和客户端三部分组成,如图 3.1 所示。系统初始管理员有四种:
系统管理员、安全管理员、审计管理员和审批管理员。并且采用了职权分离的管理模型,管
理员可以通过基于 IE 内核的浏览器,使用代表不同身份的 USB-KEY 登录到管理中心,进行
管理及维护。
受控终端区
服务器群
管理(系统、安全、审计)中心
系统管理员 安全管理员 审计管理员
1
Web 服务器
5 PC
1
工作组交换机
3
用户
1
关系数据库
1
便携电脑
1
服务器.14
1
证书服务器
1
文件服务器
图例
符号 计数 说明
图例副标题
。。。 。。。
。。。 。。。
审批管理员
图 3.1 系统物理架构
文档扩散和外泄管理
定义需要保护的文档和软件
防止员工机器上的文档泄露,要求先定义哪些类型的文档是需要保护的,建议不要对所有的
文档进行保护,否则会影响效率,针对不同的应用类型定义需要保护的文档数据。
加密文档并存储
针对上述定义的需要保护的类型文档,对其进行透明加密保护,存储在磁盘的文档都是加密
的,可以有效防止文档泄露,即使文档被泄露出去,也只能泄露密文,不会泄露文档的内容。
以微软办公软件的 Word 格式文档为例,部署系统后,用户编辑保存 Word 文档过程中,
系统自动对文档内容进行加密,并存储到磁盘上。用户打开加密的 Word 文档时,自动从磁
盘解密。该过程无需改变现有的任何软件,不会影响用户的操作习惯。
即使加密的 Word 文档被泄露到企业外部,由于加密文档的密钥存储在企业内部,外部
系统无法获得密钥,并且加密文档的格式是保密的,不能通过破解等手段解密出正确的数据,
保障了文档数据的安全。
防止泄露文档内容
当员工打开加密的文档时,需要防止员工通过打印、截屏、拷贝内容、网络、邮件等行为泄
露文档的数据。例如需要防止员工拷贝文档内容,并粘贴到邮件正文发送到企业外部,泄露
文档内容。当员工打开加密文档时,某些可能泄露文档内容的行为将被禁止,详细的描述如
下所示:
序号
禁止行为
描述
1.
打印文档
禁止;或只允许通过指定打印机打印,可自定义水印
2.
剪贴板复制
禁止复制受控进程数据到其他进程,例如邮件客户端等
3.
拖拽和 OLD
禁止拖拽受控进程数据到其他进程,例如 QQ 等
4.
邮件和网络
禁止受控进程访问网络和发送邮件
5.
内存窃取
禁止其他进程窃取受控进程内存内容
6.
截屏/录屏
打开加密文档后,只允许受控进程截屏/录屏
区分工作和私人的文档
本产品启动后,默认开启安全保护功能,但管理员可以针对某些员工,赋予其停止安全保护
的权限。员工停止安全保护后,将不能打开任何已加密的文档,而且打开和编辑未加密文档
时,不会受到任何限制,或被强制加密。
企业可按需为公司或部门的某些领导或高级雇员,或使用个人笔记本办公的员工赋予该权限。
这样员工可以在处理私人、或无需加密保护的文档时,手工停止安全保护功能,以满足特定
的使用情况。
文档解密和外发管理
文档解密和管理制度
本方案通过对需要保护的文档进行强制的透明加密保护,达到防止数据文档泄露的安全目标。
因此必须严格控制加密文档的解密。企业需要在内部设置专门的人员进行文档解密操作,并
且严格遵守文档解密管理制度。在方案的实施阶段根据企业的实际环境、流程和管理制度,
设计适用的文档解密管理制度。
文档外发和流程
本方案加密后的文档不能直接发送到企业外部,例如合作客户或合作单位等,因为这些文档
是加密的,外部用户无法正常打开。只有通过文档外发,或把加密文档解密后才能让合作客
户打开文档。在方案的实施阶段将根据企业的实际环境、流程和管理制度,设计专门适用的
文档外发管理制度和审批流程。
外发文档防泄密
本方案通过外发技术,使得合法的外部用户无需安装本产品,也能打开外发的加密文档。该
技术提供了口令和机器码认证两种保护技术,用户必须输入正确的口令和认证码后,才可以
打开这些文档。
外部合法用户收到外发文档后打开,只能阅读文档内容,无法通过打印、截屏、拷贝内容等
手段泄露文档内容,保障外发文档安全。
支持用户自定义多种外发策略,通过限制文档的有效时间,打开次数,接受用户,打开的设
备等安全机制,为用户提供更加灵活,安全的文档外发保护。
文档内部共享
针对企业的数据文档保护需求,可对部门、或员工之间的文档交流进行限制或不限制。如果
不限制,则员工之间可以相互打开、编辑其他员工的加密文档。如果限制,则员工必须把加
密文档共享给指定的员工,并可能需要经过审批。
移动存储设备管理
移动存储设备禁用或只读
为了加强数据文档的安全保护和规范员工使用移动存储设备,本方案在系统的内核,无缝集
成移动存储设备管制功能。使用本产品,管理员可以按需禁止指定员工使用移动存储设备,
或者禁止写入数据,如图 3.2 所示。
图 3.2 禁用移动存储设备
内网专用安全存储设备
移动存储设备管理的最佳实践是,禁用所有的普通移动存储设备,并使用内网专用的安全 U
盘/硬盘。本产品无缝集成了我司自主研发的加密安全 U 盘/硬盘产品,内部员工只能使用已
注册的专用安全 U 盘/硬盘。使用内网专用的存储设备,可以获得更优的设备管制和文档保
护体验,具有以下安全特点:
1. 单位内部员工,只能使用注册过的 U 盘/硬盘,各个终端不识别非注册设备;
2. 存储在合法设备中的数据是经过硬件芯片加密保护的,只有输入正确的使用密码才能访
问设备中存储的数据信息;
3. 支持限定存储设备的使用范围,即:注册过的安全 U 盘/硬盘,只能在单位内部使用,
单位办公环境外的终端无法识别此类设备;
文档归档管理
明文归档
由于不同的企业有不同的文档归档管理办法,本方案不提供专门的文档管理、归档、备份和
统计等功能。如果需要进行文档归档,可以选择先批量解密文档,解密文档后,再按照企业
现有流程进行文档归档管理。当需要重新使用这些文档时,加密后再发布给员工。
3.1.5.2 密文归档
企业也可以直接把加密文档进行归档,即使文档的使用年限和需要归档备份的年限较长,我
司也保证在将来的产品升级中,提供向下兼容的文档保护产品,并且支持更新的操作系统和
应用软件。
3.1.6 终端端口管理与控制
支持管理员对终端进行设备端口控制,禁止终端用户随意使用系统设备资源,并指定可以使
用那些设备端口;可以控制的端口有串口设备(移动存储设备、USB 鼠标键盘、USB 电讯设
备、USB 打印设备、其它 USB 设备)、并口设备、光盘驱动器、SCSI 接口、1394 控制器、红
外接口、蓝牙接口、PCMCIA 卡
3.1.7 脱机管理
支持脱机运行,脱机时客户端功能与在线时相同,仅不能同步策略和上传客户端状态;支持
脱机时限管理,支持脱机日志等
3.1.8 敏感行为审批
在做共享、外发文档等用户自行定义的敏感操作时,支持强制审批,每一操作必须经过审批
管理员审批通过才能执行。
3.1.9 文档备份
为容灾容错,提供了文档自动备份功能,支持定期以增量备份的方式,备份文档到服务器
3.1.10 行为审计
剩余41页未读,继续阅读
资源评论
oligaga
- 粉丝: 52
- 资源: 2万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- Code for the complete guide to tkinter tutorial
- 关于百货中心供应链管理系统.zip
- SimpleFolderIcon-master 修改Unity的Project下的文件夹图标
- A python Tkinter widget to display tile based maps
- A pure Python library for adding tables to a Tkinter application
- Vector资源文件.zip
- MobaXterm-Installer
- MicroMsg.xlsx
- 88-520告白(520气球).zip
- HTML+CSS+JS精品网页模板H126.rar
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功