IT電子行業(yè)信息安全管理解決方案-信息安全

前言

現(xiàn)今我國(guó)已是全球第三大電子信息產(chǎn)品制造國(guó)，電子信息產(chǎn)品已經(jīng)滲透到我們生活的各個(gè)角落，包括通信、醫(yī)療、計(jì)算機(jī)及周邊視聽(tīng)產(chǎn)品、玩具、軍工用品等。IT電子行業(yè)是典型的知識(shí)技術(shù)密集型行業(yè)，具有科技含量高、專(zhuān)利多，知識(shí)產(chǎn)權(quán)豐富，核心數(shù)據(jù)密級(jí)高等特點(diǎn)。隨著業(yè)內(nèi)競(jìng)爭(zhēng)的加劇，為尋求競(jìng)爭(zhēng)中的有利地位，保證產(chǎn)品的核心技術(shù)優(yōu)勢(shì)以及保護(hù)自己核心知識(shí)產(chǎn)權(quán)的安全變得尤其重要。

敏感數(shù)據(jù)類(lèi)型

1.常見(jiàn)的辦公研發(fā)環(huán)境中，如：元器件圖紙?jiān)O(shè)計(jì)、軟件代碼研發(fā)（包括編寫(xiě)、編譯、分布式編譯等）、數(shù)據(jù)運(yùn)算、硬件燒錄等。

2.常見(jiàn)的信息系統(tǒng)中，如：代碼編寫(xiě)與編譯、版本控制、圖紙?jiān)O(shè)計(jì)和文檔編寫(xiě)等系統(tǒng)/軟件等。

敏感數(shù)據(jù)分布

研發(fā)類(lèi)計(jì)算機(jī)、硬盤(pán)、移動(dòng)存儲(chǔ)設(shè)備和文件服務(wù)器等。

通過(guò)驅(qū)動(dòng)層動(dòng)態(tài)加解密技術(shù)，對(duì)企業(yè)內(nèi)部核心電子文檔（源代碼、設(shè)計(jì)圖紙、設(shè)計(jì)方案等）進(jìn)行強(qiáng)制加密處理，從文件創(chuàng)建開(kāi)始即可自動(dòng)加密保護(hù)。核心數(shù)據(jù)在加密前后對(duì)于數(shù)據(jù)合法使用者無(wú)任何差異，不增加用戶(hù)負(fù)擔(dān)、不改變?nèi)魏喂ぷ髁鞒碳笆褂昧?xí)慣。文件的保存加密、打開(kāi)解密完全由后臺(tái)加解密驅(qū)動(dòng)內(nèi)核自動(dòng)完成，對(duì)用戶(hù)而言完全透明、無(wú)感知。

2.針對(duì)Linux電腦環(huán)境下文件透明加密

Linux操作系統(tǒng)是當(dāng)前最流行的開(kāi)發(fā)平臺(tái)，所以對(duì)IT電子行業(yè)企業(yè)來(lái)說(shuō)Linux平臺(tái)上的源代碼安全同樣至關(guān)重要。系統(tǒng)采用基于Linux內(nèi)核的文檔透明加解密技術(shù)，能夠在不改變用戶(hù)使用習(xí)慣、計(jì)算機(jī)文件格式大小和編譯程序的前提下，對(duì)指定類(lèi)型的文件進(jìn)行實(shí)時(shí)、強(qiáng)制、透明加密，同windows加密體驗(yàn)無(wú)差別，且能夠與windows加密客戶(hù)端完美兼容。方便用戶(hù)在windows和Linux平臺(tái)上對(duì)源代碼加密文件進(jìn)行查看、編譯等交互操作。

3.防止外發(fā)文件在外二次擴(kuò)散泄密

當(dāng)需要給客戶(hù)或者合作伙伴外發(fā)文件時(shí)，首先向上級(jí)領(lǐng)導(dǎo)進(jìn)行外發(fā)申請(qǐng)。

被授權(quán)的客戶(hù)或合作伙伴獲得該受控外發(fā)文件后，打開(kāi)時(shí)需先進(jìn)行合法的身份認(rèn)證。身份認(rèn)證的方式包括：口令認(rèn)證、機(jī)器碼認(rèn)證、聯(lián)網(wǎng)認(rèn)證；

訪問(wèn)權(quán)限包括：閱讀次數(shù)、可打印、可截屏、可編輯、閱讀期限、過(guò)期自毀、回收等；

4.防止應(yīng)用服務(wù)器上的數(shù)據(jù)泄密

安全隱患：

無(wú)關(guān)人員和電腦，隨意接入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)服務(wù)器數(shù)據(jù)導(dǎo)致泄密，應(yīng)該如何管控？

如果要求終端數(shù)據(jù)上傳到公司某些應(yīng)用服務(wù)器（比如：ERP、OA）的數(shù)據(jù)是明文，該如何管控？

應(yīng)用服務(wù)器上明文數(shù)據(jù)下載該如何管控？

解決方案：

終端準(zhǔn)入：只允許安裝有數(shù)據(jù)防泄密系統(tǒng)客戶(hù)端的終端用戶(hù)正常接入應(yīng)用服務(wù)器，非法用戶(hù)禁止接入；

上傳下載：文件上傳自動(dòng)解密、下載自動(dòng)加密；

數(shù)據(jù)加密安全通道：客戶(hù)端用戶(hù)在與公司內(nèi)部服務(wù)器進(jìn)行數(shù)據(jù)交換時(shí)，采用數(shù)據(jù)加密安全通道，保障數(shù)據(jù)在傳輸過(guò)程中不被竊取。

非法外聯(lián)：安裝有數(shù)據(jù)防泄密系統(tǒng)客戶(hù)端的終端用戶(hù)將禁止連接仿冒應(yīng)用服務(wù)器，防止非法用戶(hù)利用客戶(hù)端上傳自動(dòng)解密機(jī)制進(jìn)行非法外聯(lián)泄密。

5.防止員工外出辦公泄密

回家加班：針對(duì)筆記本辦公人員，由于筆記本攜帶方便，且人數(shù)較多，系統(tǒng)提供用戶(hù)配置默認(rèn)時(shí)間，比如：7小時(shí)默認(rèn)時(shí)間，那么筆記本辦公人員只要在默認(rèn)7個(gè)小時(shí)內(nèi)，無(wú)需申請(qǐng)，在家辦公和在公司內(nèi)部一樣的防泄密管理效果；

出差辦公：針對(duì)攜帶筆記本出差辦公人員，在出差之前通過(guò)系統(tǒng)流程進(jìn)行申請(qǐng)，經(jīng)上級(jí)審批后，在授予的時(shí)間期限內(nèi)，在外出差辦公。如果在授予的時(shí)間期限內(nèi)，仍需要在外繼續(xù)辦公的，可以通過(guò)電話(huà)聯(lián)系上級(jí)，再重新制作一個(gè)授權(quán)文件，發(fā)給在外人員導(dǎo)入電腦后，又可以繼續(xù)在外辦公。

永久離線(xiàn)：主要運(yùn)用于脫離總部，長(zhǎng)期或永久在外面使用的電腦，一般是分公司或辦事處。使用離線(xiàn)終端，可保證總部與分部之間的資料都是加密的，可以互相訪問(wèn)，又可以控制分部的資料。

6.內(nèi)部U盤(pán)、光盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)安全管控

USB存儲(chǔ)設(shè)備限制

根據(jù)公司的實(shí)際情況，限制哪些電腦的USB接口能否使用。分別有允許使用、禁止使用、USB設(shè)備只讀（即單向傳輸拷貝控制，只能從U盤(pán)上拷出數(shù)據(jù)，不能拷入數(shù)據(jù)）和斷網(wǎng)使用（即插入U(xiǎn)SB存儲(chǔ)設(shè)備時(shí)終端斷網(wǎng)）四種限制方式。

USB存儲(chǔ)設(shè)備認(rèn)證

對(duì)接入公司的U盤(pán)進(jìn)行注冊(cè)認(rèn)證管理，只有通過(guò)事先認(rèn)證過(guò)的U盤(pán)才可以在公司內(nèi)使用。

USB外發(fā)日志

對(duì)公司內(nèi)部員工的USB拷貝行為進(jìn)行詳細(xì)記錄，記錄信息包括操作時(shí)間、終端名稱(chēng)、操作用戶(hù)、文件名稱(chēng)、源路徑、目的路徑，并支持下載查看文件內(nèi)容。從而為企業(yè)內(nèi)的信息拷貝提供更嚴(yán)格的安全保障，防止內(nèi)部機(jī)密信息被非法拷貝。