当前位置：搜档网 › 银行业数据防泄密平台方案建议书

银行业数据防泄密平台方案建议书

银行业数据防泄密平台

方案建议书

1 项目背景概述 (4)

1.1 项目背景 (4)

1.2 企业泄密风险 (4)

1.3 数据防泄密项目背景 (5)

1.4 数据防泄密项目网络现状和信息安全需求分析 (5)

2 山丽防水墙产品介绍 (6)

3 山丽防水墙数据防泄漏系统解决方案 (7)

3.1 产品功能对透明加密管理的满足 (7)

3.2 产品功能对加密模式本地策略管理的满足 (8)

3.3 产品功能对多种加密模式管理的满足 (9)

3.4 产品功能对一文一密钥安全性管理的满足 (11)

3.5 产品功能对加密系统剪贴板管理的满足 (12)

3.6 产品功能对加密系统多种登录方式管理的满足 (12)

3.7 产品功能对出差笔记本防泄漏（加密客户端离网使用）管理的满足 (13)

3.9 产品功能对文件解密申请管理的满足 (14)

3.10 产品功能对密文明送文件外发控制管理的满足 (17)

3.12 产品功能对文件权限管理的满足 (18)

3.12.1基于用户为脚色的文档权限控制 (19)

3.12.2基于文档为角色的自定义文档权限控制 (20)

3.12.3文档权限控制的精细化管理 (21)

3.15 产品功能对基于B/S应用服务器和防水墙系统融合方案的满足 (23)

3.16 产品功能对PDM、FTP服务器和防水墙系统融合方案的满足 (23)

3.16.1产品功能和应用服务器融合的原理 (24)

3.16.2产品功能和应用服务器融合的方案 (25)

3.17 产品功能对文件交互管理的满足 (27)

3.17.1分支机构和总部的交流 (27)

3.17.2产品功能对分支机构和供应商管理的满足 (28)

3.18 产品功能对计算机外设管理的满足 (29)

3.18.1 终端外设管理范围 (29)

3.18.2外设管理在线、离线策略 (30)

3.18.3注册移动存储设备管理策略 (30)

3.18.4认证移动存储设备管理策略 (31)

3.19 产品功能对服务器灾难恢复功能的满足 (33)

3.20产品功能对审计功能的满足 (34)

3.20.1对加密文件的各种操作行为进行审计 (34)

3.20.2对加密系统各种操作行为的自动预警式审计 (35)

3.21 产品功能对系统管理功能的满足 (38)

3.21.1防水墙加密系统三员分立管理模式 (38)

3.21.2防水墙加密系统系统管理员管理模式 (39)

3.22 产品功能对安全性要求的满足 (41)

3.23 产品功能对客户端自我防护的满足 (42)

3.24 产品功能对加密客户端授权管理的满足 (42)

3.25 产品功能对客户端自动升级的满足 (42)

4 产品部署方法和部署效果 (43)

4.1 部署方法 (43)

4.2 部署效果 (43)

4.2.1 法规的遵从 (43)

4.2.2 管理的视角 (44)

4.2.3 用户的视角 (44)

5 建议服务器配置 (44)

6 技术优势 (47)

7售后服务体系 (48)

7.1系统售后服务内容 (48)

7.2售后服务的关键是处理应急服务 (50)

7.3售后服务流程 (52)

8 产品培训 (52)

8.1培训计划 (52)

8.1.1培训对象 (53)

8.1.2培训时间 (53)

8.1.4培训师资 (53)

8.1.5培训考核 (54)

9 项目实施 (54)

9.1项目实施流程 (54)

9.2实施团队的特点 (55)

9.2.1 项目经理和实施组成员情况 (55)

9.3 管理体系 (55)

9.4 风险管理 (56)

9.5 服务器、网络设备等硬件需求 (56)

9.6 技术指标 (58)

9.7 网络拓扑 (59)

9.9 实施进度安排 (61)

1 项目背景概述

1.1 项目背景

2012年1月16日，中国互联网络信息中心(CNNIC)发布《第29次中国互联网络发展状况统计报告》，报告显示，截至2011年12月底，中国网民规模突破5亿，达到5.13亿。

网民的生活、信息交流、办公已经无法离开互联网；

基于网络的工作、创新、仿真、制造、管理已经是当代企业生存的必要条件。

但因为国际、国内企业之间的进一步加剧、各个国家保护产权创新的力度和范围大有不同，基于个人或者企业的信息泄密事件时时在发生中……

其中，超过80%是由内部员工故意或无意地泄漏和破坏引起的……

对IT资产中电脑硬件的终端管理，和对电脑硬件里面的数据管理成为信息泄密安全管理问题亟待解决的两大问题。

信息安全的核心是内部信息安全的问题，是对内部电脑资源设备的管控和电脑资源设备上的数据文档的管控。

1.2 企业泄密风险

可能的泄密途径，应该来讲主要包括：

?服务器上泄密、

?工作站泄密、

?移动设备泄密、

?网络泄密、

?输出设备泄密、

?客户泄密、

?合作单位员工转发泄密等

主要的表现形式如下：

服务器泄密：

1、网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。

2、维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机

器上。

工作站泄密：

1、乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。

2、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。

3、将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。

4、将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃。

5、将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来装上。

6、将办公用便携式电脑直接带回家中。

7、将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷

走。

8、将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走。

9、电脑易手后，硬盘上的资料没有处理，导致泄密。

10、笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。

网络泄密：

1、内部人员通过互联网将资料通过电子邮件发送出去。

2、内部人员通过互联网将资料通过网页bbs发送出去。

3、随意将文件设成共享，导致非相关人员获取资料。

4、将自己的笔记本带到公司，连上局域网，使用各种手段如PDM、FTP、telnet窃取资料

5、随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。

输出设备（移动设备）泄密：

1、移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、

并口、串口、1394等

2、将文件打印后带出。

客户泄密：

1、客户将公司提供的文件自用或者给了竞争对手。

2、客户处管理不善产生的泄密。

3、员工收到文件后将文件发送给其他人员产生的泄密。

1.3 数据防泄密项目背景

数据防泄密项目已经采取了积极的手段对重要文档加以保护，能够有效地防止外部威胁入侵窃取公司敏感信息，但仍存在一定的文档泄密风险。

1.4 数据防泄密项目网络现状和信息安全需求分析

企业大量机密数据均以电子文档的形式存在，其传播方式也是多种多样。互联网时代的快速发展推进了企业信息化进程，同时也将企业机密数据置于巨大的风险之中，保护机密数据和敏感信息免遭恶意或意外泄露，是当今企业所面临的最大安全问题之一。

目前，数据防泄密项目已经在内部采用了一些管理措施，就数据安全方面，公司的基本情况和需求如下：

基于上述对数据防泄密项目项目需求的分析，结合山丽信息安全有限公司在数据泄露防护领域多年信息安全项目建设经验，我们建议部署山丽防水墙数据防泄漏系统来保护数据防泄密项目数据的安全性。

2 山丽防水墙产品介绍

山丽防水墙数据防泄漏系统是一套包含了数据透明加密、剪贴板截屏控制、文件外发控制、USB存储设备控制、信息资产查询、文档权限控制、数据备份管理的综合性信息安全管理系统。

系统的各个模块广泛用于企业、政府、金融、军工等单位，为服装、设计、制造、集成电路、软件开发、船舶、航空等各行业提供着强大的信息安全防护。

山丽防水墙数据安全保护系统软件部署与效果

3 山丽防水墙数据防泄漏系统解决方案

3.1 产品功能对透明加密管理的满足

高安全性

高效率

透明

密文应用程序（明文）

山丽防水墙采用基于操作系统内核的处理技术,并不使用Hook 技术,满足对不同软件的加密需求。目前可以设置成支持所有格式的加密（全盘加密，包括绿色软件的加密，随意压缩格式文件的加密，所有数据库格式文件的加密），可以设置为支持特定格式的加密，可以设置为支持具体目录的加密等等。一般公司的加密软件无法支持所有格式的加密，无法支持绿色软件的加密，甚至都不能支持特定目录的加密。

市场上所见的加密技术，或者是采用了个钩子（Hook ）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加密，市场上许多硬盘如seagate 硬盘已经自带硬盘加密，实际上互联网上已经有了这些加密软件的破解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。

山丽加密功能不采用Hook 技术体现在即使将防水墙客户端程序终止了用户仍会在加密环境中，而许多加密软件只要将进程终止后加密效果就失效了，而从原理上，么有不能禁止的进程！

山丽防水墙支持穿透压缩包功能，可以实现对压缩文件的穿透加密。（所有压缩格式均可）山丽防水墙支持对所有格式的加密，包括所有压缩文件的加密，经过加密的压缩文件，压缩包里面的内容也都是密文，即使被解压缩出来也是密文，除非是在加密环境里面解压缩。

文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，加密策略（算法、密钥和加密文件的指定）是内置在透明加密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。

透明加密效果示意图

3.2 产品功能对加密模式本地策略管理的满足

山丽防水墙完全和文件格式无关，山丽防水墙的透明加解密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。

管理人员可以自由定义用户（组）的加密模式或策略：全盘加密、目录加密、特定格式加密、特定格式不加密、自主加密等。

用户在登陆进入加密系统后，本地即执行对应加密策略。管理人员也可以设置系统为自动登陆或者开机登陆，满足用户不需要输入密码的使用体验。（实际上，有时候为了安全，在实践中又往往是在企业内部选择采用自动登陆在企业外部采用秘密登陆的方式）达到效果：

1、内部的用户，管理的需要，可以加载全盘加密方式、目录加密方式、程序加密方式、空加密方式，满足对不同角色用户的管理；

2、内部资料，不经过公司允许，通过各种途径外发的均是密文，对大多数用户而言，需要审批批准方可解密，对特殊用户，可以自行解密外发；

100Base-TX

专线

3.3 产品功能对多种加密模式管理的满足

山丽网安的多种客户端加密模式，管理人员可以自由的组合，以应用与任何组，或者组的成员；区别于一般公司的产品不同的是，山丽网安的产品的这些模式是同时提供给用户的，而不是仅仅只能提供其中一种加密模式，不会造成用户的适用性、扩展性无法满足的现状。

另外，互联网上已经有公开的加密软件解密工具可以得到。这些工具可随意的对格式加密类软件进行破解。这也是山丽防水墙提供了多种加密模式的原因。

多种加密模式示意图

具体来讲，山丽防水墙对数据的加密提供动态加密和静态加密两种。

其中，动态加密有7种方式，可以根据管理目标-用户或者用户组，进行设置，具体包括：

1、加密特定的格式，如用户所列出的各种软件，这个是市面上一般企业可以提供的加密模式；这种模式的优点是简单，但存在着被破解的可能性，目前网上已经出现了破解工具；这种方式的另外特点是应对未来的发展性较差；

2、某些格式不加密，其他格式均被加密，这个目前仅只有山丽网安提供；这种方式的特点也是简单，同时安全性相比1有所提高，对未来的扩展性也有很好的适应，因为未来的均会被加密；

3、目录加密，这种模式可以做到和文件格式无关，即文件放到加密目录下面即自动被加密，这种模式主要的应用对象是企业的高级管理人员，其本人可以自主将资料解密，而不需要申请；目前仅有山丽网安提供有这种模式；

4、空加密模式，这种模式显然是应用与企业或者组织的最高级领导的，即：最高级的领导本身的资料不进行任何的加密，但其本人又可以自由的阅览任何密文；目前仅有山丽网安提供有这种模式；

5、网络加密模式，这种模式可以决定以网络形式存在于服务器上的数据的加密属性，可以自由的决定数据存在于服务器是密文还是明文，而不管其本身原来是何状态；目前，仅有山丽网安提供有此模式；

6、外设加密模式，这种模式是为了满足工作内部、外部自由交流的方便性而设，可以自由的决定数据存在于外设是密文还是明文，而不管其本身原来是何状态；目前，仅有山丽网安提供有此模式的高级功能—其他软件只能加密，山丽防水墙可自由设置是否加密；

7、全盘加密模式，这种模式最严格，一般应用与研发人员或设计人员，这些人员的创造成果对企业的发展具有举足轻重的作用，有时侯，为了平衡使用者的心理，有些管理人员也主动采用这种模式进行防护；目前，仅有山丽网安提供有此模式；

所有的动态加密，文件一旦被修改或者新创建（包括复制等操作），文件就会按照既定的策略被加密。

在静态加密上，山丽防水墙提供有两种，用户右手点击某文档决定是否加密（有权限的也可以直接点击右键解密）

8、手动加密，这种模式目前有美国airzip提供，同时山丽网安也提供有这种模式；这种模式的特点就是完全依赖作者本人的行为，比较适用高层管理人员；

9、批量加密，控制台操作，对历史的文件进行一次性的处理，文件变成密文。这种方式的目的一般是对服务器上的文件进行加密操作。

山丽网安的8种客户端加密模式，管理人员可以自由的组合，以应用与任何组，或者组的成员；区别于一般公司的产品不同的是，山丽网安的产品的这些模式是同时提供给用户的，而不是仅仅只能提供其中一种加密模式，不会造成用户的适用性、扩展性无法满足的现状。

3.4 产品功能对一文一密钥安全性管理的满足

山丽防水墙采用的是国际先进的对称加密和非对称加密相结合的方式，在管理中，并不进行密钥许可，这是极为不安全的。因为加密软件必须采用国家规定的加密算法，如果密钥可以拿到。用户即使拿到密文也是可以被解密的。

在山丽防水墙系统中，文档的加密密钥是动态变化的，这一点可以从密文另存为相同几份密文后，在加密环境外打开密文内容不一样得到确认。

山丽防水墙用户并不持有文件加密密钥，而持有PKI证书中自己的私钥，这个私钥只是确认自己是一个合法的用户而已，当用户合法后，本地的加解密驱动开始工作，实现对文件的动态、实时、透明加解密。

山丽防水墙的用户相邻可以查看彼此文件的关系就是通过PKI体系来管理的，而不是通过文件加密密钥实现。因为那样安全风险是非常大的。

※另外还需要注意的是：※

山丽防水墙系统基于脚色管理的权限系统，对文件的流转途径没有任何限制，也就是说，一旦脚色相互之间的关系确认，通过u盘、qq、mail、应用系统等等方式流转的文件均接受这样的管控权限的约束。

在市场上，有的公司的产品加密和权限是两套系统，对文档的权限控制需要将文档上传到特定的服务器进行设置才行，这个管理带来了巨大的挑战，毕竟，用户购买产品的目的是使用产品，不是增加自己的管理成本的。

如果实施加密产品而不考虑产品的安全性，那信息化管理人员就不是在买安全产品了。因此，加密产品的安全性应该成为产品购买和实施的重点考虑对象。

目前的加密产品，按照国家管控的要求，加密算法必须是采用国家指定的加密算法（也是公开的），否则产品不能在国内进行销售。这个也是国外的安全产品迟迟不能今进入中国境内进行销售的原因。

但国外安全产品的安全性往往又非常高，这个又是什么原因呢？

这个是因为，有的数据加密产品，在产品交付给用户的时候，往往供应商会讲，是给用户提供一个密钥，或者说给一个部门一个密钥。

不要相信什么不能破解的神话。没有不能破解的。当其他人一旦获得了公司的密钥或者一个部门的密钥，加密算法是公开的（也不用费神破解加密算法了），企业的数据还有什么不能破解的。

因此，一文一密钥是安全的基本保证。国外产品的安全性高的原因就是一文一密钥（一个文件一个密钥）。

这样，破解者即使得到了一个产品的密钥，也不会对数据安全产生根本性的影响

要实现一文一密钥，必须采用对称加密和非对称加密的相结合的方法。目前pdf的加密、windows的efs的加密是这样的，国内也有山丽防水墙是这样的。

因此，采用对称加密和非对称加密，并实现一文一密钥是产品安全性的保证。

3.5 产品功能对加密系统剪贴板管理的满足

用户组用户剪贴板管理

复制和粘贴功能：防止重要的文件内容从受控程序中直接复制到非受控程序中，如需复制和粘贴，则可以指定复制、拷贝到某一应用程序中。

山丽防水墙的剪贴板管理也有独立的模块进行管理。

山丽防水墙对剪切板具有精细化的管控：或者全开，或者关闭，两种模式；在管理模式情形下，又可以设置剪贴板可信的程序，从而可以copy内容进入；具体的管理细则如下;

1、所有的受控程序相关的内容均不得copy进入非受控进程；

2、所有的非受控程序的内容均可copy进入受控进程具有写入权限的文件；

3、具有只读权限的密文内容不得copy进入任何其他文件，只读权限之间亦然；

4、受控程序之间的内容可以自由copy，只读除外；

5、如果放开了剪贴版控制，则以上不再管理，但只读密文仍在管控范围；

6、如果禁止了剪贴板管理，则遵行以上原则；

7、如果设置了某程序剪贴板可信进程，则内容仍可copy进入之；

3.6 产品功能对加密系统多种登录方式管理的满足

山丽防水墙系统可以提供多种登陆进入加密系统的方式。包括：

1、域结合登陆：和域控账号结合的登陆方式，用户登陆域即自动进入加密系统；

2、自动登陆：山丽防水墙提供有自动进入加密系统的选项，可以在开机即随之进入加密系

统而无需用户输入密码；用户也可以取消自动登陆的功能；

3、标准登陆：对有的用户，在需要看密文的时候再进行登陆也是一种选择；

3.7 产品功能对出差笔记本防泄漏（加密客户端离网使用）管理的满足

用户有将电脑带回家办公或者到客户现场办公的实际需要，对这种需求，山丽防水墙提供了多种解决方案。

方案一：采用VPN联入内网后登入加密系统，适合可以通过互联网连接进入公司内网的情况；

方案二：采用软件Key证书在没有任何网络情况下进入加密系统；

方案三：采用硬件Key证书在没有任何网络情况下进入加密系统；使用硬件key的安全性要大于软件key；

具体来讲，对不同的用户，出差时候管控策略也可以不一致，一个用户，也可以在不同的场景下采用不同的策略；

策略可以包含如下：

1、为用户发放离线电子钥匙（硬件Key或者软件key），用户在没有网络的情形下使用该电子钥匙登录进入加密环境，对密文进行操作；说明：笔记本丢失后，拾遗者没有电子钥匙和登录口令将无法查看和处理密文；

软件离线证书可在证书过期后重新发放；

硬件离线证书在证书过期前可以将时间延长；

2、对使用烧录软件进行烧录的情况，将烧录软件管理策略定制在离线电子钥匙里面即可；这样，用户在进行代码编辑仍然可以进行，但需要将代码烧录到设备里面的时候则烧录时即会自动解密烧录进入PLC等设备，不需要现场进行任何解密操作；但这些代码文件单纯的使用U 盘（移动存储设备）拷贝出去的时候还可以是密文；

3、为部分用户提供3G上网卡，这些用户可以通过VPN方式登录进入防水墙服务器系统，像在公司局域网一样接受管控；在登录一次防水墙之后，只要用户不重启机器，安全策略就一直有效；

对出差员工的管理，因为不能做到实时有效的反馈需求，因此，离线管理是一种优选方案；同时，通过VPN提供远程登陆也是一种可以参考的方案；其次，通过对烧录软件的管理，也实现了安全和方便的要求；

部署结构：

Submitted By:I.T.

100Base-TX

专线

3.9 产品功能对文件解密申请管理的满足

密文发送给用户需要解密处理，密文解密需要通过审批流程互动；

文件的加密是处于防范泄密的需要，但企业也有数据解密的需要。

审批流程图

山丽防水墙提供了多种文件解密的方式，其中一种是使用电子钥匙由管理人员对文件进行解密, ，以用于特殊目的，比如大批量文件的解密等等。如图

发放解密工具

发放解密工具必须要对应工作站用户的电子钥匙，可以按用户发放也可以按工作站发放；区别在于给用户发放的可以在多台工作站上使用，给工作站发放的只能在一台工作站上使用。

很多数据加密软件厂商在综合型企业设置审批文件者往往都固定在一个人或者一个部门，随着企业不断发展壮大，公司内部业务越来越多，文件审批外用的申请也会随之增加，随时会有泄密的风险。

在管理方面，综合型企业具有跨地域、跨行业等特点，面临的管理问题更多，更为复杂

由于管理跨度大、层次多，综合型企业对下属公司的控制乏力。

由于信息不能及时、准确地收集和传递，导致集团决策滞后、市场反馈迟缓。

综合型企业的内网是一个信息点较为密集的高速网络系统，且网络中运行重要业务系统，如ERP、OA、财务等业务，有多个分支机构与主体相连。在如此庞大的树形结构中，审批管理的快速与方便显得尤为重要！

山丽网安在自身的审批管理模块中添加了审批流的技术创新概念。将公司业务流程如同生

产流水线般针对工作需求进行审批管理，这在信息安全行业可谓是首创！

山丽网安在自身产品设计上已经实现了串行审批、自动审批、委托审批。山丽网安开创的多级审批流程在原有基础上开创了4个全新的功能：

●平行审批：可同时设置两条或者以上平级审批人

此功能可以同时设置两个或者以上平级一审批人，当其中一条线的审批人不在公司时，另外一条线可以审批文件，这样就可以将文件传递下去，进行接下来的第二、第三人审批。同样的，我们也可以同时设置第二、第三审批人也为两人。

●单线审批：当某一层的审批人不在时，可设置此功能

两条不同的审批线，但最后的审批结果是一样的，是一个审批通道。单线效果：当其中一条线中的某个审批人不在时，第二条线的审批人就可以进行审批。例如，谁先看到有审批的文件就可以审批。当其中一条线审批不通过审批时，另外一条审批线还是可以根据自己的决定批准或者拒绝，即第二线审批人审批通过，那么文件就能进行使用，无需两条线同时进行审批。

●全线审批：根据文件的机密性来进行设置

全线也分为两条线进行审批，全线的重点在于审批的文件一定要全部审批人都通过审批才能使用。反之，如果其中一个人没有审批通过，那么就无法使用这个文件。这就是全线审批与单线审批的区别。单线是其中一条不通过审批，另外一条线可以通过审批。全线更能反映出企业机密文件的重要性。

全线审批，可以设置所有的审批人为并行，这个时候就是无顺序的会审效果，谁先拿到谁审批，全部审批才算通过。

●提审：根据需审批的文件的紧急程度来设置

高级权限的拥有者是整个公司的高机领导人员。当文件已经审批的情况下，此时最高领导人员看到了这个文件的紧急程度，可以把文件提前出来，进行审批通过。在高级领导人员审批通过的同时，无论是单线审批还是全线审批的审批成员都会收到消息，告知其他审批成员此文件已经审批通过，无需再次审批。

创建文件选择审批流

单线审批

全线审批

其中有任意一

组审批流通过

即可

通过

终止

其中所有审批

端通过才可转

入下一级

（例1）

通过

终止

通过

其中任意审批端

不通过则全线终

止（例2）

终止

审批模式示意图

山丽网安作为独领信息安全行业的翘楚企业，在山丽防水墙数据防泄漏系统的多模审批管理模块中不断创新，为广大企业用户开创新的管理理念！

3.10 产品功能对密文明送文件外发控制管理的满足

为了应对许多客户机器没有安装客户端的时候也想看到受限制的“密文”。“山丽防水墙数据防泄漏系统”可对外发到企业外部的机密文件进行控制，包括设置外发文件的生命周期，只读、打印等所有使用期限。“山丽网安”则将内部保护和外发保护无缝结合，一套系统即可解决两类问题，合力构建了一个全方位的文件权限体系。

也就是说：密文明送管理（俗称外发控制），可以实现：给客户一种特殊的明文，客户只能看，但看到时间、次数、打印、截屏、复制均被设置了管理限制；必要的时候，还会被限制在特定的电脑上才能打开；文件也可以设置用户无法破解的密码。

3.12 产品功能对文件权限管理的满足

山丽防水墙产品可以实现密文的权限管理，满足平级关系、上下级关系文档权限管理；产品可以实现对企业标准化文件的精细化管理，可以实现特定的标准化文件只能在特定的服务器上只读，不能修改，不能下载到本地可以读取；

对公司的管理方法，就是把一个个公司当作一个组来进行管理即可，组内的用户就是公司的员工。

文档权限管理示意图

按层级进行密级授权管理，不同密级的管理者拥有不同的管理权限，上级拥有查看下级文档的权限，下级无权查看上级文档，如需查看需经上级进行授权；可针对部门或不同使用人群设置不同密级，未经授权相互之间无法访问。

山丽防水墙的文档权限控制可以用户脚色之间的关系进行设置。设置之后，可以满足上级可以自由查看下级文件，下级无权查看上级文件，如需查看，需要上级进行许可。

在山丽防水墙系统中，文档的加密密钥是动态变化的，这一点可以从密文另存为相同几份密文后，在加密环境外打开密文内容不一样得到确认。

山丽防水墙的用户相邻可以查看彼此文件的关系就是通过PKI体系来管理的，而不是通过文件加密密钥实现。因为那样安全风险是非常大的。

3.12.1基于用户为脚色的文档权限控制

山丽防水墙的文档权限控制，可以基于脚色进行相互之间的关系设置，一旦设置之后，各个脚色新产生、原来的秘文均按照这种相邻关系进行约束；这些脚色可以是一个用户、一个用户组、一个部门、一个分公司等等。

基于脚色控制，完全不需要将这些文档预先上传到服务器上去追加权限，权限和文档处于的位置不需要预设限制条件。

设置用户平级脚色的共享关系图

设置用户的下级、上级、自我权限关系图

3.12.2基于文档为角色的自定义文档权限控制

在基于脚色之外，山丽防水墙的文档权限还可以设置给特定用户自行改变文档权限的能力，即自行设置权限文件夹，设置该文件夹的访问权限，当用户访问这些文件夹中文件的时候，将

校园网络安全防护解决方案

校园网安全防护解决方案

提纲
校园安全防护需求分析校园安全防护解决方案典型案例
https://www.sodocs.net/doc/5910620633.html,
2

职业院校网络面临的安全问题
出口网络问题：多出口，高带宽，网络结构复杂 P2P应用已经成为校园主流病毒、蠕虫传播成为最大安全隐患核心网络问题：缺少相应的安全防护手段无法对不同区域进行灵活的接入控制主机众多管理难度大数据中心问题：缺少带宽高高性能的防护方案无法提供有效的服务器防护数据中心网络资源有限但浪费严重用户认证问题：用户认证计费不准，不灵活无法针对用户进行有效的行为审计用户带宽滥用现象严重
https://www.sodocs.net/doc/5910620633.html,
3

挑战之一：不断增加的校园出口安全威胁
应用层威胁来势凶猛网页被篡改带宽总也不够服务器应用访问很慢
https://www.sodocs.net/doc/5910620633.html,
病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用，不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具！

挑战之二：业务系统集中后的数据中心安全
如何解决数据共享和海量存储的问题？资源静态配置数据增长迅猛访问量越大，性能越低，如何解决？大量并发访问性能无法保障
体系平台异构管理移植困难如何保障数据访问不受设备、时空限制？
招生科研财务关键信息无保护数据安全如何保障？
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.sodocs.net/doc/5910620633.html,
5

校园网安全防护解决方案

校园网安全防护解决方案随着校园网接入互联网以及其它各种应用的增多，校园网上的各种数据也急剧增加，我们在享受网络带来便利的同时，各种各样的安全问题也就开始困扰我们每一个网络管理人员，如何保证校园网不被攻击和破坏，已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案，使校园网能够有效应对网络应用带来的安全威胁和风险，以确保校园网系统的安全。一、校园网安全风险分析校园网络作为学校信息平台重要的基础设施，担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期，安全问题还不十分突出，但随着应用的深入，校园网上的各种数据也急剧增加，各种各样的安全问题也就开始困扰我们。对校园网来说，谁也无法保证其不受到攻击，不管攻击是有意的还是无意的，也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面： ⒈物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时，首先要考虑物理安全风险，它是整个网络系统安全的前提。物理安全风险有：设备被盗、被毁坏，线路老化或被有意或者无意的破坏，通过搭线窃取数据，电子辐射造成信息泄露，设备意外故障、停电，地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网，且接入了互联网，如何处理好校园网网络边界的安全问题，直接关系到整个校园网网络系统的稳定运行和安全可控；另一方面，由于校园网中使用到大量的交换机、路由器等网络设备，这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如，路由器口令泄露，路由表配置错误，ACL设置不当等均会

赛门铁克DLP数据防泄密方案2010

赛门铁克DLP数据防泄密方案文档编号：创建日期：2009-02-12 最后修改日期：2010-04-13 版本号：1.0.0

目录 1.设计思路 (1) 1.1.什么是数据防泄漏 (1) 1.2.机密信息的划分标准 (1) 1.2.1.基于权限 (1) 1.2.2.基于内容 (2) 1.3.全面的多层次防护 (2) 1.3.1.IT基础架构安全防护 (2) 1.3.2.数据防泄密 (2) 1.3.3.安全管理 (3) 1.4.首要解决大概率事件 (3) 2.数据防泄露技术介绍 (4) 2.1.概述 (4) 2.2.产品功能模块介绍 (5) 2.2.1.V ontu Enforce (5) 2.2.2.V ontu Network Monitor (5) 2.2.3.V ontu Network Prevent (5) 2.2.4.V ontu Endpoint Prevent (5) 2.2.5.V ontu Endpoint Discover (6) 2.2.6.V ontu Network Discover (6) 2.2.7.V ontu Network Protect (6) 3.数据防泄漏技术实现 (6) 3.1.定义企业机密信息：如何建立机密信息样本库 (7) 3.1.1.结构化数据：精确数据匹配 (7) 3.1.2.非结构化数据：索引文件匹配 (8) 3.1.3.补充：描述内容匹配 (8) 3.2.制定监视和防护策略 (9)

3.3.部署监视防护策略，检测敏感数据 (9) 3.3.1.网络DLP (10) 3.3.1.1.V ontu Network Monitor 的工作原理 (10) 3.3.1.2.V ontu Network Monitor 部署 (11) 3.3.1.3.V ontu Network Prevent 的工作原理和部署 (11) 3.3.1.3.1.V ontu Network Prevent for Email (12) 3.3.1.3.2.V ontu Network Prevent for Web (12) 3.3.2.端点DLP (13) 3.3.2.1.端点DLP架构 (13) 3.3.2.2.V ontu Endpoint Prevent 的工作原理 (14) 3.3.2.3.V ontu Endpoint Discover (15) 3.3.2.4.对网络和端点的影响 (16) 3.3.2.4.1.端点影响 (16) 3.3.2.4.2.网络影响 (16) 3.3.2.5.防篡改和安全性 (17) 3.3.3.存储DLP (17) 3.3.3.1.V ontu Network Discover 的工作原理 (17) 3.3.3.1.1.无代理 (18) 3.3.3.1.2.基于扫描程序 (18) 3.3.3.1.3.基于Windows 代理 (19) 3.3.3.2.玩网络 (19) 3.3.3.3.V ontu Network Protect 的工作原理 (19) 3.3.3.4.V ontu Storage DLP 部署 (20) 4.关于Gartner MQ (Magic Quadrant) (20) 4.1.赛门铁克DLP评估（摘自2008年6月的Gartner报告） (21) 4.2.什么是魔力象限(Magic Quadrant) (21)

数据泄露防护解决方案

数据泄露防护（DLP）解决方案以数据资产为焦点、数据泄露风险为驱动，依据用户数据特点（源代码、设计图纸、Office文档等）与具体应用场景（数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等），在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段，为用户提供针对性数据泄露防护整体解决方案，保障数据安全，防止数据泄露。其中包括：数据安全网关数据安全隔离桌面电子邮件数据安全防护 U盘外设数据安全防护笔记本涉密数据隔离安全保护系统笔记本电脑及移动办公安全文档数据外发控制安全 1、数据安全网关背景：如今，企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时，应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露，已成为信息安全建设的重点与难点。概述：数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成，全面实现ERP、OA、PLM等应用系统数据资产安全，保障应用系统中数据资产只能被合法用户合规使用，防止其泄露。

具体可实现如下效果：应用安全准入采用双向认证机制，保障终端以及服务器的真实性与合规性，防止数据资产泄露。非法终端用户禁止接入应用服务器，同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器，访问应用系统资源，不受限制；统一身份认证数据安全网关可与LDAP协议等用户认证系统无缝集成，对用户进行统一身份认证，并可进一步实现用户组织架构分级管理、角色管理等；下载加密上传解密下载时，对经过网关的文件自动透明加密，下载的文档将以密文保存在本地，防止其泄露；上传时对经过网关的文件自动透明解密，保障应用系统对文件的正常操作；提供黑白名单机制可依据实际管理需要，对用户使用权限做出具体规则限定，并以此为基础，提供白名单、黑名单等例外处理机制。如：对某些用户下载文档可不执行加密操作；提供丰富日志审计详细记录所有通过网关的用户访问应用系统的操作日志。包括：时间、服务器、客户端、传输文件名、传输方式等信息，并支持查询查看、导出、备份等操作；支持双机热备、负载均衡，并可与虹安DLP客户端协同使用，更大范围保护企业数据资产安全； 2、数据安全隔离桌面背景：保护敏感数据的重要性已不言而喻，但如何避免安全保护的“一刀切”模式（要么全保护、要么全不保护）？如何在安全保护的同时不影响外部网络与资源的正常访问？如何在安全保护的同时不损坏宝贵数据？概述：在终端中隔离出安全区用于保护敏感数据，并在保障安全区内敏感数据不被泄露的前提下，创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时，提升工作效率。具体可实现效果： 1）只保护安全区内敏感数据安全，其它数据不做处理； 2）通过身份认证后，方可进入安全区； 3）安全区内可直接通过安全桌面访问外部网络与资源； 4）安全区内敏感数据外发必须通过审核，数据不会通过网络、外设等途径外泄； 5）敏感数据不出安全区不受限制，数据进入安全区是否受限，由用户自定义；

视频监控数据安全防护系统解决方案

文档类型：文档编号：视频数据安全防护系统解决方案北京XX公司科技发展有限责任公司二O一二年五月

目录第一章项目背景............................................................................................................................... 第二章需求分析.. (5) 2.1需求分析............................................................................................................................ 2.2使用效果............................................................................................................................ 2.3管理手段............................................................................................................................ 第三章解决方案............................................................................................................................... 3.1系统体系原则.................................................................................................................... 3.1.1合理性 ............................................................................................................................ 3.1.2先进性 ............................................................................................................................ 3.1.3稳定性 ............................................................................................................................ 3.1.4健壮性 ............................................................................................................................ 3.1.5拓展性 ............................................................................................................................ 3.1.6易操作性 ........................................................................................................................ 3.2详细设计............................................................................................................................ 3.2.1方案概述 ........................................................................................................................ 3.2.2系统构成 ........................................................................................................................ 3.3方案功能模块.................................................................................................................... 3.3.1在线视频系统准入控制 ................................................................................................ 3.3.2视频存储数据下载管控 ................................................................................................ 3.4产品核心技术.................................................................................................................... 3.4.1文件级智能动态加解密技术 ........................................................................................ 3.4.2网络智能动态加解密技术 ............................................................................................ 3.4.3协议隧道加密技术 ........................................................................................................ 3.4.4终端自我保护技术 ........................................................................................................ 3.5方案管理应用功能基础 (16) 3.5.1透明动态加密 ................................................................................................................ 3.5.2通讯隧道加密 ................................................................................................................ 3.5.3终端强身份认证 ............................................................................................................

数据安全解决方案之企业防护墙

数据安全解决方案之企业防护墙撇开外部攻击的原因，信息时代企业内部本身也存在着很多潜在的数据安全隐患，而这种安全隐患需要针对性的数据安全解决方案才能化解。一个好的企业可以带领员工稳步的发展，过上更好的生活;而对于企业本身来说，它又是由众多员工组成的，是一个组织。但是身处信息时代的也会面临着意想不到的阻力，这个阻力来自一个名为“信息安全”的问题。一、信息是商机开始源头数据安全防护刻不容缓 (一) 企业内重要文件被非法拷贝走，给企业带来极大的损失。 (二) 缺乏基于角色的用户权限管理措施，企业内部因部门不同、员工级别不同，针对文件使用范围也不同。然而企业内部管理人员无法根据实际需求设置不同权限部门、员工使用不同的文件。 (三) 缺乏对文件的使用权限控制措施，企业内部文件甚至核心机密文件不能合理地设置不同使用权限，造成文件在企业内部的滥用，从而给企业核心机密外泄带来了隐患。 (四) 缺乏对文件有效的离线控制，企业内部常常面临信息外携使用、交互使用的需求，文件一旦外携出去将处于不可控状态，离线文件可以被随意编辑、复制、刻录、打印。 (五) 缺乏全面的日志审计，企业内部一旦发生机密信息外泄，管理者无法对外泄事件进行审计，不能为企业内部安全事件提供有力的追踪依据。

(六) 缺乏有效的备份机制，企业电脑一旦出现物理损坏或病毒感染等情况，存储在电脑上的文档很有可能无法恢复。 (七) 缺乏防范企业内部员工主动泄密的措施，企业内部员工因工作需要常使用电子邮件、QQ 等工具，员工能随意将企业内部文件拷贝、复制、粘贴到QQ上，给企业数据安全造成巨大隐患。二、致得E6协同文档管理系统文档安全控制方案 (一) 文档的加密存储支持开启加密存储，系统自动将服务器文件转换为加密形式存储。自动加密企业核心资料文件，加密的文件即使拷贝出去，也无法正常打开，确保信息安全。此安全防扩散泄密机制，有效防止机密外泄充分保证了数据安全。 (二) 目录与文件权限管理支持针对目录进行权限管理。例如，设置【销售部文档】的浏览权，只能查看该目录无法对其进行任何操作。支持针对文件进行权限管理。例如，如果您不想某个用户对您编辑过的文档进行修改，可以将其锁定，只有解锁后方可修改。支持同时为部门及用户分配不同的权限支持为整个部门授予指定权限。例如，让销售部全体对【通知公告】目录具有浏览和阅读权。

亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点

按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6 北京亿赛通科技发展有限责任公司 2010 年 8 月亿赛通科技 ANISEC 产品白皮书 V1.6 版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产品白皮书。文中的资料、说明等相关内容归北京亿赛通科技发展有限责任公司所有。本文中的任何部分未经北京亿赛通科技发展有限责任公司（以下简称“亿赛通” ）许可，不得转印、影印或复印。支持信息感谢您关注亿赛通数据泄露防护产品！公司地址：北京市海淀区上地信息路 10 号南天大厦 2 层邮编：100085 亿赛通客服中心：电话：400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以及产品的报价等信息，请您查阅我公司网站： https://www.sodocs.net/doc/5910620633.html, 亿赛通科技北京亿赛通科技发展有限责任公司亿赛通科技 ANISEC 产品白皮书 V1.6 目录第 1 章亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块（full-disk encryption，FDE 模块） .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管

网站安全防护解决方案

网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，2/3的WEB网站都相当脆弱，易受攻击。据美国国防部统计，每1000行Web 代码中存在5~15个漏洞，而修补一个漏洞通常需要2~9小时。根据CNCERT的最新统计数据，2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个，同比增长1.5倍;其中政府网站(https://www.sodocs.net/doc/5910620633.html,)被篡改3407个，占大陆被篡改网站的7%。CNCERT统计显示，大陆地区约有4.3万个IP地址主机被植入木马，约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。因此，对于影响力强和受众多的门户网站，需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。政府门户网站的潜在风险政府门户网站因需要被公众访问而暴露于因特网上，容易成为黑客的攻击目标。其中，黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的，而这类事件对公众产生的负面影响又是非常严重的，即：政府形象受损、信息传达失准，甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击，而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上，它们无法有效阻止网页篡改事件发生。目前，政府门户网站常因以下安全漏洞及配置问题，而引发网页信息被篡改、入侵等安全事件：

1. 网站数据库账号管理不规范，如：使用默认管理帐号(admin，root，manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，存在安全隐患，如SQL注入，上传漏洞，脚本跨站执行等; 3. WEB服务器配置不当，系统本身安全策略设置存在缺陷，可导致门户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵的安全问题等。政府门户网站安全防护解决方案根据目前政府门户网站可能存在的安全隐患及风险，给政府门户网站提出如下安全防护解决方案：在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙，并在Web防火墙上实施以下安全策略： l 对政府门户网站及网上系统进行全面的安全防护，过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏，避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能，避免恶意篡改页面;

信息安全防护方案(初稿)

编号：密级： 1. 概要项目名称：计划日期：客户方项目负责人信息安全防护方案一期实施计划书 xxx 有限公司二〇一六年十一月

软件实施人员: 实施规划书重要说明： 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施培训工作提供指导性的文件，以便使该项目的实施工作更有计划性与条理性； 2.实施日程的具体计划，xxx 有限公司将在软件购销及服务协议签署之后做详细调研（不超过3 个工作日）后提供，经双方负责人同意确认之后，严格执行；xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际项目实施结案时间超过本实施规划十个工作日。过此期限，导致实施结案延误，其责任归软件公司自行承担；xxx 有限公司必须就此南京交通厅信息安全防护实际实施完毕并得到客户方确认方可结案； 3.本实施规划书是一份对双方均有约束力的一份文件，对双方的工作内容有明确的规定，请详细阅读，各步骤完成之后需相关人员签字确认，将作为项目结案文档重要文件，作为实施进度及工作评估的最重要依据，并成为xxx 有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。

2. 问题阐述 2.1数据安全通常，机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为, 是各类机构面临的一个关键问题。 2.2日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3服务器异地备份 1、服务器异常 2、网络节点异常

信息安全数据泄漏防护DLP解决的方案

信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS

目录信息安全数据泄露防护DLP解决方案 (1) 一、概述 (3) 1.背景 (3) 2.数据泄露防护技术DLP (3) 二、解决方案 (4) 1.目标 (4) 2.分析信息外泄的途径 (4) 3.DLP防护指导思想 (5) 4.信息安全的特点和保护策略 (6) 三、产品功能介绍 (7) 1.Windows数据防丢失子系统功能列表 (7) 2.Linux数据防丢失子系统功能列表 (10) 3.安全网关子系统功能列表 (11) 四、产品规格 (12) 1.Windows系统支持规格 (12) 2.Linux系统支持规格 (13) 3.Windows 加密与Linux加密兼容 (13) 五、产品技术 (13) 1. Windows文件加密系统优势 (13) 六、项目实施 (15) 1.确认可信域 (15) 2.信息安全评估 (15) 3.选择部署策略 (15) 4.软件实施过程 (16)

一、概述 1.背景有一农户在杀鸡前的晚上喂鸡，不经意地说：快吃吧，这是你最后一顿！第二日，见鸡已躺倒并留遗书：爷已吃老鼠药，你们别想吃爷了，爷他妈也不是好惹的。当对手知道了你的决定之后，就能做出对自己最有利的决定。——纳什均衡理论所以加强信息内容安全的管理很重要。当今信息技术高度发达，人们早已习惯了用电子化平台获取信息，企业的数据、信息以电子档案形式处理，传输，存储已成主流。但是信息化就像一把双刃剑，给企业运营带来极大便利的同时，也相应地存在安全隐患。威胁企业信息安全的方式多种多样，计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误，甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全，一方面是要加强内部管理，提高人员道德修养和技术水平，防止内部泄密或者因技术水准不高而引发的失误性损害；另一方面是加强信息技术软硬件建设，做好信息安全防护工作。实际上，随着信息化发展，企业的信息安全管理开始重视，可是相关调查显示，多数企业并未设立专业的信息管理团队，因此信息安全形势不容乐观。一旦信息被破坏或泄露，要挽回损失，将面临取证困难和法律规范将是两大难点。因此，企业建立完备的信息安全体系势在必行。 2.数据泄露防护技术DLP 信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵，但是事实上90%以上的信息泄密事件源于企业内部，针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护，DLP的是由内而外的信息安全防护，两者相辅相成，一起构筑了企业的信息安全环境。

数据库安全防护用数据防泄漏系统的制作方法

图片简介: 本技术介绍了一种数据库安全防护用数据防泄漏系统，属于大数据管理技术领域，包括用户层、服务层、应用层和数据层；所述用户层通过提供web浏览器作为交互界面，使用户和所述服务层之间进行数据交互；所述服务层包括数据智能分类模块和入侵防护模块，通过所述智能分类模块将所述用户层上传的数据进行分类，通过所述入侵防护模块对交互的场景进行保护；所述应用层为该数据防泄漏系统核心功能层，包括数据保护模块、文档安全模块和事件溯源模块；所述数据层用于为该数据防泄漏系统提供硬件支持。通过服务层对数据库和用户的交互进行安全防护，应用层对文件进行安全防护，从而对数据上传、交互和自身安全进行全面保护，使数据使用更加安全。技术要求 1.一种数据库安全防护用数据防泄漏系统，其特征在于：包括用户层、服务层、应用层和数据层；所述用户层通过提供web浏览器作为交互界面，使用户和所述服务层之间进行数据交互；所述服务层包括数据智能分类模块和入侵防护模块，通过所述智能分类模块将所述用户层上传的数据进行分类，通过所述入侵防护模块对交互的场景进行保护；所述应用层为该数据防泄漏系统核心功能层，包括数据保护模块、文档安全模块和事件溯源模块；所述数据层用于为该数据防泄漏系统提供硬件支持。

2.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述数据智能分类模块包括文件内容识别分类、文件压缩识别分类、文件嵌套识别分类、关键词匹配识别分类、文件智能打标分类和OCR图像识别分类。 3.根据权利要求2所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述入侵防护模块包括防火墙管理、邮件安全管理和磁盘定期杀毒。 4.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述数据保护模块包括网络DLP、终端DLP和邮件DLP，通过网络DLP对通过网络交互的流量数据进行内容扫描和安全防护，通过终端DLP对终端使用监控，通过邮件DPL对邮件交互的数据进行内容扫描和安全防护。 5.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述文档安全模块包括智能加密、权限管理和外发控制，通过智能加密对包含敏感数据的文件进行加密，通过权限管理对访问该文件的用户进行管理，通过外发控制对文件转发进行管控。 6.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述事件溯源模块包括文件溯源、事件日志和事件取证，通过文件溯源对文件的流动进行追溯，通过事件日志记录每次访问文件的操作日志，通过事件取证对发生泄露的事件进行记录。 7.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统，其特征在于：所述数据层包括文件服务器、数据存储服务器和web服务器。技术说明书一种数据库安全防护用数据防泄漏系统技术领域本技术涉及大数据管理技术领域，特别涉及一种数据库安全防护用数据防泄漏系统。背景技术当前，全球大数据产业正值活跃发展期，技术演进和应用创新并行加速推进，非关系型数据库、分布式并行计算以及机器学习、深度挖掘等新型数据存储、计算和分析关键技术应运而生并快速演进，大数据挖掘分析在电信、互联网、金融、交通、医疗等行业创造商业价值和应用价值的同时，开始向传统第一、第二产业传导渗透，大数据逐步成为国家基础战略资源和社会基础生产要素。

企业数据安全,防泄密解决方案

技术白皮书苏州深信达2013年10月

目录第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅，隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器，和软件类型无关，文件类型无关 (13) 3.2能和文件共享服务器，应用服务器无缝结合 (13) 3.3安全稳定，不破坏数据 (13) 3.4使用便利，操作机密数据的同时，可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端（可以和机密端装在一起） (15) 4.2 机密端（可以和管理端装在一起） (15) 4.3 外发审核服务器（可以和管理端装在一起） (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一：透明加密技术发展 (17) 附录二：SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。

云安全等保防护解决方案

概述随着美国棱镜门事件以来，信息安全受到越来越多的国家和企业的重视，特别是今年从国家层面成立了网络安全与信息化领导小组，因此就某种程度而言，2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看，主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组，强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查，通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看，随着愈演愈烈各种的信息泄密事件、大热的APT攻击等，大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”，尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码，并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看，我们了解了很多的云计算用户或潜在的云计算用户，用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本，其中首要考虑的是安全。因为由于云服务模式的应用，云用户的业务数据都在云端，因此用户就担心自己的隐私数据会不会被其他人看到，数据会不会被篡改，云用户的业务中断了影响收益怎么办，云计算服务商声称的各种安全措施是否有、能否真正起作用等，云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究综上所述，用户在选择云计算的时候首先会考虑安全性，对普通用户来说，云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本

DLPGP数据防泄密解决方案

密级：商业秘密文档编号： XX集团数据防泄密解决方案技术建议书专供 XX集团 2013年11月2013年11月4日尊敬的XX集团用户，您好！赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者，可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案，从而帮助我们的客户提前预防新出现的威胁。另外，我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险，从而帮助客户保护他们的基础架构、信息和交互。赛门铁克致力于： ?与您携手合作，共同打造一个全面且可持续的解决方案，从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议，从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问，请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持，也请尽管告诉我。我期待着与您合作，并为这个重要项目的成功而尽力。

保密声明与用途本产品技术方案包含“保密信息”（如下定义）。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和（或）服务的相关。本产品技术方案专向XX集团（以下简称“您”或“您的”）提供，因为赛门铁克认为“您”与赛门铁克公司（以下简称“赛门铁克”）达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误，对于此类信息中的任何错误或疏漏，赛门铁克不承担责任，并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议，但“您”阅读赛门铁克建议书即表明，在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内，包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息，无论书面还是口头形式（以下简称“保密信息”）， “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”，除非因需知晓该信息而必须提供，但必须遵守此类“保密信息”使用的管理条款与条件，而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件，且在任何情况下绝不低于合理的商业保护。本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有，未经赛门铁克事先书面许可，不得拷贝、复制或分发。赛门铁克提供本产品技术方案，但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图，除非“您”已经获得赛门铁克的事先书面许可，否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。一经请求即可提供此处所述产品使用和（或）服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents 1 概述.......................................................................................................................................................... 1.1项目背景 ........................................................................................................................................... 1.2 XX集团信息安全项目目标............................................................................................................. 1.3 术语解释........................................................................................................................................... 2XX集团信息安全项目需求及实现......................................................................................................... 2.1 XX集团信息安全涉密信息分级控管需求与实现......................................................................... 2.1.1分阶段推进方法 ........................................................................................................................ 2.1.2 管理要求建议 ............................................................................................................................ 2.1.3 人员岗位建议 ............................................................................................................................ 2.1.3 管理流程建议 ...........................................................................................................................

银行业数据防泄密平台方案建议书

校园网络安全防护解决方案

校园网安全防护解决方案

赛门铁克DLP数据防泄密方案2010

数据泄露防护解决方案

视频监控数据安全防护系统解决方案

数据安全解决方案之企业防护墙

亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点

网站安全防护解决方案

信息安全防护方案(初稿)

信息安全数据泄漏防护DLP解决的方案

数据库安全防护用数据防泄漏系统的制作方法

企业数据安全,防泄密解决方案

云安全等保防护解决方案

DLPGP数据防泄密解决方案

相关文档

最新文档