军工行业数据泄露防护解决方案
军工行业背景
随着我国综合国力和国防地位的提高,军工企业的实力不断增强,境内外敌对势力将目标对准了军工企业生产、科研、开发、规划和发展等方面的情报,军工企业信息安全保密工作形势十分严峻,失泄密事件时有发生,防范工作任务艰巨。
2000年7月某日凌晨。某军工集团一技术中心3台微机被盗,其余2台被拆,内存条、硬盘被盗走。经初步清查,被盗微机内存有涉及军工产品的秘密级文件20余份。
2002年,涉密人员李某在北京某饭店参加全国某系统内部会议,中途出去接电话时,将正在使用的存有机密级工程项目资料的笔记本电脑随意放在会议室内的座位上。几分钟后,李某打完电话回来,发现笔记本电脑丢失,造成泄密。
2007年和2008年,两名年轻的涉密人员原系某军工集团下属单位员工,因经不起金钱的诱惑,非法向境外情报机关提供国家秘密,被国家安全部门抓捕。一个为“70后”,一个为“80后”。泄密途径主要为光盘刻录、复印、计算机截屏以及邮件等。
2009年,一个参与中国海军潜艇科研项目的军工科研所发生了重大泄密事件。多份保密资料和文件,甚至一些关键材料的绝密技术资料,都落入境外情报机关之手。在这起事件中,该间谍通过发送伪造官方邮件并暗藏木马程序后,在工作人员点击后就迅速控制了该电脑盗取绝密资料。
军工行业数据泄密风险分析
1. 黑客、病毒攻击一直是军工行业重点关注的问题,一旦外围防线被攻破,如果数据本身没有任何加密保护措施,敏感数据泄密的可能性极大;
2. 计算机终端USB外设端口,必须要进行控制,允许合法接入的畅通,同时也要严密防止非法接入;
3. 存储介质泄密隐患。存储设备防泄密管理主要集中各种计算机硬盘、移动硬盘、U盘的外带、遗失、被盗等防泄密管理;
4. 安全软件与军工企业系统内的指挥中心系统、业务信息系统和办公OA系统等应用平台结合的问题;
5. 移动无线通讯设备的不断普及,给军工行业敏感数据泄密带来更多的途径;
6. 不同的级别,文件访问权限应不同,访问权限控制问题;
7. 与外部单位之间往来的外发文件,管控不当,容易造成泄密;
8. 出差时笔记本丢失、被盗等引起的泄密。
军工行业DLP解决方案
根据《涉及国家秘密的信息系统分级保护技术要求》和 《计算机信息系统等级保护技术要求》等技术要求,大力发展系统保密技术,加强信息系统安全,提高与信息安全风险相抗衡的能力,堵塞泄密漏洞,已经成为国防信息化建设中越来越重要的一个环节。
虹安DLP以敏感数据为焦点,风险为驱动,融合文档安全、U盘外设安全、应用系统安全、文档外发安全、移动办公安全形成贯穿数据产生、存储、使用、传输、销毁全生命周期的整体性数据泄密防护体系。
文档安全
虹安对文档本身进行内核级透明加解密,并与密级、用户,依据业务流程与管理模式构建起安全权限规则,安全控制文档使用、分发。对创建于终端、分布在流程、终端与网络的文档,进行存储、使用、传输全生命周期防护。
文档外发安全
虹安外发文件控制,通过身份认证,确保外发文件使用者的真实性。通过透明加密,对外发文件进行透明加密,确保没有通过身份认证,无法使用外发文件。通过权限控制,对外发文件的使用权限进行细粒度控制,比如使用时间及次数、是否可打印、编辑、截屏、自动销毁等,确保外发文件使用者合法权限符合最小化原则。通过安全审计,详细记录所有用户的文件外发操作日志,包括:程序名、日期、时间、进行了何种操作、文件名称等详细信息,泄密事件发生后可追溯。
U盘外设安全
外设管理系统对计算机上各类外设进行统一管理,采用访问控制、数据加密和安全审计等手段、针对每一类的外设设置细粒度使用权限以及启用、禁用等控制策略,精确区别U盘、移动硬盘、鼠标、打印机等不同接口设备。
应用系统安全
虹安提供嵌入式安全套件,通过标准接口,能与军工行业各种应用系统无缝结合,如OA/ERP系统,为应用系统提供文件加密流转、加密存储、签名和电子印章等安全保密措施,支持各种认证系统(AD、CA等)。
移动办公安全
过系统虚拟化隔离,创建虚拟安全桌面,构建虚拟隔离的网络、应用、存储环境,配合文件日志审计、磁盘分区加密,将移动办公全过程纳入到安全的环境下进行。并对移动终端采用硬件USBKEY进行身份识别,加固登陆安全。
军工行业DLP解决方案特点
全面防护
以敏感数据为焦点,风险为驱动,对应用系统安全、文档安全、u盘外设安全、外发文件安全、移动办公安全,进行系统性全生命周期防护。
安全稳定
♦ 可采用USBKEY或软证书等多种形式进行身份认证,在KEY意外损坏时可及时通过后台设定,改用软证书登陆,不影响工作。
♦ 高强度加密支持256位密钥,支持国内领先算法:DES、3DES、AES等;
♦ 可按业务流程与管理模式进行细粒度动态授权;
♦ 安全审计所有数据外发行为、可追溯;
♦ 支持数据异地备份。
便于安装部署
♦ 支持同级、多级部署、双机热备、负载均衡;
♦ 支持单点登陆与AD域;
♦ 采用主动推送方式安装客户端;
♦ 采用统一DLP平台服务端,集中进行策管理、密钥管理、安全审计等等;
♦ 率先支持Windows32位、Windows64位系统、安卓;
♦ 不改变原有网络结构,不影响原有业务流程与管理模式。