现状/问题
经调查统计,造成信息泄密的途径可能有:
1)内部人员通过SMTP、POP3、WebMail、FTP、PSTN等方式使用网络,有意或者无意将企业内部敏感信息或涉密信息传送到外部造成失泄密;
2)内部人员非法窃取公司技术资料或敏感信息;
3)内部人员使用互联网传送秘密信息时被窃取;
4)在互联网上,利用特洛伊木马技术,对网络进行控制,如BO、BO2000;
5)为了使用的便利,现代的计算机提供了大量的、各式各样的外设接口。而这些外设接口都可能是造成信息泄漏的途径。这些外设接口有:USB接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器等等;
6)通过打印机打印文件所造成的信息失泄密也不能忽视。将打印的文件通过纸质形式带出,也会造成一些机密、秘密文件的外传泄漏;
7)通过笔记本计算机联入现有网络环境进行访问复制,而造成泄密;
8)越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,
大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里;
实施对象:
涉及公司各类部门员工,所需的客户节点多,管理复杂,解密工作较多,需要使用可控密文外发管理流程系统进行解密操作。
实施目标:
保存企业机密的电子文件在全生命周期始终都是受保护的。
受保护的电子文件只在DG办公环境内部的计算机上可用,在其他计算机上不可用。
在DG安全环境下,DG服务能够在后台监控和辅助应用程序(如Word、各种CAD软件等)不需要解除保护就直接操作文件;如果把文件拷贝到DG安全环境外,没有DG服务的帮助,应用程序就无法处理文件。
DG能够全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
DG服务器管理员在服务器上能够实时监控作为部门服务器的管理机的工作状态和配置管理机的功能授权,并且汇总、审计管理机上的操作日志,及时发现系统安全隐患。
DG管理机管理员在管理机上能够实时监控客户机上安全服务的工作状态和配置客户机的功能授权,及时发现文件安全隐患。
DG系统提供分部门策略,可以设定不同部门之间的加密策略不一样,有效控制企业内部各部门之间文件的交互。
DG提供完善的外发系统,企业内部的文件外发时,需要经过严格的内部审批流程,同时可以控制外发文件的生命周期和操作权限。
DG提供功能强大的打印管理系统,管理用户打印行为,监控用户打印记录,控制公司打印成本。
实施路线:
1、根据企业安全需求,确定涉密软件类型、涉密操作控制等,提交实施顾问。
2、实施工作组展开实施培训,确定实施人员及实施步骤;
3、实施工作组根据调研、培训结果,进入全面实施阶段,
4、全部实施完成后,进行小范围策略推行测试,观察策略是否符合企业加密需求;
5、小范围策略运行结果双方通过后,将策略全面推行,进入正式运行阶段;
6、在正式运行阶段,实施工作组进行使用、调试、维护的培训;
7、根据计划进行实施验收。
实施方案:
实施的DG文档加密系统由:DG服务器、DG管理机、DG客户机、DG外发审批流程管理服务器、DG外发申请端、审批端组成。 图1 DG系统架构图 图表2 DG文件外发原理图 图表 3 打印安全管理系统原理图 实施效果:
降低终端文档安全风险
降低服务器文档安全风险
降低文档外发风险
降低文档打印泄密风险和打印成本
|