数据安全防护整体解决方案预案.docx

迪瑞数据安全整体解决方案目录一. 信息安全现状11.1 信息安全现状11.2 数据安全防护的必要性11.2.1 终端电脑数据泄漏风险11.2.2 网络渠道数据泄漏威胁21.2.3 结构化数据安全被忽略21.2.4 安全管理面临的挑战31.3 建设目标3二. 需求分析42.1 终端敏感数据监控42.2 网络敏感数据泄漏监控52.3 智能加密管理52.4 数据库安全管理52.5 安全管理分析6三. 现状及风险分析73.1 核心业务描述73.1.1 电子图纸生产过程安全73.1.2 电子图纸内部传播安全83.1.3 电子图纸外协安全控制83.1.4 产品管理平台离线文件安全93.1.5 移动设备存储安全控制103.1.6 脱网办公图纸内容安全103.1.7 数据库结构化数据安全113.2 安全现状及风险113.2.1 数据风险113.2.2 人员风险123.2.3 管理风险13四. 整体解决方案144.1 方案设计原则144.2 系统构成单元154.2.1 DLP服务器154.2.2 DLP网络监控服务器部署164.2.3 加解密服务器164.2.4 AD域服务器164.2.5 客户端164.2.6 数据库审计174.2.7 数据库防火墙174.3 方案整体功能介绍174.3.1 敏感信息发现、定位能力174.3.2 终端泄漏防护功能194.3.3 网络泄露监控功能204.3.4 文件扫描功能214.3.5 文件透明加密234.3.6 文件权限管控234.3.7 内容安全控制244.3.8 加密文件外发254.3.9 打印审计控制264.3.10 流程审批264.3.11 邮件监控274.3.12 脱机离线控制284.3.13 数据备份294.3.14 移动客户端--回家办公304.3.15 全磁盘加密304.3.16 事件审计功能324.3.17 数据库操作行为全程审计334.3.18 数据库自身安全防护344.4 方案核心技术364.4.1 精确数据匹配364.4.2 索引文件匹配364.4.3 文件内容匹配374.4.4 文件级智能动态加解密技术384.4.5 设备过滤驱动技术394.4.6 数据库全协议解析技术394.4.7 数据库操作准确关联应用用户394.4.8 数据库审计快速处理日志信息404.4.9 数据库审计节省日志存储空间40五. 方案优势总结40六. 建设清单42信息安全现状信息安全现状随着计算机、互联网以及企业信息化建设的深入，企业的绝大多数非结构化数据是以电子文件的形式被管理和存储，信息化使企业信息的生产、存储、获取、共享和传播更加便利。与此同时，非常重要需要保护的内部研发技术文件、自主知识产权文件等，伴随网络和办公设备的自由使用却因为缺乏有效的信息安全管理机制造成保密信息泄漏，给企业信息安全带来更多的威胁；与此同时，数据库系统是任何单位和组织最具有战略性的资产，通常都保存着重要的单位机密信息和客户信息，这些结构化数据也需要被保护起来，以防止竞争者和其他非法者获取。信息技术的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息这类结构化数据、资产面临严峻的挑战。企业内部信息安全问题日益严重，信息系统的数据安全成为信息科技建设的重中之重。数据安全防护的必要性随着企业信息化的建设和不断深化，创造价值的同时也给企业的数据安全引入了新的风险。企业关注的数据安全可分为结构化数据和非结构化数据两大类别。常见的非结构化数据有：内部研发技术文件、自主知识产权文件，运营资料，财务、人资资料等；结构化数据通常泛指存放在数据库里面的数据。当前企业面临大量的由于自由使用并且缺乏有效的信息安全管控造成保密信息泄漏，给企业信息安全带来更多的威胁，数据的安全已是目前急需解决的问题。具体的数据泄露风险可以总结为以下几个方面：终端电脑数据泄漏风险企业的研发源代码，财务、政券信息，运营资料，人资等敏感数据以不同的文件形式存在于每个人的终端电脑及SVN服务器中，很难准确定位和分析发现。用户可因无意识行为，或有意识行为将终端的文件通过打印，共享文件，QQ传送，U盘拷贝，硬盘对拷，光盘刻录等多种应用程序方式进行传播，造成数据的泄漏。仅限公司或部门内部流传的机密文件被散发至约束范围以外。对于存在大量用户电脑里的敏感文件不了解，没有预知、准备。重要文件由于需求被外发后，无法进行控制，会超出原本设定的流动限制。外部人员通过自带电脑，连接公司内部SVN服务器进行敏感数据下载。数据若发生泄漏，造成事故后，无法进行查找、追溯。终端层面的数据保护往往面临着难以想象的复杂性，给管理和配置带来一定难度，一定程度上造成数据保护产品的使用效果难以保证。网络渠道数据泄漏威胁企业内部的敏感数据除了可通过终端的打印、拷贝、刻录等途径进行外泄外，还可以通