0公司数据泄漏防护(DLP)项目技术建议方案.docVIP

济南兰光机电有限公司 数据泄漏防护(DLP)项目 技术方案建议书 目录 第1章 项目概述 6 1.1项目背景 6 1.2信息现状分析 6 1.3建设目标 6 第2章 技术解决方案 8 2.1设计思路 8 2.1.1.基本要求 8 2.1.2.内部使用 8 2.2应用框架图 8 2.3应用方案 9 2.3.4系统架构规划 12 2.3.5系统功能特点 13 2.3.6实施影响评估 15 第3章 项目实施建议 19 3.1 项目实施计划 19 3.2 项目管理 26 3.3 项目实施分工协调 28 第章Internet高速发展的背景下，企业信息化也得到了空前的繁荣。随着信息时代的来临和信息化产业的成熟，企业也越来越重视自身信息化的发展，提高公司的管理能力、工作效率。但Internet是一个开放的网络，企业在享受它带来便利的同时，也对企业带来了网络安全问题。为提高内部信息管理的安全性，实现文档内容流转安全可控，能有效防止文件的扩散和外泄，需要建立一套完善的电子文档安全管理系统，即对于公司内部电子文档，就其使用范围、用户权限、用户操作、文件流转进行控制管理，以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散，又支持公司知识积累和文件共享的目的。 ?1.2信息现状分析 ? 目前济南兰光机电有限公司核心信息均以明文方式存储于各终端和应用系统中，并根据业务需要，通过业务平台、网络、便携终端(笔记本)等进行数据传递、存储和使用。 从数据形态上 核心信息在全生命周期过程中均为明文电子文档形式存储，存在轻易复制性和不可完整追溯性问题； 明文信息在业务流转过程中，体现的归属权不清晰问题； 因业务需要，将核心信息发出内部环境使用导致的信息安全问题； 从安全意识上 核心信息通过邮件、业务平台误发送泄密问题； 核心信息未按标准流程和保密归档随意传递给外部泄密问题； 竞争对手、黑客通过欺骗、仿冒或其他途径恶意窃取核心信息泄密问题。 从忠诚度上 内部员工为了商业目的，违反保密规定主动泄漏核心信息引起的泄密隐患。 1.3建设目标 本方案是为构建济南兰光机电有限公司数据泄漏防护平台，基于亿赛通数据泄漏防护产品提出的技术方案与设想。方案中将针对客户关注的文档安全性、便捷性制定一整套功能完备的解决方案，防止信息外泄。 通过导入信息加密管理和权限控制，实现以下重要目标： ①文件加密。对文档进高强度加密和对使用者透明解密。实现盗走了，拿走了，没法用；操作简单，应用方便，现场无痕； ②权限控管。各组织、部门、使用者按实际需求，合理的权限利用； ③应用灵活。根据业务实际情况进行结合、使对文档灵活的管理。达到“多方适应，技管结合，兼顾现状”的系统应用机制； 审计报表。实现对身份、操作行为的完整记录、报表分析与查询，以便审计； 作为国内信息安全领军厂商，亿赛通结合自身8年的软件研发应用和国内30万以上终端用户实施服务经验的基础上，结合有关制度、管理体系和应用模式，为曙光集团倾力打造数据泄漏防护系统，采用了自主研发的文档安全管理系统，将透明加密、权限管理、文档安全防护、日志审计等技术完美地结合在一起，有效防范数据泄密。  第2章 技术解决方案 2.1设计思路 通过对核心信息进行现状分析和风险评估，形成DLP方案总体设计思路。 2.1.1.基本要求 对核心文档进行全生命周期保护； 核心文档只能在受控范围内被指定授权人员使用，非授权用户不能篡改文档内容，不能随意打印，不能随意拷贝，不能截屏，未授权外带禁止使用； 核心文档受控后，文档所有使用行为均可审计； 不改变研发用户原有工作习惯、不增加用户工作负担、不限制用户的正常操作行为，在保证用户原有业务模式的情况下，不影响用户的工作效率，让用户在安全的环境中无感知的处理各种研发业务。 2.1.2.内部使用 用户使用文档完全透明，不影响其日常操作。可对内部核心数据进行细粒化权限控制，防止核心文档在内部随意扩散。 2.2应用框架图 为了实现对核心研发数据的全生命周期保护，DLP方案将从数据源头开展控制，通过数据加密来实现安全防护，策略应用效果如下图所示： 图2.1 策略应用框架图 主要策略应用如下： 透明加密：实现对核心数据的强制加密和透明使用，如对OFFICE文档、PDF文档、结构图（二三维图纸）等进行加密防护； 解密审批：实现明文外发需求业务支撑； 离线审批：实现离线办公需求业务支撑； 内容控制：实现对明文内容的安全防护，如内容复制粘贴、拷屏、打印、拖拽等。 2.3应用方案 文档透明加密系统 采用文件过滤驱动技术，通过实时拦截文件系统的读/写请求，对文件进行动态跟踪和透明加/解密处理。加密的安全性主要取决为加密算法和密钥强度，目前采用的加密算法为RC4，密钥长度最大可达512位，完全可以满足企业级用户