数据泄漏防护解决方案2-.docVIP

数据泄漏防护项目解决方案 北京亿赛通科技发展有限责任公司 PAGE 15 / NUMPAGES 41 深圳市XXXX设备有限公司 数据泄漏防护项目解决方案 北京亿赛通科技发展有限责任公司 2012-11-2 现状及风险分析 安全现状及风险 随着深圳市XXXX有限公司 的高速发展和信息化工作的推进，越来越多的公司涉密文档以电子化的形式流转，一方面极大的提高了工作效率，另一方面也令泄密风险俱增，这些文档一旦失控，损失将会难以估计。而深圳市XX机械设备有限公司 现有的涉密数据管理仍然集中在存储环节，流通环节则缺乏有效监管，无论是在公司内部还是外部，分发出去之后的文档没有得到全程控制，形成相当严重的安全隐患,建立一个架构于全集团的数据泄漏防护体系已经成为一个非常关键和迫切的任务。 由于目前深圳市XX机械设备有限公司 的所有技术研发、设计、归档管理的资料均无形成适合整个集团的整体防护手段，在公司OA系统、知识管理平台等内存储流通的重要信息文档，因其电子文档的不可回收性，无法控制文件的回收以及失效，从而存在借阅后非法扩散的风险；造成深圳市XX机械设备有限公司 在核心数据资产的使用、传输、保管、销毁的过程中存在较多安全风险，同时也加大了信息安全管理工作的难度；通过对深圳市XX机械设备有限公司 现有信息资产进行安全评估，潜在风险统计如下： 数据风险 核心数据以明文方式分散储存，难于管理； 核心数据传输环节有较多合法或非法的输出途径且无法有效监管； 核心数据授权带离企业内部环境后面临外部扩散泄密风险； 人员离职时可以将数据资产带离公司环境，造成损失； 各类数据存储设备及介质由于使用、管理及处置不当引发的泄密风险等； 特殊研发场景需开放网络及USB等端口使用权限（如调试、仿真、烧录等），权限一旦开放将存在重大数据泄密隐患等。 人员风险 信息泄密事件的发生大多数和人密切相关，泄密的途径和方式也多种多样，可概括为如下三方面： 主动泄密隐患 主动泄密已经成为当前企业信息安全的首要问题，据报告数据显示，目前泄密事件78.9％的损失都是由内部人员主动泄密导致。目前企业面临的主动泄密隐患包括： 将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录)； 越权访问非授权数据泄密； 盗用他人账号及设备非法访问数据泄密； 伙同他人实现敏感数据跨安全域转移泄密； 通过打印机、传真机等将敏感数据进行介质转换泄密； 私自携带笔记本设备接入内部网络非法下载数据泄密； 对敏感数据的恶意传播及扩散泄密； 对核心应用系统的非安全接入及访问泄密； 不遵守管理制度的其他导致数据泄密的行为等。 被动泄密隐患 被动泄密是指导致信息泄密的人员在无意识或不知情的情况下所发生的泄密隐患，被动泄密已成为当前日益激烈的恶性商业竞争下的主要泄密隐患。目前存在的被动泄密隐患包括： 移动笔记本、USB存储设备遗失或失窃导致数据泄密； 邮件或网络误操作、误发送引起的泄密； 保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等； 感染病毒、木马后引发的敏感数据泄密； 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密； 移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。 第三方泄密隐患 第三方泄密是指重要数据交付给合作伙伴、客户或其他关系密切人员后保管不当或故意分发所引起的第三方扩散泄密，是目前企业商业化合作需求背景下逐渐体现的信息安全问题。目前存在的第三方泄密隐患包括： 合作伙伴、外协人员接入内部网络非法获取敏感数据泄密； 应用维护、开发人员访问系统后台及数据库非法获取敏感数据泄密； 发送给客户、合作伙伴及其他关系密切人员的敏感数据保管不当或恶意扩散引起的泄密； 合同、图纸以及科研、学术报告等敏感资料外部打印、复印时副本拷贝泄密； 应用系统、邮件服务器以及数据中心外部托管时非法窃取泄密。 管理风险 现有安全管控措施不能有效预防核心数据主动、被动泄密风险； 合法授权用户对核心数据的使用无法审计； 出现信息安全事件后不能快速定位责任人； 缺乏有效的技术手段或平台落实核心数据资产的保护政策等。 项目建设可行性评估 项目建设总体需求 鉴于上述安全现状及风险，需要建立一套完善的数据安全防护平台，以保护深圳市旺鑫精密工业有限公司核心数据资产并落实安全目标。平台建设需求将从安全、业务、系统、管理等四个方面进行统计： 安全需求 DLP系统可实现对核心数据资产的透明加密保护； 建立数据全生命周期安全访问及使用边界； 防止非授权访问窃取及透过其他途径外泄数据。 业务需求 各业务部门及组织可正常、合法使用核心数据资产； DLP系统平台与企业现有信息化系统、业务系统等无缝安全集成； 不改变或不过多改变现有业务流程效率