信息安全等级保护之数据保密解决方案

2 黑客通过木马或其他手段进入 该总监的计算机，将此财务报 告窃取出来。
黑客（木马、病毒）
Page 10
场景三、防止设备遗失导致泄密
某主管出差在外，对已经加密授权的 重要文档，需要连到公司內部的文档 管理中心进行权限确认。
装有文档安全客户端 的某主管的计算机
该主管马上对通知文档管理员，取 消自己设备的授权。 服务百度文库没有对外网公布地址的，勿 需另行通知了
⚫……
网络终端的 安全威胁
Page 4
最严重和亟待应对的：电子文档信息泄密风险
内部员工泄密 黑客窃密
存储介质遗失
Figure1 企业面临的TOP10安全威胁
信息泄密成为组织面临的TOP10安 全威胁之一 在Fortune排名1000的公司中，每 次电子文档泄密造成的损失平均为$50 Million
防火墙
……
分支机构
防火墙
核心交换机
终端安全+文档安全 汇聚交换机防水墙及防病毒 汇聚交换机
防火墙
移动办公 汇聚交换机
办公区网络1
办公区网络2
防水墙客户端
办公区网络3
安铁诺客户端 Page 2
内网安全--山丽终端数据安全管理解决方案
终端防护
主机防火墙 防病毒联动
补丁管理
数据保护
数据防泄密
安全策略管理
Page 5
如何防止文档信息泄密
文档泄密途径
解决方案
介质遗 失
信息 泄密
黑客 攻击
技术
信息加密，根本保证文档安全 合理授权，主动防止非授权用户
信息泄密
如何使员工、合作伙伴合 文档操作日志审计，有效追溯泄 理使用电子文档，又能防止 密行为 机密外泄？
内部人员 泄密
管理
建立安全保密制度 加强员工的保密教育
信息安全等级保护之数据保密解决方案
技术创新，变革未来
构筑立体 安全防护体系
服务器区 网络优化： 刀片服务器整合网络基础设施
防火墙
入侵检测
服务器区
边界安全： 防网火络墙优及化：VPN 防火墙融合路由器
VPN
服务器区安全： 安全网关及服网务络器入接侵检测系统
入交换机
入侵检测
出口路由器
VPN
防火墙
防火墙
• 防水墙 文档安全管理通过实时权限控制，提供安全授权下的机密信息 共享，使信息所有者能够定义信息的访问者、访问方式和时间等，并记 录文档操作日志，助力企业构建安全可控的文档安全管理平台
Page 7
防水墙 工作流程
2、安全验证 ⚫ 用户操作认证 ⚫ 证书和权限信息交互
⚫禁止外部用户访问 无访问身份及访问权限
Page 8
场景一、防止内部人员泄密
文档安全 管理中心
助理通过和管理中心进行身 份认证，能够正常的打开文 件进行阅读。
3
装有文档安全系统的财务助理的 计算机
外部人员无法与文档安全管理 中心进行认证。 不能打开文档。
总监制作了一份财务报告。
5
2
1
装有文档安全客户端的 财务总监的计算机
总监把报告加密，授权给 助理只读权限，传给助理。
文档安全管理 中心
1. 破解BIOS，操作系统密码进入系统
2. 打开被加密文档时，文档安全客户端要
1
求连接服务器获取认证
3. 不属于同一环境指纹体系，无法打开文
档使用
2
3
电脑被窃取
Page 11
目录
⚫ 山丽网安简介 ⚫ 企业信息系统概述 ⚫ 企业信息系统面临数据泄密挑战 ⚫ 企业信息系统数据防护需求分析 ⚫ 企业信息系统数据防护解决方案
Page 12
防水墙 文档安全解决方案
基础： ⚫
《具有指纹限制的机密文件访问授权系统》，专利号：ZL 2004 1
0017241.3 ⚫ “环境指纹”系统的各个子系统： ⚫ 透明加密解密子系统：透明、动态、实时，可全盘，可目录，可程序，可反程序 ⚫ 介质准入管理子系统：控制、认证、内容审计 ⚫ 文档权限管理子系统：基于使用者身份、基于时间、基于内容，细颗粒度权限管理 ⚫ 多层审批流转子系统：基于脚色的多层审批流程，有气泡提醒，有自动审批设置 ⚫ 安全域控管理子系统：安全域的概念，相同安全域的用户之间可以自由共享 ⚫ 全员操作日志子系统：日志的收集、管理、分析，各种格式的支持 ⚫ 操作审计预警子系统：短信、mail、邮件预警 ⚫ 透明证书认证子系统：是密钥保护和身份认证的一部分 ⚫ 系统加密通讯子系统：加密传输 ⚫ 详细模块阐述
Page 6
防水墙 文档安全管理主要功能
• 格式无关动态加解密 •电脑外设管理审计 • 实时文档权限控制 • 组策略与权限模板
文档权限 管理
防水墙文档安全管理系统 （WV，Watervale system ）
• 用户管理 • 用户漫游 • 异地授权 •审批管理
用户管理
• Web客户端登陆日志
日志审计 • 文件操作日志
Page 13
防水墙 系统逻辑架构
Page 14
防水墙 文档安全管理——透明、动态加解密
⚫现有安全设备难以有效保护网络
⚫无法检查网络内计算机的安全状况 ⚫缺乏对合法终端滥用网络资源的安全管理 ⚫无法防止恶意终端的蓄意破坏
⚫接入终端数量大、系统复杂，难以管理
⚫内网缺乏有效安全监控、审计手段 ⚫系统软件安全漏洞修复不及时 ⚫系统缺乏行之有效的管理及紧急响应手段 ⚫无法跟踪恶意员工泄露企业信息 ⚫无法及时掌握终端的更新和变化
安全策略检查 员工行为管理
…
软件分发
资产管理
Page 3
内网安全面临的主要问题
⚫企业内网面临复杂多样的威胁
⚫非法用户随意接入内部网络 ⚫内部合法用户滥用权限 ⚫终端不能及时打系统补丁 ⚫员工私自安装软件、开启危险服务 ⚫员工私自访问与工作无关网站 ⚫员工绕过防火墙访问互联网 ⚫员工未安装防病毒软件 ⚫员工忘记设置必要的口令 ⚫……
身份验证失败
防水墙服务器
12
无法下载权限信息
4
3、信息分发 ⚫通过Internet, 邮件附件， ⚫ftp下载，其他存储设备
外部用户
向 外 分 发 信 息
防水墙客户端
1、信息保护 ⚫用户加密文件 ⚫文件权限信息交互
3
防水墙客户端
4、信息访问 ⚫接收用户认证 ⚫获取证书和权限 ⚫ 授权离线操作，可缓存密钥
4
助理将文件泄露给外部人 员
外部人员
Page 9
场景二、防止黑客窃取资料
文档安全管理 中心
装有文档安全客户端的
4
总监的计算机
总监在计算机上编写了一份财
1
务报告，编写后的报告被用户
加密保存，或i者在编写的时候
被系统自动透明加密保存。
黑客窃取了该报告，由于无法得 到文档安全管理中心的授权，打 3 开财务报告的时候，只能看到一 堆乱码。