您当前位置:首页 > 资讯中心 > 网管技术

企业信息安全之企业商业机密保护方案、公司数据防泄漏解决方案

关键字:企业信息安全,企业商业机密保护方案,公司数据防泄漏解决方案

当前,企业商业机密保护已经是当前企业管理的重要方面,如何保护公司数据安全、防止公司商业机密泄露已经是企业管理人员的重要共识。那么,企事业单位如何保护公司数据安全,防止公司无形资产泄密呢?
 
一、需求分析
 
保护敏感数据防止未授权泄露已经成为全球公司关注的一个重大问题。老克所在公司(简称A公司,下同),存在着诸多安全隐患,如 敏感文件存在访问权限管理问题、文件和数据存在内容监控问题、数据库的审计问题(错误原因:数据库审计作为事后审查的依据可记录数据访问行为,但对于防止数据泄漏来说,并不是真正的防泄漏技术)、上网行为管理问题(错误原因:上网行为管理作为员工网络行为的一种监控技术,可以发现网络上的违规行为并根据策略阻断非法网站的外连,但并不是真正意义上的DLP技术,不能和DLP混为一谈)、安全管理制度存在严重漏洞 。这些安全隐患,将给A公司带来很严重的安全问题,有可能带来不可挽回的经济损失。
 
经分析,造成A公司用户信息泄漏的主要原因为 对邮件内容缺乏有效监管,通过发送电子邮件,容易将敏感数据作为附件发送出去,缺乏USB、移动硬盘、CD……等移动存储介质的有效监管,容易使移动存储介质成为敏感数据的载体,缺少应用层流量及内容监控手段,公司缺少安全规定,内网安全管理有严重漏洞,员工缺乏安全常识,无法实现对终端有针对性的监管 。 A公司的关键数据并不像通常所想象的那么安全,采取常规的安全防御措施也很可能无法阻止数据的泄露。
 
所以A公司需要一套能够保护企业的关键数据不被有意或无意泄露的解决方案——数据防泄漏(DLP)解决方案。
 
 
二、解决思路 
 
数据丢失防护(Data Loss Prevention),又成为“数据泄露防护”(Data leakage prevention, DLP),有时也称为“信息泄漏防御”(Information leakage prevention, ILP)。
 
数据丢失防护是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。 数据防泄漏(DLP)解决方案(下称DLP解决方案)可以很容易地鉴别员工如何访问互联网会导致数据丢失,因此很多公司开始在网络中部署DLP,通过DLP来指定政策、检测网络流量、准确地检测事件并能够主动阻止不适当的数据传输。在网络中部署了DLP技术后,这些公司就能够立即降低在传输中丢失数据的风险。
 
DLP可以让你看到哪些数据库、文件服务器、笔记本电脑和台式机装载着敏感数据,当有人通过电子邮件向外发出源代码或者将客户名单复制到USB驱动时,DLP都会及时告知你。并且DLP还可以帮助你执行某些政策来阻止包含机密数据的网络传输以及制止向USB、iPod等驱动复制任何数据,同时能够自动化其他执行行为,如通知发件人、对电子邮件路由加密等,以确保敏感数据没有被暴露在文件系统中。 
 
数据丢失防护解决方案能够帮助CIO和CSO解决以下三个基本问题: 
 
公司的机密信息位于何处? 
 
这个数据是如何被使用的?
 
该如何较大程度地防止该数据被丢失?
 
对于回答这三个问题,DLP做了三件基本的工作:(1)深度内容检测;(2)通过终端点、网络和存储系统自动保护敏感数据;(3)事件响应流程以确保员工的正确操作。 根据需求分析和前面介绍,A公司需要部署一套DLP解决方案才能从根本上解决用户信息外泄的安全威胁。 根据前面所述,A公司敏感信息可能会在 文件服务器、Web服务器/站点、协作平台、数据库、员工终端、U盘、SAN/NAS。 

 
三、解决方案 
 
为了解决A公司的问题,应清晰定义哪些类型的信息属于敏感信息;制定数据安全保护策略,对于敏感信息采取加密等保护措施;实时监控网络中通过电子邮件、Web等方式传输的信息,识别并存储对敏感信息的传输行为;采用自动化手段禁止将敏感信息拷贝到移动存储介质上;对涉及数据泄漏的安全事件处理过程留有完整记录;对外出员工的内网访问方式改为SSL VPN方式(错误原因:改变接入方式为SSL VPN对防止数据泄密没有实际意义的帮助,只是减少了接入环节的安全风险)。

在上述解决思路的基础上,遵循 清晰定义哪些类型的信息属于敏感信息;制定数据安全保护策略,对于敏感信息采取加密等保护措施;实时监控网络中通过电子邮件、Web等方式传输的信息,识别并存储对敏感信息的传输行为;采用自动化手段禁止将敏感信息拷贝到移动存储介质上;对涉及数据泄漏的安全事件处理过程留有完整记录;对外出员工的内网访问方式改为SSL VPN方式(错误原因:改变接入方式为SSL VPN对防止数据泄密没有实际意义的帮助,只是减少了接入环节的安全风险) 。

才能实现A公司数据安全防护的整体解决方案。 考虑DLP解决方案部署的实际情况,需要做如下具体措施: 对包含敏感数据的文件进行加密,拦截本地电子邮件,并对邮件进行加密(错误原因:很多用户认为数据防泄漏就是文档、邮件加密,这是认识上的误区,真正的DLP解决方案不一定包含文档加密内容,但不做文档加密,也同样可以达到数据防泄漏的目的)、
 
精确识别敏感数据内容,并区分其优先次序,定义访问权限,提供告警通知
 
控制不适当或不必要的数据访问以控制风险,对数据安全违规事件进行审计和报告
 
监控并分析终端中的敏感数据,制定策略防止和控制未经批准地将数据移离公司
 
对员工进行再教育,并制作详细的风险评估报告 
 
部署DLP解决方案的真正价值: 能够自动执行政策是体现DLP价值的一个关键因素,它可以赋予你自动路由电子邮件到加密网关的功能,或者转移一个包含敏感数据的并已经被暴露在文件系统的过时的文件,当然,所有这些操作都是基于政策而言的。
 
DLP有一个较容易被忽视的功能,就是它能够通过对公司或者员工中被认为较易受攻击的因素进行加强防范来降低数据丢失风险。几乎所有数据泄漏事故都涉及到人以及处理信息时他们遵循的或者不遵循的流程。大部分数据泄漏都是由于人为因素造成的,他们无视于政策的存在,或者只是简单地遵循不安全的业务流程。 
 
无论采用哪种方式,DLP都是根据政策来保护数据防止数据丢失的,同时DLP能够实时告知员工他或者她造成的错误行为然后提出纠正的方法,从而避免数据丢失事故的发生。这种现场纠错的功能不仅能够纠正员工的工作方式同样能够对相关人员的行为产生积极的影响。
 
四、产品选型 
 
所以,对于A公司来说,完整的DLP解决方案应该是终端数据防泄漏。

目前,国内有很多商业机密保护软件、公司数据防泄漏软件。例如有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grabsun.com/monitorusb.html),通过将本系统部署在公司员工电脑上,就可以禁止U盘、禁用USB存储设备的使用;同时,还可以只让使用指定的U盘、只允许从U盘向电脑复制文件而禁止电脑文件复制到U盘;同时,还可以控制邮件使用,只让使用公司邮箱,禁止登陆员工个人邮箱,只让发送邮件正文禁止发送邮件附件;禁止网盘上传电脑文件、禁止FTP文件上传等。如下图:


 

同时,本系统还可以禁止电脑安装软件、只让电脑安装某些程序、禁止U盘启动电脑、禁止PE启动电脑、禁止开机按F8进入安全模式等,全面保护电脑文件安全。

此外,本系统还可以实现C/S架构部署,也即在公司一台电脑安装管理端,局域网其他电脑安装客户端,然后远程为局域网电脑设置电脑文件安全防护策略,实现了更为便捷的管理。

 
 
大势至公司可以独家提供从局域网网络行为管理、电脑资料防止泄密管控和信息安全防护一站式解决方案
聚生网管网络管理系统下载 是一款专门的办公室电脑监控软件、局域网网络控制软件,可以禁止网络游戏、禁止上班炒股、禁止P2P软件下载、禁止在线看视频、局域网限制别人网速等,以及绑定局域网IP和MAC地址,防止ARP攻击行为等。
大势至文件共享管理软件下载 是一款专门的共享文件夹访问日志记录软件、服务器共享文件访问权限设置软件,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地和禁止拖拽共享文件以及只让修改共享文件而禁止删除共享文件,保护服务器共享文件安全,防止共享文件越权访问。
大势至企业数据泄密防护系统下载 是一款专门保护电脑文件安全,防止U盘复制文件、禁用USB端口的软件,同时还可以屏蔽邮件附件、禁止登录网盘上传文件、禁止FTP软件发送文件、禁止微信发送文件、禁止QQ发送文件等,防止各种途径泄密。
大势至局域网接入认证系统下载 是一款专业的局域网网络准入控制系统,有效阻止外来电脑接入局域网、禁止外来上网上网、禁止非单位电脑访问局域网共享文件、隔离局域网电脑、进行IP和MAC地址绑定、禁止修改IP地址等,保护局域网安全。
作者:Admin - 发布时间:2018-05-11 - 点击量:1494
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
收缩

售前咨询

  • 电话:010-82825512
  • 电话:010-82825051
  • 电话:010-82825052
  • 电话:010-62656060

技术支持

  • 电话:010-82825062