制造业客户数据安全解决方案（终端安全/文件加密/介质管理等）

针对前文制造业客户数据安全解决方案（数据防泄密需求分析）提到的泄密风险，本文详细介绍一套完整、合理的解决方案，通过该方案构建公司数据安全防护边界，自动加密、全方位保护数据安全。

1 电脑终端数据的保护

1.1电脑图纸文件的自动加密，从源头保护数据

对于电脑终端核心数据文件会自动强制透明加密，比如通过PRO/E，UG，CATIA等软件从文档创建图纸文件开始即可自动加密保护。加密前后对于数据合法使用者无任何差异，不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。

1.2设置屏幕水印，警示试图通过拍照泄密的行为

现今手机已经普及的情况下，手机拍照已经非常泛滥，而手机拍照本身就是一种很大的泄密途径，不能完全杜绝，只能依靠制度管理，当然也可以通过其他技术手段起到震慑作用，比如对于一些重要核心研发部门，可以设置屏幕水印：对于重要文件打开时可设置屏幕水印，屏幕水印显示内容可自定义，从而能够有效的警示试图通过拍照泄密的行为。

2 文件传输交互的保护

与外界信息交流已成为企业常态化的一种业务模式，这些交互的信息可能会涉及企业核心信息（如：外发设计图纸给生产方、外发合同给客户等），而这些信息一旦流出企业就面临着失控的风险，很可能经客户或合作伙伴造成信息泄露，所以针对不同等级的文件提供不同的方式：

如果是普通的图纸、文档，明文发给别人后，不担心对方再发给其他厂家，这可以通过直接解密；如果是一些重要的设计图纸，但不得不发给生产厂家或者合作伙伴，同时希望发出去的图纸文件又能得到有效管控，可以采用制作外发文件和外发U盘方式；

2.1普通图纸、文档直接审批解密

2.2重要图纸、通过文档外发的二次保护

• 当需要给客户或者合作伙伴外发文件时，首先向上级领导进行外发申请，而后才有权将该文件打包成一个受控文件，外发给客户或合作伙伴；
• 被授权的客户或合作伙伴获得该受控外发文件后，打开时需先进行合法的身份认证，而后才能在授予的权限范围内访问；
• 身份认证的方式包括：口令认证、机器码认证、联网认证；
• 访问权限包括：阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等；
• 被授权的客户在访问该文件时，无需在自己的电脑上安装任何插件，即可访问。

3 应用服务器数据的安全保护

企业的核心业务系统（如：OA、PDM、CRM、ERP等）中存有大量敏感业务数据，员工通过合法账号可正常查看、导出数据，而数据一旦导出则可通过其他途径带离企业，存在泄密风险。此外，员工可利用非法应用程序或盗用合法账号访问并窃取业务系统中的数据，存在较大安全隐患。

• 不改变原有网络架构，增加应用安全网关服务器即可；
• 服务器数据下载至本地则自动加密，防止非法下载泄密。
• 加密文档上传至服务器则自动解密，以明文形式存放在服务器，确保正常使用。
• 只允许安装有数据防泄密系统客户端的终端用户正常接入应用服务器，非法用户禁止接入，非法客户端即使盗用合法账号或利用非法应用程序也无法访问受保护的应用服务器，杜绝了非法访问泄密。
• 安装有据防泄密系统客户端的终端用户将禁止连接仿冒应用服务器，防止非法用户利用客户端上传自动解密机制进行非法外联泄密。

4 移动存储介质管控

在各种计算机外设给信息交换带来极大方便的同时，也给很多数据安全敏感企业带来很多麻烦。现今非常常见的U盘、光盘是造成内网机密信息流失的主要途径，一个小小的U盘便能在不被人察觉的情况下将核心数据拷走。然而由于工作的需要，内网的一些计算机却不能封闭U口，因为在工作中需要用U盘进行信息的传递，因此U盘使用成为内网机密信息流失和引入病毒的主要途径。针对此问题可提供以下措施来解决用户的困扰。

4.1USB存储设备限制

根据公司的实际情况，限制哪些电脑的USB接口能否使用。分别有允许使用、禁止使用、USB设备只读（即只能够从U盘上拷出数据，不能往U盘内部考入数据）和断网使用（即插入USB存储设备时终端断网）四种限制方式。

4.2USB存储设备认证

对接入公司的U盘进行注册认证管理，只有通过事先认证过的U盘才可以在公司内使用。

4.3USB外发日志

对公司内部员工的USB拷贝行为进行详细记录，记录信息包括操作时间、终端名称、操作用户、文件名称、源路径、目的路径，并支持下载查看文件内容。从而为企业内的信息拷贝提供更严格的安全保障，防止内部机密信息被非法拷贝。

4.3光盘驱动器限制

根据公司的实际情况，限制哪些电脑的光盘驱动器允许使用。

4.4光盘刻录审计

包括刻录时间、终端名称、所属分组、刻录机名称、刻录盘名称、刻录文件总大小（M）。支持查看并下载刻录文件。

5 打印安全管理

在无纸化办公的时代，依然存在很多情况下需要将电子文档打印成纸质版资料，给企业管控纸质资料文档带来很多麻烦，所以打印机的使用成了纸质文档泄密的一个主要途径，因此，针对此问题提供以下措施来解决用户的困扰。

为了有效避免员工通过打印将文件打印成纸质文档造成泄密，系统支持对打印机的使用权限进行限制：禁止所有打印机，或只允许使用指定打印机、只允许指定程序使用打印机，管理员还能设置打印图片水印、文字水印和二维码水印，并且支持自定义打印水印内容，从而有效避免敏感或机密信息通过打印而外泄。

6 详细操作日志，便于事后溯源

前面提到的多种解决方式和操作中，数据防泄密软件都会有相关的操作记录，便于事后溯源，这些日志主要有：

• 审批解密日志：查询各部门经理的文件审批及解密情况，避免具有解密权限的人员滥用职权，导致内部机密信息泄露。
• 文件操作日志：完整记录内部网络中的文档使用与传播的全过程，并可发现非法的文档访问、修改、删除、复制等违规使用行为，防止文档被非法篡改或泄露。
• USB外发日志：对企业内部员工的USB拷贝行为进行详细记录，从而为企业内的信息拷贝提供更严格的安全保障，防止内部机密信息被非法拷贝。

7 规范员工使用电脑行为，提高效率

本桌面行为管理解决方案能够有效协助管理者通过单一控制台以授权的方式对公司计算机、宽带、打印、外围设备等IT资源进行管控，与此同时规范员工的内网行为，其中包括计算机使用行为、网络使用行为、IT资产使用行为、设备使用行为等，令员工活动在公司合规范围内进行，提高IT资源利用率，提升员工的工作效率，维护系统的安全稳定，让公司内部环境井然有序。

• 应用程序管控，过滤与工作无上关的应用程序
• 网页浏览管控，过滤与工作无关的购物、娱乐等网站
• 网络流量管控，优化公司内部网络流量
• 设备管控，有效控制各类计算机设备的使用

8 本次数据防泄密方案优势

• 国内独有的“三重密钥”体系：
  • 由系统分配给每个用户全球唯一的密钥，保证每个购买本系统的单位文件不会互通；
  • 由用户自己设置的密钥，保证加密厂家获取加密文件也无法解密；
  • 每个文件加密时随机生成一个文件密钥，提高加密的安全性。
• 采用Windows内核的文件过滤驱动实现数据透明加解密，安全、稳定、效率高。配合桌面管理、行为审计和应用网关系统提供一套完整的方案，构建公司数据安全防护边界，自动加密、全方位保护数据安全。
• 采用公司自己开发的数据库，更快捷的安装、安全访问和维护。
• 支持“多采集服务器”部署方式，即实现集中式和分布式一体化管理，适用不同规模、不同网络架构的客户。
• 支持建立IT终端标准化的管理制度和手段，提升办公人员的工作效率，维护系统的安全稳定，让单位内部环境井然有序。
• 支持智能手机、IPAD等移动设备审批和在线阅读加密文件，方便移动办公。
• 支持远程协助、后台批量任务推送和程序的静默升级。