一、軍工企業數據環境和數據安全特征

軍工企業一般信息化水平都比較高，而且由于行業的特殊性，具有高度保密的要求，其信息化狀況和數據安全需求主要有以下特點：

1.         網絡環境復雜，軍用專網、內網和互聯網等多種平臺界限分明，不同平臺之間通信管控嚴格；

2.         軍隊內部統一配發的USB Key數字證書已經成為軍工企業人員在軍內網絡的數字身份主要標識；

3.         系統內產生的數據和文檔有高度保密性、高度敏感性，數據泄露會造成重大危險；

4.         軍工企業系統內的指揮中心系統、業務信息系統和辦公OA系統等應用平臺數據交互頻繁，與合作單位有大量的對外接口；

5.         移動設備如筆記本電腦、U盤使用廣泛；

6.         與外部單位的合作，對外發出文件數量較多。

二、軍工企業數據防泄露需求分析

結合軍工企業上述特征，軍工企業系統內部的數據安全需要重點關注如下幾方面問題：

1.         基于數字證書的統一計算機登錄授權管理體系已經成為有效的身份認證基礎，在此基礎上需要進一步深化數據安全管理；

2.         需要采用等級保護制度，對文檔劃分不同的安全等級，對不同等級的文檔實現不同強度的安全保護；

3.         對涉密文檔集中式管理，防止分散儲存導致的泄密風險；

4.         對所有筆記本電腦需要全盤加密，有效提高筆記本電腦數據的安全性和保密性，防止被動泄密風險；

5.         移動存儲介質管理, 確保移動存儲介質的方便性和安全性；

6.         對所有設備端口必須要進行控制，允許合法接入的暢通，同時也要嚴密防止非法接入；

7.         針對外發文件，需要加強權限管理，確保外發數據和文件的安全。

三、億賽通DLP解決方案有效防止數據泄露

億賽通數據泄露防護（DLP）解決方案，基于“驅動級透明動態加解密技術”，在全面結合現有數字證書體系的前提下，配合業務需求，以文檔流轉途徑為路基，融合文檔權限管理、文檔外發管理、筆記本電腦離線脫機管理、筆記本全盤加密管理、設備安全管理等功能，全方位地保護公安系統數據安全，防止數據泄露。如圖：

圖片1

方案說明：

1.   服務器信息保護——安全網關 DNetSec

DNetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網絡服務器，軟件為億賽通研發的文檔安全網關軟件。文檔安全網關軟件由“網絡加速”、“訪問控制”、“訪問日志”和“動態加解密”四大模塊組成。對所有上傳到服務器和傳入軍用專網的文檔自動進行解密，對所有從服務器下載或來自軍用專網的文檔自動進行加密。

2.   內部網絡終端文檔和數據安全——文檔權限管理系統CDG

在軍工企業辦公OA系統和業務信息系統等內部網絡中，采用文檔權限管理系統DRM。DRM是針對用戶可控、授權的電子文檔安全共享管理系統。該系統采用“驅動級透明動態加解密技術”和實時權限回收技術，對通用類型的電子文檔進行加密保護，且能對加密文檔進行細分化的權限設置，確保機密信息在授權的應用環境中、指定時間內、進行指定操作，不同使用者對“同一文檔”擁有“不同權限”。 通過對文檔內容級的安全保護，實現機密信息分密級且分權限的內部安全共享機制。

3.   文檔外發控制

對軍工企業內部發往出差人員、合作單位等系統外的文檔，采用文檔外發控制系統ODM。ODM應用文檔外發管理程序打包生成外發文件發出。當外發文件打開時，需通過用戶身份認證，方可閱讀文件。同時，外發文件可以限定接收者的閱讀次數和使用時間等細粒度權限，從而有效防止了客戶重要信息被非法擴散。

4.   脫機管理

在人員出差或其他情況下，需要外帶筆記本電腦，則通過離線綁定，實現離線控制。

5.   筆記本電腦管理

對軍工企業系統內的存有重要資料的筆記本電腦，采用磁盤全盤加密系統DiskSec。DiskSec是一款防止筆記本電腦丟失、維修和報廢后導致數據泄露的透明加密軟件。在電腦關機和休眠的狀態下，硬盤中存儲的數據均被做了高強度加密，沒有用戶本人輸入密鑰，他人無法獲得硬盤上的加密數據，從而防止筆記本電腦數據泄露。

6.   設備管理

對內網中的所有端口，采用設備安全管理系統DeviceSec。DeviceSec通過IP范圍和端口范圍的交叉判斷，對U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口進行控制。

7.   文檔自動備份

文檔每次保存后均自動備份到備份服務器中。文檔管理員可通過改變備份的模式和途徑，實現備份管理。用戶在脫離服務器模式下的文檔，也將自動備份到本地硬盤中。通過備份，可有效避免因為各種意外導致的數據損失。

8.   日志審計

能夠監督、跟蹤、記錄所有用戶的全部操作，實時查看系統的使用情況，實現最高的系統安全?？梢詮凝嫶蟮挠涗洈祿谐槿∮杏玫男畔?，對用戶的某些操作進行分類整理，通過操作記錄，回溯歷史活動，從而發現泄密渠道。通過跟蹤目前用戶操作，能及時發現用戶的危險操作，在泄密事件發現前就獲得警報，制止泄密事件的發生。一旦泄密事件發生，通過用戶操作記錄, 可以第一時間拿出最有力的證據。

四、方案特點：

1.   億賽通DLP的所有功能基于一套完整、協調的體系，可以實現的統一管理和策略聯動，在實施、管理、維護、升級等一系列活動中，方便靈活，極大地降低了成本；

2.   DLP體系以數據加密和權限管理為核心，結合了身份認證、日志審計、文檔備份、外發管理等功能，系統本身具備容災管理功能，在基于用戶需求的基礎上，配合各種安全策略，不僅從源頭上實現了文檔的保密，還有效實現網絡邊界管理，是高效的分層式安全架構。

3.   完全兼容現有的數字證書，是數字證書應用的有力擴展，提高了數字證書的利用率，并實現了用戶標識的統一管理；

4.   能與各種應用平臺集成，支持通用文件格式如：office系列、PDF、CAD等。能與各種特性平臺集成，如各種OA系統，支持各種認證系統（AD、CA、ED等）。

5.   該系統具備大用戶數管理模式支持，能滿足10萬點以上大規模端點控制需求，可以實現負載均衡、熱備和多級管理模式等；

6.         具有高度的模塊化和擴展性，可以根據軍工企業信息系統發展的需要，擴展其他功能，比如：電子郵件加密，輸出內容監控等模塊。