【51CTO.com 綜合消息】工業(yè)化和信息化融合，對(duì)制造業(yè)數(shù)據(jù)安全來(lái)說(shuō)是一個(gè)巨大的挑戰(zhàn)。隨著信息化的推進(jìn)，制造企業(yè)產(chǎn)生的多種商業(yè)機(jī)密電子文檔保護(hù)成為數(shù)據(jù)安全的重點(diǎn)，也是比較難以解決的復(fù)雜問(wèn)題。

一、制造業(yè)數(shù)據(jù)環(huán)境和數(shù)據(jù)安全特征

制造業(yè)信息化狀況和數(shù)據(jù)安全需求主要有以下特點(diǎn)：

1.系統(tǒng)內(nèi)產(chǎn)生的數(shù)據(jù)和文檔有高度保密性、高度敏感性，數(shù)據(jù)泄露會(huì)造成重大危險(xiǎn)；

2.企業(yè)的認(rèn)證體系、業(yè)務(wù)信息系統(tǒng)和辦公OA系統(tǒng)等應(yīng)用平臺(tái)數(shù)據(jù)交互頻繁，與合作單位有大量的對(duì)外接口；企業(yè)內(nèi)部網(wǎng)絡(luò)有多種業(yè)務(wù)平臺(tái)，移動(dòng)設(shè)備如筆記本電腦、U盤(pán)使用廣泛；

3.與外部單位的合作，對(duì)外發(fā)出文件數(shù)量較多。

二、制造業(yè)數(shù)據(jù)安全需求分析

結(jié)合制造業(yè)上述特征，企業(yè)內(nèi)部的數(shù)據(jù)安全需要重點(diǎn)關(guān)注如下幾方面問(wèn)題：

1.需要結(jié)合企業(yè)認(rèn)證體系如ED域、AD域等各種平臺(tái)；

2.需要與企業(yè)的各種業(yè)務(wù)系統(tǒng)如OA、PDM、ERP等有效集成；

3.需要采用等級(jí)保護(hù)制度，對(duì)文檔劃分不同的安全等級(jí)，對(duì)不同等級(jí)的文檔實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)；

4.對(duì)涉密文檔集中式管理，防止分散儲(chǔ)存導(dǎo)致的泄密風(fēng)險(xiǎn)；

5.對(duì)所有筆記本電腦需要全盤(pán)加密，有效提高筆記本電腦數(shù)據(jù)的安全性和保密性，防止被動(dòng)泄密風(fēng)險(xiǎn)；

6.移動(dòng)存儲(chǔ)介質(zhì)管理, 確保移動(dòng)存儲(chǔ)介質(zhì)的方便性和安全性；

7.對(duì)所有移動(dòng)存儲(chǔ)設(shè)備和端口必須要進(jìn)行控制，允許合法接入的暢通，同時(shí)也要嚴(yán)密防止非法接入；

8.針對(duì)外發(fā)文件，需要加強(qiáng)權(quán)限管理，確保外發(fā)數(shù)據(jù)和文件的安全。
 
三、制造業(yè)數(shù)據(jù)泄露防護(hù)（DLP）方案簡(jiǎn)述
   
億賽通數(shù)據(jù)泄露防護(hù)（DLP）解決方案，基于“驅(qū)動(dòng)級(jí)透明動(dòng)態(tài)加解密技術(shù)”，在全面結(jié)合現(xiàn)有認(rèn)證體系和業(yè)務(wù)信息系統(tǒng)的前提下，配合業(yè)務(wù)需求，以文檔流轉(zhuǎn)途徑為導(dǎo)引，融合服務(wù)器保護(hù)、文檔透明加密、文檔權(quán)限管理、文檔外發(fā)管理、筆記本電腦離線(xiàn)脫機(jī)管理、筆記本全盤(pán)加密管理、設(shè)備安全管理等功能，全方位地保護(hù)制造業(yè)數(shù)據(jù)安全，防止數(shù)據(jù)泄露。如圖：

圖1

方案說(shuō)明：

1.服務(wù)器加密保護(hù)

對(duì)服務(wù)器群的保護(hù)，由DNetSec來(lái)完成。DNetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網(wǎng)絡(luò)服務(wù)器，軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。DNetSec對(duì)所有上傳到服務(wù)器的文檔自動(dòng)進(jìn)行解密，對(duì)所有從服務(wù)器下載文檔自動(dòng)進(jìn)行加密。

2.辦公網(wǎng)絡(luò)和技術(shù)網(wǎng)絡(luò)文檔保護(hù)

在辦公局域網(wǎng)和技術(shù)局域網(wǎng)等內(nèi)部網(wǎng)絡(luò)中，采用“文檔安全管理系統(tǒng)CDG”。通過(guò)文檔透明加密對(duì)技術(shù)網(wǎng)絡(luò)內(nèi)的技術(shù)文檔、設(shè)計(jì)圖紙、源代碼、電路圖等核心資料進(jìn)行自動(dòng)、強(qiáng)制、實(shí)時(shí)加密。采用文檔權(quán)限管理對(duì)管理部門(mén)的辦公文件、財(cái)務(wù)部門(mén)的財(cái)務(wù)數(shù)據(jù)、銷(xiāo)售部門(mén)的客戶(hù)資料、市場(chǎng)部門(mén)的策劃方案等商業(yè)機(jī)密文件進(jìn)行權(quán)限控制。通過(guò)兩種管理方式，確保內(nèi)部網(wǎng)絡(luò)終端安全，防止內(nèi)部核心信息外泄。

3.文檔外發(fā)控制

對(duì)企業(yè)內(nèi)部發(fā)往出差人員、合作單位等系統(tǒng)外的文檔，采用“文檔外發(fā)管理系統(tǒng)ODM”。ODM應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開(kāi)時(shí)，需通過(guò)用戶(hù)身份認(rèn)證，方可閱讀文件。同時(shí)，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時(shí)間等細(xì)粒度的權(quán)限，從而有效防止了客戶(hù)重要信息被非法擴(kuò)散。

4.離線(xiàn)脫機(jī)辦公管理

在人員出差或其他情況下，需要外帶筆記本電腦，通過(guò)策略設(shè)定，可以確保對(duì)離線(xiàn)筆記本電腦數(shù)據(jù)的控制。

5.筆記本電腦管理

對(duì)存有重要資料的筆記本電腦，采用“磁盤(pán)全盤(pán)加密系統(tǒng)DiskSec”。DiskSec是一款防止筆記本電腦丟失、維修和報(bào)廢后導(dǎo)致數(shù)據(jù)泄露的透明加密軟件。在電腦關(guān)機(jī)的狀態(tài)下，硬盤(pán)中存儲(chǔ)的數(shù)據(jù)均被做了高強(qiáng)度加密，沒(méi)有用戶(hù)本人輸入密鑰，他人無(wú)法獲得硬盤(pán)上的加密數(shù)據(jù)，從而防止筆記本電腦數(shù)據(jù)泄露。

6.內(nèi)網(wǎng)端口管理和移動(dòng)設(shè)備管理

對(duì)內(nèi)網(wǎng)中的所有端口和移動(dòng)設(shè)備，采用“設(shè)備安全管理系統(tǒng)（DeviceSec）”進(jìn)行管理。DeviceSec通過(guò)IP范圍和端口范圍的交叉判斷，對(duì)U盤(pán)、移動(dòng)硬盤(pán)、紅外、WIFI、藍(lán)牙等輸出端口進(jìn)行控制，并能對(duì)拷貝到移動(dòng)存儲(chǔ)設(shè)備的文檔加密。

7.文檔自動(dòng)備份

文檔每次保存后均自動(dòng)備份到備份服務(wù)器中。文檔管理員可通過(guò)改變備份的模式和途徑，實(shí)現(xiàn)備份管理。用戶(hù)在脫離服務(wù)器模式下的文檔，也將自動(dòng)備份到本地硬盤(pán)中。通過(guò)備份，可有效避免因?yàn)楦鞣N意外導(dǎo)致的數(shù)據(jù)損失。

8.日志審計(jì)

能夠監(jiān)督、跟蹤、記錄所有用戶(hù)的全部操作，實(shí)時(shí)查看系統(tǒng)的使用情況，實(shí)現(xiàn)***的系統(tǒng)安全?？梢詮凝嫶蟮挠涗洈?shù)據(jù)中抽取有用的信息，對(duì)用戶(hù)的某些操作進(jìn)行分類(lèi)整理，通過(guò)操作記錄，回溯歷史活動(dòng)，從而發(fā)現(xiàn)泄密渠道。通過(guò)跟蹤目前用戶(hù)操作，能及時(shí)發(fā)現(xiàn)用戶(hù)的危險(xiǎn)操作，在泄密事件發(fā)現(xiàn)前就獲得警報(bào)，制止泄密事件的發(fā)生。一旦泄密事件發(fā)生，通過(guò)用戶(hù)操作記錄, 可以***時(shí)間拿出最有力的證據(jù)。

四、方案特點(diǎn)：

1.億賽通DLP的所有功能基于一套完整、協(xié)調(diào)的體系，可以實(shí)現(xiàn)的統(tǒng)一管理和策略聯(lián)動(dòng)，在實(shí)施、管理、維護(hù)、升級(jí)等一系列活動(dòng)中，方便靈活，極大地降低了成本；

2.DLP體系以數(shù)據(jù)加密為核心，結(jié)合了身份認(rèn)證、日志審計(jì)、文檔備份、文檔流程審批、外發(fā)控制等功能，系統(tǒng)本身具備容災(zāi)管理功能，在基于用戶(hù)需求的基礎(chǔ)上，配合各種安全策略，不僅從源頭上實(shí)現(xiàn)了文檔的保密，還有效實(shí)現(xiàn)網(wǎng)絡(luò)邊界管理，是高效的分域安全架構(gòu)；

3.能與各應(yīng)用平臺(tái)集成，支持通用文件格式如：office系列、PDF、CAD、源代碼、電路圖等。能與各種特性平臺(tái)集成，如各種OA系統(tǒng)，支持各種認(rèn)證系統(tǒng)（AD、CA、ED等）。

4.該系統(tǒng)支持大用戶(hù)管理系統(tǒng)，能滿(mǎn)足10萬(wàn)點(diǎn)以上大規(guī)模端點(diǎn)控制需求，可以實(shí)現(xiàn)負(fù)載均衡、熱備和多級(jí)管理模式等；

5.具有高度的模塊化和擴(kuò)展性，可以根據(jù)制造企業(yè)發(fā)展的需要，擴(kuò)展其他功能，比如：電子郵件加密，輸出內(nèi)容監(jiān)控等模塊。