一. 制造行業(yè)DLP項(xiàng)目的驅(qū)動(dòng)力

制造行業(yè)的核心競(jìng)爭(zhēng)力就是知識(shí)產(chǎn)權(quán)，一張?jiān)O(shè)計(jì)圖就可以決定公司的盈虧。三一與中聯(lián)的案例每天都會(huì)在國(guó)內(nèi)上演，信息保護(hù)法律相對(duì)滯后的大環(huán)境下，推進(jìn)DLP項(xiàng)目便成了制造行業(yè)保護(hù)核心競(jìng)爭(zhēng)力的最主要的驅(qū)動(dòng)力了。

各種竊取手段當(dāng)中，最難防的就是最近曝光度很高的APT攻擊。但制造業(yè)在這方面有個(gè)先天優(yōu)勢(shì)，即可以用最直截了當(dāng)?shù)姆绞絹?lái)防止APT攻擊，不用像其它行業(yè)那樣，上加密產(chǎn)品還要遮遮掩掩。因此，制造行業(yè)最有效防止APT攻擊一般都是直接考慮加密產(chǎn)品，因?yàn)橹圃鞓I(yè)耗不起長(zhǎng)時(shí)間的取證、訴訟的漫長(zhǎng)過(guò)程。

二. 數(shù)據(jù)防泄密需求

2.1 加密需求

1. 信息加解密必須是強(qiáng)制的;

2. 不改變用戶的使用習(xí)慣;

3. 文件的解密工作可由用戶提出，并按照內(nèi)部的工作習(xí)慣進(jìn)行流程審批;

4. 轉(zhuǎn)換授權(quán)后的文檔具有使用時(shí)限、瀏覽次數(shù)等控制;

5. 在特殊情況下，計(jì)算機(jī)能夠脫離網(wǎng)絡(luò)環(huán)境使用，同時(shí)保證信息安全性;

6. 計(jì)算機(jī)離線能夠由用戶提出申請(qǐng)，按照內(nèi)部的工作習(xí)慣進(jìn)行流程審批;

7. 受保護(hù)的文檔只能在公司內(nèi)部流傳，即使泄露出去，對(duì)方也無(wú)法打開(kāi) ;

8. 保證中高層領(lǐng)導(dǎo)可以對(duì)私人文檔進(jìn)行控制;

9. 防止員工通過(guò)截屏、修改后綴名等方式繞過(guò)防護(hù);

10. 分公司的架構(gòu)要滿足;

11. 支持制造行業(yè)軟件和應(yīng)用系統(tǒng)。

三. 解決方案

3.1 總體設(shè)計(jì)

根據(jù)某公司的數(shù)據(jù)安全需求，在總部部署總控制臺(tái)和子系統(tǒng)，在各分公司部署子系統(tǒng)?？傮w設(shè)計(jì)如下圖所示：

各公司的終端用戶都接入到各自的子系統(tǒng)中，各子系統(tǒng)全部接入總部的總控制臺(tái)中，各公司管理員通過(guò)統(tǒng)一的入口訪問(wèn)總控制臺(tái)來(lái)管理各公司的客戶端。

3.1.1 總部和分公司架構(gòu)

考慮到各分公司實(shí)際客戶端的數(shù)量，有些分公司客戶數(shù)比較小，在帶寬允許的情況下，客戶端可直接接入總部，由總部統(tǒng)一管理。分公司客戶數(shù)大的，需要建設(shè)子系統(tǒng)。下圖為總部和分公司之間系統(tǒng)的架構(gòu)圖：

各服務(wù)器及設(shè)備作用如下：

總控制臺(tái)：系統(tǒng)管理員統(tǒng)一登錄的入口，各分公司管理員登錄后，按自身的級(jí)別和權(quán)限顯示可管理的范圍及權(quán)限，如武漢分公司的管理員登錄后，只能管理武漢分公司的客戶端，假如該管理員沒(méi)有日志管理權(quán)限，那么他不會(huì)查看到日志及報(bào)表;

AD服務(wù)器：該服務(wù)器為企業(yè)已有的AD服務(wù)器(假設(shè)有)，可以考慮天榕的用戶信息集成AD域的用戶，實(shí)現(xiàn)單點(diǎn)登錄。也可支持LDAP系統(tǒng);

認(rèn)證服務(wù)器：負(fù)責(zé)接入客戶端及身份認(rèn)證;

FTP服務(wù)器：負(fù)責(zé)存儲(chǔ)客戶端供升級(jí)或安裝，接收并存儲(chǔ)被解密的原文件，供信息審計(jì)部門(mén)審核;

日志服務(wù)器：接入客戶端的操作日志及管理員的操作日志，供信息審計(jì)部門(mén)審核;

Oracle數(shù)據(jù)庫(kù)(運(yùn)行數(shù)據(jù)和日志數(shù)據(jù))：存儲(chǔ)運(yùn)行數(shù)據(jù)和日志數(shù)據(jù)的服務(wù)器，分開(kāi)部署的好處是增加高可用性(日志數(shù)據(jù)出現(xiàn)問(wèn)題不會(huì)影響系統(tǒng)運(yùn)行);

負(fù)載均衡設(shè)備：為認(rèn)證服務(wù)器提供負(fù)載均衡服務(wù)，保證系統(tǒng)的高可用性;

總部和分公司的架構(gòu)：

◆總部有子系統(tǒng)和總控制臺(tái)，總部的子系統(tǒng)與總控制臺(tái)共用一套數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)存儲(chǔ)全公司的數(shù)據(jù);

◆總部數(shù)據(jù)庫(kù)支持集群架構(gòu)，可按實(shí)際客戶數(shù)計(jì)劃部署方案;

◆全公司客戶端的組織結(jié)構(gòu)分配、策略分發(fā)、后臺(tái)服務(wù)器設(shè)置、日志查詢、報(bào)表生成、客戶端管理等功能都在總控制臺(tái)上完成;

◆總部互聯(lián)網(wǎng)區(qū)域?yàn)镈MZ區(qū)部署的服務(wù)器組，負(fù)責(zé)接入總部地區(qū)的外網(wǎng)客戶端，此架構(gòu)可按實(shí)際需要部署;

◆分公司子系統(tǒng)中有認(rèn)證服務(wù)器、日志服務(wù)器、FTP服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器，負(fù)責(zé)分公司的客戶端升級(jí)及下發(fā)、客戶端的接入、日志的記錄;

◆分公司的數(shù)據(jù)庫(kù)可定時(shí)同步到總部的數(shù)據(jù)庫(kù)中;

◆分公司互聯(lián)網(wǎng)區(qū)域?yàn)镈MZ區(qū)部署的服務(wù)器組，負(fù)責(zé)接入分公司地區(qū)的外網(wǎng)客戶端，此架構(gòu)可按實(shí)際需要部署。

3.1.2 用戶認(rèn)證設(shè)計(jì)

天榕提供三種用戶認(rèn)證模式，具體如下：

◆硬件ID方式：天榕客戶端安裝時(shí)取計(jì)算機(jī)的硬件ID，作為用戶認(rèn)證的標(biāo)識(shí)，如果管理員確認(rèn)是本公司內(nèi)的計(jì)算機(jī)，可以選擇允許接入，否則不能接入系統(tǒng);

◆集成內(nèi)部AD或LDAP賬戶：天榕服務(wù)端直接取AD或LDAP服務(wù)器的賬戶信息，合法的內(nèi)部用戶才能接入使用;

◆令牌模式：使用令牌(usb-key)作為用戶唯一身份識(shí)別，插入令牌并輸入正確的密碼才能通過(guò)身份認(rèn)證，接入使用。

3.1.3 信息審計(jì)設(shè)計(jì)

1.1.1.1. 角色的職責(zé)和權(quán)限

對(duì)于屬于制造行業(yè)所有的電子文檔，設(shè)立以下管理角色，具體職責(zé)和權(quán)限如下：

3.2. 數(shù)據(jù)安全策略

這個(gè)地方我以一個(gè)制造客戶的部分安全策略案例提供數(shù)據(jù)安全策略的建議。

各部門(mén)及每個(gè)崗位制定如下安全策略(僅以O(shè)ffice和PDF為例，實(shí)際項(xiàng)目中會(huì)有非常多的專業(yè)軟件)：