【51CTO.com 綜合消息】工業(yè)化和信息化融合，對制造業(yè)數(shù)據(jù)安全來說是一個巨大的挑戰(zhàn)。隨著信息化的推進，制造企業(yè)產(chǎn)生的多種商業(yè)機密電子文檔保護成為數(shù)據(jù)安全的重點，也是比較難以解決的復(fù)雜問題。

一、制造業(yè)數(shù)據(jù)環(huán)境和數(shù)據(jù)安全特征

制造業(yè)信息化狀況和數(shù)據(jù)安全需求主要有以下特點：

1.系統(tǒng)內(nèi)產(chǎn)生的數(shù)據(jù)和文檔有高度保密性、高度敏感性，數(shù)據(jù)泄露會造成重大危險；

2.企業(yè)的認證體系、業(yè)務(wù)信息系統(tǒng)和辦公OA系統(tǒng)等應(yīng)用平臺數(shù)據(jù)交互頻繁，與合作單位有大量的對外接口；企業(yè)內(nèi)部網(wǎng)絡(luò)有多種業(yè)務(wù)平臺，移動設(shè)備如筆記本電腦、U盤使用廣泛；

3.與外部單位的合作，對外發(fā)出文件數(shù)量較多。

二、制造業(yè)數(shù)據(jù)安全需求分析

結(jié)合制造業(yè)上述特征，企業(yè)內(nèi)部的數(shù)據(jù)安全需要重點關(guān)注如下幾方面問題：

1.需要結(jié)合企業(yè)認證體系如ED域、AD域等各種平臺；

2.需要與企業(yè)的各種業(yè)務(wù)系統(tǒng)如OA、PDM、ERP等有效集成；

3.需要采用等級保護制度，對文檔劃分不同的安全等級，對不同等級的文檔實現(xiàn)不同強度的安全保護；

4.對涉密文檔集中式管理，防止分散儲存導(dǎo)致的泄密風(fēng)險；

5.對所有筆記本電腦需要全盤加密，有效提高筆記本電腦數(shù)據(jù)的安全性和保密性，防止被動泄密風(fēng)險；

6.移動存儲介質(zhì)管理, 確保移動存儲介質(zhì)的方便性和安全性；

7.對所有移動存儲設(shè)備和端口必須要進行控制，允許合法接入的暢通，同時也要嚴(yán)密防止非法接入；

8.針對外發(fā)文件，需要加強權(quán)限管理，確保外發(fā)數(shù)據(jù)和文件的安全。
 
三、制造業(yè)數(shù)據(jù)泄露防護（DLP）方案簡述
   
億賽通數(shù)據(jù)泄露防護（DLP）解決方案，基于“驅(qū)動級透明動態(tài)加解密技術(shù)”，在全面結(jié)合現(xiàn)有認證體系和業(yè)務(wù)信息系統(tǒng)的前提下，配合業(yè)務(wù)需求，以文檔流轉(zhuǎn)途徑為導(dǎo)引，融合服務(wù)器保護、文檔透明加密、文檔權(quán)限管理、文檔外發(fā)管理、筆記本電腦離線脫機管理、筆記本全盤加密管理、設(shè)備安全管理等功能，全方位地保護制造業(yè)數(shù)據(jù)安全，防止數(shù)據(jù)泄露。如圖：

圖1

方案說明：

1.服務(wù)器加密保護

對服務(wù)器群的保護，由DNetSec來完成。DNetSec由硬件和軟件兩大部分組成，其中硬件采用高性能的網(wǎng)絡(luò)服務(wù)器，軟件為億賽通研發(fā)的文檔安全網(wǎng)關(guān)軟件。DNetSec對所有上傳到服務(wù)器的文檔自動進行解密，對所有從服務(wù)器下載文檔自動進行加密。

2.辦公網(wǎng)絡(luò)和技術(shù)網(wǎng)絡(luò)文檔保護

在辦公局域網(wǎng)和技術(shù)局域網(wǎng)等內(nèi)部網(wǎng)絡(luò)中，采用“文檔安全管理系統(tǒng)CDG”。通過文檔透明加密對技術(shù)網(wǎng)絡(luò)內(nèi)的技術(shù)文檔、設(shè)計圖紙、源代碼、電路圖等核心資料進行自動、強制、實時加密。采用文檔權(quán)限管理對管理部門的辦公文件、財務(wù)部門的財務(wù)數(shù)據(jù)、銷售部門的客戶資料、市場部門的策劃方案等商業(yè)機密文件進行權(quán)限控制。通過兩種管理方式，確保內(nèi)部網(wǎng)絡(luò)終端安全，防止內(nèi)部核心信息外泄。

3.文檔外發(fā)控制

對企業(yè)內(nèi)部發(fā)往出差人員、合作單位等系統(tǒng)外的文檔，采用“文檔外發(fā)管理系統(tǒng)ODM”。ODM應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開時，需通過用戶身份認證，方可閱讀文件。同時，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時間等細粒度的權(quán)限，從而有效防止了客戶重要信息被非法擴散。

4.離線脫機辦公管理

在人員出差或其他情況下，需要外帶筆記本電腦，通過策略設(shè)定，可以確保對離線筆記本電腦數(shù)據(jù)的控制。

5.筆記本電腦管理

對存有重要資料的筆記本電腦，采用“磁盤全盤加密系統(tǒng)DiskSec”。DiskSec是一款防止筆記本電腦丟失、維修和報廢后導(dǎo)致數(shù)據(jù)泄露的透明加密軟件。在電腦關(guān)機的狀態(tài)下，硬盤中存儲的數(shù)據(jù)均被做了高強度加密，沒有用戶本人輸入密鑰，他人無法獲得硬盤上的加密數(shù)據(jù)，從而防止筆記本電腦數(shù)據(jù)泄露。

6.內(nèi)網(wǎng)端口管理和移動設(shè)備管理

對內(nèi)網(wǎng)中的所有端口和移動設(shè)備，采用“設(shè)備安全管理系統(tǒng)（DeviceSec）”進行管理。DeviceSec通過IP范圍和端口范圍的交叉判斷，對U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口進行控制，并能對拷貝到移動存儲設(shè)備的文檔加密。

7.文檔自動備份

文檔每次保存后均自動備份到備份服務(wù)器中。文檔管理員可通過改變備份的模式和途徑，實現(xiàn)備份管理。用戶在脫離服務(wù)器模式下的文檔，也將自動備份到本地硬盤中。通過備份，可有效避免因為各種意外導(dǎo)致的數(shù)據(jù)損失。

8.日志審計

能夠監(jiān)督、跟蹤、記錄所有用戶的全部操作，實時查看系統(tǒng)的使用情況，實現(xiàn)***的系統(tǒng)安全?？梢詮凝嫶蟮挠涗洈?shù)據(jù)中抽取有用的信息，對用戶的某些操作進行分類整理，通過操作記錄，回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。通過跟蹤目前用戶操作，能及時發(fā)現(xiàn)用戶的危險操作，在泄密事件發(fā)現(xiàn)前就獲得警報，制止泄密事件的發(fā)生。一旦泄密事件發(fā)生，通過用戶操作記錄, 可以***時間拿出最有力的證據(jù)。

四、方案特點：

1.億賽通DLP的所有功能基于一套完整、協(xié)調(diào)的體系，可以實現(xiàn)的統(tǒng)一管理和策略聯(lián)動，在實施、管理、維護、升級等一系列活動中，方便靈活，極大地降低了成本；

2.DLP體系以數(shù)據(jù)加密為核心，結(jié)合了身份認證、日志審計、文檔備份、文檔流程審批、外發(fā)控制等功能，系統(tǒng)本身具備容災(zāi)管理功能，在基于用戶需求的基礎(chǔ)上，配合各種安全策略，不僅從源頭上實現(xiàn)了文檔的保密，還有效實現(xiàn)網(wǎng)絡(luò)邊界管理，是高效的分域安全架構(gòu)；

3.能與各應(yīng)用平臺集成，支持通用文件格式如：office系列、PDF、CAD、源代碼、電路圖等。能與各種特性平臺集成，如各種OA系統(tǒng)，支持各種認證系統(tǒng)（AD、CA、ED等）。

4.該系統(tǒng)支持大用戶管理系統(tǒng)，能滿足10萬點以上大規(guī)模端點控制需求，可以實現(xiàn)負載均衡、熱備和多級管理模式等；

5.具有高度的模塊化和擴展性，可以根據(jù)制造企業(yè)發(fā)展的需要，擴展其他功能，比如：電子郵件加密，輸出內(nèi)容監(jiān)控等模塊。