一. 制造行業(yè)DLP項目的驅(qū)動力

制造行業(yè)的核心競爭力就是知識產(chǎn)權(quán)，一張設(shè)計圖就可以決定公司的盈虧。三一與中聯(lián)的案例每天都會在國內(nèi)上演，信息保護法律相對滯后的大環(huán)境下，推進DLP項目便成了制造行業(yè)保護核心競爭力的最主要的驅(qū)動力了。

各種竊取手段當(dāng)中，最難防的就是最近曝光度很高的APT攻擊。但制造業(yè)在這方面有個先天優(yōu)勢，即可以用最直截了當(dāng)?shù)姆绞絹矸乐笰PT攻擊，不用像其它行業(yè)那樣，上加密產(chǎn)品還要遮遮掩掩。因此，制造行業(yè)最有效防止APT攻擊一般都是直接考慮加密產(chǎn)品，因為制造業(yè)耗不起長時間的取證、訴訟的漫長過程。

二. 數(shù)據(jù)防泄密需求

2.1 加密需求

1. 信息加解密必須是強制的;

2. 不改變用戶的使用習(xí)慣;

3. 文件的解密工作可由用戶提出，并按照內(nèi)部的工作習(xí)慣進行流程審批;

4. 轉(zhuǎn)換授權(quán)后的文檔具有使用時限、瀏覽次數(shù)等控制;

5. 在特殊情況下，計算機能夠脫離網(wǎng)絡(luò)環(huán)境使用，同時保證信息安全性;

6. 計算機離線能夠由用戶提出申請，按照內(nèi)部的工作習(xí)慣進行流程審批;

7. 受保護的文檔只能在公司內(nèi)部流傳，即使泄露出去，對方也無法打開 ;

8. 保證中高層領(lǐng)導(dǎo)可以對私人文檔進行控制;

9. 防止員工通過截屏、修改后綴名等方式繞過防護;

10. 分公司的架構(gòu)要滿足;

11. 支持制造行業(yè)軟件和應(yīng)用系統(tǒng)。

三. 解決方案

3.1 總體設(shè)計

根據(jù)某公司的數(shù)據(jù)安全需求，在總部部署總控制臺和子系統(tǒng)，在各分公司部署子系統(tǒng)。總體設(shè)計如下圖所示：

各公司的終端用戶都接入到各自的子系統(tǒng)中，各子系統(tǒng)全部接入總部的總控制臺中，各公司管理員通過統(tǒng)一的入口訪問總控制臺來管理各公司的客戶端。

3.1.1 總部和分公司架構(gòu)

考慮到各分公司實際客戶端的數(shù)量，有些分公司客戶數(shù)比較小，在帶寬允許的情況下，客戶端可直接接入總部，由總部統(tǒng)一管理。分公司客戶數(shù)大的，需要建設(shè)子系統(tǒng)。下圖為總部和分公司之間系統(tǒng)的架構(gòu)圖：

各服務(wù)器及設(shè)備作用如下：

總控制臺：系統(tǒng)管理員統(tǒng)一登錄的入口，各分公司管理員登錄后，按自身的級別和權(quán)限顯示可管理的范圍及權(quán)限，如武漢分公司的管理員登錄后，只能管理武漢分公司的客戶端，假如該管理員沒有日志管理權(quán)限，那么他不會查看到日志及報表;

AD服務(wù)器：該服務(wù)器為企業(yè)已有的AD服務(wù)器(假設(shè)有)，可以考慮天榕的用戶信息集成AD域的用戶，實現(xiàn)單點登錄。也可支持LDAP系統(tǒng);

認證服務(wù)器：負責(zé)接入客戶端及身份認證;

FTP服務(wù)器：負責(zé)存儲客戶端供升級或安裝，接收并存儲被解密的原文件，供信息審計部門審核;

日志服務(wù)器：接入客戶端的操作日志及管理員的操作日志，供信息審計部門審核;

Oracle數(shù)據(jù)庫(運行數(shù)據(jù)和日志數(shù)據(jù))：存儲運行數(shù)據(jù)和日志數(shù)據(jù)的服務(wù)器，分開部署的好處是增加高可用性(日志數(shù)據(jù)出現(xiàn)問題不會影響系統(tǒng)運行);

負載均衡設(shè)備：為認證服務(wù)器提供負載均衡服務(wù)，保證系統(tǒng)的高可用性;

總部和分公司的架構(gòu)：

◆總部有子系統(tǒng)和總控制臺，總部的子系統(tǒng)與總控制臺共用一套數(shù)據(jù)庫，數(shù)據(jù)庫存儲全公司的數(shù)據(jù);

◆總部數(shù)據(jù)庫支持集群架構(gòu)，可按實際客戶數(shù)計劃部署方案;

◆全公司客戶端的組織結(jié)構(gòu)分配、策略分發(fā)、后臺服務(wù)器設(shè)置、日志查詢、報表生成、客戶端管理等功能都在總控制臺上完成;

◆總部互聯(lián)網(wǎng)區(qū)域為DMZ區(qū)部署的服務(wù)器組，負責(zé)接入總部地區(qū)的外網(wǎng)客戶端，此架構(gòu)可按實際需要部署;

◆分公司子系統(tǒng)中有認證服務(wù)器、日志服務(wù)器、FTP服務(wù)器及數(shù)據(jù)庫服務(wù)器，負責(zé)分公司的客戶端升級及下發(fā)、客戶端的接入、日志的記錄;

◆分公司的數(shù)據(jù)庫可定時同步到總部的數(shù)據(jù)庫中;

◆分公司互聯(lián)網(wǎng)區(qū)域為DMZ區(qū)部署的服務(wù)器組，負責(zé)接入分公司地區(qū)的外網(wǎng)客戶端，此架構(gòu)可按實際需要部署。

3.1.2 用戶認證設(shè)計

天榕提供三種用戶認證模式，具體如下：

◆硬件ID方式：天榕客戶端安裝時取計算機的硬件ID，作為用戶認證的標(biāo)識，如果管理員確認是本公司內(nèi)的計算機，可以選擇允許接入，否則不能接入系統(tǒng);

◆集成內(nèi)部AD或LDAP賬戶：天榕服務(wù)端直接取AD或LDAP服務(wù)器的賬戶信息，合法的內(nèi)部用戶才能接入使用;

◆令牌模式：使用令牌(usb-key)作為用戶唯一身份識別，插入令牌并輸入正確的密碼才能通過身份認證，接入使用。

3.1.3 信息審計設(shè)計

1.1.1.1. 角色的職責(zé)和權(quán)限

對于屬于制造行業(yè)所有的電子文檔，設(shè)立以下管理角色，具體職責(zé)和權(quán)限如下：

3.2. 數(shù)據(jù)安全策略

這個地方我以一個制造客戶的部分安全策略案例提供數(shù)據(jù)安全策略的建議。

各部門及每個崗位制定如下安全策略(僅以O(shè)ffice和PDF為例，實際項目中會有非常多的專業(yè)軟件)：