企业信息资产安全内控整体解决方案.docx

《企业信息资产安全内控整体解决方案.docx》由会员分享，可在线阅读，更多相关《企业信息资产安全内控整体解决方案.docx（25页珍藏版）》请在第一文库网上搜索。

1、企业信息资产安全内控整体解决方案目录1信息安全建设和信息资产管理的现状与挑战41.1 信息安全建设的现状与挑战41.2 信息资产管理的现状与挑战41.3 业信息资产安全内控解决方案62.1 方案概述62.2 方案特点62.3 文件在流转过程中的安全62.3.1 驱动级透明力口解密技术62.3.2 多维权限控制72.3.3 精细化权限控制72.3.4 灵活的防扩散设置策略82.3.5 默认离线82.3.6 离线申请92.3.7 外发申请92.3.9 工作流标准102.4 文件在客户端的安全112.4.1 客户端部署112.4.2 客户端的兼容性112.4.3 客户端资源占用122.4.4 客户端

2、的安全接入122.4.5 客户端的安全登录122.4.6 客户端防破解122.4.7 客户端进程屏蔽132.4.8 客户端文件自动同步132.4.9 客户端扫描加密132.5 文件在服务器端的安全132.5.1 定制的操作系统132.5.2 CAS存根者架构142.5.3 硬件安全152.5.4 系统监控152.5.5 日志审计152.5.6 整合第三方认证系统162.5.7 网络交互162.3 方案拓扑172.3.3多点多设备182.4 方案收益182.5 产品规格193系统应用案例203.1 客户的挑战与目标203.1.1 科技部门科技类文档203.1.2 提供给业务部分析的交易数据203

3、.1.3 外包的信用卡中心203.2 解决方案21321科技类文档的安全使用213.2.1 交易数据的安全使用213.2.2 外包信用卡中信息的安全使用213.2.3 安全网络交互21325法规遵从、日志审计21326系统整合223.2.7 部署示意图231信息安全建设和信息资产管理的现状与挑战1.1 信息安全建设的现状与挑战随着科技的发展，人类的进步，信息对个人的发展、对组织间的竞争都会产 生巨大的影响，有时甚至是决定性的因素；以前人们常说资产信息化，现在都在 说“信息资产化”，因此、各行业企业都越来越重视信息的收集和管理。信息安全是个耳熟能详的概念，基本上每个计算机系统都有信息安全系统,

4、很多组织都已采用防火墙、杀毒软件、身份认证系统等进行信息安全系统建设。 信息安全的内容很多，我们可以抽象的将信息安全的内容理解为“外防”和“内控”, 前面说的防火强、杀毒软件、身份认证系统等，很大程度上都是防止外部人员对 组织信息的窃取和破坏。然而，正如我国信息安全专家沈昌祥院士所说，我国目前信息安全建设的最 大问题是花重金购买老三样防外而忽略了防内；据FBI调查有83%的安全事故 为“内部人员或内外勾结”所为。因此，今后一段时间内信息安全系统的建设应该 转向“内控为主、内外兼防”的模式。EFiIe正是针对信息安全系统建设的内控部分需求而研制的，在不影响员工 使用习惯的情况下,在组织内有权限的

5、人员可正常使用相关的文件信息、，多维度、 精细化的权限控制尽可能小的缩小机密文件的知情范围，即使文件被非法外泄, 非法被带出的机密文件不能使用，也不能获取机密文件的内容信息，从而保护组 织的信息资产在受控的状态下高效的使用。1.2 信息资产管理的现状与挑战我们可将组织的信息资产按其出去分为两类：一类是由业务系统管理的数据（如ERP、OA、CRM等），这类信息处于规 范管理和安全状态。另一类是游离在上述业务系统之外的，以电子文件形式存在的数据，像从业 务系统导出用于分析的客户资料、客户消费记录、商业合同、技术方案、代码文 档、各系统维护规范、紧急预案、运行报告、财务分析、销售分析、投融资报告、

6、重要活动的影音文件等，这类文件包含大量的机密信息和重要的工作成果，也是 企业的核心信息资产。这类文件包含大量的机密信息和重要的工作成果，这类文件的外泄或损毁会 给企业带来巨大的损失；分散在各终端电脑上会因电脑故障、病毒等原因造成重 要文件的丢失或损坏，也会因员工的离职造成重要文件外泄或丢失；采用文件服 务器集中管理并配上加密软件进行防扩散，这种方案也存在如下诸多不足：首先 存在管理员安全漏洞，系统管理员可轻易查看、拷贝甚至删除破坏整个组织的文 件信息；其次员工间文件共享和协同工作存在诸多不便或不足，文件量对系统速 度效率影响大，很难快速定位到自己需要的文件影响工作效率；第三文件重复存 储现象严

7、重，同一份文件经常被多人重复存储造成存储空间浪费增加存储成本; 还有因问错原因造成文件自损坏，导致文件用时不可用。企业信息资产安全内控解决方案正是针对上叙问题或不足提出的整体解决 方案。2、企业信息资产安全内控解决方案2.1 方案概述EFiIe采用软硬一体的架构，能将分散在各部门各员工个人终端电脑上的文 件信息进行集中管理、安全的存储做到用时可用；在不改变用户使用习惯的情况 下，在组织内有相关权限的人员可正常使用相关文件信息，一旦脱离组织环境, 机密文件被非法外泄后将不能使用，在组织内通过多维的、精细化的权限控制尽 可能小的缩小机密文件信息的知情范围；在对组织文件信息进行安全内控的同时 保证系

8、统和文件信息的易用性，通过全生命周期的版本管理进一步规范组织的文 件信息管理规范满足相关法规遵从，通过便捷共享、协同工作、全文检索等有效 提高员工的工作效率；系统在空闲时通过比对指纹码可查找和修复因位错损坏的 文件。2.2 方案特点企业信息资产安全内控方案对文件进行全生命周期的安全管理，保证机密文 件在流转过程中的安全、在客户端的安全及在服务器端的安全。2.3 文件在流转过程中的安全2.3.1 驱动级透明加解密技术透明加解密技术是近年来针对组织文件保密需求应运而生的一种文件加解 密技术。所谓透明，在组织内有相关权限的人员可正常使用文件，文件的加解密 动作都由驱动在后台自动完成，使用者感觉不到加

9、解密过程，但是文件一旦被非 法外泄到组织外将不能使用，其直接表现如下图：文件在企业内部打开文件植非法带出后2.3.2 多维权限控制文件使用者要想获取并能使用文件必须要满足多维权限的限制，首先必须要 得到文件所有者的授权许可，文件所有者拥有文件的所有权限，一般是文件的编 辑者或编辑者授予其为文件所有者的人；其次必须是在该机密文件限制的流转范 围内使用（机密文件的流转范围可以是组织内、部门内、项目组内甚至是某台终 端电脑）；第三必须具有和文件相同的或是更高的密级权限O通过多维权限控制， 在组织内有相关权限的人员可正常使用机密文件又缩小了机密文件的知情范围。2.3.3 精细化权限控制以文件所有者为导

10、向的共享机制，文件所有者在进行文件共享时可进行精细 化权限控制，可控制查看、下载、修改、覆盖、打印、截屏、再授权、删除以及 权限截止时间，同时，可以防止对象插入和对方拖拽。支持涉密和非涉密的OffiCe文件同时打开，方便用户使用。但文件不可以从 涉密文件拷贝至非涉密进程，保证了涉密文件的安全。通过精细化的权限控制使能使用机密文件的文件也不能通过非法手段轻易的对机密文件进行非法传播。Wordw 一机器的依据：EXCel为机密业务发展部（机）I MAC地址,硬就进程A o由第甘序2.3.4 灵活的防扩散设置策略可按部门或机器组设置某一类文件为机密文件；可设置机密文件的流转范围, 机密文件的流转范围

11、可以是组织内、部门内、机器组内、甚至是某台终端电脑； 可按部门按文件类别设置机密文件的主被动加密，即可选择文件自动加密或是人 为判断后再进行加密。某公司唯一认定某一台2.3.5 默认离线允许设置离线后默认使用涉密文件的时间。用户使用时长还有最后半个小时 会提示离线剩余时间；少于半个小时时，每10分钟提示一次离线剩余时间；剩 余10分钟后，每1分钟提醒一次。同时，用户无法通过修改本地时钟来延长文 档使用时长。这个策略可以保证突发故障仍能正常工作如断电后笔记本可以正常工作；网 络不通时客户机仍然可以工作；突然断电后再接通电源后，也不会对整个工作环 境造成影响。2.3.6 离线申请若有特殊超过默认离

12、线时间的情况出现时，如出差时，可以通过离线申请, 通过流程审批后可以控制机密文件使用的时间，保证离线后文件的安全。灵活自定义审批流程：可依据企业业务需求，灵活定义流程系统，实现单级 审批或者多级审批，同级别审批者可以在特殊情况下相互委托审批。全自动的审批过程：只需定义审批流程，后续的申请、审批、制作等过程都 将由系统在后台自动完成，避免了更多人涉及到明文。不仅简化了文件离线申请 过程，而且增强了系统的安全性。2.3.7 外发申请机密文件在相关责任人审批同意后可进行外发，外发的机密文件可进行有效 的控制，可控制打开时间段、打开次数、在那台终端设备上打开，是否允许打印， 在那台设备上打印。“立 暨

13、”上) y( ,AMMI 名悔7， Win7 .）； 客户端和主流杀毒软件具有广泛的兼容性（360、卡巴斯基、瑞星、金山、 江民、诺顿、McAfee.）；客户端和常用应用程序具有广泛的兼容性（OffiCe 系列、PDF系列、AutoCAD系列），通过配置可以对行业的特殊应用软 件实现兼容。客户端对终端电脑的系统资源占用很少，客户端启用前和启用后几乎感觉不 到资源占用变化，批量文件处理时有微小变化。CPUJl用情况25%2OiM - *广缗IAiM陶wrmri豆竹IttwI处4”内在9H情况2000 IBoO 10-OOeM0XMi Q98M-i /fBOOO J1户域小动的 才户*动洞文8枇维2中2.4.4 客户端的安全接入通过将机器的CPU、内存、硬盘序列号以及MAC地址这些信息做认证 码来