数据加密实施方案模板.docx

《数据加密实施方案模板.docx》由会员分享，可在线阅读，更多相关《数据加密实施方案模板.docx（28页珍藏版）》请在第一文库网上搜索。

1、数据加密项目技术方案书目录一、 项目概况31 .数据安全现状31.1 法律法规大环境41.2 数据难以管理51.3 XX行业数据价值高52 . 痛点及需求53 .建设目标64 .建设内容7二、实施方案75 .0工作统筹72.0.0工作计戈IJ72.0.1 实现效果92.0.2标准定义92.1 里程碑102.1.1 关键阶段里程碑102.1.2 实施计划112.2 前期必要资料输出122.2.1 资料输出122.2.2 调研资料122.3 整体培训122.3.1 培训内容122.3.2 培训时间12233培训地点132.4 测试132.4.1 测试概要132.4.2 测试环境部署142.4.3

2、软件适配性测试162.4.4 软件功能测试172.5 全面布署211.1 .1全面布署212.8 实施风险管控25一、 项目概况1 .数据安全现状数字化中国趋势带来的业务与数字技术的不可分割，以及国家网络安全 监管要求的不断提升，对网络安全管理提出了更高的要求，驱动着网络安全 管理理念的转变，“网络安全”本身同样面临“数字化转型”的需要。网络 安全工作模式需要与数字化转型相适应，进而演进为新的安全工作模式。当前，5G、云计算、大数据、物联网、人工智能等新一代信息数字技术 的创新应用，数据成为数字经济时代最核心、最具价值的生产要素，对促进 经济发展起到了重要作用。但从产业层面上来看，国内安全投入

3、一直偏低， 安全投入占信息化总投入的比重过低，远低于全球平均水平，限制了安全产 业的技术创新应用和布署，约束了产业进一步发展。与此同时，据“中国数据安全行业现状深度分析与未来投资调研报告(2022- 2029年)”分析，随着物联网、边缘计算等智能终端设备不断普及，致使物联 网设备信号、元数据、娱乐相关数据、云计算和边缘计算的数据增长的驱动， 全球数据量呈现加速增长。根据IDC分布的数据时代2025预测，中国企业 级数据量将从2015年占中国数据量的49%增长到2025年的69o 另一方面，随着全球数据量的增长，数据泄露事件频出，安全成本逐年上升。 根据IBM 一项安全研究报告，2021年企业平

4、均每起数据泄露事件成本为424万 美元，是自2004年以来最高值。尤其在疫情发生后，远程办公、协同办公、线上运营等新IT架构弱化了曾经的 安全防护，导致安全成本平均提升了 10%左右。如果未对远程办公等及时跟进 安全建设，数据泄露发生更为容易，直接阻碍企业运营和发展。因而，近年来 我国数据安全行业市场需求快速增长，推动着我国数据安全行业快速发展。1.1 法律法规大环境网络安全以及数据安全是数字化中国发展进程中的重中之重,没有网络安全 就没有国家安全，在数字化、信息化飞速发展的今天，网络空间已经成为继海陆 空以及外太空之外，第五大国家必争的领土空间。网络安全也就成为维护网络空 间领地的重要课题，

5、而数据安全，则在网络安全的前提下，成为了必须关注的安 全生产保隙。2017年；网络安全法规定了 “网络运营者对个人信息保护的责任”条款，强化个人信息保护。在网络信息安全特别是个人信息保护方面，网络运营者、任何个人和组织、 网络安全监管人员必须承担的责任和义务，相应的也要承担法律责任；维护 网络空间主权和国家安全。2021;关键信息基础设施安全保护条例旨在建立专门保护制度，明确各方责任，提出保障促进措施，保障关键 信息基础设施安全及维护网络安全，根据中华人民共和国网络安全法， 制定的条例。；保护公民、法人和其他组织的合法权益。大力发展网络安全建设，能够保障网络安全，维护网络空间主权和国家 安全，

6、保护公民、法人和其他社会组织的合法权益。2021;数据安全法为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定的法律，规范数据 处理活动。1.2 数据难以管理XXXXXXXXXXXXXXXX1.3 XX行业数据价值高2021年勒索病毒全网行业感染数据显示，企业、科研教育、政府等行业 感染高居不下，各行业数字化转型趋势是主要安全挑战之一，巨额的回报是 勒索产业不断演进催生新的盈利模式。更关注企业自身业务活动中涉及到的信息安全合规,要求企业的活动与所适 用的法律、监管规定、规则、协会制定的有关部门准则，以及适用于企业自身业 务活动的行

7、为准则相一致。2 .痛点及需求痛点：企业公司内网中存放了大量敏感数据,如生产工艺、配方、客户信息等数据， 但现阶段，企业公司针对这些敏感数据采取的安全防护手段并不完善，当前急 需提升终端文件安全保密的级别。数据丢失或外泄：存储关键数据的移动存储设备丢失或失窃，造成严重的泄 密事故且难以追查。缺乏数据使用管控：文件外发途径多且不可控，一旦内部员工刻意外泄敏感文件，造成机密文件流出，造成严重损失，无法朔源追踪，定位责任人。数据把控一刀切：文件重要级别定义笼统模糊，区分困难，缺乏明确标准, 且级别定义过程无法审计，把关，造成不同敏感程度文件混用，管理混乱。若统一按最高权限管控，容易浪费人力物力，影响

8、工作效率，统一按低级别 管控又存在严重安全问题。84%的组织非常关注暗数据（又称影子数据）这是组织不知道或看不见的数据，但通常占现有所有数据的一半以上， 并且可能是高度敏感或关键的数据。80%的组织认为非结构化数据最难管理和保护。非结构化数据通常包含各种敏感信息，如知识产权、业务和财务数据、 客户ID等，并且由于其固有的复杂性，传统上难以扫描和分类。超过90%的组织难以围绕敏感或关键数据实施安全策略。足够的数据策略范围和执行对于正确管理、修复和保护数据资产至关重 要。需求解读：XXXXXXXXXXXXXXXXX3.建设目标大数据时代,所有的业务都是数据驱动的,一旦敏感数据被锁定或泄露， 会造成

9、重大经济损失或生产瘫痪。数据全生命周期的安全，比如采集、传输、存 储、处理、交换、销毁等的安全直接关系到企业整体安全。因此，根据数据安全 法中的数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急 处置等基本制度，建议一套完善的文件安全保密流程和制度，有效保护企业公 司数据生命周期安全。通过一套完善的文件安全管理系统，完成全公司包括子公司的终端设备文 件安全防护：同时，搭建完整的数据安全生命周期使用体系，满足安全合规要求，从而加 强合规建设，消除合规性风险，确保系统运行的安全性，通过风险处置，降低损 失，解决业务运营风险，落实对企业业务发展的有力支撑。4健设内容本次项目主要建设内容

10、：布署文件加密系统；建立数据安全的管理体系，技术体系和安全运营体系, 全面保障数据安全，形成一套完整的数据安全管理体系。实施总体架构图：如图所示：XXXXXXXXXXXXXX二、实施方案2.0工作统筹2.0.0工作计划快速上线产品，达到快速使用，尽早保护的效果，完成建设目标，拟计划工 作安排如下:2.0.0.1调研输出物XXXXXB：调研输出1.测试人员信息表释义：根据采样标准确定本次测试涉及部门及人员名单；根据每个部门内部的组织架构的不同特点,定义出每个部门产品使用的 部门管理员，审批人。4.问题汇总表测试、实施期间输出，问题汇总及拟解决办法。2.0.0.2开展培训根据输出的培训计划表，开展

11、培训。内容：测试期间产品的使用；实施中后产品的使用，注意事项，运维管理办法， 培训资料和计划对象：XXXXo时间：详见培训计划表地点：XXXX2.0.0.3软件测试培训过后，按照测试人员信息表、测试时间安排表，安装软件，并进 行兼容性测试验证和功能性测试验证,测试确定可布署后,进行下一步全面布署。2.0.0.4软件布署测试成功后，全公司总部按照XxXX进行总部全面布署部署。2.0.1实现效果加密：默认以上格式的文件全盘加密，同时，管理员可添加自定义格式的文件进行 加密；在当前产品能够适配的软件、文件格式下，可以做到无障碍使用，此外的文 件，需要申请解密后方可使用。上传文件至业务系统服务器时，自

12、动解密，下载后自动加密。审批：XXXXXXXXXXXXXXXXXXXXXXXX使用场景说明:阶段内部流转已装-未装客 户端文件外发终端离线终端-业务系 统实施中XXXX实施后二期全阶段2.0.2标准定义根据测试以及全面使用需要，本次文档统一定义策略配置标准及审批规则定 义标准，布署配置时参照此标准。A:策略标准：加密策略：默认格式+手动添加格式文档加密，可选择全部勾选也可按照软件适配 表勾选（暂不加密未适配文件格式）。审批策略：禁止终端自行加解密，强制记录文档操作日志，启用外发功能且强制审 批。密钥策略：定义策略名称，全公司默认密钥，AES加密算法，128位密钥。汇总成策略组，添加组名称，下发

13、至客户端。B:审批规则标准：审批级别（1-3）由部门主管根据部门特性定义审批级别及该级别人员。建议：一级审批人：部门主管及其自行选择审批人二级审批人：部门总监三级审批人：公司总裁2.1 里程碑2.1.1 关键阶段里程碑序 里程 碑交付物工作内容开始时间结束时间2.1.2实施计划时间节点阶段工作内容开始时间结束时间需求采集需求调 研阶段方案输出方案阶 段准备阶 段测试及 完善阶 段全面布 署阶段2.2 前期必要资料输出221资料输出XXXXXXXXXXXXXXX2.2.2调研资料XXXXXXXXXXXXXXXXXXXXXX1 .测试人员信息表释义：根据采样标准确定本次测试涉及部门及人员名单；根据

14、每个部门内部的组织架构的不同特点,定义出每个部门产品使用的 部门管理员，审批人。XXXXXXXXXXXXXXXXX2.3 整体培训根据前期调研,统计出需要参与培训的人员及培训时间,输出培训计划表。2.3.1 培训内容XXXXXXXXXXXXXPS:培训I 核心：XXXXXXXXXXXXXXX2.3.2 培训时间培训时间定为:详细安排见培训计划表。233培训地点2.4 测试全面布署实施前需要进行软件兼容及功能测试，为产品安全使用提供保障。 测试工作主要包括测试环境布署、软件适配性测试以及软件功能性测试。2.4.1 测试概要按照采样标准，采集确定测试部门，测试人员，为测试做好前期准备。2.4.1.1 涉及部门公司总部全体部门2.4.1.2 涉及终端或人员A.基本要求添加产品对硬件参数，网络参数的要求标准。B.采样具体标准XXXXXXXXXXXXXXXXXXC：定义组织人员D:组织架构根据企业项目对接人的沟通，调研，资料查阅，绘制公司总部的组织架构 图标，清晰明确部门组织架构。E:二次确认测试时间内容：调研、咨询企业对接人，确认测试范围内的部门业务特性，制定兼容性测试 以及功能