理工雷科部署领先DLP方案 构建数据防泄漏体系

每天，成百上千亿的数据在网络中流动，每时每刻，价值数据都存在泄密风险，不管是内部员工还是合作伙伴，无论是因为个人私利酝酿的恶意泄密，还是无意之举造成的数据安全危机，都是企业的致命软肋，也是当下企业CIO最为棘手的问题！

北京理工雷科有限公司主营雷达系统、卫星导航、数据采集/存储/处理等产品的研发和生产。作为高科技研发型制造企业，知识资产是理工雷科的立身之本，也是其持续创新拓展的有力保障。理工雷科意识到构筑一套完整的数据安全防护体系至关重要。

明朝万达数据安全产品在应用系统访问、文档安全、终端PC和移动终端设备等多方面安全保护向来领先同类产品，并已成功应用于制造研发型企业、金融、电信运营商等领域的众多客户，对此用户相当认可，并表示明朝万达的DLP技术已经非常成熟，值得信赖。北京理工雷科技术负责人特别提到，此方案不仅能提供完好的安全保护能力、资源占用低及兼容性良好，而且运行效率影响小、可运维性能良好、模式切换时更加灵活、便利。因此，在对各家产品进行综合评定后，北京理工雷科选择了明朝万达数据防泄密解决方案。

明朝万达DLP方案从数据泄密途径的可能风险点入手，围绕北京理工雷科内部数据的流转路径，制定完善的数据防泄密解决方案。具体方案分六步走：

第一步，建立数据保密体系

Chinasec以‘环境加密技术’为技术理念，为公司构架安全的保密体系。

采用多种管理手段结合的方式保护数据在生成、存储、交互、使用过程中的安全环节控制。在可信网络保密系统中主要采用了磁盘加密、网络传输控制、移动存储加密，外设控制等技术手段来保障数据安全环境的建立。

磁盘加密技术，保证一旦磁盘被拆卸或者丢失则无法打开数据。外设控制则可控制计算机通过非正常手段，比如蓝牙、红外等设备进行数据传输泄密。移动存储加密可提供强大的移动存储管理功能，既方便内部交流使用又将数据加密防止数据泄密。网络传输控制可以控制所有管理范围终端只允许访问核心应用系统，其他无关网络不能访问。外设接口管理控制了终端无法通过外设接口以设备模式传播数据。防止数据不被未授权的人员发送或者传播。总而言之就是数据可以在环境内部自由使用，但是一旦离开环境就会变成密文甚至是无法离开。

第二步，控制数据交换

数据的交换是整个数据生命周期中极其重要的一个环节，所有的泄密事件中很多都是出自这个环节上，而由于公司的环境复杂，数据流转周期很长，涉及到的部门、人员、目的已经很难统计，所以需要根据数据交换者、使用目的等进行归类分析，对于内部的数据交互：Chinasec的环境加密技术通过对公司所有终端的电脑下发相同的网络控制策略、移动存储管理策略、外设控制策略等，可以保证在同一策略体系下，公司之间的数据是可以畅通无阻的；对于合作伙伴，采用严格的数据外发审计手段，保证外发数据必须经过审批流程，未经过审批外发的文件都是密文，而经过审批的文件的生命轨迹也需要受到控制，即保证了数据可以外发，又实现了数据在外发之后的可控性。

第三步，实施资源安全认证

公司人员流动量大，部门数量多，职责和权限各不相同，如果公司员工访问了其权限以外的信息资源，如重要计算机，数据库服务器，核心文件等，将会对内网的信息安全构成极大的威胁。现有的资源控制手段基本上是用户名+口令的形式，比如windows登录名和密码等，很容易被侦听，破解和窃取。

对其特殊文件（如公司规划、财务文件、人事任命书、合同等）进行权限管理，对信息中心的涉密人员进行认证和授权，强大完善的用户身份认证体制有效保证访问者的安全。

第四步，与应用系统相结合

对于企业而言，应用系统上承载了大量的数据，其重要性不言而喻，而由于应用系统上涉及到的人员、部门众多，很难进行统一管理。因此对应用系统采用安全准入的保护方式。对于和应用的集合，Chinasec充分考虑到了用户各种的内网环境，不适做高密度的数据加密，继而采用两端明文，中间密文传输的保护方式，实现服务器数据保护。

第五步，对移动办公进行灵活管理

方案提供多种策略模型和灵活的规则组合方式满足不同工作环境下的办公需求。在自身的运行过程中提供三权监管的方式，将权限分散并且提供相应的约束条件。

Chinasec数据防泄密解决方案通过制造两种不同安全级别的应用环境来区分重要文件和私人文件。为计算机设定不同的模式，来同时满足用户个人使用和企业数据的保密需求。而磁盘加密技术可很好解决由移动电脑遗失带来的安全困惑。

第六步，终端监控审计和日志追溯

对于完善保密工作，事中控制和事后审计无疑是最后也是最有利的一种管理方式，通过控制和审计，既可以对已发生的动作起到补充，又能对以后的行为起到警示。强大的日志审计平台，能够为企业提供丰富的日志报表查询，同时根据需要可设定日志存活周期，也可支持无期限记录系统日志；系统管控范围内终端及用户的所有操作日志，均被详细记录，同时根据审计需要可输出各种类型报表。除了可以对涉密文件进行审计之外，更可以扩展到用户的行为动作。由此可以扩展管理面积，增加管理手段，同时由于所有的审计都是自动运行，所以大大减少了公司的维护和运行成本。

各个步骤，基于Chinasec安全平台展开，相辅相成，共同打造数据防泄密完整体系，确保北京理工雷科核心机密的安全无泄。

明朝万达数据防泄密方案特点

◆ 整体性的解决方案。基于Chinasec可信网络安全平台实现了整体方案架构的制定，实现了服务器认证管理、数据运行环境加密、数据终端操作行为监控与审计等多种功能，从多个角度提升数据保护力度；

◆ 兼容性较好。在统一的产品平台下，实现复合型的管理与保密功能，不会产生子功能间相互干扰与影响的情况，保证终端稳定运行；

◆ 基于环境加密的解决方案自适性良好。在提供对现有环境与状态下的数据防护，亦可满足将来实施或升级各类应用系统与终端软件而产生的新的保密需求；

◆ 终端系统资源占用率较低。基于磁盘驱动层与网络协议层的数据控制，最大程度降底了系统对网络与本地计算机的资源消耗；

◆ 独特的工作模式切换可以考虑到工作和生活的兼顾，降低了数据保密对使用人员的约束，提升了计算机的利用价值。

明朝万达数据防泄漏解决方案不仅能较全面地满足北京理工雷科最重视的指标，可以支持其复杂多样的工作场景，而且从产品实力、服务支持、实施经验等多个维度看，明朝万达的综合实力能满足北京理工雷科的需求。