亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点
按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6 北京亿赛通科技发展有限责任公司 2010 年 8 月
亿赛通科技 ANISEC 产品白皮书 V1.6 版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产品白皮书。文中的资料、说明等相关内容归北京亿赛通科技发展有限责任公司所有。本文中的任何部分未经北京亿赛通科技发展有限责任公司(以下简称“亿赛通” )许可,不得转印、影印或复印。支持信息感谢您关注亿赛通数据泄露防护产品!公司地址:北京市海淀区上地信息路 10 号南天大厦 2 层邮编:100085 亿赛通客服中心:电话:400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以及产品的报价等信息,请您查阅我公司网站: https://www.360docs.net/doc/4d7450131.html, 亿赛通科技北京亿赛通科技发展有限责任公司
亿赛通科技 ANISEC 产品白皮书 V1.6 目录第 1 章亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简
介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块) .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管
理.......................................................................................................... 4 第 4 章 AniSEC 主要功能 ........................................................................................... 5 4.1 硬盘全盘数据保护.......................................................................................... 5 4.2 系统启动认证.................................................................................................. 5 4.3 强大注册表保护措施...................................................................................... 5 4.4 端口控制.......................................................................................................... 5 4.5 光盘安全刻录.................................................................................................. 5 4.6 应急恢复系统.................................................................................................. 5 亿赛通科技北京亿赛通科技发展有限责任公司
亿赛通科技 ANISEC 产品白皮书 V1.6 第 1 章亿赛通数据防泄露 DLP 系统简介亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系以数据加密为核心,秉承 "事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏的安全目标。DLP 体系从终端(数据源头)、网络(数据通路)和存储(存储状态)三个层次入手,安全管控核心数据的形成、存储、使用、传输、归档及销毁全生命周期,结合企业组织特有的业务需求、业务模式和管理文化,为企业组织提供完整的数据泄漏防护解决方案。亿赛通科技终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露;网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露;存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全,防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法泄露。北京亿赛通科技发展有限责任公司
亿赛通科技 ANISEC 产品白皮书 V1.6 第 2 章 AniSEC 产品简介 2.1 产品概述AniSE 是防止在计算机丢失或失窃后硬盘数据的泄密和低端用户使用控制及外设管理控制等多模块化产品。它不改变用户使用计算机的习惯,除在每次启动计算机时需输入用户的密码外,用户在正常使用计算机的情况下,根本感觉不到它的存
在。 2.2 产品应用需求 AniSEC 终端安全防护系统是一套解决涉密单位终端安全的平台级系统,通过磁盘全盘数据保护的先进技术手段,对涉密终端进行安全管理控制,包括物理硬盘的数据保护(包含操作系统)、外联端口的安全管理控制策略、电子文件系统的安全防护等等,保障涉密终端各个数据处理环节的信息安全,全方位地防范数据丢失。 2.3 产品效果图亿赛通科技北京亿赛通科技发展有限责任公司
亿赛通科技 ANISEC 产品白皮书 V1.6 第 3 章 AniSEC 产品主要特点 3.1 全面的数据泄露防护 AniSEC 终端安全防护系统采用模块化设计,具有良好的可扩展性,可根据计算机技术的发展和用户对信息安全需求的变化而变化。目前,AniSEC 主要有下面三大模块构成: 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块)硬盘全盘加密模块是 AniSEC 的核心模块,它能够提供对硬盘的全面保护,通过加密整个硬盘数据(包括操作系统),能够确保在没有用户密码或UEKY 以及 UKEYPIN 码的情况下,即使获得硬盘也无法得到其中存储数据的明文。 3.1.2 外设控制模块外设控制模块是用来防止涉密数据在未经许可的情况下,通过计算机外设将涉密数据拷贝出去,该模块能够提供对计算机各种常用外设的访问控制,如光驱、软驱、打印机、网卡、无线网卡 WIFI、串口、并口、红外设备、蓝牙设备、调制解调器、Pcmica 卡、1394、USB 存储设备等。亿赛通科
技 .3.1.3 光盘加密模块光盘加密模块是 AniSEC 的外围模块,其主要功能是防止涉密数据通过光盘刻录等方式进行泄露密,该模块通过对刻录到光盘的数据进行加密实现对涉密数据的保密。 3.2 系统高安全性 3.2.1 全盘加密技术 AniSEC 采用的是全盘动态加密技术,能够加密包括操作系统在内的硬盘上的所有数据,而且不改变用户使用计算机的习惯。北京亿赛通科技发展有限责任公司
亿赛通科技 3.2.2 安全可靠的加密算法 ANISEC 产品白皮书 V1.6 在 AniSEC 中,在加密系统参数、证书、密钥、硬盘数据等不同的数据时,采用了不同的加密算法,涉及的加密算法主要有 RSA、RC4、RC6 和 AES,其安全性和可靠性是经过国际上许多密码学研究者广泛研究证明的,而且经过长期的实践检验, 3.2.3 足够长的密钥长度 AniSEC 中的提供的密码、加密密钥等的长度均达到了目前国际
上公认的安全长度,其中用户密码和硬件锁 PIN 码的长度为 256 位,硬件锁中加密数字证书的密钥长度为 1024 位,而加密硬盘数据的加密密钥长度高达 2048 位,且加密密钥可使用的字符覆盖计算机的所有字符集(即包含不可显示字符在内的所有字符)。 3.2.4 先进的身份认证技术对用户身份的认证,AniSEC 提供了目前国际上最先进的双因子认证方式,不仅提供了口令和硬件锁双因子认证方式,而且将硬件认证与密码认证关联起来。 3.3 高可维护性亿赛通科技 AniSEC 通过动态加解密技术的应用,保证了在安装 AniSEC 后,基本不改变用户使用计算机的习惯,AniSEC 提供的内嵌急救系统和光盘急救系统为维护计算机系统提供了极大的便利,能够保证在系统出现各种异常的情况下,只要用户没有忘记密码或口令,就能够保证用户数据的安全。 3.4 分级管理 AniSEC 有完善的用户分级管理体系,即系统管理员、终端管理员和普通用户。系统管理员可以通过加密狗管理拥有UKEY 的终端管理员,而终端管理员使用 UEKY 管理普通用户使用的终端设备。
北京亿赛通科技发展有限责任公司
亿赛通科技 ANISEC 产品白皮书 V1.6 第 4 章 AniSEC 主要功能 4.1 硬盘全盘数据保护对整个硬盘上的数据(包括 Windows 操作系统文件)进行全盘数据保护。只有用户本人可以启动计算机,其他人使用间谍工具或将硬盘挂接到其它计算机,都无法读取磁盘里的加密内容。 4.2 系统启动认证 AniSEC 系统启动采用多种用户认证机制,启动更加安全。 4.3 强大注册表保护措施采用专有的目录、文件、注册表保护技术,有效防止非法修改注册表、目录和文件的内容。 4.4 端口控制 AniSEC 系统细粒度的控制各种外设端口,可禁止手机同步,如:光驱(刻录控制)、 USB 存储设备、打印机、串、并口、红外、蓝牙、1394 等。亿赛通科技4.5 光盘安全刻录防止涉密数据通过光盘刻录等方式进行泄露密,对刻录到光盘的数据进行保护,从而使用户不仅能正常使用光盘,而且能够保证涉密数据的安全。刻录同时留有日志,以便管理人员随时检查审核。 4.6 应急恢复系统具备强大的应急恢复能力,涉密计算机进行系统部署安装后,发生任何异常问题,都可以通过管理员来利用内嵌急救系统和光盘恢复系统二种方式来进行应急恢复处理。北京亿赛通科技发展有限责任公司
Symantec DLP数据防泄漏系统运维操作手册
目录1DLP系统检查 (2) 2DLP系统监控 (6) 2.1服务监控 (6) 2.2性能监控 (6) 3DLP系统维护 (7) 3.1ENDPOINT服务器的停止、重新启动 (7) 3.2配置事件计数器 (9) 3.3日志文件 (11) 4DLP系统常见问题处理 (13) 4.1DLP客户端常见问题 (13) 4.1.1客户端主要进程有哪些 (13) 4.1.2如何卸载客户端 (13) 4.1.3如何检查DLP客户端是否连接服务器 (13) 4.1.4客户端安装日志收集方法 (13) 4.1.5DLP客户端支持哪些操作系统 (13) 4.1.6为何安装了DLP客户端后,我的C盘(系统盘)剩余空间很 快用完了 (14) 4.1.7DLP客户端为何连接不到Endpoint Server (14) 4.1.8客户端安装出现进度条回滚 (14) 4.1.9客户端安装时,CMD窗口一闪就消失了,并提示Windows Installer存在问题 (14) 4.1.10客户端程序安装结束后发现没有EDPA.EXE服务和进程 (15) 4.1.11EDPA服务器无法启动,提示16398 0X4005错误 (15) 4.2DLP服务器常见问题 (15) 4.2.1搭建管理服务器时,执行命令报错或不成功 (15) 4.2.2使用EM登入到数据库发现表空间占用接近100% (15) 4.2.3升级服务器的过程中出现文件被锁定的错误提示 (15) 4.2.4使用sqlplus连接数据发现数据库用户被锁 (15) 4.2.5管理服务器控制台中发现生成的事件没有关联到域属性信息 (16)
1 DLP系统检查1、DataInsight系统服务器主机检查: 1)步骤:本地运行mstsc,输入IP,输入用户名和密码 检查项1:能否正常登录服务器 2)步骤:开始-----运行-----输入:service.msc 检查项2:检查服务Datainsight相关服务是否开启 DataInsightComm DataInsightConfig DataInsightFpolicy DataInsightWeb 此部分的Datainsight服务可利用现有的监控平台对应用程序运行状态进行监控。 3)步骤:双击桌面程序“Symantec Data Insight Console”------输入用户名和密码检查项3:能否正常登录控制台
数据泄露防护解决方案
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
简述网络信息安全防护体系——朱节中
滨江学院 网络信息安全课程论文题目简述网络信息安全防护体系 院系计算机系 专业软件工程 学生姓名王二麻 学号 20122344900 学期 2014-2015(1) 指导教师朱节中 职称副教授 二O一四年十二月九日
简述网络结构安全防护体系 一、引言 计算机网络是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以讲驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。 网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络得到可持续的稳定运行,信息能够完整的传送,并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。 网络安全防护体系是基于安全技术集成的基础之上,依据一定的安全策略建立起来的。 二、需求与安全 网络本身的开放性、无界性等特性,在给工作、学习、生活带来巨大便利的同时,也带来了了一些不容忽视的问题,网络安全就是其中最为显著的问题之一。 2.1 信息 信息是资源,信息是财富。信息化的程度已经成为衡量一个国家,一个单位综合技术水平,综合能力的主要标志。从全球范围来看,发展信息技术和发展信息产业也是当今竞争的一个制高点。 计算机信息技术的焦点集中在网络技术,开放系统,小型化,多媒体这四大技术上。2.2安全 Internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时,Internet 在全世界迅速发展也引起了一系列问题。由于Internet强调它的开放性和共享性,其采用的TCP/IP、SNMP等技术的安全性很弱,本身并不为用户提供高度的安全保护,Internet自身是一个开放系统,因此是一个不设防的网络空间。随着Internet网上用户的日益增加,网上的犯罪行为也越来越引起人们的重视。 对信息安全的威胁主要包括:
亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点
按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6 北京亿赛通科技发展有限责任公司 2010 年 8 月 亿赛通科技 ANISEC 产品白皮书 V1.6 版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产品白皮书。文中的资料、说明等相关内容归北京亿赛通科技发展有限责任公司所有。本文中的任何部分未经北京亿赛通科技发展有限责任公司(以下简称“亿赛通” )许可,不得转印、影印或复印。支持信息感谢您关注亿赛通数据泄露防护产品!公司地址:北京市海淀区上地信息路 10 号南天大厦 2 层邮编:100085 亿赛通客服中心:电话:400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以及产品的报价等信息,请您查阅我公司网站: https://www.360docs.net/doc/4d7450131.html, 亿赛通科技北京亿赛通科技发展有限责任公司 亿赛通科技 ANISEC 产品白皮书 V1.6 目录第 1 章亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简 介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块) .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管
商业银行数据安全保护体系的建设思路
商业银行数据安全保护体系的建设思路一、前言 近年来,随着商业银行信息化的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。银行通过信息化大大提高其生产效率,从传统的柜面银行与24小时自助银行,再到手机银行,微信银行。银行的业务受理无论在空间和时间上都得到了极大的拓展,依赖于信息系统的发展而运行发展并壮大。 但是当银行正在利用信息化技术高效率的进行跨地域、跨国家的信息交流时,海量的如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密数据也随之被传输。信息技术本身的双刃剑特性也在组织网络中不断显现:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词,“力拓案”、“维基泄密”等事件让信息安全事件迅速升温,信息防泄密成为商业银行越来越关注的焦点。 我们结合目前数据保护技术现状及个人数据保护建设经验,对商业银行数据保护建设思路进行梳理。 二、商业银行数据保护的困境 2.1数据存在形式多、访问人员多、存储分散、易传播 在商业银行内部,有海量电子数据,纸质数据,且一直处于动态增长状态,如用户基本信息,账户信息;应用系统源码,需求说明,设计说明文档:系统的用户名和密码;系统交付及规划资料:网络拓扑图、IP地址清单;安全设备的告 警和自动生成的报告、日志;甚至于一些管理决策支撑信息:如银行经营状况分析报表、某分行业务经营报告、风险管理报告;市场推广活动情况、后督工作记录、拆借操作记录、贷款审批与发放记录、客户征信、董事会、股东会议等会议
纪要等等。 这些数据大部分数据被分散存储在全行办公人员PC电脑中,移动存储介质中或个人邮箱中。这种分散的数据存储方式给商业银行数据保护工作带来很大的困扰,同时,人员办公又存在地域上的不集中,一旦发生数据泄露,会很快在全省及至全国范围内扩散。再者,每个机构对员工日常要求和管理的标准高低不一,人员安全意识不均衡,进一步增加了数据保护的难度。 2.2数据泄露途径多 从数据存储侧泄露来看,这些数据被存放于办公PC,个人笔记本,个人邮箱,移动办公设备以及移动存储设备中。尤其是可移动办公设备和移动存储设备,容易因丢失或失窃发生数据泄露。 从数据泄露手段角度看,互联网邮箱,公有云网盘,WEB类应用都会成为用户存储和传播企业数据的工具。如某银行为了防止内部数据外泄,将所有办公终端U口全部进行了禁用。但其有一个办公业务应用,是内外网互通的,允许用户上传文档。为了便于日常文件传输,很多用户将大量的数据上传到了此平台。结果,这台应用服务器被攻击,上面存储的大量敏感数据被下载。 从数据泄露人员来看,商业银行内部办公人员,外部黑客,第三方外包人员以及合作单位或设备维护人员都有可能造成数据泄露。 2.3数据价值定义不明确,保护工作重点不突出 在有些商业银行没有明确的数据价值定义标准,或者数据价值宣传教育不到位,致使工作人员对手里掌握和拥有的数据不能进行很好的估值,自然而然,对其泄露后产生的后果也就无从评估了。2016年,沈阳某银行在其装修期间将客户资料当废品进行处理,就是一期对客户资料价值错误评估的典型案例。设想,
信息安全数据泄漏防护DLP解决的方案
信息安全数据泄露防护DLP解决方案Copyright HESUN COMPUTER INFORMATION SYSTEMS
目录 信息安全数据泄露防护DLP解决方案 (1) 一、概述 (3) 1.背景 (3) 2.数据泄露防护技术DLP (3) 二、解决方案 (4) 1.目标 (4) 2.分析信息外泄的途径 (4) 3.DLP防护指导思想 (5) 4.信息安全的特点和保护策略 (6) 三、产品功能介绍 (7) 1.Windows数据防丢失子系统功能列表 (7) 2.Linux数据防丢失子系统功能列表 (10) 3.安全网关子系统功能列表 (11) 四、产品规格 (12) 1.Windows系统支持规格 (12) 2.Linux系统支持规格 (13) 3.Windows 加密与Linux加密兼容 (13) 五、产品技术 (13) 1. Windows文件加密系统优势 (13) 六、项目实施 (15) 1.确认可信域 (15) 2.信息安全评估 (15) 3.选择部署策略 (15) 4.软件实施过程 (16)
一、概述 1.背景 有一农户在杀鸡前的晚上喂鸡,不经意地说:快吃吧,这是你最后一顿!第二日,见鸡已躺倒并留遗书:爷已吃老鼠药,你们别想吃爷了,爷他妈也不是好惹的。 当对手知道了你的决定之后,就能做出对自己最有利的决定。——纳什均衡理论 所以加强信息内容安全的管理很重要。 当今信息技术高度发达,人们早已习惯了用电子化平台获取信息,企业的数据、信息以电子档案形式处理,传输,存储已成主流。但是信息化就像一把双刃剑,给企业运营带来极大便利的同时,也相应地存在安全隐患。威胁企业信息安全的方式多种多样,计算机犯罪、网络“黑客”行为、内部泄密、信息丢失、人为错误,甚至自然灾害、意外事故等都能造成信息侵害。要保障企业信息安全,一方面是要加强内部管理,提高人员道德修养和技术水平,防止内部泄密或者因技术水准不高而引发的失误性损害;另一方面是加强信息技术软硬件建设,做好信息安全防护工作。 实际上,随着信息化发展,企业的信息安全管理开始重视,可是相关调查显示,多数企业并未设立专业的信息管理团队,因此信息安全形势不容乐观。一旦信息被破坏或泄露,要挽回损失,将面临取证困难和法律规范将是两大难点。因此,企业建立完备的信息安全体系势在必行。 2.数据泄露防护技术DLP 信息安全威胁主要来源于外部的黑客攻击和内部员工的信息泄露。通过防火墙、防毒软件等手段可以阻挡外部的入侵,但是事实上90%以上的信息泄密事件源于企业内部,针对企业内部数据泄露防护技术DLP应运而生。DLP主要是提供文档加密、身份认证、行为管理、监控审计等功能对信息安全进行防护。防火墙是由外而内的信息安全防护,DLP的是由内而外的信息安全防护,两者相辅相成,一起构筑了企业的信息安全环境。
联软科技:业务数据防泄露系统
业务数据防泄露系统 产品描述: 安略数据防泄露系统。UniBDP专为保护重要业务数据的安全而设计,主要防范数据被非法复制、打印、截屏、外传。 产品可以概括为:”合规进入-授权使用-加密传输-安全存储-审核输出-记录流程” 1、合规进入-网络层合规进入控制与应用层合规进入控制。 2、授权使用-防止业务负责人账号被滥用、冒用;基于账号权限进行字段级高敏感信息屏蔽。 3、加密传输-文件内部流转全程采用加密传输。
4、安全存储-本地虚拟O盘;远端网络O盘;O盘安全备份。 5、审核输出-所有文件输出可以审核;所有数据输出都有控制手段。 6、记录流程-所有输入输出操作都有记录、文件泄露可以快速定位泄露源头。 针对整个产品而言:”无须改造业务、管理可视化、部署效率高、防护见效快” 主要功能: ?业务计算环境与个人计算环境隔离: UniBDP在业务终端上创建一个安全桌面,用于运行与业务相关的计算任务。安全桌面与终端上原桌面(简称:个人桌面)间相互隔离,没有授权不能直接交换数据。业务计算环境,即安全桌面有自己独立、专用的存储空间(虚拟磁盘),业务数据只能保存在专用存储空间中; ?业务计算环境数据访问控制:管理员可通过后台策略,允许/限制终端用户对业务数据的使用 ?业务计算环境与业务系统关联:管理员定义的业务系统,可与用户本地业务计算环境间直接相互交换数据; ?业务系统访问控制:通过与准入控制系统联动,非法终端,或合法终端通过个人桌面,无法访问业务系统; ?业务计算环境数据加密导出/导入:为便于内部交流,终端用户可将业务计算环境中的数据加密导出发送给内部员工,内部员工收到加密文件后,如果其有权限,将加密文件导入到业务计算环境后直接解密; ?业务计算环境数据导出控制:从业务计算环境中导出明文数据,需要经过后台审批;
数据库安全防护用数据防泄漏系统的制作方法
图片简介: 本技术介绍了一种数据库安全防护用数据防泄漏系统,属于大数据管理技术领域,包括用户层、服务层、应用层和数据层;所述用户层通过提供web浏览器作为交互界面,使用户和所述服务层之间进行数据交互;所述服务层包括数据智能分类模块和入侵防护模块,通过所述智能分类模块将所述用户层上传的数据进行分类,通过所述入侵防护模块对交互的场景进行保护;所述应用层为该数据防泄漏系统核心功能层,包括数据保护模块、文档安全模块和事件溯源模块;所述数据层用于为该数据防泄漏系统提供硬件支持。通过服务层对数据库和用户的交互进行安全防护,应用层对文件进行安全防护,从而对数据上传、交互和自身安全进行全面保护,使数据使用更加安全。 技术要求 1.一种数据库安全防护用数据防泄漏系统,其特征在于:包括用户层、服务层、应用层和数据层; 所述用户层通过提供web浏览器作为交互界面,使用户和所述服务层之间进行数据交互; 所述服务层包括数据智能分类模块和入侵防护模块,通过所述智能分类模块将所述用户层上传的数据进行分类,通过所述入侵防护模块对交互的场景进行保护; 所述应用层为该数据防泄漏系统核心功能层,包括数据保护模块、文档安全模块和事件溯源模块; 所述数据层用于为该数据防泄漏系统提供硬件支持。
2.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据智能分类模块包括文件内容识别分类、文件压缩识别分类、文件嵌套识别分类、关键词匹配识别分类、文件智能打标分类和OCR图像识别分类。 3.根据权利要求2所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述入侵防护模块包括防火墙管理、邮件安全管理和磁盘定期杀毒。 4.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据保护模块包括网络DLP、终端DLP和邮件DLP,通过网络DLP对通过网络交互的流量数据进行内容扫描和安全防护,通过终端DLP对终端使用监控,通过邮件DPL对邮件交互的数据进行内容扫描和安全防护。 5.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述文档安全模块包括智能加密、权限管理和外发控制,通过智能加密对包含敏感数据的文件进行加密,通过权限管理对访问该文件的用户进行管理,通过外发控制对文件转发进行管控。 6.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述事件溯源模块包括文件溯源、事件日志和事件取证,通过文件溯源对文件的流动进行追溯,通过事件日志记录每次访问文件的操作日志,通过事件取证对发生泄露的事件进行记录。 7.根据权利要求1所述的一种数据库安全防护用数据防泄漏系统,其特征在于:所述数据层包括文件服务器、数据存储服务器和web服务器。 技术说明书 一种数据库安全防护用数据防泄漏系统 技术领域 本技术涉及大数据管理技术领域,特别涉及一种数据库安全防护用数据防泄漏系统。 背景技术 当前,全球大数据产业正值活跃发展期,技术演进和应用创新并行加速推进,非关系型数据库、分布式并行计算以及机器学习、深度挖掘等新型数据存储、计算和分析关键技术应运而生并快速演进,大数据挖掘分析在电信、互联网、金融、交通、医疗等行业创造商业价值和应用价值的同时,开始向传统第一、第二产业传导渗透,大数据逐步成为国家基础战略资源和社会基础生产要素。
Forcepoint数据泄漏防护简介
Forcepoint数据泄漏防泄漏(DLP)解决方案 1.1 背景 随着知识经济的深入发展,信息资源的保护对各行各业显得越来越重要。对单位或企业而言,重要客户信息、核心技术、市场计划等机密信息,一旦泄露给竞争对手,会给单位或企业带来严重后果,造成不可估量的损失。 在政府机关、金融、证券、电信、医疗、教育等行业,以及石油化工、汽车制造等机械制造行业,通常用于企业科研或者内部事务处理的网络与互联网需要物理上隔离,如何防止内部人员私自将电脑接入互联网,或者防止非法主机擅自接入局域网,这都不是单单一块隔离卡或者网络隔离器可以解决的问题。越来越多的政府机构、企事业单位等认识到系统化安全保障的必要性,在安全措施上也采用了多种产品进行保护。这些常用的安全产品包括:防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、安全网关、审计系统等等,它们从不同的角度,维护着用户的网络系统及数据安全。比如防火墙产品能有效阻止外部对单位或企业内部的攻击,入侵检测作为防火墙产品的补充,也能在一定程度上检测内部攻击。这些产品除了成本高,易用性差以外,都是基于内部是安全的这一前提,不能有效解决内部员工泄密的问题。从互联网上我们不难找到泄密事故的案例: IDC2008年研究报告指出,无意中造成的信息泄露已经从企业最大的威胁排名中的第四位上升到了第一位。
欧盟和38个美国州(截止到2008年3月)开始要求公开披露数据破坏,该法案即将出台。 每一条被泄露信息的平均成本高达305美金 因此,我们不难看出,防信息泄露已经是众多机构和企业急需解决的问题。 防信息泄露(Data Leakage Protection,DLP)是安全市场上炒得最热却了解最少的工具之一。它拥有至少六种不同名称以及更多的技术方案,从而使得想要了解这些工具的最终价值以及哪种产品最适用于哪类环境并不容易。本建议书将提
保密技术防护专用系统
保密技术防护专用系统 计算机在使用过程中的安全、合规性检查是保密检查的工作重点,也是涉密单位和重要企业的日常保密安全检查工作要点。对越权保存、制作涉密文件,涉密与非涉密存储介质交叉使用,未经授权的网络联接、文件上传、下载等违规行为进行检查;对未经批准的计算机硬件环境的变动、软件环境的更改等行为实施有效的检查;对计算机运行环境的安全可靠性进行评估,发现并有效地阻止泄密事件的发生,拥有准确、高效的智能化检查工具是开展保密检查工作的重要辅助手段。 北京联华中安信息技术有限公司长期致力于信息安全领域的产品研究与开发,紧贴国家政策和新的保密检查技术标准,在多年积累的安全检查技术与应用的基础上,研制了保密技术防护专用系统。 产品简介: 保密技术防护专用系统(简称“三合一”)为中央指定涉密机关单位必须安装的产品,本产品针对当前突出的安全保密问题进行功能定位,在符合国家保密标准的涉密环境中使用,重点解决违规性操作导致过失泄露秘密问题。经过多次产品检测、用户试用和技术改进,“三合一”产品采用并集成了国内先进技术,可以有效解决涉密计算机违规互联网和移动存储介质交叉使用问题,功能符合当前的安全保密需求。 功能特性: 用户端功能 1、违规外联报警 2、违规外联阻断 3、专用U盘读写 4、通用U盘控制 5、外部信息导入
1、专用U盘注册 2、涉密终端注册 3、违规外联审计 4、U盘接入审计 单向导入装置功能 1、利用光单向传输特点,提供从普通U盘到涉密机单向无反馈的硬件传输通道。 2、外端提供普通移动存储介质通用接口 3、内端提供涉密移动存储介质专用接口 4、提供数据自动导入、导入数据校验功能 5、传输速率不低于500 kb/s,文件传输成功率不低于99.99% 产品安全性 1、用户端软件需在管理终端注册并经过授 2、用户软件具有自我保护功能。即使在安全模式下,普通用户无法中断该软件的进程,也无法删除、卸载该软件 3、保证本地审计信息(如违规外联记录、移动存储介质及访问记录等)安全。用户无法访问、修改或删除 4、管理终端设置系统管理员和审计管理员,二者权限分离,不可互兼
视频监控数据安全防护系统解决方案
文档类型: 文档编号: 视频数据安全防护系统 解决方案 北京XX公司科技发展有限责任公司 二O一二年五月
目录 第一章项目背景 (4) 第二章需求分析 (5) 2.1需求分析 (5) 2.2使用效果 (5) 2.3管理手段 (6) 第三章解决方案 (7) 3.1系统体系原则 (7) 3.1.1合理性 (7) 3.1.2先进性 (7) 3.1.3稳定性 (7) 3.1.4健壮性 (8) 3.1.5拓展性 (8) 3.1.6易操作性 (8) 3.2详细设计 (9) 3.2.1方案概述 (9) 3.2.2系统构成 (10) 3.3方案功能模块 (12) 3.3.1在线视频系统准入控制 (12) 3.3.2视频存储数据下载管控 (13) 3.4产品核心技术 (14) 3.4.1文件级智能动态加解密技术 (14) 3.4.2网络智能动态加解密技术 (15) 3.4.3协议隧道加密技术 (16) 3.4.4终端自我保护技术 (16) 3.5方案管理应用功能基础 (16) 3.5.1透明动态加密 (16) 3.5.2通讯隧道加密 (17) 3.5.3终端强身份认证 (17)
3.5.4网络访问控制 (17) 3.5.5应用系统仿冒 (18) 3.5.6终端行为审计 (18) 3.5.7文件使用跟踪 (18) 第四章公司简介 (19)
第一章项目背景 电子文件作为数据信息的载体,以其高效、便捷成为信息化建设和发展重要的基础组成部分。但是,电子文件本身特性使得信息内容安全性面临巨大挑战,单位员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑,就可以轻松将单位的重要机密电子文件从单位中里窃取出来,更何况员工进入单位内部网络和打开存在有机密电子文件的电脑是非常的轻而易举。单位人员在被解职或辞职时,他们是有很多种渠道将单位数据资产、知识产权保护及涉及核心竞争力范畴的机密电子文件带出单位,直接将单位秘密甚至是涉及国家秘密的内容带离并传播出去,为单位甚至国家带来重大损失。 近年来用户业务规模的不断扩大,信息化建设在用户发展中的重要性逐渐凸显出来。随着网络的迅猛发展,应用系统的广泛使用,提高了用户的办公效率,节省了工作成本,在信息广泛使用的同时,安全问题越来越引起人们的关注。在Web技术飞速演变、蓬勃发展的今天,企业开发的很多新应用程序都是Web应用程,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是:应用系统中存放的各种非结构话数据(文件)在生成、流转、交互过程中存在各种信息泄密的风险。 同时,本地生成电子文档,通过移动存储设备(U盘、移动硬盘等),网络通信工具(QQ、MSN、邮件等)等方式进行传播的传统方式依然存在。而在该方式中,亦存在着众多的安全隐患,需要企业引起重视。
数据防泄漏系统竞价要求
1、投标资质和服务要求 投标方需提供加盖原厂公章的售后服务承诺书,确保提供3年原厂服务。原厂及代理商服务内容至少包括: a、系统软件版本升级服务; b、产品故障保修服务,包括对bug和安全漏洞的修复; c、7*24小时原厂专线电话技术支持服务; d、系统部署、调整所涉及到的现场技术支持服务; e、系统上线和升级后的使用培训服务。 2、技术指标和付款方式要求 付款要求:合同签署后支付90%款项,在部署实施完成后执行后续10%尾款。 技术指标要求: 1、系统包括数据防泄漏模块、硬盘加密模块、文件及文件夹加密模块 2、基于内容识别的模式进行数据防泄漏,可以通过不同的方式对敏感信息 进行内容识别,例如内容关键字匹配、正则表达式匹配、文件指纹匹配、文件标记等,以及可以通过“与”和“或”的关系进行混合匹配,保证可以有效识别出CNNIC上述各类敏感信息。 3、客户端产品适用于各个Windows操作系统版本,可以支持不同文件格式的敏感信息,包括office文档格式、pdf格式、图片格式、源代码文件格式、压缩文件格式等,以及自定义应用软件生成的其他文件格式。 4、对敏感信息的各种外传途径都可以进行识别,包括外设、打印、邮件发
送、WEB上传、网络共享、IM传输等等,此外,还可以自定义应用程序以识别非默认应用软件。 5、对外传行为,可以根据需要采取不同应对策略,包括对可疑的行为实施 监控、阻断、通知用户等不同的处置措施,并对事件信息进行详细记录。 6、可以对用户进行分组,对不同用户执行不同的策略,并赋予不同的权限。 7、安装在用户PC上的客户端不会影响用户正常操作,可设定客户端对PC 资源的占用,以降低对终端和网络的影响。8、安装在用户PC上的客户端具有防破坏、删除功能,不会被不正当的停用、卸载。 9、在用户PC离线时数据防泄漏策略可以仍然可以正常生效。 10、具备完毕的事件记录日志,包括时间、对象、操作、结果等信息以备事后追查,并具备良好的报表功能可以对事件记录进行处置形成报告。 11、产品只会根据统一配置的策略关注敏感信息的处理,不会窥探PC中其他信息,也不会记录用户其他的操作,保证员工的隐私不会被泄露。 12、磁盘加密模块可以对硬盘分区进行加密,避免设备、硬盘丢失时出现的信息外泄;文件夹和文件加密可以实现文件和文件夹的加密保存,授权用户可以直接访问,而非授权用户无法打开。 13、产品具备可扩展性,后续如果需要,还可以配置网络型产品与其进行配合,加强数据防泄漏效果。
数据防泄漏解决方案
数据防泄漏解决方案 - - - Array & VMware 整体解决方案 一、前言 您是否遇到过这样的问题? 1、您公司的某个员工在出差时,不慎把笔记本电脑丢失。电脑并不值多少钱,但电脑中的数据万一被竞争对手获得,后果将不堪设想。 2、某个对公司不满的员工将电脑中的数据复制并故意泄漏。 3、员工的电脑中了恶意木马,在不知情的情况下,电脑中的机密信息不幸被泄露。 此时您该怎么办? 难道您要放弃网络给大家带来的便利,要把公司的电脑全部都锁到保险柜中,让员工只能在办公室摄像头的监控下工作吗? 只要您拥有Array & VMware数据防泄漏解决方案,企业机密信息仅在VMware的虚拟机中运行,并且只能通过Array的SSL VPN加密隧道的方式传输到公司数据中心,这样您就能轻松保护企业的数据安全了。 Array & VMware 数据防泄漏解决方案让一切变得都这么简单! 二、企业数据风险分析 当今企业在迅猛发展的同时,企业的机密数据存在如下风险: 风险1,用户故意将电脑中的数据拷贝泄漏。 风险2,用户上网时,恶意木马窃取了电脑中的机密信息。 风险3,用户电脑丢失而导致的数据泄漏。 风险4,。。。。 如何解决移动办公和数据安全之间的矛盾?如何保证企业机密数据在个人PC中的安全?很多企业采用了严格的内、外网隔离的管理方式,试图用管理方式来解决现实中面临的数据泄漏方面的风险。 内外网隔离的管理方式,虽然可以解决数据防泄漏的问题,但是,它一方面要求客户建
设两套完全不同的网络,增加了客户的投资。另一方面又无法解决用户同时使用两套网络的灵活性。 是否能通过技术手段来解决机密数据隔离的问题?是否可以构建一个安全虚拟网络来代替物理的内外网分离方式,让机密的数据只能在安全虚拟的网络环境中运行? 请看Array & VMware 数据防泄漏整体解决方案! 三、Array & VMware 数据防泄漏解决方案 Physical PC ACE Management Server Physical PC VMware ACE Remote User 如上图所示,物理机用于处理日常非机密类的流量,而物理机上的虚拟机则用于处理机密的业务类数据流。 虚拟机与物理机的通信隔离,保证虚拟机中数据在本地不被窃取。且虚拟机是加密方式存储的,即使电脑丢失,也可保证虚拟机中的数据不被破解泄漏。 在虚拟机上,启动L3 功能与企业数据中心的Array SSL VPN 建立一条full tunnel,并且虚拟机上的安全策略,只允许与SPX 通信,保证虚拟机联网时的数据不被恶意木马窃取。 通过以上技术手段,我们可以利用VMware 虚拟机,实现数据在同一物理介质上的安全隔离,利用Array SSL VPN 的full tunnel,构建一个安全的虚拟专用网络。保证数据在传输时的安全。从而通过技术手段实现了非业务流量与业务流量的隔离。
调度自动化系统及数据网络的安全防护(标准版)
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 调度自动化系统及数据网络的 安全防护(标准版) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
调度自动化系统及数据网络的安全防护 (标准版) 摘要:分析了调度自动化系统的不同应用对安全性、可靠性、实时性、保密性的不同特殊要求。提出了建立调度自动化系统的安全防护体系,在技术体制方面,应该在通道层建立调度专用数据网络;在防护措施方面,应该采取必要的技术手段,并建立严格的安全管理规章制度,以确保调度自动化系统的安全。 关键词:调度自动化系统数据网络安全防护 1.引言 目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史(历史论文)。目前国家电力数据网同时承载着实时准实时控
制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机(计算机论文)违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。 2.电力系统中各类网络应用的特点 电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。 图1基于数据网络的应用系统对安全性的要求 生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据
电力营销数据安全防护体系及其关键技术探究
电力营销数据安全防护体系及其关键技术探究 发表时间:2018-01-07T20:12:24.733Z 来源:《基层建设》2017年第30期作者:刘铃铃吴慧荣 [导读] 摘要:在电力企业的众多业务当中,电力营销是众多业务的核心,因此对于系统的保密性具有较高的要求,一旦出现问题,对于整个电力企业将会造成巨大的损失,如何确保电力企业营销系统的安全性和稳定性成为一个十分重要的课题,对电力营销数据的安全防护体系以及关键的技术进行相关的探讨。 国网湖北省电力公司武汉市汉南区供电公司 430090 摘要:在电力企业的众多业务当中,电力营销是众多业务的核心,因此对于系统的保密性具有较高的要求,一旦出现问题,对于整个电力企业将会造成巨大的损失,如何确保电力企业营销系统的安全性和稳定性成为一个十分重要的课题,对电力营销数据的安全防护体系以及关键的技术进行相关的探讨。 关键词:电力营销;内网安全;防护体系;拓扑结构 在电力企业的众多业务当中,电力营销是众多业务的核心,因此对于系统的保密性具有较高的要求,一旦出现问题,对于整个电力企业将会造成巨大的损失。如何确保电力企业营销系统的安全性和稳定性成为一个十分重要的课题。文章对电力营销数据的安全防护体系以及关键的技术进行了相关的探讨。 以计算机技术为核心的相关技术在电力行业中发挥着日益重要的作用,其中电力营销系统中信息技术所占的比重尤其大,这就使得信息安全对于整个电力营销系统具有十分重要的影响。电力营销系统作为电力企业的核心系统,对于整个电力营销工作的相关的信息的产生、储存以及传输发挥着重大的作用,对于电力企业具有十分重要的战略意义,同时这些资料和数据还涉及到国家经济甚至经济领域的相关的秘密,因此直接关系到国家的安全和社会的稳定。一旦电力企业的相关数据被泄露将会造成巨大的损失。一般来说,电力企业为了保证系统的安全性和稳定性,大多都采取了相应的安全防护措施,如使用了软硬件防火墙或者是其它的防病毒产品。然而由于信息系统本身具有较高的开放性和自由性,这就使得电力营销系统仍然面临着比较严峻的安全形式。主要有以下几个方面的原因:当前电力企业的营销系统在安全措施方面大多都是依靠软件防火墙或者是一些硬件措施来应对外部的入侵和病毒的威胁。然而对于电力企业内部的防护却相对比较薄弱。这就使得当前的电力企业的防护工作出现了比较尴尬的局面,一方面外部安全措施不断的加强,但是很多安全事故的发生大多都是发生在企业的内部,大量的投入最终却由于内部防护的薄弱而造成泄密。 随着近年来信息化技术的飞速发展,电力企业营销的信息化程度不断的提高,但是另一方面,相关的营销人员的素质却远远滞后于电力营销信息化的发展步伐,造成营销系统相关的技术维护人员的配备严重的不足,不能够满足相应的信息管理和维护的工作,这就使得电力营销系统一旦出现问题不能够及时的得到相应的解决,势必造成电力营销系统存在安全隐患。 从上面看出,当前我国的电力企业的电力营销系统的一方面迅速的实现信息化和自动化,不断的发展进步。另一方面,相关的安全工作还不能够满足应对当前复杂的安全形势的需求。这迫切需要建立一套完善的电力营销系统的安全解决方案来保证整个电力营销系统的安全稳定的运行。 1 防护体系 确保电力企业的电力营销系统运行的安全和稳定是电力营销系统安全防护体系的最终目标。通过建立一系列的体系,对电力企业内部的相关的工作人员的行为进行有效的规范,有效地防止人为因素造成的信息泄露。 1.1 可信网络认证授权。当前的电力企业的电力营销系统的信息化和网络化的程度在不断的提高,一方面极大的促进了电力营销工作的开展,另一方面也加大了营销系统的安全风险,主要表现在以下几个当面: (1)内网主机的可信性无法得到保证,主要是由于内网设备没有设定严格的安全边界,很多设备都可以不受限制的进入,导致电力营销系统内部相关数据被恶意的浏览甚至是泄密。 (2)内网用户不可信,内网用户没有设置明确的权限,这就使得内网用户随时都可以通过自己的终端随便浏览信息,而不能对其行为进行有效的记录和控制。这样一旦出现泄密,很难找到是哪个用户进行了非法的操作和浏览,无法相应人员的责任。 (3)服务的使用者不可信,电力营销系统相关的服务和资源,没有严格的分级和使用权限,或者是相应的防护措施不够健全。这就使得一些破坏份子可以通过相应的黑客手段和攻击行为对系统的密码进行暴力破解或者是绕或相应的防护措施,访问电力营销系统的核心部分,从而非法访问机密数据,或者是进行破坏活动。 对于电力营销系统来说,要确保其安全性和可靠性,首先要确保其进入其内外的主机具有合法的权限,也就是说确保有权限进入营销系统内外的主机应该是可信的。这就要求电力营销系统建立严格的访问机制,具体包括以下几点: (1)对所有的主机的信息进行收集,建立相应的主机档案,集中对内网中的主机进行管理。(2)对用户的权限进行严格的控制,具有相应权限的空间只有符合标准的用户才能够进行访问。(3)对用户的登录进行严格的控制,采取相应的技术手段,确保登录用户的身份安全,防止用户密码泄露。对用户的登录权限与相应的主机进行一一对应,也就是说特定的用 户只能在特定的主机上进行登录,方便对用户行为进行监控。 1.2 可信桌面管理。传统的电力营销系统在用户终端方面存在较多的问题,主要表现在以下几个方面: (1)主机对于其外接设备不能够进行相应的监控,这就有可能使某些用户利用移动设备窃取内部资料,从而导致敏感资料丢失。(2)对于主机之间的共享不能进行有效的限制,这就使得用户可以利用系统共享,将内部文件以共享文件的形式泄露。(3)对于病毒、木马以及间谍软件等恶意程序的防护能力较差,有可能被植入恶意程序而造成敏感信息泄露。 针对上面的集中安全缺陷,应该采取相应的措施来进行应对,主要表现在以下几个方面: (1)严格控制主机的外接设备。对于一些重要的数据,应该设置权限,用户不能随意进行复制。对于主机的一些外部接口应该设置专门的控制,没有相应权限的人员不能够使用外接设备。(2)严格控制内网主机的共享功能,应该进行禁止,防止内部数据泄露。(3)采用先进的进程控制技术,只有合法进程才允许运行,其它进程应该被禁止,防止恶意软件攻击。 2 关键技术 营销数据安全防护体系是一个综合防御系统,它结合了操作系统安全、加密技术、管理安全等核心安全技术,充分体现了内网安全防御的指导思想,可以满足营销系统安全保密的需求。