公司新闻
当前位置: 首页 > 新闻中心 > 公司新闻 > 明朝万达:内网环境下如何有效的保护数据安全 返回
明朝万达:内网环境下如何有效的保护数据安全
发布时间:2022-07-19 打印 字号:

      随着信息技术特别是网络技术的快速发展,网络在人们的日常工作中发挥着越来越重要的作用。目前,大部分政企单位都组建有内部局域网(简称“内网”),实现了数据共享,极大地提高了工作效率,内网已成为政企单位日常工作不可或缺的重要组成部分。许多企业认为将办公环境限制在内网中就能够有效保护企业的核心数据不外泄,但实际上仍存在诸多安全漏洞,如非法外设链接、移动存储设备的使用、手机拍照等手段。

 

      作为中国信息安全技术企业的代表厂商,明朝万达基于对数据安全领域的深入探索和研究,针对政企单位数据资产所面临的安全威胁,结合用户的实际使用场景,推出Chinasec(安元)数据安全管理系统,助力政企单位构建数据安全保护体系,诠释企业级内网和数据安全防护新标准。

 

主要功能

 

终端数据资产发现及管控

Chinasec(安元)数据安全管理系统基于分类分级规则,对政企单位的文档进行分类分级,并进行后续加密或审计等处理。

 


      通过分类分级技术方案,归纳制定出规则,确保规则库的准确性和易用性的前提下,采用深度内容分析引擎(DCAE),对企业复杂信息环境中的不同数据进行分析,根据文本内容的语义特征和格式,将文档业务策略进行智能匹配。

      通过全盘智能扫描功能可根据预先定义的规则和策略,对用户终端的本地文件进行全盘扫描,并对敏感数据文件做加密或审计处理,从而对终端敏感数据文档进行安全防护。

      管理员可配置全盘扫描的条件,例如配置扫描执行路径、扫描跳过路径、文件类型、文件大小、允许全盘扫描启动和执行的终端性能指标等。

如果没有配置扫描条件,系统也可以智能判断终端是否满足扫描条件,当终端锁屏或者终端性能指标(如CPU占用率、内存占用率等)达到指定条件,才启动扫描。扫描过程中会根据终端性能自动停止,尽可能减少对终端用户操作的影响。

      模块支持文件增量扫描,仅对未扫描或扫描后有变更的文档进行扫描。

      扫描完成后,模块根据预置的策略,对敏感文档做加密处理;同时支持记录扫描日志、上传附件,以便于事后审计。

 

移动存储设备管理

在政企单位移动存储设备(U盘、基于USB接口的移动硬盘等)的实际应用场景中,设备借用、公用、缺乏统一管理的现象比较常见,以及存在直接封堵USB端口的一劳永逸式管理状况。

      针对上述问题,明朝万达倡导在实现设备安全、易用的前提下,从基础层面对分散的移动存储设备实现统一的集中管理,建立设备与人员、以及设备可用范围的规范化体系,从而避免管理的乱象与安全风险。

 

      移动存储设备安全管理体系通过客户端进行终端用户的身份认证,并在此基础上,通过灵活的管控策略,实现移动存储设备与人员的关联与规范化管理。系统可基于宏观角度将移动存储设备分为企业内部专用设备与外部设备,从而在物理介质层面实现管理边界的划分。企业内部设备的界定,需要终端用户通过客户端插件进行使用设备的系统注册认定,注册中需要提交人员、部门、用途等相应信息,从而形成企业内部专用设备的集合与认定,实现企业内部专用设备的登记备案与实时管理。当终端在使用移动存储设备过程中,人员及设备信息将被即时集中展现在管理界面。与之相对应的是,未经过系统注册在案的移动存储设备(员工自带的设备或分支机构人员所用设备),可对其进行统一的使用权限管控(如颁发只读权限甚至禁用权限),从而对未注册设备实现入口式集中管控,规避可能存在的泄密风险。

 

 

△ 移动存储介质管控效果图


设备的使用权限方面,系统可基于人员或设备两个维度,对其实现细化的管理:

禁用

禁用权限管控下,存储设备在使用时将不能被正常打开,类似于缺少必要驱动而不能被计算机操作系统识别的应用效果。

只读

存储设备在使用过程中只可读取原本已经存在的文件,不可对其进行正常写入操作。

加密读写

加密读写管控下,文件在写入过程中会被透明加密处理,具备相应权限的终端用户可透明打开、读写文件。

正常读写

正常读写即表示系统不会对文件在移动存储设备上的读写进行技术处理,文件的使用和状态与安装系统之前情况下相同。

 


实际使用中,可考虑为员工统一购置一套用于工作交互的移动存储设备,并基于系统提供的设备识别技术,对其它移动存储设备予以封堵禁用。

 

桌面水印文件水印监管保护

水印管理系统主要从桌面水印、打印水印这两个方面来管理。针对水印的内容,管理员可以根据实际需求自由设定水印的深浅度、大小、密集度、显示内容等信息。

 

桌面水印

为防止拍照、截屏等操作造成的泄密,对办公的终端实现加注水印的处理,实现对拍照、截屏等行为起到威慑的作用,有效降低泄密的风险。桌面水印分为:屏幕水印、文档水印、URL水印三个方面。

屏幕水印:实现开机进入系统后屏幕上自动浮现水印模板;

文档水印:打开office、文本、图片等文档,自动在文档内加注水印信息;

URL水印:浏览器访问页面时会有水印显示。

 

△ 屏幕水印效果图

 

打印水印

在部署了系统的终端打印文件,会自动加注水印,员工可以根据需求对文档进行去水印打印申请,或由管理员配置去水印打印白名单。水印的模板由文件水印、二维码水印、图片水印三种类型组成,管理员可自行设定水印模板的显示信息、深浅度、密集度、大小、位置等信息。系统会自动上传所有打印文档的日志到服务端,实现事后追溯。

❖ 去水印打印

系统提供指定用户或用户组终端有去水印打印文件的权限,用户对需要去水印打印的文件执行审批操作后,即可对此文件进行无水印打印,且对用户的整个操作过程都会生成相应的日志记录,实现后续的可追溯性。

❖ 打印审计

水印管理系统提供打印文件审计策略。通过配置该策略,实现终端客户端对指定用户或用户组打印的所有文件进行实时监控。系统会记录并上传终端打印操作的信息。同时,系统还提供便利的日志查询和报表生成功能,用于有效地追踪打印用户、打印时间、文档密级、文档名和打印的页数记录等信息。最大程度地增加打印风险的可控性和文档泄密的可追溯性。

 

针对外部设备非法连接

外设管理功能是用来禁止或者开启windows可识别的外设,针对特定外设可以通过关键字(设备类型或驱动)对外设实时开启或关闭,实现对外设进行黑白名单管理。

通过设置外部设备管理策略,以实现对常见外设的实时开启或者关闭。对于红外、蓝牙、1394、PCMCIA、并行端口外设、串行端口外设、调制解调器、软驱、光驱和近2年新出的手机数据线等一系列外设,都存在一定的数据传输能力,需要对这类型的外设进行控制。

      通过以上几个方面的建设,可以全面有效帮助政企单位构建起对内网终端数据安全,实现对敏感数据资产有效防护,推动政企安全体系进一步完善,保障数据资产安全。但在实际应用过程中,政企单位同样需要数据传输、数据交换等,明朝万达基于相关实际需求,为政企单位提供自主研发的数据交换和数据摆渡产品,实现其内部多张网络文章安全传输、业务数据交换、办公人员文件摆渡的功能。

 

 

内部多张网络文件安全传输

      各级政府、金融、电力等重要部门按照保密规定,对计算机和计算机网络的管理采用了多自治域、多组织域的模式,把计算机网络甚至是计算机主机划分为不同安全等级的管理域。为保证关键域内信息的机密性,这些域内的计算机网络严禁与非信任域的网络进行连接,甚至是同一安全等级下的内部网络也进行了划分和隔离,因此在部门内部、部门之间以及部门与外界之间形成了多个域间的“信息孤岛"。

      尽管“信息孤岛”对保证相关信息的机密性起到了积极的作用,但是在信息化高度发达的今天,这种保护模式严重的阻碍了各信任域间信息的交互。当前政企单位主要采用U盘拷贝、ftp共享、网络共享、专用摆渡机交换等方式满足网间数据交换的需求,存在方式不安全、无审计、难定责等安全问题。

明朝万达数据交换系统、跨网文件管理与交换系统正是以此为切入点,帮助政企单位实现网间文件的安全共享。

 

业务系统数据交换

明朝万达Chinasec(安元)数据交换系统是专针对内外网业务数据交换需求开发的,是新一代的安全隔离交换产品。它由多台数据交换平台与网闸组成。从拓扑上,将网络边界分为两个网络边界域或三个网络边界域,每个区域承担相应的安全职责,将多种不同的安全技术手段(身份认证、访问控制、物理隔离)有机地组成在一起,容纳用户所有的内外网交换业务,最大程度的提升网络边界的安全保护能力和用户的管理能力。

该系统可以实现对数据的安全获取、传输,具体表现为实现对数据交换对象的身份认证、对访问权限的控制、对实现数据的异构转换、数据对照关系的匹配、对交换行为(文件交换任务,数据库交换同步等)的实时监控、数据代理装载转发结果数据等。

 

办公人员文件摆渡

明朝万达跨网文件管理与交换系统从用户侧的文件摆渡需求出发,由服务端文件管理服务、文件敏感扫描服务、文件审批服务三大功能组成。文件管理服务用于管理用户上传文件、下载文件、摆渡文件、日志审计等功能。文件敏感扫描服务是用于对用户上传的文件进行敏感扫描,识别其中的敏感内容文件,作为文件安全防泄漏的重要组成部分。文件审批服务主要用于进行审批管理,对于用户上传的不同安全级别的文件,需要不同层级领导进行审批,该组件提供审批支持能力。

      该系统通过采用内置敏感扫描引擎,对传输文件进行敏感内容扫描、识别,智能标记不同敏感等级文件,便于审批,保护隐私文件泄漏,内置强大病毒查杀库,对传输文件进行实时扫描查杀,智能识别病毒文件,采取病毒文件查杀或病毒文件隔离策略,防护文件安全。

400-650-8968