DLP数据防泄密项目一期方案V2.0

1、*变dlp数据防泄密项目方案 保密级别：项目组内部公开*变dlp数据防泄密项目一期方案北京&科技发展有限责任公司二o一二年十二月版本信息更新历史编写人日期版本号审核变更内容吴悠2012-12-211.0创建吴悠2013-1-152.0变更目录第一章产品介绍4第二章总体方案介绍52.1方案概述52.2总体部署示意图5第三章详细项目方案73.1安全策略73.1.1通用安全策略73.1.2加密集成策略83.1.3日志审计策略93.2系统管控103.2.1dlp系统角色及权责103.2.2dlp管理方式103.2.3安全策略分发103.3应用场景113.3.1入网终端涉密数据外发113.3.2入网终端

2、应急解密响应123.3.3系统故障应急机制12第四章日常系统维护12第五章实施人员计划135.1项目组织及成员135.2实施计划145.3测试方案15第一章 产品介绍&文档安全管理系统（简称：dlp-cdg），是国内最早的企业核心电子数据资产提供全方位内容安全防护的信息安全防护系统。本次方案实施部署产品版本为涉密信息系统dlp-cdgv3.0，该产品首先在技术上以数据加密技术为核心，采用文件过滤驱动技术，通过实时拦截文件系统的读/写请求，对文件进行动态跟踪和透明加/解密处理。其主要优点：文件加/解密动态、透明，不改变使用者的操作习惯；性能影响小，系统运行效率高；不改变原始文件的格式和状态，同时

3、，部署和内部使用非常方便。其次通过将技术平台与管理体系有效结合，实现对用户核心信息资产的全方位保护；通过建立信息安全边界，降低核心信息资产如源代码、设计图纸、财务数据、经营分析以及其他任意信息资产的有意或无意泄密风险；配合完善的信息安全咨询服务，通过对企业的业务梳理和流程建立，保障企业核心业务正常运转的同时，不过多影响用户工作习惯及业务效率。涉密信息系统dlp-cdgv3.0产品符合国家保密标准涉及国家秘密的电子文档安全保密产品技术要求（暂行）的要求，涉密信息系统产品检测证书如下：第二章 总体方案介绍2.1 方案概述根据前期调研访谈和需求了解，*变数据泄漏防护（dlp）整体项目方案主要在现有的

4、环境基础上，遵循“事前主动防御，事中实时控制，事后及时追踪，全面防止泄密”的原则和设计理念，以加密技术为核心，配合身份识别、权限控制、终端管理、应用集成、安全接入以及行为审计等功能，通过建立统一的dlp平台最终从数据安全层面实现涉密数据“带不走、打不开、读不懂”的控制目标。通过加密技术落地、控制涉密数据流通、规范员工访问行为来实现涉密数据的安全保护和员工意识提升，有效防止主动及被动泄密。2.2 总体部署示意图总体dlp产品实施部署后效果示意图及说明如下：1) dlp服务器架设在服务器区域， dlp*变服务器负责*变dlp终端的管理、通信和策略分发；dlp风电服务器负责*风电dlp终端的管理、通

5、信和策略分发（这里以风电举例，后期根据规划划分特变、叶片等公司）。2) 根据dlp终端文档保护策略的分发实现涉密数据强制自动加密效果，防止数据的明文交叉使用。3) 通过策略配置与smb文件共享（svrfile1、svrfile2）服务器、oa（svroa3、svroa4、oamail）服务器、windchill pdm（svrtsm1）服务器集成，对应*变公司的加密文件实现上传解密、下载加密工作。4) 将涉密网的入网终端数据纳入安全保护范围，防止数据在非涉密网使用流转，实现涉密网终端数据的安全管控。同时*变和*风电等各自的数据，通过不同的密钥加密保护，可实现防止未授权的子公司间文件交叉使用。第

6、三章 详细项目方案3.1 安全策略3.1.1 通用安全策略系统通用安全策略分平台策略，主要是针对dlp系统平台的总体策略；二是终端策略，主要针对是用户系统终端的管控策略，详细策略控制说明与效果如下：策略分类策略功能描述配置项配置效果外发管理外发管理： 对外发出去的文件做细粒化的权限设置，如打开次数、使用时间、是否可以打印、是否可以修改等设置审批人员两种方式：1对终端用户开发外发管理模块，由终端用户配合外发ukey使用2服务器端设置外发审批员，有终端用户发起申请，通过后终端通过服务器得到外发文件平台策略用户管理：创建用户组织后台与*域控集成同步与ad域一致解密管理员：设置系统解密员设置审批人员需

7、要对确认的解密人员配置使用“允许解密审批”的权限终端管理：可以对需要升级、删除、离线补时的终端等进行相应的管控操作自动生成记录选择的终端被执行升级、允许删除、离线补时的操作。密钥管理：系统加密的密钥进行配置默认生成随机密钥*变的数据使用本部门的密钥进行加解密操作终端策略打印控制：是否容许打印加密文件未启用根基规定要求不同，可设置部分人员启用打印控制受控程序不允许打印容灾时长允许客户端与服务器不互联的情况下的加密文件可以使用的时长已设置对于涉密单机终端可以在6个月内正常使用加密文件模式切换：允许客户端在个人模式（不加解密）与工作模式下（加解密）切换使用禁用不允许客户端进行模式切换复制粘贴控制：加

8、密内容是否允许复制到非加密内容已全局配置禁止加密内容复制到不受保护的内容（不加密）中另存为控制：加密内容另存出来的文件是否控制已全局配置受控软件另存出来的所有内容均为加密文件拖拽控制：加密内容是否允许拖拽到非加密内容已全局配置禁止受控制的内容通过拖拽的方式进入非受控的内容网络发送控制：加密内容是否允许网络发送非加密内容已全局配置禁止受控的内容通过网络发送功能发送到非受控内容对象插入控制：加密内容是否允许插入非加密内容已全局配置禁止受控内容通过对象插入方式插入到非受控内容中拷屏控制：加密内容是否允许拷屏已全局配置禁止受控内容通过拷屏方式截图根据配置的文件类型，对于该文件类型的历史数据进行加密已全

9、局配置对于已配置的的文件类型，进行全盘初始化加密的操作注销菜单：是否允许用户账号注销已全局屏蔽禁止终端用户注销功能解密管理员帐号容许解密终端工具：是否允许用户使用流转工具已全局屏蔽有解密权限的用户可以配合解密ukey完成解密工作3.1.2 加密集成策略系通加解密集成策略分成终端软件和系统集成两部分，详细分类与实效效果如下：策略分类策略功能描述配置项配置效果终端软件完成终端软件策略的配置，使其产生的文件自动完成保护已全局配置已配置策略内容的软件产生的文件自动加密保护，保护的文件透明在加密区域内容使用，对用户无影响。由各部门兼职保密管理员保管和维护软件清单。系统集成终端加密的文件，上传系统后自动变

10、成明文存储于系统，从应用系统下载到本地后自动变成密文存储于本地。终端加密文件上传oa、smb（文件共享服务器）和pdm系统时自动变成明文，从oa、smb和pdm下载到本地后自动变成密文。3.1.3 日志审计策略日志审计主要包含两部分内容，一是终端操作的日志，令一个是服务器端策略的设置，详细分类与实效效果如下：策略分类策略功能描述配置项配置效果终端日志解密日志暂未启用通过终端流转工具解密的文件操作保持记录服务器日志用户类日志系统默认记录查看用户的增加、删除、授权、补时等操作记录客户端日志系统默认记录查看客户端删除、升级、登陆等信息系统类日志系统默认记录查看数据的备份与还原记录策略类日志系统默认记

11、录可以审查服务器端安全策略的变更与分发情况3.2 系统管控3.2.1 dlp系统角色及权责本方案中为制定需求，根据保密工作要求系统角色为系统管理员、配置管理员、审计管理员，以下为各人员角色的dlp系统策略权限。角色用户名权责系统管理员sysadmin负责用户角色及终端管理、加解密策略配置及dlp系统的日常检查及运维管理工作配置管理员configadmin负责dlp系统运行的基础配置,可以交由系统管理员合并管理,主要包括: 【数据库配置】，【ad域配置】、【邮件配置】、【上传下载】、【管理员】模块审计管理员logadmin负责dlp系统日志、文件日志进行查询、归档、管理等工作, 主要包括：【服务

12、器端日志】、【终端日志】、【文件日志】、【邮件日志】、【日志下载管理】模块文件解密审批管理员实际用户负责环境内加密文件的流程解密审批，解密后文件还原为明文状态后可发送到非加密环境内使用文件外发审批管理员实际用户负责环境内文件外发的流程审批工作，制作成的外发文件发送到外单位有打开次数、使用时间等权限限制普通用户实际用户具有文件强制加密及加密文件解密申请权限3.2.2 dlp管理方式l 集中管理对于入网终端采用集中管控方式，所有用户信息管控策略均在服务器制定和维护。l 分散管理对于未入网终端由于无法连接到dlp服务器，必须采用分散管理方式，但是策略和密钥仍然保持与涉密网终端一致，确保安全策略的统一

13、性和可管理性。3.2.3 安全策略分发策略内容根据不同用户、不同场景的管控的需求，可以制定不同的安全策略组.本次实施策略通用安全策略和日志审计策略统一设置，加密集成策略根据部门实际情况单独设置策略组，详见3.1.2.l 策略新增当管控要求发生改变时，已有的策略不能用当前策略管控变更给予满足时，需要新增管控策略，策略的制定参照3.1章节的安全策略。l 策略变更当管控的策略内容发生变更时，如软件（系统）增添、应用安全控制等，此时可以通过变更相应的策略后给予满足l 策略分发对于入网终端，变更策略将通过网络自动分发给相应的用户以完成策略变更工作；对于未入网终端，系统管理员需将通过vpn与dlp服务器端

14、连通后更新策略，实现策略内容的变更和统一策略管理。3.3 应用场景3.3.1 入网终端涉密数据外发l 场景描述目前存在涉密数据外发需求，比如将文件给供应商、外协厂、客户等，dlp系统上线后文件会被加密，按照原有输出流程，第三方收到加密文件后无法正常使用。l 支持流程1) 所有要外发的文件都通过dlp中“文档解密申请”作为解密外发申请流程；2) 按规定中的流程解密节点和审批层级，同意解密申请文件将被解密；3) 增加解密管理员角色，负责处理用户涉密数据输出解密工作；l 说明：1) 公司人员要外发的输出都使用dlp系统“文档解密流程”2) 解密公司内部l 实现效果制定审批流程和节点，结合制度完善文件

15、外发流程，积累并形成公司特色的数据泄露防护体系。3.3.2 入网终端应急解密响应l 场景描述工作中可能出现在解密审批员请假或者下班的情况下，有用户提出数据输出解密申请，此时会存在用户申请无法处理早晨关键工作或业务延误。l 支持流程1) 每个部门均设定有解密审核人员；2) 审核人员审核后流程走到总师办解密后可外发密文文件；l 实现效果确保在解密责任人外出的轻快下实现应急解密，保证关键工作的持续。3.3.3 系统故障应急机制l 场景描述当dlp系统发生故障导致系统停止服务时，可能导致加密数据无法解密的情况发生，影响涉密数据输出工作。l 解决方法系统成功安装后，会自动注册cobordg系统主服务，同

16、时开启ftp server检查服务启动状态，如未启动则手动启动该服务。如果上述服务无法启动时，依据下列步骤执行系统恢复：1) 项目初期可以还原虚拟机快照；2) 系统管理员联系厂商技术人员协助执行以下恢复步骤；3) 立即对当前状态的数据库文件执行备份操作；4) 删除dlp系统服务器程序，按照手册重新安装；5) 在新数据库中导入最近一次正确的数据库备份；6) 在终端用户处执行功能验证，确认系统功能恢复正常；第四章 日常系统维护为保证dlp系统高效稳定运行，工作中需要对系统进行如下方面的维护操作：l 用户权限审查对于解密人员的权限定期进行审查，对于已经发生权限变更的人员权限要及时回收，防止实际权限信

17、息与用户授权信息不一致的情况。l 解密日志审查解密日志每两周与申请流程记录进行核对，以确认两者信息是否一致。l 查询日志归档对于系统中的日志可以根据时间归档，以便存档供历史查询使用。l 数据库备份为保证数据库安全，每周定期执行数据库全备份，以备系统故障时恢复使用。l 终端维护对于个别用户存在交叉式登陆系统在终端中产生的记录，需要定期对于终端状态为“未使用”的终端进行删除，以保证当前终端记录与用户登录信息的一致。第五章 实施人员计划5.1 项目组织及成员*变dlp项目团队& *变 项目经理（*） 项目经理（*部长）&实施工程师&商务业务代表技术支持小组*、*（石家庄办技术工程师）、*办公自动化设

18、备有限公司技术人员*it人员*（商务部分及人员调配）本次项目组成员主要由项目经理、实施工程师、业务代表、技术支持小组等角色组成：l 业务代表根据双方约定的项目实施计划，业务部门接口人参与方案的评审、配合系统测试，作为项目小组对业务部门的唯一接口人，协调相关工作任务资源及配合项目的工作推进，具体工作结果对项目经理负责；需熟悉部门业务及人员组织情况。l 业务部门负责人根据双方约定的项目实施计划，对项目阶段过程中的关键任务节点进行评审决策，监督项目执行情况，支持推动部门内项目的整体进行。l 技术支持小组根据双方约定的项目实施计划，对项目实施过程中需要的各项网络、系统资源及安全配置等进行技术答疑与支持，以保证部署实施工作的顺利进行。l 项目经理根据双方约定的项目实施标准进行项目管理工作，包括计划的制定、资源的调配以及控制项目各阶段成果的正常输出，并与招标方项目经理配合最终实现项目目标的达成；具备三年以上项目管理经验。l 实施工程师根据项目经理的工作计划按时完成项目实施工作，包括系统的安装、系统测试、问题收集与处理及用户培训等工作；