重要电子文档防水墙管理方案

1、. 处理方案：.；PAGE 7山丽信息平安研发中心：张江高科园区 863国家信息平安基地张衡路200号 ：+86 21 5835 5533商务中心：陆家嘴金融区 浦东南路1101号远东大厦515-516室 ：+86 21 5835 4933关于杰姆斯重要电子数据平安管理技术处理方案关键字山丽防水墙、泄密途径、效力器、任务站、加密、解密、资质、产品功能、部署邮件、IM聊天工具数据管控；外设数据管控；总公司、分公司管理；离网笔记本第一部分：电子文档的重要性杰姆斯的根本情况：从直观上来讲，杰姆斯目前面临着这样一些风险： 1、外设的无约束运用带来的资料走漏风险；2、外网衔接工具的无约束运用带来的资料走

2、漏风险；3、笔记本带来公司管控视野范围范围带来的资料走漏风险；4、公司各个子公司：上海20台、无锡6台、内蒙古200-300台。不能一致管理带来的管理风险；以上风险和企业离任在职员工无关。杰姆斯的电子文档是行里多年积累信息财富，在杰姆斯的开展和运营中有着举足轻重的作用，占有极其重要的位置。信息社会，信息就是价值，信息就是消费力，但是高度的信息流通以及信息传送的便利性，添加信息走漏的危险。虽然防火墙、入侵检测、VPN、入侵检测等平安产品也逐渐得到认可和运用，但是这些产品有一个共同特点：防外不防内。 在现实中，企业内部员工存在有意或无意对信息的窥探或窃取，而且，相对而言，内部人员窃取信息比黑客要来

3、得容易。因此，对杰姆斯的电子文档进展制度防备人防和计算机技术防备技防就具有了迫在眉睫、亟待处理的意义。同时，杰姆斯重要电子数据平安管理目的应该是：在严厉的平安访问控制体系管理下，建立资产维护和防泄密监控体系，并兼顾共享和运用知识资产的方便。本文在山丽客户经理、杰姆斯技术部有关经理睬谈内容整理。本文采用山丽防水墙技术方案实现对电子资料、电子文档进展防泄密防护。第二部分：需求维护的电子文档的表现方式 需求维护的杰姆斯的重要电子文档包含：内部技术规范、内部用户资料、归档电子文件、提供应客户(总行)的成果文件、重要数据库文件、杰姆斯各类电子证书图片、杰姆斯财务数据、杰姆斯薪酬及年终奖励电子数据等第三部

4、分：需求维护的文档处于的位置杰姆斯重要电子文档存储现状：以文件、文件夹集中存储在效力器的文件夹中效力器上以数据库方式存在于系统中效力器上以财务数据库方式存在于部门的效力器上效力器上以文件方式分布于用户的PC上任务站上以文件方式存在于用户或者杰姆斯的u盘、挪动硬盘等设备上挪动设备上文件类型包括：包括过去和如今的MS OFFICE文档如记事本、office2000、office 2003、office 2007，还有未来的MS OFFICE文档如MS将在2021年版本的office14，PDF各个版本、DWG各个版本，包括有能够由这些程序导出的各个未知文件格式，或者加壳产生的未知文件格式。就文件格

5、式来讲，应该是文件格式处于不断晋级、开展变化中，因此甚至可以说各个格式均有能够。第四部分：能够的泄密途径 能够的泄密途径，应该来讲主要包括：效力器上泄密、任务站泄密、挪动设备解密、网络泄密、输出设备泄密、客户泄密、总行公司员工转发泄密几个方面，主要的表现方式如下： 效力器泄密：网络维护人员在进展维护时运用挪动硬盘将效力器上的资料自备一份。维护人员知道效力器密码，远程登陆上，将效力器上的资料完全的拷到本地或者本人家里的机器上。任务站泄密：乘同事不在，开启同事电脑，阅读，复制同事电脑里的资料。内部人员将资料经过软盘、U盘或挪动硬盘从电脑中拷出带走。将笔记本或者台式机带出管控范围重装系统或者安装另外

6、一套系统从而将资料拷走。将笔记本或者台式机带出管控范围利用GHOST程序进展资料盗窃。将笔记本或者台式机的硬盘拆回家盗窃资料，第二天早早来杰姆斯安装上。将办公用便携式电脑直接带回家中。将笔记本或者台式机带出管控范围运用光盘启动的方式，运用磁盘管理工具将资料完全拷走。将笔记本或者台式机的硬盘或整机送修，资料被好事者拷走。电脑易手后，硬盘上的资料没有处置，导致泄密。笔记本或者台式机遗失或者遭窃，里面的资料被完好的窃取。网络泄密：内部人员经过互联网将资料经过电子邮件发送出去。内部人员经过互联网将资料经过网页bbs发送出去。随意将文件设成共享，导致非相关人员获取资料。将本人的笔记本带到杰姆斯，连上局域

7、网，窃取资料。输出设备挪动设备泄密：挪动存储设备共用，导致非相关人员获取资料。挪动设备包括：u盘、挪动硬盘、蓝牙、红外、并口、串口、4等将文件打印后带出。 客户泄密：客户将杰姆斯提供的文件自用或者给了竞争对手。客户处管理不善产生的泄密。总行员工收到文件后将文件发送给其他人员产生的泄密。第五部分：杰姆斯电子数据平安管理的处理方案 杰姆斯电子文档的平安管理应该包括防止信息泄密的制度建立和防止信息泄密的计算机技术建立，简称“人防和“技防。并且，应该是技防和人防并举，技防需求先行，但“人防应立刻跟上。最后对内外区别到达如图的效果： 而在内部，又可以到达如下的效果：在杰姆斯信息，主要思索以下场景及对应的

8、管理流程，以供指点决策： 1、在杰姆斯局域网内效力器上的进展数据维护：在杰姆斯局域网络内，对效力器上的数据进展加密，局域网效力器上的数据被外设如u盘、挪动硬盘等外拷时也那么自动加密，防止网络管理人员将数据监守自盗，局域网效力器上的数据在被网络共享的情况下，也可以进展防护；2、在杰姆斯局域网内：在杰姆斯内部局域网内，假设用户需求翻开或编辑杰姆斯重要电子文档，必需先登陆严密系统，可在本机上查看、编辑或打印杰姆斯加密本人有权限的电子文档；假设不登陆，将不能查看杰姆斯重要的电子文档，经过编辑的电子文档依然是加密的。5、在家加班：在家加班时，如需运用到杰姆斯加密的电子文档，经过安装程序或相应授权或采用离

9、线狗等方式后，能在特定的机器上翻开或编辑加密电子文档，生成的文档依然是加密文档；回到杰姆斯后，可将加密的电子文档上传至加密系统中公用；6、在外出差：在不能访问杰姆斯内局域网的情况下，假设需求运用杰姆斯加密文档，经过相应授权或采用离线狗等方式后，可以翻开或编辑加密的文档，构成的依然是加密文档；在没有授权的机器不能翻开加密的文档；7、外设运用：设置不能运用外设、仅仅只读外设、可读可写外设等进展管理；假设需求运用那么进展在线提出恳求的方法；不经过恳求经过外设带走的资料均是密文；8、im等外网衔接工具运用：可以随意运用邮件、im等和客户沟通，但外发资料均是密文，除非得到同意； 9、特权用户如公司指点的

10、权限管理： 对特权用户，如公司指点，那么可以设置本地“加密文件夹的方式，将文件拖到“加密文件夹那么加密，拖到“加密文件夹之外那么解密，以方便公司指点的任务。 10、普通文件解密采取一定的管理流程：非公司指点需求的文件解密，可以采用加密系统的解密流程进展，也可以和公司管理系统相集成。11、im聊天工具监控：假设还想知道在公司局域网的用户的聊天纪录，那么运用此模块；需求提示，运用此模块会呵斥个人隐私的一定程度的走漏； 12、总、分公司一致管理：公司按照一致要求全面实施部署，防止产生管理破绽死角。第六部分：对防数据泄密软件的全面要求 对防数据泄密软件的要求主要包括五大部分：软件厂家需求到达国家相关资

11、质的要求、软件功能该当满足公司的详细要求、软件实施应具有便利性、厂家在售后效力方面应具有优势厚势、软件本身应具有灾难恢复建立。 根据国家关于文档维护类软件的销售规定，消费厂家该当必需具有以下几种资质： 1、中华人民共和国公安部颁发的平安产品销售答应证 2、中华人民共和国严密局颁发的涉密信息系统检测证书销售答应证 3、中国人民解放军总顾问部颁发的军用信息平安产品检测证书销售答应证 4、中华人民共和国密码管理局颁发的商用密码产品销售答应证 5、中华人民共和国密码管理局颁发的商用密码产品消费答应证 有关软件的功能，需求到达以下几点：署了防水墙的客户端的电脑，任何资料经过电子设备如u盘外拷的资料后在其

12、他未部署防水墙的电脑上均无法运用；在得到审批后，被审批了的文档经过电子设备如u盘外拷后可以自在运用；防外设电子设备资料外泄；部署了防水墙的客户端的电脑，任何资料经过电子邮件附件如oe外发的资料后在其他未部署防水墙的电脑上均无法运用；在得到审批后，被审批了的文档经过电子邮件附件如oe外发后可以自在运用；防邮件附件资料外泄；部署了防水墙的客户端的电脑，任何资料经过IM附件如QQ外发的资料后在其他未部署防水墙的电脑上均无法运用；在得到审批后，被审批了的文档经过IM附件如QQ外发后可以自在运用；防IM附件资料外泄；部署了防水墙的客户端的电脑，任何严密资料无法粘帖到电子邮件正文如oe而外发；防copy资

13、料到邮件正文后外泄部署了防水墙的客户端的电脑，任何严密资料无法粘帖到IM正文如QQ而外发；防copy资料到QQ后外泄；部署了防水墙的客户端的电脑，任何严密资料无法经过bbs粘帖方式外发；防copy资料到bbs上后外泄；部署了防水墙的客户端的电脑，任何资料经过本地衔接外面电脑方式的ftp等外发的资料后在其他未部署防水墙的电脑上均无法运用；防ftp资料外泄；部署了防水墙的客户端的电脑，任何资料经过远端衔接本地电脑方式的ftp等外发的资料后在其他未部署防水墙的电脑上均无法运用；防ftp资料外泄；部署了防水墙的客户端的电脑，任何资料经过Telnet等方式外发的资料后在其他未部署防水墙的电脑上均无法运用

14、；防Telnet资料外泄；部署了防水墙的客户端的电脑，任何资料经过任何途径外拷资料后在其他未部署防水墙的电脑上均无法运用；在得到审批后，被审批了的文档限制性明文在收到人的电脑上可以运用一定的期限或者次数及无法运用；外发资料设置限制；信誉卡的维护人员在对效力器上的资料进展维护的时候，无法经过网络共享等等方式将资料盗窃；管理人员防备；防水墙系统本身具有灾难恢复系统；灾难恢复；高级管理人员离线办公；离线防护。 关于软件实施应具有便利性、厂家在售后效力方面应具有优势厚势、软件本身应具有灾难恢复建立也是保证软件可以胜利实施的关键要素，在实施方面该当支持推送，在售后服方面呼应时间和空间应该具有优势，可以做到紧急事件1小时到场，1小时处置胜利，软件本身的容灾就更具有现实意义了。第六部分：防止信息泄密的制度建立防止信息泄密的制度建立主要指的是“人防，即相关管理规范建立和