1、. 處理方案：.；PAGE 7山麗信息平安研發(fā)中心：張江高科園區(qū) 863國家信息平安基地張衡路200號 ：+86 21 5835 5533商務中心：陸家嘴金融區(qū) 浦東南路1101號遠東大廈515-516室 ：+86 21 5835 4933關于杰姆斯重要電子數(shù)據(jù)平安管理技術處理方案關鍵字山麗防水墻、泄密途徑、效力器、任務站、加密、解密、資質、產(chǎn)品功能、部署郵件、IM聊天工具數(shù)據(jù)管控；外設數(shù)據(jù)管控；總公司、分公司管理；離網(wǎng)筆記本第一部分：電子文檔的重要性杰姆斯的根本情況：從直觀上來講，杰姆斯目前面臨著這樣一些風險： 1、外設的無約束運用帶來的資料走漏風險；2、外網(wǎng)銜接工具的無約束運用帶來的資料走

2、漏風險；3、筆記本帶來公司管控視野范圍范圍帶來的資料走漏風險；4、公司各個子公司：上海20臺、無錫6臺、內蒙古200-300臺。不能一致管理帶來的管理風險；以上風險和企業(yè)離任在職員工無關。杰姆斯的電子文檔是行里多年積累信息財富，在杰姆斯的開展和運營中有著舉足輕重的作用，占有極其重要的位置。信息社會，信息就是價值，信息就是消費力，但是高度的信息流通以及信息傳送的便利性，添加信息走漏的危險。雖然防火墻、入侵檢測、VPN、入侵檢測等平安產(chǎn)品也逐漸得到認可和運用，但是這些產(chǎn)品有一個共同特點：防外不防內。 在現(xiàn)實中，企業(yè)內部員工存在有意或無意對信息的窺探或竊取，而且，相對而言，內部人員竊取信息比黑客要來

3、得容易。因此，對杰姆斯的電子文檔進展制度防備人防和計算機技術防備技防就具有了迫在眉睫、亟待處理的意義。同時，杰姆斯重要電子數(shù)據(jù)平安管理目的應該是：在嚴厲的平安訪問控制體系管理下，建立資產(chǎn)維護和防泄密監(jiān)控體系，并兼顧共享和運用知識資產(chǎn)的方便。本文在山麗客戶經(jīng)理、杰姆斯技術部有關經(jīng)理睬談內容整理。本文采用山麗防水墻技術方案實現(xiàn)對電子資料、電子文檔進展防泄密防護。第二部分：需求維護的電子文檔的表現(xiàn)方式 需求維護的杰姆斯的重要電子文檔包含：內部技術規(guī)范、內部用戶資料、歸檔電子文件、提供應客戶(總行)的成果文件、重要數(shù)據(jù)庫文件、杰姆斯各類電子證書圖片、杰姆斯財務數(shù)據(jù)、杰姆斯薪酬及年終獎勵電子數(shù)據(jù)等第三部

4、分：需求維護的文檔處于的位置杰姆斯重要電子文檔存儲現(xiàn)狀：以文件、文件夾集中存儲在效力器的文件夾中效力器上以數(shù)據(jù)庫方式存在于系統(tǒng)中效力器上以財務數(shù)據(jù)庫方式存在于部門的效力器上效力器上以文件方式分布于用戶的PC上任務站上以文件方式存在于用戶或者杰姆斯的u盤、挪動硬盤等設備上挪動設備上文件類型包括：包括過去和如今的MS OFFICE文檔如記事本、office2000、office 2003、office 2007，還有未來的MS OFFICE文檔如MS將在2021年版本的office14，PDF各個版本、DWG各個版本，包括有能夠由這些程序導出的各個未知文件格式，或者加殼產(chǎn)生的未知文件格式。就文件格

5、式來講，應該是文件格式處于不斷晉級、開展變化中，因此甚至可以說各個格式均有能夠。第四部分：能夠的泄密途徑 能夠的泄密途徑，應該來講主要包括：效力器上泄密、任務站泄密、挪動設備解密、網(wǎng)絡泄密、輸出設備泄密、客戶泄密、總行公司員工轉發(fā)泄密幾個方面，主要的表現(xiàn)方式如下： 效力器泄密：網(wǎng)絡維護人員在進展維護時運用挪動硬盤將效力器上的資料自備一份。維護人員知道效力器密碼，遠程登陸上，將效力器上的資料完全的拷到本地或者本人家里的機器上。任務站泄密：乘同事不在，開啟同事電腦，閱讀，復制同事電腦里的資料。內部人員將資料經(jīng)過軟盤、U盤或挪動硬盤從電腦中拷出帶走。將筆記本或者臺式機帶出管控范圍重裝系統(tǒng)或者安裝另外

6、一套系統(tǒng)從而將資料拷走。將筆記本或者臺式機帶出管控范圍利用GHOST程序進展資料盜竊。將筆記本或者臺式機的硬盤拆回家盜竊資料，第二天早早來杰姆斯安裝上。將辦公用便攜式電腦直接帶回家中。將筆記本或者臺式機帶出管控范圍運用光盤啟動的方式，運用磁盤管理工具將資料完全拷走。將筆記本或者臺式機的硬盤或整機送修，資料被好事者拷走。電腦易手后，硬盤上的資料沒有處置，導致泄密。筆記本或者臺式機遺失或者遭竊，里面的資料被完好的竊取。網(wǎng)絡泄密：內部人員經(jīng)過互聯(lián)網(wǎng)將資料經(jīng)過電子郵件發(fā)送出去。內部人員經(jīng)過互聯(lián)網(wǎng)將資料經(jīng)過網(wǎng)頁bbs發(fā)送出去。隨意將文件設成共享，導致非相關人員獲取資料。將本人的筆記本帶到杰姆斯，連上局域

7、網(wǎng)，竊取資料。輸出設備挪動設備泄密：挪動存儲設備共用，導致非相關人員獲取資料。挪動設備包括：u盤、挪動硬盤、藍牙、紅外、并口、串口、4等將文件打印后帶出。 客戶泄密：客戶將杰姆斯提供的文件自用或者給了競爭對手。客戶處管理不善產(chǎn)生的泄密?？傂袉T工收到文件后將文件發(fā)送給其他人員產(chǎn)生的泄密。第五部分：杰姆斯電子數(shù)據(jù)平安管理的處理方案 杰姆斯電子文檔的平安管理應該包括防止信息泄密的制度建立和防止信息泄密的計算機技術建立，簡稱“人防和“技防。并且，應該是技防和人防并舉，技防需求先行，但“人防應立刻跟上。最后對內外區(qū)別到達如圖的效果： 而在內部，又可以到達如下的效果：在杰姆斯信息，主要思索以下場景及對應的

8、管理流程，以供指點決策： 1、在杰姆斯局域網(wǎng)內效力器上的進展數(shù)據(jù)維護：在杰姆斯局域網(wǎng)絡內，對效力器上的數(shù)據(jù)進展加密，局域網(wǎng)效力器上的數(shù)據(jù)被外設如u盤、挪動硬盤等外拷時也那么自動加密，防止網(wǎng)絡管理人員將數(shù)據(jù)監(jiān)守自盜，局域網(wǎng)效力器上的數(shù)據(jù)在被網(wǎng)絡共享的情況下，也可以進展防護；2、在杰姆斯局域網(wǎng)內：在杰姆斯內部局域網(wǎng)內，假設用戶需求翻開或編輯杰姆斯重要電子文檔，必需先登陸嚴密系統(tǒng)，可在本機上查看、編輯或打印杰姆斯加密本人有權限的電子文檔；假設不登陸，將不能查看杰姆斯重要的電子文檔，經(jīng)過編輯的電子文檔依然是加密的。5、在家加班：在家加班時，如需運用到杰姆斯加密的電子文檔，經(jīng)過安裝程序或相應授權或采用離

9、線狗等方式后，能在特定的機器上翻開或編輯加密電子文檔，生成的文檔依然是加密文檔；回到杰姆斯后，可將加密的電子文檔上傳至加密系統(tǒng)中公用；6、在外出差：在不能訪問杰姆斯內局域網(wǎng)的情況下，假設需求運用杰姆斯加密文檔，經(jīng)過相應授權或采用離線狗等方式后，可以翻開或編輯加密的文檔，構成的依然是加密文檔；在沒有授權的機器不能翻開加密的文檔；7、外設運用：設置不能運用外設、僅僅只讀外設、可讀可寫外設等進展管理；假設需求運用那么進展在線提出懇求的方法；不經(jīng)過懇求經(jīng)過外設帶走的資料均是密文；8、im等外網(wǎng)銜接工具運用：可以隨意運用郵件、im等和客戶溝通，但外發(fā)資料均是密文，除非得到同意； 9、特權用戶如公司指點的

10、權限管理： 對特權用戶，如公司指點，那么可以設置本地“加密文件夾的方式，將文件拖到“加密文件夾那么加密，拖到“加密文件夾之外那么解密，以方便公司指點的任務。 10、普通文件解密采取一定的管理流程：非公司指點需求的文件解密，可以采用加密系統(tǒng)的解密流程進展，也可以和公司管理系統(tǒng)相集成。11、im聊天工具監(jiān)控：假設還想知道在公司局域網(wǎng)的用戶的聊天紀錄，那么運用此模塊；需求提示，運用此模塊會呵斥個人隱私的一定程度的走漏； 12、總、分公司一致管理：公司按照一致要求全面實施部署，防止產(chǎn)生管理破綻死角。第六部分：對防數(shù)據(jù)泄密軟件的全面要求 對防數(shù)據(jù)泄密軟件的要求主要包括五大部分：軟件廠家需求到達國家相關資

11、質的要求、軟件功能該當滿足公司的詳細要求、軟件實施應具有便利性、廠家在售后效力方面應具有優(yōu)勢厚勢、軟件本身應具有災難恢復建立。 根據(jù)國家關于文檔維護類軟件的銷售規(guī)定，消費廠家該當必需具有以下幾種資質： 1、中華人民共和國公安部頒發(fā)的平安產(chǎn)品銷售答應證 2、中華人民共和國嚴密局頒發(fā)的涉密信息系統(tǒng)檢測證書銷售答應證 3、中國人民解放軍總顧問部頒發(fā)的軍用信息平安產(chǎn)品檢測證書銷售答應證 4、中華人民共和國密碼管理局頒發(fā)的商用密碼產(chǎn)品銷售答應證 5、中華人民共和國密碼管理局頒發(fā)的商用密碼產(chǎn)品消費答應證 有關軟件的功能，需求到達以下幾點：署了防水墻的客戶端的電腦，任何資料經(jīng)過電子設備如u盤外拷的資料后在其

12、他未部署防水墻的電腦上均無法運用；在得到審批后，被審批了的文檔經(jīng)過電子設備如u盤外拷后可以自在運用；防外設電子設備資料外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過電子郵件附件如oe外發(fā)的資料后在其他未部署防水墻的電腦上均無法運用；在得到審批后，被審批了的文檔經(jīng)過電子郵件附件如oe外發(fā)后可以自在運用；防郵件附件資料外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過IM附件如QQ外發(fā)的資料后在其他未部署防水墻的電腦上均無法運用；在得到審批后，被審批了的文檔經(jīng)過IM附件如QQ外發(fā)后可以自在運用；防IM附件資料外泄；部署了防水墻的客戶端的電腦，任何嚴密資料無法粘帖到電子郵件正文如oe而外發(fā)；防copy資

13、料到郵件正文后外泄部署了防水墻的客戶端的電腦，任何嚴密資料無法粘帖到IM正文如QQ而外發(fā)；防copy資料到QQ后外泄；部署了防水墻的客戶端的電腦，任何嚴密資料無法經(jīng)過bbs粘帖方式外發(fā)；防copy資料到bbs上后外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過本地銜接外面電腦方式的ftp等外發(fā)的資料后在其他未部署防水墻的電腦上均無法運用；防ftp資料外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過遠端銜接本地電腦方式的ftp等外發(fā)的資料后在其他未部署防水墻的電腦上均無法運用；防ftp資料外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過Telnet等方式外發(fā)的資料后在其他未部署防水墻的電腦上均無法運用

14、；防Telnet資料外泄；部署了防水墻的客戶端的電腦，任何資料經(jīng)過任何途徑外拷資料后在其他未部署防水墻的電腦上均無法運用；在得到審批后，被審批了的文檔限制性明文在收到人的電腦上可以運用一定的期限或者次數(shù)及無法運用；外發(fā)資料設置限制；信譽卡的維護人員在對效力器上的資料進展維護的時候，無法經(jīng)過網(wǎng)絡共享等等方式將資料盜竊；管理人員防備；防水墻系統(tǒng)本身具有災難恢復系統(tǒng)；災難恢復；高級管理人員離線辦公；離線防護。 關于軟件實施應具有便利性、廠家在售后效力方面應具有優(yōu)勢厚勢、軟件本身應具有災難恢復建立也是保證軟件可以勝利實施的關鍵要素，在實施方面該當支持推送，在售后服方面呼應時間和空間應該具有優(yōu)勢，可以做到緊急事件1小時到場，1小時處置勝利，軟件本身的容災就更具有現(xiàn)實意義了。第六部分：防止信息泄密的制度建立防止信息泄密的制度建立主要指的是“人防，即相關管理規(guī)范建立和