1、深圳市XXXX設(shè)備有限公司數(shù)據(jù)泄漏防護(hù)項(xiàng)目解決方案北京億賽通科技發(fā)展有限責(zé)任公司 2012-11-26第一章 現(xiàn)狀及風(fēng)險(xiǎn)分析1.1 安全現(xiàn)狀及風(fēng)險(xiǎn)隨著深圳市XXXX有限公司 的高速發(fā)展和信息化工作的推進(jìn)，越來(lái)越多的公司涉密文檔以電子化的形式流轉(zhuǎn)，一方面極大的提高了工作效率，另一方面也令泄密風(fēng)險(xiǎn)俱增，這些文檔一旦失控，損失將會(huì)難以估計(jì)。而深圳市XX機(jī)械設(shè)備有限公司 現(xiàn)有的涉密數(shù)據(jù)管理仍然集中在存儲(chǔ)環(huán)節(jié)，流通環(huán)節(jié)則缺乏有效監(jiān)管，無(wú)論是在公司內(nèi)部還是外部，分發(fā)出去之后的文檔沒(méi)有得到全程控制，形成相當(dāng)嚴(yán)重的安全隱患,建立一個(gè)架構(gòu)于全集團(tuán)的數(shù)據(jù)泄漏防護(hù)體系已經(jīng)成為一個(gè)非常關(guān)鍵和迫切的任務(wù)。由于目前深圳市

2、XX機(jī)械設(shè)備有限公司 的所有技術(shù)研發(fā)、設(shè)計(jì)、歸檔管理的資料均無(wú)形成適合整個(gè)集團(tuán)的整體防護(hù)手段，在公司OA系統(tǒng)、知識(shí)管理平臺(tái)等內(nèi)存儲(chǔ)流通的重要信息文檔，因其電子文檔的不可回收性，無(wú)法控制文件的回收以及失效，從而存在借閱后非法擴(kuò)散的風(fēng)險(xiǎn)；造成深圳市XX機(jī)械設(shè)備有限公司 在核心數(shù)據(jù)資產(chǎn)的使用、傳輸、保管、銷(xiāo)毀的過(guò)程中存在較多安全風(fēng)險(xiǎn)，同時(shí)也加大了信息安全管理工作的難度；通過(guò)對(duì)深圳市XX機(jī)械設(shè)備有限公司 現(xiàn)有信息資產(chǎn)進(jìn)行安全評(píng)估，潛在風(fēng)險(xiǎn)統(tǒng)計(jì)如下：1.1.1 數(shù)據(jù)風(fēng)險(xiǎn)1. 核心數(shù)據(jù)以明文方式分散儲(chǔ)存，難于管理；2. 核心數(shù)據(jù)傳輸環(huán)節(jié)有較多合法或非法的輸出途徑且無(wú)法有效監(jiān)管；3. 核心數(shù)據(jù)授權(quán)帶離企業(yè)內(nèi)

3、部環(huán)境后面臨外部擴(kuò)散泄密風(fēng)險(xiǎn)；4. 人員離職時(shí)可以將數(shù)據(jù)資產(chǎn)帶離公司環(huán)境，造成損失；5. 各類(lèi)數(shù)據(jù)存儲(chǔ)設(shè)備及介質(zhì)由于使用、管理及處置不當(dāng)引發(fā)的泄密風(fēng)險(xiǎn)等；6. 特殊研發(fā)場(chǎng)景需開(kāi)放網(wǎng)絡(luò)及USB等端口使用權(quán)限（如調(diào)試、仿真、燒錄等），權(quán)限一旦開(kāi)放將存在重大數(shù)據(jù)泄密隱患等。1.1.2 人員風(fēng)險(xiǎn)信息泄密事件的發(fā)生大多數(shù)和人密切相關(guān)，泄密的途徑和方式也多種多樣，可概括為如下三方面： 主動(dòng)泄密隱患主動(dòng)泄密已經(jīng)成為當(dāng)前企業(yè)信息安全的首要問(wèn)題，據(jù)報(bào)告數(shù)據(jù)顯示，目前泄密事件78.9的損失都是由內(nèi)部人員主動(dòng)泄密導(dǎo)致。目前企業(yè)面臨的主動(dòng)泄密隱患包括：1. 將企業(yè)內(nèi)部文檔私自拷貝外帶及復(fù)用泄密(USB/

4、網(wǎng)絡(luò)/即時(shí)通訊/刻錄)；2. 越權(quán)訪(fǎng)問(wèn)非授權(quán)數(shù)據(jù)泄密；3. 盜用他人賬號(hào)及設(shè)備非法訪(fǎng)問(wèn)數(shù)據(jù)泄密；4. 伙同他人實(shí)現(xiàn)敏感數(shù)據(jù)跨安全域轉(zhuǎn)移泄密；5. 通過(guò)打印機(jī)、傳真機(jī)等將敏感數(shù)據(jù)進(jìn)行介質(zhì)轉(zhuǎn)換泄密；6. 私自攜帶筆記本設(shè)備接入內(nèi)部網(wǎng)絡(luò)非法下載數(shù)據(jù)泄密；7. 對(duì)敏感數(shù)據(jù)的惡意傳播及擴(kuò)散泄密；8. 對(duì)核心應(yīng)用系統(tǒng)的非安全接入及訪(fǎng)問(wèn)泄密；9. 不遵守管理制度的其他導(dǎo)致數(shù)據(jù)泄密的行為等。 被動(dòng)泄密隱患被動(dòng)泄密是指導(dǎo)致信息泄密的人員在無(wú)意識(shí)或不知情的情況下所發(fā)生的泄密隱患，被動(dòng)泄密已成為當(dāng)前日益激烈的惡性商業(yè)競(jìng)爭(zhēng)下的主要泄密隱患。目前存在的被動(dòng)泄密隱患包括：1. 移動(dòng)筆記本、USB存儲(chǔ)設(shè)備遺失

5、或失竊導(dǎo)致數(shù)據(jù)泄密；2. 郵件或網(wǎng)絡(luò)誤操作、誤發(fā)送引起的泄密；3. 保密意識(shí)淡薄對(duì)敏感數(shù)據(jù)保管不當(dāng)引起的泄密，如隨意共享等；4. 感染病毒、木馬后引發(fā)的敏感數(shù)據(jù)泄密；5. 將存放重要數(shù)據(jù)的機(jī)器、存儲(chǔ)介質(zhì)隨意交與他人使用引發(fā)的泄密；6. 移動(dòng)筆記本、USB存儲(chǔ)設(shè)備和硬盤(pán)等維修、廢棄時(shí)引發(fā)的泄密。 第三方泄密隱患第三方泄密是指重要數(shù)據(jù)交付給合作伙伴、客戶(hù)或其他關(guān)系密切人員后保管不當(dāng)或故意分發(fā)所引起的第三方擴(kuò)散泄密，是目前企業(yè)商業(yè)化合作需求背景下逐漸體現(xiàn)的信息安全問(wèn)題。目前存在的第三方泄密隱患包括：1. 合作伙伴、外協(xié)人員接入內(nèi)部網(wǎng)絡(luò)非法獲取敏感數(shù)據(jù)泄密；2. 應(yīng)用維護(hù)、開(kāi)發(fā)人員訪(fǎng)問(wèn)系

6、統(tǒng)后臺(tái)及數(shù)據(jù)庫(kù)非法獲取敏感數(shù)據(jù)泄密；3. 發(fā)送給客戶(hù)、合作伙伴及其他關(guān)系密切人員的敏感數(shù)據(jù)保管不當(dāng)或惡意擴(kuò)散引起的泄密；4. 合同、圖紙以及科研、學(xué)術(shù)報(bào)告等敏感資料外部打印、復(fù)印時(shí)副本拷貝泄密；5. 應(yīng)用系統(tǒng)、郵件服務(wù)器以及數(shù)據(jù)中心外部托管時(shí)非法竊取泄密。1.1.3 管理風(fēng)險(xiǎn)1. 現(xiàn)有安全管控措施不能有效預(yù)防核心數(shù)據(jù)主動(dòng)、被動(dòng)泄密風(fēng)險(xiǎn)；2. 合法授權(quán)用戶(hù)對(duì)核心數(shù)據(jù)的使用無(wú)法審計(jì)；3. 出現(xiàn)信息安全事件后不能快速定位責(zé)任人；4. 缺乏有效的技術(shù)手段或平臺(tái)落實(shí)核心數(shù)據(jù)資產(chǎn)的保護(hù)政策等。第二章 項(xiàng)目建設(shè)可行性評(píng)估2.1 項(xiàng)目建設(shè)總體需求鑒于上述安全現(xiàn)狀及風(fēng)險(xiǎn)，需要建立一套完善的數(shù)據(jù)安全防護(hù)平臺(tái)，以保

7、護(hù)深圳市旺鑫精密工業(yè)有限公司核心數(shù)據(jù)資產(chǎn)并落實(shí)安全目標(biāo)。平臺(tái)建設(shè)需求將從安全、業(yè)務(wù)、系統(tǒng)、管理等四個(gè)方面進(jìn)行統(tǒng)計(jì)：2.1.1 安全需求1. DLP系統(tǒng)可實(shí)現(xiàn)對(duì)核心數(shù)據(jù)資產(chǎn)的透明加密保護(hù)；2. 建立數(shù)據(jù)全生命周期安全訪(fǎng)問(wèn)及使用邊界；3. 防止非授權(quán)訪(fǎng)問(wèn)竊取及透過(guò)其他途徑外泄數(shù)據(jù)。2.1.2 業(yè)務(wù)需求1. 各業(yè)務(wù)部門(mén)及組織可正常、合法使用核心數(shù)據(jù)資產(chǎn)；2. DLP系統(tǒng)平臺(tái)與企業(yè)現(xiàn)有信息化系統(tǒng)、業(yè)務(wù)系統(tǒng)等無(wú)縫安全集成；3. 不改變或不過(guò)多改變現(xiàn)有業(yè)務(wù)流程效率及用戶(hù)使用習(xí)慣。2.1.3 系統(tǒng)需求1. 核心數(shù)據(jù)資產(chǎn)使用行為可追溯，可快速發(fā)現(xiàn)及識(shí)別數(shù)據(jù)應(yīng)用風(fēng)險(xiǎn)；2. DLP系統(tǒng)平臺(tái)應(yīng)用及保護(hù)對(duì)用戶(hù)需易用、

8、透明且無(wú)感知；3. DLP系統(tǒng)平臺(tái)需具備高可用性和穩(wěn)定性，確保業(yè)務(wù)連續(xù)性。2.1.4 管理需求1. DLP系統(tǒng)平臺(tái)可納入企業(yè)ISO/ISMS安全管理體系作為安全落地及執(zhí)行的補(bǔ)充；2. DLP系統(tǒng)平臺(tái)具備持續(xù)、穩(wěn)定的安全運(yùn)維服務(wù)能力；3. DLP系統(tǒng)平臺(tái)建設(shè)需落實(shí)數(shù)據(jù)安全保護(hù)的各項(xiàng)制度及規(guī)范；4. 符合企業(yè)信息安全審計(jì)的規(guī)定及要求。2.2 項(xiàng)目建設(shè)可行性分析2.2.1 需求可行性我們根據(jù)大型研發(fā)、生產(chǎn)、制造類(lèi)企業(yè)，如比亞迪集團(tuán)、艾默生集團(tuán)、正泰集團(tuán)、國(guó)人通信、宇龍通信、晨迅集團(tuán)、遠(yuǎn)光集團(tuán)、特變電工等有自主知識(shí)產(chǎn)權(quán)的國(guó)內(nèi)大型集團(tuán)化企業(yè)在數(shù)據(jù)安全方面的實(shí)踐經(jīng)驗(yàn)，結(jié)合企業(yè)自身的數(shù)據(jù)管理現(xiàn)狀，提出數(shù)據(jù)安

9、全管理體系的主要需求： 數(shù)據(jù)內(nèi)部保護(hù)的需求企業(yè)內(nèi)部使用的敏感數(shù)據(jù)能夠進(jìn)行加密保護(hù)，并可根據(jù)數(shù)據(jù)密級(jí)及數(shù)據(jù)管理需求進(jìn)行授權(quán)管理，可以控制是否可閱讀、可打印、可編輯、可復(fù)制等功能，禁止將敏感數(shù)據(jù)通過(guò)復(fù)制、另存為副本、拷屏等手段轉(zhuǎn)換為明文而泄密；內(nèi)部使用的非敏感信息可以不進(jìn)行加密處理，也可由數(shù)據(jù)生產(chǎn)者或數(shù)據(jù)管理員識(shí)別并加密授權(quán)后再進(jìn)行傳播；內(nèi)部人員使用敏感數(shù)據(jù)行為均可審計(jì)，審計(jì)內(nèi)容包括：閱讀、打印、修改、刪除、解密以及外發(fā)等重要操作行為。 數(shù)據(jù)對(duì)外防范的需求對(duì)于嚴(yán)格控制外發(fā)的敏感數(shù)據(jù)，采用加密手段進(jìn)行保護(hù)，在傳播途徑方面嚴(yán)格控制外發(fā)權(quán)限。即使數(shù)據(jù)被非法傳播出去，外部非授權(quán)

10、人員也無(wú)法打開(kāi)使用。對(duì)于需要和外部如合作伙伴、客戶(hù)等交換的重要數(shù)據(jù)，需要有嚴(yán)格的解密審批流程或外發(fā)管控手段，并對(duì)數(shù)據(jù)外發(fā)行為進(jìn)行嚴(yán)格審計(jì)。 業(yè)務(wù)方面的需求企業(yè)的良性發(fā)展體現(xiàn)在組織架構(gòu)及分支機(jī)構(gòu)的增加、業(yè)務(wù)運(yùn)作體系的日益復(fù)雜、業(yè)務(wù)流程及場(chǎng)景的日益龐大等，數(shù)據(jù)安全平臺(tái)構(gòu)建時(shí)需關(guān)注如下方面：1. 各業(yè)務(wù)體系對(duì)數(shù)據(jù)安全保護(hù)的實(shí)際要求；2. 數(shù)據(jù)安全保護(hù)平臺(tái)與現(xiàn)有業(yè)務(wù)系統(tǒng)及平臺(tái)的協(xié)同關(guān)系；3. 數(shù)據(jù)資產(chǎn)管理現(xiàn)狀；4. 總公司、分公司、業(yè)務(wù)部門(mén)之間數(shù)據(jù)交互的便利與保密；5. 與合作伙伴、客戶(hù)的數(shù)據(jù)交互便利與保密；6. 歷史重要數(shù)據(jù)資產(chǎn)的妥善處置；7. KPI考核體系的落實(shí)及執(zhí)行。2.2.1.

11、4 流程與制度的需求為保證數(shù)據(jù)安全管理體系的落地與正常運(yùn)作，必須配套完整的管理制度和流程規(guī)范，包括但不限于：1. 敏感數(shù)據(jù)全生命周期各環(huán)節(jié)的處理流程；2. 數(shù)據(jù)密級(jí)劃分及授權(quán)管理流程；3. 歷史數(shù)據(jù)的界定、處理、保護(hù)流程；4. 數(shù)據(jù)對(duì)外、各子公司間、業(yè)務(wù)部門(mén)間無(wú)縫交互流程；5. 特權(quán)用戶(hù)、特殊業(yè)務(wù)場(chǎng)景支撐流程建立；6. 數(shù)據(jù)使用、傳播等環(huán)節(jié)的審計(jì)流程；7. 管理體系維護(hù)規(guī)范建立8. 體系審計(jì)流程規(guī)范建立；9. 體系安全使用及運(yùn)維管理規(guī)定建立；10. 用戶(hù)培訓(xùn)、考核流程及規(guī)范等。 技術(shù)平臺(tái)需求技術(shù)平臺(tái)的好壞直接影響到系統(tǒng)的運(yùn)維和使用，在技術(shù)平臺(tái)方面要滿(mǎn)足以下重要原則：1. 能滿(mǎn)足內(nèi)

12、核級(jí)透明加密及數(shù)據(jù)權(quán)限管理要求的成熟產(chǎn)品；2. 能和企業(yè)現(xiàn)有的信息化平臺(tái)、業(yè)務(wù)支撐系統(tǒng)無(wú)縫、安全集成，保證核心數(shù)據(jù)的在線(xiàn)、離線(xiàn)一體化安全；3. 產(chǎn)品解決方案成熟，具備大型企業(yè)級(jí)用戶(hù)成功實(shí)踐；4. 需建立完善、快速、有效及安全的體系運(yùn)行維護(hù)機(jī)制。以上需求在國(guó)內(nèi)很多大型企業(yè)級(jí)客戶(hù)得到落實(shí)，符合具備自身知識(shí)產(chǎn)權(quán)的大型集團(tuán)化企業(yè)的數(shù)據(jù)安全管理目標(biāo)，并可以落實(shí)和實(shí)施。2.2.2 技術(shù)可行性作為DLP系統(tǒng)平臺(tái)核心技術(shù)之一的內(nèi)核級(jí)動(dòng)態(tài)加解密技術(shù)，該項(xiàng)技術(shù)發(fā)展已經(jīng)歷經(jīng)單緩存過(guò)濾驅(qū)動(dòng)技術(shù)、雙緩存過(guò)濾驅(qū)動(dòng)技術(shù)和虛擬文件系統(tǒng)技術(shù)（LayerFSD）三個(gè)階段，目前該項(xiàng)技術(shù)已經(jīng)發(fā)展成熟并擁有大規(guī)模企業(yè)級(jí)成功實(shí)踐：序號(hào)核

13、心技術(shù)發(fā)布年份案例數(shù)典型客戶(hù)1單緩存文件過(guò)濾驅(qū)動(dòng)技術(shù)2005年200北京德信無(wú)線(xiàn)(2006)、上海晨訊（sim）(2007)、飛利浦中國(guó)(2007)、ABB中國(guó)(2007)、中國(guó)移動(dòng)集團(tuán)等2雙緩存文件過(guò)濾驅(qū)動(dòng)技術(shù)2008年500正泰集團(tuán)(2008)、比亞迪集團(tuán)(2008)、中集集團(tuán)(2009)、宇龍通信(2008)、國(guó)人通信(2008)、動(dòng)力源(2009)等3虛擬文件系統(tǒng)技術(shù)2009年1000+廣汽研究院(2010)、廣汽本田(2010)、艾默生網(wǎng)絡(luò)能源(2010)、武橋重工(2010)、烽火科技集團(tuán)(2010)、全友家私(2011)、遠(yuǎn)光集團(tuán)（2011）等通過(guò)這些集團(tuán)化企業(yè)的實(shí)踐檢驗(yàn)，可以證

14、明此項(xiàng)技術(shù)在企業(yè)級(jí)客戶(hù)中應(yīng)用是完全可行的。2.2.3 資源可行性 管理資源任務(wù)可行性企業(yè)各相關(guān)業(yè)務(wù)部門(mén)人力資源的調(diào)配可行決定系統(tǒng)投資與啟動(dòng)可行統(tǒng)一協(xié)調(diào)各相關(guān)部門(mén)配合進(jìn)行項(xiàng)目測(cè)試和實(shí)施可行統(tǒng)一協(xié)調(diào)各分公司及成員組織配合進(jìn)行項(xiàng)目測(cè)試和實(shí)施可行 IT/IS部門(mén)資源在項(xiàng)目建設(shè)過(guò)程中需要信息化/信息安全部門(mén)的支持主要工作如下：任務(wù)可行性對(duì)現(xiàn)有IT系統(tǒng)結(jié)構(gòu)的了解可行協(xié)調(diào)集成商對(duì)現(xiàn)有系統(tǒng)的調(diào)研可行參與實(shí)施計(jì)劃制定,確保實(shí)施計(jì)劃穩(wěn)妥、可靠、并且適合大規(guī)模推廣可行跟蹤系統(tǒng)實(shí)施進(jìn)度,以確保項(xiàng)目按計(jì)劃執(zhí)行可行監(jiān)控系統(tǒng)試運(yùn)行可行收集用戶(hù)使用中的反饋可行 各業(yè)務(wù)相關(guān)部門(mén)資源在項(xiàng)

15、目建設(shè)過(guò)程中需要業(yè)務(wù)部門(mén)的支持主要工作如下任務(wù)可行性配合進(jìn)行功能、性能、兼容性、穩(wěn)定性等測(cè)試可行業(yè)務(wù)需求及流程調(diào)研可行實(shí)施情況及意見(jiàn)、建議反饋可行 項(xiàng)目資金投入根據(jù)業(yè)界最佳項(xiàng)目實(shí)踐分析及調(diào)研,DLP系統(tǒng)平臺(tái)建設(shè)的投資分為以下幾個(gè)方面：項(xiàng)目條件業(yè)務(wù)咨詢(xún)費(fèi)用投入可選設(shè)備采購(gòu)及軟件購(gòu)買(mǎi)費(fèi)用投入常規(guī)預(yù)算實(shí)施及部署資源費(fèi)用投入常規(guī)預(yù)算安全運(yùn)維及售后服務(wù)費(fèi)用投入常規(guī)預(yù)算2.2.4 項(xiàng)目收益分析數(shù)據(jù)安全防護(hù)體系的建立及實(shí)施，可以全方位的保護(hù)企業(yè)核心知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密，保證企業(yè)核心競(jìng)爭(zhēng)力，并為企業(yè)良性的運(yùn)作保駕護(hù)航。通過(guò)實(shí)施DLP體系，企業(yè)將在以下方面得到收益： 核心知識(shí)產(chǎn)權(quán)的保護(hù)

16、DLP系統(tǒng)平臺(tái)的建立，將對(duì)企業(yè)的核心數(shù)據(jù)資產(chǎn)，如：研究成果、設(shè)計(jì)圖紙等提供全生命周期的有效保護(hù)。通過(guò)對(duì)核心數(shù)據(jù)的加密保護(hù)，保證核心數(shù)據(jù)非法流出企業(yè)外部時(shí)無(wú)法復(fù)制及使用，而在企業(yè)內(nèi)部可以在受控范圍內(nèi)靈活使用。 商業(yè)機(jī)密的保護(hù)企業(yè)日常運(yùn)行中的商業(yè)機(jī)密，如：重要經(jīng)營(yíng)決策、戰(zhàn)略發(fā)展規(guī)劃、財(cái)務(wù)報(bào)表、日常管理文件等。這些數(shù)據(jù)可以在發(fā)布、使用過(guò)程中得到良好的控制和保護(hù)，通過(guò)精細(xì)化的授權(quán)及控制，防止非法查閱及復(fù)制等。 客戶(hù)及合作伙伴的信任目前國(guó)際商業(yè)市場(chǎng)對(duì)供應(yīng)商及合作伙伴的信息安全管理有很高的要求。DLP防護(hù)體系的建立可以使客戶(hù)及合作伙伴的信息得到有效的保護(hù)，贏(yíng)得客戶(hù)及合作伙伴的信

17、任，為企業(yè)國(guó)際化市場(chǎng)、國(guó)內(nèi)市場(chǎng)的拓展提供安全保障。 作為公眾公司的形象目前國(guó)家對(duì)上市公司的監(jiān)管越來(lái)越嚴(yán)格，對(duì)上市公司信息披露的規(guī)范性，上市公司財(cái)務(wù)信息的真實(shí)性等有很高的要求，審計(jì)公司在對(duì)上市公司審計(jì)時(shí)，對(duì)信息的保密性、完整性有很高的要求。DLP防護(hù)體系可以充分體現(xiàn)企業(yè)在經(jīng)營(yíng)、財(cái)務(wù)及管理等信息的保護(hù)能力，贏(yíng)得股東的信任。綜上所述，DLP系統(tǒng)平臺(tái)的建立不僅能有效保護(hù)企業(yè)核心知識(shí)產(chǎn)權(quán)、核心商業(yè)機(jī)密，還能使企業(yè)得到客戶(hù)、合作伙伴的信任，并能提升企業(yè)作為上市公司的形象。2.2.5 總結(jié)根據(jù)項(xiàng)目建設(shè)可行性分析，我們可以得出以下結(jié)論：1. 需求均立足于企業(yè)信息安全現(xiàn)狀，并具備有大量成功實(shí)踐，現(xiàn)

18、有的技術(shù)發(fā)展水平完全可以達(dá)到各項(xiàng)安全目標(biāo)，需求方面是完全可行的。2. 外部的大環(huán)境、同類(lèi)企業(yè)的成功經(jīng)驗(yàn)，企業(yè)內(nèi)部IT發(fā)展規(guī)劃，信息安全從業(yè)人員的水平等均可以保證項(xiàng)目順利達(dá)成目標(biāo)，環(huán)境具備可行性。3. 現(xiàn)有的數(shù)據(jù)安全防護(hù)技術(shù)發(fā)展十分成熟，很多大的企業(yè)已經(jīng)采用了該類(lèi)技術(shù)實(shí)現(xiàn)對(duì)保護(hù)核心信息，技術(shù)上具備可行性。4. 核心數(shù)據(jù)資產(chǎn)保護(hù)不僅能保護(hù)企業(yè)的核心知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密，還能提升企業(yè)的形象，得到客戶(hù)及合作伙伴的信賴(lài)，長(zhǎng)期收益具備可行性。5. 目前數(shù)據(jù)安全保護(hù)已經(jīng)逐漸納入企業(yè)信息安全規(guī)劃，高層領(lǐng)導(dǎo)也密切關(guān)注企業(yè)自身信息安全體系建設(shè)及相應(yīng)投資回報(bào)，并對(duì)項(xiàng)目的建設(shè)可提供良好的支持和決策，資源投入具備可行性。

19、綜合以上結(jié)論，企業(yè)已經(jīng)具備建設(shè)并實(shí)施DLP系統(tǒng)平臺(tái)的條件。第三章 總體方案及結(jié)構(gòu)3.1 方案概述億賽通數(shù)據(jù)泄漏防護(hù)（DLP）整體解決方案是對(duì)用戶(hù)的“有意”、“無(wú)意”兩種數(shù)據(jù)泄漏行為的統(tǒng)一防護(hù)，采用“事前主動(dòng)防御，事中實(shí)時(shí)控制，事后及時(shí)追蹤，全面防止泄密”的設(shè)計(jì)理念，融合“加密敏感數(shù)據(jù)”、“控制敏感內(nèi)容流通”、“規(guī)范員工訪(fǎng)問(wèn)行為”為主體的核心技術(shù)，配合身份識(shí)別、權(quán)限控制、終端管理、應(yīng)用集成、安全接入以及行為審計(jì)等功能，形成一套適合國(guó)內(nèi)信息安全現(xiàn)狀及管理目標(biāo)的全新DLP解決方案，最終實(shí)現(xiàn)“帶不走、打不開(kāi)、讀不懂”的控制目標(biāo)及效果。由于敏感數(shù)據(jù)均被加密，即使被非法泄露也無(wú)法讀取到任何有價(jià)值內(nèi)容，從而

20、保證了對(duì)惡意行為的防護(hù)。這種實(shí)現(xiàn)手段對(duì)“有意”、“無(wú)意”以及復(fù)雜的數(shù)據(jù)結(jié)構(gòu)均能起到很好的防護(hù)效果，通過(guò)對(duì)信息安全的源頭進(jìn)行控制，結(jié)合內(nèi)容安全防護(hù)、應(yīng)用系統(tǒng)整合以及業(yè)務(wù)流程支撐等手段，可滿(mǎn)足任意行業(yè)用戶(hù)的安全及管理需求。經(jīng)過(guò)近10年的成長(zhǎng)及完善，億賽通DLP已經(jīng)積累了大量的成功實(shí)踐，并在各大行業(yè)進(jìn)行了應(yīng)用和推廣；同時(shí)，億賽通更注重本土化及個(gè)性化服務(wù)，提倡為企業(yè)客戶(hù)提供“因地制宜、量體裁衣”的數(shù)據(jù)安全服務(wù)，始終貫徹“安全是融合而非改變”方針，為用戶(hù)打造出全新的數(shù)據(jù)全生命周期安全解決方案。3.2 關(guān)鍵需求場(chǎng)景方案設(shè)計(jì)3.2.1 核心數(shù)據(jù)安全存儲(chǔ)需求-透明加密 需求概述深圳市XX機(jī)械設(shè)備

21、有限公司核心數(shù)據(jù)資產(chǎn)存儲(chǔ)方式多樣，包含終端硬盤(pán)、便攜存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)流程系統(tǒng)、集中化業(yè)務(wù)平臺(tái)及各類(lèi)數(shù)據(jù)庫(kù)中，由于企業(yè)發(fā)展及業(yè)務(wù)需要，數(shù)據(jù)需進(jìn)行高度共享及協(xié)同。但數(shù)據(jù)資產(chǎn)均以明文形式進(jìn)行存儲(chǔ)，且數(shù)據(jù)交換及傳輸通道多樣而無(wú)法有效監(jiān)管，將面臨眾多泄密隱患： 解決方案及效果l 強(qiáng)制加密通過(guò)智能動(dòng)態(tài)加解密技術(shù)，對(duì)文件進(jìn)行強(qiáng)制加密處理，從文件創(chuàng)建開(kāi)始即可自動(dòng)加密保護(hù)。通過(guò)對(duì)核心數(shù)據(jù)進(jìn)行全生命周期保護(hù)，確保核心數(shù)據(jù)只可在企業(yè)安全域內(nèi)正常、透明使用，通過(guò)任意方式將數(shù)據(jù)非法帶離內(nèi)部環(huán)境將無(wú)法正常使用。l 透明使用核心數(shù)據(jù)在加密前后對(duì)于數(shù)據(jù)合法使用者無(wú)任何差異，不增加用戶(hù)負(fù)擔(dān)、不改變?nèi)魏喂ぷ髁鞒碳笆褂?/p>

22、習(xí)慣。文件的保存加密、打開(kāi)解密完全由后臺(tái)加解密驅(qū)動(dòng)內(nèi)核自動(dòng)完成，對(duì)用戶(hù)而言完全透明、無(wú)感知。l 靈活拓展第三代內(nèi)核驅(qū)動(dòng)層（虛擬文件系統(tǒng)：LayerFSD）智能動(dòng)態(tài)加解密技術(shù)，理論上可支持對(duì)任意文件類(lèi)型、應(yīng)用程序進(jìn)行加密保護(hù)。完全開(kāi)放式策略庫(kù)配置，當(dāng)新引進(jìn)設(shè)計(jì)軟件或變更安全控制策略時(shí)，企業(yè)可以完全自主進(jìn)行安全策略配置；當(dāng)應(yīng)用程序或設(shè)計(jì)軟件升級(jí)換代時(shí)，億賽通DLP系統(tǒng)平臺(tái)無(wú)需升級(jí)和二次開(kāi)發(fā)，通過(guò)安全策略變更即可無(wú)縫兼容支持。3.2.2 敏感數(shù)據(jù)內(nèi)容保護(hù)需求-內(nèi)容安全 需求概述合法用戶(hù)在正常使用加密及授權(quán)文件時(shí)，可能會(huì)通過(guò)內(nèi)容復(fù)制/粘貼、拖拽、副本另存為、截屏/錄屏、打印等方式對(duì)文檔內(nèi)

23、容進(jìn)行移植及轉(zhuǎn)儲(chǔ)，存在數(shù)據(jù)內(nèi)容泄密風(fēng)險(xiǎn)為了保障核心數(shù)據(jù)的存儲(chǔ)和內(nèi)容使用安全，需要對(duì)用戶(hù)上述數(shù)據(jù)內(nèi)容轉(zhuǎn)儲(chǔ)行為進(jìn)行安全控制。 解決方案及效果l 剪切板/拖拽控制合法用戶(hù)打開(kāi)加密文件時(shí)，系統(tǒng)將對(duì)合法程序的剪切板行為進(jìn)行監(jiān)控，受控程序之間可以進(jìn)行內(nèi)容的復(fù)制、粘貼、剪切等操作，但是受控程序的內(nèi)容不允許粘貼至非受控程序中。例如系統(tǒng)對(duì)AUTOCAD全系列軟件及數(shù)據(jù)類(lèi)型進(jìn)行加密控制，用戶(hù)在A(yíng)UTOCAD文件間可以自由進(jìn)行數(shù)據(jù)內(nèi)容的復(fù)制和粘貼，且保存的目標(biāo)文件將自動(dòng)加密保護(hù)；但AUTOCAD數(shù)據(jù)內(nèi)容將無(wú)法粘貼至網(wǎng)頁(yè)或QQ中，也通過(guò)截圖及虛擬打印PDF文件方式泄密。l 另存為控制合法用戶(hù)打開(kāi)加密文件

24、后，根據(jù)工作需要進(jìn)行副本及格式另存為；也可能出于泄密目的，將文件保存為任意不規(guī)則格式（包括無(wú)格式）副本。DLP系統(tǒng)平臺(tái)可完全識(shí)別另存為行為，自動(dòng)完成數(shù)據(jù)強(qiáng)制加密存儲(chǔ)，確保核心數(shù)據(jù)存儲(chǔ)安全。l 拷屏/錄屏合法用戶(hù)打開(kāi)加密文件后，系統(tǒng)將實(shí)時(shí)監(jiān)控用戶(hù)的截屏及錄屏行為，當(dāng)用戶(hù)發(fā)起截屏請(qǐng)求時(shí)(比如鍵盤(pán)PrintScreen、QQ截屏以及其他截屏工具等)，系統(tǒng)會(huì)自動(dòng)攔截截屏請(qǐng)求，實(shí)現(xiàn)屏幕黑屏保護(hù)；而當(dāng)用戶(hù)未打開(kāi)任意加密文件時(shí)，系統(tǒng)不對(duì)用戶(hù)截屏行為進(jìn)行任何控制。l 打印控制系統(tǒng)可對(duì)用戶(hù)的打印行為進(jìn)行靈活控制，即可實(shí)現(xiàn)“開(kāi)/關(guān)式”打印控制，控制用戶(hù)是否允許或禁止打印加密文件，也可實(shí)現(xiàn)打印精細(xì)化管理，控制用戶(hù)對(duì)

25、指定文檔的閱讀、打印權(quán)限，如使用次數(shù)和時(shí)限等。為保障核心數(shù)據(jù)的打印安全及可追溯，可進(jìn)行打印水印進(jìn)行設(shè)置，水印包括文字信息和水印圖片，例如可以自動(dòng)強(qiáng)制添加公司名稱(chēng)以及公司LOGO圖片等版權(quán)標(biāo)識(shí)，并可自動(dòng)添加打印用戶(hù)ID、打印時(shí)間、打印機(jī)器IP等信息。3.2.3 核心數(shù)據(jù)外發(fā)安全需求-外發(fā)管控 需求概述深圳市XX機(jī)械設(shè)備有限公司在很多業(yè)務(wù)執(zhí)行與協(xié)作過(guò)程中，有大批量的信息需要與外界進(jìn)行實(shí)時(shí)溝通，核心信息一旦以明文方式離開(kāi)企業(yè)內(nèi)部環(huán)境，在外部使用形同“裸奔”，目前由于信息外發(fā)使用及保管不當(dāng)引發(fā)的信息安全事件屢見(jiàn)不鮮：蘋(píng)果公司的iPad產(chǎn)品上市前將加工圖紙交給某代工廠(chǎng)商，此代工商提前將iP

26、ad產(chǎn)品模型銷(xiāo)售給某配件制作廠(chǎng)商，導(dǎo)致 iPad上市前相關(guān)配件就已經(jīng)開(kāi)始銷(xiāo)售，導(dǎo)致蘋(píng)果公司的 iPad配件銷(xiāo)售受到很大影響因此如何保障核心數(shù)據(jù)外發(fā)后不被非法擴(kuò)散及泄密已經(jīng)成為企業(yè)的重點(diǎn)關(guān)注。 解決方案及效果核心數(shù)據(jù)對(duì)外發(fā)布時(shí)，通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密及授權(quán)封裝，保障數(shù)據(jù)在外部環(huán)境的存儲(chǔ)及使用安全，主要包括如下：l 文件加密保護(hù)采用高強(qiáng)度加密技術(shù)對(duì)外發(fā)數(shù)據(jù)進(jìn)行加密保護(hù)，防止非法用戶(hù)暴力破解泄密。l 安全身份校驗(yàn)外發(fā)文件提供多種安全身份認(rèn)證機(jī)制，包括：密碼口令認(rèn)證、機(jī)器綁定認(rèn)證、硬件USB-KEY認(rèn)證及混合認(rèn)證等，在身份認(rèn)證通過(guò)后才可正常、安全打開(kāi)外發(fā)文件。l 文件使用權(quán)限控制外發(fā)文件提供

27、細(xì)粒度權(quán)限控制保護(hù)，包含文檔使用權(quán)限如只讀、打印、修改等控制；文檔生命周期管理如：閱讀次數(shù)、閱讀時(shí)限及過(guò)期自動(dòng)銷(xiāo)毀等保護(hù)；文檔協(xié)同權(quán)限如修改、還原以及文檔內(nèi)容保護(hù)、打印水印等控制。l 文件內(nèi)容安全控制為防止使用者惡意將文件內(nèi)容擴(kuò)散，系統(tǒng)對(duì)其內(nèi)容進(jìn)行高強(qiáng)度安全控制，如內(nèi)容剪切保護(hù)、禁止截屏、禁止另存為及打印控制等。l 外發(fā)文件易用性外發(fā)文件在外部環(huán)境使用時(shí)，無(wú)需安裝任何客戶(hù)端及插件，用戶(hù)雙擊外發(fā)文件完成身份認(rèn)證后即可根據(jù)預(yù)設(shè)權(quán)限透明、安全使用。3.2.4 合法數(shù)據(jù)安全解密需求-流程審批 需求概述為保障對(duì)外明文數(shù)據(jù)交換業(yè)務(wù)連續(xù)性，DLP系統(tǒng)平臺(tái)將提供完整的解密審批流程及日志審核體系。

28、 解決方案及效果l 個(gè)性化流程支撐企業(yè)可根據(jù)現(xiàn)有工作流程制定符合企業(yè)管理需要的各類(lèi)數(shù)據(jù)解密審批流程，并支持審批會(huì)簽（多人同時(shí)通過(guò)，一票否決制）、多級(jí)審批（自定義審批流程）、審批托管（審批員處于不在線(xiàn)時(shí)，自動(dòng)通過(guò)申請(qǐng)請(qǐng)求）等審批方式可供企業(yè)選擇。l 安全身份認(rèn)證各審批節(jié)點(diǎn)在進(jìn)行解密審批時(shí)均需進(jìn)行身份認(rèn)證，防止仿冒用戶(hù)進(jìn)行解密審批操作，并且審批流程可以與郵件系統(tǒng)集成，滿(mǎn)足了方便性的同時(shí)杜絕了申請(qǐng)人可接觸到解密后文件的可能，從而也加強(qiáng)了安全性。l 日志審計(jì)追溯所有流程執(zhí)行及審核均可進(jìn)行日志審計(jì)和追溯。3.2.5 郵件明文安全外發(fā)需求-郵件監(jiān)控 需求概述郵件服務(wù)是當(dāng)前企業(yè)進(jìn)

29、行信息交流的首選工具，大部分企業(yè)由于業(yè)務(wù)需要需開(kāi)放郵件外部投遞權(quán)限，但存在明文泄密隱患。DLP系統(tǒng)平臺(tái)在實(shí)現(xiàn)郵件對(duì)外明文交互的同時(shí)可保障郵件業(yè)務(wù)交互安全。 解決方案及效果l 郵件監(jiān)控對(duì)終端郵件行為進(jìn)行全方位、全時(shí)段立體監(jiān)控，用戶(hù)發(fā)送郵件時(shí)，郵件監(jiān)控模塊會(huì)自動(dòng)過(guò)濾郵件數(shù)據(jù)包并提取郵件內(nèi)容信息如：發(fā)件人、收件人、發(fā)送時(shí)間、附件文件、郵件正文等，并自動(dòng)完成郵件信息分類(lèi)及上傳，安全審計(jì)員可針對(duì)郵件行為進(jìn)行分類(lèi)審計(jì)及查詢(xún)。l 郵件白名單可通過(guò)配置可信郵箱地址，當(dāng)用戶(hù)向可信郵箱地址（郵件可信白名單，如高層領(lǐng)導(dǎo)、核心客戶(hù)等）發(fā)送密文附件時(shí)，系統(tǒng)將自動(dòng)完成附件解密及發(fā)送，無(wú)需執(zhí)行解密流程審批，同

30、時(shí)郵件發(fā)送記錄也將自動(dòng)上傳至郵件審計(jì)服務(wù)器。3.2.6 離線(xiàn)辦公安全管控需求-脫機(jī)管控 需求概述DLP系統(tǒng)平臺(tái)在確保企業(yè)員工加班、出差等業(yè)務(wù)連續(xù)時(shí)可實(shí)現(xiàn)對(duì)核心數(shù)據(jù)的安全保護(hù)，通過(guò)提供完整、安全、可靠的離線(xiàn)辦公方案，確保用戶(hù)在緊急出差、出差延期以及網(wǎng)絡(luò)癱瘓時(shí)業(yè)務(wù)連續(xù)及數(shù)據(jù)安全。 解決方案及效果l 脫機(jī)冗余服務(wù)器宕機(jī)、網(wǎng)絡(luò)癱瘓情況偶有發(fā)生，為防止因網(wǎng)絡(luò)癱瘓而無(wú)法正常開(kāi)展加密業(yè)務(wù)，DLP系統(tǒng)提供脫機(jī)冗余控制功能，在預(yù)設(shè)的冗余時(shí)間范圍內(nèi)（精確到小時(shí)）系統(tǒng)將自動(dòng)啟用客戶(hù)端離線(xiàn)緩存策略，正常提供加解密業(yè)務(wù)支撐。當(dāng)超出規(guī)定的時(shí)間后離線(xiàn)緩存策略將自動(dòng)銷(xiāo)毀，系統(tǒng)將進(jìn)入“只加密、不解密

31、”安全保護(hù)模式，確保離線(xiàn)數(shù)據(jù)存儲(chǔ)及使用安全。l 出差辦公DLP系統(tǒng)提供出差申請(qǐng)流程，用戶(hù)可以根據(jù)出差需要提交出差申請(qǐng)并預(yù)估出差時(shí)長(zhǎng)，流程審核通過(guò)后安全策略將自動(dòng)完成離線(xiàn)緩存，用戶(hù)可在離線(xiàn)狀態(tài)開(kāi)正常開(kāi)展加解密業(yè)務(wù)。l 出差延期由于客觀(guān)原因，實(shí)際出差周期與出差申請(qǐng)計(jì)劃存在出入，為了確保用戶(hù)出差業(yè)務(wù)連續(xù)，DLP系統(tǒng)提供出差補(bǔ)時(shí)支撐，策略管理員可為用戶(hù)生成出差補(bǔ)時(shí)碼，通過(guò)郵件或短信等方式發(fā)送給出差用戶(hù)，用戶(hù)完成補(bǔ)時(shí)碼輸入及驗(yàn)證后即可完成離線(xiàn)補(bǔ)時(shí)。3.2.7 核心數(shù)據(jù)安全備份需求-數(shù)據(jù)備份 需求概述企業(yè)內(nèi)數(shù)據(jù)資產(chǎn)基本處于分散存儲(chǔ)的狀態(tài)，當(dāng)數(shù)據(jù)出現(xiàn)異?；蛱幚聿划?dāng)時(shí)將對(duì)企業(yè)造成重大損失，如：l

32、 感染病毒、木馬后造成的數(shù)據(jù)丟失及損壞；l 存儲(chǔ)設(shè)備損壞而未保留有效備份；l 操作不到或無(wú)意刪除；l 數(shù)據(jù)在編輯和保存時(shí)，突然停電或者應(yīng)用程序異常崩潰造成損壞；l 員工在離職時(shí)，將數(shù)據(jù)文件惡意刪除等如何保障企業(yè)核心數(shù)據(jù)的存儲(chǔ)安全也是當(dāng)前企業(yè)重點(diǎn)關(guān)注的問(wèn)題。 解決方案及效果DLP系統(tǒng)平臺(tái)可提供數(shù)據(jù)本地及遠(yuǎn)程備份機(jī)制，保障企業(yè)核心數(shù)據(jù)的存儲(chǔ)安全：l 本地備份保護(hù)對(duì)指定類(lèi)型文件進(jìn)行滾動(dòng)式、本地磁盤(pán)隱藏備份，當(dāng)本地文件出現(xiàn)異常時(shí)，用戶(hù)可通過(guò)備份還原工具進(jìn)行數(shù)據(jù)還原。l 遠(yuǎn)程備份保護(hù)對(duì)指定類(lèi)型文件進(jìn)行遠(yuǎn)程服務(wù)器備份，可支持完整備份、增量備份及多版本管理，并可根據(jù)管理需要自定義備份周期，當(dāng)本

33、地文件出現(xiàn)異常時(shí)，文檔管理員可進(jìn)行備份還原及管理。 3.2.8 用戶(hù)身份安全集成需求-雙模認(rèn)證 需求概述由于安全及管理需要，DLP系統(tǒng)平臺(tái)需與企業(yè)內(nèi)部身份認(rèn)證系統(tǒng)（如AD）實(shí)現(xiàn)統(tǒng)一認(rèn)證及管理。與此同時(shí)，部分企業(yè)還存在有臨時(shí)員工、外協(xié)員工及合作類(lèi)員工使用DLP系統(tǒng)平臺(tái)的安全管理需求，而該部分用戶(hù)無(wú)法在內(nèi)部身份認(rèn)證系統(tǒng)（如AD）中進(jìn)行創(chuàng)建和維護(hù)，DLP系統(tǒng)平臺(tái)將實(shí)現(xiàn)對(duì)該類(lèi)需求場(chǎng)景的滿(mǎn)足和支持。 解決方案及效果l 與第三方用戶(hù)體系集成l DLP系統(tǒng)平臺(tái)可與基于Ldap和OpenLdap協(xié)議的統(tǒng)一身份認(rèn)證平臺(tái)(如AD、ED、TDS等)進(jìn)行無(wú)縫集成；l 可通過(guò)API調(diào)用及We

34、bServices接口集成，實(shí)現(xiàn)與其他獨(dú)立身份認(rèn)證系統(tǒng)（如OA、HR等）的無(wú)縫集成；l 與PKI/CA系統(tǒng)無(wú)縫集成；l 本地身份認(rèn)證DLP系統(tǒng)平臺(tái)支持創(chuàng)建本地組織架構(gòu)及用戶(hù)體系，并可自主完成本地身份認(rèn)證。支持多用戶(hù)管理員權(quán)限。l 混合雙模認(rèn)證為滿(mǎn)足企業(yè)個(gè)性化管理需要，DLP系統(tǒng)平臺(tái)支持雙模認(rèn)證，在支持與第三方用戶(hù)體系集成認(rèn)證的同時(shí)，并支持創(chuàng)建本地用戶(hù)認(rèn)證體系。3.3 系統(tǒng)平臺(tái)安全及完整性設(shè)計(jì)3.3.1 數(shù)據(jù)庫(kù)安全備份及恢復(fù)為避免后臺(tái)數(shù)據(jù)庫(kù)服務(wù)異常而造成系統(tǒng)單點(diǎn)故障，系統(tǒng)提供數(shù)據(jù)庫(kù)自動(dòng)備份及恢復(fù)功能。根據(jù)預(yù)設(shè)的自動(dòng)備份周期，系統(tǒng)將完成數(shù)據(jù)庫(kù)自動(dòng)備份及存儲(chǔ)，管理員可根據(jù)管理需要完成任意備份節(jié)點(diǎn)還原

35、。3.3.2 文件安全備份及恢復(fù)為防止由于計(jì)算機(jī)意外斷電、病毒破壞以及加密環(huán)境異常而導(dǎo)致文件損壞，或員工暴力離職刪除公司重要數(shù)據(jù)而造成損失，系統(tǒng)將提供重要數(shù)據(jù)自動(dòng)備份及安全恢復(fù)功能： 本地備份通過(guò)安全策略下發(fā)，系統(tǒng)實(shí)現(xiàn)對(duì)終端重要文件的本地自動(dòng)、隱藏備份。 遠(yuǎn)程備份通過(guò)安全策略下發(fā)，系統(tǒng)實(shí)現(xiàn)對(duì)終端重要文件的遠(yuǎn)程備份，并可根據(jù)數(shù)據(jù)管理需要設(shè)置完整備份、增量備份及多備份版本管理等支持。3.3.3 程序簽名及合法性判斷系統(tǒng)采用合法應(yīng)用程序控制技術(shù)，當(dāng)合法程序讀取密文時(shí)系統(tǒng)自動(dòng)完成內(nèi)存數(shù)據(jù)動(dòng)態(tài)解密，為防止用戶(hù)通過(guò)偽造合法應(yīng)用程序名稱(chēng)來(lái)欺騙泄密，系統(tǒng)將完成合法程序的簽名自動(dòng)采集

36、和安全識(shí)別。3.3.4 客戶(hù)端運(yùn)行及使用安全為防止用戶(hù)惡意卸載、刪除配置文件而破壞客戶(hù)端運(yùn)行環(huán)境，系統(tǒng)將提供客戶(hù)端自我防護(hù)功能，包含客戶(hù)端防卸載口令保護(hù)、安裝目錄文件隱藏及防刪除保護(hù)、客戶(hù)端程序防結(jié)束及隱藏保護(hù)、配置文件加密及自動(dòng)修復(fù)保護(hù)等。3.3.5 服務(wù)器通訊及傳輸安全為保障客戶(hù)端與服務(wù)器之間數(shù)據(jù)交互及通訊安全，系統(tǒng)采用HTTPS/SSL加密傳輸協(xié)議，并對(duì)用戶(hù)口令、密鑰證書(shū)、安全策略及密級(jí)權(quán)限等敏感信息進(jìn)行二次加密封裝處理，確保數(shù)據(jù)傳輸及交互安全。3.3.6 密鑰證書(shū)安全備份及恢復(fù)為防止由于數(shù)據(jù)庫(kù)異常、損壞等災(zāi)難故障而造成密鑰證書(shū)丟失，系統(tǒng)支持將密鑰證書(shū)備份到外部加密證書(shū)文件或?qū)Ｓ糜布S

37、B-KEY中，并提供密鑰證書(shū)安全還原支持。3.4 系統(tǒng)平臺(tái)高可用性設(shè)計(jì)為了保障系統(tǒng)服務(wù)器的高可用性，系統(tǒng)支持雙機(jī)冗余熱備份功能，可以搭建主從兩臺(tái)服務(wù)器，通過(guò)兩臺(tái)服務(wù)器同步備份和故障自動(dòng)切換來(lái)確保服務(wù)器端的穩(wěn)定運(yùn)行，當(dāng)主服務(wù)器發(fā)生故障，服務(wù)中斷時(shí)，可以在極短的時(shí)間內(nèi)自動(dòng)切換到備份服務(wù)器，保證服務(wù)的持續(xù)性。第四章 系統(tǒng)配置及規(guī)格4.1 配置原則當(dāng)前軟、硬件配置將滿(mǎn)足DLP系統(tǒng)平臺(tái)5年穩(wěn)定運(yùn)維要求。4.2 億賽通交付設(shè)備/系統(tǒng)清單設(shè)備/系統(tǒng)名稱(chēng)規(guī)格必要性功能及備注軟件必要為核心數(shù)據(jù)資產(chǎn)提供透明加密保護(hù)，防止企業(yè)核心數(shù)據(jù)安全邊界外泄密，可滿(mǎn)足：1.核心數(shù)據(jù)安全存儲(chǔ)需求2.敏感數(shù)據(jù)內(nèi)容保護(hù)需求3.郵件明

38、文安全外發(fā)需求4.合法數(shù)據(jù)安全解密需求軟件必要為核心數(shù)據(jù)資產(chǎn)提供外發(fā)安全控制，防止企業(yè)核心數(shù)據(jù)外部擴(kuò)散泄密，可滿(mǎn)足：1.核心數(shù)據(jù)外發(fā)安全需求2.敏感數(shù)據(jù)內(nèi)容保護(hù)需求第五章 方案優(yōu)勢(shì)及總結(jié)5.1 品牌優(yōu)勢(shì)l 國(guó)內(nèi)最早專(zhuān)業(yè)從事數(shù)據(jù)泄漏防護(hù)研究的高新技術(shù)企業(yè)及雙軟認(rèn)證，所有核心技術(shù)及產(chǎn)品均為自主知識(shí)產(chǎn)權(quán)；l 9年客戶(hù)服務(wù)積累，客戶(hù)數(shù)超過(guò)3000家、保護(hù)終端數(shù)超過(guò)300萬(wàn)；l 在國(guó)內(nèi)設(shè)有21個(gè)辦事處、6個(gè)技術(shù)支持中心、近500家核心合作單位，為用戶(hù)提供本地化支持及服務(wù)。5.2 資質(zhì)優(yōu)勢(shì)l 商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū)，是國(guó)內(nèi)唯一具備該資質(zhì)的高新技術(shù)企業(yè)l 商用密碼產(chǎn)品銷(xiāo)售許可證l 涉密信息系統(tǒng)產(chǎn)品檢測(cè)

39、證書(shū)l 軍用信息安全產(chǎn)品認(rèn)證證書(shū)/軍Bl 計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證l 高新技術(shù)企業(yè)證書(shū)l 軟件企業(yè)認(rèn)定證書(shū)l 軟件產(chǎn)品登記證書(shū)l 計(jì)算機(jī)軟件著作權(quán)證書(shū)等5.3 技術(shù)優(yōu)勢(shì)l 真正內(nèi)核驅(qū)動(dòng)級(jí)智能動(dòng)態(tài)加密技術(shù)，可滿(mǎn)足企業(yè)各種復(fù)雜應(yīng)用數(shù)據(jù)加密需求，完全開(kāi)放式策略庫(kù)架構(gòu)，企業(yè)數(shù)據(jù)加密需求拓展可通過(guò)安全策略配置靈活實(shí)現(xiàn)，無(wú)需二次開(kāi)發(fā)投入；l 采用第三代透明加解密技術(shù)，對(duì)敏感數(shù)據(jù)內(nèi)容安全實(shí)時(shí)監(jiān)控，具備進(jìn)程防偽校驗(yàn)技術(shù)、防內(nèi)存竊取技術(shù)、應(yīng)用層防護(hù)技術(shù)，為數(shù)據(jù)的內(nèi)容提供高強(qiáng)度的安全防護(hù)；l 支持集中式、分布式部署架構(gòu)，可以適應(yīng)大型、集團(tuán)、多元化企業(yè)部署及管理要求，具備有萬(wàn)點(diǎn)以上終端實(shí)施及部署經(jīng)驗(yàn)，可

40、提供高性能、安全、可靠的分級(jí)部署及管理平臺(tái)；l 支持多種身份認(rèn)證，滿(mǎn)足本地認(rèn)證的同時(shí)，可與其他基于Ldap/OpenLdap協(xié)議的目錄認(rèn)證服務(wù)（AD、ED、Domino、TDS等）無(wú)縫集成，并可與PKI/CA證書(shū)系統(tǒng)無(wú)縫集成；l 具備成熟的企業(yè)核心業(yè)務(wù)系統(tǒng)集成及整合方案，滿(mǎn)足與各類(lèi)業(yè)務(wù)系統(tǒng)的無(wú)縫安全集成，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全保護(hù)及加固；l 對(duì)離線(xiàn)、出差、在家個(gè)人電腦辦公等特殊業(yè)務(wù)場(chǎng)景擁有成熟解決方案，在滿(mǎn)足安全性的同時(shí)實(shí)現(xiàn)業(yè)務(wù)連續(xù)。第六章 典型案例分享6.1 廣發(fā)證券 項(xiàng)目描述項(xiàng)目名稱(chēng)廣發(fā)證券股份有限公司數(shù)據(jù)資產(chǎn)防護(hù)系統(tǒng)項(xiàng)目項(xiàng)目規(guī)模CDG V3.1(6000點(diǎn)) 項(xiàng)目背景廣發(fā)證券股份有

41、限公司(以下簡(jiǎn)稱(chēng)廣發(fā)證券)是國(guó)內(nèi)首批綜合類(lèi)券商之一，是一家與中國(guó)資本市場(chǎng)一同成長(zhǎng)起來(lái)的新型投資銀行，營(yíng)業(yè)網(wǎng)點(diǎn)遍布全國(guó)主要城市及經(jīng)濟(jì)發(fā)達(dá)地區(qū)，網(wǎng)點(diǎn)數(shù)量和覆蓋范圍都位居行業(yè)前列。廣發(fā)證券作為最早一批引入互聯(lián)網(wǎng)技術(shù)的證券組織，信息化建設(shè)已處于行業(yè)領(lǐng)先地位。隨著組織的發(fā)展和業(yè)務(wù)規(guī)模的擴(kuò)大，結(jié)合證券業(yè)務(wù)的特殊性及國(guó)家相關(guān)規(guī)定推行，廣發(fā)證券信息安全建設(shè)方面在保證信息化體系的高安全性同時(shí)，也要充分考慮對(duì)業(yè)務(wù)模式的影響；既要保證業(yè)務(wù)網(wǎng)絡(luò)較高的可用性、可靠性、保密性，又要對(duì)內(nèi)部核心數(shù)據(jù)有較強(qiáng)的防御、管控能力。 隨著國(guó)家相關(guān)部門(mén)對(duì)信息安全等級(jí)保護(hù)制度的大力倡導(dǎo)和推行，廣發(fā)證券計(jì)劃實(shí)施相關(guān)方案來(lái)實(shí)現(xiàn)對(duì)內(nèi)部核心數(shù)據(jù)加

42、強(qiáng)保護(hù)，通過(guò)充分評(píng)估，廣發(fā)證券提出建設(shè)保密數(shù)據(jù)的密級(jí)管理及授權(quán)訪(fǎng)問(wèn)系統(tǒng)需求，實(shí)現(xiàn)對(duì)內(nèi)部核心數(shù)據(jù)的分級(jí)管理及受控使用。項(xiàng)目主導(dǎo)部門(mén)ITIS(信息安全)部署范圍客戶(hù)端：包括總部及全國(guó)各營(yíng)業(yè)部，共6000多個(gè)終端機(jī)器。應(yīng)用系統(tǒng)：包括OA、ERP、CRM等共19個(gè)應(yīng)用系統(tǒng)。部署架構(gòu)試點(diǎn)： 試點(diǎn)部署范圍為廣發(fā)證券稽核部和合規(guī)部?jī)蓚€(gè)部門(mén)，對(duì)其核心業(yè)務(wù)數(shù)據(jù)進(jìn)行強(qiáng)制加密（已完成）。一期：客戶(hù)端6000個(gè)終端全面部署，應(yīng)用系統(tǒng)僅對(duì)OA系統(tǒng)進(jìn)行網(wǎng)關(guān)過(guò)濾加密，用戶(hù)主要使用權(quán)限模塊，部分核心崗位進(jìn)行強(qiáng)制加密。二期： 完成其他各應(yīng)用系統(tǒng)的網(wǎng)關(guān)部署，用戶(hù)終端全部強(qiáng)制加密，形成一體化的數(shù)據(jù)防泄露體系。部署效果1、 采用安全

43、網(wǎng)關(guān)對(duì)OA應(yīng)用服務(wù)器進(jìn)行過(guò)濾加密防護(hù)，用戶(hù)下載文檔至終端時(shí)對(duì)文檔強(qiáng)制加密，上傳文檔至OA時(shí)對(duì)文檔解密，OA的應(yīng)用服務(wù)器上明文存儲(chǔ)，用戶(hù)終端均密文存儲(chǔ)。如果用戶(hù)終端未安裝加密客戶(hù)端則無(wú)法打開(kāi)加密文檔。以上實(shí)現(xiàn)對(duì)OA等應(yīng)用服務(wù)器上的數(shù)據(jù)進(jìn)行泄露防護(hù)。2、 用戶(hù)終端采用強(qiáng)制加密方式，對(duì)office文檔進(jìn)行保護(hù)，用戶(hù)的office文檔生成之時(shí)即完成加密，客戶(hù)端機(jī)器上對(duì)密文的讀寫(xiě)均與明文無(wú)任何區(qū)別。密文文檔外泄時(shí)在沒(méi)有加密客戶(hù)的機(jī)器是無(wú)法打開(kāi)。以實(shí)現(xiàn)對(duì)終端核心數(shù)據(jù)的泄露防護(hù)。3、 部分核心數(shù)據(jù)針對(duì)指定人員使用，可通過(guò)制作權(quán)限文檔方式進(jìn)行授權(quán)，并可控制授權(quán)對(duì)象及所具備的文檔權(quán)限。4、 秘密等級(jí)較高的文檔，

44、可通過(guò)OA的審核流程完成權(quán)限文檔的申請(qǐng)制作和授權(quán)功能，完成后，文檔僅對(duì)授權(quán)對(duì)象可用。5、 對(duì)需要交付供應(yīng)商或合作伙伴的涉密文檔，可通過(guò)OA審核流程或者本地制作方式制作外發(fā)文檔，在無(wú)加密客戶(hù)的的供應(yīng)商處，可使用此類(lèi)外發(fā)文檔，并一定程度是控制其使用的權(quán)限以及閱讀時(shí)間等。6、 對(duì)部分臨時(shí)人員及實(shí)習(xí)生，由于此類(lèi)用戶(hù)沒(méi)有OA賬號(hào)，暫按采用兩套加密系統(tǒng)并行的方式進(jìn)行數(shù)據(jù)保護(hù)。兩套系統(tǒng)密鑰不同，并提供有密文轉(zhuǎn)換接口。7、 對(duì)終端實(shí)行全盤(pán)加密保護(hù)，加密磁盤(pán)所有數(shù)據(jù)，只有開(kāi)機(jī)并通過(guò)密碼認(rèn)證時(shí)，才會(huì)將磁盤(pán)文件解密，以防止機(jī)器丟失時(shí)被其他人獲取重要數(shù)據(jù)。10.2項(xiàng)目描述項(xiàng)目名稱(chēng)艾默生核心數(shù)據(jù)資產(chǎn)防護(hù)系統(tǒng)（DPS）項(xiàng)

45、目項(xiàng)目規(guī)模CDG V3.1(3500點(diǎn))、準(zhǔn)入網(wǎng)關(guān)6臺(tái)項(xiàng)目背景研發(fā)文檔是研發(fā)部門(mén)的核心業(yè)務(wù)資產(chǎn)，目前研發(fā)統(tǒng)一使用ENPC的整體信息安全策略和管控措施，在數(shù)據(jù)安全保護(hù)層面措施僅限于終端存儲(chǔ)管控和便攜機(jī)硬盤(pán)加密，對(duì)于網(wǎng)絡(luò)、系統(tǒng)、個(gè)人主機(jī)中的數(shù)據(jù)還是以明文形式存在，在文件的使用、傳輸、保管、銷(xiāo)毀的過(guò)程中存在較多安全風(fēng)險(xiǎn)，同時(shí)也加大了信息安全管理工作的難度。項(xiàng)目主導(dǎo)部門(mén)ITIS(信息安全)部署范圍ENPC R&D（深圳、西安）全部部署非研發(fā)（BMP&CPECTCMUSCM財(cái)務(wù)ASCO）需要訪(fǎng)問(wèn)研發(fā)應(yīng)用系統(tǒng)用戶(hù)部署架構(gòu)集中式部署與分布式部署相結(jié)合：CDG管控服務(wù)器部署在總部深圳，管理深圳、西安用戶(hù)，但是

46、考慮日志的定期上傳因素，西安設(shè)置二級(jí)服務(wù)器作為西安用戶(hù)日志的統(tǒng)一收集，之后定期上傳深圳主服務(wù)器。準(zhǔn)入網(wǎng)關(guān)深圳（2主+2備）負(fù)責(zé)所有深圳應(yīng)用系統(tǒng)的準(zhǔn)入，西安（1主+1備）負(fù)責(zé)所有西安應(yīng)用系統(tǒng)的準(zhǔn)入部署效果 所有研發(fā)產(chǎn)生的Office系統(tǒng)文檔、結(jié)構(gòu)圖、原理圖、代碼全部加密，上傳到應(yīng)用系統(tǒng)自動(dòng)解密 只有部署客戶(hù)端的用戶(hù)才可以訪(fǎng)問(wèn)應(yīng)用系統(tǒng)，鏈接訪(fǎng)問(wèn)的應(yīng)用通道加密，防止第三方鏈路偵聽(tīng)竊取 加密數(shù)據(jù)如果流向公司內(nèi)部特殊區(qū)域（如實(shí)驗(yàn)室），將由秘書(shū)解密；如果流向公司外部將通過(guò)電子流（二次開(kāi)發(fā)）解密 Lotus Notes作為合法的數(shù)據(jù)（加密）流轉(zhuǎn)途徑6.3 特變電工項(xiàng)目描述項(xiàng)目名稱(chēng)特變電工集團(tuán)核心數(shù)據(jù)防泄密項(xiàng)

47、目產(chǎn)品模塊CDG V3.1+FNS0811用戶(hù)認(rèn)證Microsoft Active Directory集成認(rèn)證，實(shí)現(xiàn)操作系統(tǒng)與加密客戶(hù)端賬戶(hù)SSO系統(tǒng)集成與PTC WINDCHILL PLM系統(tǒng)集成，實(shí)現(xiàn)本地的加密文件上傳到WINDCHILL后自動(dòng)解密，下載到本地的文件自動(dòng)加密部署范圍設(shè)計(jì)研發(fā)中心：設(shè)計(jì)部、質(zhì)檢部、工藝部加密范圍Autocad 2004/2007/2011、中望CAD 2007、Solidworks 2009、Office2003/2007/2010、Acdsee 9.0部署方式集中式部署，公司內(nèi)部辦公員工通過(guò)內(nèi)網(wǎng)接入加密服務(wù)器；出差辦公員工通過(guò)專(zhuān)線(xiàn)方式接入加密服務(wù)器實(shí)施效果

48、通過(guò)強(qiáng)制加密策略，設(shè)計(jì)中心生產(chǎn)出的電子設(shè)計(jì)圖紙、技術(shù)資料進(jìn)行強(qiáng)制加密處理：數(shù)據(jù)在部門(mén)內(nèi)部只能可以通過(guò)Elink通訊工具互相流轉(zhuǎn)；部門(mén)間必須通過(guò)擺渡機(jī)管理員進(jìn)行數(shù)據(jù)流轉(zhuǎn)；各分廠(chǎng)只能通過(guò)技術(shù)統(tǒng)一平臺(tái)進(jìn)行數(shù)據(jù)流轉(zhuǎn) 與Windchill的技術(shù)統(tǒng)一平臺(tái)、知識(shí)共享平臺(tái)、PLM、生產(chǎn)管理平臺(tái)等進(jìn)行集成，保障合法終端可以正常接入平臺(tái)，并且下載到本地的離線(xiàn)數(shù)據(jù)也處于受控狀態(tài)；非法終端禁止接入受保護(hù)的業(yè)務(wù)系統(tǒng) 加密系統(tǒng)采用統(tǒng)一式管理配合分布式管理的管理模式：用戶(hù)管理由總部統(tǒng)一管理，對(duì)各分廠(chǎng)的用戶(hù)進(jìn)行增刪改查；安全策略由各分廠(chǎng)自行管理，可以對(duì)自己的分廠(chǎng)策略進(jìn)行調(diào)整6.4 首鋼遷剛項(xiàng)目描述項(xiàng)目名稱(chēng)首鋼遷鋼文檔安全保護(hù)

49、項(xiàng)目產(chǎn)品模塊CDG V3.8+FNS0811用戶(hù)認(rèn)證Microsoft Active Directory集成認(rèn)證，實(shí)現(xiàn)操作系統(tǒng)與加密客戶(hù)端賬戶(hù)SSO系統(tǒng)集成與OA、MES、SVN系統(tǒng)集成，實(shí)現(xiàn)本地的加密文件上傳到業(yè)務(wù)服務(wù)器后自動(dòng)解密，下載到本地的文件自動(dòng)加密部署范圍煉鋼、熱軋、冷軋、硅鋼、質(zhì)量檢驗(yàn)部、質(zhì)量檢查站加密范圍Autocad 2004/2007/2011、中望CAD 2007、Solidworks 2009、Office2003/2007/2010、部署方式CDG系統(tǒng)采用集中式部署，服務(wù)器放在遷鋼總部IT信息中心機(jī)房，其它分廠(chǎng)的終端通過(guò)內(nèi)部辦公網(wǎng)絡(luò)、專(zhuān)線(xiàn)網(wǎng)絡(luò)接入。最高管理員權(quán)限和分廠(chǎng)策

50、略由總部IT信息中心負(fù)責(zé)，各分廠(chǎng)管理員負(fù)責(zé)本廠(chǎng)用戶(hù)的管理。實(shí)施效果 通過(guò)強(qiáng)制加密策略，涉及能夠獲取到技術(shù)資料、操作要點(diǎn)、采購(gòu)信息等資料的部門(mén)或員工進(jìn)行強(qiáng)制加密處理；（辦公室到車(chē)間）加密數(shù)據(jù)可以通過(guò)MES和OA系統(tǒng)相互流轉(zhuǎn)，但機(jī)密資料必須制作成權(quán)限文件流轉(zhuǎn) 通過(guò)DLP系統(tǒng)加準(zhǔn)入網(wǎng)關(guān)的方式對(duì)OA、MES、SVN業(yè)務(wù)系統(tǒng)的安全保護(hù)及終端電腦文件的自動(dòng)加密保護(hù)，達(dá)到數(shù)據(jù)安全從源頭做起，凡事從業(yè)務(wù)系統(tǒng)下載下來(lái)的數(shù)據(jù)都已經(jīng)做過(guò)加密處理，員工拿到的數(shù)據(jù)就已經(jīng)是加密文件，但服務(wù)器中保存的文件仍保持明文狀態(tài)。 加密系統(tǒng)采用統(tǒng)一式管理配合分布式管理的管理模式；總部超級(jí)管理員負(fù)責(zé)對(duì)各分廠(chǎng)分配地市管理員，用戶(hù)管理，權(quán)

51、限管理，策略管理； 各分廠(chǎng)用戶(hù)管理由各分廠(chǎng)管理員管理，如用戶(hù)的權(quán)限設(shè)置，解密等；6.5 全友家私項(xiàng)目描述項(xiàng)目名稱(chēng)四川全友家私文檔加密系統(tǒng)項(xiàng)目產(chǎn)品模塊CDG V3.1用戶(hù)認(rèn)證Microsoft Active Directory集成認(rèn)證，實(shí)現(xiàn)操作系統(tǒng)與加密客戶(hù)端賬戶(hù)SSO系統(tǒng)集成與ERP、生產(chǎn)管理平臺(tái)、綜合業(yè)務(wù)管理系統(tǒng)集成，實(shí)現(xiàn)本地的加密文件上傳到業(yè)務(wù)服務(wù)器后自動(dòng)解密，下載到本地的文件自動(dòng)加密部署范圍全友家私公司總部；羊馬工業(yè)園二工廠(chǎng)；成都營(yíng)銷(xiāo)中心；加密范圍Autocad 2004/2007/2011、Adobe Reader PDF、Office2003/2007/2010、部署方式CDG系統(tǒng)采

52、用集中式部署，服務(wù)器放在公司總部（一分廠(chǎng)），分廠(chǎng)等地的終端通過(guò)專(zhuān)線(xiàn)連入。實(shí)施效果 通過(guò)強(qiáng)制加密策略，設(shè)計(jì)中心生產(chǎn)出的電子設(shè)計(jì)圖紙、技術(shù)資料進(jìn)行強(qiáng)制加密處理，財(cái)務(wù)和相關(guān)管理部門(mén)產(chǎn)生的電子辦公文檔進(jìn)行強(qiáng)制加密； 公司人員只能通過(guò)對(duì)應(yīng)的文檔管理人員進(jìn)行文檔解密外發(fā)處理； 與公司ERP、生產(chǎn)管理平臺(tái)、綜合管理業(yè)務(wù)系統(tǒng)，上網(wǎng)行為管理，域控安全管理等系統(tǒng)等進(jìn)行集成，保障合法終端可以正常接入平臺(tái)，并且下載到本地的離線(xiàn)數(shù)據(jù)也處于受控狀態(tài)；加密系統(tǒng)采用統(tǒng)一式管理配合分布式管理的管理模式： 用戶(hù)管理由總部統(tǒng)一管理，對(duì)各分廠(chǎng)的用戶(hù)進(jìn)行增刪改查；第七章 數(shù)據(jù)加密項(xiàng)目成功案例一覽表序號(hào)用戶(hù)方項(xiàng)目名稱(chēng)正式投入使用時(shí)間現(xiàn)使

53、用狀況乙方參與項(xiàng)目顧問(wèn)姓名及參與階段使用方聯(lián)系人1中國(guó)移動(dòng)集團(tuán)中國(guó)移動(dòng)計(jì)算機(jī)終端管理平臺(tái)期工程項(xiàng)目2007.10至今一期工程總計(jì)76，000用戶(hù)，項(xiàng)目在移動(dòng)集團(tuán)、重慶移動(dòng)、河南移動(dòng)、江西移動(dòng)已經(jīng)部署完畢，系統(tǒng)運(yùn)行良好，達(dá)到設(shè)計(jì)標(biāo)準(zhǔn)王曉波,技術(shù)總監(jiān),項(xiàng)目全程參與。陸東峰，研發(fā)高級(jí)工程師，項(xiàng)目二次開(kāi)發(fā)階段參與。葉晟，研發(fā)主管，項(xiàng)目二次開(kāi)發(fā)階段參與。趙剛2深圳比亞迪集團(tuán)深圳比亞迪集團(tuán)文檔加密項(xiàng)目2008.3項(xiàng)目涵蓋比亞迪集團(tuán)所有事業(yè)部，一期為海外事業(yè)部，約1200用戶(hù)。系統(tǒng)運(yùn)行良好，目前正在討論二期部署方案。龔輝，技術(shù)支持部部長(zhǎng)，項(xiàng)目全程參與，側(cè)重安全顧問(wèn)及安全解決方案。陸東峰，研發(fā)高級(jí)工程師，項(xiàng)目

54、二次開(kāi)發(fā)階段參與。葉晟，研發(fā)主管，項(xiàng)目二次開(kāi)發(fā)階段參與。吳國(guó)慶3上海晨訊集團(tuán)上海晨訊集團(tuán)文檔加密項(xiàng)目2006.10上海、北京、杭州三地共計(jì)1500點(diǎn)。系統(tǒng)已經(jīng)受了2年的檢驗(yàn)，目前運(yùn)行良好。王曉波,技術(shù)總監(jiān),項(xiàng)目全程參與。潘學(xué)良，技術(shù)支持部副部長(zhǎng)，項(xiàng)目實(shí)施及維護(hù)。盛陽(yáng)4酒泉衛(wèi)星發(fā)射基地酒泉衛(wèi)星發(fā)射基地加密項(xiàng)目2007.10系統(tǒng)部署在酒泉基地所有科室，1000點(diǎn)。選用億賽通文檔安全管理系統(tǒng)后，類(lèi)似的泄密事件沒(méi)有再次發(fā)生。王曉波,技術(shù)總監(jiān),項(xiàng)目全程參與。劉漢斌，技術(shù)支持工程師，項(xiàng)目實(shí)施及維護(hù)。閻參謀5國(guó)家外交部外交部一號(hào)絕密工程2006.3對(duì)所有司局絕密文檔進(jìn)行加解密。中非論壇中所有文檔均在該系統(tǒng)中

55、加密流轉(zhuǎn)，得到了國(guó)家相關(guān)部門(mén)的表?yè)P(yáng)。阮曉迅,總經(jīng)理,項(xiàng)目全程指導(dǎo)。龔輝，技術(shù)支持部部長(zhǎng)，項(xiàng)目全程參與。保密6深圳國(guó)人通信國(guó)人通信終端安全解決方案項(xiàng)目2009年可實(shí)現(xiàn)核心文檔的全盤(pán)強(qiáng)制加密保護(hù)、終端用戶(hù)完全操作透明無(wú)影響，從而實(shí)現(xiàn)企業(yè)內(nèi)部核心資源加密流轉(zhuǎn)無(wú)影響、非法帶出無(wú)權(quán)用的目標(biāo),以及可實(shí)現(xiàn)對(duì)核心文檔細(xì)?；瘷?quán)限管控，可細(xì)化到指定用戶(hù)、指定文件、指定權(quán)限(讀、寫(xiě)、打印)、指定時(shí)間、指定硬件等，確保文檔的流轉(zhuǎn)與使用安全,1500點(diǎn)龔輝，技術(shù)支持部部長(zhǎng)，項(xiàng)目全程參與，側(cè)重安全顧問(wèn)及安全解決方案。陸東峰，研發(fā)高級(jí)工程師，項(xiàng)目二次開(kāi)發(fā)階段參與。7深圳宇龍計(jì)算機(jī)集團(tuán)深圳宇龍計(jì)算機(jī)集團(tuán)2009年項(xiàng)目涵蓋深圳宇龍計(jì)算機(jī)集團(tuán)研發(fā)部門(mén)，約2000用戶(hù)。系統(tǒng)運(yùn)行良好。龔輝，技術(shù)總監(jiān)潘學(xué)良，技術(shù)支持部副部長(zhǎng)，項(xiàng)目實(shí)施及維護(hù)。8中國(guó)海運(yùn)集裝箱集團(tuán)中國(guó)海運(yùn)集裝箱集團(tuán)文檔加密項(xiàng)目2009.3項(xiàng)目涵蓋中國(guó)海