近年來,隨著汽車制造企業(yè)信息化建設的不斷深入,在制造、設計高度信息化、網絡化的趨勢帶動下,企業(yè)引入了多種信息應用系統(tǒng),如OA、ERP、CRM、PDM、PLM等。這些應用系統(tǒng)已經成為了企業(yè)高效運作的重要基礎,覆蓋了企業(yè)研發(fā)設計、營銷、生產、財務、人力資源、辦公管理等業(yè)務,但是,伴隨著信息技術帶來的競爭優(yōu)勢,企業(yè)內部也面臨著很大的信息安全風險。
一、行業(yè)大事記
1. 起亞泄密案:2007年5月9日,9名韓國起亞雇員因涉嫌向中國等國的車企出售汽車制造核心技術而被韓國檢察局起訴。起亞稱該泄密事件將使公司三年內面臨約29億美元的損失。
2. 上海雙龍汽車泄密案:2008年7月,上汽雙龍遭遇“泄密門”事件,因懷疑雙龍汽車向中方母公司上海汽車“泄露”柴油混合動力汽車核心技術,韓國檢方“突襲”雙龍平澤本部,扣留部分文件、辦公電腦進行“取證”,并傳喚包括上海汽車派駐人員在內的雙龍汽車管理層干部協(xié)助調查。
3. 福特汽車泄密案:2009年10月,北汽乘用車工程院專業(yè)某工程師在美國芝加哥機場入境時,遭到美國警方拘捕。據美國司法部稱,其在離職前將大約4000份文件拷貝到了外部硬盤上,其中包括敏感的福特設計文件。這些文件涵蓋發(fā)動機、變速系統(tǒng)、車門結構、轉向系統(tǒng)等,價值數(shù)百萬美元。據FBI調查,該工程師的電腦中存儲著41份福特汽車的機密文件。
4. 雷諾汽車泄密:2011年1月,據國外媒體報道,法國汽車巨頭雷諾正式宣布,因懷疑旗艦電動車型開發(fā)項目泄密,正式對包括一名管理委員會成員在內的三名高管展開了調查,這三名嫌疑人目前已經被停職處理。根據雷諾內部人士透露,涉案人員中級別最高的是高級工程部門副總裁。雷諾發(fā)言人稱這三位高管自1月3日開始停職停薪,接受雷諾公為期五個月的內部道德調查。
此類數(shù)據安全事件在制造業(yè)企業(yè)中每天都在上演,信息安全事件屢屢發(fā)生,已經逐漸成為企業(yè)為之頭疼的大難題。數(shù)據泄密事件無時無刻不在發(fā)生,已經被越來越多的企業(yè)所關注,如何做好企業(yè)內部的數(shù)據防護措失也成為了企業(yè)信息化建設的重中之重。
二、汽車制造業(yè)電子圖紙安全成防護重點
汽車制造企業(yè)往往規(guī)模龐大,多以集團形式存在,分支機構繁多。企業(yè)的信息環(huán)境也比較復雜,應用系統(tǒng)眾多。在設計圖紙、數(shù)模等電子文件的生產過程中,一般是由設計部門主導,搭配工藝部門的思路共同產出圖紙,經由工藝部門加工后,進行仿真模擬,然后由質檢部門對圖紙的數(shù)據及相關信息進行審核,最后投入生產部門。任何一個環(huán)節(jié)如果不慎泄露了中間版本甚至成果文件,都有可能在源頭就造成技術泄密,帶來直接的損失。但是,長期以來這些電子文件在企業(yè)中始終是以明文的形態(tài)存儲在終端硬盤或服務器存儲上,其安全性無法得到保障,數(shù)據被有意或者無意流傳到企業(yè)外部后,企業(yè)頓失市場競爭優(yōu)勢,甚至會遭受巨大經濟損失。
信息泄密事件的發(fā)生大多數(shù)和人密切相關,泄密的途徑和方式也多種多樣,可概括為如下三方面:
1. 主動泄密隱患
1) 越權訪問非授權數(shù)據泄密;
2) 盜用他人賬號及設備非法訪問數(shù)據泄密;
3) 伙同他人實現(xiàn)敏感數(shù)據跨安全域轉移泄密;
4) 通過打印機、傳真機等將敏感數(shù)據進行介質轉換泄密;
5) 私自攜帶筆記本設備接入內部網絡非法下載數(shù)據泄密;
6) 對敏感數(shù)據的惡意傳播及擴散泄密;
7) 對核心應用系統(tǒng)的非安全接入及訪問泄密等。
2. 被動泄密隱患
被動泄密是指導致信息泄密的人員在無意識或不知情的情況下所發(fā)生的泄密隱患,被動泄密已成為當前日益激烈的惡性商業(yè)競爭下的主要泄密隱患。目前存在的被動泄密隱患包括:
1) 移動筆記本、USB存儲設備遺失或失竊導致數(shù)據泄密;
2) 郵件或網絡誤操作、誤發(fā)送引起的泄密;
3) 保密意識淡薄對敏感數(shù)據保管不當引起的泄密,如隨意共享等;
4) 感染病毒、木馬后引發(fā)的敏感數(shù)據泄密;
5) 將存放重要數(shù)據的機器、存儲介質隨意交與他人使用引發(fā)的泄密;
6) 移動筆記本、USB存儲設備和硬盤等維修、廢棄時引發(fā)的泄密。
3. 第三方泄密隱患
1) 合作伙伴、外協(xié)人員接入內部網絡非法獲取敏感數(shù)據泄密;
2) 應用維護、開發(fā)人員訪問系統(tǒng)后臺及數(shù)據庫非法獲取敏感數(shù)據泄密;
3) 發(fā)送給客戶、合作伙伴及其他關系密切人員的敏感數(shù)據保管不當或惡意擴散引起的泄密;
4) 合同、圖紙以及科研、學術報告等敏感資料外部打印、復印時副本拷貝泄密;
5) 應用系統(tǒng)、郵件服務器以及數(shù)據中心外部托管時非法竊取泄密。
三、億賽通數(shù)據安全解決方案全面杜絕企業(yè)敏感信息泄密風險
億賽通數(shù)據泄露防護(DLP)整體解決方案是對用戶的“有意”、“無意”兩種數(shù)據泄漏行為的統(tǒng)一防護,采用“事前主動防御,事中實時控制,事后及時追蹤,全面防止泄密”的設計理念,融合“加密敏感數(shù)據”、“控制敏感內容流通”、“規(guī)范員工訪問行為”為主體的核心技術,配合身份識別、權限控制、終端管理、應用集成、安全接入以及行為審計等功能,最終實現(xiàn)“帶不走、打不開、讀不懂”的控制目標及效果。
1. 核心數(shù)據安全存儲需求-透明加密
1) 強制加密:通過智能動態(tài)加解密技術,對文件進行強制加密處理,從文件創(chuàng)建開始即可自動加密保護。
2) 透明使用:核心數(shù)據在加密前后對于數(shù)據合法使用者無任何差異,不增加用戶負擔、不改變任何工作流程及使用習慣。文件的保存加密、打開解密完全由后臺加解密驅動內核自動完成,對用戶而言完全透明、無感知。
2. 核心數(shù)據分級管控需求-權限管理
1) 權限管理:億賽通數(shù)據泄露防護解決方案,可以根據文件的重要程度,按照組織架構(部門、用戶、項目組等)對文件進行密級標識及授權管理,只允許合法授權用戶根據分配權限受控使用;非授權用戶即使獲取到數(shù)據也將無法查閱。
2) 權限控制:文檔設置只讀、打印、修改、再次授權、閱讀次數(shù)及生命周期等權限,授權用戶只能按照規(guī)定好的權限進行使用,無法通過屬性修改、內容復制、副本另存等方式越權使用。
3) 集中管理:采用“權限集中管理、數(shù)據可分散存儲”的設計理念,實現(xiàn)合法用戶訪問授權數(shù)據時,需實時認證權限信息;文檔管理員可對集中化權限信息及權限文檔進行統(tǒng)一集中管控,并可實現(xiàn)權限變更、權限歸檔、文檔銷毀等管理功能。
3. 敏感數(shù)據內容保護需求-內容安全
1) 剪切板/拖拽控制:合法用戶打開加密文件時,防護系統(tǒng)將對合法程序的剪切板行為進行監(jiān)控,受控程序之間可以進行內容的復制、粘貼、剪切等操作,但是受控程序的內容不允許粘貼至非受控程序中。
2) 另存為控制:合法用戶打開加密文件后,根據工作需要進行副本及格式另存為;也可能出于泄密目的,將文件保存為任意不規(guī)則格式(包括無格式)副本。
3) 拷屏/錄屏:合法用戶打開加密文件后,系統(tǒng)將實時監(jiān)控用戶的截屏及錄屏行為,當用戶發(fā)起截屏請求時(比如鍵盤PrintScreen、QQ截屏以及其他截屏工具等),系統(tǒng)會自動攔截截屏請求,實現(xiàn)屏幕黑屏保護;而當用戶未打開任意加密文件時,系統(tǒng)不對用戶截屏行為進行任何控制。
4) 打印控制:防護系統(tǒng)可對用戶的打印行為進行靈活控制,即可實現(xiàn)“開/關式”打印控制,控制用戶是否允許或禁止打印加密文件,也可實現(xiàn)打印精細化管理,控制用戶對指定文檔的閱讀、打印權限,如使用次數(shù)和時限,也可進行打印水印設置等。
4. 核心數(shù)據外發(fā)安全需求-外發(fā)管控
核心數(shù)據對外發(fā)布時,通過對數(shù)據進行加密及授權封裝,保障數(shù)據在外部環(huán)境的存儲及使用安全,主要包括如下:
1) 文件加密保護:采用高強度加密技術對外發(fā)數(shù)據進行加密保護,防止非法用戶暴力破解泄密。
2) 安全身份校驗:外發(fā)文件提供多種安全身份認證機制,包括:密碼口令認證、機器綁定認證、硬件USB-KEY認證及混合認證等,在身份認證通過后才可正常、安全打開外發(fā)文件。
3) 文件使用權限控制:外發(fā)文件提供細粒度權限控制保護,包含文檔使用權限如只讀、打印、修改等控制;文檔生命周期管理如:閱讀次數(shù)、閱讀時限及過期自動銷毀等保護;文檔協(xié)同權限如修改、還原以及文檔內容保護、打印水印等控制。
4) 文件內容安全控制:為防止使用者惡意將文件內容擴散,系統(tǒng)對其內容進行高強度安全控制,如內容剪切保護、禁止截屏、禁止另存為及打印控制等。
5) 外發(fā)文件易用性:外發(fā)文件在外部環(huán)境使用時,無需安裝任何客戶端及插件,用戶雙擊外發(fā)文件完成身份認證后即可根據預設權限透明、安全使用。
5. 密文離網安全使用需求-移動客戶端
DLP系統(tǒng)平臺提供密文離網安全使用方案,通過在普通U盤中安裝DLP移動客戶端程序,實現(xiàn)在非辦公電腦上處理公司重要數(shù)據時的無縫安全協(xié)同。
即插即用設計原理,當U盤移動客戶端插入個人電腦并認證通過后,系統(tǒng)自動進入密文模式,可提供與企業(yè)內網終端完全一致的安全防護效果,確保企業(yè)加密數(shù)據外部使用安全;當U盤移動客戶端移除或退出用戶登錄后,客戶端將自動完成環(huán)境移除并關閉加解密功能,不對用戶處理個人數(shù)據產生任何影響;
安全離網身份認證, U盤移動客戶端需完成身份認證后才可正常安全使用。
四、總結
企業(yè)敏感數(shù)據均被加密,即使被非法泄露也無法讀取到任何有價值內容,從而保證了對惡意行為的防護。這種實現(xiàn)手段對“有意”、“無意”以及復雜的數(shù)據結構均能起到很好的防護效果,通過對信息安全的源頭進行控制,結合內容安全防護、應用系統(tǒng)整合以及業(yè)務流程支撐等手段,可滿足任意行業(yè)用戶的安全及管理需求。
經過近10年的成長及完善,億賽通DLP已經積累了大量的成功實踐,并在各大行業(yè)進行了應用和推廣;同時,億賽通更注重本土化及個性化服務,提倡為企業(yè)客戶提供“因地制宜、量體裁衣”的數(shù)據安全服務,始終貫徹“安全是融合而非改變”方針,為用戶打造出全新的數(shù)據全生命周期安全解決方案。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/