电力行业信息安全与数据防泄密解决方案
前言
随着信息技术的高速发展和广泛应用,数据作为业务的重要支撑需要精准和可控。电力电网行业信息系统作为国家关键重要基础设施,在数据方面的安全防护能力,,已成为电力电网业务安全稳健运行的重中之重,数据安全所面临的危险已渗透到电力电网企业生产、经营的各个方面,数据安全问题变得越来越重要。
电力电网企业内部各业务数据在网络流转,一旦出现信息泄密或篡改数据的情况,将给国家造成难以估量的损失。电力企业网络每天遭受恶意试探式攻击达数万次,如此庞大的信息网络和高频率的网络攻击,使电力企业信息安全的局势尤为严峻。同时电力电网企业各种信息在业务流程的参与者之间流动,如果关键数据被窃取和篡改,造成系统的非正常停运和瘫痪,将会严重影响电力企业和电力系统的正常运行。
需求分析
电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,电力企业大都已经实施了电力工业信息网络系统和电力运行实时控制系统,购买了防病毒软件和防火墙,但电力系统信息没有建立完全完整的安全体系,尤其是内部数据安全仍然存在着一些安全隐患,主要包括以下几个方面:
1、目前电力行业内的涉密数据(如电网设备状态数据、电网运行数据等)以明文形式分散储存在数据收集设备和终端计算机上,存在安全隐患,员工可以通过微信、QQ、Email、网盘等网络传输工具随意将内部重要数据外发泄密;
2、电力企业和外部的单位都有着许多业务的往来,对外发的文件也是无法做到有效的控制,外发文档就像“放飞的风筝”一样,再也无法控制;容易二次泄密;
3、电网数据网络传输数据容易被监听、攻击等方式获取;
4、员工离职带走公司的重要资料,造成数据泄密;有的甚至还格式化他们的电脑;
5、内部员工可以不经过公司相关领导审批,将内部重要文件外发给客户;
6、员工出差时无法对承载着公司大量重要数据的笔记本防止可能的泄密;
7、员工外带的计算机可以随意接入电力内网,给数据安全带来重大的安全隐患;
8、员工随意拍照或打印公司重要文件,并随意外发,无任何技术管理手段,造成数据泄密无法有效追踪其源头;
解决方案
亚讯信息结合电力电网行业特点,以及政府部门的政策要求,基于卓越的产品、强大的研发实力和丰富的实施经验建立了完整的电力行业信息安全管理平台和数据防泄密系统,在满足客户业务需求的同时,兼顾安全需求,打造电力电网行业数据安全防线。
1. 防止电力数据离开办公环境泄密
方案通过动态加解密技术,实现对电力所有电脑数据强制透明加密,员工无任何感觉,有效防止公司内部员工通过任意方式将数据泄密。即员工在创建、编辑文档时,一旦发出写硬盘的操作,文档会被自动加密存放在硬盘上,若发出读硬盘的操作,文档将被自动解密以明文的形式打开,防止作者故意或由于疏忽而造成泄密或对文件恶意破坏。
数据防泄密系统采用数据实时加密技术对计算机正在运行的涉密数据进行智能识别,对客户终端文件、应用系统文件、服务器文件实行保护,有效地解决了电力企业员工有意或无意的泄密、文件外发泄密、网络病毒、硬件设备损坏导致的泄密等多重泄密困扰。安装了加密软件的客户机,无需进行文件加密操作,文件在全生命周期中自动加密,完全不需要使用传统的输入密码和手动进行加密的操作,不影响内部信息交流。加密的数据未经解密离开加密环境就无法打开。
2. 防止电力机密文件在内部二次扩散
由于电力公司内部机密文件(比如:市场策略等,时效性、机密性要求高)访问,通常会因实际业务需要涉及到不同部门的相关人员,或者相关领导查阅。
3. 防止电力外发文件在外二次扩散
与外界进行频繁的信息沟通已成为公司必要的一种业务模式,这些交互的信息可能会涉及企业核心信息,而这些信息一旦流出企业就面临着失控的风险。为了解决对外业务交互的后顾之忧,我们提供信息对外发布管理思路:
系统有完善的文件外发管理和控制功能,通过外发管理端可进行审批流程的规划设置,可以进行单人单级审批、多人单级审批以及多级多人审批;
通过外发模块的审批流程可生成带权限的外发文件,外发文件权限包括:外发文件的打开次数控制、时间控制、编辑权限控制、打印权限控制等。
4. 防止电力员工在外办公导致数据泄密
解决方案:
短期外出:方便员工晚上回家或者周末在家也能正常加解密文件,不需要额外的操作。
长期外出:在规定的期限内,携带笔记本在外也可以正常工作,超过期限,将无法打开加密文档。
永久外出:对在分公司或办事处用户,可使用永久离线,保证总部与分部之间的资料都是加密的,可以互相访问,又可以控制分部的资料,防止外泄。
5. 防止电力员工离职时带走技术资料泄密
解决方案:
员工在新建、编辑重要文件(如:CAD文件、设计图纸等)时,服务器自动对重要文件备份到服务器指定隐藏目录下保存,避免员工离职时有意删除或格式化电脑,给企业带来损失;
通过对公司电脑上的数据透明加密,带走了资料都是加密的,有效地避免了员工离职时,想带走几年下来大量重要的资料。
6. 对电力内部重要文件转化成纸质化泄密
打印外泄是最常见的泄密途径之一。因为大多数单位内部人员可以随意使用打印机打印文件,且无法进行监控和审计,直接影响着内部重要文档资料的安全。
系统能够对内部员工的打印作业进行有效的监控和管理:
事前打印控制:是否可以打印?允许用哪台打印机?哪些软件允许打印?
事中打印警示:自定义水印内容,实现打印警示;
事后打印审计:什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数,全程跟踪记录。
7. 避开电力复杂服务器集群,保障服务器数据安全
安全隐患:
无关人员和电脑,随意接入内部网络,访问服务器数据导致泄密,应该如何管控?
如果要求终端数据上传到公司某些应用服务器(比如:ERP、OA)的数据是明文,该如何管控?
应用服务器上明文数据下载该如何管控?
解决方案:
系统可集成企业的AD域,可把AD域的相关信息(用户、计算机等组织机构)导入到加密系统,企业可统一对AD域、DGS进行管理。同时通过域集成功能,管控平台可针对计算机或域用户设置不同的客户端策略。另外,系统可与C/S,B/S类业务系统集成,实现上传解密和下载加密,并禁止未安装加密客户端计算机正常访问指定服务器(可设置例外IP放行)。
终端准入:只允许安装有数据防泄密系统客户端的终端用户正常接入应用服务器,非法用户禁止接入;
上传下载:文件上传自动解密,下载自动加密;
数据加密安全通道:客户端用户在与公司内部服务器进行数据交换时,采用数据加密安全通道,保障数据在传输过程中不被窃取。
非法外联:安装有数据防泄密系统客户端的终端用户将禁止连接仿冒应用服务器,防止非法用户利用客户端上传自动解密机制进行非法外联泄密。
8. 对电力终端软硬件和网络办公环境,规范管理
管理思路:
对终端硬件使用规范管理:U盘、刻录机、打印机、移动外设等使用规范化管理;
对终端软件使用规范管理:规定企业不同的部门电脑统一安装哪些软件,之外的所有软件都是禁止安装;
对员工网络行为规范管理:对员工的上网行为规范化管理,管控终端电脑上允许登录的网站;
对应用程序规范管理:系统后台配置的策略,可以限制应用程序的运行;
对员工终端软硬件环境、上网行为、应用程序规范管理后,让员工潜移默化地养成良好的工作习惯,提高保密意识和办公效率,降低数据泄密风险。
9. 为电力IT中心提供详细统计报表
数据防泄露系统可以全面监控和审计企业员工在办公过程产生的另存为、打印、拷贝粘贴、截屏、发送邮件或使用QQ、微信等即时通讯工具传播文件等会引起泄密的操作行为,并向管理员发送预警信息或直接阻断操作,防止员工泄露企业信息。
提供数据溯源功能,利用数字水印技术,可以对设备屏幕、涉密文档和纸质文件上打标记,预防拍照、截图和打印外泄敏感内容等数据安全事件;可以对外泄文件进行分析,定位出泄密源头。
系统全程监督、跟踪、记录所有员工的全部操作,实时回溯泄密全过程,提供详细审计报表。泄密事件的发生,不再受人工审计难的困扰。
方案优势
1、国内独有的“三重密钥”体系:
主密钥:分配每个用户全球唯一的密钥,保证每个单位文件不会互通;
企业密钥:由用户自己设置的密钥,保证加密厂家获取加密文件也无法解密;
文件密钥:每个文件加密时随机生成一个文件密钥,提高加密的安全性。
2、采用Windows 内核的文件过滤驱动实现数据透明加解密,安全、稳定、效率高。
3、提供成熟的企业核心业务系统集成及整合方案,满足与各类业务系统的无缝安全集成,实现对核心业务系统数据的安全防护及加固。
4、指定某些类型的文件进行新建、编辑时,自动备份到服务器,避免办公人员误删或故意删除,导致数据丢失。
5、支持移动终端在线阅读加密文件,比如:Email、OA、CRM、ERP 等加密附件iPad、安卓等移动终端在线阅读,方便移动办公。
6、全面覆盖Windows、Mac 以及Linux 系统,在多个系统之间实现文档的统一加密,无缝管控!
7、支持“多采集服务器”部署方式,实现集中式和分布式一体化管理。
8、所有操作记录可查可审,方便管理员查询及审计。
用户收益
✔ 电力电网企业数字化转型升级过程中产生的数据实现安全可靠管理,企业的核心资产、知识产权及其它相关数据得到有效管控,加速电力企业安全数字化转型。
✔ 部署的数据加密系统与OA、ERP、PDM等业务系统良好集成,对客户端、移动端、介质的数据实行安全管控,不改变员工的正常操作模式。在确保企业数据安全的同时,提高了客户文档协同效率。
✔ 通过对每一份电子文件实行限制操作行为、跟踪流转过程、阻断非法拷贝等设置,确保企业电子文件按照管理规范使用,并对该文件全生命周期的追根溯源,最终实现电子文件可控、可查、可溯、可审。
✔ 角色的层次化使客户在现实世界中的等级化与系统资源的等级之间形成了对照,不同的企业角色享有对应的分级管理权限,确保系统管理的安全性。
