能源化工行业数据安全解决方案
前言
能源行业,也称为燃料动力工业,是指对能源资源进行开发、加工和利用的生产部门,它包括煤炭、石油和电力工业三大部门,而新能源则包括水电、风电、光伏、生物质能、核能等非化石能源以及煤制油、煤制气等能源转化工业,为生产和传输以上能源进行设计、制造、建造、检维修服务的企业也在能源行业之列。同时,与新能源动力汽车相关的产业(包括电池材料、电池、动力系统、控制系统、电动车等)、与节能与环保相关的产业,也在新能源的研究范围。
能源化工是国家的基础和支柱行业,是我们日常各项工作和生活的基础与保障。在国际和国内日益激烈的市场竞争环境下,能源各细分行业为了提高管理水平,提高生产效率和经济效益,降低成本,均把提高信息化应用水平作为其加强集团管控、提高关键业务能力、提高核心竞争力的主要手段。
随着能源化工业的发展和业务规模不断扩大,各大能源化工企业实现业务过程中,总部与各个分支机构需要实时信息传输和资源的共享。在数据传输上既要保证内部业务网络较高的可用性、可靠性、保密性,又要对内部核心数据有较强的防御和管控能力。能源行业内部网络存在大量重要数据和信息资料,如核心技术、专利以及财务数据等。更重要的是许多基础数据已纳入国防战略信息范围,需要重点防护;国家对大型能源系统信息化建设提出了明确要求,即满足《信息系统安全等级保护基本要求》中的相关技术要求。
需求分析
在能源化工行业中,企业投入了大量的人力、设备、资金来打造先进的二维三维设计软件开发平台,这些资源投入所换取的就是包含企业核心竞争优势的二维三维图纸等重要数字资产。但是基于能源化工行业的高人员流动率,以及专门针对于机密图纸和文档的病毒、黑客程序,这些机密数据很容易被泄露到企业外部,或者被多种人为和自然原因所破坏,造成了数字资产的流失和资源投入的损失。与此同时,伴随着行业内分工和协同的不断发展,越来越多的企业开始通过与上下游企业开展合作来提升自身的竞争优势。在这个过程中,大量的机密设计图纸需要在企业之间进行共享和传递。并且,由于数字资产的易复制和易存储性,合作伙伴将有可能永久和多版本的保留这些重要数据,从而增加了图纸被多次扩散的安全管理风险。
解决方案
1. 核心文档透明加密防护
对于存储在终端计算机中的二维三维图纸等重要数字资产进行强制加密保护。凤凰卫士采用PHOENIX内核加密技术实现文件透明加解密,对用户完全透明,用户打开文件、编辑文件和平常一样,甚至毫无感觉,不影响用户操作习惯。如果加密文件通过QQ、微信、电子邮件、移动存储设备、网络共享等手段传输到企业授权范围以外,那么它将无法被正常打开和应用,打开将显示乱码,文件始终保持加密状态。
2. 文档内部交互安全管控
每个部门负责的工作文档性质均不同,有一些核心部门的办公文档只允许在本部门内部流转。因此,需满足不同部门之间的文档相互独立。凤凰卫士支持部门阅读权限隔离控制,能够使各个部门文档的知悉范围得到有效控制。
3. 文档外发安全管控
方案一:
为了解决对外业务交互的后顾之忧,我们提供如下制造受控外发文件方案:
当需要给客户或者合作伙伴外发文件时,首先向上级领导进行外发申请;
被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证;
认证通过后在设定的访问权限范围内使用外发文件,访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等
方案二:
凤凰卫士U盘客户端为软硬件一体的文件外发媒介,用来保护能源化工单位外发文件的安全性和保密性,防止文件的二次扩散。
4. 终端打印安全管理
打印外泄是最常见的泄密途径。因为大多数单位内部人员可以随意使用打印机打印文件,且无法进行监控和审计,直接影响着内部重要文档资料的安全。
凤凰卫士能够对内部员工的打印作业进行有效的监控和管理:是否可以打印,自定义水印内容,事后打印审计。
5. U盘使用统一管理
对能源化工单位内部使用U盘进行统一注册管理,经单位内部认证的U盘才可在单位内使用,未经认证的U盘禁止在单位内使用。同时,U盘访问权限进一步控制,比如:只读、禁止。另外,还可以根据单位的实际情况,限制哪些电脑的USB接口能否使用。
对U盘禁止时,为了不影响其他USB外设使用,精确区别U盘、移动硬盘、鼠标、打印机等不同接口设备。
6. 安全日志审计
在数据安全管理中,行为审计具有非常重要的意义,不仅可以检验合规管理效果,而且是促进内网安全状况持续改善的基本保证。凤凰卫士提供强大的日志审计功能监督、跟踪、记录所有用户的全部操作,一旦泄密事件发生,通过用户操作记录, 可以第一时间追溯、问责,将损失减少到最小。
方案优势
通过对数据文档的产生、使用、授权、流转等环节进行整体的防护,为企业提供完整的数据安全解决方案,通过本方案能够达到以下效果:
1.通过加密手段,提高数据资产的安全性;
2.减少因文档泄露导致核心数据资产外泄;
3.提供完整的数据安全保护策略,提高安全管理能力;
4.提高抗风险能力,降低运营风险;
5.规范内部管理,规范员工行为,提高生产积极性。
凤凰卫士――计算机反商业泄密整体解决方案
凤凰卫士于2003年初开始研发,在公司核心产品文档守望者软件的基础上,根据多年来积累的众多的市场反馈的经验,包括功能性、安全性、可靠性等,特别是针对政府单位和大型企业的需求而研发,其内部架构有着相当大的弹性。“凤凰卫士”以加密与鉴别技术为核心,不仅具有凤凰卫士的自动加密、U盘管控、打印控制、程序控制、日志监控、自动备份、外发文件控制等功能,还将身份认证与权限管理嵌入系统中,具有身份识别与权限控制等功能,可适用任何管理需求大型规模的企业和机构,是国内最先进、最稳定、最安全的反泄密解决方案。
事前主动防御:凤凰卫士反泄密软件对已有的或正在生成的Office、CAD、PDF等各种格式的电子文档及设计图纸进行加密保护,被加密的文档只能被授权用户在授权环境(如,企业内部网络)中应用,文档在创建、存储、应用、传输等环节中均为加密状态,未经授权或脱离授权环境,加密信息均无法打开使用。
事中有效控制:凤凰卫士反泄密软件的加密过程不会因修改程序或进程名,更改保存文件后缀等作弊手段而失效,同时加密文档的复制/剪切/拖放/粘贴等操作也受到限制,向非加密文件中拖放/拷贝/粘贴的操作将被自动禁止。除此以外,凤凰卫士反泄密软件对打印机,U盘等存储工具,笔记本电脑均有控制措施,并借助分组策略和身份权限的认证管理等技术进行更细化的设置和保护。
事后溯源补缺:凤凰卫士反泄密软件提供日志记录和自动备份功能,前者可以将指定的操作过程详细、完整地记录下来,方便监督检查和问题溯源;后者可以在文件被有意或无意删除或损坏时,通过备份资料及时恢复。文件在备份的传输、存储和恢复过程中均以加密形式存在。
安腾(ITEN)认为:“稳定性和安全性是第一位的”,反泄密方案不仅要考虑现在的需求,也要考虑未来企业的需求和应用。