紡織服裝行業(yè)數(shù)據(jù)安全解決方案

紡織服裝行業(yè)數(shù)據(jù)安全解決方案目錄1紡織服裝行業(yè)數(shù)據(jù)安全需求分析311紡織服裝行業(yè)信息化安全建設情況312數(shù)據(jù)安全風險分析42紡織制造行業(yè)系統(tǒng)數(shù)據(jù)安全防護技術521紡織服裝行業(yè)用戶遇到的問題522現(xiàn)有安全產(chǎn)品的局限性63紡織服裝行業(yè)數(shù)據(jù)安全解決方案731文檔安全管理系統(tǒng)概述732用戶實際應用具體分析84電子文檔安全管理系統(tǒng)產(chǎn)品描述1041系統(tǒng)架構（略）1042產(chǎn)品主要功能特點（略）1043關鍵技術（略）10431設計思想（略）10432技術原理（略）10433技術實現(xiàn)（略）105電子文檔安全管理系統(tǒng)部署1051各組件部署（略）1052配置策略（略）1053實施效果（略）106附錄1061也許您還會遇到以下問題1162福州世紀龍脈信息技術有限公司簡介1363公司主要發(fā)起人簡介141紡織服裝行業(yè)數(shù)據(jù)安全需求分析11紡織服裝行業(yè)信息化安全建設情況服裝，在中國有著悠久的歷史。目前，中國已經(jīng)成為全球最大的服裝生產(chǎn)基地、出口加工基地及流通集散基地。隨著中國加入WTO，服裝行業(yè)在面臨前所未有的機遇的同時也面臨挑戰(zhàn)，服裝企業(yè)由代工名牌廠家OEM轉變?yōu)閯?chuàng)立自主品牌并以自營、加盟、批發(fā)、代銷等形式大力拓展國內市場同時，發(fā)展與管理的矛盾日益突出，尤其是信息的管理方面，已經(jīng)嚴重制約服裝企業(yè)的發(fā)展。由于計算機在工業(yè)設計中的普及性應用，以前使用手工設計稿和實體設計過程幾乎被計算機所代替，包括模型的設計過程和結果都會被記錄到計算機中，以便將數(shù)據(jù)傳輸?shù)较乱粋€生產(chǎn)環(huán)節(jié)，有些企業(yè)還會以實體模型作為生產(chǎn)流程傳輸介質，但這被計算機生產(chǎn)化代替只是時間的問題。那么，伴隨著設計成果電子文檔化，以及電子文檔的易傳播性，設計稿件泄漏的幾率也大大增加。紡織服裝行業(yè)之間的激烈競爭，也導致行業(yè)人才流動性高，對于很多以專有技術和產(chǎn)品為生存根基的紡織服裝企業(yè)來說，人才流動性可能給企業(yè)帶來的一個巨大潛在風險就是重要機密電子文檔的泄密問題，企業(yè)人員在被解職或辭職時，他們是有很多種渠道將企業(yè)內部像重要文檔、機密圖紙、設計資料、程序源代碼和企業(yè)預研方向的階段性成果等屬于企業(yè)知識產(chǎn)權保護及涉及企業(yè)核心競爭力范疇的機密電子文檔帶出企業(yè)，甚至是直接奉獻給企業(yè)的某些競爭對手?？梢哉f，任何一個企業(yè)遇到這樣的事，都會痛心疾首。所以，做好企業(yè)電子文檔安全管理，具有重要的意義。面對數(shù)據(jù)信息泄密帶來的風險，傳統(tǒng)的解決方案多以“堵”為主，例如禁止上網(wǎng)、受控訪問指定站點、禁用移動存儲介質、禁用藍牙、紅外等等可以說這一切方案的實施在一定程度上提高了企業(yè)數(shù)據(jù)的安全性，但同時給大家的日常辦公帶來了不可估量的麻煩。安全與便利永遠是一個兩難的選擇，企業(yè)對于這方面的困擾總結如下一方面，員工需要使用企業(yè)的機密文檔；另一方面，企業(yè)需要保護這些機密文檔的安全；一方面，員工需要通過使用互聯(lián)網(wǎng)檢索資料，獲取信息；另一方面，互聯(lián)網(wǎng)的使用卻嚴重地威脅著企業(yè)機密文檔的安全；一方面，企業(yè)需要將存儲機密文檔的設備進行隔離保護；另一方面，員工需要隨時便捷地訪問這些文檔。12數(shù)據(jù)安全風險分析隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展，大量采用遠方控制和遠程傳輸，這對數(shù)據(jù)網(wǎng)絡的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。而另一方面，INTERNET技術已得到廣泛使用，EMAIL、WEB和PC的應用也日益普及，但同時病毒和黑客也日益猖獗。對于紡織服裝行業(yè)在數(shù)據(jù)安全方面面臨的主要威脅是如何保證紡織、服裝設計等設計軟件所產(chǎn)生數(shù)據(jù)的存放是安全的圖紙和文檔中心的數(shù)據(jù)怎樣才能安全訪問和使用如何有效管理企業(yè)內部計算機的軟硬件資產(chǎn)如何對圖紙和文檔的打印實施權限控制外協(xié)、交流和交付過程中的圖紙如何保證安全，且不被散發(fā)如何能能有效堵住泄密源頭，保證文檔安全基于以上幾點，我們希望能夠找到一種更為適合企業(yè)的涉密信息安全管理解決方案。首先，這種解決方案要能夠幫助企業(yè)全面實現(xiàn)其內部機密數(shù)據(jù)信息的安全管理。其次，這種解決方案要能夠使得受保護的文件從初始創(chuàng)建到銷毀整個生命周期過程均處于加密狀態(tài)。第三，還要全面杜絕內部人員泄密的安全風險，只有經(jīng)過授權的人才具有加密文件的解密權限。顯然，只有對企業(yè)文檔圖紙本身自動強制加密，才是最有效的防護措施。為制造業(yè)的信息安全保駕護航，提升企業(yè)競爭力，“世紀龍脈電子文檔安全加密系統(tǒng)”應運而生。所有企業(yè)人員在使用電腦的同時，所做的文件或圖紙都被強制自動加密，使文件只能在企業(yè)內部才能打開，一旦離開企業(yè)內部環(huán)境，所有文檔及圖紙即便也只會顯示一堆亂碼，從而有效防止機密信息和核心技術泄露。世紀龍脈電子文檔安全加密系統(tǒng)通過全面整合用戶身份認證、文件加密、安全監(jiān)控和日志管理等技術，最終幫助企業(yè)實現(xiàn)了防泄密和防竊密的安全管理要求，充分確保了制造企業(yè)的圖紙和文檔等等核心技術和資料的安全，保持企業(yè)的核心競爭力2紡織制造行業(yè)系統(tǒng)數(shù)據(jù)安全防護技術21紡織服裝行業(yè)用戶遇到的問題紡織服裝用戶對于數(shù)據(jù)安全的需求集中表現(xiàn)在，如何防止員工離職時擅自拷貝帶走機密資料如何防止已擴散數(shù)據(jù)被使用者未授權的擅自修改如何讓員工高效地分享企業(yè)知識的同時又能保護機密文件的安全落實到具體的應用中用戶提出以下疑問1如何保證關鍵文件在企業(yè)內只有一份，同時只有有關人員才可以訪問，并不可被拷貝。2如何保障機密文件脫離文件加密系統(tǒng)后能控制對其訪問權限控制、打印控制、讀寫控制、讀寫次數(shù)控制以及拷貝控制等。3當有員工將數(shù)據(jù)通過U盤帶出企業(yè)后，我們怎么樣保證數(shù)據(jù)的安全4企業(yè)內部部分人擁有一臺電腦，企業(yè)每個人都有一個ID，只要有這個ID就可以登錄預先指定的范圍的機器，并且訪問他們有權限訪問的數(shù)據(jù)。5企業(yè)的文件需要很靈活的管理，比如某些重要的文件要給很多人看，但不能發(fā)給大家，如果這樣重要的文件所有人的電腦上都有了，不安全。文件的安全管理不能通過綁定計算機來實現(xiàn)的。6如何保證加密存儲文件的安全7企業(yè)使用域管理，如果多人擁有域管理服務器的密碼，也就是說，這多個人隨時隨地就可以從任何機器上得到想要的數(shù)據(jù)，這樣很不安全，領導對這個問題很重視，如何解決8如何讓企業(yè)每個員工都使文檔安全管理系統(tǒng)公司有不少年紀很大的員工，他們懂的計算機很少，希望能簡化他們對新加入產(chǎn)品的操作使用。通過以上問題可以看出，紡織服裝行業(yè)用戶在關心企業(yè)文檔安全性的同時，還關注到移動辦公的便利性，普通員工的易用性，對管理員的可控性和對于所有使用者的習慣延續(xù)性上。因此我們推薦使用福州世紀龍脈電子文檔安全管理系統(tǒng)。下面我們對紡織服裝行業(yè)用戶的需求和產(chǎn)品的實現(xiàn)原理做詳細的解答和闡述。22現(xiàn)有安全產(chǎn)品的局限性隨著信息化的不斷發(fā)展，攻擊方式由原有的網(wǎng)絡攻擊轉向應用攻擊，攻擊目標由網(wǎng)絡轉向數(shù)據(jù)。紡織服裝行業(yè)為了解決網(wǎng)絡安全問題大多已經(jīng)投入了大量的安全設備，比如防火墻、入侵檢測/防御系統(tǒng)、防病毒、VPN、UTM等等。這些安全產(chǎn)品在很大程度上解決了網(wǎng)絡安全的問題，但由于防護的層面不同，對于數(shù)據(jù)安全，卻素手無策。具體分析如下防火墻防火墻是工作在鏈路層、網(wǎng)絡層和傳輸層上的設備，它的安全防護功能主要是通過基于IP地址和端口的訪問控制來實現(xiàn)，因此對于目前越來越多基于應用的攻擊無能為力。只要提供某種應用，就勢必在防火墻上開發(fā)相應的應用端口。而信息泄密一方面從外部入侵，更多的是從內部泄密，所以對數(shù)據(jù)安全起不到根本的防護作用。入侵檢測/防御系統(tǒng)入侵檢測/防御系統(tǒng)又稱作IDS或IPS，它們是工作在應用層上的設備，最大的缺點是基于靜態(tài)知識庫的匹配。當然也有主動學習防御的功能，但這種模式誤報率高，并產(chǎn)生海量日志，使得管理員無從下手。同時，IDS/IPS都無法解決從內部泄密的行為。防病毒殺毒軟件擁有強大的病毒庫，并且實時更新速度快，能夠防范大量的病毒和黑客攻擊，但影響系統(tǒng)性能，所以不適合部署在服務器上。同樣也無法避免內部的主動泄密問題。VPNVPN從加密方式上可以分為IPSECVPN和SSLVPN，兩種VPN都提供了加密隧道，利用傳輸加密，解決了被網(wǎng)絡臨近監(jiān)聽的問題，使得用戶可以從外部網(wǎng)絡安全的訪問企業(yè)內網(wǎng)的資源。但同樣也無法避免內部主動泄密的問題。UTMUTM又稱綜合同一網(wǎng)關，它集合了防火墻、入侵檢測、防病毒和VPN于一生，為企業(yè)提供了一套整體的解決方案，降低了對多種產(chǎn)品的投資。但同樣對于內部泄密素手無策。3紡織服裝行業(yè)數(shù)據(jù)安全解決方案對于用戶，面對數(shù)據(jù)安全必須要解決的問題1、如何防止員工離職時擅自拷貝帶走機密資料2、如何防止已擴散數(shù)據(jù)被使用者未授權的擅自修改3、如何讓員工高效地分享企業(yè)知識的同時又能保護機密文件的安全通過對最重要文件的加密授權來解決以上問題。通過對文件加密授權，使得員工在離職后即使通過各種方式帶走文件，也無法正常打開閱讀；在非授權的情況下，將任何文件主動發(fā)送或竊取都將無法使用；在這種應用背景下企業(yè)能夠很放心的將各種機密資料開放給員工使用。當然使用文檔加密管理的方式不能改變員工原有的使用習慣，需要能夠實現(xiàn)透明自動的加解密。31文檔安全管理系統(tǒng)概述世紀龍脈電子文檔安全管理系統(tǒng)LMEFS總體目標協(xié)調安全性和方便性的矛盾，在保障數(shù)據(jù)安全性的前提下，充分保留數(shù)據(jù)使用的方便性。具體可以細化為以下幾點實時加密，拿了也沒用加密過后的文件在企業(yè)內部可以正常流通使用，但未經(jīng)授權的文件拷貝，流通時將無法正常打開使用。使得，即使竊得文件，得到的也將是一堆亂碼。同時此加密過程對用戶完全透明。用戶（即員工）無需也無法干預，也不會對用戶的使用習慣有任何改變；身份驗證，未經(jīng)授權無法使用文件加密后，可以指定人員對文件所具備的權限，即誰可讀，誰可寫。其余人員無法打開加密文件，確保了加密的文件不被與本文件無關的人員非法使用；打印控制防止物理打印或虛擬打印加密文檔，帶出企業(yè)，只有授權的用戶才能打印重要文檔。防止刪除采用了文件防刪除技術，禁止未授權用戶刪除文件，防止離職破壞文件。32用戶實際應用具體分析對上述用戶提出的具體問題，我們做出點對點具體解答。1如何保證關鍵文件在全公司只有一份，同時只有有關人員才可以訪問，并不可被拷貝。答核心的關鍵數(shù)據(jù)都是由每一個研發(fā)或工作人員在自身的電腦上制作生成的，也許某些核心文檔是由幾個人協(xié)作完成，因此無法保證核心數(shù)據(jù)在公司內部只保留一份文檔。所以我們采用對文件生命周期進行管理的方式實現(xiàn)企業(yè)對數(shù)據(jù)安全的要求，即在文件的新建、編輯、拷貝、傳輸和銷毀這5個過程都加以控制，文件在新建的時候就被加密，之后無論任何人將文件以何種方式在未授權的情況下獲得該文件，訪問都將是密文。由于文件是被強制加密的，即便是文件的作者都無法控制文件不被加密，這樣就最大程度的保證了文件安全。同時文件作者可根據(jù)后期需要調整其他人員對該文件的訪問權限。同樣，其他授權訪問者，將文件帶里安全域也無法正常訪問加密文件。2如何保障機密文件脫離文件加密系統(tǒng)后能控制對其訪問權限控制、打印控制、讀寫控制、讀寫次數(shù)控制以及拷貝控制等。答數(shù)據(jù)文件本身已經(jīng)被加密，在脫離文件加密系統(tǒng)后，由于沒有我們的內核提供解密服務，用戶無法直接訪問。同時我們提供了文件外發(fā)控制的功能模塊，方便外部用戶能直接訪問加密文件，并且不會受到二次泄密的威脅。通過外發(fā)控制模塊，能實現(xiàn)用戶對加密文件讀寫次數(shù)和時間的控制。3當有員工將數(shù)據(jù)通過U盤帶出我們公司后，怎么樣保證數(shù)據(jù)的安全。答由于數(shù)據(jù)文件已經(jīng)被加密，無論通過任何方式獲得文件，在非授權的情況下，都無法正常訪問文件。4企業(yè)內部并非每個人擁有一臺電腦，公司每個人都有一個ID，只要有這個ID就可以登錄預先指定的范圍的機器，并且訪問他們有權限訪問的數(shù)據(jù)。答世紀龍脈電子文檔安全管理系統(tǒng)的所有加密管理策略是根據(jù)用戶名和密碼控制的，和機器設備無關。任何人在任何電腦上，只要輸入用戶名和密碼，將獲得相應的權限。同時能支持在同一臺電腦上，登錄多個不同的用戶，不同的用戶擁有不同的權限。5企業(yè)的文件需要很靈活的管理，比如某些重要的文件要給很多人看，但不能發(fā)給大家，這樣這些重要的文件所有人的電腦上都有了，不安全。文件的安全管理不能通過綁定計算機來實現(xiàn)的。答由于重要文件已經(jīng)被加密，即便文件被散落在任何電腦上，非授權人員都無法訪問加密文件。6如何保證加密存儲文件的安全。答加密存儲文件的安全分為兩個方面，服務端和客戶端。由于加密文件是散落在各個客戶端的，所以原來如何保證現(xiàn)在也一樣，并且如果出現(xiàn)硬盤損壞或格式化的情況，也不影響通過磁盤回復的方式來恢復加密文件。對于服務端，服務端是整個加密系統(tǒng)的核心，只要在策略配置完成后，對服務端做一次策略備份，如果服務端出現(xiàn)故障或硬件損壞，只要將備份的策略導入，即可。另外可以通過系統(tǒng)的定時自動任務管理，添加一條對數(shù)據(jù)庫的備份策略，就能實現(xiàn)對數(shù)據(jù)庫的定時備份，也可滿足安全的需求。7企業(yè)目前有多人擁有域管理服務器的密碼，也就是說，這些人隨時隨地就可以從任何機器上得到想要的數(shù)據(jù)，這樣很不安全，領導對這個問題很重視，如何解決答在世紀龍脈電子文檔安全管理系統(tǒng)中，管理員只對服務器和策略負責，對加密文件沒有任何權限。8如何讓公司每個員工都使文檔安全管理系統(tǒng)公司有不少年紀很大的員工，他們懂的計算機很少，希望能簡化他們對新加入產(chǎn)品的操作使用。答內部員工安裝完文件加密系統(tǒng)后，文件會被有選擇性的強制加密，具有訪問權限的員工在安裝客戶端后能透明的訪問加密文件，如果沒有安裝客戶端，將無法正常訪問，會給工作帶來麻煩。使得大家都需要安裝這套系統(tǒng)，才能協(xié)同工作。另，該系統(tǒng)是以文件驅動的形式存在在系統(tǒng)中，為上層應用提供實時透明的服務，不改變用戶原有的工作習慣，所有的操作策略都由管理員事先設定實時下發(fā)。用戶操作參與極少，因此，對于計算機了解不多的用戶，也能很容易的掌握。4電子文檔安全管理系統(tǒng)產(chǎn)品描述41系統(tǒng)架構（略）42產(chǎn)品主要功能特點（略）43關鍵技術（略）431設計思想（略）432技術原理（略）433技術實現(xiàn)（略）5電子文檔安全管理系統(tǒng)部署51各組件部署（略）52配置策略（略）53實施效果（略）6附錄61也許您還會遇到以下問題Q1引入文檔管理后是否會給我的工作帶來麻煩A不會我們采用的是透明加解密的方式，完全不改變您原有的操作習慣。做到自動的讀盤解密寫盤加密。原本使用何種應用程序訪問文件，發(fā)送郵件和在線聊天等等，在部署了我們的系統(tǒng)之后，這一切都不會改變，改變的只是更安全。當然若想對外發(fā)送涉密文件，那么在工作習慣和流程上，需要做一些改變。比如解密后發(fā)送，或者申請解密后發(fā)送。Q2是否會影響我的速度A這里的速度需要和用戶解釋清楚，分為系統(tǒng)速度和加解密速度。對于系統(tǒng)大家都知道無論多慢的計算機在安裝了顯卡、網(wǎng)卡、聲卡等等硬件后都不會影響系統(tǒng)的速度，原因很簡單，因為他們都是以驅動的方式安裝到系統(tǒng)中，而我們的軟件也一樣，采用文件驅動的方式安裝在系統(tǒng)中。CPU利用率始終小于1，兩個駐留進程內存利用和小于20M。對于加解密速度采用分塊加解密的方式，按需加解密，需要多少解密多少。而在整個計算機系統(tǒng)中，磁盤是慢速設備，而內存是高速設備，數(shù)據(jù)的加解密是在內存中完成的，整個速度的瓶頸是在硬盤讀寫上。真實的速度測試數(shù)據(jù)，打開一個122M包含圖文表未加密和已加密的DOC文檔，分秒不差。加密一個526MISO格式的文件用時2分53秒。Q3對于在涉密計算機上的特定文件，可以實現(xiàn)不自動加密嗎A不可以。由管理員指定類型的文件，無論以什么方式（創(chuàng)建、編輯后保存、復制等等），只要他生成在涉密的計算機上，它就無可逃避地被自動加密。Q4如果客戶端被卸載了怎么辦A無所謂，沒有關系。這只能導致無法訪問以加密的文件，同時無法和其他安裝加密客戶端的用戶無縫交流。所以，在卸載客戶端或重裝計算機后，還是會選擇繼續(xù)安裝上。Q5可否對每一個文件實現(xiàn)權限控制A可以。對于文件的權限控制，可以細分到指定人員和指定文件上，可以指定某一用戶對某一份文檔具備何種權限。權限包括讀、寫、打印、拷貝/粘帖、文件水印等等Q6員工是否有抵觸情緒A不會，與桌面管理系統(tǒng)相比就少了許多。桌面管理系統(tǒng)讓被管理者被完全暴露在管理員眼皮下，所有的行為都被記錄下來，何時上了什么網(wǎng)站，發(fā)了什么郵件，與別人的聊天內容侵犯了個人的隱私，所以抵觸特別大。而文檔安全管理系統(tǒng)則不然，不侵犯個人隱私，只負責保護企業(yè)的數(shù)據(jù)安全。管理員無法知道用戶在做什么，也不知道加密文件的具體內容。Q7有沒有可能讓用戶不安裝客戶端就能訪問加密文件A不可能。數(shù)據(jù)很重要，所以要保護，對數(shù)據(jù)的保護分為兩種，一種是你接觸不到，這種就不用考慮。另一種，是你能接觸到，但又怕你隨意傳播。那么只有使用授權的方式訪問，而一般的應用程序不提供這樣的功能。所以引入加密系統(tǒng)，那么我們需要確認，如果文件被加密了，就意味著它原有自身的格式被改變了，格式被改變了，原有的應該程序就無法識別，這就需要一個東西把它還原成原本狀態(tài)或面貌，這個東西就是軟件，對于我們也就是閱讀器。所以沒有安裝軟件是無法正常訪問格式被改變的文檔。舉個例子WORD原本的只讀功能很差，就有ADOBE公司的ACROBAT，就是我們常用的PDF，將WORD轉換為PDF格式的時候，用戶能用WORD訪問嗎不能，必須按照ADOBEREADER才能正常使用，就是這個道理。Q8為什么采用基于進程管理的這種方式A大家認為文件是分三六九等的，比如不同的WORD文檔可以分為多個等級，如秘密、機密、絕密。但，我們必須確定，不同的文檔的不同級別是由人為確定的，任何有人為意識形態(tài)所決定的東西，都有存在泄密的可能。也許某一個人很認真的在企業(yè)上班，會盡職盡責的對文件進行密級管理，但一旦有泄密的可能的時候，就可能把一份絕密級的文件認定為非密級的文件而不加密泄漏出去。所以我們認為越少的人工參與越安全。企業(yè)的核心機密是由什么應用程序生成的，我們把這個應用程序管好就好了。因此，我們采用基于進程管理的方式。Q9我們是集團公司，在各地均有分公司，可否使文件能夠在這些公司間通用A沒有問題，針對這個問題我們有兩種解決方案。第一種，我們采用隧道復用的技術，客戶端與服務器間的通信，無論是策略下發(fā)、消息通信和用戶管理，始終由客戶端主動連接服務端開放的一個TCP端口，且該端口可由用戶自定義。只要集團和各分公司之間路由物理可達，那么可以在集團總部部署一臺服務器，來管理各分支機構。第二種，若集團與各分公司之間無網(wǎng)絡可達，可以在集團和各分公司都部署一臺服務器，將服務器的配置互相導入同步。這樣也能實現(xiàn)各節(jié)點間文件的無縫轉發(fā)。Q10可否防止內部員工主動拷貝、網(wǎng)絡等方式泄密A能該系統(tǒng)的核心思想是對文件加密，被加密的文件無論通過何種方式（傳輸、拷貝、藍牙、紅外、外設）傳輸給沒有權限的用戶，都將是亂碼或無法打開。這是和傳統(tǒng)的解決方案上最大的區(qū)別，傳