当前位置: 首页 >> 解决方案 >> 国外设计软件后门防堵解决方案

前言导读

设计企业拥有大量的商业秘密,包括核心技术资料(包括设计图纸等等)以及一些经营信息(包括财务信息、市场信息、上市公司待披露信息等等),这些商业秘密一旦泄露,将会给企业带来很大的经济损失或者负面影响。商密堡根据企业的业务特点、信息化现状和安全需求,选用合适的功能模块,为其提供一个完整的商业秘密保护解决方案。

背景描述

设计行业一直是商业秘密泄露的重灾地,设计图纸对设计行业无异于企业的核心资产,保存着一个企业的重要商业机密。随着信息化在设计行业的普及,为了提高企业核心竞争力,设计行业公司纷纷引入CAD、CAI、3DMax等计算机辅助设计平台。创意方案、设计图纸等核心资料,大多以数据的形式保存在企业内部终端。

需求分析

设计企业的设计人员的电脑上存放着公司的许多设计图纸,这些图纸一旦外泄或被恶意销毁将会直接影响到公司的竞争力。并且设计人员在办公时可能会使用到许多国外设计软件, 一旦因使用盗版被起诉,也会给企业带来巨大损失。结合设计人员有部分上网需求,但外发需求较少的特点,商密堡推荐采取强防护的手段。

企业内部普遍还有市场部、财务部、人事部等普通办公部门。这些部门人员的电脑上存放着许多与公司业务有关的数据资料,可能发生公司财务报表、客户信息外泄等事件。 这些资料一般都是office文档,但是普通办公人员上网需求较高,不能采取强管控的方式,同时也要确保企业商业秘密不会在外发时泄露。

除了员工办公电脑,企业内部还部署了OA、SVN等业务系统服务器。机密数据资料存放在服务器内, 因此也需要对服务器和内部的数据进行保护,避免非法或越权访问导致服务器数据被篡改、销毁、外网黑客攻击导致数据丢失。

国外设计软件后门防堵解决方案

总部署图

商密堡利用网络访问控制使同一虚拟专网内的终端相互信任、不同虚拟专网之间的终端相互隔离。不同区域的终端之间的联通性可灵活配置、调整。

设计人员接触核心代码、设计图纸,外发需求少,采用强防护手段,在员工终端上进行终端虚拟化、文档加密,隔离设计环境,封堵国外软件后门,保护设计图纸,严格管控员工行为。

配合加密网关,统一管理网络边界,保护服务器,杜绝非法访问、非可信访问,对上传文件自动解密,下载文件自动加密。

在行政、财务人员的终端电脑上部署数据防泄漏系统,不做安全隔离和加密。员工可以正常上网,但是对于外发的文件进行检测,对于明显不符合安全要求的外发行为进行拦截。

普通办公人员终端安全

普通办公区包括人员比较众多,分布比较散乱,密级比较低,互联网应用场景比较普遍。但是仍然有一些零散的商业秘密存储在用户终端电脑上,需要对这些敏感信息进行安全管控。

拦截敏感数据外发

商密堡设计,在普通办公区的终端电脑上安装终端DLP软件,不做安全隔离。员工可以正常上网,但是对于外发的文件进行检测,支持邮件、即时通讯、网页、U盘拷贝、打印等外发通道检测。对不包含敏感数据的文件正常放行,但是会留痕审计。对于明显不符合安全要求的外发行为进行拦截,并通知告警。

监控员工终端操作

对于普通人员的终端日常操作行为也可以做管控,如对员工的上网行为进行监控、记录和审计,屏幕监控,统计员工软件使用时间及排名情况等,可以提高追查商业秘密泄密事件的效率。

设计人员终端安全

设计环境安全隔离,封堵所有数据出口

设计人员的终端上部署了终端虚拟机后,会将设计电脑分成两台虚拟机,一台设计用的商密虚拟机,一台查资料用的上网虚拟机,将设计环境与上网环境隔离。通过网络管控、外设管控等功能使设计图纸无法流出商密环境,同时上网感染的病毒进不来,保护了开发设计环境的安全。

国外盗版软件后门防堵

虚拟机具有防堵国外盗版软件后门的特点,在商密虚拟机内使用的设计软件无法连接到其服务器,阻止了国外公司获取企业信息。

防硬盘拆卸

文档加密提供透明加解密功能,即对设计文件保存时自动加密,打开是自动解密,过程用户无感知,不影响原有用户操作习惯。设计文件在安装加密客户端内部互通互用,传输到外部非加密环境中无法正常使用,即使通过硬盘拆卸得到的也是密文。

屏幕水印防拍照截图

除此之外,还配备了屏幕水印的功能,水印上携带了每位员工的个人信息,震慑了员工用手机拍照方式将设计图纸发送出去的行为。

出差、回家人员离线断网

对于设计使用的笔记本电脑,商密堡使用离线断网的功能,一旦电脑脱离受控环境,即无法访问任何网址,防止员工用非受控电脑取走电脑内的资料。

服务器数据安全

服务区是重要的业务数据集中存储区域,属于高密区,需要一方面防止外来攻击导致的数据丢失和业务中断,另一方面要防止来自内部员工越权访问导致的大量数据丢失。

商密堡设计采用加密网关,部署在核心交换机上,做端口镜像,然后进行细颗粒度的包分析和包过滤,一方面防止来自外网的黑客攻击,另一方面对内网的客户进行详细的身份认证、安全性认证和授权访问。

分辨内部人员和外来访客

当接收到接入请求的时候,会对接入终端进行身份认证,确定是经过授权的用户和终端才可以接入,杜绝非法用户入网的情况。例如有外来用户直接插上企业内部网线,但由于他没有安装准入客户端,也不能进入内部网络。

检测接入电脑是否安全

对通过准入认证的合法用户终端进行安全状态检查和修复,如是否安装了商密堡终端安全软件等,未通过安全检测的用户终端会被强制进入隔离区,对终端进行管理,满足安全条件之后方可进入,使终端满足安全基线的要求。

上传自动解密

用户将加密文件上传至业务系统等应用服务器中,数据流量会先经过加密网关,加密文件上传自动解密。

下载自动加密

用户从业务系统等应用服务器中进行数据下载时,数据流量会先经过加密网关,文件下载自动加密处理。

客户收益

1.灵活为企业划分安全域,管理方便,不需要改变拓扑结构,部门变动或人员离职只需要在后台设置就可完成权限管理。

2.设计人员

(1)有效防止员工在上班期间,有意或无意泄露企业商业秘密资料。
(2)防止离职员工将公司资料恶意删除,或者私自保留。
(3)百分百避免企业因使用盗版软件被国外公司起诉,保障业务连续性。

3.普通办公人员

(1)留存员工行为操作痕迹,方便泄密事件事后审查。
(2)有效控制员工行为,降低经营信息外泄概率。

4.服务器

(1)杜绝因非法或越权访问导致服务器数据被篡改、销毁。
(2)防止外来黑客入侵,避免重要数据丢失。

5.商密堡技术体系全面保护企业商业秘密数据安全,模块可按需分配,为企业量身定制合适、合理的商业秘密保护整体解决方案。

点击咨询,立即获取专业的安全服务 立即咨询