当前位置: 首页 >> 解决方案 >> 制造业解决方案

前言导读

制造业企业拥有大量的商业秘密,包括核心技术资料(包括设计图纸、设计方案等等) 以及一些经营信息(包括财务信息、市场信息、上市公司待披露信息等等),这些商业秘密一旦泄露, 将会给企业带来很大的经济损失或者负面影响。商密堡根据制造业企业的业务特点、信息化现状和安全需求,选用合适的功能模块, 为其提供一个完整的商业秘密保护解决方案。

背景描述

目前,我们国家制造业产业发展迅速,产业升级需求迫切。制造业公司为提高企业核心技术开发能力、产品设计能力、品质把控能力、 高效生产能力等,都建立了PDM、MPM、CAPP、SCM、DIPMS、ERP、CRM等等一系列专业系统,在这些系统中将生成众多企业核心数据。

上述系统产生的设计类数据、财务类数据、生产类数据、市场销售类数据和客户数据都是企业的无形资产,这些数据的保护将决定企业的核心竞争力。

需求分析

制造业企业最突出的特点就是内部组织结构复杂,部分企业甚至有十多个部门。

其中最核心的为设计部,设计人员的电脑上存放着许多公司产品的设计图纸,这些资料一旦外泄或被恶意销毁将会直接影响到公司的竞争力。并且设计人员在办公时可能会使用到 许多国外设计软件,一旦因使用盗版被起诉,也会给企业带来巨大损失。结合设计人员有部分上网需求,但外发需求较少的特点,商密堡将设计部划分为核心办公区,推荐采取强防护的手段。

制造业企业内部应还有市场部、业务部、采购部、品质部等部门,属于普通办公区。这些部门人员的电脑上存放着许多与公司业务有关的数据资料,可能发生采购职务侵占、 销售飞单、销售报表、客户信息外泄等事件。这些资料一般都是office文档,但是普通办公人员外发需求较高,不能采取强管控的方式,同时也要确保企业商业秘密不会在外发时泄露。

除了员工办公电脑,企业内部还有生产车间电脑需要保护,避免排产计划、技术图纸外泄。生产车间电脑属于生产车间区,一般不连接互联网,只需要连接至机台,主要用于共用控制、升级维护工业设备等工作, 因此需防止终端受到病毒入侵,保护生产环境安全。

企业内部还部署了OA、ERP、SVN、PDM等业务系统服务器,将这些服务器划分为服务器区。机密数据资料存放在服务器内,因此也需要对服务器和内部的数据进行保护,避免非法或越权 访问导致服务器数据被篡改、销毁、外网黑客攻击导致数据丢失。

制造业解决方案

总部署图

服务器划分到专用服务器网络,普通办公电脑划分到办公网络,设计电脑划分到设计网络,车间电脑划分到生产网络。

商密堡利用网络访问控制使同一虚拟专网内的终端相互信任、不同虚拟机专网之间的终端相互隔离。不同区域的终端之间的联通性可灵活配置、调整。
设计人员接触核心设计图纸,外发需求少,采用强防护手段,在员工终端上进行终端虚拟化、文档加密和数据备份,隔离设计环境,保护设计图纸,严格管控员工行为。

配合准入网关,统一管理网络边界,保护服务器,杜绝非法访问、非可信访问、越权访问。

在行政、财务人员的终端电脑上部署数据防泄漏系统,不做安全隔离和加密。员工可以正常上网,但是对于外发的文件进行检测,对于明显不符合安全要求的外发行为进行拦截。

内部数据导入至生产车间的电脑时只能使用安全U盘,杜绝病毒感染。

普通办公区,外泄数据安全监控

普通办公区包括人员比较众多,分布比较散乱,密级比较低,互联网应用场景比较普遍。但是仍然有一些零散的商业秘密存储在用户终端电脑上, 需要对这些敏感信息进行安全管控。

拦截敏感数据外发

商密堡设计,在普通办公区的终端电脑上安装终端DLP软件,不做安全隔离。员工可以正常上网,但是对于外发的文件进行检测,支持邮件、 即时通讯、网页、U盘拷贝、打印等外发通道检测。对不包含敏感数据的文件正常放行,但是会留痕审计。对于明显不符合安全要求的外发行为进行拦截,并通知告警。

监控员工终端操作

对于普通人员的终端日常操作行为也可以做管控,如对员工的上网行为进行监控、记录和审计,屏幕监控,统计员工软件使用时间及排名情况等, 可以提高追查商业秘密泄密事件的效率。

核心办公区,设计环境安全隔离

设计环境安全隔离,封堵所有数据出口

设计人员的终端部署了终端虚拟机后,会将设计电脑分成两台虚拟机,一台设计用的商密虚拟机,一台查资料用的上网虚拟机,将设计环境与上网环境隔离。 通过网络管控、外设管控等功能使设计图纸无法流出商密环境,同时上网感染的病毒进不来,保护了设计环境的安全。

国外盗版软件后门防堵

同时,虚拟机具有防堵国外盗版软件后门的特点,在商密虚拟机内使用的设计软件无法连接到其服务器,阻止了国外公司获取企业信息。

防硬盘拆卸

文档加密提供透明加解密功能,即对设计文件保存时自动加密,打开时自动解密,过程用户无感知,不影响用户原有操作习惯。设计文件在安装加密客户端内部互通互用, 传输到外部非加密环境中无法正常使用,即使通过硬盘拆卸得到的也是密文。

屏幕水印防拍照截图

除此之外,还配备了屏幕水印的功能,水印上携带了每位员工的个人信息,震慑了员工用手机拍照方式将设计图纸发送出去的行为。

出差、回家人员离线断网

对于设计使用的笔记本电脑,商密堡使用的离线断网的功能,一旦电脑脱离受控环境,即无法访问任何网址,防止员工用非受控电脑取走设计电脑内的图纸。

设计图纸自动备份

为了防止图纸资料的丢失、损坏,需要数据备份系统,商密堡设计了设计部门的终端自动备份系统,可以根据设计图纸的格式对设计人员的电脑进行快速扫描, 然后进行自动备份。

生产车间区,生产环境安全防御

商密堡为生产车间的电脑设计了终端安全管控软件和安全U盘。

防止非法外联

主要通过对网络端口、外设端口的管控,杜绝非法外联的情况发生。防止生产车间的员工私自通过手机热点、WIFI等功能或者串口、 并口、USB口等外部接口将生产电脑上的图纸和程序泄露出去。

提供安全传输通道

另外,商密堡在终端安全管控的基础上设计了安全U盘。安全U盘只有在安装了商密堡终端安全软件的机器被识别和访问,在普通电脑或者商密堡上网虚拟机上都无法使用。 病毒无法进入安全U盘,安全U盘的资料也不会泄露出去。在已经与互联网隔离的情况下,保证生产车间的电脑只有安全U盘才能导入设备升级程序,防止维护过程中因为移动存储设备 内的病毒入侵导致的系统崩溃、数据泄露,甚至导致生产安全事件。

兼容工业智能

同时考虑将来产业升级到工业互联网,终端安全管控软件随时可以升级出上网虚拟桌面,兼容将来工业互联网业态。

服务器区,企业数据安全保护

服务区是重要的业务数据集中存储区域,属于高密区,需要一方面防止外来攻击导致的数据丢失和业务中断, 另一方面要防止来自内部员工越权访问导致的大量数据丢失。 商密堡设计采用准入网关,部署在核心交换机上,做端口映射,然后进行细颗粒度的包分析和包过滤, 一方面防止来自外网的黑客攻击,另一方面对内网的客户进行详细的身份认证、安全性认证和授权访问。

分辨内部人员和外来访客

当接收到接入请求的时候,会对接入终端进行身份认证,确定是经过授权的用户和终端才可以接入,杜绝非法用户入网的情况。例如有外来用户直接插上企业内部网线,但由于他没有安装准入客户端,也不能进入内部网络。

检测接入电脑是否安全

对通过准入认证的合法用户终端进行安全状态检查和修复,如是否安装了商密堡终端安全软件等,未通过安全检测的用户终端会被强制进入隔离区,对终端进行管理,满足安全条件之后方可进入,使终端满足安全基线的要求。

不同员工不同访问权限

对通过安全评估的合格用户进行动态授权,即根据不同的用户策略赋予不同的访问权限。 对于入网的终端可以根据他的部门、所在VLAN网段甚至用户账号,来授权它可以访问哪些服务器资源或者业务系统。利用最小访问开放策略,可以有效的保护应用服务器。

记录员工所有访问操作

对进入到内部网络的终端的操作行为进行审计和控制,避免数据泄露和其他风险。

客户收益

1.灵活为企业划分安全域,管理方便,不需要改变拓扑结构,部门变动或人员离职只需要在后台设置就可完成权限管理。

2.核心办公区

(1)有效防止员工在上班期间,有意或无意泄露企业商业秘密资料。
(2)防止离职员工将公司资料恶意删除,或者私自保留。
(3)百分百避免企业因使用盗版软件被国外公司起诉,保障业务连续性。

3.普通办公区

(1)留存员工行为操作痕迹,方便职务侵占事后审查。
(2)有效控制员工行为,降低销售飞单、经营信息外泄概率。

4.生产车间区

(1)保护生产数据不被篡改、丢失、外泄。
(2)提供数据安全传输通道,杜绝病毒感染,保障生产环境安全可靠。

5.服务器区

(1)杜绝因非法或越权访问导致服务器数据被篡改、销毁。
(2)防止外来黑客入侵,避免重要数据丢失。

6.商密堡技术体系全面保护企业商业秘密数据安全,模块可按需分配,为企业量身定制合适、合理的商业秘密保护整体解决方案。

点击咨询,立即获取专业的安全服务 立即咨询