近年來,隨著汽車制造企業信息化建設的不斷深入,在制造、設計高度信息化、網絡化的趨勢帶動下,企業引入了多種信息應用系統,如OA、ERP、CRM、PDM、PLM等。這些應用系統已經成為了企業高效運作的重要基礎,覆蓋了企業研發設計、營銷、生產、財務、人力資源、辦公管理等業務,但是,伴隨著信息技術帶來的競爭優勢,企業內部也面臨著很大的信息安全風險。
一、行業大事記
1. 起亞泄密案:2007年5月9日,9名韓國起亞雇員因涉嫌向中國等國的車企出售汽車制造核心技術而被韓國檢察局起訴。起亞稱該泄密事件將使公司三年內面臨約29億美元的損失。
2. 上海雙龍汽車泄密案:2008年7月,上汽雙龍遭遇“泄密門”事件,因懷疑雙龍汽車向中方母公司上海汽車“泄露”柴油混合動力汽車核心技術,韓國檢方“突襲”雙龍平澤本部,扣留部分文件、辦公電腦進行“取證”,并傳喚包括上海汽車派駐人員在內的雙龍汽車管理層干部協助調查。
3. 福特汽車泄密案:2009年10月,北汽乘用車工程院專業某工程師在美國芝加哥機場入境時,遭到美國警方拘捕。據美國司法部稱,其在離職前將大約4000份文件拷貝到了外部硬盤上,其中包括敏感的福特設計文件。這些文件涵蓋發動機、變速系統、車門結構、轉向系統等,價值數百萬美元。據FBI調查,該工程師的電腦中存儲著41份福特汽車的機密文件。
4. 雷諾汽車泄密:2011年1月,據國外媒體報道,法國汽車巨頭雷諾正式宣布,因懷疑旗艦電動車型開發項目泄密,正式對包括一名管理委員會成員在內的三名高管展開了調查,這三名嫌疑人目前已經被停職處理。根據雷諾內部人士透露,涉案人員中級別最高的是高級工程部門副總裁。雷諾發言人稱這三位高管自1月3日開始停職停薪,接受雷諾公為期五個月的內部道德調查。
此類數據安全事件在制造業企業中每天都在上演,信息安全事件屢屢發生,已經逐漸成為企業為之頭疼的大難題。數據泄密事件無時無刻不在發生,已經被越來越多的企業所關注,如何做好企業內部的數據防護措失也成為了企業信息化建設的重中之重。
二、汽車制造業電子圖紙安全成防護重點
汽車制造企業往往規模龐大,多以集團形式存在,分支機構繁多。企業的信息環境也比較復雜,應用系統眾多。在設計圖紙、數模等電子文件的生產過程中,一般是由設計部門主導,搭配工藝部門的思路共同產出圖紙,經由工藝部門加工后,進行仿真模擬,然后由質檢部門對圖紙的數據及相關信息進行審核,最后投入生產部門。任何一個環節如果不慎泄露了中間版本甚至成果文件,都有可能在源頭就造成技術泄密,帶來直接的損失。但是,長期以來這些電子文件在企業中始終是以明文的形態存儲在終端硬盤或服務器存儲上,其安全性無法得到保障,數據被有意或者無意流傳到企業外部后,企業頓失市場競爭優勢,甚至會遭受巨大經濟損失。
信息泄密事件的發生大多數和人密切相關,泄密的途徑和方式也多種多樣,可概括為如下三方面:
1. 主動泄密隱患
1) 越權訪問非授權數據泄密;
2) 盜用他人賬號及設備非法訪問數據泄密;
3) 伙同他人實現敏感數據跨安全域轉移泄密;
4) 通過打印機、傳真機等將敏感數據進行介質轉換泄密;
5) 私自攜帶筆記本設備接入內部網絡非法下載數據泄密;
6) 對敏感數據的惡意傳播及擴散泄密;
7) 對核心應用系統的非安全接入及訪問泄密等。
2. 被動泄密隱患
被動泄密是指導致信息泄密的人員在無意識或不知情的情況下所發生的泄密隱患,被動泄密已成為當前日益激烈的惡性商業競爭下的主要泄密隱患。目前存在的被動泄密隱患包括:
1) 移動筆記本、USB存儲設備遺失或失竊導致數據泄密;
2) 郵件或網絡誤操作、誤發送引起的泄密;
3) 保密意識淡薄對敏感數據保管不當引起的泄密,如隨意共享等;
4) 感染病毒、木馬后引發的敏感數據泄密;
5) 將存放重要數據的機器、存儲介質隨意交與他人使用引發的泄密;
6) 移動筆記本、USB存儲設備和硬盤等維修、廢棄時引發的泄密。
3. 第三方泄密隱患
1) 合作伙伴、外協人員接入內部網絡非法獲取敏感數據泄密;
2) 應用維護、開發人員訪問系統后臺及數據庫非法獲取敏感數據泄密;
3) 發送給客戶、合作伙伴及其他關系密切人員的敏感數據保管不當或惡意擴散引起的泄密;
4) 合同、圖紙以及科研、學術報告等敏感資料外部打印、復印時副本拷貝泄密;
5) 應用系統、郵件服務器以及數據中心外部托管時非法竊取泄密。
三、億賽通數據安全解決方案全面杜絕企業敏感信息泄密風險
億賽通數據泄露防護(DLP)整體解決方案是對用戶的“有意”、“無意”兩種數據泄漏行為的統一防護,采用“事前主動防御,事中實時控制,事后及時追蹤,全面防止泄密”的設計理念,融合“加密敏感數據”、“控制敏感內容流通”、“規范員工訪問行為”為主體的核心技術,配合身份識別、權限控制、終端管理、應用集成、安全接入以及行為審計等功能,最終實現“帶不走、打不開、讀不懂”的控制目標及效果。
1. 核心數據安全存儲需求-透明加密
1) 強制加密:通過智能動態加解密技術,對文件進行強制加密處理,從文件創建開始即可自動加密保護。
2) 透明使用:核心數據在加密前后對于數據合法使用者無任何差異,不增加用戶負擔、不改變任何工作流程及使用習慣。文件的保存加密、打開解密完全由后臺加解密驅動內核自動完成,對用戶而言完全透明、無感知。
2. 核心數據分級管控需求-權限管理
1) 權限管理:億賽通數據泄露防護解決方案,可以根據文件的重要程度,按照組織架構(部門、用戶、項目組等)對文件進行密級標識及授權管理,只允許合法授權用戶根據分配權限受控使用;非授權用戶即使獲取到數據也將無法查閱。
2) 權限控制:文檔設置只讀、打印、修改、再次授權、閱讀次數及生命周期等權限,授權用戶只能按照規定好的權限進行使用,無法通過屬性修改、內容復制、副本另存等方式越權使用。
3) 集中管理:采用“權限集中管理、數據可分散存儲”的設計理念,實現合法用戶訪問授權數據時,需實時認證權限信息;文檔管理員可對集中化權限信息及權限文檔進行統一集中管控,并可實現權限變更、權限歸檔、文檔銷毀等管理功能。
3. 敏感數據內容保護需求-內容安全
1) 剪切板/拖拽控制:合法用戶打開加密文件時,防護系統將對合法程序的剪切板行為進行監控,受控程序之間可以進行內容的復制、粘貼、剪切等操作,但是受控程序的內容不允許粘貼至非受控程序中。
2) 另存為控制:合法用戶打開加密文件后,根據工作需要進行副本及格式另存為;也可能出于泄密目的,將文件保存為任意不規則格式(包括無格式)副本。
3) 拷屏/錄屏:合法用戶打開加密文件后,系統將實時監控用戶的截屏及錄屏行為,當用戶發起截屏請求時(比如鍵盤PrintScreen、QQ截屏以及其他截屏工具等),系統會自動攔截截屏請求,實現屏幕黑屏保護;而當用戶未打開任意加密文件時,系統不對用戶截屏行為進行任何控制。
4) 打印控制:防護系統可對用戶的打印行為進行靈活控制,即可實現“開/關式”打印控制,控制用戶是否允許或禁止打印加密文件,也可實現打印精細化管理,控制用戶對指定文檔的閱讀、打印權限,如使用次數和時限,也可進行打印水印設置等。
4. 核心數據外發安全需求-外發管控
核心數據對外發布時,通過對數據進行加密及授權封裝,保障數據在外部環境的存儲及使用安全,主要包括如下:
1) 文件加密保護:采用高強度加密技術對外發數據進行加密保護,防止非法用戶暴力破解泄密。
2) 安全身份校驗:外發文件提供多種安全身份認證機制,包括:密碼口令認證、機器綁定認證、硬件USB-KEY認證及混合認證等,在身份認證通過后才可正常、安全打開外發文件。
3) 文件使用權限控制:外發文件提供細粒度權限控制保護,包含文檔使用權限如只讀、打印、修改等控制;文檔生命周期管理如:閱讀次數、閱讀時限及過期自動銷毀等保護;文檔協同權限如修改、還原以及文檔內容保護、打印水印等控制。
4) 文件內容安全控制:為防止使用者惡意將文件內容擴散,系統對其內容進行高強度安全控制,如內容剪切保護、禁止截屏、禁止另存為及打印控制等。
5) 外發文件易用性:外發文件在外部環境使用時,無需安裝任何客戶端及插件,用戶雙擊外發文件完成身份認證后即可根據預設權限透明、安全使用。
5. 密文離網安全使用需求-移動客戶端
DLP系統平臺提供密文離網安全使用方案,通過在普通U盤中安裝DLP移動客戶端程序,實現在非辦公電腦上處理公司重要數據時的無縫安全協同。
即插即用設計原理,當U盤移動客戶端插入個人電腦并認證通過后,系統自動進入密文模式,可提供與企業內網終端完全一致的安全防護效果,確保企業加密數據外部使用安全;當U盤移動客戶端移除或退出用戶登錄后,客戶端將自動完成環境移除并關閉加解密功能,不對用戶處理個人數據產生任何影響;
安全離網身份認證, U盤移動客戶端需完成身份認證后才可正常安全使用。
四、總結
企業敏感數據均被加密,即使被非法泄露也無法讀取到任何有價值內容,從而保證了對惡意行為的防護。這種實現手段對“有意”、“無意”以及復雜的數據結構均能起到很好的防護效果,通過對信息安全的源頭進行控制,結合內容安全防護、應用系統整合以及業務流程支撐等手段,可滿足任意行業用戶的安全及管理需求。
經過近10年的成長及完善,億賽通DLP已經積累了大量的成功實踐,并在各大行業進行了應用和推廣;同時,億賽通更注重本土化及個性化服務,提倡為企業客戶提供“因地制宜、量體裁衣”的數據安全服務,始終貫徹“安全是融合而非改變”方針,為用戶打造出全新的數據全生命周期安全解決方案。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
相關文章
