ERP,PDM等业务系统

防泄密解决方案

需求概要:

一般企业内部都会有ERPOA,文档管理系统,PLM/PDMSVN/VSS/CVS,文件共享等一些存放企业核心数据的业务系统,这些业务系统被使用的方式大多数是B/S架构,或者C/S架构,或者文件共享,因其内部存放了公司的核心数据,所以企业的经营者希望业务系统在被使用的过程中,进行一定的防泄密措施,在不影响正常的浏览阅读,编辑修改,上传下载等正常业务需要的前提下,需要防止数据另存,内容复制粘贴,U盘拷贝,邮件,甚至是屏幕截图等。这些服务器,有的是windows的,有的则是linux的。员工使用业务系统的方式各种各样,一般多为网页浏览,文件共享,FTPTelnet等,个别是基于http/https的访问(如SVN,特殊客户端)。需要针对这种工作场景,在不影响工作便利性的同时,进行有效的数据防泄密。

目前,一般的业务系统在使用过程中,可能导致的泄密途径大致有:

-在访问业务系统的时候,屏幕内容通过截屏键截图或者截屏软件进行截屏或录屏,导致信息外泄。

-在访问业务系统的时候,系统内的页面,文档,图片可以下载或者另存到本地,然后经过邮件,u盘,网络等各种泄密途径传播。

-在访问业务系统的时候,浏览的内容,表单,图片,文字等通过剪切板复制粘贴方式复制到业务系统外,然后通过文件另存,或者直接贴到IM中发送脱离业务系统。

有些企业,已经采取了一下防护措施,但是一般效果都非常差:

-措施一:断网,内外隔离-----影响工作效率,并且无法防止把数据复制到新接入的电脑上。

-措施二:安装监控软件------电脑进入安全模式或者用WinPE重新启动或者重新安装操作系统后,就可以自由访问业务系统并不被监控。新接入的电脑也能访问业务系统不受监控。

有没有一个不影响工作效率,不影响业务系统正常使用,并且可以彻底杜绝数据扩散的系统呢?

国内著名的专业防泄密解决方案厂商--深信达公司推出的沙盒服务器防泄密解决方案,可以彻底解决上述问题。

沙盒服务器防泄密解决方案:

深信达公司的SDC沙盒服务器防泄密解决方案,首先需要对服务器进行涉密和非涉密划分,把承载企业核心业务,有机密数据的业务系统划为机密范畴,把普通的业务,或者互联网访问等划为非涉密范畴,划分方式可以以服务器为单位,也可以以业务系统为单位进行划分,然后对于涉密部分,进行通过深信达沙盒服务器/客户端部署,形成一个涉密的,任何资源都只进不出,要出必须走审批的涉密沙盒工作环境。当部署好SDC沙盒系统之后,效果如下图所示:

 

SDC沙盒部署示意图

上图中,红色虚线圈起来的部分为涉密部分,机密服务器访问控制情况如下图。

沙盒机密服务器

(windows)

机密服务器

(linux)

普通服务器/互联网

(windows/linux)

沙盒轻型客户端

自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。

支持B/SC/S架构的ERP,PDM,文档管理等业务系统

自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。支持B/SC/S架构的ERP,PDM,文档管理等业务系统

可以只读方式访问,访问过程中数据只进不出。或者允许自由访问,但是无法上传任何涉密数据。

沙盒重型客户端

自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。

支持B/SC/S架构的ERP,PDM,文档管理等业务系统,支持各种研发机构的源代码开发模式。

自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。

支持B/SC/S架构的ERP,PDM,文档管理等业务系统,支持各种研发机构的源代码开发模式。

可以只读方式访问,访问过程中数据只进不出。或者允许自由访问,但是无法上传任何涉密数据。

非沙盒客户端

无法访问

无法访问

自由访问

补充说明:

1)沙盒轻型客户端和沙盒重型客户端的区别为:当涉密数据是普通文档,或者B/S架构应用的时候,使用轻型沙盒。如果客户端有VS等源代码开发或者大型复杂图纸开发的时候,使用重型沙盒客户端。

2)访问服务器的方式可以是远程桌面,网页浏览,文件共享,SVN/CVS/VSS/GITTelnetFTPTcp/IPsocket)等各种常用访问方式。