數據防泄密系統(tǒng)—海馬信息安全的防護盾

一、企業(yè)簡介

    海馬汽車是中國最早的本土汽車企業(yè)之一，其前身可追溯到1988年成立的海南汽車制造廠�，F在是一家擁有兩大整車生產基地、三大研發(fā)基地、擁有一批成熟的汽車產業(yè)人才隊伍、自主整車研發(fā)能力、自主銷售服務網絡和自主供應配套體系的集團型企業(yè)。公司產品涵蓋面包車、轎車、MPV、SUV和新能源汽車。上海海馬汽車研發(fā)有限公司是其整車研發(fā)機構，擁有先進的造型、設計、試制、試驗設備。上海海馬研發(fā)致力于新產品的設計、產品的改進設計、樣車的試制試驗等業(yè)務。研發(fā)領域涵蓋了造型、車身、底盤、動力、整車電氣、試制試驗等專業(yè)。

圖1 上海海馬汽車研發(fā)有限公司

二、企業(yè)信息化應用總體現狀

    作為研發(fā)機構，上海海馬汽車研發(fā)有限公司的信息化應用和兩化融合都得到了良好的效果。目前，實施的研發(fā)信息系統(tǒng)有：PDM系統(tǒng)、PPM系統(tǒng)、OA系統(tǒng)、設計導航、標準檢索系統(tǒng)等等，同時，基礎信息化方面有：虛擬化、高性能計算平臺及計算提交調度系統(tǒng)、數據防泄密，以及網絡管理方面的系統(tǒng)軟件。

    隨著研發(fā)能力的提升，信息化和兩化融合的信息系統(tǒng)應用更加精細化和重要，在工作效率、工作質量等方面都有顯著提代。

三、參評信息化項目詳細情況介紹

    1、項目背景介紹

    隨著公司內各項目和人員的增加，數據安全也越來越嚴峻，數據安全是企業(yè)信息化建設中非常重要的一項工作，特別是在信息化高速發(fā)展的今天，數據安全的重要性對于研發(fā)單位是很重要的。鑒于存在的信息安全漏洞，主要問題有：

    研發(fā)機構內各類機密數據和敏感信息通過網絡傳輸、共享文件、移動存儲、郵件、應用程序等多種方式進行傳播，造成數據的泄漏；

    通過各類新型的應用程序（如截圖工具、內容復制工具等）把文件或數據傳輸出去；

    筆記本電腦及各類移動終端的丟失，可能造成的數據遺失；U盤的非法使用帶來的機密數據的泄漏等。

    2、項目目標與實施原則

    ●項目目標

    海馬研發(fā)對信息安全非常重視，并通過長期的建設，在公司內部署了各種的安全系統(tǒng)。但是，這些安全系統(tǒng)主要管控的只是行為，無法識別并保護企業(yè)的核心數據信息。為了確保各項業(yè)務更加安全的運行以及滿足未來發(fā)展的需求，將構建完善的內網數據安全體系來保證核心數據的安全。為此，需要對企業(yè)數據安全邊界進行識別，并通過在網絡和終端部署數據防泄漏系統(tǒng)來識別、保護企業(yè)的核心數據。

    通過部署實施一整套數據防泄密系統(tǒng)，加強對公司核心數據信息的識別與管理，建立統(tǒng)一的內容安全策略管理平臺，有效發(fā)現通過各種信息流渠道傳播的核心數據信息，做到從源頭保護數據，監(jiān)督傳輸過程，構建了數據審計體系，從而提高了整體的信息安全管理水平能力。

    ●項目實施原則

    為保障項目實施質量及推廣效果，逐步完善信息安全保護機制，數據防泄密項目采用由松到緊，分批實施的原則進行開展。在項目規(guī)劃的指導思想下，總體遵循以下兩點：

    由松到緊：信息安全涉密的途徑多種多樣，可以通過移動存儲設備、郵件、打印、WEB及第三方應用軟件等方式泄密，同樣各種數據或多或少涉及到機密信息。故從源頭數據上先保護重要成果數據、機密文件，再加強保護其他數據；泄密途徑先保護泄密主要途徑，如移動存儲、郵件、WEB，再加強對其他途徑的保護。

    分批實施：數據防泄密系統(tǒng)包括數據丟失保護、數據加密、磁盤加密，依次逐個實施。研發(fā)人員也涉及到在外地工作的，數據丟失保護先實施本地計算機，再實施外地計算機。數據加密先保護關鍵計算機，再推廣到所有計算機。磁盤加密先針對外出筆記本進行部署，再部署其他筆記本及計算機設備。

    3、項目實施與應用情況詳細介紹

    數據防泄密項目包括三部分：數據丟失保護、數據加密、磁盤加密。數據防泄密項目自2012年底功能測試完成，從2013年4月份開始分批實施。

    ●數據丟失保護模塊

    實施時間：2013年4月，實施完成時間：2013年9月。共對上海與鄭州基地用戶部署714臺，其中上海用戶有453臺，主要對研發(fā)成果數據進行保護，包括對PDM系統(tǒng)數據、網絡盤數據，個人計算機部分成果數據，至目前共對數據保護有432340 條，包括對移動存儲設備26165條，網絡保護309012條。

圖2 不同級別數據分組被觸發(fā)策略的次數

    規(guī)劃數據安全等級、用戶角色分類：結合公司實際情況，針對研發(fā)成果數據、業(yè)務規(guī)范、管理文件等，對各數據安全等級進行劃分，安全等級有：絕密、機密、秘密三個級別。根據各職責劃分不同用戶組，分別有領導組、技術組、業(yè)務組及特殊權限用戶組。

    制定安全策略：各用戶所處的角色不同，對分別可以訪問各種安全數據，需對不同數據作不同的數據安全標記并對各用戶組制定不同的防護策略。詳見下圖，僅部分截圖：

圖3 各用戶組制定的不同的防護策略

    實施部署：數據丟失保護實施采用先小范圍部署，測試實際使用效果，再逐步對大范圍用戶進行部署，保障數據丟失保護模塊在不影響各用戶的正常使用情況下達到保護數據的效果。而且數據丟失保護模塊也對關鍵崗位的數據傳輸做到審計的效果，完善公司信息安全保護機制。

    部署過程存在的問題：任何新系統(tǒng)的上線，都會與公司原有的系統(tǒng)發(fā)生沖突或不兼容，在數據丟失保護模塊上線后不久，就出現數據丟失保護模塊消耗大量計算機資源，導致用戶對計算機體驗效果下降。對計算機硬件資源利用率分析及數據丟失保護系統(tǒng)部署分析，最終確定為數據丟失保護模塊在對計算機數據保護時，由于是第一次來掃描各數據文件導致占用大量的系統(tǒng)資源。最終解決辦法為調整數據丟失保護對計算機數據的掃描配置。

    ●數據加密

    數據機密模塊包括對可移動存儲加密保護和對文件、文件夾加密保護。數據防泄密項目中包含的的數據加密模塊點數有限，僅部署了20臺計算機。數據加密模塊開始實施時間為2013年7月。

    規(guī)劃數據加密安全策略：數據加密模塊是與數據丟失保護模塊共同來完成對數據安全保護，部署策略需要來彌補數據丟失保護模塊中不足的。對數據在初始狀態(tài)下及傳輸過程中制定相應的策略，主要如下：

圖4 初始數據加密流轉示意圖

    傳輸數據加密：上海本地內部傳輸為明文傳輸；上海對外傳輸為密文傳輸；上海對外地辦公地點傳輸通過特定的第三方軟件傳輸可以自動解密；可移動存儲傳輸數據采用加密可移動存儲或拷貝到可移動存儲設備上自動加密。

    實施部署：由于數據加密模塊點數有限，針對公司內計算機開放USB口及計算機外網的用戶進行部署，而通過可移動存儲和web傳輸為主要途徑，故首當其沖對該權限用戶進行部署實施。

    ●磁盤加密

    磁盤加密模塊為保護筆記本在外時發(fā)生的意外丟失情況而導致的數據泄密。磁盤加密可以實現對整個硬盤進行加密保護，隨著計算機的使用時間的增長，筆記本的硬盤將成為磁盤加密的最大天敵，退而求其次，可對個磁盤分區(qū)進行加密保護，即通過加密操作系統(tǒng)分區(qū)和加密文件夾來對系統(tǒng)及機密數據進行保護。數據加密模塊于2014年7月進行應用測試并成功部署公司辦公業(yè)務筆記本。

    4、效益分析

    數據防泄密項目通過三個安全模塊對上海研發(fā)中心的研發(fā)數據進行保護，完善了公司內的信息安全保護機制，不僅可以從源頭對數據進行分批保護，而且在傳輸過程中起到了重要的審計效果。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.lukmueng.com/

本文標題：數據防泄密系統(tǒng)—海馬信息安全的防護盾

本文網址：http://m.lukmueng.com/html/consultation/10839517717.html