数据防泄密系统—海马信息安全的防护盾

一、企业简介

    海马汽车是中国最早的本土汽车企业之一，其前身可追溯到1988年成立的海南汽车制造厂。现在是一家拥有两大整车生产基地、三大研发基地、拥有一批成熟的汽车产业人才队伍、自主整车研发能力、自主销售服务网络和自主供应配套体系的集团型企业。公司产品涵盖面包车、轿车、MPV、SUV和新能源汽车。上海海马汽车研发有限公司是其整车研发机构，拥有先进的造型、设计、试制、试验设备。上海海马研发致力于新产品的设计、产品的改进设计、样车的试制试验等业务。研发领域涵盖了造型、车身、底盘、动力、整车电气、试制试验等专业。

图1 上海海马汽车研发有限公司

二、企业信息化应用总体现状

    作为研发机构，上海海马汽车研发有限公司的信息化应用和两化融合都得到了良好的效果。目前，实施的研发信息系统有：PDM系统、PPM系统、OA系统、设计导航、标准检索系统等等，同时，基础信息化方面有：虚拟化、高性能计算平台及计算提交调度系统、数据防泄密，以及网络管理方面的系统软件。

    随着研发能力的提升，信息化和两化融合的信息系统应用更加精细化和重要，在工作效率、工作质量等方面都有显著提代。

三、参评信息化项目详细情况介绍

    1、项目背景介绍

    随着公司内各项目和人员的增加，数据安全也越来越严峻，数据安全是企业信息化建设中非常重要的一项工作，特别是在信息化高速发展的今天，数据安全的重要性对于研发单位是很重要的。鉴于存在的信息安全漏洞，主要问题有：

    研发机构内各类机密数据和敏感信息通过网络传输、共享文件、移动存储、邮件、应用程序等多种方式进行传播，造成数据的泄漏；

    通过各类新型的应用程序（如截图工具、内容复制工具等）把文件或数据传输出去；

    笔记本电脑及各类移动终端的丢失，可能造成的数据遗失；U盘的非法使用带来的机密数据的泄漏等。

    2、项目目标与实施原则

    ●项目目标

    海马研发对信息安全非常重视，并通过长期的建设，在公司内部署了各种的安全系统。但是，这些安全系统主要管控的只是行为，无法识别并保护企业的核心数据信息。为了确保各项业务更加安全的运行以及满足未来发展的需求，将构建完善的内网数据安全体系来保证核心数据的安全。为此，需要对企业数据安全边界进行识别，并通过在网络和终端部署数据防泄漏系统来识别、保护企业的核心数据。

    通过部署实施一整套数据防泄密系统，加强对公司核心数据信息的识别与管理，建立统一的内容安全策略管理平台，有效发现通过各种信息流渠道传播的核心数据信息，做到从源头保护数据，监督传输过程，构建了数据审计体系，从而提高了整体的信息安全管理水平能力。

    ●项目实施原则

    为保障项目实施质量及推广效果，逐步完善信息安全保护机制，数据防泄密项目采用由松到紧，分批实施的原则进行开展。在项目规划的指导思想下，总体遵循以下两点：

    由松到紧：信息安全涉密的途径多种多样，可以通过移动存储设备、邮件、打印、WEB及第三方应用软件等方式泄密，同样各种数据或多或少涉及到机密信息。故从源头数据上先保护重要成果数据、机密文件，再加强保护其他数据；泄密途径先保护泄密主要途径，如移动存储、邮件、WEB，再加强对其他途径的保护。

    分批实施：数据防泄密系统包括数据丢失保护、数据加密、磁盘加密，依次逐个实施。研发人员也涉及到在外地工作的，数据丢失保护先实施本地计算机，再实施外地计算机。数据加密先保护关键计算机，再推广到所有计算机。磁盘加密先针对外出笔记本进行部署，再部署其他笔记本及计算机设备。

    3、项目实施与应用情况详细介绍

    数据防泄密项目包括三部分：数据丢失保护、数据加密、磁盘加密。数据防泄密项目自2012年底功能测试完成，从2013年4月份开始分批实施。

    ●数据丢失保护模块

    实施时间：2013年4月，实施完成时间：2013年9月。共对上海与郑州基地用户部署714台，其中上海用户有453台，主要对研发成果数据进行保护，包括对PDM系统数据、网络盘数据，个人计算机部分成果数据，至目前共对数据保护有432340 条，包括对移动存储设备26165条，网络保护309012条。

图2 不同级别数据分组被触发策略的次数

    规划数据安全等级、用户角色分类：结合公司实际情况，针对研发成果数据、业务规范、管理文件等，对各数据安全等级进行划分，安全等级有：绝密、机密、秘密三个级别。根据各职责划分不同用户组，分别有领导组、技术组、业务组及特殊权限用户组。

    制定安全策略：各用户所处的角色不同，对分别可以访问各种安全数据，需对不同数据作不同的数据安全标记并对各用户组制定不同的防护策略。详见下图，仅部分截图：

图3 各用户组制定的不同的防护策略

    实施部署：数据丢失保护实施采用先小范围部署，测试实际使用效果，再逐步对大范围用户进行部署，保障数据丢失保护模块在不影响各用户的正常使用情况下达到保护数据的效果。而且数据丢失保护模块也对关键岗位的数据传输做到审计的效果，完善公司信息安全保护机制。

    部署过程存在的问题：任何新系统的上线，都会与公司原有的系统发生冲突或不兼容，在数据丢失保护模块上线后不久，就出现数据丢失保护模块消耗大量计算机资源，导致用户对计算机体验效果下降。对计算机硬件资源利用率分析及数据丢失保护系统部署分析，最终确定为数据丢失保护模块在对计算机数据保护时，由于是第一次来扫描各数据文件导致占用大量的系统资源。最终解决办法为调整数据丢失保护对计算机数据的扫描配置。

    ●数据加密

    数据机密模块包括对可移动存储加密保护和对文件、文件夹加密保护。数据防泄密项目中包含的的数据加密模块点数有限，仅部署了20台计算机。数据加密模块开始实施时间为2013年7月。

    规划数据加密安全策略：数据加密模块是与数据丢失保护模块共同来完成对数据安全保护，部署策略需要来弥补数据丢失保护模块中不足的。对数据在初始状态下及传输过程中制定相应的策略，主要如下：

图4 初始数据加密流转示意图

    传输数据加密：上海本地内部传输为明文传输；上海对外传输为密文传输；上海对外地办公地点传输通过特定的第三方软件传输可以自动解密；可移动存储传输数据采用加密可移动存储或拷贝到可移动存储设备上自动加密。

    实施部署：由于数据加密模块点数有限，针对公司内计算机开放USB口及计算机外网的用户进行部署，而通过可移动存储和web传输为主要途径，故首当其冲对该权限用户进行部署实施。

    ●磁盘加密

    磁盘加密模块为保护笔记本在外时发生的意外丢失情况而导致的数据泄密。磁盘加密可以实现对整个硬盘进行加密保护，随着计算机的使用时间的增长，笔记本的硬盘将成为磁盘加密的最大天敌，退而求其次，可对个磁盘分区进行加密保护，即通过加密操作系统分区和加密文件夹来对系统及机密数据进行保护。数据加密模块于2014年7月进行应用测试并成功部署公司办公业务笔记本。

    4、效益分析

    数据防泄密项目通过三个安全模块对上海研发中心的研发数据进行保护，完善了公司内的信息安全保护机制，不仅可以从源头对数据进行分批保护，而且在传输过程中起到了重要的审计效果。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：数据防泄密系统—海马信息安全的防护盾

本文网址：http://www.toberp.com/html/consultation/10839517717.html