近年来,随着汽车制造企业信息化建设的不断深入,在制造、设计高度信息化、网络化的趋势带动下,企业引入了多种信息应用系统,如OA、ERP、CRM、PDM、PLM等。这些应用系统已经成为了企业高效运作的重要基础,覆盖了企业研发设计、营销、生产、财务、人力资源、办公管理等业务,但是,伴随着信息技术带来的竞争优势,企业内部也面临着很大的信息安全风险。
一、行业大事记
1. 起亚泄密案:2007年5月9日,9名韩国起亚雇员因涉嫌向中国等国的车企出售汽车制造核心技术而被韩国检察局起诉。起亚称该泄密事件将使公司三年内面临约29亿美元的损失。
2. 上海双龙汽车泄密案:2008年7月,上汽双龙遭遇“泄密门”事件,因怀疑双龙汽车向中方母公司上海汽车“泄露”柴油混合动力汽车核心技术,韩国检方“突袭”双龙平泽本部,扣留部分文件、办公电脑进行“取证”,并传唤包括上海汽车派驻人员在内的双龙汽车管理层干部协助调查。
3. 福特汽车泄密案:2009年10月,北汽乘用车工程院专业某工程师在美国芝加哥机场入境时,遭到美国警方拘捕。据美国司法部称,其在离职前将大约4000份文件拷贝到了外部硬盘上,其中包括敏感的福特设计文件。这些文件涵盖发动机、变速系统、车门结构、转向系统等,价值数百万美元。据FBI调查,该工程师的电脑中存储着41份福特汽车的机密文件。
4. 雷诺汽车泄密:2011年1月,据国外媒体报道,法国汽车巨头雷诺正式宣布,因怀疑旗舰电动车型开发项目泄密,正式对包括一名管理委员会成员在内的三名高管展开了调查,这三名嫌疑人目前已经被停职处理。根据雷诺内部人士透露,涉案人员中级别最高的是高级工程部门副总裁。雷诺发言人称这三位高管自1月3日开始停职停薪,接受雷诺公为期五个月的内部道德调查。
此类数据安全事件在制造业企业中每天都在上演,信息安全事件屡屡发生,已经逐渐成为企业为之头疼的大难题。数据泄密事件无时无刻不在发生,已经被越来越多的企业所关注,如何做好企业内部的数据防护措失也成为了企业信息化建设的重中之重。
二、汽车制造业电子图纸安全成防护重点
汽车制造企业往往规模庞大,多以集团形式存在,分支机构繁多。企业的信息环境也比较复杂,应用系统众多。在设计图纸、数模等电子文件的生产过程中,一般是由设计部门主导,搭配工艺部门的思路共同产出图纸,经由工艺部门加工后,进行仿真模拟,然后由质检部门对图纸的数据及相关信息进行审核,最后投入生产部门。任何一个环节如果不慎泄露了中间版本甚至成果文件,都有可能在源头就造成技术泄密,带来直接的损失。但是,长期以来这些电子文件在企业中始终是以明文的形态存储在终端硬盘或服务器存储上,其安全性无法得到保障,数据被有意或者无意流传到企业外部后,企业顿失市场竞争优势,甚至会遭受巨大经济损失。
信息泄密事件的发生大多数和人密切相关,泄密的途径和方式也多种多样,可概括为如下三方面:
1. 主动泄密隐患
1) 越权访问非授权数据泄密;
2) 盗用他人账号及设备非法访问数据泄密;
3) 伙同他人实现敏感数据跨安全域转移泄密;
4) 通过打印机、传真机等将敏感数据进行介质转换泄密;
5) 私自携带笔记本设备接入内部网络非法下载数据泄密;
6) 对敏感数据的恶意传播及扩散泄密;
7) 对核心应用系统的非安全接入及访问泄密等。
2. 被动泄密隐患
被动泄密是指导致信息泄密的人员在无意识或不知情的情况下所发生的泄密隐患,被动泄密已成为当前日益激烈的恶性商业竞争下的主要泄密隐患。目前存在的被动泄密隐患包括:
1) 移动笔记本、USB存储设备遗失或失窃导致数据泄密;
2) 邮件或网络误操作、误发送引起的泄密;
3) 保密意识淡薄对敏感数据保管不当引起的泄密,如随意共享等;
4) 感染病毒、木马后引发的敏感数据泄密;
5) 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密;
6) 移动笔记本、USB存储设备和硬盘等维修、废弃时引发的泄密。
3. 第三方泄密隐患
1) 合作伙伴、外协人员接入内部网络非法获取敏感数据泄密;
2) 应用维护、开发人员访问系统后台及数据库非法获取敏感数据泄密;
3) 发送给客户、合作伙伴及其他关系密切人员的敏感数据保管不当或恶意扩散引起的泄密;
4) 合同、图纸以及科研、学术报告等敏感资料外部打印、复印时副本拷贝泄密;
5) 应用系统、邮件服务器以及数据中心外部托管时非法窃取泄密。
三、亿赛通数据安全解决方案全面杜绝企业敏感信息泄密风险
亿赛通数据泄露防护(DLP)整体解决方案是对用户的“有意”、“无意”两种数据泄漏行为的统一防护,采用“事前主动防御,事中实时控制,事后及时追踪,全面防止泄密”的设计理念,融合“加密敏感数据”、“控制敏感内容流通”、“规范员工访问行为”为主体的核心技术,配合身份识别、权限控制、终端管理、应用集成、安全接入以及行为审计等功能,最终实现“带不走、打不开、读不懂”的控制目标及效果。
1. 核心数据安全存储需求-透明加密
1) 强制加密:通过智能动态加解密技术,对文件进行强制加密处理,从文件创建开始即可自动加密保护。
2) 透明使用:核心数据在加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成,对用户而言完全透明、无感知。
2. 核心数据分级管控需求-权限管理
1) 权限管理:亿赛通数据泄露防护解决方案,可以根据文件的重要程度,按照组织架构(部门、用户、项目组等)对文件进行密级标识及授权管理,只允许合法授权用户根据分配权限受控使用;非授权用户即使获取到数据也将无法查阅。
2) 权限控制:文档设置只读、打印、修改、再次授权、阅读次数及生命周期等权限,授权用户只能按照规定好的权限进行使用,无法通过属性修改、内容复制、副本另存等方式越权使用。
3) 集中管理:采用“权限集中管理、数据可分散存储”的设计理念,实现合法用户访问授权数据时,需实时认证权限信息;文档管理员可对集中化权限信息及权限文档进行统一集中管控,并可实现权限变更、权限归档、文档销毁等管理功能。
3. 敏感数据内容保护需求-内容安全
1) 剪切板/拖拽控制:合法用户打开加密文件时,防护系统将对合法程序的剪切板行为进行监控,受控程序之间可以进行内容的复制、粘贴、剪切等操作,但是受控程序的内容不允许粘贴至非受控程序中。
2) 另存为控制:合法用户打开加密文件后,根据工作需要进行副本及格式另存为;也可能出于泄密目的,将文件保存为任意不规则格式(包括无格式)副本。
3) 拷屏/录屏:合法用户打开加密文件后,系统将实时监控用户的截屏及录屏行为,当用户发起截屏请求时(比如键盘PrintScreen、QQ截屏以及其他截屏工具等),系统会自动拦截截屏请求,实现屏幕黑屏保护;而当用户未打开任意加密文件时,系统不对用户截屏行为进行任何控制。
4) 打印控制:防护系统可对用户的打印行为进行灵活控制,即可实现“开/关式”打印控制,控制用户是否允许或禁止打印加密文件,也可实现打印精细化管理,控制用户对指定文档的阅读、打印权限,如使用次数和时限,也可进行打印水印设置等。
4. 核心数据外发安全需求-外发管控
核心数据对外发布时,通过对数据进行加密及授权封装,保障数据在外部环境的存储及使用安全,主要包括如下:
1) 文件加密保护:采用高强度加密技术对外发数据进行加密保护,防止非法用户暴力破解泄密。
2) 安全身份校验:外发文件提供多种安全身份认证机制,包括:密码口令认证、机器绑定认证、硬件USB-KEY认证及混合认证等,在身份认证通过后才可正常、安全打开外发文件。
3) 文件使用权限控制:外发文件提供细粒度权限控制保护,包含文档使用权限如只读、打印、修改等控制;文档生命周期管理如:阅读次数、阅读时限及过期自动销毁等保护;文档协同权限如修改、还原以及文档内容保护、打印水印等控制。
4) 文件内容安全控制:为防止使用者恶意将文件内容扩散,系统对其内容进行高强度安全控制,如内容剪切保护、禁止截屏、禁止另存为及打印控制等。
5) 外发文件易用性:外发文件在外部环境使用时,无需安装任何客户端及插件,用户双击外发文件完成身份认证后即可根据预设权限透明、安全使用。
5. 密文离网安全使用需求-移动客户端
DLP系统平台提供密文离网安全使用方案,通过在普通U盘中安装DLP移动客户端程序,实现在非办公电脑上处理公司重要数据时的无缝安全协同。
即插即用设计原理,当U盘移动客户端插入个人电脑并认证通过后,系统自动进入密文模式,可提供与企业内网终端完全一致的安全防护效果,确保企业加密数据外部使用安全;当U盘移动客户端移除或退出用户登录后,客户端将自动完成环境移除并关闭加解密功能,不对用户处理个人数据产生任何影响;
安全离网身份认证, U盘移动客户端需完成身份认证后才可正常安全使用。
四、总结
企业敏感数据均被加密,即使被非法泄露也无法读取到任何有价值内容,从而保证了对恶意行为的防护。这种实现手段对“有意”、“无意”以及复杂的数据结构均能起到很好的防护效果,通过对信息安全的源头进行控制,结合内容安全防护、应用系统整合以及业务流程支撑等手段,可满足任意行业用户的安全及管理需求。
经过近10年的成长及完善,亿赛通DLP已经积累了大量的成功实践,并在各大行业进行了应用和推广;同时,亿赛通更注重本土化及个性化服务,提倡为企业客户提供“因地制宜、量体裁衣”的数据安全服务,始终贯彻“安全是融合而非改变”方针,为用户打造出全新的数据全生命周期安全解决方案。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
