设计行业概述
设计行业是一个智力密集性的行业,因为设计是大都是由个人或团队从无到有创造出来的过程,而且必须是具有独创性的,设计产品的投入越多、独创性越强,价值也就越高。同时,在设计过程中必然会产生大量的信息和数据,并最终形成重要的设计成果,这些设计成果也是单位重要的无形资产和商业机密,关系到企业的品牌、声誉,甚至是设计企业的生存。一旦设计成果被非法泄露,将会对设计单位产生重大的影响,因此设计行业也是一个充满信息安全危机的行业。
设计行业数据应用场景分析
1、设计成果具有重要的价值。设计成果表现为:创意方案、设计图纸、研究报告等智慧型资产,这些重要数据本身就是设计单位所提供的产品,对单位而言至关重要。
2、创意方案、设计图纸、研究报告,90%以上都以电子文档形式存在,且分布在单位内部的服务器与多个计算机终端中,尤其是设计人员的计算机。
3、部分测绘成果数据为涉密数据,根据国家法规和单位的保密协议,单位有责任保护好这部分数据的安全。
4、创意方案、设计图纸、研究报告等成果性图纸文档经常被以产品的形式,一旦被未经授权的发布或泄露出去,设计单位将面临着被恶意剽窃、二次泄密风险。
5、创意设计、城市规划方案、设计图纸、研究报告,经常被出差人员,拷贝在笔记本或 U 盘内,外带出单位,面临着丢失、恶意泄密等风险。
设计行业数据安全威胁
虽然大多数设计单位都建立了完善的设计工作管理制度,并大都和员工签订了员工保密之地,并通过物理手段(如门禁制度、专用网络、专用服务器等)等举措来加强对设计成果的保护,并确实起到了一定的数据防泄密作用。但由于数据泄密的通道较多,使得员工始终可能通过如下一些通道达到泄密的目的。具体如下:
1、重要数据在发给在客户或合作伙伴后,面临着被恶意剽窃、二次泄密风险;
2、重要数据被出差人员拷贝在笔记本或 U 盘后,面临着丢失、恶意泄密等风险;
3、创意方案、设计素材、成果等服务器,被外部人员非法或内部人员越权访问的风险;
4、设计人员使用的计算机终端上,存在大量的关键数据,存在难以有效管理的风险;
5、设计人员离职带走大量设计成果,在新单位进行二次利用给原企业带来利益风险……
6、设计人员主动泄密的行为。设计人员可以通过各种网络应用,如网盘、邮件附件、聊天软件发送文件、FTP文件上传等网络途径将设计成果发送到外面去,造成设计成果泄密。
防范建议
大势至公司经过多年的数据防泄密技术研究,并在各行业用户的多年实践经验的基础上,为用户总结了以下一些数据安全威胁防范建议。具体如下:
1、对重要数据(创意方案、设计图纸、研究报告等)进行集中管理,并进行访问控制。可以有效解决这些重要数据被外部人员非法或内部人员越权访问;
2、对设计人员使用的计算机终端进行有效防护,将终端计算机磁盘分成工作区域与个人区域。工作区数据整性体加密保护,在保障内部数据合理使用的同时,又能有效防止终端上的主动泄密(内部人员通过打印、拷贝、邮件、传输、蓝牙等手段,带走数据)、被动泄密(计算机上的病毒窃取图纸文档);
3、同一计算机终端上的个人区域的数据使用不受限制,可以上网、使用 U 盘外设等。不必为一个人配备两台电脑;
4、在不同计算机终端的工作区域以及服务器之间,图纸文档是可以顺畅流转使用的,不受任何限制,只是在图纸文档等数据离开工作区外才进行必要的限制措施。不妨碍设计单位内部的协同办公;
5、外发这些重要数据时,须经过审核,并采用离线控制策略,有效防止恶意剽窃与二次泄密;比如:打开时间、次数、是否可用复制、打印、修改等,并且可以设置过期自动销毁;
6、在外带这些重要数据时,可以采用对存储图纸文档的 U 盘等移动存储设备,进行加密处理,避免因存储设备丢失而导致的泄密问题;
7、部署泄密产品,但是不能影响设计人员的工作效率、不占用较多的系统资源,并可兼容多种平台系统与各种应用软件。
大势至核心数据防泄密方案
作为国内知名的信息安全防泄密厂家,大势至公司通过在信息安全行业多年的数据防泄密技术研究,具有明显优势的信息防泄密产品的潜心研发,以及多年的信息安全系统集成多年的实践经验,为用户推出了如下针对设计企业的数据防泄密方案。
1、关键文档的透明加密技术
通过“大势至电脑文件加密系统”,可以对需要保护的各类电子文档进行批量加密,加密后的文档只能在内部使用,未经许可,无论采取什么方式被带离内部环境以后,文档均无法打开。加密完全透明,不影响用户原有的文档操作习惯;支持多达三十余种常见的电子文档格式,并能够根据用户实际需要进行免费定制扩展;支持按文档类型加密或只加密特定文档。
2、电脑文档访问权限设置
1)移动存储管控
规范移动存储设备在企业内部的使用,可以禁止外来 U 盘在企业内部使用,做到外盘外用;同时还可对内部的移动盘进行整盘加密,使其只能在企业内部使用,做到内盘内用。
2)终端设备控制
能够限制USB设备、刻录、蓝牙等多种计算机外部设备的使用,有效防止信息通过外部设备泄露出去。
3)网络通讯控制
控制用户经由 QQ、MSN、飞信等即时通讯工具和 E-mail 等网络应用发送机密文档,同时还能防止通过上传下载和非法外联等方式泄露信息。
4)文档传播审计
细致记录文档通过打印机、外部设备、QQ、MSN、飞信等即时通讯工具、邮件等工具进行传播的过程,有效防止重要资料被随意复制、移动造成外泄。
大势至公司针对用户的这些需求,推出了“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html),通过在员工电脑安装部署之后,就可以完全禁用U盘、移动硬盘等USB存储设备,同时还可以禁止用户通过邮件、网盘、FTP文件上传和聊天软件发送文件的方式将单位的重要电脑文件(如图纸、源代码、设计作品)等发送出去,从而保护了单位的无形资产和商业机密。
同时,本系统还可以保护操作系统关键位置,禁止员工随意修改注册表、组策略、设备管理器等,防止员工通过技术手段试图绕开系统监控的行为,保护了操作系统自身的安全,也间接保护了用户电脑文件的安全。
此外,系统基于高强度的、全方位的自我防护功能,可以防止员工通过技术手段卸载、破坏等行为的发生,保证可以实现持续的、全面的电脑文件安全管理。
3、共享文档操作权限控制
通过“大势至局域网共享文件管理系统”可以全面保护设计单位局域网共享文件的安全,可以只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,以及禁止拖拽共享文件或打印共享文件,防止用户在访问共享文件的同时将共享文件存储到本地磁盘,然后通过各种管道泄露出去的行为。
通过本系统还可以根据不同用户设置共享文件的访问权限,并可以形成详细的共享文件访问日志,可以记录访问者的IP地址、MAC地址和主机名等信息,从而便于管理员事后备查和审计,进一步保护了共享文件的安全。
总之,规划设计行业数据防泄密相对于其他行业更为重要,管理工作也更为复杂。这就需要设计单位一方面需要从制度、管理、激励等企业内控方面做足工作;另一方面也需要配合物理、技术手段等层面进行有效的管控,只有这样才能实现效果最大化的企业数据防泄密,最大限度保护单位设计成果、重要电子文档的安全,达到保护单位无形资产和商业机密的目的。