随着计算机和网络技术的飞速发展,越来越多的企业依托信息化的力量开展业务和拓展市场,数据作为新型生产要素的价值不断提升,防泄密成为各行各业重点关注的数据安全问题。我国也先后发布《数据安全法》、个人信息保护法等引导企业重视数据安全建设。
集成电路作为现代科技发展的重要基础,是一个高度技术密集、资金密集和创新驱动的行业,研发成果、产品设计、生产流程、商业计划等敏感数据属于商机机密,对数据防泄密有非常高的要求。
武汉新芯集成电路制造有限公司作为一家领先的集成电路研发和制造企业,面对日渐复杂的数据泄密场景,选择联软数据防泄露系统(DLP)对武汉、苏州、上海三地33个部门终端数据管控,防止数据泄密。
客户信息
武汉新芯集成电路制造有限公司,于2006年在武汉成立,可提供40nm及以上工艺制程的12英寸NOR Flash、CIS和Logic晶圆代工与技术服务。武汉新芯以特色工艺为依托,充分发挥自身稳定可靠的工艺制造水平和快速灵活的交付能力,为全球客户提供高品质的创新产品及专业的技术服务。
需求
武汉新芯在十余年的发展过程中,公司人员和信息系统快速增长,大量的数据存储于各种不同的终端与服务器上,以往的数据管理方式无法区分数据重要性,难以满足当下的数据合规和安全需要。
员工因业务需要,通过从业务系统下载数据、终端本地生成数据等,导致终端保存了大量不同类别敏感级别的数据,如图纸、专利、版图等,公司现有的系统对移动存储、即时通讯、网络途径(如网络共享、云盘等)、打印等外发途径缺乏有效的识别、审计或阻止手段,存在数据泄密风险。
加上各类新兴的远程办公、移动办公等办公场景,也打破了原有的网络边界,员工在无意情况下有可能导致敏感数据的外流或者泄密,增加了机密文档的保护难度。
在此情形下,武汉新芯迫切需要一套规范的数据防泄密方案保护敏感数据。
外发通道管控:需要对通过网页、邮件、即时通讯、U口、FTP等通道发出的敏感文件做全面管控。
敏感数据识别:已有CIPP的数据分级框架,需要在现有基础上对文档梳理、定级。
标签功能:电脑统一安装特殊的wps,使用的excel、word、ppt均有模板标注密级,但存在机密内容使用内部公开模板编写情况,需要实现对终端文件手动标签、自动标签功能。
解决方案
武汉新芯十分重视数据敏感识别功能,对比不同厂商方案后,最终选择了敏感规则完备、方案成熟的联软科技。
联软科技调研客户网络环境和业务情况后,针对武汉新芯数据应用场景采用集中式部署架构,其中服务器用于下发策略、收集数据、展示数据,LVFS文件服务器用于存放终端上传的审计附件、录屏文件等,AcutaDB数据库用于存放审计信息、日志。
敏感规则条件库:凭借对集成电路数据分类分级的完善规则库和专业性,基于文件内容、文件属性和拓展类型将数据分为绝密、机密、内部公开、外部公开四个密级,并根据数据梳理结果将关键字录入系统。
通道管控:阻止公司敏感文件通过邮件外通道外发。
文档追踪:结合矢量水印、数字盲水印等在不影响用户使用体验的情况下,给文件的泄密提供可用的追溯手段。
水印:可添加明文、二维码、图片、矢量(隐形水印)等在内的多种水印,震慑不法分子。
软件管理:终端用户通过软件商城自主安装软件,降低运维工作量。
针对武汉新芯33个部门的数据梳理难度高,联软配合企业高层做了简单明了的启动会,传达直观的敏感关键字调研表,并一对一访谈各个部门收集敏感关键字。
传统安全人员大部分认为安全会拖业务后退,抵触情绪重,加上现场终端环境复杂,这也提升了工作开展的难度。针对这种情况,联软通过完善的测试方案、试点验证打消了IT部门的担忧,并通过调研终端情况,提前配置白名单确保项目稳定运行,而联软科技对集成电路数据分类分级的专业性也大大提升了部署效率和落地效果。
效果及价值
项目部署后,取得了预期的成果,实现对文本文件、office文档、压缩文件、源代码文件等常用的50多种后缀名的文件管控,包括文件读写操作审计策略、即时通讯审计策略、屏幕控制策略、打印控制策略等10余种。
定义与发现:通过对文档格式的识别和文档内容的感知,实现对终端数据的智能分类、分级及可视化展现,快速精准将敏感数据分类打上标签。
控制与保护:通过外发通道管控,行为审计与追溯等功能与技术,打造完善的数据安全防护系统。
稳定易部署:不对文件染色,不改造业务系统,不影响应用访问速度,不指定文件系统类型、应用程序版本。
此外,方案具备很好的拓展性,可以与安全数据摆渡系统协同,实现跨网或网内不同用户间的数据安全流转;与准入控制系统协同,实现资源访问控制;与零信任系统协同,实现全网零信任访问控制,联合打造更加全面可靠的安全防护体系。
该DLP项目的成功部署,为制造业企业防泄密项目的开展提供了部署实施方面的参考路径,帮助企业有效防止有意或无意的敏感文件外泄行为。
联软科技从2004年进入安全领域以来,专注于企业级网络安全市场,为政企客户提供网络安全产品和服务,在数据防泄密方面积累了丰富的经验。其推出的制造业数据防泄密解决方案,从终端数据安全、跨网数据安全、业务数据安全三个方面提升企业数据安全防护能力,为各行各业数字化转型筑牢防线。