第三点就是我们要定义。
根据刚才我们说的要定义有效的策略。我们的防泄露策略,我们有九大策略。左边的数字代表我们目前在江苏地税的无锡局已经形成了策略的数量。我重点讲其中几条就可以了。
第一条,我们建立了68条,里面可以看到BS、CS和数据库,这是我重要要说的内容。因为我们现在使用大集中,都是通过浏览器去访问的,你是基于浏览器的业务应用和业务访问,那么我们怎么去保护通过异地来访问其他地方的业务系统,其实这就是我们BS的防护策略。
第二条就是CS,像我们稽查局会有这种电子查帐的软件,这个基本上就是需要有客户端软件,所以这是CS的防护策略。
还有数据库的工具。因为现场有第三方的像中软这样的一些开发商,一些数据库的运维人员,他们经常会使用高达几十种的数据库工具,那么这些数据库的数据的导出怎么去管理,那么这是我们数据库的管控策略。
我们这里初步建设了68条。
第三条是我们的数据流转。
第四是我们的登陆审计。这个登陆审计非常有价值,现在我们大集中只要你有领导的账号,找台电脑登上去就可以了,因为领导的权限都比较大,看到的业务菜单都比较多。稽查局这样两个人员、两个账号,但是他的权限也相当大,因为你看到的都是高度敏感的信息,还有房产业务查询出来的,那估计是更加敏感、更加爆炸的信息,怎么办呢,所以登陆审计,如果你不是使用的自己的账号,我们要对你进行告警,所以我们登陆审计这一块主要解决账号的滥用、盗用和非授权的使用,主要针对的都是我们的业务账号。
后面我们的屏幕控制,就是通过屏幕水印的方式来解决拍照的问题。
第五就是敏感信息的过滤。刚才提到的房产业务,就是我们可以把一些房产的敏感的东西,付款人、房屋的地址,通过一些特殊的手段把它可以过滤掉,当然有权限的人可以看到,没有权限的人就无法看到。
同时我们对这种高敏感的页面会做审计,高敏感的页面的访问、高频率的访问,我们也会做相应的统计和分析。
文件的追踪也非常有意思。那么试想某一天,我们通过与政府的舆情系统突然发现一份文件是我们在座的某一个单位的数据,它里面可能提到某一个省的经济的数据,但是你也不能确定这个文件到底是不是我们的人员流出去的,怎么办呢,我们只需要把这个文件通过百度文库或者豆丁网,我们把它下载下来,导到我们的系统里面,发现一下就可以了。我们就会告诉你,这个文件从我们系统里面最后是从哪个设备出去的,同时它在内部的流转路径我们可以看的非常清楚。所以这是文件最终的追踪,而且这个文件不需要做任何的变化。所以我们这个文件追踪,目前这个追踪技术我们也应用在中国移动。
打印审计,比较简单,不多说。
接下来的第四部分就是实施我们这样的一个防泄露策略比较直观的效果。
第一点,就是刚才提到的登陆审计。登陆审计,我整个一个省有几万个账号,两三万个账号,其实我们要做审计的主要是那些特权的账号,可能就那么几百个。因为特权的账号,因为它的权限比较大,业务菜单比较多,涉及到的信息更加的敏感,所以这一点是非常重要的。
那么针对这些特权账号的审计与客户端的这种告警,然后告诉使用者要规范自己的行为。
第二点,就是我们的敏感信息的过滤。
没有过滤前,你可以看到所有的信息是非常完整的,过滤以后我们发现原本可以看到的信息,被替换掉了。当然能看和不能看是依据策略的权限,根据你账号的权限,根据账号来的,并不是对所有人都有影响。
第三点,就是屏幕水印。其实它基本上不会影响到我们的正常使用。因为我们现在已经在办税的服务大厅和营业大厅,基本上全部都采用这样的策略。因为它的透明度,以及显示的信息、大小、颜色、位置、坐标等等我们都是可以自定义的,所以我们可以做到非常的透明化。然后如果不小心别人拍了照,上传上去之后,其实我们可以看到告诉你这是哪个IP、哪个麦克、哪个账号出来的,因为上面的这些信息全部是动态的,所以这是我们的第三点,自动加载屏幕水印。而且呢,举一个简单的例子,左边是我们访问的OA,OA是我们不保护的,因为目前不是我们的管控范围。右边你访问的是我们的大集中,OA就没有水印,大集中就有水印,所以我们这个水印相对来讲是比较智能的。
第四点,就是文件追踪。
这里举了一个简单的例子,其实你可以看到我们文件追踪的ID,这个ID我们可以做到36的14次方,因为是16位的,0-10,A-Z这样的字母形成的,那么这个追踪ID,因为刚才我提到了,我们不需要对文件做任何的改动。说的简单一点,你用A流转A到你的员工,又流转到你外部的一个合作伙伴也好,或者就是你不小心传到了网上了,我们只需要找到这个文件下载下来,导入我们的平台,比对一下这个ID就可以了,所以它的方法是非常简单的,就跟我们刚才防伪一样,就是只需要比对一下,如果没有比对出来,说明这个文件不是从我们这边出去的,我们就免责了。
第五点,也是我们比较大的一个创新点,我们称为O盘,目前我们叫税务的工作盘。这个对于我们的工作方式略微有那么一点点的变化,目前我们登陆大集中、我做一些查询,我可能导出几十万条记录。其实你这个文件你存放的时候存到什么地方都是可以的,这是现状。但是上了平台以后,只能保存到你的工作台,其他的位置禁止存储。其实就是跟我们项目建设的一个目标和出发点是一样的,因为我们保护的对象是业务系统,你在OA里面下载这样一个通知、通告,你随便保存到什么地方都可以,但是你在大集中里面查询以后,你下载的文件只能保存到我们的税务工作盘,就是我们的O盘,所以我们这里做了一个简单的对比。同时因为我们的文件数据产生的来源,因为我们说的是业务系统,一般有三个来源。第一就是我们的业务系统,主要是大集中。第二是我们的数据库,第三就是终端上现有的文件。因为有的工作者,就是已经做了十几年的工作,他的文件在电脑里面可能已经形成了若干个G,那么这些我们也要去保护啊,所以除了业务系统和数据库以外,那么针对现有的终端上存储的文件我们根据关键字技术,把它做发现,然后进行迁移到我们的税务工作盘,同时我们在原位置留下影子文件,对用户的使用,以及他的一些记忆做到免干扰,这样不需要到O盘里面找这个文件了,只需要到原位置去顶,因为我们留了一个影子,这也是我们的一项新技术。
第六点,就是我们的数据的流转,我们分为内部流转和外部流转。这个比较简单,如果根据原则,有权限的你可以看这个数据,那么在什么地方看呢,在O盘里面看,没有权限的,不管你放在什么地方,放到O盘里面,同样都是可以的。所以我们做了数据流转。
外部的话,主要用于第三方共享,因为咱们税务系统跟第三方的业务部门经常会数据共享,所以我们有一个外部的流转的一个示意,主要通过审批的手段来执行,同时配合审计。
第七点,我们整个平台的建设的一个精华,画龙点睛的地方,800多项数据全自动生成。那么像在无锡的话,我们大概有24个业务单位,然后我们每个月度都会生成这份报告,然后再通过人工判断一下这些数据的准确度,再进行一些修正,最终我们每个月会生成这样的月度报告,那么这个报告就是我们的风险报告,把我们月度的数据、违规的行为的视图数据,还有我们风险的数据、三分的数据、流转的数据、把这些数据全部做统计分析,最终形成这样一份非常有意义的一个风险报告。
那么平台的四点价值,第一点就是我们数据的导出可控,第二点操作行为留盘,第三点就是数据的安全共享,对于我们一二三方的数据使用,以及增值数据的利用,都是可以做到一个有效的管理,最后就是我们通过这种数据可视化的手段,做这样的一个风险的视图。
最后一分钟时间,简单介绍一下我们联软。 在座的可能有的知道我们联软,有的可能还不太清楚。联软是深圳的公司,我们去年也是深圳市的重点软件企业。然后我们实际上我们的准入控制,我们联软公司只做安全。准入控制是我们的拳头产品,沪深两地交易所已经运行了八年以上。在这样的一个准入控制的基础之上,我们近几年发力,在数据防泄露领域,我们很有可能在未来的几年对在这个行业我们会有非常大的一个发展。因为这个要取决于我们整个的理念是跟其他厂商是不一样的。
对于我们的理念的总结,第一点,对象是业务系统。第二,不改造。第三,就是易实施。第四,见效快。所以这就是我们平台建设的一个公司的理念,就是我们做这套平台的理念。
最后做个总结。 因为我们专注于防泄露领域,所以我们的理念是不同的。因为我们在产品和平台的开发过程中,我们使用了很多的创新的一些技术,所以我们更加的专业。 这是我的一个简单的介绍,如果大家对于我们这个平台感兴趣的话,可以到我们展台领取一份案例的介绍。
谢谢大家!