ERP,PDM 等业务系统
防泄密解决方案
需求概要:
一般企业内部都会有 ERP OA ,文档管理系统, PLM/PDM SVN/VSS/CVS ,文件共享等一些存放企业核心数据的业务系统,这些业务系统被使用的方式大多数是 B/S 架构,或者 C/S 架构,或者文件共享,因其内部存放了公司的核心数据,所以企业的经营者希望业务系统在被使用的过程中,进行一定的防泄密措施,在不影响正常的浏览阅读,编辑修改,上传下载等正常业务需要的前提下,需要防止数据另存,内容复制粘贴, U 盘拷贝,邮件,甚至是屏幕截图等。这些服务器,有的是 windows 的,有的则是 linux 的。员工使用业务系统的方式各种各样,一般多为网页浏览,文件共享, FTP Telnet 等,个别是基于 http/https 的访问(如 SVN ,特殊客户端)。需要针对这种工作场景,在不影响工作便利性的同时,进行有效的数据防泄密。
 
目前,一般的业务系统在使用过程中,可能导致的泄密途径大致有:
- 在访问业务系统的时候,屏幕内容通过截屏键截图或者截屏软件进行截屏或录屏,导致信息外泄。
- 在访问业务系统的时候,系统内的页面,文档,图片可以下载或者另存到本地,然后经过邮件, u 盘,网络等各种泄密途径传播。
- 在访问业务系统的时候,浏览的内容,表单,图片,文字等通过剪切板复制粘贴方式复制到业务系统外,然后通过文件另存,或者直接贴到 IM 中发送脱离业务系统。
 
有些企业,已经采取了一下防护措施,但是一般效果都非常差:
- 措施一:断网,内外隔离 ----- 影响工作效率,并且无法防止把数据复制到新接入的电脑上。
- 措施二:安装监控软件 ------ 电脑进入安全模式或者用 WinPE 重新启动或者重新安装操作系统后,就可以自由访问业务系统并不被监控。新接入的电脑也能访问业务系统不受监控。
 
有没有一个不影响工作效率,不影响业务系统正常使用,并且可以彻底杜绝数据扩散的系统呢?
 
国内著名的专业防泄密解决方案厂商 -- 深信达公司推出的沙盒服务器防泄密解决方案,可以彻底解决上述问题。
 
沙盒服务器防泄密解决方案:
深信达公司的SDC沙盒服务器防泄密解决方案,首先需要对服务器进行涉密和非涉密划分,把承载企业核心业务,有机密数据的业务系统划为机密范畴,把普通的业务,或者互联网访问等划为非涉密范畴,划分方式可以以服务器为单位,也可以以业务系统为单位进行划分,然后对于涉密部分,进行通过深信达沙盒服务器/客户端部署,形成一个涉密的,任何资源都只进不出,要出必须走审批的涉密沙盒工作环境。当部署好SDC沙盒系统之后,效果如下图所示:
SDC沙盒部署示意图
上图中,红色虚线圈起来的部分为涉密部分,机密服务器访问控制情况如下图。
 
沙盒机密服务器
(windows)
机密服务器
(linux)
普通服务器/互联网
(windows/linux)
沙盒轻型客户端
自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。
支持B/SC/S架构的ERP,PDM,文档管理等业务系统
自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。支持B/SC/S架构的ERP,PDM,文档管理等业务系统
可以只读方式访问,访问过程中数据只进不出。或者允许自由访问,但是无法上传任何涉密数据。
 
 
 
 
 
 
 
 
沙盒重型客户端
自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。
支持B/SC/S架构的ERP,PDM,文档管理等业务系统,支持各种研发机构的源代码开发模式。
自由访问,问到的数据都是防泄密的,包括复制,另存,截图,上传等所有泄密途径。
支持B/SC/S架构的ERP,PDM,文档管理等业务系统,支持各种研发机构的源代码开发模式。
可以只读方式访问,访问过程中数据只进不出。或者允许自由访问,但是无法上传任何涉密数据。
 
非沙盒客户端
无法访问
无法访问
自由访问
 
补充说明:
1)沙盒轻型客户端和沙盒重型客户端的区别为:当涉密数据是普通文档,或者B/S架构应用的时候,使用轻型沙盒。如果客户端有VS等源代码开发或者大型复杂图纸开发的时候,使用重型沙盒客户端。
2)访问服务器的方式可以是远程桌面,网页浏览,文件共享,SVN/CVS/VSS/GITTelnetFTPTcp/IPsocket)等各种常用访问方式。