ERP,PDM等业务系统防泄密解决方案的几个要点

ERP,PDM等业务系统

防泄密解决方案

需求概要：

一般企业内部都会有ERP，OA，文档管理系统，PLM/PDM，SVN/VSS/CVS，文件共享等一些存放企业核心数据的业务系统，这些业务系统被使用的方式大多数是B/S架构，或者C/S架构，或者文件共享，因其内部存放了公司的核心数据，所以企业的经营者希望业务系统在被使用的过程中，进行一定的防泄密措施，在不影响正常的浏览阅读，编辑修改，上传下载等正常业务需要的前提下，需要防止数据另存，内容复制粘贴，U盘拷贝，邮件，甚至是屏幕截图等。这些服务器，有的是windows的，有的则是linux的。员工使用业务系统的方式各种各样，一般多为网页浏览，文件共享，FTP，Telnet等，个别是基于http/https的访问（如SVN，特殊客户端）。需要针对这种工作场景，在不影响工作便利性的同时，进行有效的数据防泄密。

目前，一般的业务系统在使用过程中，可能导致的泄密途径大致有：

-在访问业务系统的时候，屏幕内容通过截屏键截图或者截屏软件进行截屏或录屏，导致信息外泄。

-在访问业务系统的时候，系统内的页面，文档，图片可以下载或者另存到本地，然后经过邮件，u盘，网络等各种泄密途径传播。

-在访问业务系统的时候，浏览的内容，表单，图片，文字等通过剪切板复制粘贴方式复制到业务系统外，然后通过文件另存，或者直接贴到IM中发送脱离业务系统。

有些企业，已经采取了一下防护措施，但是一般效果都非常差：

-措施一：断网，内外隔离-----影响工作效率，并且无法防止把数据复制到新接入的电脑上。

-措施二：安装监控软件------电脑进入安全模式或者用WinPE重新启动或者重新安装操作系统后，就可以自由访问业务系统并不被监控。新接入的电脑也能访问业务系统不受监控。

有没有一个不影响工作效率，不影响业务系统正常使用，并且可以彻底杜绝数据扩散的系统呢？

国内著名的专业防泄密解决方案厂商--深信达公司推出的沙盒服务器防泄密解决方案，可以彻底解决上述问题。

沙盒服务器防泄密解决方案：

深信达公司的SDC沙盒服务器防泄密解决方案，首先需要对服务器进行涉密和非涉密划分，把承载企业核心业务，有机密数据的业务系统划为机密范畴，把普通的业务，或者互联网访问等划为非涉密范畴，划分方式可以以服务器为单位，也可以以业务系统为单位进行划分，然后对于涉密部分，进行通过深信达沙盒服务器/客户端部署，形成一个涉密的，任何资源都只进不出，要出必须走审批的涉密沙盒工作环境。当部署好SDC沙盒系统之后，效果如下图所示：

 

SDC沙盒部署示意图

上图中，红色虚线圈起来的部分为涉密部分，机密服务器访问控制情况如下图。

沙盒机密服务器 (windows)	机密服务器 (linux)	普通服务器/互联网 (windows/linux)	​
沙盒轻型客户端	自由访问，问到的数据都是防泄密的，包括复制，另存，截图，上传等所有泄密途径。 支持B/S，C/S架构的ERP,PDM,文档管理等业务系统	自由访问，问到的数据都是防泄密的，包括复制，另存，截图，上传等所有泄密途径。支持B/S，C/S架构的ERP,PDM,文档管理等业务系统	可以只读方式访问，访问过程中数据只进不出。或者允许自由访问，但是无法上传任何涉密数据。
沙盒重型客户端	自由访问，问到的数据都是防泄密的，包括复制，另存，截图，上传等所有泄密途径。 支持B/S，C/S架构的ERP,PDM,文档管理等业务系统，支持各种研发机构的源代码开发模式。	自由访问，问到的数据都是防泄密的，包括复制，另存，截图，上传等所有泄密途径。 支持B/S，C/S架构的ERP,PDM,文档管理等业务系统，支持各种研发机构的源代码开发模式。	可以只读方式访问，访问过程中数据只进不出。或者允许自由访问，但是无法上传任何涉密数据。
非沙盒客户端	无法访问	无法访问	自由访问

补充说明：

1）沙盒轻型客户端和沙盒重型客户端的区别为：当涉密数据是普通文档，或者B/S架构应用的时候，使用轻型沙盒。如果客户端有VS等源代码开发或者大型复杂图纸开发的时候，使用重型沙盒客户端。

2）访问服务器的方式可以是远程桌面，网页浏览，文件共享，SVN/CVS/VSS/GIT，Telnet，FTP，Tcp/IP（socket）等各种常用访问方式。