設計行業數據安全方案

大勢至設計行業文件防、設計文檔防泄漏解決方案
 

設計行業概述

設計行業是一個智力密集性的行業，因為設計是大都是由個人或團隊從無到有創造出來的過程，而且必須是具有性的，設計產品的投入越多、性越強，價值也就越高。同時，在設計過程中必然會產生大量的信息和數據，并較終形成重要的設計成果，這些設計成果也是單位重要的無形資產和商業機密，關系到企業的品牌、聲譽，甚至是設計企業的生存。一旦設計成果被非法泄露，將會對設計單位產生重大的影響，因此設計行業也是一個充滿信息安全危機的行業。

設計行業數據應用場景分析

1、設計成果具有重要的價值。設計成果表現為：創意方案、設計圖紙、研究報告等智慧型資產，這些重要數據本身就是設計單位所提供的產品，對單位而言至關重要。

2、創意方案、設計圖紙、研究報告，90%以上都以電子文檔形式存在，且分布在單位內部的服務器與多個計算機終端中，尤其是設計人員的計算機。

3、部分測繪成果數據為涉密數據，根據國家法規和單位的保密協議，單位有責任保護好這部分數據的安全。

4、創意方案、設計圖紙、研究報告等成果性圖紙文檔經常被以產品的形式，一旦被未經的發布或泄露出去，設計單位將面臨著被惡意剽竊、二次風險。

5、創意設計、城市規劃方案、設計圖紙、研究報告，經常被出差人員，拷貝在筆記本或 U 盤內，外帶出單位，面臨著丟失、惡意等風險。

設計行業數據安全威脅

雖然大多數設計單位都建立了完善的設計工作管理制度，并大都和員工簽訂了員工保密之地，并通過物理手段（如門禁制度、專用網絡、專用服務器等）等舉措來加強對設計成果的保護，并確實起到了一定的數據防作用。但由于數據的通道較多，使得員工始終可能通過如下一些通道達到的目的。具體如下：

1、重要數據在發給在客戶或合作伙伴后，面臨著被惡意剽竊、二次風險；

2、重要數據被出差人員拷貝在筆記本或 U 盤后，面臨著丟失、惡意等風險；

3、創意方案、設計素材、成果等服務器，被外部人員非法或內部人員越權訪問的風險；

4、設計人員使用的計算機終端上，存在大量的關鍵數據，存在難以有效管理的風險；

5、設計人員離職帶走大量設計成果，在新單位進行二次利用給原企業帶來利益風險……

6、設計人員主動的行為。設計人員可以通過各種網絡應用，如網盤、郵件附件、軟件發送文件、FTP文件上傳等網絡途徑將設計成果發送到外面去，造成設計成果。

防范建議

大勢至公司經過多年的數據防技術研究，并在各行業用戶的多年實踐經驗的基礎上，為用戶總結了以下一些數據安全威脅防范建議。具體如下：

1、對重要數據（創意方案、設計圖紙、研究報告等）進行集中管理，并進行訪問控制。可以有效解決這些重要數據被外部人員非法或內部人員越權訪問；

2、對設計人員使用的計算機終端進行有效防護，將終端計算機磁盤分成工作區域與個人區域。工作區數據整性體加密保護，在保障內部數據合理使用的同時，又能有效防止終端上的主動（內部人員通過打印、拷貝、郵件、傳輸、藍牙等手段，帶走數據）、被動（計算機上的病毒竊取圖紙文檔）；

3、同一計算機終端上的個人區域的數據使用不受限制，可以上網、使用 U 盤外設等。不必為一個人配備兩臺電腦；

4、在不同計算機終端的工作區域以及服務器之間，圖紙文檔是可以順暢流轉使用的，不受任何限制，只是在圖紙文檔等數據離開工作區外才進行必要的限制措施。不妨礙設計單位內部的協同辦公；

5、外發這些重要數據時，須經過審核，并采用離線控制策略，有效防止惡意剽竊與二次；比如：打開時間、次數、是否可用復制、打印、修改等，并且可以設置過期自動銷毀；

6、在外帶這些重要數據時，可以采用對存儲圖紙文檔的 U 盤等移動存儲設備，進行加密處理，避免因存儲設備丟失而導致的問題；

7、部署產品，但是不能影響設計人員的工作效率、不占用較多的系統資源，并可兼容多種平臺系統與各種應用軟件。

大勢至核心數據防方案

作為國內的信息安全防廠家，大勢至公司通過在信息安全行業多年的數據防技術研究，具有明顯優勢的信息防產品的潛心研發，以及多年的信息安全系統集成多年的實踐經驗，為用戶推出了如下針對設計企業的數據防方案。

1、關鍵文檔的透明加密技術

通過“大勢至電腦文件加密系統”，可以對需要保護的各類電子文檔進行批量加密，加密后的文檔只能在內部使用，未經許可，無論采取什么方式被帶離內部環境以后，文檔均無法打開。加密*透明，不影響用戶原有的文檔操作習慣；支持多達三十余種常見的電子文檔格式，并能夠根據用戶實際需要進行免費定制擴展；支持按文檔類型加密或只加密特定文檔。

2、電腦文檔訪問權限設置

1）移動存儲管控

規范移動存儲設備在企業內部的使用，可以禁止外來 U 盤在企業內部使用，做到外盤外用；同時還可對內部的移動盤進行整盤加密，使其只能在企業內部使用，做到內盤內用。

2）終端設備控制

能夠限制USB設備、刻錄、藍牙等多種計算機外部設備的使用，有效防止信息通過外部設備泄露出去。

3）網絡通訊控制

控制用戶經由 QQ、MSN、飛信等即時通訊工具和 等網絡應用發送機密文檔，同時還能防止通過上傳下載和非法外聯等方式泄露信息。

4）文檔傳播審計

細致記錄文檔通過打印機、外部設備、QQ、MSN、飛信等即時通訊工具、郵件等工具進行傳播的過程，有效防止重要資料被隨意復制、移動造成外泄。

大勢至公司針對用戶的這些需求，推出了“大勢至電腦文件防系統”（下載地址：/monitorusb.html），通過在員工電腦安裝部署之后，就可以*禁用U盤、移動硬盤等USB存儲設備，同時還可以禁止用戶通過郵件、網盤、FTP文件上傳和軟件發送文件的方式將單位的重要電腦文件（如圖紙、源代碼、設計作品）等發送出去，從而保護了單位的無形資產和商業機密。 

同時，本系統還可以保護操作系統關鍵位置，禁止員工隨意修改注冊表、組策略、設備管理器等，防止員工通過技術手段試圖繞開系統監控的行為，保護了操作系統自身的安全，也間接保護了用戶電腦文件的安全。 

此外，系統基于高強度的、的自我防護功能，可以防止員工通過技術手段卸載、破壞等行為的發生，保證可以實現持續的、全面的電腦文件安全管理。

3、共享文檔操作權限控制

通過“大勢至局域網共享文件管理系統”可以全面保護設計單位局域網共享文件的安全，可以只讓讀取共享文件而禁止復制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤，以及禁止拖拽共享文件或打印共享文件，防止用戶在訪問共享文件的同時將共享文件存儲到本地磁盤，然后通過各種管道泄露出去的行為。

通過本系統還可以根據不同用戶設置共享文件的訪問權限，并可以形成詳細的共享文件訪問日志，可以記錄訪問者的IP地址、MAC地址和主機名等信息，從而便于管理員事后備查和審計，進一步保護了共享文件的安全。

總之，規劃設計行業數據防相對于其他行業更為重要，管理工作也更為復雜。這就需要設計單位一方面需要從制度、管理、激勵等企業內控方面做足工作；另一方面也需要配合物理、技術手段等層面進行有效的管控，只有這樣才能實現效果較大化的企業數據防，較大限度保護單位設計成果、重要電子文檔的安全，達到保護單位無形資產和商業機密的目的。