防止内部员工泄密系统白皮书的方法技巧
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题,本文主要介绍了大势至企业数据防泄密、文件防泄密系统,以及如何防止内部员工泄密,需要的朋友们可以参考下!
第一章前言
当前,由于计算机和网络技术的飞速发展,企业信息化的深入开展和应用,使得企业员工上班工作大多通过计算机网络来进行,并将工作中形成的大量文件、无形资产和商业机密信息等借助于计算机、网络存储设备进行储存,而这些机密信息关乎企业的稳健经营和经济效益,如何保护这些商业机密的安全,已经成为企业网络管理甚至是企业管理的重要方面。
但是,当前国内,很多涉密的企事业单位都把自己的注意力放在了防止外部入侵即网络边界安全,而恰恰忽略了身边的威胁——内部泄密。据FBI和CSI曾对484家公司进行的网络安全调查结果显示:超过85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。企业若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累积的技术资产和研发投入成为他人的嫁衣,甚至可能因此导致企业失去竞争力。企业还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较成熟的体系。这得益于一个还不为广大企业所知的行业——信息防泄密行业。信息防泄密从这个行业诞生时刻开始就致力于保护国家秘密,维护国家涉密内网安全,防止涉密信息泄漏。随着企业保护核心信息的需求日益增长,信息防泄漏行业也开始逐渐为广大企业提供信息安全服务。
作为一家专注企业上网行为管理、信息安全防护的专业厂家,大势至(北京)软件工程有限公司针对当前危害企事业单位商业机密的安全的严峻现实,结合自己多年来服务于企事业单位、国家政府机关积累的经验,并通过研发团队对信息安全防泄密技术的深入探索、研发,推出了当前国内信息防泄密功能最全面、操作最简单、部署最快捷的领先信息安全产品——大势至电脑文件防泄密系统。可以广泛应用于国内各行业企事业单位、政府机关、军队等机构,全面保护单位内部重要的电脑文件、机密信息的安全,严防通过各种管道泄密的风险发生。
大势至电脑文件防泄密系统(下载地址:http://www.grabsun.com/monitorusb.html)是一款专门控制电脑USB端口使用、管理USB存储设备接入以及防止电脑文件通过各种途径泄密的电脑文件防泄密软件。系统不仅可以完全控制USB存储设备的使用,防止通过USB存储设备泄密,而且还可以完全防止通过邮件、网盘、聊天软件、FTP上传等方式泄密。同时系统还集成了全方位的自我防护功能,可以防止通过第三方软件或使用者恶意卸载或破坏,从而可以实现真正的电脑文件安全管理。
大势至电脑文件防泄密系统由五大功能模块组合:USB存储设备管控模块、电脑外设管控功能模块、网络防泄密模块、操作系统关键位置防护模块、系统自我防护模块。
大势至电脑文件防泄密系统功能强大,可完全控制优盘(U盘)、移动硬盘、数码相机、MP3以及其它USB存储设备的读写,有只读、只写、阻止、放行、写标识和标识识别、透明地加密和解密等模式;大势至电脑文件防泄密系统除可管控USB端口以及USB存储设备外,还可控制其它的外围设备,如:软驱、1394火线、红外设备、磁带设备、蓝牙设备、无线网卡、调制解调器、PCMCIA卡、COM端口和PLA口、打印机机控制、3G网卡等,同时还可以禁止员工私自安装新硬件。
大势至电脑文件防泄密系统可自动识别插入的设备是USB存储设备还是非存储设备,不会影响USB鼠标、键盘和打印机的正常使用。只有管理员才能登录设置界面更改USB端口设置,也只有管理员才能关闭或卸载软件。且系统一经安装,开机后自动启动并隐藏运行,除管理员之外不能被恶意地删除、终止、卸载和破解。
管理员可以对任意的USB存储设备写入标识并对其设定一个使用权限,利用本系统将机器的USB端口封锁的情况下,只有写过标识的盘才可以在指定的机器上使用,拿到未经授权的机器上不可用,或只让写过标识的盘在公司内部通用,未经授权的U盘或者外来的U盘不可用。系统运行安全稳定可靠,不影响Windows系统运行效率。
同时,大势至电脑文件防泄密系统还可以完全阻止通过邮件、网盘、FTP文件上传、聊天软件发送文件、蓝牙、PCI卡、无线设备、随身wifi、光驱刻录等等各种途径泄露电脑文件的行为,全面保护电脑文件安全。
二、产品架构
1、系统功能模块
大势至电脑文件防泄密系统主要有以下几个功能模块组成:
1)USB存储设备管控模块:可以实现禁用、只读、只写、只让特定USB存储设备使用,向USB存储设备复制文件必须输入密码等;
2)电脑外设管控功能模块:可以完全禁用光驱、软驱、蓝牙、随身wifi、无线网卡、PCI网卡、1394端口的使用,可以严防通过上述外接设备泄密;
3)网络防泄密模块:可以有效防止邮件、网盘、聊天软件、FTP、论坛等网络途径泄密。
4)操作系统关键位置防护模块:可以完全控制注册表、组策略、设备管理器、计算机管理等关键位置的使用,防止随意修改操作系统关键位置而绕过系统监控的情况。
5)系统自我防护模块:集成全面的自我防护,防止随意卸载或被第三方软件拦截、破坏的情况发生,保护了系统安全。
(图:系统功能模块)
2、系统功能列表
大势至电脑文件防泄密系统集成了电脑文件安全管控功能,可以防止U盘、移动硬盘、网盘、邮件、QQ发送文件、蓝牙、光驱、软驱、PCI卡等所有可能的途径泄密的行为,全面保护电脑文件安全,保护单位无形资产和商业机密。
(图:商业机密信息泄密管道)
大势至电脑文件防泄密系统详细功能如下:
1)可以完全禁止使用U盘、移动硬盘、SD卡、手机等USB存储设备。
目前,同类软件对USB存储设备或移动设备的控制,常常是基于修改注册表或USB驱动或隐藏盘符的方式来实现的,这种方式对于控制U盘使用有一定的作用,但是对于SD卡、移动硬盘,尤其是手机、平板电脑等带有存储功能的设备(现在智能手机动辄几十G的容量可以存储很多文件)常常无能为力,因为这些设备虽然采用USB接口进行传输,但是通讯协议则完全不同,加之第三方软件(如手机助手)的协助,使得通过注册表、修改USB驱动或隐藏盘符的方式很难有效应对此类存储设备,同时也极容易被一些稍懂技术人的通反向修改注册表、修复USB驱动或通过修改组策略而重新显示隐藏的设备而轻松绕过。
因此,当前国内同类限制U口使用的软件常常面临着功能上和安全上的不足和漏洞,无法充分保护电脑USB接口的安全。而大势至电脑文件防泄密系统采用Windows最底层的HOOK技术和文件驱动技术,可以在操作系统内核实时阻断USB设备接入以及用户向设备拷贝文件的动作,从而可以完全不受注册表、USB驱动或组策略的影响,理论上可以完全禁用一切带有USB存储功能的设备,最大限度保护了用户的信息安全和商业机密。
2)完全禁用光驱、软驱的使用,同时还可以只禁止光驱刻录、限制刻录光驱的使用而不影响光驱播放功能。
目前,同类软件常常只能通过注册表、光驱驱动或组策略的方式来禁止光驱使用、禁止软驱使用。这使得这种方式一方面极容易被绕过或突破,另一方面也无法精确区分光驱的播放或刻录功能,不利于对光驱和软驱实现精准的控制。
3)完全禁用电脑COM口、禁止电脑端口使用、禁止打印机等外接设备的使用。
目前,大势至电脑文件防泄密系统可以完全禁用蓝牙、禁用串口、禁用并口、禁用1394口、禁用红外传输、禁用PCMCIA、禁用无线网卡、禁用有线网卡、禁用调制解调器等端口设备,从而防止了通过上述端口设备来外传或泄露公司商业机密的行为。同时,大势至电脑文件防泄密系统还可以根据用户的需要实时增加新出现的端口设备和最新出现的通讯技术而增加新的功能控制模块,从而可以实时、全方位保护电脑信息安全和文件安全。
4)全面保护操作系统的安全,禁止修改注册表、组策略、设备管理器、计算机管理、开机启动项,禁止进入电脑安全模式。
大势至电脑文件防泄密系统是国内独家集成了对操作系统全方位控制的安全软件。目前可以有效禁用注册表、禁用设备管理器、禁用组策略、禁止进入电脑安全模式、禁止任务管理器、禁止U盘启动电脑、禁止光盘启动操作系统等等功能,从而一方面极大地保护了操作系统自身的安全,另一方面也有效地保护了大势至电脑文件防泄密系统的安全,防止被控制电脑企图通过各种方式来破坏本系统的正常工作。
5)全面防止员工卸载、防止被杀毒软件误杀或拦截等,集成对杀毒软件的特别防护。
作为一款基于Windows内核技术构建的网络安全软件,由于运行在操作系统内核,同时在运行过程中要执行一些安全探测工作。因此,不可避免地被一些杀毒软件、网络安全防护软件视为病毒、木马而杀掉或拦截,从而影响了本系统功能的发挥。因此,我们集成了对第三方软件的防护功能,可以完全阻断当前国内所有主流杀毒软件、电脑安全软件对本系统的拦截和误杀,从而完全保证了本系统的正常工作。
总之,大势至电脑文件防泄密系统已经从单纯的管理电脑USB接口的软件,正在转变成一款有效管理电脑各种设备运行、加固操作系统安全的专业电脑安全管理软件,可以提供从电脑设备管理、操作系统安全加固、电脑信息安全和商业机密保护全方位的解决方案。
6)可以设置允许或禁止的程序白名单、黑名单以及禁止或允许网址访问的白名单和黑名单。
大势至电脑文件防泄密系统新版本中增加了禁止运行的程序黑名单和只允许运行的程序白名单,以及禁止访问的网址黑名单和只让打开的网址白名单,从而可以实现禁止员工运行某些程序或只让电脑运行某些程序,同时也实现了禁止员工访问某些网站或只让员工访问某些网站的功能,实现了对员工上网行为的管理,防止员工随意安装程序、随意浏览网址的行为。
7)全面禁止随身wifi、wifi共享精灵以及wifi万能钥匙等无线设备,防止网络不适当扩展。
当前,各种网络热点(类似于无线路由器)的工具的出现,使得员工可以轻松在自己电脑的USB端口来使用这些工具(尤其是以360随身wifi、百度随身wifi为代表)为自己的笔记本电脑、手机或平板电脑提供无线上网功能,从而一方面可以用于自己的娱乐、网购、下载或网址浏览等行为,另一方面也抢占了公司网络资源,并且对信息安全、网络安全造成潜在的威胁(员工可以轻松将电脑的重要文件通过无线传输发送到自己的笔记本电脑、手机或平板)。
因此,大势至电脑文件防泄密系统在新版本中实时增加了对这些随身wifi的控制,并实时跟进对市面上新增的随身wifi或类似工具的屏蔽功能,管理员工上网行为,保护电脑安全和商业机密。如下图所示:
(图:禁止随身wifi)
对于wifi共享精灵、wifi万能钥匙等无线wifi共享软件,由于其运行必须依赖于电脑自身的无线网卡,因此可以勾选“禁用无线网卡”来屏蔽其使用;如果需要用无线网卡,那么可以通过“禁止打开的程序”这里,添加禁止安装或运行的软件名称,例如“wifi共享精灵”,添加后这台电脑就无法使用wifi共享精灵软件了。如下图所示:
(图:禁用无线网卡、禁止打开的程序)
8)禁止邮件发送、网盘上传、论坛附件上传、FTP上传、只让特定QQ号登陆、只让特定阿里旺旺账户登陆、禁止QQ发送文件、禁止QQ群共享文件上传等。
在企事业单位局域网中,不仅可以通过电脑USB端口、USB存储设备拷贝电脑文件,而且还可以通过邮件附件发送、网盘上传、论坛上传附件、FTP外发、QQ发送文件、QQ群共享文件上传等方式泄露公司商业机密,为此大势至电脑文件防泄密系统集成了对上述网络应用程序的控制功能,可以完全防止通过网络泄露商业机密的行为,最大限度保护了单位的无形资产和商业机密。
此外,大势至电脑文件防泄密系统在禁止邮箱使用、屏蔽邮件附件发送的同时还可以只让使用特定邮箱、只允许使用某些邮箱,从而实现了灵活的邮箱使用控制。
9)独家既支持单机安装、单机管理,又支持基于C/S架构的服务端和客户端的管理,从而方便了用户的使用。
总之,大势至电脑文件防泄密系统是当前国内禁止电脑U盘、禁止电脑USB存储设备或其他外接设备功能最全、封堵最强,同时也是操作最简单的电脑信息安全防护软件,可以帮助企事业单位全面保护电脑重要文件的安全,防止随意拷贝、泄露等情况的发生,全面保护单位无形资产和商业机密。
10)可以为用户进行个性化定制,随时禁止各种电脑设备、禁止修改操作系统任何配置,全力保护电脑安全和商业机密。
大势至研发团队凭借在网络管理、网络安全防护领域多年的技术积累,可以实时为用户定制各种电脑管理功能,从而满足了用户个性化的、实时的网络管理需要。禁止使用手机存储就是大势至公司应国内某些客户的要求而开发的,也是同类USB控制系统无法做到的。
11)独家提供实时的“人工现场”支持服务,免除用户的后顾之忧。
用户只需要在系统界面上点击“远程协助”,然后将弹出的远程协助软件生成的ID和密码告诉我们,便可享受大势至公司专业技术人员的实时人工远程支持服务,此远程协助软件速度比同类软件(如QQ远程协助)快2倍,媲美于人工现场操作,彻底免除用户的后顾之忧。