亲,欢迎光临仁创科技! 0512-62861650
图四
联系我们contact_us
    400 8282552
  • 电话:0512-62805514
  • EMAIL:support@rench.cn
  • 地址:苏州园区独墅湖林泉街399号
技术解决方案
您当前的位置是:解决方案>>技术解决方案
仁创应用系统安全解决方案
背景介绍         随着信息化日益普及和完善,以传统纸质文档办公的环境极大的约束了信息的沟通和交流,给信息的传递和交流造成了极大的障碍。为了加快信息传递速度,提高员工工作效率,各个企业根据其自身特点和发展需求陆续建立了相关的业务应用系统,比如常见的OA系统、ERP系统、DRM系统等。此类系统的建设大大加快了信息的传递和办公的效率,逐渐成为支撑信息交换和交流的主要载体。而在各类应用系统运行中,包含了大量的重要敏感数据,应用系统也成了重要的数据存储中心、交换中心和处理中心。 由于应用系统的开放性、便利性和应用广泛性,再给企业业务带来极大便捷的,其特点主要有: ♦        应用系统开放性强,由于网络本身的开放特点,所以使用者可以随时、随地登录到应用系统,访问业务数据,使用敏感资料,乃至对敏感资料下载到终端,甚至存在违规非法存储、肆意传播等现象。比如:在家里办公、出差移动办公、在网吧或者酒店使用公共计算机访问应用系统;
♦        大量数据集中存储,作为企业的业务系统,支撑了整个企业的日常办公和生产流程,因此会具有大量的数据进行集中式存储,包括日常办公数据、生产数据、行政数据等各类敏感和非敏感信息,数据集中存储便于管理,但同时应用系统数据安全使用,亟待提高;
♦        应用系统数据传播广泛,为了加快信息的传递,应用系统的跨部门、跨级别使用也是其基本特点之一。不同部门、不同级别人员间的数据传递和信息沟通,由于没有对数据使用权限进行权限使用控制,极容易造成高敏感度文档肆意传播,被低密级人员查看,造成敏感信息散播,造成信息泄密;
♦        数据脱离应用系统后可控性差,应用系统本身的访问控制机制仅仅可以保证应用系统中数据的被动安全,一旦数据脱离应用系统下载到用户终端,在没有任何控制手段的情况下,无法防止使用者将敏感数据外发肆意传播。
需求分析 根据以上应用系统描述,保护应用系统自身安全及系统中关联的数据安全,提出如下需求: ♦        加强应用系统访问控制,加固业务系统的访问方式,提高安全等级,实现限定终端访问控制+应用系统口令认证的认证机制,代替应用系统传统的简单口令密码的认证机制,防止口令盗用和网吧、酒店不安全的终端上访问应用系统而造成的数据泄密;
♦        数据安全加密,由于应用系统在使用过程中数据可以任意的下载使用,为了防止应用系统的数据泄密,因此从业务中下载下来的数据全部为加密状态;
♦        文档使用权限管控,为了有效保障文档在使用过程中的安全性,防范各种非法手段获取重要文档信息,在具体的文档使用过程中应该可以对文档的权限进行设置,去除用户对文件的非必要使用权限(打印、编辑等)。通过文档级别管理,根据用户级别的不同,对同一份文件具有同的使用权限,提高高级别用户的文档使用便捷性(可随意打印、编辑)、降低较低级别用户的使用权限(限制打印、编辑);
♦        应用系统明文存储,由于业务系统固有的文档存储方式为明文存储,便于系统内部调用或者归档管理,如果对系统存储的文档加密,虽然可以防止这些文档泄密,但会因此造成应用系统对这类加密文档无法识别,甚至造成系统无法使用的情况。因此除了要保证数据从应用系统下载到终端时的加密保护,对于从终端上传应用系统的文档,明文存储于应用系统,保证数据在系统间的调用兼容性。
♦        文档使用审计管理,通过提供丰富的日志信息,以便能够在事后对系统的运行、文档是使用等情况进行监督;
♦        文档保护与应用系统深度融合,结合应用系统,对某些工作流中涉及到文档安全,进行深度整合,可提供代码级整合接口。
仁创 应用系统数据安全解决方案         仁创科技公司经过多年的市场调研和近千家客户实际环境的考察,针对应用系统中存在的安全风险,秉承事前控制,事中管理,事后审计的思想,推出专门针对应用系统安全的仁创应用保护系统(APS),实现对应用系统数据安全的保护。通过本系统可以实现如下: ♦        访问安全,通过加固应用系统的访问,页面准入技术,实现身份安全,防止非法终端登录业务系统,最终实现身份和终端的双重管理;
♦        数据安全,采用高效率、协议级加密技术,保证应用系统的下载文档自动加密,从根本上解决了数据泄密风险。同时,使用者可以根据实际需求,对自身终端产生的敏感信息进行主动加密保护,从主观和客观上进行数据防护;
♦        权限安全,应用系统最大的价值在于信息的快速传递,而信息在使用过程中将处于最大化的风险下,为了保证使用的安全,因此对业务系统中下载的数据进行权限管理,并可以根据阅读人的身份限制或者放开文档的使用权限,细化使用权限,提高管理力度;
♦        上传解密,为了保证存储于应用系统内数据的兼容需求,因此对于从终端上传到应用系统存储文档数据自动明文上传,对于加密文档自动解密上传,解密过程通过安装于各终端的客户端实现,分布式自动解密,可以有效的避免因采用网关设备集中解密而造成的单点故障风险;
♦        外发安全,数据的价值在于传输,为了保证从业务系统中下载数据的安全,APS提供了灵活方便的外发审核机制,提权流程管理,或者对涉密文档进行打包处理,设置访问权限,使用权限及限制使用时间次数,保证外发数据的持续性保护;
♦        审计安全,日志审计是安全建设中最后也是最重要的步骤,APS系统可以针对文件操作、外发流程、文档提权使用申请,访问用户等进行日志审计,并提供智能化的日志报警,简化管理成本,提高管理效率;
♦        SDK开发结合,为了将应用系统文档安全更好的融入到应用系统使用流程中,采用应用系统与SDK开发包结合的方式,加强应用系统工作流程中涉及文档安全的防护。

部署方式


系统架构

方案特点 ♦        针对性强,APS系统不是以某种类型数据保密为出发点,而是针对用户应用系统内的数据进行保密,与文件格式无关,对用户终端本地产生的非敏感信息不予干涉,所需保护的数据针对强;
♦        SDK开发结合,对应用系统内某些特定工作流所涉及的文档,进行针对性保护,应用系统与APS SDK开发包无缝衔接,实现更加细粒度的文档保护;
♦        管理灵活度高,APS提供文档权限管理、审批管理、提权管理、日志管理等多种管理手段,通过组合各种管理手段,更有效的对应用系统内文档权限、数据交换、数据操作等方式进行多维度管理;
♦        效率影响极低,基于分布式的加解密技术,最大程度上的降底了系统对网络与本地计算机的资源消耗;
♦        风险性小,从下线风险角度来考虑,因为APS是基于应用来进行控制,如需下线,企业可以在短期之内迅速解除对应用系统的控制措施,摆脱对厂家的依赖性;
♦        高度的“业务相关性”和“技术无关性”,与所保护的应用系统紧密相关,保护应用系统内数据线上、线下安全,除所保护的应用系统外的其他数据均不受影响。同时系统所采用的技术与具体应用系统类型无关,兼容所有的应用系统。
  • 点击这里给我发消息
  • 点击这里给我发消息