用户背景

汽车制造企业在日常的办公过程中,网络作为必备的工作沟通工具,其中存在着大量的明文数据,这些数据在无严格管控体系的情况下被广泛使用,数据泄露风险巨大,且随着使用周期的增长,时间的累积,风险也会呈几何级数增加。在企业的信息安全管理过程中,对网络传输中内容识别、图片内容的深度识别与分析、违规信息的过滤阻拦的技术使用需求强烈。同时,对敏感信息外发事件存档并用于后期审计,便于按照规定时间、发送者等信息执行相应违规、离职等审查工作的需求也日益凸显。

因此,通过启动网络数据防泄露系统设备的实施项目,建设敏感数据网络防泄露系统,深度识别外发数据内容,结合灵活的防护策略,实现对违规涉密涉敏感数据通过网络外发的实时监控、告警与阻拦;记录敏感数据外发行为,提升事后的行为审查等能力。

需求痛点

近年来随着信息技术的迅猛发展,互联网及邮件系统目前已经成为日常工作交流的普遍通信方式。与传统的信息传输模式相比,互联网及邮件系统具有很强的时效性、便捷性。但随着网络应用的广泛应用,把文本信息、文件、图片等通过互联网方式发送,随之而来的安全问题也日渐凸显,尤其敏感信息泄露事件也越来越多。汽车制造企业下属的设计院、生产工厂、分销公司因各自的职能领域不同,所涉及的敏感数据类型也各不相同。如设计院主要包含设计图纸、研发代码等数据类型;生产工厂主要包含机械图纸、排产计划等数据类型;而分销公司包含战略计划、销售报表等内容。这些不同类型的敏感数据在日常的办公经营过程中,通过网络和邮件以互联网或专线通道发送传播。网络作为必备的工作沟通载体,其中存在着大量的明文数据,这些数据在无严格管控体系的情况下,被广泛使用,数据泄露风险巨大,且随着使用周期的增长,时间的累积,风险也会呈几何级数增加。

汽车制造企业对网络传输中内容识别、图片内容的深度识别与分析、违规信息的过滤阻拦技术使用及建设需求强烈。同时,对敏感信息外发事件存档并用于后期审计,便于按照规定时间、发送者等执行相应违规、离职等审查工作的需求也日益凸显。各下属分公司需针对自身的核心敏感数据采取差异化的保护措施,同时也需要符合汽车制造企业统一下达的安全策略基线。

当前,国家针对商业秘密和隐私保护已出台相关的法律法规,行业也有相关的监管要求。在法律法规层面,国家于2017年6月1日开始正式实行的《网络安全法》中,明确了个人敏感信息保护相关主体的法律责任,一旦信息泄露最高可面临停业整顿、关闭网站、撤销相关业务许可或吊销营业执照的处罚,直接负责的主管人员和其他责任人员也会被处以数十万元的罚款。另外,《中华人民共和国保守国家秘密法》也对国防建设、科学技术等活动中的相关保密事项、制度及法律责任进行了明确要求。

从根本上来讲,汽车制造企业作为重要制造单位,应全面遵从法律法规要求的“采取必要的技术措施防止数据泄露”的要求,否则很可能将面临巨大的监管、法律责任风险。

因而,数据安全问题在网络安全防范中占有不可忽略的地位,必须重视网络传输数据的安全防范问题,最大限度地减少因通过网络外发动作导致的数据泄露事件。

解决方案

整体项目规划预计涉及汽车制造企业下属分销公司、工厂与设计院的互联网及邮件节点,所涉及的数据安全网关设备部署在工厂邮件出入口位置和分销公司、设计院总部的互联网出口。

整体部署拓扑如下:

在工厂部署邮件信息泄露防护系统,一方面识别从其他网络域(如互联网、专线)发来的邮件中是否包含敏感信息,实现敏感信息不落入邮件服务器,保证工厂邮件链路不受污染,防止恶意信息在内网传播扩散。另一方面可识别并保证从工厂邮件服务器发送出邮件的合规性、安全性,对包含敏感信息的邮件执行过滤、审批、阻拦、告警等动作。同时系统支持邮件全记录功能,可对历史邮件的标题、正文、附件进行深度内容识别的快速回溯查询,达到事后审计的目标。

项目一期可在设计院总部部署网络信息泄露防护系统, 用于对设计院通过网络出口泄露敏感信息的行为进行识别、过滤、阻拦、告警等动作,实现针对敏感数据外发进行更细致的敏感内容核查,防止敏感数据通过网络通道泄露。通过监控网络通道数据发送内容、类型,帮助设计院梳理企业中存在的数据类型与重要级别,探索出一条适用于汽车制造企业的数据安全建设方法,为今后在分公司整体实施数据安全项目积累实际经验。

方案价值

本项目通过梳理汽车制造单位的数据信息,定义出针对适用于我单位的数据模板,并将该数据模板导入到邮件数据防泄露系统中,形成了一套有效的对企业重要信息进行外发识别与阻断的工作模式。从而:

  1. 提升我单位的敏感数据安全能力。
  2. 使我单位互联网及邮件系统遵照我国《网络安全法》,提升业务系统的合规性,提升我单位在行业内的形象。
  3. 定义出针对不同敏感数据,不同的外发通道的安全策略与策略等级。
  4. 实现对敏感数据在邮件传递过程中的识别、过滤、阻拦、审批等安全管理能力。
  5. 实现邮件数据泄露防护的高可用能力,提高邮件系统的安全性与可靠性。
  6. 探索一条适合我单位特色的敏感数据安全防护体系建设之路,助力提升企业整体数据安全管控能力。

汽车制造企业的商密数据、涉密信息倘若被黑客、黑色产业链、攻击者恶意利用,或是员工有意无意的将涉密、涉敏信息转发扩散到企业外网,很有可能产生链式反应,不论是从企业形象上,历年合规审计上,还是实际运营上,都会对企业造成难以估量的损失。通过敏感信息保护项目,能够弥补目前在内部数据防护方面的能力缺失,防止由于泄密导致的被攻击、权限被滥用、经营数据泄露等带来的各类直接或者间接损失,同时也可进一步加强信息化审计手段,完善企业对数据安全事件的应对方法。

此次方案考虑到各分公司及其下属公司的实际业务与安全薄弱环节,对集团整体数据安全进行总体规划,设计院、工厂、分销公司分步实施。在项目实施过程中总结出一套适用于汽车制造企业的数据安全基线策略作,并通过建设后的日常运维工作积累出一组针对于各下属公司的专属安全策略,以起到集中管理与分级管理兼顾的效果。

设计院作为汽车制造企业建设数据安全防护体系的第一阶段,围绕企业敏感信息,建立数据安全管理体系,实现对敏感数据的发现与识别,敏感数据网络、邮件外发管控与审计等数据安全防护能力。并计划在项目的第二阶段建设过程中,扩大数据安全管控范围,逐步实现汽车制造企业下属公司所有敏感数据的细粒度管控。同时结合本期项目的实施经验,扩展建设数据安全防护能力,定制、优化防护策略,从而提升数据安全防护能力的全面性、精确性和有效性。考虑到日后公司信息化结构调整的可能性,一期建设所用到的数据安全网关可支持邮件与互联网模式互相切换的能力,可将该数据安全网关利旧到其他安全节点位置。