隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的企業(yè)依托信息化的力量開展業(yè)務(wù)和拓展市場，數(shù)據(jù)作為新型生產(chǎn)要素的價值不斷提升，防泄密成為各行各業(yè)重點關(guān)注的數(shù)據(jù)安全問題。我國也先后發(fā)布《數(shù)據(jù)安全法》、個人信息保護(hù)法等引導(dǎo)企業(yè)重視數(shù)據(jù)安全建設(shè)。

集成電路作為現(xiàn)代科技發(fā)展的重要基礎(chǔ)，是一個高度技術(shù)密集、資金密集和創(chuàng)新驅(qū)動的行業(yè)，研發(fā)成果、產(chǎn)品設(shè)計、生產(chǎn)流程、商業(yè)計劃等敏感數(shù)據(jù)屬于商機機密，對數(shù)據(jù)防泄密有非常高的要求。

武漢新芯集成電路制造有限公司作為一家領(lǐng)先的集成電路研發(fā)和制造企業(yè)，面對日漸復(fù)雜的數(shù)據(jù)泄密場景，選擇聯(lián)軟數(shù)據(jù)防泄露系統(tǒng)（DLP）對武漢、蘇州、上海三地33個部門終端數(shù)據(jù)管控，防止數(shù)據(jù)泄密。

客戶信息

武漢新芯集成電路制造有限公司，于2006年在武漢成立，可提供40nm及以上工藝制程的12英寸NOR Flash、CIS和Logic晶圓代工與技術(shù)服務(wù)。武漢新芯以特色工藝為依托，充分發(fā)揮自身穩(wěn)定可靠的工藝制造水平和快速靈活的交付能力，為全球客戶提供高品質(zhì)的創(chuàng)新產(chǎn)品及專業(yè)的技術(shù)服務(wù)。

需求

武漢新芯在十余年的發(fā)展過程中，公司人員和信息系統(tǒng)快速增長，大量的數(shù)據(jù)存儲于各種不同的終端與服務(wù)器上，以往的數(shù)據(jù)管理方式無法區(qū)分?jǐn)?shù)據(jù)重要性，難以滿足當(dāng)下的數(shù)據(jù)合規(guī)和安全需要。

員工因業(yè)務(wù)需要，通過從業(yè)務(wù)系統(tǒng)下載數(shù)據(jù)、終端本地生成數(shù)據(jù)等，導(dǎo)致終端保存了大量不同類別敏感級別的數(shù)據(jù)，如圖紙、專利、版圖等，公司現(xiàn)有的系統(tǒng)對移動存儲、即時通訊、網(wǎng)絡(luò)途徑（如網(wǎng)絡(luò)共享、云盤等）、打印等外發(fā)途徑缺乏有效的識別、審計或阻止手段，存在數(shù)據(jù)泄密風(fēng)險。

加上各類新興的遠(yuǎn)程辦公、移動辦公等辦公場景，也打破了原有的網(wǎng)絡(luò)邊界，員工在無意情況下有可能導(dǎo)致敏感數(shù)據(jù)的外流或者泄密，增加了機密文檔的保護(hù)難度。

在此情形下，武漢新芯迫切需要一套規(guī)范的數(shù)據(jù)防泄密方案保護(hù)敏感數(shù)據(jù)。

外發(fā)通道管控：需要對通過網(wǎng)頁、郵件、即時通訊、U口、FTP等通道發(fā)出的敏感文件做全面管控。

敏感數(shù)據(jù)識別：已有CIPP的數(shù)據(jù)分級框架，需要在現(xiàn)有基礎(chǔ)上對文檔梳理、定級。

標(biāo)簽功能：電腦統(tǒng)一安裝特殊的wps，使用的excel、word、ppt均有模板標(biāo)注密級，但存在機密內(nèi)容使用內(nèi)部公開模板編寫情況，需要實現(xiàn)對終端文件手動標(biāo)簽、自動標(biāo)簽功能。

解決方案

武漢新芯十分重視數(shù)據(jù)敏感識別功能，對比不同廠商方案后，最終選擇了敏感規(guī)則完備、方案成熟的聯(lián)軟科技。

聯(lián)軟科技調(diào)研客戶網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)情況后，針對武漢新芯數(shù)據(jù)應(yīng)用場景采用集中式部署架構(gòu)，其中服務(wù)器用于下發(fā)策略、收集數(shù)據(jù)、展示數(shù)據(jù)，LVFS文件服務(wù)器用于存放終端上傳的審計附件、錄屏文件等，AcutaDB數(shù)據(jù)庫用于存放審計信息、日志。

敏感規(guī)則條件庫：憑借對集成電路數(shù)據(jù)分類分級的完善規(guī)則庫和專業(yè)性，基于文件內(nèi)容、文件屬性和拓展類型將數(shù)據(jù)分為絕密、機密、內(nèi)部公開、外部公開四個密級，并根據(jù)數(shù)據(jù)梳理結(jié)果將關(guān)鍵字錄入系統(tǒng)。

通道管控：阻止公司敏感文件通過郵件外通道外發(fā)。

文檔追蹤：結(jié)合矢量水印、數(shù)字盲水印等在不影響用戶使用體驗的情況下，給文件的泄密提供可用的追溯手段。

水印：可添加明文、二維碼、圖片、矢量（隱形水?。┑仍趦?nèi)的多種水印，震懾不法分子。

軟件管理：終端用戶通過軟件商城自主安裝軟件，降低運維工作量。

針對武漢新芯33個部門的數(shù)據(jù)梳理難度高，聯(lián)軟配合企業(yè)高層做了簡單明了的啟動會，傳達(dá)直觀的敏感關(guān)鍵字調(diào)研表，并一對一訪談各個部門收集敏感關(guān)鍵字。

傳統(tǒng)安全人員大部分認(rèn)為安全會拖業(yè)務(wù)后退，抵觸情緒重，加上現(xiàn)場終端環(huán)境復(fù)雜，這也提升了工作開展的難度。針對這種情況，聯(lián)軟通過完善的測試方案、試點驗證打消了IT部門的擔(dān)憂，并通過調(diào)研終端情況，提前配置白名單確保項目穩(wěn)定運行，而聯(lián)軟科技對集成電路數(shù)據(jù)分類分級的專業(yè)性也大大提升了部署效率和落地效果。

效果及價值

項目部署后，取得了預(yù)期的成果，實現(xiàn)對文本文件、office文檔、壓縮文件、源代碼文件等常用的50多種后綴名的文件管控，包括文件讀寫操作審計策略、即時通訊審計策略、屏幕控制策略、打印控制策略等10余種。

定義與發(fā)現(xiàn)：通過對文檔格式的識別和文檔內(nèi)容的感知，實現(xiàn)對終端數(shù)據(jù)的智能分類、分級及可視化展現(xiàn)，快速精準(zhǔn)將敏感數(shù)據(jù)分類打上標(biāo)簽。

控制與保護(hù)：通過外發(fā)通道管控，行為審計與追溯等功能與技術(shù)，打造完善的數(shù)據(jù)安全防護(hù)系統(tǒng)。

穩(wěn)定易部署：不對文件染色，不改造業(yè)務(wù)系統(tǒng)，不影響應(yīng)用訪問速度，不指定文件系統(tǒng)類型、應(yīng)用程序版本。

此外，方案具備很好的拓展性，可以與安全數(shù)據(jù)擺渡系統(tǒng)協(xié)同，實現(xiàn)跨網(wǎng)或網(wǎng)內(nèi)不同用戶間的數(shù)據(jù)安全流轉(zhuǎn)；與準(zhǔn)入控制系統(tǒng)協(xié)同，實現(xiàn)資源訪問控制；與零信任系統(tǒng)協(xié)同，實現(xiàn)全網(wǎng)零信任訪問控制，聯(lián)合打造更加全面可靠的安全防護(hù)體系。

該DLP項目的成功部署，為制造業(yè)企業(yè)防泄密項目的開展提供了部署實施方面的參考路徑，幫助企業(yè)有效防止有意或無意的敏感文件外泄行為。

聯(lián)軟科技從2004年進(jìn)入安全領(lǐng)域以來，專注于企業(yè)級網(wǎng)絡(luò)安全市場，為政企客戶提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，在數(shù)據(jù)防泄密方面積累了豐富的經(jīng)驗。其推出的制造業(yè)數(shù)據(jù)防泄密解決方案，從終端數(shù)據(jù)安全、跨網(wǎng)數(shù)據(jù)安全、業(yè)務(wù)數(shù)據(jù)安全三個方面提升企業(yè)數(shù)據(jù)安全防護(hù)能力，為各行各業(yè)數(shù)字化轉(zhuǎn)型筑牢防線。