第三點(diǎn)就是我們要定義。

根據(jù)剛才我們說的要定義有效的策略。我們的防泄露策略，我們有九大策略。左邊的數(shù)字代表我們目前在江蘇地稅的無錫局已經(jīng)形成了策略的數(shù)量。我重點(diǎn)講其中幾條就可以了。

第一條，我們建立了68條，里面可以看到BS、CS和數(shù)據(jù)庫，這是我重要要說的內(nèi)容。因?yàn)槲覀儸F(xiàn)在使用大集中，都是通過瀏覽器去訪問的，你是基于瀏覽器的業(yè)務(wù)應(yīng)用和業(yè)務(wù)訪問，那么我們怎么去保護(hù)通過異地來訪問其他地方的業(yè)務(wù)系統(tǒng)，其實(shí)這就是我們BS的防護(hù)策略。

第二條就是CS，像我們稽查局會(huì)有這種電子查帳的軟件，這個(gè)基本上就是需要有客戶端軟件，所以這是CS的防護(hù)策略。

還有數(shù)據(jù)庫的工具。因?yàn)楝F(xiàn)場有第三方的像中軟這樣的一些開發(fā)商，一些數(shù)據(jù)庫的運(yùn)維人員，他們經(jīng)常會(huì)使用高達(dá)幾十種的數(shù)據(jù)庫工具，那么這些數(shù)據(jù)庫的數(shù)據(jù)的導(dǎo)出怎么去管理，那么這是我們數(shù)據(jù)庫的管控策略。

我們這里初步建設(shè)了68條。

第三條是我們的數(shù)據(jù)流轉(zhuǎn)。

第四是我們的登陸審計(jì)。這個(gè)登陸審計(jì)非常有價(jià)值，現(xiàn)在我們大集中只要你有領(lǐng)導(dǎo)的賬號，找臺電腦登上去就可以了，因?yàn)轭I(lǐng)導(dǎo)的權(quán)限都比較大，看到的業(yè)務(wù)菜單都比較多?；榫诌@樣兩個(gè)人員、兩個(gè)賬號，但是他的權(quán)限也相當(dāng)大，因?yàn)槟憧吹降亩际歉叨让舾械男畔?，還有房產(chǎn)業(yè)務(wù)查詢出來的，那估計(jì)是更加敏感、更加爆炸的信息，怎么辦呢，所以登陸審計(jì)，如果你不是使用的自己的賬號，我們要對你進(jìn)行告警，所以我們登陸審計(jì)這一塊主要解決賬號的濫用、盜用和非授權(quán)的使用，主要針對的都是我們的業(yè)務(wù)賬號。

后面我們的屏幕控制，就是通過屏幕水印的方式來解決拍照的問題。

第五就是敏感信息的過濾。剛才提到的房產(chǎn)業(yè)務(wù)，就是我們可以把一些房產(chǎn)的敏感的東西，付款人、房屋的地址，通過一些特殊的手段把它可以過濾掉，當(dāng)然有權(quán)限的人可以看到，沒有權(quán)限的人就無法看到。

同時(shí)我們對這種高敏感的頁面會(huì)做審計(jì)，高敏感的頁面的訪問、高頻率的訪問，我們也會(huì)做相應(yīng)的統(tǒng)計(jì)和分析。

文件的追蹤也非常有意思。那么試想某一天，我們通過與政府的輿情系統(tǒng)突然發(fā)現(xiàn)一份文件是我們在座的某一個(gè)單位的數(shù)據(jù)，它里面可能提到某一個(gè)省的經(jīng)濟(jì)的數(shù)據(jù)，但是你也不能確定這個(gè)文件到底是不是我們的人員流出去的，怎么辦呢，我們只需要把這個(gè)文件通過百度文庫或者豆丁網(wǎng)，我們把它下載下來，導(dǎo)到我們的系統(tǒng)里面，發(fā)現(xiàn)一下就可以了。我們就會(huì)告訴你，這個(gè)文件從我們系統(tǒng)里面最后是從哪個(gè)設(shè)備出去的，同時(shí)它在內(nèi)部的流轉(zhuǎn)路徑我們可以看的非常清楚。所以這是文件最終的追蹤，而且這個(gè)文件不需要做任何的變化。所以我們這個(gè)文件追蹤，目前這個(gè)追蹤技術(shù)我們也應(yīng)用在中國移動(dòng)。

打印審計(jì)，比較簡單，不多說。

接下來的第四部分就是實(shí)施我們這樣的一個(gè)防泄露策略比較直觀的效果。

第一點(diǎn)，就是剛才提到的登陸審計(jì)。登陸審計(jì)，我整個(gè)一個(gè)省有幾萬個(gè)賬號，兩三萬個(gè)賬號，其實(shí)我們要做審計(jì)的主要是那些特權(quán)的賬號，可能就那么幾百個(gè)。因?yàn)樘貦?quán)的賬號，因?yàn)樗臋?quán)限比較大，業(yè)務(wù)菜單比較多，涉及到的信息更加的敏感，所以這一點(diǎn)是非常重要的。

那么針對這些特權(quán)賬號的審計(jì)與客戶端的這種告警，然后告訴使用者要規(guī)范自己的行為。

第二點(diǎn)，就是我們的敏感信息的過濾。

沒有過濾前，你可以看到所有的信息是非常完整的，過濾以后我們發(fā)現(xiàn)原本可以看到的信息，被替換掉了。當(dāng)然能看和不能看是依據(jù)策略的權(quán)限，根據(jù)你賬號的權(quán)限，根據(jù)賬號來的，并不是對所有人都有影響。

第三點(diǎn)，就是屏幕水印。其實(shí)它基本上不會(huì)影響到我們的正常使用。因?yàn)槲覀儸F(xiàn)在已經(jīng)在辦稅的服務(wù)大廳和營業(yè)大廳，基本上全部都采用這樣的策略。因?yàn)樗耐该鞫?，以及顯示的信息、大小、顏色、位置、坐標(biāo)等等我們都是可以自定義的，所以我們可以做到非常的透明化。然后如果不小心別人拍了照，上傳上去之后，其實(shí)我們可以看到告訴你這是哪個(gè)IP、哪個(gè)麥克、哪個(gè)賬號出來的，因?yàn)樯厦娴倪@些信息全部是動(dòng)態(tài)的，所以這是我們的第三點(diǎn)，自動(dòng)加載屏幕水印。而且呢，舉一個(gè)簡單的例子，左邊是我們訪問的OA，OA是我們不保護(hù)的，因?yàn)槟壳安皇俏覀兊墓芸胤秶?。右邊你訪問的是我們的大集中，OA就沒有水印，大集中就有水印，所以我們這個(gè)水印相對來講是比較智能的。

第四點(diǎn)，就是文件追蹤。

這里舉了一個(gè)簡單的例子，其實(shí)你可以看到我們文件追蹤的ID，這個(gè)ID我們可以做到36的14次方，因?yàn)槭?6位的，0-10，A-Z這樣的字母形成的，那么這個(gè)追蹤ID，因?yàn)閯偛盼姨岬搅耍覀儾恍枰獙ξ募鋈魏蔚母膭?dòng)。說的簡單一點(diǎn)，你用A流轉(zhuǎn)A到你的員工，又流轉(zhuǎn)到你外部的一個(gè)合作伙伴也好，或者就是你不小心傳到了網(wǎng)上了，我們只需要找到這個(gè)文件下載下來，導(dǎo)入我們的平臺，比對一下這個(gè)ID就可以了，所以它的方法是非常簡單的，就跟我們剛才防偽一樣，就是只需要比對一下，如果沒有比對出來，說明這個(gè)文件不是從我們這邊出去的，我們就免責(zé)了。

第五點(diǎn)，也是我們比較大的一個(gè)創(chuàng)新點(diǎn)，我們稱為O盤，目前我們叫稅務(wù)的工作盤。這個(gè)對于我們的工作方式略微有那么一點(diǎn)點(diǎn)的變化，目前我們登陸大集中、我做一些查詢，我可能導(dǎo)出幾十萬條記錄。其實(shí)你這個(gè)文件你存放的時(shí)候存到什么地方都是可以的，這是現(xiàn)狀。但是上了平臺以后，只能保存到你的工作臺，其他的位置禁止存儲。其實(shí)就是跟我們項(xiàng)目建設(shè)的一個(gè)目標(biāo)和出發(fā)點(diǎn)是一樣的，因?yàn)槲覀儽Ｗo(hù)的對象是業(yè)務(wù)系統(tǒng)，你在OA里面下載這樣一個(gè)通知、通告，你隨便保存到什么地方都可以，但是你在大集中里面查詢以后，你下載的文件只能保存到我們的稅務(wù)工作盤，就是我們的O盤，所以我們這里做了一個(gè)簡單的對比。同時(shí)因?yàn)槲覀兊奈募?shù)據(jù)產(chǎn)生的來源，因?yàn)槲覀冋f的是業(yè)務(wù)系統(tǒng)，一般有三個(gè)來源。第一就是我們的業(yè)務(wù)系統(tǒng)，主要是大集中。第二是我們的數(shù)據(jù)庫，第三就是終端上現(xiàn)有的文件。因?yàn)橛械墓ぷ髡?，就是已?jīng)做了十幾年的工作，他的文件在電腦里面可能已經(jīng)形成了若干個(gè)G，那么這些我們也要去保護(hù)啊，所以除了業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫以外，那么針對現(xiàn)有的終端上存儲的文件我們根據(jù)關(guān)鍵字技術(shù)，把它做發(fā)現(xiàn)，然后進(jìn)行遷移到我們的稅務(wù)工作盤，同時(shí)我們在原位置留下影子文件，對用戶的使用，以及他的一些記憶做到免干擾，這樣不需要到O盤里面找這個(gè)文件了，只需要到原位置去頂，因?yàn)槲覀兞袅艘粋€(gè)影子，這也是我們的一項(xiàng)新技術(shù)。

第六點(diǎn)，就是我們的數(shù)據(jù)的流轉(zhuǎn)，我們分為內(nèi)部流轉(zhuǎn)和外部流轉(zhuǎn)。這個(gè)比較簡單，如果根據(jù)原則，有權(quán)限的你可以看這個(gè)數(shù)據(jù)，那么在什么地方看呢，在O盤里面看，沒有權(quán)限的，不管你放在什么地方，放到O盤里面，同樣都是可以的。所以我們做了數(shù)據(jù)流轉(zhuǎn)。

外部的話，主要用于第三方共享，因?yàn)樵蹅兌悇?wù)系統(tǒng)跟第三方的業(yè)務(wù)部門經(jīng)常會(huì)數(shù)據(jù)共享，所以我們有一個(gè)外部的流轉(zhuǎn)的一個(gè)示意，主要通過審批的手段來執(zhí)行，同時(shí)配合審計(jì)。

第七點(diǎn)，我們整個(gè)平臺的建設(shè)的一個(gè)精華，畫龍點(diǎn)睛的地方，800多項(xiàng)數(shù)據(jù)全自動(dòng)生成。那么像在無錫的話，我們大概有24個(gè)業(yè)務(wù)單位，然后我們每個(gè)月度都會(huì)生成這份報(bào)告，然后再通過人工判斷一下這些數(shù)據(jù)的準(zhǔn)確度，再進(jìn)行一些修正，最終我們每個(gè)月會(huì)生成這樣的月度報(bào)告，那么這個(gè)報(bào)告就是我們的風(fēng)險(xiǎn)報(bào)告，把我們月度的數(shù)據(jù)、違規(guī)的行為的視圖數(shù)據(jù)，還有我們風(fēng)險(xiǎn)的數(shù)據(jù)、三分的數(shù)據(jù)、流轉(zhuǎn)的數(shù)據(jù)、把這些數(shù)據(jù)全部做統(tǒng)計(jì)分析，最終形成這樣一份非常有意義的一個(gè)風(fēng)險(xiǎn)報(bào)告。

那么平臺的四點(diǎn)價(jià)值，第一點(diǎn)就是我們數(shù)據(jù)的導(dǎo)出可控，第二點(diǎn)操作行為留盤，第三點(diǎn)就是數(shù)據(jù)的安全共享，對于我們一二三方的數(shù)據(jù)使用，以及增值數(shù)據(jù)的利用，都是可以做到一個(gè)有效的管理，最后就是我們通過這種數(shù)據(jù)可視化的手段，做這樣的一個(gè)風(fēng)險(xiǎn)的視圖。

最后一分鐘時(shí)間，簡單介紹一下我們聯(lián)軟。 在座的可能有的知道我們聯(lián)軟，有的可能還不太清楚。聯(lián)軟是深圳的公司，我們?nèi)ツ暌彩巧钲谑械闹攸c(diǎn)軟件企業(yè)。然后我們實(shí)際上我們的準(zhǔn)入控制，我們聯(lián)軟公司只做安全。準(zhǔn)入控制是我們的拳頭產(chǎn)品，滬深兩地交易所已經(jīng)運(yùn)行了八年以上。在這樣的一個(gè)準(zhǔn)入控制的基礎(chǔ)之上，我們近幾年發(fā)力，在數(shù)據(jù)防泄露領(lǐng)域，我們很有可能在未來的幾年對在這個(gè)行業(yè)我們會(huì)有非常大的一個(gè)發(fā)展。因?yàn)檫@個(gè)要取決于我們整個(gè)的理念是跟其他廠商是不一樣的。

對于我們的理念的總結(jié)，第一點(diǎn)，對象是業(yè)務(wù)系統(tǒng)。第二，不改造。第三，就是易實(shí)施。第四，見效快。所以這就是我們平臺建設(shè)的一個(gè)公司的理念，就是我們做這套平臺的理念。

最后做個(gè)總結(jié)。 因?yàn)槲覀儗Ｗ⒂诜佬孤额I(lǐng)域，所以我們的理念是不同的。因?yàn)槲覀冊诋a(chǎn)品和平臺的開發(fā)過程中，我們使用了很多的創(chuàng)新的一些技術(shù)，所以我們更加的專業(yè)。 這是我的一個(gè)簡單的介紹，如果大家對于我們這個(gè)平臺感興趣的話，可以到我們展臺領(lǐng)取一份案例的介紹。

謝謝大家！