2012襄阳博亚精工装备公司数据防泄密项目投标文件.docVIP

襄阳博亚精工装备股份有限公司 数据防泄密项目 投标文件 投标方：北京思智泰克技术有限公司 代理商：襄樊合众一心科技有限公司 2012年3月  第一部分 技术方案 一、现状描述 1.1.1企业安全重点的转变 为了实现企业内部的机密数据文件信息的安全管理，通过设置防火墙，入侵检测，防病毒软件等手段，对来自于外部网络的攻击和入侵做到了有效的防御。但是，传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏，对于企业网络内部的信息泄漏（如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等），却没有引起足够的重视。 据2006年CSI调查显示，在所有的安全技术应用中，以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。 通过这一调查，我们可以看到数据加密技术正在成为传统安全技术—防病毒、防火墙、VPN、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化，我们可以看到针对于机密信息的安全保护正在成为更多企业的新关注方向。 因此，信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序，更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比，这种来自内部的恶意泄露更具有针对性，隐蔽性，给企业造成的损失也更大。 1.1.2信息泄漏事件愈演愈烈 据CSI调查显示，2006年，内部安全事件所占比率为68%。2007年这一数据依然保持，为64%。 2007年，由于内部人员窃取机密信息所造成的经济损失累计为1515万美元，2006年的这一数据为2329万美元。这一数据的变化说明越来越多的企业开始重视企业内部的机密数据安全。同时，财务数据的安全性问题日益涌现。对于财务数据来讲，安全和连续性是最为重要的因素。 企业信息安全已不再单属于技术专家、情报局及学术机构所关注的问题。企业中机密的数据信息的泄漏已经严重影响了企业正常的业务流程。一次数据泄漏事件会严重损失公司的声誉，甚至导致无法预知的成本损失。 1.1.3机密信息管理薄弱 企业的核心机密数据就是影响企业发展的关键数据信息。企业通常都有自己的数据安全管理制度和管理流程，但公司在具体执行管理制度和流程中，策略的执行和监控等多个方面存在很大的缺陷。高级员工的联系方式及工资待遇、技术部门的设计数据、企业信息化数据、公司的服务操作流程、规章制度等信息的泄漏，都会对企业造成意想不到的损失。而且，大多公司的业务流程已不再是狭窄孤立的，而是非常具有动态性，协作性和广泛性的合作过程。例如：在企业的日常办公过程中，可能需要公司内外的人员通过电子邮件、演示文稿、电子表格或文档的形式来共享机密文件等信息，当然每个人都担任不同的角色，从而对机密数据也就有不同的访问和使用权限。这种信息的公开性就给数据的泄漏造成了巨大的威胁，但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下，采取积极的措施深刻理解和解决机密文件信息流失的问题。虽然防火墙、访问控制、网关过滤等技术，能够控制用户准许或拒绝访问机密数据。但这些技术对用户不能提供更加细分化的策略权限控制，也就是说它们不能限定用户具体的使用权限。因此，这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。 1.1.4企业需要建立数据安全管理 在2006年，国内《信息安全等级保护管理办法》，美国《萨班斯—奥克斯利法案》的正式实施对于信息安全产业产生了标志性的影响。这两部法规都以法规的形式敦促企业加强内部控制，增强抵御风险的能力。?作为国家“十一五”计划的开局，2007年将是国家各机关部委及企事业单位规划五年发展计划的关键时间，又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行，无论从产业发展阶段、国家政策、外部环境来看，还是借鉴国外的发展规律，都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。 思智泰克在这样的大环境下，把握当前信息安全产业的形势，从关注用户的业务安全需求出发，借助千载难逢的发展机会，通过整合自身数据加密技术、数据生命周期管理技术等方面的优势，定位于以数据信息本身的安全保护和应用权限管理为核心，以文件安全策略管理、文件审批流程管理、日志和审计管理、文件自动备份管理为主要组成部分，构建了一个安全、高效、智能化的企业应用办公环境——思智ERM系列产品，从而实现了企业数据信息的完整安全保护和权限管理，实现了企业数据安全管理的新安全！ 二、产品设计原则 2.1系统概述 作为国内ERM（Enterprise Right Management 企业权限管理）的领导者，思智泰克经过多年的市场摸