制药企业如何做好终端防泄密

客户简要介绍

 

某制药企业是一家以创新研发驱动并致力于协同创新的公司，拥有“转化医学与创新药物国家重点实验室”，公司重点聚焦肿瘤、神经系统及自身免疫三大领域，在国内建立了几个研发创新中心。凭借优异的研发与商业化能力，公司主要产品在中国保持领先的市场份额，与众多国际和国内领先的创新企业、医疗机构和科研院所建立了战略合作伙伴关系。

有色材料智造企业的终端安全管理

 

企业的核心诉求

 

公司研发创新中心研制肿瘤、神经系统、自身免疫系统的创新药配方文档重要性高，当前是明文存放在研发中心电脑上，员工可以直接外传出去，存在泄密风险

公司包含新品创新药配方和数据的相关文档禁止随意外传出去，员工日常需要跟客户或者供应商交互文档，直接禁止外传影响员工日常办公效率，公司缺少相应的管控措施

员工频繁在公司电脑使用个人U盘、智能手机、蓝牙、刻录等方式外传公司文档数据，存在泄密风险

公司员工可以直接对核心文档进行截图、拍照或打印，以图片或者纸质的方式外传公司核心文档，存在泄密风险

公司定期进行内部审计防范错弊，需要对员工电脑文档操作行为和外传进行审计，当前缺少有效的审计手段
 

解决方案

 

安秉网盾文档加密保护企业核心数据安全

公司研发创新中心部署文档加密系统，针对各种创新药配方文档进行加密，加密的文档只能在公司内部电脑才能查看，外部电脑无法直接打开查看，打开显示乱码

员工因业务需要对外发送明文文档，可通过提交申请流程，领导审批通过后，解密成明文后外发出去

 

 

安秉网盾敏感内容识别阻断核心数据外传

公司统一定义好各类疾病创新药物所涉及的敏感信息关键字，员工通过U盘拷贝的文档包含敏感信息可自动阻断并警告禁止外传，规范U盘拷贝行为

员工通过IM聊天工具（如QQ、微信、钉钉等）发送的文档包含敏感信息时自动阻断并警告禁止外传，规范员工IM聊天工具外传行为

员工通过邮件客户端（Foxmail、Outlook）、网页网盘等行为上传文档时，如包含敏感信息文档时会自动阻断并警告禁止外传，规范员工上传行为

员工因业务需要对外发送包含敏感信息时，可通过提交申请流程，领导审核通过后可以使用对应的外传工具发送文档出去

 

 

安秉网盾规范终端操作行为

员工电脑禁止使用私人U盘拷贝接入，仅允许使用公司注册验证的U盘进行数据交互

员工电脑禁止接入智能手机、蓝牙、刻录、光驱等外接设备，因业务需要外传，需提交申请，领导审批后方可接入指定的外接设备

 

 

安秉网盾审计终端操作行为

针对员工电脑启用屏幕水印和打印浮水印功能，水印信息包含计算机名、用户名、IP地址、时间日期等信息，管理员可以通过水印信息第一时间审计追溯泄密源头

针对员工电脑文档操作的行为进行全生命周期审计，包括创建、编辑、复制、删除、重命名、上传等文档操作行为，并可形成统计报表，分析查看员工是否存在违规操作行为

针对部分员工通过U盘拷贝、IM聊天工具发送、邮件发送、网页网盘上传等行为进行记录和备份，提高审计有效性

 

 

• 

• 透明加密策略

  透明加密：在文件创建或编辑过程中自动强制加密，对用户操 作习惯没有任何影响，不需手动输入密码。当文件通过非正常 渠道流至外部，打开时会出现乱码或无法打开，并且始终处于 加密状态。加密过程在操作系统内核完成，保证了加密的高效 性。
  半透明加密：用户可以打开加密文件，新建的文件不加密。

• 

• 解密在线审批

  解密外发：当与外部交流，需要解密文件，员工可以通过申请 解密文件，管理人员受到申请信息，根据收到申请解密文件， 决定是否通过审批。可以设置多人审批，分级审批等流程。
  防泄密外发：当员工外发重要文件时，可以向管理员申请外发 ，同时可以设置外发出去的文件的打开次数，打开时间，是否 可以打印、截屏等操作。可以设置多人审批，分级审批等流程。

• 

• 文件外发设置

  外发文件时，申请者可以设置外发文件的使用权限，包括外发出去的文件的打开次数，打开时间等信息，过期自动销毁！

• 

• 文件密级设置

  通过划分安全区域、设置文档密级，建立分部门分级别的保密机制
  文件密级管理：根据保密制度和策略，通过部门、密级、文档类型的相关联， 细化到各部门加密的不同文件类型，划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。 每个部门有单独的权限，不同部门之间默认不可互相访问，可以根据需求进行一些必要的设置和授权。

• 

• 剪切板加密

  透明加密：在文件创建或编辑过程中自动强制加密，对用户操 作习惯没有任何影响，不需手动输入密码。当文件通过非正常 渠道流至外部，打开时会出现乱码或无法打开，并且始终处于 加密状态。加密过程在操作系统内核完成，保证了加密的高效 性。 半透明加密：用户可以打开加密文件，新建的文件不加密。

• 

• 邮件白名单

  发件人白名单：管理员可以设置发件人白名单，白名单中的发件人发出的邮件中的附件会自动解密。
  收件人白名单：管理员可以设置收件人白名单，白名单中的收件人收到的邮件中的附件会自动解密。

• 

• 离线电脑设置

  离线用户管理(长期)： 若员工不能够与企业内网中的服务器相连，可以利用单机客户端的方式。
  离线用户管理(短期)：若员工临时出差在外，可以通过离线策略对其进行管理。设置员工离线的时间，比如72小时，当计算机离线大于72小时后，所有加密文件将不能打开。

• 

• 加解密网关

  安全网关对访问服务器的计算机进行严格的身份验证，防止未授权的用户和进程访问服务器获取机密数据。 通过上传解密、下载加密及通讯加密，实现对加密文档上传、下载与传输过程中的全面防护，防止机密数据被窃取。

• 

• 加密文件备份

  审批日志备份：系统会记录所有申请解密操作、外发操作、审批操作。同时将把所有相关操作的源文件备份到服务器上。
  加密文件备份：所有加密的文件，定时备份到服务器上，已经备份过的，没有修改过，不备份。加密文件修改过，会自动备份到服务器上，同一个文件，每天只备份一个版本。