第一章 概述1.1. 背景

近年来，随着国家大数据发展战略加快实施，大数据技术创新与应用日趋活跃，大数据技术创新与应用产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素，运营商行业也在逐步进入大数据时代。由于该行业集中了很多个人隐私信息，导致人们在对数据进行应用同时，会受到各种内外部风险的影响，导致信息的泄露或恶意的篡改，对公民、社会、甚至国家安全造成一定的影响。

随着信息化大力发展，持续提升运营商“互联网+”服务能力，运营商已经较全面建立了信息化的业务系统。如固网业务中集计费、结算、营业、账务、客服与决策支撑统一平台的综合业务系统（BOSS）,以及移动办公、网上营业、增值服务平台等业务系统都存储着大量的数据，数据在个人终端存储、内部业务系统流转、数据离网及外发等环境下都存在泄密的风险。在业务系统使用过程中也面临被违规越权使用或被用于非法用途等数据信息泄漏的安全风险。

因此，亟需加强对基于大数据环境下的运营商各类数据的安全保护，减少数据泄露的出现，满足国家法律法规要求，保障客户隐私权益。

1.2. 现状及需求分析

目前宁夏移动虽然在企业信息化系统中，已经采取4A、堡垒主机、数据库审计对数据进行保护，对于敏感数据的非法操作具备一定的防护能力，但按正常的业务或生产流程流出的数据依然存在风险，没有针对客户信息的敏感数据进行全流程的管控。

BOSS、CRM、经分、客服、BOMC、4A系统承载了公司大部分的核心敏感数据，对于数据的流转过程、正常业务需求和办公需求有一部分采用了加密管控手段。全公司的终端中,除业务支撑部门部分采用了加密手段的终端外,其余终端没有管控措施；已经做了管控的业务系统的终端中，除了业务系统数据外，其余数据并没有使用管控措施。

宁夏移动经过多年的信息安全防护体系建设，在系统安全、终端安全、物理安全等方面已经卓有成效，目前已经分别在不同控制域完成了部分防泄密手段的安全控制，为更好的实现数据安全防护，满足业务发展和监管合规要求，必须解决当前数据内容防护层面临的以下问题：

（1）敏感数据的内容识别问题

Ø 数据量大，数据关系复杂，难以进行梳理；

Ø 无法判断出哪些是敏感数据；

Ø 缺乏对数据内容的分类和敏感级别分级；

Ø 保护措施无法和敏感数据重要级别挂钩，保护效能和效率较低。

（2）敏感数据的存储流转问题

Ø 对于重要敏感的数据存放位置无从知晓，保护难以下手；

Ø 数据可能存放在电脑、手机、笔记本、业务系统、数据库、存储中；

Ø 无法明确某类敏感数据在公司的整体分布情况；

Ø 缺乏对不同数据在不同位置的风险评估视图。

（3）终端敏感信息的防护问题

Ø 谁的终端存储有敏感信息；

Ø 敏感信息的使用是否合规；

Ø 终端敏感信息强制阻断；

Ø 终端敏感信息静默监控保护与审计。

（4）数据风险

Ø 关键数据分散储存，难于管理；

Ø 关键数据传输环节有较多合法或非法的输出途径且无法有效监管；

Ø 人员更替时可以将数据资产带离企业环境，造成损失；

Ø 出现信息安全事件后不能快速定位责任人；

Ø 各类数据存储设备及U盘介质由于使用、管理及处置不当引发的泄密风险。

1.3. 建设依据

² 《网络安全法》

² 《数据安全法》

² 《2021年基础电信企业专业公司网络与信息安全工作考核要点与评分标准》

² 《电信和互联网企业网络数据安全合规性评估要点》

² 《中国移动数据安全管理办法》

² 《YDT3813-2020基础电信企业数据分类分级方法》

² 《基础电信企业重要数据识别指南》

² 《中国移动业务支撑网数据安全管理办法》；

² 《信息安全管理体系要求》（GB/T22080-2008）；

² 《信息系统安全等级保护基本要求》（GB/T22239—2008）；

² 《信息安全等级保护实施指南》（GB/T25058-2010）；

第二章 解决方案2.1. 总体设计

系统采用C/S架构和B/S架构相结合，内外网互通的架构思路，对网络安全和数据安全提供全IT架构的多套解决方案。通过认证、加密、监控和追踪等手段，在传统PC终端提供数据保护、文档加密、应用保护、系统管理、桌面管理和安全通讯等方面的安全防护。针对敏感数据提供全生命周期的安全管理和审计，安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中，实现事前安全管理、事后行为审计。

2.2. 详细设计

由于网络开放、共享的特性，导致在面对来自系统内部和外部非法访问的时候，会使分布在各终端中的重要数据资源处于高风险状态。这些安全威胁均无法通过防火墙、入侵检测和防病毒等传统安全手段消除。所以数据安全要立足于终端，从源头抓起，才能从根本上解决安全问题。同时，只有与应用系统（如OA、ERP、CRM）紧密结合，才能做到有的放矢，真正有效地满足运营商行业的数据安全需求。

2.2.1.文档安全管理系统

文档安全管理系统提供针对运营商敏感数据文档的全生命周期以及细粒度管理。

2.2.1.1. 文档加解密

运营商行业的日常办公应用过程中，文件的创建者当发现某文件涉及重要敏感信息，需要给指定人员阅读和使用时，甚至希望文件安全传输，防止在传输过程中被“侦听”或“截包”，可以主动对文件进行加密操作，在文件进行主动加密过程中，可以对文件的使用人、使用权限进行设置。这时文件在流转过程只能够根据文档的属性来识别使用对象了。非授权的用户得到此文件将无法打开，授权用户的权限依然受到权限控制，如只能阅读，无法编辑或打印等。

这样数据在流转和传递的过程中可以有效的保护核心数据的安全，个人也能够对自己的涉及重要敏感信息的数据进行增强保护，即使电脑丢失或者被他人窃取数据也无法获取价值信息，通过文件主动的加密可以有效的增强使用人员安全意识，培养数据安全使用习惯，给终端敏感信息提供安全保障。

文档加密以后对文档本身的后缀不会产生任何的变化，只是在文档上增加了加密的标识，以便更好的区分，对用户的使用习惯不会产生任何影响。

文档手动加密提供单个文档和多个文档的主动加密功能，同时可以为指定使用者点对点加密并分配权限。

文档自动加密提供整个文档夹加密功能，文档目录可由使用者自行设置，并可设置该文档夹中的文档使用权限。用户可以通过拷贝、拖拽方式将文档放入文档夹中，文档自动加密及设置权限。如果加密文档夹路径在服务器中，可实现文档带权限共享功能。具有相应文档使用权的用户，可从服务器中下载文档。

2.2.1.2.  文档权限控制

文档的权限控制包括读、写、另存、脱密、截屏、拷贝、文档水印、无水印打印、带水印打印、离线使用等十种基本文档权限。管理员可以通过控制台设置不同密级对应的文档权限，文档在使用指定密级加密后具有该密级设定的使用权限。

2.2.1.3.  系统特性

文档透明加密：可对Word、Excel、PPT、PDF和WPS等类型文档进行透明加密，不改变用户的任何操作习惯，不改变原有文档信息的格式；

授权用户访问：文档被加密后，只有授权用户才能正常访问，否则文档打开是乱码形式显示；

禁止信息转载：文档处于加密状态，可以设置不能拷贝、粘贴、拖动文字、图片到其它文档，对打印也有权限控制；

授权解密文档：系统具有严格的解密流程，可通过人工流程进行文档解密，防止商业机密泄漏；

系统集中审计：系统可以审计加密文档的相关信息，如：时间、电脑名称、用户名、文档名、解密文档内容等，便于事后追踪；

密级继承：该功能是针对运营商定制的功能之一，当将加密文件的一段文字复制到一个明文的文档中时，该明文文档将自动变为和密文相同密级的加密文档，保证复制出的文字不被泄露，因此称为密级继承。也大大的保护了运营商行业文档的安全。

2.2.2.安全邮件系统

在运营商现场环境中，常常使用Foxmail等邮件终端的163邮箱等，当使用邮件时，设置对指定收件人或者收件部门，附件或者全文加密。同时可以对邮件全文进行审计。保护运营商邮件安全。

安全邮件系统支持对SMTP/POP3/IMAP协议的邮件进行智能判断，实现禁止发送、加密发送或明文发送等方式的动态区分。

邮件智能加密模块可以通过指定收件人的邮箱域名来实现邮件的透明加密发送，所有发送到该域名的邮件均进行加密。邮件加密分成附件加密和全文加密两部分，其中：

附件加密是指如果邮件的附件是明文则采用加密发送，附件是密文则直接穿透；

全文加密是指对邮件正文与附件整体都进行加密，邮件主题保持不变。

管理员可以设置全文解密和附件解密策略，客户端根据策略可实现智能加密发送、接收解密。

2.2.3.移动存储介质管理系统

运营商数据防泄漏防护中对移动存储介质的管理往往是重要的一环。移动存储介质管理系统针对计算机客户端移动存储设备进行管理，实现了U盘、移动硬盘等移动存储设备完整的生命周期（注册、授权、使用、挂失、注销）管理与管控，既保证了计算机移动存储设备的正常使用，又能有效防止随意使用移动存储设备造成的资料外泄等安全隐患。

2.2.3.1. 移动存储介质管控

该功能通过策略设置，对PC客户端的U盘操作权限进行管控，包括禁用、加密读写、只读明文、只读明文+密文、正常读写等五种权限。根据U盘是否已在系统中注册，可以分为已注册U盘和未注册U盘，并设置不同的策略，兼顾安全性和易用性的统一。

为了便于管理，可统一给未注册的移动存储设备下发策略；如禁止使用未注册的U盘，该策略将禁止使用员工私自插入的U盘。为了减少管理员注册大量U盘的工作量，系统支持用户通过客户端进行远程注册或通过注册工具进行注册。

2.2.3.2. 安全U盘

针对用户严格要求U盘存储介质在内部使用的场景，使用内部专用U盘进行控制。当PC上存在客户端时，用户可按照普通U盘方式使用内部专用U盘；当PC上不存在客户端时，内部专用U盘插入终端后可以识别，但是无法访问。内部专用U盘可以与U盘权限管控相关的策略配合使用，对文档的操作权限由策略最终决定。

针对用户既需要在内部也需要在外部使用U盘的场景，可使用外部专用U盘进行控制。即不论用户终端上是否安装了客户端，都可以对U盘进行操作；而为了确保内部文档安全，采用安全策略对U盘进行管控。外部专用U盘内置专用的资源管理器，只有使用该资源管理器才能访问该U盘内部的文档。当终端上没有客户端时，用户需要输入U盘Pin码，验证通过后才能进入资源管理器；已安装客户端时，用户不需要输入Pin码，U盘与客户端之间自动验证用户身份。在外部专用U盘使用过程中，系统会自动记录操作日志，管理员可在事后对用户操作进行审计。外部专用U盘可以与U盘权限控制相关的策略配合使用，对文档的操作权限由策略最终决定。

2.2.4.终端数据智能防护系统

在《数据安全法》实施以来，数据分类分级被推上了分口浪尖，而数据分类分级离不开数据智能扫描，自然语言处理等技术。而终端数据智能防护系统，通过对终端本地文档和外发文档内容的扫描，根据预先定义的规则，对文档进行分类分级，以及进行后续加密或审计等处理。

系统参照《电信和互联网企业网络数据安全合规性评估要点》以及《基础电信企业重要数据识别指南》，对关键数据按照重要性进行梳理和划分，制定数据安全性由高到低的数据分级分类规则。按照数据分类规则，已包含在行业预置规则库中的类别可直接选用规则，未包含的可对样本数据进行机器学习，归纳制定出规则，然后对规则库进行验证，确保规则库的准确性和易用性。系统对运营商复杂信息环境中的不同数据进行分析，根据文本内容的语义特征和格式，将文档业务策略进行智能匹配。

2.2.4.1. 文档规则

关键字：根据预先定义的敏感数据关键字，扫描待检测数据，通过是否被命中来判断是否属于敏感数据；

正则表达式：由于有些识别特征无法以关键字来表示，如身份证、银行卡号等，需要通过正则表达式来定义敏感数据识别特征，并根据这个特征是否命中来判断数据是否属于敏感数据；

文档分类特征：利用自然语言处理和机器学习技术对企业文档进行智能分类分级，对分类分级后的文档进行深度内容分析后，提取文档分类特征；

文档指纹：基于内容的文档指纹，不受文档格式、文档编码，文档类型的影响；利用局部敏感哈希，文档局部更改，在相似度差别容许范围内，文档指纹不变；文档相似度阈值调整可容许文档的改变范围；适合内容复制、嵌入广告或文档少量修改。

2.2.4.2. 全盘智能扫描

全盘智能扫描功能可根据预先定义的规则和策略，对运营商终端的本地文档进行全盘扫描，并对含敏感数据的文档做加密或审计处理，从而对终端敏感数据进行安全防护。

管理员可配置全盘扫描的条件，例如配置扫描执行路径、扫描跳过路径、文档类型、文档大小、允许全盘扫描启动和执行的终端性能指标等。系统也可以智能判断终端是否满足扫描条件，当终端锁屏或者终端性能指标（如CPU占用率、内存占用率等）达到指定条件，才启动扫描。扫描过程中会根据终端性能自动停止，尽可能减少对终端用户操作的影响。模块支持文档增量扫描，仅对未扫描或扫描后有变更的文档进行扫描。

扫描完成后，模块根据预置的策略，对敏感文档做加密处理；同时支持记录扫描日志、上传附件，以便于事后审计。

2.2.4.3. 手动扫描功能

手动扫描功能是指终端用户可以自定义敏感数据扫描与发现任务，对终端硬盘内的数据进行扫描与自检。本功能主要支持以下特性：

Ø 新建多个扫描任务，每个扫描任务独占一个任务标签页

Ø 对每个扫描任务进行自定义配置，配置的内容包括文件扫描路径（支持多路径），文件类型，文件扫描规则（支持配置多条），是否启用增量扫描

Ø 导入、导出扫描任务的配置参数

Ø 导出扫描结果生成csv文件

Ø 实时显示扫描任务的扫描摘要、命中快照和详细报告

2.2.4.4. 外发扫描功能

支持对数据文件的外发途径进行扫描，并根据扫描的结果进行对应的管控。外发扫描的管控详细内容支持自定义配置；支持对以下五种外发方式进行扫描管控：

Ø 外发邮件

Ø 文件拷贝到U盘/SD卡移动存储

Ø 应用程序QQ/微信/RTX/FeiQ/飞信/SKYPE外发附件

Ø HTTP外发附件

Ø 文件拷贝到局域网内的共享目录

2.2.4.5. 系统特性

支持主流数据格式，系统采用模块化架构设计，预置支持多种格式的解码和转换引擎，可以在数据抓取时自动识别文件格式，并转化成可理解的文本，然后送入自然语言处理模块进行分析和归类。预置格式分析模块组能解读以下常见数据格式：

Ø Microsoft Word/Excel/PowerPoint、Openoffice、WPS等办公文档；

Ø ZIP、ISO、RAR等压缩文件；

Ø JPG、JPEG、PNG、BMP、TIFF图片文件

Ø PDF等电子出版格式；

Ø 其它以文本形式存储的格式。

Ø 支持通用网络传输协议，系统可以对基于不同网络传输协议所传输的数据进行监控，包括：

Ø 电子邮件（SMTP）；

Ø Web（HTTP）；

Ø 通过任何端口的所有其它TCP会话。

2.2.5.虚拟安全桌面

虚拟安全桌面（VSP）采用沙箱技术，在用户终端上模拟出一个或多个虚拟的安全桌面。用户在访问内网敏感数据的时候，必须要进入安全桌面才能访问。

该功能主要为了防止内网敏感数据外泄，即内网中终端计算机上的重要工作数据只能在虚拟安全桌面中进行编辑、查看等操作；用户无法把各种运营商业务数据拷贝到真实桌面，无法使用各种外设进行拷贝，也无法通过截屏、录屏等方式获取相关数据。用户登录客户端后，可自主选择在真实桌面或进入虚拟安全桌面工作，在安全桌面下的用户体验与真实桌面相同。

根据实际部署的需求，还可设置多个虚拟桌面，将不同的敏感数据源和不同的用户/用户组进行隔离，确保运营商敏感数据的可访问范围最小化。

2.2.6.应用保护系统

在运营商数据安全防护中，重要且敏感的数据往往存在于核心信息应用系统（OA、ERP、CRM、PDM等）。而应用保护系统对运营商的核心信息应用系统（OA、ERP、CRM、PDM等）提供数据安全防护。任意格式的文档一旦脱离该系统，就会被自动加密并设置使用权限。使用者在未授权时，无法将文档下载或外带，从而保证了业务系统内文档流转、存储和使用过程的安全。

文档上传解密功能可实现加密的文档上传到受保护的应用系统上自动解密。受保护的应用系统接收的文档包括：普通的明文文档、具有脱密权限的文档、本系统下载或信任应用下载的加密文档，以上文档上传到应用系统后均保持为明文。

2.2.7.终端行为管理系统2.2.7.1. 显示水印功能---文件脱密加水印

系统支持根据进程的种类动态加载显示水印，具体分为桌面水印和文档水印两种。桌面水印是指终端电脑启动后在电脑桌面最顶层展示水印；文档水印是指打开Office、wps、pdf、TXT等文档类的文件后，在对应的进程窗口上展示水印。文档水印的内容会随着进程窗口的放大、缩小、隐藏等变化而随动展示。显示水印的内容支持文字、二维码和图片三种。

同时，文件脱密加水印功能也是运营商常用的功能之一。

为了保证文件脱密的安全，在结合脱密审批系统的前提下，还研发了脱密加水印的功能，对于需要对文件脱密时，就意味着文件已经处于风险暴露的环境之下，因此，使用文件脱密加水印将是运营商常用的功能之一，将脱密者的身份名称，工号，时间等信息已水印的形式显示在文档上，是对保护运营商数据安全的重要方式之一。

2.2.7.2. 打印管控功能

系统支持对用户打印明文文档的事件进行审计与管控，管控的方式分为正常打印、带水印打印和禁止打印，支持用户自定义配置打印水印的内容。针对用户去水印打印的行为支持对文件的内容进行扫描，并根据扫描的结果是否命中进行灵活的管控配置。支持对用户的去水印打印行为进行日志和附件的审计功能。

2.2.7.3. 应用程序网络连接控制2.2.7.4. 网络访问行为管控2.2.7.5. IP端口控制2.2.7.6. 文档操作审计2.2.8.文档外发管理系统2.2.8.1. 应用程序外发管控2.2.8.2. HTTP协议外发加密2.2.8.3. 明文外发2.2.8.4. 文件外带包2.2.9.数据安全保险箱2.2.10.文档审批系统2.2.11.中间件（SDK）2.3. 部署方案

数据安全管理系统包括各类服务器（Server）、WEB控制台（Management Console）和客户端代理（Agent）三部分。其中服务器分为文档服务器、邮件服务器、状态服务器、策略服务器等。各服务器与Web控制台可部署在同一设备上。根据具体业务需求还可选配安全接入网关。

服务器（Server）是数据安全管理系统的核心组成部分，是所有策略的存储中心，也是系统运行和维护中心。在服务器上存储用户组织体系、策略以及日志等信息，并支持服务器级群部署；服务器也可可拆分为业务服务器、数据库服务器、文件服务器和日志服务器等进行单独部署，以提高系统性能。所有服务器需要授权后才可正常运行相应功能。

客户端代理（Agent）运行在数据安全管理系统需要控制的计算机终端上，该客户端代理采用安全的方式接受服务器的统一管理，接收服务器下发的策略，并通知相应的功能模块执行相应操作。所有的数据安全管理系统系列产品的系统，其功能模块都可通过平台的核心代理引擎与服务器进行通信。

WEB控制台（Management Console）是数据安全管理系统的管理界面，用于实现对服务器（Server）的管理，它是整个平台的控制中心，平台中的各个系统都集中在WEB控制台中展现。管理员通过WEB管理平台对客户端和各子系统进行配置、管理。