上海某著名合资基金管理公司:建立企业内外部文件安全交换统一管控平台
项目背景
在日常工作和业务开展过程中,公司内部产生的大量专业资料、数模工具、分析程序代码等核心数据,需要发送给外部合作伙伴,员工主要通过IM、邮件、FTP等各种方式进行文件外发。
为保护核心数据安全,公司通过防火墙和网络安全设备在办公网和互联网之间建立DMZ区进行隔离,同时,在DMZ区部署FTP服务器、增加邮件网关来进行数据外发。邮件系统禁止发送附件数据,核心数据通过OA审批后,由专人上传到DMZ区的FTP服务器或申请使用DMZ区专用电脑进行外发。
业务痛点与需求
虽然目前的方式可以满足基础的文件流转需求,但跨系统、跨部门而带来的较多流程,导致文件发送周期较长、工作效率较低;在使用FTP传输时,会出现大文件传输慢、服务器积累较多数据无法自动清理、传输不稳定等问题,进而形成一定的运维工作量;在安全管控方面,系统操作日志记录较为简单,且分布在2个系统中,无法精准而便利地进行审计;此外,文件发出后的接收情况也难以准确掌握。
因此公司需要建设一套安全、合规、便捷的统一文件安全交换系统,作为与客户进行文件外发的统一通道,以此保障文件传输的安全性。该平台需实现以下需求:
构建内部统一的、官方认可的、安全合规的文件传输交换平台
对外部的外发文件,特别是敏感信息文件实施包括自动安全检查、审批、审计等在内的综合性管控策略
拥有统一、详细的日志记录,可精准、快速地了解文件外发操作,且配有归档机制,可审计外发原文
拥有文档自动清理功能,可以自动清理超过追溯期的文件,释放系统存储空间
不改变现有网络隔离架构,不影响当前网络架构层面的整体安全性,符合IT技术架构和信息安全方面的总体规范和要求
系统建设方案
使用Ftrans飞驰云联文件安全收发系统来解决企业对统一文件安全交换系统的建设需求。
Ftrans飞驰云联文件安全收发系统分别部署在公司办公网和DMZ区。办公网面向内部提供文件安全收发,DMZ区面向内外用户提供文件安全收发,实现内外访问分离。系统与赛门铁克SEP对接,实现文件病毒检查功能。与AD对接,实现组织结构和用户同步与统一登录认证。与Exchange集成,及时发送系统通知。
根据企业文件收发管控制度,只允许指定数据管理团队面向外部客户收发文件,其他用户则需向数据管理员申请,并由数据管理员完成发送。外发文件需通过安全检测,不同部门和文件指向不同审批流程。审批通过后系统自动向外部接收方发送邮件通知,只有指定接收人员方可提取文件。
方案特点
便捷灵活的审核流程,收发审核一体化
系统内置审批流程,实现内部审核一体化。根据收发件人信息和外发文件内容自动匹配不同的审批流程,灵活进行审核管理。文件外发和审核信息统一,审核的文件就是外发的文件,无法进行二次篡改。
文件包交换模式,安全传递防篡改
系统采用创新的文件包概念,已发送的文件包,任何人(包括数据的发起者)都不能再进行修改。传输的文件进行加密封装,可通过口令、验证码、有效期、访问次数、访问权限等方式对接收方进行文件权限管控,保护业务数据安全性和唯一性。同时提供文件收集链接功能,主动邀请外部协作方按指定要求提交文件。
全平台日志记录,可追溯原始文件
全平台的日志记录,包括但不限于:用户行为、系统运行、业务动态、文件传输、审批审核等记录,即使文件已过期,也可追溯指定文件的原始内容及相关操作。
数据安全保护机制,有效防止信息泄露
系统内置防病毒引擎,自动进行病毒查杀,可根据文件类型、大小等特性进行安全过滤。可进行敏感词、敏感正则识别,防止敏感文件外泄。支持传输链路加密,自动交换安全证书,一传一密,杜绝链路嗅探。
账号统一管理,提高运维效率
系统与内部AD系统进行账号同步和统一认证,保持了用户账号和权限体系的统一性,管理员只需维护AD系统即可,降低了IT部门的运维工作量。
大规模文件支持,大幅提升业务时效性
系统内置高性能传输协议,可大幅提升带宽利用率,极大提升传输速度。支持断点续传、自动重传,并自动校验数据的完整性,避免传输过程中文件的遗漏和出错,避免给用户造成影响和损失。
应用效果
通过Ftrans Express文件安全收发系统的应用,实现了在同一个平台完成文件检测、审批、发送、审计的全流程管控,提高了业务效率,也实现事前可控制、事中可审查、事后可追溯的文件安全交换全生命周期管控。系统一经上线即在内部得到快速使用,获得了业务部门的肯定和好评。