1 背景
隨著Internet和信息技術(shù)得不斷生長����,傳統(tǒng)紙質(zhì)得貿(mào)易策劃書�����、客戶檔案��、計(jì)劃圖紙�、性能測試報(bào)告等都實(shí)現(xiàn)了數(shù)字化�。這些數(shù)字化得資料成為了企奇跡單位賴以保存和生長得寶貴財(cái)產(chǎn),其安全性至關(guān)重要��。如:未出臺得軍事諜報(bào)和政策一旦泄漏����,將給國防和國民經(jīng)濟(jì)建設(shè)帶來巨大影響;企業(yè)核心產(chǎn)品得計(jì)劃圖紙���、貿(mào)易策劃書一旦被競爭敵手獲取��,將給企業(yè)得后續(xù)生長造成極大麻煩���。根據(jù)CSI/FBI統(tǒng)計(jì), 近年各種安全漏洞造成的損失中,30%-40%是由電子文件得泄漏造成得��;而Fortune排名前1000家得公司中,每次電子文件泄漏所造成得喪失都在是50萬美元以上���??梢?��,電子文檔庇護(hù)非常重要����。但電子文檔天生具有方便被復(fù)制�、修改和傳播得特點(diǎn),對其庇護(hù)和辦理得技術(shù)徐徐成為IT界得熱門和難點(diǎn)題目����。固然各個單位都采取了反病毒軟件�����、防火墻���、入侵檢測�����、身份認(rèn)證�、文件加密等技術(shù)本領(lǐng),但由于電子文檔面對來自單位外部和單位內(nèi)部兩個方面得安全威脅��,辦理者依然難以制止電子情勢得信息以電子郵件����、文件傳輸、惡意下載等本領(lǐng)從單位中泄暴露去��。單位中用戶大量利用得U盤����、移動硬盤、可寫光盤�����、MP3播放器等移動存儲配置�,Wi-Fi、藍(lán)牙等網(wǎng)絡(luò)連接方式��,另有條記本��、PDA等移動配置��,也都給單位帶來了緊張得關(guān)鍵數(shù)據(jù)泄漏威脅。
那么��,如何辦理在網(wǎng)絡(luò)互連互通得情況下�,防備公司得電子信息從收會合泄漏呢?優(yōu)盾文檔安全辦理體系在廣泛市場查問造訪得根本上�、吸取了同類產(chǎn)品得上風(fēng),結(jié)合當(dāng)前可信謀略得進(jìn)步先輩技術(shù)��,經(jīng)過進(jìn)程對種種電子文檔舉行透明加密��,細(xì)化文檔得拜候權(quán)限��,對文檔解密利用得情況舉行斷絕庇護(hù)�,堵截關(guān)鍵數(shù)據(jù)得二次傳播和擴(kuò)散,實(shí)現(xiàn)了文檔建立����、存儲、拜候��、利用和燒毀得全進(jìn)程辦理����,從而有效包管了核心數(shù)據(jù)得可信和可控���。
2. 產(chǎn)品介紹
優(yōu)盾文檔安全管理系統(tǒng)分為服務(wù)端和客戶端兩個部分����,其中服務(wù)端對單位各種關(guān)鍵檔案進(jìn)行集中加密存儲,客戶端則通過虛擬加密磁盤的形式讓用戶在可控范圍內(nèi)使用服務(wù)器上的文檔�,安全管理員還可通過客戶端集成的遠(yuǎn)程管理模塊實(shí)現(xiàn)對單位的人員和文檔權(quán)限進(jìn)行管理。服務(wù)端一般安裝在企業(yè)或單位的文檔存儲服務(wù)器上�����,客戶端則安裝在員工的臺式或筆記本電腦上��。一般情況下����,服務(wù)端和客戶端通過內(nèi)部網(wǎng)絡(luò)進(jìn)行連接。特殊情況下�����,客戶端通過配套的安全優(yōu)盤授權(quán)也可離線獨(dú)立使用��。整個系統(tǒng)的主要功能有:
1)文檔集中加密存儲
系統(tǒng)將所有需要保護(hù)的關(guān)鍵檔案集中存放到單位服務(wù)器上��,存儲的檔案采用高強(qiáng)度加密算法(AES-128)進(jìn)行加密,加密后的檔案通過FTP文件傳輸協(xié)議共享給各個客戶端使用�。客戶端登陸成功后����,在本地電腦中將出現(xiàn)本地虛擬加密磁盤和用戶對應(yīng)服務(wù)器上的FTP目錄空間,用戶可以方便地將文件從虛擬加密磁盤上傳到服務(wù)器保存�,也可從服務(wù)器下載文件到本地虛擬加密磁盤使用。
2)文檔權(quán)限的細(xì)粒度控制
現(xiàn)有文檔管理系統(tǒng)定義文檔訪問權(quán)限僅僅包括讀�、寫和執(zhí)行等,對于用戶刪除��、編輯��、打印�����、網(wǎng)絡(luò)發(fā)送����、內(nèi)容拷貝、鼠標(biāo)拖放等操作沒有明確定義���。系統(tǒng)從加強(qiáng)文檔可信使用的角度����,將上述各種操作的細(xì)粒度權(quán)限納入統(tǒng)一的管理框架��,并提供相應(yīng)的控制手段��。由于上述權(quán)限可以進(jìn)一步結(jié)合時(shí)間��、終端操作環(huán)境��、用戶和程序進(jìn)行定義�,系統(tǒng)可以實(shí)現(xiàn)“什么人在什么時(shí)間什么地點(diǎn)對什么文件具有什么操作權(quán)限”的嚴(yán)格控制,真正實(shí)現(xiàn)防止關(guān)鍵文檔泄露和擴(kuò)散的目標(biāo)�����。具體來說��,用戶通過資源管理器操作本地虛擬加密磁盤中的文件時(shí)����,根據(jù)管理員權(quán)限配置,可以讀���、寫����、創(chuàng)建或刪除虛擬加密磁盤中的文件,但無法將其中的文件或文件內(nèi)容通過拷貝����、剪貼板復(fù)制、打印�、網(wǎng)絡(luò)發(fā)送等方式轉(zhuǎn)移出虛擬加密磁盤。
3)用戶及權(quán)限配置
系統(tǒng)根據(jù)單位組織機(jī)構(gòu)和人員構(gòu)成�,可以靈活添加相應(yīng)的部門和用戶,并可按單位����、部門、用戶分級定義相應(yīng)的文檔操作權(quán)限�����,包括文檔訪問權(quán)限(創(chuàng)建����、讀、寫�����、刪除、更名)�、文檔內(nèi)容防泄漏權(quán)限(打印、網(wǎng)絡(luò)發(fā)送�、解密�����、傳送)等方面�����。
4)內(nèi)部消息機(jī)制
為方便內(nèi)部用戶間的協(xié)作���,系統(tǒng)提供內(nèi)部消息機(jī)制�,可以基于該機(jī)制廣播系統(tǒng)消息�,實(shí)現(xiàn)用戶點(diǎn)對點(diǎn)交流,或借助內(nèi)部消息返回各種操作與控制結(jié)果����。
5)文檔內(nèi)部流轉(zhuǎn)控制
文檔所有者可以通過內(nèi)部網(wǎng)絡(luò)將需要共享的文件發(fā)送給其他用戶,系統(tǒng)將根據(jù)權(quán)限配置自動判斷是否允許該操作�,如果操作成功,系統(tǒng)將記錄相應(yīng)的審計(jì)信息����,并以消息的形式提醒接收文檔的用戶�����。即使接收文檔的用戶當(dāng)時(shí)不在線��,同樣可以接收到發(fā)送的文檔����。除此之外����,系統(tǒng)還允許用戶使用選配的優(yōu)盾安全優(yōu)盤進(jìn)行內(nèi)部傳遞和交流。
6)文檔網(wǎng)絡(luò)外發(fā)控制
對于需要通過網(wǎng)絡(luò)發(fā)送給合作伙伴或客戶閱讀的文檔����,系統(tǒng)通過文檔外發(fā)工具控制閱讀文檔的用戶擴(kuò)散文檔內(nèi)容,發(fā)送方配置相應(yīng)權(quán)限�����,加密打包要發(fā)送的文檔后����,接受方使用外發(fā)工具接收和閱讀����,并能且只能在權(quán)限范圍內(nèi)操作�����。
7)文檔外帶的離線控制
由于加班或出差的需要��,員工可能希望能在離線的情況下使用各種關(guān)鍵文檔���,單位領(lǐng)導(dǎo)又不希望員工在單位網(wǎng)絡(luò)外面將文檔擴(kuò)散。為此��,系統(tǒng)提供授權(quán)情況下的離線控制方式��。即出差用戶可從服務(wù)器下載需要的文檔資料����,獲得系統(tǒng)授權(quán)后,能夠通過離線方式登錄客戶端�,編輯其中的各種文檔,卻不能將文檔轉(zhuǎn)移出虛擬加密磁盤�。如果用戶出差回來,虛擬加密磁盤中的文檔又可回收到服務(wù)器上��。
8)文檔安全審計(jì)
管理員可以對系統(tǒng)日志記錄的各種事件進(jìn)行查找、統(tǒng)計(jì)和分析�,以便查明關(guān)鍵檔案泄漏的原因,及時(shí)采取各種輔助管理手段����。為最大可能減少文檔內(nèi)容等信息泄露,系統(tǒng)還可根據(jù)用戶需要提供一個文檔痕跡檢測工具����,可以檢測用戶電腦磁盤中的各種刪除文檔和最近訪問文檔的痕跡,必要的時(shí)候可以對這些痕跡進(jìn)行清理���。
9)文檔備份與恢復(fù)
系統(tǒng)針對服務(wù)器和離線客戶端都可提供可靠的備份功能���,以確保其中各種重要數(shù)據(jù)不會意外損壞和丟失。
3.技術(shù)特點(diǎn):
3.1�、安全可靠
文檔存儲時(shí)自動強(qiáng)制加密,加密方式為全文透明加密�,密鑰管理嚴(yán)格;
只有在服務(wù)端登記后的具備權(quán)限用戶才能解密和使用文件���;
文件進(jìn)行復(fù)制�、轉(zhuǎn)移等操作時(shí)自動生成日志,客戶端操作行為在聯(lián)機(jī)和離線兩種使用方式下都受到嚴(yán)密管控�����;
限制用戶以任何方式非法拷貝或轉(zhuǎn)移文檔及文檔內(nèi)容���;
只有通過身份認(rèn)證方能進(jìn)入系統(tǒng)����,關(guān)鍵操作需要驗(yàn)證口令���;
可以控制離線使用的時(shí)限和環(huán)境�����,增強(qiáng)安全控制效果;
使用者不易卸載���、停止控制客戶端����,即使被卸載���,受保護(hù)文件仍被加密保護(hù)或無法訪問�;
用戶可以選配優(yōu)盾安全優(yōu)盤,以增強(qiáng)系統(tǒng)的安全性��?!?br />
3.2、適應(yīng)面廣
支持對所有Windows文件進(jìn)行加解密��;
支持所有程序使用保護(hù)文檔�,不影響系統(tǒng)性能;
用戶可自定義系統(tǒng)登錄口令強(qiáng)度�;
可在線控制、也可離線控制文檔使用(包括對員工在家加班和出差的管理)����;
免去由于應(yīng)用程序升級帶來的軟件升級煩惱。
3.3�、使用方便
文檔的加解密操作對使用者完全透明,文檔保存時(shí)自動加密�,文檔讀取時(shí)自動解密,不需要用戶輸入加解密文檔的密鑰�����;
受保護(hù)文檔在許可的范圍內(nèi)創(chuàng)建�����、傳遞、使用和更新都很方便��;
受保護(hù)文檔可安全地通過網(wǎng)絡(luò)外發(fā)工具讓素不相識的合作伙伴或客戶閱讀�����;
所有管理都在客戶端就可進(jìn)行��,不同級別用戶登陸后自動具有不同權(quán)限���;
支持Windows 2000以上操作系統(tǒng)���;
圖形化界面,易學(xué)易用�。
3.4、管理簡單
單位領(lǐng)導(dǎo)可以通過服務(wù)端的安全USBKey防止系統(tǒng)隨意篡改和啟動��;
只要修改加密策略(單位����、部門���、個人)�,在線用戶立即生效;
服務(wù)器可結(jié)合磁盤陣列柜或鏡像服務(wù)器使用���,實(shí)現(xiàn)單位文檔的有效保護(hù)�����;
文件的內(nèi)部使用和流轉(zhuǎn)具有日志�����,安全審計(jì)方便��。
4����、應(yīng)用領(lǐng)域
優(yōu)盾文檔安全管理系統(tǒng)實(shí)現(xiàn)了“防外”和“防內(nèi)”兩個方面的安全目標(biāo)���。其客戶群覆蓋個人��、企業(yè)���、銀行�、稅務(wù)�����、政府和軍隊(duì)等����,涉及的應(yīng)用領(lǐng)域主要有:
1)企業(yè)知識產(chǎn)權(quán)管理。尤其是各種設(shè)計(jì)�、制造型企業(yè)。
2)軍隊(duì)和政府保密資料管理���。包括各級國家保密局�、安全局����、軍工廠、軍事科研院所等部門和單位����。
3)銀行、稅務(wù)等重要行業(yè)�。滿足各種客戶檔案�,業(yè)務(wù)數(shù)據(jù)����、統(tǒng)計(jì)報(bào)表等資料的安全保管��。
4)個人隱私保護(hù)����。包括各種照片、視頻�����、日記��、通信錄和賬務(wù)等資料保護(hù)����,防止病毒木馬侵蝕或被他人偷竊與拷貝。
