企业数据平安防泄密解决方案Word格式.docx
- 文档编号:22543466
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:23
- 大小:764.99KB
企业数据平安防泄密解决方案Word格式.docx
《企业数据平安防泄密解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《企业数据平安防泄密解决方案Word格式.docx(23页珍藏版)》请在冰豆网上搜索。
为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方式来进行限制;
或安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;
或安装各类网络信息平安防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客解决和病毒侵袭。
但人们专门快发觉,限制上网、封锁USB接口、拆除光驱软驱、安装监控软件等等做法一方面严峻阻碍工作的方便性,并容易引发员工的抵触情绪,乃至可能会带来法律方面的问题;
另一方面仍是无法全然杜绝成心的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方式成效不是专门好,要紧存在的短处为:
-阻碍员工工作情绪乃至造成法律纠纷;
-增加企业运营本钱,降低工作效率;
-无法避免软件研发人员泄密;
-精力都花在泄密后的事后追溯上;
坚信达SDC机密数据保密系统
技术处于国际领先的坚信达公司研发的SDC(SecretDataCage)机密数据保密系统,采纳世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
此刻的企业都有自己的局域网,一样要紧核心机密数据寄存于效劳器上,一部份存储在员工在自己的电脑上。
SDC的保密设计理念是:
当员工工作的时候,在员工电脑上虚拟出一个对外隔间的加密的沙盒,该沙盒会主动和效劳器进行认证对接,然后形成效劳器-客户端沙盒如此一个涉密的工作空间,员工在沙盒中工作,如此一来:
--效劳器上的机密数据在利用进程中不落地,或落地即加密。
--员工电脑上的所有开发的功效只能寄存到效劳器上,或本地的加密沙盒中。
--沙盘是和外界隔间的,因此可不能泄密。
SDC加密的沙盒,是个容器,什么都能装;
加密自身不关切个体是什么,因此和进程无关,和文件格式无关,和文件大小无关,可不能去破坏文件。
也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示用意
客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。
而那个容器是透明的,利用者感觉不到它的存在。
SDC采纳最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。
系统本身集成网络验证,文件加密,打印操纵,程序操纵,上网操纵,效劳器数据爱惜等,能有效避免外来PC,移动存储,光盘刻录,截屏等泄密行为发生。
其要紧特点为:
-全透明加密,不阻碍员工工作效率和适应;
-能够爱惜所有文件格式,包括所有文档格式,所有源代码格式,图纸格式;
-平平稳固,不破坏文件;
-只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。
-外发文档审计,加密,防泄密处置;
-外发邮件申请,审计业务流。
利用坚信达SDC沙盒数据保密系统,能够切实爱惜企机密数据的平安。
SDC机密数据防泄密系统示用意
适合的行业包括:
-软件、通信、游戏、制造、电力、金融等拥有研发设计部门的企事业单位;
-拥有自己的研发部门,具有必然的技术优势企业;
-PDM/ERP/文档治理/OA等应用系统的开发商;
-所有需要对自己的机密信息保密的企事业单位。
第二章SDC系统介绍
SDC系统架构
坚信达SDC机密数据保密系统分治理端,机密端,外发审核效劳器,客户端四部份。
治理端是整个系统的操纵中心,系统中只有一个;
机密端是寄存机密数据的效劳器,一个系统中许诺有多台机密效劳器;
外发审核效劳务器是对外发文件进行审核;
客户端是安装在员工PC上的防泄密策略的执行程序。
依照需要,治理端,机密端,外发审核效劳器能够安装在同一台电脑上。
SDC防泄密系统架构图
治理端:
对系统中的机密端,客户端进行策略治理,组织治理;
客户端日记搜集;
企业加密密钥治理;
客户端卸载治理;
机密效劳器,外发审核效劳器认证治理;
机密端:
保留机密数据的效劳器,对来访用户进行严格审计,加密认证。
能够是文件共享效劳器,ERP,PDM效劳器,文档治理系统。
或是VSS,CVS,SVN文件版本治理效劳器。
非客户端无法访问机密端。
外发审核效劳器:
对外发的邮件,文件进行审核,关于涉密文件可自动加密。
外发结果记录。
客户端:
透明加密解密,真正和格式无关的加密。
可信网络认证,机密资源认证。
打印操纵,禁止打印,指定打印机打印,打印内容日记回传。
离线操纵;
文档外发等
SDC系统功能
客户端涉密文件自动加密
SDC采纳内核级纵深加密技术,对所有涉密文件都进行透明加密处置,真正做到不区分文件格式,不区分软件类型。
只若是涉密信息,不管Office系列,PDF等经常使用文档,仍是AutoCAD等制图类软件,或是MicrosoftVisualStudio,Eclipse等软件开发工具,一概自动加密,不但包括源代码,源图纸,而且编译中间文件等都自动加密,关键的是不阻碍本地编译,不阻碍性能。
关于需要提交效劳器进行编译的也能轻松适用。
客户端透明加密解密示用意
加密的数据不能通过移动存储(如U盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,乃至把硬盘拔走都可不能造成泄密。
涉密网络内部通畅,隔离外来PC
机密效劳器和进入涉密沙盒模式下的客户端,形成一个涉密地,平安的网络空间,在涉密网络内部,信息传输是透明的,流畅的。
传输方式包括文件共享,C/S(客户端和治理端)B/S(阅读器/效劳器)构架的应用,和布置SDC前比,没什么区别。
涉密网络内,飞秋,IPMSG等局域网内部谈天工具照常能够利用。
可是,没有进入沙盒模式的客户端,或外来PC接入网络,由于无法通过认证,当即被隔离,成为孤岛,不能访问机密效劳器,不能访问其他涉密客户端,局域网通信工具也无法和涉密的客户端进行对话。
外来PC被隔离示用意
非涉密受限白名单
在策略许诺前提下,客户端在涉密工作的同时,在保证可不能泄密的前提下,许诺安某些程序进行非涉密上网。
在策略许诺的前提下,上网能够进行的行为包括:
--阅读互联网进行必要的资料查询;
--QQ,MSN,飞信的利用;
--非涉密邮件的利用,如WebMail或OutLook/Foxmail的非涉密收发邮件;
上述非涉密上网进程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被非涉密程序利用。
举例说明:
用户正在编辑涉密的一个AutoCAD图纸,现在能够通过IE上互联网查找资料,通过QQ和业内人士讨论,可是涉密AutoCAD中的图片,文字,文件等都无法通过IE和QQ发送出去。
QQ的截屏等任何截屏软件,录屏软件都无法截去涉密AutoCAD画面。
固然,若是感觉该员工上网会阻碍工作效率的话,通过策略设定,能够把外网完全断开。
平安隔离上网功能,极大地提高了员工查找资料的便利性。
平安隔离非涉密受限上网示用意
涉密文件外发
当业务需要把涉密文件拿出涉密环境时,必需走SDC的外发审核流程才能脱密。
SDC系统提供了明文外发,加密外发和邮件外发三种方式。
下面简单做下介绍。
明文外发:
当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,通过审批后的涉密文件,能够通过邮件,QQ,U盘等方式外发给客户。
若是外发的文件格式为PDF,审核时能够为该文档添加公司标识的水印。
每一个外发出的PDF格式文件都包括了签名,通过该签名,能够判定出该文件是谁什么时刻申请外发的,谁什么时刻审批的。
审批支持多级审批,如组员->
组长->
领导->
副总的多级审批模式
加密外发:
当业务需要,需要把涉密的文件发给客户,同时还希望操纵该文件的利用范围,那么能够利用加密外发业务流程。
加密外发的文件发到客户处,被客户利历时,需要密码验证,而且能够设定利用次数,利历时刻,能在哪台PC上打开等,该文档是不是许诺修改,复制,打印等,也能够设定。
邮件外发:
为了提高效率,系统支持可信邮件地址列表和可信发件人。
可信发件人向可信邮件地址列表中发送带有涉密文件的邮件,无需审核,直接发送。
以上三种涉密文件外发审核流程,都是申请-〉审核-〉外发,而且往后有日记能够审核。
总之,涉密数据依照需求需要离开机密环境时,需要走审核流程。
固然,企业治理者若是感觉流程麻烦,能够只看发送日记,简化审核流程。
打印内容日记
系统默许策略是不许诺打印,当需要打印时,能够指定打印机进行打印,可是打印的首页面内容将被记录并传会效劳器,以备往后审计。
离线客户端
关于需要出差或带回家的笔记本电脑,能够设定为离线客户端,在规定的时刻内,能够继续利用本地的涉密数据。
离线利历时,所有涉密文件都还处于加密状态,工作人员能够继续正常作业。
但如果是超过设定的期限,所有涉秘密数据都自动关闭,整个系统将处与爱惜状态,直到返回公司接入网络连接效劳器后,才能正常工作。
若是万一笔记本电脑丢失或被盗,由于对方没有解密口令,所有涉密数据都处于爱惜状态,从头安装系统,硬盘插拔等,都无法获取电脑中的机密数据。
当客户端策略过时而又无法回公司时,系统治理员能够对其进行策略延长。
客户端涉密文件自动备份
依照策略,能够设定客户端的涉密文件自动向效劳器上进行备份。
如此就能够有效避免客户端利用人员歹意删除数据行为(如该员工离职,不作交接就把本地数据格式化了)。
也能避免客户端异样造成的重要数据遗失。
客户端涉密文件自动上传
涉密文件加密导出导入
客户端能够把某文件加密导出,然后发给另一个客户端,再解密导入,整个进程不泄密。
应用处景一:
2个人出差到外地,这2个客户端都是离线的,通过那个加密导入导出功能,能实现这2个客户端之间涉密数据互换。
应用处景二:
一个人出差外地,现场依照客户需求开发调试,调试好了的东西,需要提交给客户,若是直接让解密,无法操纵该人把其他涉密文件拷贝出去。
因此那个时候,出差人员把要给客户的文件加密导出,然后发还公司,公司审核后,解密,走审核流程,然后把明文发给客户,形成有效操纵。
应用处景三:
2个独立的分支公司(跨互联网),其中一个公司要把一个涉密文件发给另一个分公司,然后导入。
效劳器端数据爱惜
关于存储在机密效劳器上的数据,如SVN的存储目录,也能够进行爱惜,避免有人非法直接登录效劳器,把数据从效劳器上拷贝走。
效劳器端文件爱惜
第三章SDC系统特点
沙盒加密是个容器,和软件类型无关,文件类型无关
SDC采纳第三代透明加密技术--内核级纵深加密技术,加密沙盒是个容器,和应用软件类型,和文件格式无关,不破坏文件自身内容。
而且抗破解能力强,完全能知足研发机构的源代码保密,和图纸保密需求。
目前为止,SDC已经实施的客户中,开发环境包括:
-MicrosoftVisualStudio平台的MFC/ATLC++,C#.NET,VB等的编写代码,编译调试。
-Java,JSP等开发工具Eclipse,JBuilder,Websphere等环境下的代码编写,开发调试。
-各类小工具进行PHP,ASP,CGI,C等开发,调试。
-嵌入式开发工具:
WindRiver,Tornado,AVCMonitor,
SourceInsight/ComAssistant
图纸设计研发类支持:
-支持AutoCAD,SolidWorks,UG等所有图纸设计工具的开发,调试,不区分文件类型,软件类型。
能和文件共享效劳器,应用效劳器无缝结合
坚信达SDC机密数据防泄密系统能和现有的文件共享效劳器,文档效劳器,ERP效劳器,PDM效劳器,OA等B/S架构系统,C/S架构系统,VSS,CVS,SVN版本效劳器等无缝结合。
原有系统如是Windows平台,那么不需要任何修改。
效劳器端支持Linux平台。
平平稳固,不破坏数据
涉密文件在效劳器上是明文,抵达客户端自动加密。
效劳器上的数据要备份的,效劳器上寄存的是明文数据,从全然上保证了数据的持续,稳固性,减少了对加密软件的依托性。
另外,由于采纳的是第三代透明加密技术,因此不管文件何等大,何等复杂,可不能因为SDC系统造成文件破坏破损。
利用便利,操作机密数据的同时,能够上网
SDC系统采纳的是立体型全方位防泄密方案,一旦进入涉密状态,不改变原先的操作适应。
在策略许可前提下,许诺通过非涉密受限上网,实现能够上网查阅资料而不泄密,收发邮件而不泄密,QQ谈天而不泄密。
超强的反截屏
SDC系统对涉密文档的屏幕也做了爱惜,避免被截屏。
截屏键,截屏软件,录屏软件都无法截取涉密文档的屏幕图像,反截屏技术在业内公认第一。
反截屏成效说明图
第四章推荐运行环境
治理端(能够和机密端装在一路)
-Windwos2003Server/Windows2020Server
-CPU:
P4以上内存2G以上
-空余硬盘:
10G以上(支持磁盘阵列,NAS等存储)
-其他要求:
微软补丁打到最新,支持64位操作系统
机密端(能够和治理端装在一路)
外发审核效劳器(能够和治理端装在一路)
微软补丁打到最新,IIS,.Net安装,支持64位操作系统
客户端
-Windowsxp/Windows732bit/Windows764bit/WindowsVista/Windows2003
P4以上
-空余磁盘:
2G以上
第五章关于坚信达
坚信达介绍
坚信达信息技术是专注于信息平安领域研发的高科技企业,在信息防泄密,主动防御领域等领域,处于国际领先水平。
公司拥有一支由全国最顶尖的平安专家组成的开发团队,在数据保密,主动防御等方面,取得了一系列拥有独立知识产权的研究功效。
咱们基于连年的信息平安领域的研究与开发体会,为国内政府、电信、金融、制造、能源、教育等行业客户提供信息平安解决方案和风险评估,咨询等效劳。
公司目前的要紧产品为:
SDC机密数据保密系统(SecretDataCage简称SDC):
该系统采纳第三代透明加密技术--内核级纵深防御架构,技术先进,保密到位,在源代码,图纸,文档的保密市场中,优势明显,前后成功为国内数家大型企业(1000终端以上)和国家涉密机关(500终端以上)实施了数据保密方案。
效劳器机密数据防泄密爱惜组件(DLP):
该插件适合作为CRM,OA,ERP,,PDM,文档治理系统等的防泄密组件,能有效避免涉密数据扩散。
企业U盘存储治理系统:
企业内的U盘只能在企业内部利用,拿出单位当即为密文。
外部U盘在企业内是只读的或禁止利用的。
坚信达文件保险箱:
提供用来避免个人信息泄密的的系统,该系统免费,目前拥有数万用户。
有偿技术支持:
1)文件透明加密驱动库和源代码。
本技术尽管属于第二代文件透明加密技术(IFS或Minifilter),但运行稳固,目前国内数家透明加密厂家正在利用中。
2)反截屏技术模块库,反截屏技术国内业界公认第一,目前也正在为数家平安企业做技术支持。
演示视频
附录一:
透明加密技术进展
透明加密技术是最近几年来针对企业数据保密需求应运而生的一种数据加密技术。
所谓透明,是指对利用者来讲是透明的,感觉不到加密存在,当利用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让利用者看到的是明文。
保留数据的时候,系统自动对数据进行加密,保留的是密文。
而没有权限的人,无法读取保密数据,从而达到数据保密的成效。
自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。
自上而下,
应用软件,应用层APIhook(俗称钩子),文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网络过滤驱动,各类设备过滤驱动。
其中应用软件和应用层apihook在应用层(R3),从文件过滤驱动开始,属于内核层(R0).
APIHOOK
文件过滤驱动
磁盘过滤驱动
卷过滤驱动
磁盘设备(文件实体)
网络过滤驱动)
网络设备
应用软件(Word,Excel,VC++)
内核R0层
应用R3层
数据透明加密技术,目前为止,进展了3代,别离为
第一代APIHOOK应用层透明加密技术;
第二代文件过滤驱动层(内核)加密技术;
第三代内核级纵深加密技术;
第一代:
APIHOOK应用层透明加密技术
应用层透明加密技术俗称钩子透明加密技术。
这种技术起源于win98时期,后来随着windows2000而流行起来。
确实是将上述两种技术(应用层API和Hook)组合而成的。
通过windows的钩子技术,监控应用程序对文件的打开和保留,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保留时,又将内存中的明文加密后再写入到磁盘中。
应用层APIHOOK加密技术,特点是实现简单,缺点是靠得住性差,速度超级慢,因为需要临时文件,也容易破解。
但由于直接对文件加密直观感觉超级好,关于当初空白的市场来讲,这一旗号确实感动了很多企业。
第二代:
文件过滤驱动加密技术
驱动加密技术是基于windows的文件系统(过滤)驱动技术,起源于WindowsNT发布以后,其工作在windows的内核层,处于应用层APIHook的下面,卷过滤和磁盘过滤的上面。
设计思想是成立当应用程序(进程)和文件格式(后缀名)进行关联,当用户操作某种后缀文件时对该文件进行加密解密操作,从而达到加密的成效。
内核层文件过滤驱动技术,分IFS和Minifilter2类。
IFS显现较早,Minfilter出此刻xp以后。
二者的区别能够明白得为VC++和MFC的区别,IFS很多情形需要自己处置,而Minifilter是微软提供了很多成熟库,直接用。
由于windows文件保留的时候,存在缓存,并非是当即写入文件,因此依照是不是处置了双缓bug,后来做了些细分,但本质仍是一样,都是问题的修正版本罢了。
但由于工作在受windows爱惜的内核层,运行速度比APIHOOK加密速度快,解决了很多问题和风险。
文件过滤驱动技术实现相对简单,但稳固性一直不太理想。
第三代:
内核级纵深沙盒加密技术
之因此叫内核级纵深沙盒加密技术,要紧缘故是利用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防御加密。
该技术也起源于WindowsNT以后,但由于技术复杂,开发要求高,公布资料少,而进展较慢。
但随着微软发布了部份Windows源代码以后,此技术开始慢慢成熟。
内核级沙盒加密,是当利用者操作涉密数据的时候,对其存储进程进行操纵,对其结果进行加密保留,每一个模块只做自己最擅长的那块,因此超级稳固。
加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。
,
第三代透明加密技术的特点是,涉密数据利用前,先初始化涉密沙盒,沙盒加密一旦成功,以后所有的数据都是数据实体,不针对文件个体,因此无数据破损等问题。
特点是速度快,稳固。
第一代,第二代本质都是采纳的针对单个文件实体进行加密,如内容为1234,加密后变成@#$%%+标记。
@#$%%是把原文1234进行加密以后的密文。
而标记的用途是用来区分一个文件是不是是已经被加密。
当系统碰到一个文件的时候,第一判定那个标记是不是存在,若是存在,说明是被系统加密过的,那么走解密读取流程,若是不是加密的,就无需解密,直接显示给利用者,只是当保留的时候,再进行加密,使其成文密文+标记。
这就带来一个庞大的风险:
若是是一个较大文件,加密进程中发生异样,标记没加上,那么下次读那个文件的时候,因为没有读到表记,而采纳原文读取,然后再加密,那么那个文件就完全损坏了。
那个现象在第一代APIHOOK透明加密技术的产品中专门明显,在第二代文件过滤驱动产品中,因为速度变快了,使文件破损发生概率减低了很多,但并无本质解决那个问题。
另外,由于是进程和文件后缀名进行关联,也造成了一个缺点:
很多编程类软件,复杂制图软件的编译,晒图等操作,都是很多进程同时操作某个文件,那个时候进行进程和文件关联显然太牵强了,因为进程太多了。
即便进行关联,多个进程交替访问文件,加密解密混在一路,极容易造成异样。
因此才会显现VC等环境下如不能编译,调试等。
其他方面,版本治理无法对照,效劳器上寄存的是密文(效劳器存密文,是个极大的风险,目前没有哪家大企业敢这么做,毕竟太依托加密软件,持续性没有了),大文件速度慢等,一系列问题,无法解决。
而第三代内核纵深加密技术是在前者2个基础之上进展而来的,每一个过滤层都只做自己最擅长的情形,因此专门稳固,速度快,性能靠得住,不存在第一代和第二代的问题。
由于内核级纵深透明加密技术要求高,涉及技术领域广,极为复杂,开发周期长,因此国内的能做开发的厂商不多。
目前,坚信达公司推出的SDC机密数据保密系统,给人一眼前一亮的感觉,其产品是第三代透明加密保密技术的典型产品,其产品要紧特点是:
1)采纳了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列纵深内核加密技术,采纳沙盒加密,和文件类型和软件无关,沙盒是个容器。
2)在操作涉密数据的同时,不阻碍上外网,QQ,MSN等。
3)保密完全,包括网络上传,邮件发送,另存,复制粘贴,屏幕截取等,专门是屏幕保密,做得超级炫。
4)效劳上寄存的是明文,客户端寄存的是密文,文件上传效劳器自动解密,抵达客户端自动加密。
效劳器上明文,减少了业务持续性对加密软件的依托。
5)不但能够针对一般文档图纸数据进行保密需求,同时更是研发性质的软件公司(游戏,通信,嵌入式,各类BS/CS应用系统)源代码保密首选。
第一代,第二代,第三代
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 数据 平安 泄密 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)