厦门义方信息科技有限公司
站内搜索 点击进行登录,必须先输入用户名、密码和校验码
   首  页  | 公司简介 | 产品与服务 | 新闻中心 | 下载中心 | 客户案例 | 技术应用 | 我要留言 | 联系我们 | 义方手册
  产品与服务

点击这里与客服人员在线交谈 点击这里与客服人员在线交谈
点击这里与客服人员在线交谈 点击这里与客服人员在线交谈

企业防信息泄密


1.背景

       传统的信息安全解决方案如防火墙、专网、入侵检测等,可以防止外部人员非法访问,但不能防止内部人员、以及作者本人对机密文档进行复制和传播。众所周知,电子文档的复制非常容易、传播极其隐秘,这种对机密文档的复制和传播才是造成信息泄密的主要途径。

常见的信息泄密情形有:

◆ 内部主动泄密:员工因为离职、不满、被收买等原因把机密文档外泄。
◆ 内部无意泄密:员工保密观念不强造成无意识地外泄,如离机未锁定系统、在外使用移动硬 盘、存储介质如 U 盘遗失等。
◆ 外部恶意窃取:外部黑客入侵网络窃取机密,计算机病毒或木马程序自动对外发送数据等。

常见的信息泄密途径有:

◆ 计算机硬件端口:通过 USB 、 IDE 、软驱、光驱、红外、蓝牙、无线网卡等端口,使用 U 盘、
移动硬盘、光盘、笔记本电脑、 PDA 甚至智能手机复制或传输。
◆ 网络:通过网上邻居、共享文件夹、 E-mail 、 QQ/MSN/ICQ 等即时通讯工具、论坛发贴、
ftp 、 BT 、网络硬盘等方式传输。

泄密原因多样化、泄密手段专业化让人防不胜防,许多单位都面临着极大的信息泄密风险 !

2.摘要

一般会存在如下问题 :

1. 对外发给供应商、协助单位的文件要求可以设置使用期限(使用时间和打开次数),并可设置使用权限(如“是否只读”、“是否允许打印”)

2. 、要求提供解密文件的备份功能,以便对解密文件的事后查询。

3 、用户 帐户 体系与 Windows AD 域相结合 ,采用同一套 帐户 ,避免用户多次登陆,方便用户

4 、 保证文件服务器上机密文件的安全性,员工能正常使用这些文件,但将文件拷贝到公司外部后将无法使用文件;

5 、 对机密文件在内部使用时实现实时监控,防止使用过程中,机密文件的内容通过各种手段外泄到明文;

6 、 尽量不改变现有员工的工作习惯。

7 、 要尽可能的保障公司内部部门间的相互间的协作不受影响;

8 、 可提供硬件 EKEY 方式的离线控制(同样可以限制使用期限)和不带 EKEY 离线使用;

确定策略后,工作人员不需要再做任何操作进行干预

基于具体需求,我们提出如下方式解决原理图如下:

采用 如果选用软件版的服务器,则 在 选择一台 PC 机作为服务器,配置要求 Pentium III 以上, 512M 内存,安装服务器软件;如果选择硬件版的服务器,则直接将该机架式的工控机安装在机柜内部。控制台可设置在信息管理部门,也可以设置在技术部门,取决于外发解密时是有什么人来承担审核的责任。技术部门的电脑上安装客户端软件。

服务器的职能:

1 、用户 / 组 帐户 和安全策略管理;

2 、本地网络认证;

3 、新版本升级;

4 、日志信息;

5 、远程文件备份服务。

控制台的职能:

1 、对服务器进行 在线管理;

2 、员工出差授权;

3 、日志审计;

4 、远程控制客户端。

客户端的职能:

1 、根据安全策略加密保护指定的文件;

2 、根据安全策略控制计算机外设端口;

3 、根据安全策略对文件进行自动备份。

智能防信息泄漏系统工作在两个层次:

① 动态加密模块:工作在计算机 最 底层上保护文件内容,只要用户有读、写磁盘的操作,文件就自动进行加密或是解密,节省了用户手动进行加解密操作的时间,但并不控制文件的传播共享,也不影响文件打开时间,文件在制作过程和传输过程中始终是密文。而且该技术的操作面向用户全透明的方式,让用户完全在正常的工作中不知不觉地享受安全。

② 后台服务:

纯后台工作模式,实时监控用户操作行为,智能扩展安全策略。

文件多版本自动备份模块更进一步保障文件的安全性。

外发文件安全管理系统逻辑结构图见下页:

系统组成:

1 、系统安全服务器功能:

l 打包制作

企业用户在制作外发文件包时,需要得到系统服务器的授权,创建证书。

l 在线认证

对客户端每次使用授权文件的权限进行认证,合法的用户通过认证后才可以正常使用授权文件。

l 证书管理

负责证书的生成,用户认证通过后对证书的管理。

l 日志查询和管理

查询所有的企业员工打包制作日志、所有的客户远程验证日志、当前外发文件的状态管理,可以时刻跟踪控制每一个外发的文件。

2 、外发文件制作工具功能:

l 获取证书。

从认证服务器上获取证书,证书的信息与文件信息和企业名称信息绑定。

l 外发授权文件转换。

将待外发 的授权文件加密。

l 打包制作

将证书、客户端程序和加密后的授权文件进行处理,得到本系统可控制的外发文件(以压缩的可执行文件存在,即是一个可自解压的可执行文件)。

3 、 隐形客户端功能:

l 授权文件第一次使用认证

当客户第一次使用企业提供的授权文件时,客户端将在线进行证书认证。认证成功,则客户可以正常使用授权文件。

l 在线控制

以后的用户使用该文件均需要在线验证,通过后才可继续使用。(断线方式时,默认可使用)

l 文件透明加、解密

当合法客户打开企业提供的授权文件时,客户端程序对授权文件进行自动解密,用户保存时对授权文件进行自动加密,整个过程对客户透明;当非法客户对此授权文件进行操作时将得不到文件明文。

l 授权文件使用监控

当合法客户在使用企业提供的授权文件时,客户端程序将全程监控:客户只能对本文件进行编辑,不可将文件粘贴、复制到其他文件,确保了文件的明文不被窃取。

2.2 主要功能和特点

? 智能加、解密:根据可信应用保护机密文件,保护机密文件与文件后缀名称无关,即使文件没有后缀名称,通过安全策略智能模块也同样能对该文件进行跟踪、强制保护。

? 机密文件多版本自动备份:支持本地备份和远程集中备份两种模式,备份文件存放在受控的安全区域,用户无法对此区域内的文件进行浏览、操作。一旦病毒、恶意代码或者用户误操作导致文件内容丢失,可以方便、快捷得对文件进行恢复。确保重要的数据文件万无一失。

? 粘贴 板数据 过滤:实时过滤粘贴 板数据 内容,系统将有效阻止机密文件内容被复制到 到 普通文件中(机密文件之间可以进行数据复制、粘贴;普通文件的内容也可以复制到机密文件中)。

? OLE 对象过虑: OLE 数据对象插入过滤,系统禁止将机密文件内容通过 OLE 对象插入的方式插入到普通文件中导致机密文件内容泄密(机密文件之间可以相互进行 OLE 插入;普通文件的内容也通过 OLE 对象插入到机密文件中)。

? 资产监控:对所有安装的客户端主机进行资产监控(资产信息包含主机的 CPU 、内存、硬盘、网卡、操作系统等信息)。一旦客户端资产变更,将会在线实时报警,及时通知系统管理员用户。

? 本系统具备强大的自我防护功能,阻止非法卸载、终止程序。

? 客户端软件的安装、卸载都需经过服务器的授权,防止客户端的非法安装、接入和卸载;

? 可按用户组和用户方便、灵活制定安全策略;

? 对离线、出差用户有非常周到的支持, 授权用户可在“离线 ” 状态下可以对机密文件进行访问;同时支持异地权限管理;

? 支持在线升级。

? 系统具有完备的基于角色的分级、分权管理和审计体系。

? 日志审计:完备的日志审计功能;

? 防止文件作者泄密,文件作者在本机做成文件后被加密存放在硬盘上,即使拷贝带到外界仍是密文无法读取文件的真正内容;

? 支持在线管理;

? 系统卸载时将会扫描硬盘所有文件,解密所有加密文件,不对用户造成任何影响。

2.3 管理权限体系:

防信息泄漏系统采用分级分权管理体系。如图所示:

在上面的 管理体系 中,根管理员称为 一级管理员 。系统管理员、日志审计员、文件管理 员称为 二级管理员 。其中系统管理员、文件管理员、日志审计员均由根管理员创建并且通过分发 USB 电子钥匙进行授权。他们的权限既可分开授权又可合并到一个管理员用户。用户可以根据实际情况进行二级管理员权限分配。

四类管理员各自承担着相应的权限和职责:

根管理员:

① 对系统密钥进行管理(包括密钥备份,恢复,更新);

② 创建二级管理员并且通过 USB 电子钥匙为之授权。

系统管理员:

① 客户端用户管理:创建用户组和用户 帐号 ;

② 安全策略管理:为创建的用户组和用户分配安全策略;

③ 员工外出授权:通过 USB 电子钥匙为出差用户进行本地授权、远程更改以及外出用户管理;

④ 在线报警消息管理:报警信息包括用户非法卸载客户端、用户资产信息变更等;

⑤ 资产信息管理 .

日志审计员:

① 对系统日志信息审计:可以按照时间、类型、用户(组)对日志信息查询、审计。

② 对日志信息管理(备份、清除、导入)。

文件管理员:

对客户端提交的需要解密的文件进行审核和解密(支持批量文件解密)。

2.4 出差用户授权体系:

员工出差或在家加班时可以携带硬件的 EKEY 以获得授权。

3.文件安全性

3.1 概要说明

文件的安全性主要是体现在文件的可用性和机密性。如果仅仅考虑文件的机密性是非常不全面的,机密性需要在可用性的基础上才有其意义。因此在考虑文件防泄密的基础上引入了文件多版本自动备份模块,来保障重要数据的可用性。在此基础上,通过智能动态加、解密技术来保障机密文件的机密性。

对机密文件进行强制加密、解密。从安全角度出发实现加密解密过程完全自动化,必须通过系统级的驱动程序来完成。否则,操作系统以上的任何应用程序都不可能实现方便、灵活安全实时的加密解密。

3.2 主要构成

核心功能模块有:

① 智能动态加解密模块

② 文件自动多版本备份模块

③ 用户操作监控模块

④ 安全策略智能扩展模块

⑤ 主机资产监控模块

⑥ 日志审计模块

3.2.1 智能动态加解密模块

智能动态加解密技术通过不同安全策略对机密文件内容进行强制加密保存,使存储的数据不能通过任何途经(包括:各种移动存储设备、网络、电子邮件、即时通讯工具: MSN 、 QQ 、 PaoPao 、 Skype 等)向外泄密;当合法用户读取数据时,已经被加密的数据会通过动态加解密技术和正确的安全策略通道安全的解密数据;对于内存中的明文数据内容,提供独特的内存文件内容防护系统(内存内容过滤技术),防止非法通过网络或其他的应用程序窃取内容,造成泄密。加解密过程自动完成,对用户完全透明,在用户没有任何感知的情况下保护文件的安全。

3.2.2 文件自动多版本备份模块

① 文件自动多版本备份模块通过对用户操作机密文件行为进行实时监控。一旦机密文件内容被修改,并且保存,那么将自动对该机密文件备份(本地备份或者是远程集中备份)。用户可以通过设置文件备份的过滤器来指定文件自动备份的范围。

② 对同一份机密文件,系统可以备份多个版本(用户可指定,系统支持一个文件可以备份 1 ~ 5 份不同版本)。合法用户可以选择其中的某个版本进行恢复。

③ V7.0 支持文件 备份备份 ;其企业版 支持本地备份和远程集中备份。

3.2.3 日志审计模块

系统记录以下日志信息:

① 管理员控制台操作日志;

② 客户 端安 装、卸载日志;

③ 用户违规操作日志;

④ 文件加密、解密日志;

⑤ 文件备份日志;

并且提供多种审计手段,对日志进行有效审计和管理。

3.2.4 主机资产监控模块

① 监控客户端主机硬件信息和操作系统信息,一旦主机资产信息发生变更,系统将会实时在线报警(到系统管理员处);

② 资产信息查询:提供多种手段对当前资产信息进行查询和汇总,并且可以导入到外部文件中。

3.2.4 用户操作监控,跟踪模块和安全策略智能扩展模块

① 将全程监控用户对机密文件进行操作的每一个动作;

② 一旦检测到用户的违规操作,可以立即生成对应的安全策略,阻止该违规操作。

③ 通过在线消息,通知系统管理员,系统管理员可以在第一时间发现当前系统的安全隐患,并且排除。

3.3 实现原理

文件系统运行机制:

在操作系统中 , I/O 管理器负责处理所有设备的 I/O 操作。 I/O 管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、文件系统驱动程序等完成 I/O 操作, 见图。我们的驱动程序位于图中红色部分。

3.4 工作原理

① 安全等级设定

为满足各种客户对不同安全需求,安全等级有五级。


高级别的用户可以透明访问底密级的用户信息。

② 密钥管理

通过应用程序可以对密钥进行更新、备份、导入。

③ 智能动态加、解密

写硬盘时,根据访问文件的应用程序来决定该文件是否被加密;读硬盘时,更具应用程序和该文件的状态来决定是否对该文件进行解密

④ 文件备份策略

根据应用程序和文件状态判断该文件是否为机密文件;

根据文件备份策略和文件备份过滤器决定文件是否被备份;

根据应用程序决定是否可以访问备份文件。

⑤ 日志开关设定

客户端日志将被强制上传到服务器,由日志管理员对日志信息进行集中审计;

如果是外出用户,那么 改用户 的日志信息将会保存在本地主机,一旦接入内部网络,日志信息

将会自动上传到安全服务器;

未上传的日志信息无法删除;

4.1 功能特点

软件特点

描述

说明

强制性

只要用户在操作相应策略文件的过程中,有写磁盘的操作,文件就会自动被加密

弥补了由于公司内部人员主动泄密的安全漏洞

智能化

用户只要添加了相应文件类型的策略,就可以放心的使用这种类型的文件了,加密解密的过程完全不用用户手动操作

节省了用户手动操作的时间,提高了工作效率

可靠性

文件加密保证数据不备泄密、文件自动备份保证数据的可靠性

全后台实现,对用户完全透明

4.2 主要安全应用

4.2.1 、按照使用人员范围划分

功能划分

主要应用

说明

个人

可以根据个人的需要 SmartILPS 单机版

个人用户可以根据自己的需要设定相应的策略,这种情况下,只有本机的相应用户才能够对相应文件进行加密解密操作

中小型企业

这种情况需要 SmartILPS 标准版或者 SmartILPS 企业版,工作组中的所有人都要设定相同的密钥,可以共享资源

在达到资源完全共享的情况下,可以保证在资源离开工作组的情况下无法使用

大型企业(含有分公司)

推见安装 SmartILPS 企业版和硬件服务器,由于服务器采用嵌入式 Linux 和工控机构架,自带防火墙功能,可以直接联机 Internet ,实现分公司之间的集中在线管理

通过 SmartILPS 企业版可以构架多极安全服务器,实现异地公司之间的在线集中管理。

4.2.2 、按照行业划分

功能划分

主要应用文件类型

说明

Office 办公

主要使用的是 word 、 excel 、 ppt 、 access 、 viso 、 project 等所有 Microsoft Office 的工具

任意文件后缀,期间生成的所有文件都是密文,

可以过滤 Office 内部粘贴版;

金融行业

主要使用 Microsoft Office 工具和二维画图工具

任意文件后缀,期间生成的所有文件都是密文;

制造行业

主要应用 AutoCAD 、 ProE 等相应的画图工具

任意文件后缀,期间生成的所有文件都是密文;

设计行业

主要应用 Office 工具和 ProE 等三维画图工具

任意文件后缀,期间生成的所有文件是是密文;

多媒体行业

MAYA 、 PHOTOSHOP 等多媒体制作工具

任意文件后缀,期间生成的所有文件都是密文;

其它行业

主要应用其它类工具,或是应用的工具比较复杂

定制

4.2.3 、支持的软件


所支持的应用软件

序号

应用程序名

所支持版本

进程名

备注

1

MS word

Office 全系列

Winword.exe

Office word

2

MS PowerPoint

Office 全系列

PowerPint.exe

Office 幻灯片

3

MS Excel

Office 全系列

Excel.exe

电子表格

4

PPTVIEW

PPTVIEW.exe

幻灯片文件浏览

5

VISIO

VISIO 系列

VISIO.exe

Office 中的图片编辑软件

6

蒙太

Dtpw.exe

蒙太排版软件

7

AutoCAD

AutoCAD 系列

Acad.exe

Auto cad 制图软件

8

Photoshop

Photoshop 系列

Photoshop.exe

图形处理

9

EB 应用程序

Eb.exe

Caxa 制图软件

10

Ms access

Office 全系列

access.exe

Office access 程序 . mdb 后缀名

11

Microsoft Office Picture Manager

全系列

Ois.exe

Office 图片管理软件

12

Microsoft Project

全系列

Winproj.exe

项目管理软件

13

Adobe Acrobat

Acrobat 全系列

Acrord32.exe

Pdf 软件

14

Reader PDF info applet

Reader PDF info applet 系列

Acrord32info.exe

Pdf 文件在 explorer 中

15

3Dmax

3Dmax 全系列

3dmax.exe

三维动画设计软件

16

Flash

Flash 全系列

Flash.exe

Flash 制作程序

17

Protel99SE

Protel99SE 系列

Client99se.exe

Protel 电路图设计软件

18

CorelDraw

CorelDraw 全系列

CorelDrw.exe

CorelDrw 制图软件

20

CorelDraw

CorelDraw 的一个插件

Rave.exe

CorelDrw 制图软件组件

21

IDEAS

IDEAS 系列

Geomod.exe

一个 NDS 模拟器

22

Maya

Maya 全系列

Maya.exe

三维动画软件

23

记事本

Windows xp/2000/2003 记事本

Notepad.exe

24

Painter

Painter 全系列

Painter8/...exe

专业绘图软件

25

CATIA

CATIA 全系列

CNEXT.exe

3D 设计和模拟

26

UG

UG 全系列

Ugraf.exe

建模

27

PRO/E

PRO/E 全系列 包括野火版的

Xtop.exe

建模

28

Dwgviewr

Dwgviewr 系列

Dwgviewr.exe

AutoCAD 的 dwg 文件查看软件

29

PCsElcad

PCsElcad 系列

PCsElcad.exe

电气设计

30

开目 PDM

开目 PDM 系列

Km.exe

PDM

31

acdsee

acdsee 全系列

Acdsee5/...exe

看图软件

32

WinDNC 系统

WinDNC 系列

Windnc

CNC 通信程序

33

Fastcam5/...exe

Fastcam 系列

Fastcam5/...exe

自动编程套 料软件

34

GoogleSketchUp

GoogleSketchUp 系列

Sketchup.exe

3D 建模绘图软件

35

Autodesk Inventor

INVENTor 全系列

Inventor.exe

三维可视化实体模拟软件

36

Solidworks

Solidworks 全版本

Sldworks.exe

建模

37

AutoPOL

AutoPOL 全系列

AutoPOL.exe

钣 金与管道设计软件

38

通达 OA

通达 OA 系列

通达 OA

39

Wps

WPS 系列

Wps.exe

Wps 文字

40

Et

WPS 系列

Et.exe

Wps 表格

41

Wpp

WPS 系列

Wpp.exe

Wps 演示

42

画图

Windows 自带的画图工具

mspaint.exe

43

写字板

Windows 自带的写字板

wordpad.exe

44

Codesys

全系列

Codesys.exe

编程工具

45

Flash

全系列

Flash.exe

多媒体设计工具


 

厦门义方信息科技有限公司(版权所有)         地址: 厦门湖里区火炬园新丰三路16号日华国际大厦501-L
网址:www.gz5.net  www.yi-fang.net
电话:0592-5237461    传真:0592-5230882
Mail:
网站备案号:闽ICP备07070861号           友情链接 
微信公众号
eYiFang

QQ群号:
242861205