|
在社会分工日益明细、商业往来日益密切、信息技术日新月异的今天,如何有效保护商务数据、技术资料、财务报表等企业核心数据的安全,是每个企业管理者不得不面对的一个重要问题。这些信息一旦泄漏,不论是有意还是无意,都将危及企业的声誉和业务。即使是无意,也有可能给企业带来巨大危害,甚至使企业陷入窘境或导致破产。
据调查,企业商业秘密泄露中30%-40%是由电子文件的泄露造成的。
l Fortune排名前1千家的公司,每次电子文件泄露造成损失平均是50万美元
l 国内500家大型企业对电子文档有保护措施不到3%
l 因图纸被盗、技术人员跳槽所引起的经济案件逐年增多
FBI和CSI对484家公司调查,发现:超过80%的安全威胁来自企业内部。
自2003年新模式软件公司推出国内第一款电子文档透明加密软件产品——图文档卫士DG (Document Guard®)以来,一直受到广大用户的认可和支持。DG采用先进的操作系统内核技术、高强度的加密算法、灵活易用的安全策略,有效的解决了企业内部合法用户有意或者无意的信息泄漏。据估算目前累计约有近1000亿个各类电子文档、图纸接受着DG的严密保护。且这个数字每天还在持续不断上升。
电子文件具有易于复制、易于传输的特点,给企业带来便利的同时。电子文件的管控一直是业界难于解决的一个问题。电子文件一旦被借阅,则借阅者对文件就具有了完全的权利,无法向传统媒介文档一样实施收回或归还操作,客观上造成秘密材料的无序传播。实践证明:只要系统内部还存在不加密的电子文档,以往的各种安全系统(防火墙等)就无法彻底杜绝机密文件被泄密。
DG采用的是一种主动的安全策略,在从文件创建到删除的整个生命周期都对其进行安全保护,且不会改变员工的正常操作模式,在安全性和方便性之间找到了一个非常好的平衡点。这种安全策略有别于防火墙、防水墙等“堵”的安全策略,且可与防火墙、防病毒、防水墙等安全产品完全兼容使用,DG从“内部控制”的层面对现有安全系统进行了重要的补充。由于DG从信源上保证了安全,因此在安全系统中DG的安全作用将是不可替代的,DG结合其他的安全系统使用能够为用户构造更严密的信息安全体系。
2008年新模式软件接受风险投资,并共同成立江苏敏捷科技股份有限公司(以下简称:敏捷科技),专业研发、推广信息安全产品。敏捷科技不断总结用户需求,集成并发扬了这一安全理念,如今我们又推出新一代产品:敏捷安全卫士DG 8.0,DG 8.0提供更加完善的审计功能、更加丰富的安全策略,为您企业的各类电子文件提供全生命期(创建、保存、修改、拷贝、外发、删除)的安全保护。
敏捷安全卫士系统功能
敏捷安全卫士是敏捷科技信息资产保护安全解决方案的有机组成部分,可与桌面安全管理系统、数据主动备份系统、外发文件控制系统相结合,能够对企业的信息资产提供全方位的保护。
敏捷安全卫士系统分三层架构,由服务器、管理机和客户机组成。
1、服务器
DG8.0服务端主要是提供如下功能:
Ø 管理根密钥。DG服务端管理加密狗中的根密钥信息,以此产生全球唯一的密钥,并分发给各个管理端、客户端用加解密文件;
Ø 自动升级功能。通过服务端可以导入最新的DG升级包,通过自动下发策略可以实现自动升级DG环境;
Ø 注册、管理DG管理端。企业中所有的DG管理机需要在服务端进行注册并分配权限:注册管理机、加解密管理机;
Ø 监控DG管理机的工作状态。汇总DG管理机的工作日志,可随时调用查看;
Ø 备份、恢复DG数据库功能。提供手工进行DG数据库备份、恢复功能,一旦DG服务端出现故障可以及时恢复保证运行不影响工作;
Ø 配置管理机的脱机策略。服务器具有设置管理机的脱机时间功能,在设置了脱机时间后,管理机在和服务器未连接的状态下,管理机能正常运行的时间限制;
Ø 设置卸载码。设置客户端、管理机卸载时的授权码,如果授权码不正确即使有安装程序也无法卸载程序。
Ø DG备份服务器提供容灾备份功能。当DG主服务器宕机时,系统可自动切换到DG备份服务器上运行,提高整个系统的安全等级。
2、管理机
DG8.0管理端主要是提供如下功能:
Ø DG客户机注册管理。企业中所有客户机需要统一在DG管理机上进行注册,方能正常运行;
Ø 解密文件并记录日志。根据服务器的授权,DG管理机可以解密权限范围内的加密文件,与此同时记录下来解密文件的日志信息;
Ø 管理客户机策略。DG8.0系统内置了如下策略,并且企业可根据自身情况进行自定义;
u 系统内置约300类常用软件加密策略;
u 是否允许用户脱机使用及脱机使用时间;
u 是否允许用户进行打印操作,并且可对使用的打印机类型进行控制(主要用于控制各类虚拟打印机);
u 是否允许用户进行拷屏操作;
u 是否允许用户进行复制涉密文件内容操作;
u 是否允许用户执行OLE插入涉密文件对象操作;
u 是否允许用户进行涉密文件的FTP操作。
u 是否允许客户机加密文件图标显示。该功能可以在客户端把加密文件、明文文件用不同的图标显示。
Ø 密级管理。DG8.0可将企业内部根据需要划分成不同密级,每个密级相互之间能否打开文件是可设定的,这样可实现密级管理。如企业共划分为三个密级:普通(密级1)、部门经理(密级2)、总经理(密级3)。密级高用户的可以打开密级低的用户所做的涉密文件,密级低的用户打不开密级高的用户所做涉密文件,以保证普通涉密文件交流无障碍,而高级别涉密文件则处于更加严密的保护中。
Ø 域集成功能。DG8.0 系统可集成企业的AD域,可把AD域的相关信息(用户、计算机等组织机构)导入到DG系统,企业可统一进行管理。同时通过域集成功能,DG管理机可针对计算机或域用户设置不同的DG客户端策略。并且可针对加密文件授权给不同的用户使用。
3、客户机
DG8.0客户端没有界面即对用户透明,不需要对终端用户进行任何操作培训。大大简化了文件加密的过程。因为用户不需要考虑:
Ø 哪些文件需要加密。每个DG客户端的加密策略由企业根据需要统一制定,客户端没有选择的机会,只有被动的执行。
Ø 不需要记忆密钥。每个DG客户端的拥有哪些解密密钥也是由服务器统一制定下发的。
Ø 不需要考虑网络断开对加密的影响。每个DG客户端都设置时间长短不同的脱机时间,在脱机时间内DG客户端正常工作不受任何影响。
Ø 不需要考虑性能影响。DG客户端的运行效率非常高,占用系统资源很少,经过大量测试DG对应用软件影响的范围控制在3%左右。
DG8.0对客户端的安全控制策略中包括:
Ø 约300类常用软件加密策略。
Ø 是否允许客户机脱机使用及使用时间。
Ø 是否允许客户机进行打印操作。
Ø 是否允许客户机进行拷屏操作。
Ø 是否允许客户机进行涉密复制操作。
Ø 是否允许客户机插入OLE对象操作。
Ø 是否允许客户机加密文件图标显示。
Ø 识别计算机硬件情况:安装过程绑定计算机硬件,DG运行过程监控检查计算机硬件,认证计算机的合法性。如果硬件发生变化,系统自动进入保护状态,并发送信息到管理机。
Ø 通过敏捷科技独创的实时加密和应用程序监控技术,确保在企业办公环境中,所有应用程序的功能和加密文件都能正常使用,不影响正常工作;由于所有文件始终都处于加密状态,一旦离开本企业的企业DG环境都无法使用,文件无论以任何方式存储或转移,不必担心信息泄密。
Ø 安装了DG系统的计算机,在操作上没有任何变化,用户甚至察觉不到安装了,DG在后台保护电子文件。
Ø DG可以提供对设计软件(如Auto CAD)及办公软件(如Office)产生的文件进行实时加密的功能。计算机在安装DG后,用户使用设计软件和办公软件所产生的所有相关文档都将自动加密。
Ø DG管理机为企业内加密文件的唯一出口。
Ø DG管理机的日志记录所有加/解密操作,便于追溯。
Ø DG的后台监控程序能捕捉到应用程序对文件的操作(如打开、浏览、编辑、保存、另存为等操作),DG的安全服务能正确处理文件的操作,使在文件内容始终加密的条件下,应用程序能正常工作。
Ø DG的后台监控程序能捕捉到应用程序和系统中的复制粘贴、截屏、发邮件、插入对象、打印等任何可能泄密的不安全操作,并做了相应的安全处理。
Ø DG只控制用户选择要监控和保护的应用程序,不影响其他软件的使用。
Ø 在服务器能够监控下级管理机的工作状态,并汇总下级管理机的加解密文件、注册和配置客户机、管理机工作状态等各类工作日志。
Ø 在管理机上能够监控下级客户机的安全服务的工作状态是否正常。
Ø 安装了DG的客户机,无需进行文件加密操作,文件在在全生命周期中自动加密。完全不需要使用传统的输入密码和手动进行加密的操作。
Ø 加密后的文件,在下次需要查看、编辑操作时,不需要对加密文件进行解密操作。
Ø 与应用软件无缝集成,自动对文件全程加密(文件从创建开始,在编辑、浏览、复制、传输、删除等的全生命周期中始终处于加密状态),从而不怕被非法带走。
Ø 根据客户的要求,DG能与企业原有文档管理系统(如PDM、OA等)集成,提升公司文档集中管理系统的安全性。
Ø DG在设计中充分考虑了各种破解可能,针对不同企业采取不同的加密算法和加密验证机制,确保加密文件互不通用。
Ø DG应用了经过数学证明的足够复杂的加密算法,使得加密文件的破解成本高昂。
Ø 同一家企业的两个加密文档或者对一个文档进行两次加密,它们使用的加密方式也不相同。使得破解一个文件的结果不能用来破解第二个文件。
Ø 对DG支持的每一个应用程序、版本和操作系统环境,我们都经过了超严密、大负荷、长时间的性能测试和可靠性测试,确保安全稳定。
Ø 全面的测试用例,每个应用程序的测试用例都来自资深设计工程师的实际使用状况。
Ø 不同硬件环境的大范围测试。
Ø 经过7年时间的发展,DG目前已经有了数千家用户,DG产品在200000台装机上经受住了考验。
Ø 按照读写请求的数据量进行实时解密,DG瞬间系统资源占用高峰小,不会影响工作。
Ø 在打开和关闭文件时系统资源相对开销较大,我们的测试表明,对500M大小的文件,安装DG后比安装前延迟时间<10秒。
Ø 用户在文件打开后的编辑、浏览等操作过程中,由于DG是按照读写请求的数据量进行实时加解密的,这部分数据量很小,所以用户操作不会有延迟的感觉。
Ø DG通过系统可以自动同步企业AD域服务器中组织结构、计算机信息、用户信息,可极大降低系统的维护、管理成本。
Ø 客户端在安装、更新时可以通过域进行客户端的统一分发,自动安装。减少安装步骤,节省部署时间。
Ø DG系统用户认证模块可在系统登陆时自动进行认证,可实现通过AD域账户登陆的用户即自动登陆新模式的其他产品如:DG系统、文件外发系统等,也即实现单点登录功能。
Ø DG系统的加密策略及文档使用权限可绑定计算机或者域用户。系统管理员可根据企业具体需求进行灵活设置。
Ø 安装过程绑定计算机硬件。DG运行过程监控检查计算机硬件,认证计算机的合法性。
Ø 在服务器上装入升级包,系统通过网络自动升级下面的管理机和客户机。
Ø 提供单机版客户端安装,满足无法连入企业内网的客户机的安装。
服务器/管理机
1、对操作系统环境的要求
Ø windows 2000系列
Ø windows XP系列
Ø windows 2003系列
Ø windows Vista 系列
Ø windows 7系列
2、对硬件环境的要求(最低要求)
Ø C P U: 奔腾双核以上处理器
Ø 内 存:512MB 以上内存
Ø 硬 盘:硬盘剩余空间大于1GB
Ø 光 驱:CD-ROM 驱动器
Ø 网 卡:100M以上网卡
Ø 显示器:VGA 或者Super VGA显示器
客户机
1、对操作系统环境的要求
Ø windows 2000系列
Ø windows XP系列
Ø windows 2003系列
Ø windows Vista 系列
Ø windows 7系列
2、对硬件环境的要求(最低配置)
Ø C P U: P4以上处理器
Ø 内 存:512MB 以上内存
Ø 硬 盘:硬盘剩余空间大于1GB
Ø 光 驱:CD-ROM 驱动器
Ø 网 卡:100M以上网卡
目前,DG 8.0系统与主流的防病毒软件都经过兼容性测试,包括卡巴斯基、诺顿、瑞星、金山毒霸、趋势、Macfee、Kill和KV系列等。
兼容性分析表:
|
厂商
|
产品
|
常见版本
|
操作系统
|
|
Win2000
Srv
|
Windows XP
|
Win2003
Srv
|
Windows
VISTA
|
|
ESET
|
NOD32
|
3.0
|
√
|
√
|
√
|
√
|
|
4.0
|
√
|
√
|
√
|
√
|
|
Kaspersky Lab
|
卡巴斯基kis
|
7.0
|
√
|
√
|
√
|
√
|
|
8.0
|
|
√
|
√
|
√
|
|
9.0
|
|
√
|
√
|
√
|
|
卡巴斯基kav
|
7.0
|
√
|
√
|
√
|
√
|
|
8.0
|
|
√
|
√
|
√
|
|
9.0
|
|
√
|
√
|
√
|
|
NAI
|
McAfee
Home
|
2008
|
|
√
|
√
|
√
|
|
2009
|
|
√
|
√
|
√
|
|
McAfee
Enterprise
|
8.5i
|
√
|
√
|
√
|
√
|
|
8.7i
|
√
|
√
|
√
|
√
|
|
Symantec
|
Norton Antivirus
|
2009
|
√
|
√
|
√
|
√
|
|
Symantec Cooperate Client
|
N/A
|
√
|
√
|
√
|
√
|
|
江民公司
|
江民杀毒王
|
2008
|
√
|
√
|
√
|
√
|
|
2009
|
√
|
√
|
√
|
√
|
|
金山公司
|
金山毒霸
|
2008
|
√
|
√
|
√
|
√
|
|
2009
|
√
|
√
|
√
|
√
|
|
瑞星公司
|
RAV
|
2008
|
√
|
√
|
√
|
√
|
|
2009
|
√
|
√
|
√
|
√
|
1、加密算法安全性分析
对称加密算法:国家主管部门批准的专用密码算法(SCB2),密钥长度128比特。
公开密钥算法:对称密钥分发、更新、删除管理过程中采用了RSA公开密钥算法。密钥长度1024比特。
2、密钥管理安全性分析
对称密钥存放:敏捷科技图文档安全卫士软件系统根对称密钥存放在加密狗内,本加密狗安全模块使用了第二代安全安全引擎,采用了先进的安全算法,可以有效防止黑客进行静态分析和动态跟踪。
对称密钥分发:敏捷科技图文档安全卫士软件对称密钥文件分发过程采用网络发送方式,对称密钥在网络上传递过程中采用了公开密钥算法RSA进行加密。并且采用了硬件ID识别绑定方式,确保每一台机器的对称密钥文件只能以密文的方式存放在磁盘,且只能在本机正常使用。
对称密钥使用:对称密钥的使用只在受控文件打开、存盘时解密到内存中。在允许脱机的其他时间密钥一直以加密形式存放在磁盘。
对称密钥文件销毁:为考虑加、解密的速度,敏捷科技图文档安全卫士软件采用了缓存对称密钥文件的方式。但该文件有一定的生命周期,在允许脱机使用的情况下,脱机时间内,该文件是可以被解密的,超过脱机时间该文件将被死锁,只有到下次联网注册后,才能被重新授权打开。
3、内存保护安全性分析
复制粘贴操作:
很多应用程序中都有“复制粘贴”的功能,为了避免利用“复制粘贴”功能,把一个被保护的文件内容复制下来粘贴到一个不被保护的文件中,然后通 过带走不被保护的文件的方式,窃取被保护文件的内容的泄密行为,DG对复制粘贴功能做了相关安全处理。
当DG客户端配置不允许复制粘贴时,DG在这里主要遵循的一个原则可以简单概括为“许进不许出”,就是任何一个被保护的文件内容都不允许复制粘贴 到一个不被保护的文件中,一个不被保护的文件内容则可以复制粘贴到一个被保护的文件中,而被保护的文件相互之间的复制粘贴不受影响;当配置允许复制粘贴时,则不做任何控制,所有的文件都可以相互复制粘贴。
OLE操作:
当配置不允许复制粘贴时,DG还是遵循“许进不许出”的原则,就是任何一个被保护的文件内容都不允许通过OLE操作到一个不被保护的文件中,一个不被保护的文件内容则可以通过OLE操作到一个被保护的文件中,而被保护的文件相互之间的OLE操作不受影响;
硬拷贝操作:
这里的硬拷贝指的是通过键盘的“PrintScreen”键,把一个文件的内容屏打下来粘贴到另一个文件中。当配置不允许复制粘贴时,一个被保护的文件内容是无法通过“PrintScreen”键屏打下内容的;当配置允许复制粘贴时,“PrintScreen”键功能可以正常使用。
截屏操作:
现在的QQ软件、还有其他很多截屏工具软件有截屏的功能,通过这个功能可以把一个文件的内容截取成图片保存下来,DG针对此类软件也做了相应的防范。当打开一个被保护文件时,启动QQ的截屏功能或其他的截屏软件,此时屏幕变为黑屏,截取出的图片均为黑屏图片,无法截取到真实的文件内容。
拖拽操作:
现今的部分软件可以通过拖拽操作把文件内容拖拽到其他的文件中,或者拖拽到一个文件夹中形成文件片段,比如Office办公软件中的word,如果对一个受保护的文件进行这样的操作可能会导致泄密,所以DG对此类操作也做了防范。当配置不允许复制粘贴时,一个被保护文件中的内容不能够通过拖拽操作拖拽到一个不被保护的文件中,或者产生文件片段,而被保护文件之间的相互操作不受影响。 |
