圖文檔加密軟件(網絡版)
摘要:TuZhiJiaMi企業信息安全專家加密軟件網絡版是上海超陵公司開發的具有自主知識產權的電子文檔安全加密軟件.采用創新的安全策略和自主創新的實時加密技術與應用程序監控技術. |
棱鏡圖檔保鏢文檔安全系統(以下簡稱:圖檔保鏢)是上海棱鏡公司開發的具有自主知識產權的電子文檔安全加密軟件,采用創新的安全策略和自主創新的實時加密技術與應用程序監控技術,實現對企業內部敏感信息的載體――電子文檔,如:機密文件、重要數據、設計圖紙、軟件源代碼、配方等全生命周期的保護。與以往的各種電子文檔安全保護工具相比,圖檔保鏢采用了創新的安全策略,圖檔保鏢的出發點已經不是通過防止文件被帶出來保證安全;而是要做到任何人、通過任何方式帶出的文件都是加密的,也是無法使用的,從而不怕文件被非法竊取。具體地說:圖檔保鏢通過保證電子文檔從創建到打開、編輯、瀏覽、保存、傳輸直至刪除的整個生命周期中始終處于加密狀態、任何人(包括文件的創建者和合法使用者)始終都接觸不到解密的文件,來做到沒有人能夠帶走解密文件的安全效果。因為一切通過電子郵件、網絡入侵、移動存儲設備(軟盤、U盤、筆記本等)、藍牙設備、紅外設備、木馬程序等手段竊取的都只能是加密的文件,而這些加密文件在企業環境中可以不經過解密就正常使用,而一旦脫離了企業的計算機就無法正常使用。
圖檔保鏢采用的是一種主動的安全策略。在從文件創建到刪除的整個生命周期都對其進行安全保護。這有別于防火墻等被動的“堵”的安全策略。圖檔保鏢與防火墻、VPN等安全產品完全不沖突,圖檔保鏢從“內部控制”的層面對現有安全系統進行了重要的補充。只要系統內部還存在不加密的電子文檔,在理論上以往的各種安全系統(防火墻等)就無法杜絕機密文件泄密的可能性。由于圖檔保鏢可以做到系統內部不再存在沒有加密的重要電子文檔,因此圖檔保鏢從信源上保證了安全,在安全系統中圖檔保鏢的安全作用將是不可替代的,圖檔保鏢結合其他的安全系統使用能夠為用戶構造更嚴密的信息安全體系。
一、產品的安全保護策略
通過對現有的各種計算機文件安全系統的分析,我們認為他們從本質上都是應用的“堵”的策略,即堵住文件被非法帶走的渠道。由于1)不可能構造一個完全與外界隔絕的辦公環境,并且這樣做也會帶來很高的管理成本;2)因為工作需要總會有一些人獲得文件的操作權(如瀏覽、編輯、更改、打印等),他們就有機會得到解除保護的文件,至少文件的作者一定會有;因此,用“堵”的方式管理成本高,也不能從根本上保證文件的安全。
有鑒于此,圖檔保鏢采用了全新的安全保護策略――構造一個安全的企業辦公環境(指若干安裝了圖檔保鏢的計算機構成的網絡系統,以下簡稱:圖檔保鏢安全環境),保證文件文件在全生命周期都處于DSS系統的保護之下,在圖檔保鏢安全環境下文件能正常操作,如果被非法帶出圖檔保鏢安全環境,文件都是不可用的,從而在源頭上保證了文件的安全。
圖檔保鏢文檔安全系統的目標是構建一個企業的安全辦公環境,實現:
1)保存企業機密的電子文件在全生命周期(包括在新建、瀏覽、編輯、更改等操作文件的時候)始終都是加密的。
2)受保護的電子文件只在圖檔保鏢數據安全系統辦公環境內部的計算機上可用,在其他計算機上不可用。
3)在圖檔保鏢數據安全系統安全環境下,圖檔保鏢數據安全系統服務能夠在后臺監控和輔助應用程序(如Word、各種CAD軟件等)不需要解密就直接操作文件;如果把文件拷貝到圖檔保鏢數據安全系統安全環境外,沒有圖檔保鏢數據安全系統服務的幫助,應用程序就無法處理文件。
4)圖檔保鏢數據安全系統能夠全面監控和處理應用程序中的另存為、打印、拷貝粘貼、發送郵件等會引起泄密的操作。
5)只有通過圖檔保鏢數據安全系統管理機,系統管理員才能解密文件,合法地向外發放文件。并且,文件的發放操作被嚴格記錄、審計。
6)圖檔保鏢數據安全系統服務端管理員在服務端上能夠實時監控作為部門服務器的管理機的工作狀態和配置管理機的功能授權,并且匯總、審計管理機上的操作日志,及時發現系統安全隱患。
7)圖檔保鏢數據安全系統管理機管理員在管理機上能夠實時監控客戶機上安全服務的工作狀態和配置客戶機的功能授權,及時發現文件安全隱患。本系統采用內核級透明加解密技術對電子文檔采取自動、強制、實時的加密策略,實現圖文檔文件的安全保護。圖檔保鏢數據安全系統加密策略的出發點已經不是通過防止文件被帶出;而是要做到任何人、通過任何方式拷出的文件都是處于加密保護狀態的,未經授權也是無法使用的,不必擔心企業重要文件被非法竊取。具體地說:圖檔保鏢數據安全系統通過保證電子文檔從新建到打開、編輯、瀏覽、保存、傳輸直至刪除的整個過程中始終處于加密狀態、任何人(包括文件的創建者和合法使用者)始終都接觸不到可以使用的加密保護文件,做到沒有人能夠帶走非保護文件的安全效果。因為一切通過電子郵件、網絡入侵、移動存儲設備(軟盤、U盤、筆記本等)、藍牙設備、紅外設備、木馬程序等手段竊取的都只能是保護狀態的文件,而這些文件脫離了企業的計算機就無法正常使用。
圖檔保鏢文件安全系統采用C/S架構,由一個服務器及多個管理機和若干客戶機組成。其中,服務器用于注冊管理機;管理機用于管理客戶機和加密策略的下發、解密外發圖文檔等功能;客戶機用于實現文件的全生命周期內加密保護,安裝客戶機的用戶不改變日常操作習慣,圖文檔文件在操作過程中(從創建到打開、編輯、瀏覽、保存、移動直至刪除)始終處于加密保護狀態。
二、圖檔保鏢文檔安全系統的主要技術特點:
技術核心驅動級透明加解密
基于Windows 底層的驅動級透明加解密技術是棱鏡圖檔保鏢的核心技術之一。這項技術的特點是自動性、透明性和強制性。
對于自動性,棱鏡圖檔保鏢支持對任意文件類型、任意硬盤區間、任意文件夾的自動加密保護。在具體的應用過程中,企業用戶往往是 根據自身的實際需求,指定某些類別的應用程序(如微軟OFFICE 軟件、CAD 軟件等),從而對這些應用程序新建、編輯、 拷貝的文件自動的對文件進行加密保護。
對于透明性,棱鏡圖檔保鏢對文件加解密過程全是在操作系統后臺完成,不需要用戶對文件做任何額外操作,不改變用戶操作文檔的習慣。產品體驗就如同它為透明的一樣,用戶不會受到任何影響,甚至感覺不到它的存在。
對于恒久性,當用戶在保存受保護程序創建的文件時,無論其以何種格式(系統默認格式或用戶指定格式)、保存到何處(本地硬盤、移動硬盤、網絡存儲設備等),數據內容在離開內存后,都將被自動強制加密。并且,受保護的數據文件在任何存儲介質上均以密文形式保存。
對于強制性,棱鏡圖檔保鏢為企業構建了一個安裝環境,在安全環境內對文件所做的任何操作最終結果都是加密的。員工別無選擇。
對于受保護的文件,只有合法用戶在被授權的終端(企業內部計算機)上進行應用。用戶可以以任何方式(雙擊文件名、使用程序文件打開等)訪問受保護文件時,信息內容在調入內存時才會被自動解密,不會在硬盤留下任何形式的明文臨時文件。
國家標準的加密算法,透明加密無須密鑰管理
采用128位國家保密局標準AES加密算法,加密算法與計算機硬件結合產生企業獨有的密鑰;硬件狗使用USB加密設備的SSF08算法。國際先進的透明加密技術,無需人工干預后臺加/解密不改變文檔格式、大小、屬性;不改變操作習慣。
與受控軟件的版本無關,加密任何類型的文件
在加密策略管理中將企業需要加密的軟件或程序添加為受控程序即可實現加密受控軟件產生的任何文件。與市場上同類軟件的相比技術亮點在于受控的加密軟件與受控軟件的版本無關。(比如同類加密軟件現在支持到AUTO CAD 2005 要加密AUTO CAD 2006就必須升級加密軟件。)
協同集成,安全管理;持續的訪問安全
加密系統后臺運行實時加/解密;不改變操作者(技術人員設計用的一端)的習慣;不改變文檔格式,不需要用額外程序打開,不占共享資源與受控程序協同工作不與其它應用程序發生沖突;加密文件企業內自由流通。加密文件能以任何方式進行共享,包括電子郵件、CD-ROM、FTP下載、即時消息等。確保信息無論存放在哪里或傳送到何處,都是加密的,而不局限于傳輸中的安全。加強了客戶端商務出差管理策略,可以保證客戶端過期后加密文件信息禁止訪問。
有效分發和版本控制
提供完整的補丁下載、分析測試、策略制定和分發,以及客戶端補丁安裝狀況檢測與分析。無需人工參與的智能版本升級,當有新版本時只需在管理端升級,管理機分發文件新版本時,舊版本客戶端自動檢測管理端下載升級,對客戶實施的加密策略實時生效。
直觀的用戶界面
管理端安裝在企業管理者的電腦上,手動加密/解密文件夾和任何類型的文件。分組加密策略管理:實時修改加密受控程序、控制打印、控制復制粘貼、控制拷屏的策略。客戶機管理:客戶機狀態查看、客戶機分組管理、脫機時間設置、客戶機卸載。登錄用戶操作權限管理:設置登錄用戶的類型、密碼、用戶管理、受控程序管理、客戶機管理、加解密管理、日志管理、文件類型過濾等權限。受控程序管理:添加或刪除需要加密的受控程序。客戶機升級管理:管理機更新版本后客戶機啟動自動升級無須人工干預。管理端可以對加密的文件進行解密,且具有批量加密和解密的功能。詳細記錄登錄用戶的所有操作,解密需要導出的文件,并記錄操作日志提供審核。誰解密了圖紙,解密了什么圖紙,一目了然,便于核查。否則就算帶出也無法打開!有著簡單直觀的用戶界面,可以直接加密文件夾或整個磁盤分區。
完善、便捷的安全管理體系
圖檔保鏢數據安生系統具有完善、便捷的安全管理體系,配合企業內部的管理制度,即使是最高級別管理員也無法泄密。
系統管理 用戶管理
策略管理 日志管理
客戶端管理 文件類型管理
六個管理員的權限相互制約,防止管理者泄密內部重要信息。方便的添加、編輯和禁用個人用戶。只有授權用戶才能解密文件。
易于理解的權限控制
查看- 允許查看。
打印- 允許打印、禁止打印。
復制/保存- 允許復制或粘貼加密文件信息;禁止復制或粘貼加密文件信息。
控制- 允許用戶修改權限。
客戶端脫機工作時間- 允許用戶在有效的脫機時間內訪問和使用加密的文件信息。
當員工出差需要帶走重要資料,但在無網絡的情況下又無法對其控制,可能造成泄密。離線式安全管理解決了這個問題,
采用離線客戶端權限綁定即使沒有網絡控制,筆記本電腦和USB狗進行綁定,仍然對文檔具有絕對控制權。
權限回收技術能夠使已經授予用戶的權限立刻解除,防止人員離職或辭職后將內部重要信息外泄。
全面的審計報告
創建一份審計報告,跟蹤所有操作,包括文件訪問、查看、加密、解密和所有的管理事件。
提供證據以表明滿足公司的信息安全策略。
與公司的目錄和認證管理架構集成
隔離并減少管理工作。
易于使用和部署加密策略
根據企業實際的組織機構對加密客戶端進行分組實施加密策略管理,不同部門采取不同的加密策略。
遠程客戶端監控
通過遠程客戶端監控功能可以查看客戶機的工作狀態:在線、離線、脫機。加密狗授權脫機工作時間;遠程卸載客戶端等功能。
智能掃描的批量加/解密功能
安裝好圖檔保鏢加密軟件后,用批量掃描加密工具對所有客戶端電腦中已經存在的文件進行批量初始化加密。以后新產生的文件都會自動加密,圖檔保鏢數據安全保證電腦內的電子文檔都是以密文存在的。
運行穩定
1.對圖檔保鏢數據安全系統支持的每一個應用程序、版本和操作系統環境,我們都經過了超嚴密、大負荷、長時間的性能測試和可靠性測試,確保安全穩定。
2.全面的測試用例,每個應用程序的測試用例都來自資深設計工程師的實際使用狀況。
3.不同硬件環境的測試。
4.目前已經有了數百家用戶,圖檔保鏢數據安全系統產品在數千臺裝機上經受住了考驗。
資源占用少
1.按照讀寫請求的數據量進行實時解密,圖檔保鏢數據安全系統瞬間系統資源占用少,不會影響工作。
2.在打開和關閉文件時系統資源相對開銷較大,我們的測試表明,對100M大小的文件,安裝圖檔保鏢數據安全系統后比安裝前延遲時間<10秒。
3.用戶在文件打開后的編輯、瀏覽等操作過程中,由于圖檔保鏢數據安全系統是按照讀寫請求的數據量進行實時加解密的,這部分數據量很小,所以操作不會有延遲的感覺。
安全方便的維護
1.安裝過程綁定計算機硬件。圖檔保鏢數據安全系統運行過程監控檢查計算機硬件,認證計算機的合法性。
2.服務器實時配置管理機,管理機實時配置客戶機上的打印、復制等功能權限和要安全控制的應用程序。
3.在服務器上裝入升級包,系統通過網絡自動升級下面的管理機和客戶機。
4.在管理端只有超級管理員權限的人才能安裝和卸載客戶端。
三、產品基本組成及功能描述
圖檔保鏢文檔安全系統由一個企業級服務器、多個部門級管理機和諸多客戶機組成。一個企業內安裝一臺圖檔保鏢服務器和一個或多個管理機,一般企業中相對獨立的一個部分(如研發部門、市場部門)安裝一臺管理機,部門類的工作計算機系統安裝多個圖檔保鏢客戶機。
圖檔保鏢服務器的功能:
1、管理機聯機服務器自動完成管理機的注冊和安裝。
2、監控部門級圖檔保鏢管理機的工作狀態,保證管理機正常工作。
3、記錄、匯總、審計下級管理機的系統操作日志。
4、審計和認證運行狀態管理機的合法性。
圖檔保鏢管理機的功能:
1、客戶機聯機管理機自動完成客戶機的注冊和安裝。
2、監控圖檔保鏢客戶機安全服務的工作狀態,保證客戶機安全系統正常工作。
3、記錄、匯總、審計圖檔保鏢安全系統的操作日志。
4、審計和認證運行狀態客戶機的安全合法性。
5、用來對文件進行批量保護或解除保護,完成系統的初始化工作。
6、解除文件的保護狀態,并記錄操作日志。
圖檔保鏢客戶機的功能:
1、在系統后臺監控應用程序,構建企業安全工作環境。
2、審計和認證客戶機的合法性。
3、監控應用程序的運行,實時保護應用程序操作的文件。
4、充當應用程序和受保護文件之間的轉換器,輔助應用程序對受保護文件的處理。
5、監控、處理應用程序的另存為、打印、拷貝粘貼、發送郵件等會引起泄密的操作。
6、監控、處理截屏軟件等可能會導致泄密的應用程序。
7、客戶機無圖標,無介面,隱形存在。
圖檔保鏢安全工作環境拓補圖
企業實施棱鏡圖檔保鏢文檔安全系統后加密文件內部交流圖
上一篇:圖文檔加密軟件(脫機版)
下一篇:DWG-Lock圖紙外發管理
