《绿盾加密软件技术白皮书》由会员分享,可在线阅读,更多相关《绿盾加密软件技术白皮书(37页珍藏版)》请在金锄头文库上搜索。
1、厦门天锐科技有限公司绿盾技术白皮书电话:0592-信息安全管理专家 传真:0592- 绿盾信息安全管理软件技术白皮书厦门天锐科技有限公司(版本号:绿盾技术白皮书_V1.90.)目录1概述42系统组成62.1方案概述62.1.1系统架构72.1.2方案阐述72.2系统工作流程82.3系统逻辑组成82.3.1服务端程序92.3.2控制台程序102.3.3终端程序113主要功能介绍153.1文件自动加密153.1.1文件加密153.1.2终端操作员管理163.1.2.1终端操作员设置163.1.2.2终端操作员管理权限163.1.3文件解密、外发183.1.4文件外发183.1.5文件自动备份193
2、.1.6查询文件操作日志记录193.2外网安全管理193.2.1网页浏览监控193.2.2切换语言203.2.3防火墙213.3内网安全管理213.3.1屏幕监控213.3.2实时日志223.3.3聊天内容记录233.3.4程序窗口变化记录233.3.5文件操作日志243.3.6报警记录253.3.7资产管理253.3.8ARP防火墙263.3.9应用程序限制273.3.10远程操作273.3.11资源管理器283.4设备限制294产品特点305建议运行环境326关于天锐336.1天锐介绍336.2联系我们33版权声明本文件是由厦门天锐科技有限公司免费提供,其内容专供用于评估厦门天锐科技有限公
3、司为其提供产品及服务的能力,仅供参考。本文件以及所提及的数据、图标、名称、所有权皆属于厦门天锐科技有限公司所有。未得到厦门天锐科技有限公司的书面认可,任何个人或组织均不得以任何手段与形式对本方案内容进行复制、转印和传播。本文件中的内容,厦门天锐科技有限公司拥有最终解释权。1 概述随着计算机网络技术、和数字通信技术飞速发展,信息网络技术的应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,大量的技术和业务机密存储在计算机和网络中,对网络安全性要求变得越来越高,需要有效地制定安全策略以保护机密数据信息。而事实上,随着企业信息化进程的加速,内部泄密正在成为企业内部数据安全的
4、最大威胁之一。据IDC报告,70%的安全损失是由企业内部原因造成的,也就是说企业中不当的资源利用及员工上网行为往往是“罪魁”,间谍软件、恶意程序、计算机病毒、端对端文档分享等不当的上网行为,导致了企业机密资料被窃,网络资源的浪费,企业运作的不畅等损失。FBI 和CSI 调查显示,超过的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。在国内,诸如设计方案被窃取、关键客户名单和销售数据丢失等事件屡见不鲜,给企业造成了非常大的经济损失。针对内部泄密的问题,绿盾信息安全管理软件(以下简称绿盾)整合文件透明加密、远程监控、设备限制,从三大方面来减少内部泄密的可能
5、。1、 文件实时自动加密存储:如今,企业机密信息大量以电子文档方式存在,而电子文档是很容易散播的。目前大量的信息泄密手段往往是最直接的收买、拷贝方式、人员离职把电脑上资料直接带走。而绿盾能在不影响使用者操作习惯的情况下,在操作系统内核里面采用文件过滤驱动程序实现透明加密存储,加密后的文件可以在公司内部正常流通使用,一旦脱离公司网络,文件将无法打开。即公司所有人员在操作电脑新建的文档或图纸同时后台自动加密文件,但是操作人员毫无察觉,使得强制自动加密文件离开企业电脑环境无法使用,文件只能在公司内部任意电脑上正常使用。在脱离企业电脑环境下,文件只有经过公司专人解密,才能正常使用。这样就将企业中的一些
6、核心数据牢牢限定在了本企业中,防止用户之间非法复制、外部发行,防止单位内部机密电子信息泄露及电子文档的二次传播,有效的保证了核心数据的安全。2、 远程监控终端的操作行为:绿盾可以定时进行屏幕录像,并将录像存储在服务器;绿盾还可以实时记录终端的程序窗口切换过程、可以实时记录终端的文件操作行为等。所有这些足以起震慑作用,可以追查信息泄露的渠道;使得“事前防泄露、事中可控制、事后易追查”落到实处,防止内部泄密行为的发生。3、 设备限制:绿盾可以禁止使用USB存储设备(包括U盘、移动硬盘、数码相机、各种存储卡等可以作为USB存储的设备);可以禁止光盘的刻录;可以禁止软盘的使用;可以禁止终端使用打印机。
7、这样可以杜绝使用U盘、软盘、光盘, 电子邮件、文档打印等方式窃取企业的机密技术文件、设计图稿、会计帐目、战略计划书、研究论文等文档,足以切断泄密的途径。2 系统组成2.1 方案概述通过绿盾对机密文件进行保护时,系统在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护,并对机密文件的使用过程进行全程监控,有效防止了被动和主动泄密,消除内部安全隐患于无形之中。解决问题:l 防止单位内部机密电子信息泄露;l 防止单位内部不同部门越权使用文档;l 可追查信息泄露的渠道;l 普遍适用于各种格式的电子文档;l 从根本上解决了文档的二
8、次传播,有力保障企业信息安全;l 有效管理、监控局域网内电脑,提升办公效率2.1.1 系统架构2.1.2 方案阐述系统方案:在服务器上安装绿盾服务端,然后在文件服务器和需要使用共享文件的电脑上安装绿盾终端。在绿盾服务端上创建若干终端帐户,绿盾终端使用这些帐户登入。只有安装了绿盾终端的电脑在登入帐户后才可以使用或查看加密的文件,离开局域网后使用或查看加密文件需要得到服务端的解密或者授权才可以。安装绿盾终端后,终端电脑上的文件在创建、存储、应用、传输等环节中均以加密形式存在,可以杜绝黑客工具的窃取和监听,防止磁盘介质丢失导致的资料外泄等。文件外发方案:如有内部文件需要外发,可以向上级申请解密,或设
9、置成系统自动应答解密,经过解密后的文件即可外发;也可以对外发文件的读取方式做限制,其中包括限制打开次数、限制只在规定时间段内可以打开、限制只能在某一台电脑上打开,以及设置文件密码等。这样可以轻松、灵活地控制外发文件,在实现信息共享的同时,能够防止资料越权读取,防止外发文档二次扩散,确保信息安全。离线方案:(1) 短期离线方案:直接在服务器上设置允许脱机时间,离线后仍可以阅读文档。比如高级管理人员的笔记本电脑下班后需要阅读加密文档;(2) 中长期离线方案(如出差):可以使用绿盾的离线策略。离线策略需要向管理员申请,获得批准后导入即可。且离线策略可以灵活设定离线使用天数,这样在方便员工外部办公的同
10、时也有效地保证了文档的安全。2.2 系统工作流程l 系统管理员通过控制台为每个终端操作员定制安全策略;l 终端启动时将从服务器获取对应的安全策略和密钥,安全策略保护范围之内的文件被存储时,客户端将自动对其进行加密(而不论其打开时是明文还是密文),被合法进程读取时,客户端将自动对其解密;l 在机密文件使用过程中,终端将对操作员的所有操作行为进行全程监控l 系统具有强大的自我防护功能,任何恶意终止、退出或卸载客户端程序的行为都将是徒劳;l 企业密钥可根据企业需要进行更改(需要USBKey支持)2.3 系统逻辑组成绿盾由硬件和软件组成。软件包括服务端程序、控制台程序、终端程序;硬件上由服务端使用的软
11、件狗和终端使用的USBKey组成。服务端程序控制台程序控制台程序终端程序终端程序软件狗USBKey其中USBKey为可选件。2.3.1 服务端程序服务端用于存储系统的各项数据,并处理来自于客户端的各项验证,避免客户端可以随意安装和使用。服务端程序需要运行在不关机的服务器电脑上。用于管理主密钥、企业密钥及各种策略;用于存储终端的屏幕录像数据、实时程序窗口切换记录、文件操作记录、聊天内容等。服务端程序支持扩容,支持海量数据存储。主要作用包括如下:l 管理加密密钥,包括每个企业全球唯一的主密钥、支持定期更换的企业密钥等。l 进行软件注册。l 终端操作员身份验证等。l 存储系统配置信息。l 海量存储系
12、统运营数据。l 提供控制台接入。主界面如下图所示:(注:不同软件版本,界面可能会有所不同,以实际使用的为准。)2.3.2 控制台程序控制台通过网络与系统管理中心联接,对系统管理中心进行在线配置和管理。只有持有管理员密钥的用户才能登录控制台。控制台程序运行在管理员电脑上。是系统的管理配置界面。主要功能包括:l 实时监视终端操作行为。l 配置终端策略。l 查看历史记录。l 查询统计信息。主界面如下图所示: (注:不同软件版本,界面可能会有所不同,以实际使用的为准。)2.3.3 终端程序绿盾终端程序分为两种。一种为全功能终端,即包含文件加解密与内网管理功能的终端;另一种为只启用文件加解密功能的终端。
13、安装终端程序可以有两种方法:有界面提示的安装和无界面提示的安装。安装前,系统管理员必须通过控制台为终端分配一个操作员帐号,将其安装在需要保护机密文件或者是需要阅读加密文件的主机上。安装成功以后,终端会随操作系统的启动而自动启动,每次启动时,终端会从服务器获取最新的安全策略及系统密钥,所有策略范围内的文件都会被自动加密,并且在使用过程中被全程监控,并生成操作日志,留待日志审计员事后追踪责任人。终端主机只有在与管理中心联机的状态下或者在离线策略(包括短期离线策略和长期离线策略两种)允许下,才能正常启动终端。终端根据IP地址来识别服务端,支持更改终端连接的服务端地址,方便服务器迁移。主要功能如下:l
14、 操作员登录验证。l 自动加解密文件。l 实时记录操作行为,并上传记录。l 执行终端策略。终端程序包括登录程序和主程序两部分。主程序为服务程序,没有用户界面。登录程序界面如下图所示:(注:不同软件版本,界面可能会有所不同,以实际使用的为准。)卸载终端的方法:当安装了绿盾终端的电脑不需要再进行文件加解密时(如永久脱离公司网络),需要卸载终端。在卸载之前,要确保该终端电脑上的所有文件都已解密,这样在卸载终端后才能正常打开这些文件。解密方法是:用具有批量解密权限的终端操作员用户登陆该电脑,打开“我的电脑”,在每个盘符处分别右击 - 批量解密,解密完成即可,这样就能彻底解密该电脑上的所有文件。这时就可以卸载终端了。有两种卸载方法:a. 在绿盾控制台上卸载终端登录绿盾控制台,点击“终端信息”,在“终端信息”窗口中选中要卸载的那台终端,点击“卸载终端并删除数据”,确认即可。b. 在终端电脑上,用终端安装程序卸载把安装组件里的终端安装程序(绿盾终端.exe)拷贝到终端电脑上,运行该安装程序,选择“卸载终端软件”,在下一屏中输入控制台密码即可卸载。3 主要功能介绍3.1 文件自动加密3.1.1 文件加密绿盾信息安全管理软件主要是针对企业的重要文件进行加密。杜绝使用U盘、软盘、
