《TPS-EFS电子文档安全管理系统技术白皮书(V1》由会员分享,可在线阅读,更多相关《TPS-EFS电子文档安全管理系统技术白皮书(V1(12页珍藏版)》请在金锄头文库上搜索。
1、 电子文档安全管理系统电子文档安全管理系统 技术白皮书技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 二七年十二月 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 2 - 目目 录录 第一章第一章. 系统概述系统概述4 1. 信息安全面临空前挑战 4 2. 产品定位.4 3. 运行环境.5 3.1. 硬件环境5 3.2. 软件环境5 第二章第二章. 系统特点系统特点 5 1. 系统目标.5 2. 系统组成.6 3. 产品布署拓扑图6 4. 产品主要功能与特点7 4.1. 实时透明加密7 4.2. 介质无关7 4.3. 集中控制7 4.
2、4. 离线控制7 4.5. 打印机控制8 4.6. 应用黑名单8 4.7. 用户自定义程序.8 4.8. 身份/身份组验证8 第三章第三章. 关键技术关键技术 8 1. 设计思想.8 2. 技术原理.9 3. 技术实现.10 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 3 - 3.1. 文件识别技术10 3.2. 进程识别技术10 3.3. 身份验证技术和非对称加密技术10 3.4. 内核动态加密技术. 11 常见问题常见问题.12 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 4 - 第一章第一章. 系
3、统概述系统概述 1. 信息安全面临空前挑战信息安全面临空前挑战 近年来,随着互联网在中国的迅速发展,政府、经济、军事、社会、文化和 人们生活等各方面都越来越依赖于网络。网络经济的兴起和发展,极大地改变了 人们的生活、工作和思维方式,促进了经济的发展。但在这个发展潮流中,网络 信息安全隐患越来越突出,信息泄密事件时有发生。黑客攻击或商业间谍入侵、 木马病毒肆虐、内部员工有意或无意的泄密行为,以及存储大量数据的硬件被盗 或丢失,都可能直接导致泄密情况发生,并给单位造成极大的经济与声誉损失。 信息安全也成为各网络应用单位面临的难点问题, 而且随着各单位与个人对网络 和电脑依存度越来越大,这种安全威胁
4、和影响也越来越大,甚至已经成为当今网 络应用中最敏感的问题之一。 往小的说, 关系一个单位的生存和发展; 往大的说, 可能对国家大局和长远利益产生重大影响。 为解决这些问题,许多单位采取拆除光驱软驱、封掉 USB 接口、限制上网 等方法来尽可能的减少信息交换,以达到信息保密的目的;或者安装一些监控软 件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护 产品,如防火墙、入侵检测、防病毒产品等来防范黑客攻击和病毒侵袭。但人们 很快发现,网络信息安全不是绝对的,没有任何一个产品或者技术能够绝对确保 自己的网络不被黑客攻击和病毒入侵。同时,限制上网、封闭 USB 接口、拆除 光驱软
5、驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员 工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有 意的内部泄密行为,同时存在因噎废食之嫌。大量事实也证明这些方法效果不是 很好,重要的文件依旧会泄漏。 美国的执法机构 FBI 和 CSI 曾对数百家企业进行了调查。该调查结果认为 绝大多数泄密事件是由内部人员所为,或者由内外勾结造成的。IDC 的报告也 得出了类似的结论:70%的安全损失是由内部造成的。这些都印证了中国的一句 古话 “家贼难防” 。由于内部人员熟悉文件的存放,还可以接触到密级高、范围 广的文件,所以一旦发生内部人员故意泄密事件,其危害程度将大
6、大超过外部人 员的盗取。可见,从数据保密角度来讲,要内外兼防、甚至要防内甚于防外。 2. 产品定位产品定位 绎华电子文档安全管理系统(TPS- EFS)正是为解决这个长期困扰业界的难题 而开发的,是一套高扩展性、可定制化的解决方案。本系统集身份验证、打印控 制、程序控制、文件自动加密等多种技术于一体,对单位内部的图纸、文件、设 计文稿、重要数据或信息等敏感电子文件从创建、分发乃至销毁的全过程进行控 制和保护,确保这些文件即便被黑客盗取或内部员工有意外泄,获得者也无法打 开,切实保障单位的信息安全。 绎华电子文档安全管理系统(TPS- EFS)可以广泛应用于需要限制文档访问范 电子文档安全管理系
7、统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 5 - 围的领域: 党政机关和军队:涉及国家机密的的文档(公文、机密文件、会议纪要、 统计数据、军事情报等) 。 金融机构:包含大量敏感信息和商业秘密的文档(投资信息、大客户信 息、上市公司年报等) 。 医疗行业:带有不允许泄漏敏感信息的文档(医案、病案、病人信息、 图片等) 。 咨询行业:含有商业秘密信息的文档(调查报告、咨询报告、商业计划、 客户资料等) 。 制造行业:需要限制共享对象的企业文档(设计图纸、财务预算、商业 计划、价格体系、采购成本、合同定单、物流信息、管理制度等) 。 研发行业:需要保护知识产权的文档(
8、源代码、设计文档、知识库等) 。 3. 运行环境运行环境 3.1. 硬件环境硬件环境 最低配置 CPU PII400、 内存 64M、硬盘 20M 可用空间。 推荐配置 CPU PIII800 以上、内存 128M 以上、硬盘 20M 以上可用空间。 3.2. 软件环境软件环境 操作系统 Windows 2000、Windows XP、Windows 2003 的各个版本。 第二章第二章. 系统特点系统特点 1. 系统目标系统目标 绎华电子文档安全管理系统(TPS- EFS)总的目标是:协调安全性和方便性的 矛盾,即在保障数据严密的安全性的前提下,充分保留数据使用的方便性。具体 地可以细化为以
9、下几点: l 实时加密, 拿了也没用: 加密过后的文件在单位内部可以正常流通使用, 但未经授权的文件拷贝到外面时将无法正常打开使用。使得人家即使窃 得文件, 得到的也将是一堆乱码。 同时此加密过程为全透明的。 用户 (即 员工)无需也无法干预,也不会对用户的使用习惯有任何改变。 l 身份验证,无权者无法打开:文件加密后,只有指定的人员才能打开加 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 6 - 密文件,其余人员无法打开加密文件,确保了加密的文件不被与本文件 无关的人员获得,获得了无法打开。 l 打印控制:防止文档被打印,带出单位,只有给有权限打印
10、的电脑才能 打印重要文档。 l 防止删除:采用了防止文件删除技术,一旦文件被保护了,可以对指定 的人员设置为不能删除被保护的文档,防止离职破坏文件。 2. 系统组成系统组成 绎华电子文档安全管理系统(TPS- EFS)的组成包括服务端、解密端、客户端。 l 服务端:服务端对单位的文档保护策略进行集中管理。 客户端用户组/用户信息维护 客户端用户组/用户策略配置和下发 客户端的添加、安装和卸载 客户端身份验证和密钥管理 监控日志审计管理 系统参数设置 l 解密端:为企业某些特权人员提供文件手动加解密等功能,方便与系统 外的文档交流。解密端具有独立的身份验证和权限控制系统。 对文件进行手动加解密等
11、操作 通过服务器进行身份认证 l 客户端:安装于受控主机上,员工不可手动停止及卸载,只能由管理员 通过服务端远程卸载。 信息泄露防护,为本机文件提供透明的加解密服务 接收服务端下发的工作策略,并按照该策略控制客户端的工作模式 记录文件操作日志,并上传至服务端 通过服务器进行身份认证 向服务器申请、申请离线等 3. 产品布署拓扑图产品布署拓扑图 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 7 - 4. 产品主要功能与特点产品主要功能与特点 4.1. 实时透明加密实时透明加密 绎华电子文档安全管理系统(TPS- EFS)采用内核动态加密技术,当用户保存
12、 文件时,文件将被自动强制加密(128 位加密) ,加密过程不使用临时文件,不 影响用户使用习惯。 若将加密的文件拷贝至其他没有安装绎华电子文档安全管理 系统(TPS- EFS)的机器上或非本单位机器时,文件将无法正常打开。 4.2. 介质无关介质无关 绎华电子文档安全管理系统(TPS- EFS)对电子文件的保护与介质无关,无论 是存储设备(USB、光盘、软盘等)还是网络传输(Email、FTP 等) ,均在保护 范畴。 该特性使系统能够在用户应用程序使用新的存储设备和网络协议的情况下 继续对电子文件提供保护,极大保护了用户的投资。 4.3. 集中控制集中控制 绎华电子文档安全管理系统(TPS
13、- EFS)通过服务端的集中控制台对每个客户 端进行管理,可以统一设置和下发客户端策略,客户端的操作日志和审计日志也 在服务端进行集中管理,降低了整个系统的管理成本。 4.4. 离线控制离线控制 绎华电子文档安全管理系统(TPS- EFS)提供了很好的离线控制机制。当客户 端与服务器端由于网络故障无法连接,或者用户需要出差而无法实时连接服务 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 8 - 端, 客户端可以根据预设的策略被授权在一定时间内正常使用受控文件,超过限 定时间文件将无法打开。同时,客户端处于离线状态时还可以采用 USBKEY 等 物理认
14、证手段来对客户端的访问权限进行确认, 极大提高了电子文件在离线状态 下的安全性。 4.5. 打印机控制打印机控制 绎华电子文档安全管理系统(TPS- EFS)可以对某个组或某台终端电脑设置禁 止使用打印机策略。当有用户需要使用打印机时,管理员可临时指定其使用打印 机多少时间,超过设定时间,将自动禁止打印。 4.6. 应用黑名单应用黑名单 绎华电子文档安全管理系统(TPS- EFS)可以设定客户端禁止使用某些应用程 序(如 MSN、QQ、游戏软件等等) ,当发现用户使用了这些被禁止使用的应用 程序,系统将自动关闭这些应用程序。 4.7. 用户自定义程序用户自定义程序 绎华电子文档安全管理系统(T
15、PS- EFS)的保护机制支持用户自定义程序,使 对系统和文件的保护不局限于系统预设的应用。 系统管理员可以对运行客户端系 统上的任意应用程序进行保护和限制。 4.8. 身份身份/身份组验证身份组验证 绎华电子文档安全管理系统(TPS- EFS)是基于身份验证的基础上对电子文件 进行保护的,系统管理员可以指定(通过加密方式,而不是许可控制方式)一个 文件只能由哪些人(身份)/哪些部门(身份组)使用其明文,不具备这些身份的用户 即使得到了文件也不能得到其明文。 绎华电子文档安全管理系统(TPS- EFS)安装后会为每个单位用户生成一个唯 一的密钥,各单位也可以再自行设置一个用户密钥,由两把密钥来
16、共同完成加密 工作。 不同的单位之间由于无法得知对方的用户密钥, 相互间无法解密对方文件, 保证了文件的安全性。 第三章第三章. 关键技术关键技术 1. 设计思想设计思想 绎华电子文档安全管理系统(TPS- EFS) 是一个向整个计算机系统提供安全、 便捷、 广泛的反商业泄密解决方案的信息安全产品,在任何时间地点都可以安全 电子文档安全管理系统技术白皮书 TPS- EFS V1.0 上海绎华通讯技术有限公司 - 9 - 地保护企业文件数据不被侵犯,让机密文件得到最周全的保护。本系统可以无缝 地嵌入操作系统,实现便捷、透明的安全保护,为企业提供一个低应用成本、高 可靠反商业泄密的解决方案。 特定的文
