《山丽防水墙内外网数据安全解决方案》由会员分享,可在线阅读,更多相关《山丽防水墙内外网数据安全解决方案(105页珍藏版)》请在金锄头文库上搜索。
1、山丽防水墙内外网数据安全解决方案目 录1项目背景52网络场景56解决方案66.1加密1.0环境加密和其生存现状66.2加密2.0格式加密和其生存现状66.3加密3.0多模加密和其生存现状67系统详解67.1.1产品设计理念67.1.2系统流程77.1.3系统设计97.1.2系统目标97.1.3系统特点107.1.4系统模块117.1.5系统流程137.1.7系统服务器137.1.7系统控制台147.1.9系统安全管理员167.1.10系统客户端177.1.10系统部署结构187.1.11总部分部系统部署结构197.2.1产品功能之多模加密技术197.2.2产品功能之剪贴板控制技术207.2.3
2、产品功能之文件密级技术212.2.4产品功能之文档权限技术227.2.5产品功能之离线管理技术237.2.6产品功能之审批管理技术247.2.7产品功能之审批流定制技术277.2.8产品功能之外设管理技术297.2.9产品功能之安全网关&TPM防护技术307.2.10产品功能之密文明送技术327.2.11产品功能之打印管理技术337.2.12产品功能之文档水印技术347.2.13产品功能之烧录管理技术357.2.14产品功能之U盘防水墙技术367.2.15产品功能之上网行为管理技术377.2.16产品功能之自主分发安装技术387.2.17产品功能之服务器容灾管理技术387.2.18产品功能之文
3、件备份和删除管理技术397.2.19产品功能之IT资产管理技术397.2.20产品功能之日志管理技术407.3产品功能展示427.3.1 产品功能对透明加密管理的满足427.3.2 产品功能对加密模式本地策略管理的满足437.3.3 产品功能对多种加密模式管理的满足447.3.4 产品功能对一文一密钥安全性管理的满足467.3.5 产品功能对加密系统剪贴板管理的满足487.3.6 产品功能对加密系统多种登录方式管理的满足487.3.7 产品功能对出差笔记本防泄漏(加密客户端离网使用)管理的满足497.3.9 产品功能对文件解密申请管理的满足507.3.10 产品功能对密文明送文件外发控制管理的
4、满足547.3.12 产品功能对文件权限管理的满足547.3.12.1基于用户为脚色的文档权限控制567.3.12.2基于文档为角色的自定义文档权限控制577.3.12.3文档权限控制的精细化管理587.3.15 产品功能对基于B/S应用服务器和防水墙系统融合方案的满足607.3.16 产品功能对FTP服务器和防水墙系统融合方案的满足607.3.16.1产品功能和应用服务器融合的原理617.3.16.2产品功能和应用服务器融合的方案627.3.17 产品功能对文件交互管理的满足647.3.17.1分支机构和总部的交流647.3.17.2产品功能对分支机构和供应商管理的满足667.3.18 产品
5、功能对计算机外设管理的满足667.3.18.1终端外设管理范围667.3.18.2外设管理在线、离线策略677.3.18.3注册移动存储设备管理策略687.3.18.4认证移动存储设备管理策略697.3.19 产品功能对服务器灾难恢复功能的满足717.3.20产品功能对审计功能的满足727.3.20.1对加密文件的各种操作行为进行审计727.3.20.2对加密系统各种操作行为的自动预警式审计737.3.21 产品功能对系统管理功能的满足767.3.21.1防水墙加密系统三员分立管理模式767.3.21.2防水墙加密系统系统管理员管理模式767.3.22 产品功能对安全性要求的满足807.3.2
6、3 产品功能对客户端自我防护的满足807.3.24 产品功能对加密客户端授权管理的满足807.3.25 产品功能对客户端自动升级的满足818对使用场景的需求满足818.1 内网中常见应用818.1.1 SVN/VSS/FTP源代码或者文档管理系统818.1.2 PDM/PLM二维或者三维图纸管理系统818.1.3 OA办公系统818.1.4 Foxmail等邮件系统828.1.5 RTX/飞秋等IM通讯系统828.1.6 本电脑常规文档的处理828.1.7 研发、开发、设计程序的处理828.1.8 PLC等自动化设备的烧录调试处理828.1.9企业高管具有较大灵活性的处理838.1.10涉密数
7、据携带外出或者回家加班的处理838.2 外网中常见应用838.2.1 SVN/VSS/FTP源代码或者文档管理系统838.2.2 PDM/PLM二维或者三维图纸管理系统868.2.3 OA办公系统948.2.4 Foxmail等邮件系统968.2.5 QQ等IM通讯系统968.2.6 本电脑常规文档的处理978.2.7 研发、开发、设计程序的处理978.2.8 PLC等自动化设备的烧录调试处理988.2.9企业高管具有较大灵活性的处理988.2.10外出用户VPN连接服务器情况的处理988.2.11出差用户无网络情况的处理988.2.12涉密用户将数据和非涉密用户之间的交互998.2.13加密
8、数据解密外发情况的处理998.2.14数据防泄密服务器宕机后服务器的应急处理998.2.15数据防泄密服务器宕机后的客户端电脑的处理1008.2.16用户数量非常多的时候加密系统的应对1008.2.17用户应用系统调用加密系统接口实现判断和加密1019加密算法1011项目背景在国家安全部门,政府部门,国家社科院校,国家科研单位普遍存在内外网的区分,内网一般称作涉密网,外网一般称作办公网,或者内网称作办公网,外网即称作外网。在日常的工作中,涉密网或者办公网主要处理涉及国家秘密或者企业秘密的数据,外网处理非涉密数据;但在实际工作环境中,因为互联网愈发变得普及,外网也成为了政府部门或者科研院校或者企
9、业单位对外工作的主要途径;而且,在内外网使用中,不可避免的存在着内外网数据交互的问题。如何确保涉密网(办公网)数据的安全,如何确保外网数据的安全,以及如何确保内外网数据交互时候的安全成为了摆在IT系统安全管理人员面前一道棘手的问题。本方案目的在于寻求解决内网数据安全,外网数据安全,以及内外网数据交互安全。2网络场景图表 1政企内网外网网络结构图6解决方案数据防泄密,有多种解决方案,信息行业共识的方案为:以裁剪后的信息安全标准为规范,结合行政、管理制度,采用数据透明加密是目前最彻底的防护方案。在数据透明加密方面,以加密3.0多模透明加密技术,一文一密钥加密效果,对称加密和非对称加密相结合加密密钥
10、机制成为目前透明加密技术的主流。本解决方案推荐采用山丽防水墙数据防泄密系统5.0来实现数据防护。6.1加密1.0环境加密和其生存现状环境加密的本质是硬盘引导区的加密,数据本身不加密;全公司采用一个密钥;可以采用引导区重建工具等破解;目前国内还剩一家公司在执行这种技术,已经被大多数公司抛弃。6.2加密2.0格式加密和其生存现状格式加密的本质是采用驱动级别或者应用程序级别的hook技术,监控具体程序的操作,将该程序特定进程和后缀的文件进行加密;目前国内大部分公司采用的是这个技术。因为这种技术需要用户频繁升级,频繁设置,虽有一定应用但诟病严重,采用单个或者人工干预的多个密钥,无法实现一文一密钥;6.
11、3加密3.0多模加密和其生存现状多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合,可以实现一文一密钥;目前的代表产品:Windows的EFS、win7的BitLock、Adobe的PDF、山丽信息的防水墙数据防泄漏系统;多模加密的多场景:全盘、格式、目录、空加密、外设加密、网络加密。7系统详解7.1.1产品设计理念山丽防水墙系统是一款基于“环境指纹”专利技术的信息安全管理软件, 用于企业内部终端安全和数据安全管理,软件通过终端、数据双对象的管理,实现机密信息资料的防泄漏、防拷贝、防未授权访问等安全控制,用于商业组织及其他核心机密防护机构构建强大而实用的安全防线和数
12、据信息保护网络。终端安全上,通过对打印机、外设、端口、IT资产审计等软硬件的管理,实现对终端设备实时管理,并详细记录用户对这些设备使用的日志。数据安全上,通过管理数据本身,依赖BLP数据控制模型和DLM数据生命周期模型结合,采用透明加密中最先进技术:多模加密,一文一密钥技术,实现数据全生命周期管理,达到数据防泄密效果。在山丽防水墙系统模块下,这种被透明加密的文件,可以和任何文件格式无关,这区别于其它任何国内国际同类软件系统。在山丽防水墙系统模块下,这种被透明加密的文件,可以是EXE,DLL等可执行文件,以防止个别人员将涉密数据封装为EXE,DLL带走,这区别于其它任何国内国际同类软件系统。在山
13、丽防水墙系统模块下,多模加密可以同时提供全盘加密,目录加密,格式加密,空加密,外设加密等,优于市面上的环境加密、格式加密,引领了透明加密的发展趋势,这区别于其它任何国内国际同类软件系统。在山丽防水墙系统模块下,采用了对称加密和非对称加密技术,采用“环境指纹”专利技术,实现了一文一密钥大规模商业产品的广泛使用,这区别于其它任何国内国际同类软件系统。山丽防水墙采用的加密算法为:SM1,SM2/3,+SM4山丽防水墙系统中采取的技术,2009年获得中国发明专利,2009年获得美国发明专利,专利分别为:1,ZL 2004 1 0017241.3)专利名称:具有指纹限制的机密文件访问授权系统2,:US
14、7,890,993 B2)专利名称:Secret file access authorization system with fingerprint limitation山丽防水墙获得国家有关销售许可机构的各种检测并颁发证书:1, 公安部数据安全产品销售许可,并是唯一一家达到三级资质的产品(三级最高);2, 解放军总参谋部数据安全产品销售许可,军B资质;3, 国家保密局数据安全产品销售许可山丽信息安全有限公司的各种产品服务单位涵盖军工、政府、金融、医疗、教育、制造、设计、物流等各类型企业,服务的单位有解放军某部队、西安航空航天集团、上海市政府、广东省检察院、北京银行、中国银行、兴业银行、造币总
15、公司、海峡银行、鄞州银行、清华紫光、复旦大学、科学院核能研究所、社会科学院、思源电气、德力西、贝卡尔特、宏发股份、汇川技术、东阿阿胶、复星朝晖、先锋药业、济川药业、拜耳制药、丰田汽车、五洲龙汽车、广新海事、来福士造船、太平洋造船等单位,产品使用分布全国各地和用户在世界各地的分支机构。山丽信息安全有限公司因为在用户服务方面的卓越表现,获得了各种社会荣誉,山丽信息安全有限公司总部位于中国经济龙头上海市,以北京、广州、武汉、成都、西安等地办事处和二级研发中心为服务和研发支撑。7.1.2系统流程山丽防水墙系统采用RESTful架构,前端采用Electron开发。采用RESTful架构,并将架构的约束条件作为一个整体应用,实现了一个可以扩展到大量客户端的防水墙应用程序。采用RESTful架构,还降低了客户端和服务器
