大型企业文件控制安全解决方案

资源描述

《大型企业文件控制安全解决方案》由会员分享，可在线阅读，更多相关《大型企业文件控制安全解决方案（4页珍藏版）》请在金锄头文库上搜索。

1、 ERP、工业制造设计、数码技术等先进的 IT 技术为各行业的发展提供了无限的推动力，一方面企业为 IT 技术为企业带来的更强大的竞争优势感到欣喜不已，另一方面却深深地限入信息安全保密的苦恼，花费大量的人力、资金建立的计算机应用系统，通过应用系统研发的高级研究成果，常常莫名其妙地被竞争对手提前获取，从而造成巨大的经济损失。在商业活动极度活跃的今天，商业流动极其频繁，人才的流动同样也带来了信息的流动，不可避免的，企业核心事业机密常常被有意、无意的人才流动通过不同的方式、不同的途径泄露到竞争对手中，从而给企业带来毁灭性的打击。尽管 ERP、OA 系统的建设一定程度地保护了企业

2、的信息安全，但是作为企业核心机密和核心商业机密还是很容易地被使用者悄悄地窃取，能否提供更有效地手段来保护企业最核心的机密，一直以来都是企业管理者费心劳神的一件大事情。怎么样才能保障大型企业的信息安全？能讯科技提供了基于文件控制加密系统的完整有效的解决方案，能够将企业的损失减少到最少，同时大大地提高了对企业核心机密控制的可操作性！总体结构与主要特点：整个系统的工程配置以系统服务器为中心，终端分布在各个部门，服务中心和终端之间可用局域网方式连接，终端也可通过 Internet 连接服务器进行认证。服务中心包括系统服务器和文件服务器，在较小规模的工程中，文件服务器可和系统

3、服务器合为一体，服务中心负责对用户的身份认证和用户对文件的操作权限控制。 l 系统服务器系统服务器处于整个系统的中心位置，也是受保护的文件的存储中心，用户对受保护文件做任何操作前（安全文件制作、文件的上传、文件权限的设置、文件下载以及对受保护的文件进行访问），都要通过系统服务器对用户的身份进行认证，校验用户的数字 ID 的有效性，避免非法用户对文件进行非法访问；文件作者需要发布文件时，必须将文件上传到系统服务器上，别的用户通过系统服务器进行文件的下载；用户访问受保护的文件时，实时从系统服务器获取该用户对文件的访问权限，保证用户拥有的权限和系统服务器保持同步。 l 文件服

4、务器在较大规模的应用中，系统服务器可能难以承担文件的存储负担，这时可将文件存储部分从系统服务器分离出来，由专门的文件服务器来处理文件的存储工作。 l 数据库服务器系统提供了良好的数据库扩展性，用户可将数据库服务从系统服务器中分离出来，使用已有的数据库资源，系统提供了 MS Access、MS SQLServer、Oracle、Informix 数据库的接口可供用户选择。 l 加密设备系统的加密设备采用信息产业部 30 所的普密加密卡，所有文件的加密均采用加密卡中的算法进行加密，由于加密卡是个封闭的系统，从外部无法探知加密卡所采用的加密算法，最大可能地提供文件加密的可靠性

5、与安全性。 l 密盘每个终端必须使用密盘才能使用系统提供的所有服务，密盘中保存的是用户的公有和私有信息以及用户的数字 ID 信息，以标识用户的身份，用户在使用系统提供的服务前都必须输入正确的 PIN 码，以确定用户的身份； l 用户终端管理员对系统的管理设置、终端用户对文件的所有操作都是在用户终端完成，用户终端必须安装加密卡(可选)以及密盘。主要功能及特点：（1）安全策略通过软件（主要提供安全保密管理功能）和硬件（普密级或商密集加密设备和 USB 智能密盘）的结合来执行各种安全操作，从而避免了纯软件或硬件加密可能引起数据外泄和功能不完善的缺陷。所有重要的安全操作

6、，比如文件加密/解密等，都需要加密设备来完成，同时用户的其他的操作者需要智能密盘的支持,没有了合法硬件密盘，各种安全管理操作均无法正确完成。同时，每一个硬件密盘，都对应一个 PIN 码，用于验证用户的合法性。PIN 码不对时，该密盘对系统来说就是不合法的。并且，密盘里的重要信息，都是不可复制的信息。文档的加密过程包含数字 ID 授权操作，因此加密过的电子文档无论以何种方式分发，无权限的用户根本无法打开、读取文件，具有相应权限的用户亦只能进行相应权限的操作。系统包含用户数字 ID 认证机制，用户所有的操作都需进行数字 ID 认证。本产品中所用加密算法均为国密办认可的算法和设备,

7、也可以根据用户的需要采用其它算法和设备。（2）安全机制系统提供的安全保护，按照保护程度的不同，可分为以下几种： 1 桌面保护系统：利用密盘里保存的用户信息，自动登录被锁定的系统。没有密盘，无法执行任何有效操作。 2 文件隐藏：保存到虚拟磁盘的文件（明文），当密盘不可用时，文件是不可见的。 3 文件加密：对文件内容进行加密。密盘保护文件的读写操作，没有密盘，无法打开被加密文件。被加密文件，在解密前的任何文件操作，都不会改变已加密的状态； 4 授权访问：每个文件都包含授权信息，文件的读、写权限可以被指定授权，没有相应权限的用户是无法进行相应操作的。 5 文档保护：不具有写权限的用

8、户，打开文档只能读，无法修改及另存。（3）安全目标系统通过提供多重安全机制，保护相关数据，杜绝各种数据外泄的可能，防止非法用户使用终端，盗窃数据及文件，保护终端安全。系统在对文件进行保护的同时，可以根据用户的权限、不同程度的开放给接收文件者。可以做到有的用户只拥有读取的权限，同时，另外的用户拥有读取、修改、打印等多种权限开放。当然具体的权限设计完全依赖于管理者或文件拥有者的设置。这样系统既达到了防止文件泄密的功能，还达到了知识积累和文件的共享。管理者从使用者下载为起点，控制使用者的读取、存储、复制、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。（4）

9、功能特色 1) 智能 USB 密盘 1. 硬件实现 MD5-HMAC 冲击/响应认证 2. 支持 Microsoft CAPI 应用 3. 符合 CE 和 FCC 标准 4. 64 比特唯一序列号 5. 标准 USB 接口 6. 程序可控 LED 7. 支持通过 ActiveX Control 和 Java Applet 的浏览器访问 8. 三级文件访问和管理权限 9. 两级目录结构 10. 受损不可复原硬塑料外壳 11. 多种颜色选择，可以粘贴第三方标志 12. 安全性高硬件实现 MD5 哈希算法确保个人数字 ID 安全的保存在密盘中，不会受到黑客，病毒的攻击和其它的威胁 13. 携带方

10、便，密盘支持热插拔：只需从 USB 端口上拔下，就可将敏感的个人数字 ID 带在身上 14. 双因子认证在使用密盘时要求用户输入密码，安全性更高 2) 软件特色 1. 系统开机密码的实物化：用户的当前登录信息保存在 USB 接口的密盘内，随身携带，轻松热插拔； 2. 密盘内的信息不可读出，从设计上就避免了个人信息外泄的可能； 3. 密盘内有用户数字 ID，可对用户身份进行认证，电子文档加解密由加密卡完成。 4. 系统对密盘的认证：当设定系统对密盘的绑定后，即使该用户的登录信息泄漏，没有密盘，仍然无法进入系统； 5. 密盘对用户的认证：每支密盘都要设定一个个人识别码 Pin 。只有输入

11、正确的 Pin ，才能使用密盘； 6. 文件和目录监视功能：被监视的文件和目录，没有密盘时不能被复制，粘贴，剪切，重命名和删除。限于 Windows 2000/Xp 系统； 7. 电子文档保护功能：加密后的电子文档可设置访问权限，无相应访问权限的用户无法打开文件。 8. 密盘和 PIN 的双重保护：打开被保护的文件时，需要插入密盘及输入 PIN 码进行身份认证。 9. 虚拟磁盘功能：将私有数据放入虚拟磁盘中，没有密盘，别人根本看不到这些文件。限于 Windows 2000/Xp 系统； 10. 智能登录：拔下密盘系统可自动锁定，插入密盘自动登录； 11. 密盘备份工具：提供一种解决密

12、盘损坏或丢失的解决方案； 12. 自动更新：启动时自动检查并根据需要下载安装网络上的最新版本。（5）功能描述服务器端是一台文档管理服务器（主要提供加解密功能和数字 ID 认证功能）,一个 USB 接口的智能卡，软件从模块上看包括密盘设置、安全磁盘管理、密盘备份、安全文档四部分。密盘设置：可启用/禁用安全桌面系统，替换/恢复 Windows 默认的登录功能，实现自动登录，或者输入 PIN 码后登录；安全磁盘管理：增加/删除/设置虚拟磁盘，提供一种操作更友好但更安全的文件管理方式。所有放在虚拟磁盘中的文件和目录，当不插入密盘时都是隐藏的。并且，虚拟磁盘可以被设置成只读模式，不允

13、许他人编辑和修改；密盘备份：将密盘信息备份到加密过的磁盘文件中，当密盘损毁或丢失时可利用该文件重新生成密盘中的数据；安全文档保密系统：由客户端软件, Viewer 和服务器构成，服务器内集成加密卡或加密机。Viewer 由用户通过网络下载到本地计算机。在网络中的用户需要安装 Viewer 客户端软件,并且至少有一台服务器提供 ID 认证服务，系统可以根据规模大小，考虑群集服务器。在系统中，用户信息和文件权限信息存储在数据库中，缺省支持 SQL2000 数据库。数字 ID 服务器：提供 ID 认证并发放用户数字 ID，采用经过国密办认证的加密算法,签发数字 ID，与标准的浏览器、WEB 服务器实现互通；并可根据实际业务系统的需求进行数字 ID 属性的扩展，以适应不同业务系统的需求。结论：通过文件控制系统，可以通过从信息的源头进行管理，很好地保护信息的完整性和唯一性，为企业提供一套完整的可监控的可管理的、可使用的、可保密的信息安全防护罩，保护企业的核心利益。

展开阅读全文