《联软科技防信息泄露解决方案》由会员分享,可在线阅读,更多相关《联软科技防信息泄露解决方案(15页珍藏版)》请在金锄头文库上搜索。
1、1. 防信息泄露解决方案1.1. 文档安全和数据库防泄密综合性解决方案1.1.1. 概述随着企业业务的发展,具有自主知识产权的核心技术的产品及项目在不断增 加;同时,随着公司网络和业务系统的增加,源于公司内部的安全威胁日渐突出。 核心技术信息文档等与公司竞争力相关的资料安全至关重要。所以,除了加强内 部管理、控制及规范流程外,一套文档信息安全管理系统是企业巩固核心竞争力的必要选择,用技术手段控制公司文档资料的管理,防止核心技术资料经由各种渠道外泄。联软LeagView文档信息安全管理系统就是针对重要文件进行加密,为企业提供最全面的文档安全保护服务,提高企业工作效率,并有效防止因信息泄密而造成的
2、商业损失和法律责任。根据用户的权限、不同程度的开放给文件使用者功能。可以做到有的用户只拥有读取的权限,有的用户拥有读取、修改、打印等多种权限。具体的权限设计依赖于管理者或文件拥有者的设置。这样既达到了防止文件被泄密,也达到了公司知识积累和文件的共享。管理者能够控制使用者的读取、存储、复制、输出等权限,使得每使用者只能接触到自己业务范围内的有限文档,防止使用者之间非法复制、拷贝、对外发行、光盘拷贝,杜绝了使用优盘、软盘、光盘,电子邮件等方式窃取企业的机密技术文件、计划书、设计图稿、会计账目、研究论文、客户信息等重要文档;从技术上防止因保密文档的共享和转发而导致的泄密问题,最终达到保护公司的机密信
3、息的目的。1.1.2. 设计理念联软LeagView文档信息安全管理系统主要从两个方向去保障文档信息的安全: 通过管理终端的外连设备、端口、进程,从文档传输的渠道上杜绝信息的泄露; 通过对文档进行加密实现对信息的保护。联软LeagView文档信息安全管理系统不会改变用户原来任何使用习惯和计算机的文件格式、应用程序,在不知不觉中用户保存的文档,自动加解密。 软件对于用户而言是透明的,是不存在的,但实际上为企业修建了一道严密的防御体系,时时刻刻守护着企业宝贵的知识财产。加了密的文档在企业内部流通一切正常,对于非法得到的文件,打开文档看到的只是乱码文件,确保了企业数据的安全。 安全保障模式 事先防范
4、,事后追查。文档内容本身的数据加密、用户与后台服务进程的通讯加密,双重加密技术保证文档的内容安全、传输安全。 采用文档管理功能,集中管理需要保护的文档。采用日志管理功能,记录受保护文档的使用情况,即文档在何时、被何人、在哪台机器上、做了何种操作。自动追踪非法访问记录,为泄密事情提供追查依据。 信息保护方式 操作简单,应用方便。在防范体系的范围下,所有事先设定需要保护的文件格式,在进入应用软件程序后,系统进入自动加密状态,不改变用户的任何操作习惯(甚至您察觉不到它的存在),唯一改变的只是编辑过程中以及最终形成的文件被自动加密; 打开一个未加密文件的同时,对该文件进行自动加密,不影响应用程序的正常
5、运行及文件的正常使用; 控制计算机截屏功能,对应用软件的复制(Ctrl+C)和剪切(Ctrl+X)、OLE 等操作功能进行加密控制,防止在操作这些功能时所截取和链接的信息泄露; 在同一个局域网中的不同电脑上,数据能完全流通,不受限制,文件在企业内部有效。当文档在需要外发时,由专门的外发流程进行内部解密后向外发放。 系统管理形式 权限分配,集中管理。系统管理员拥有最大的权限,而一般用户只针对其工作性质赋予相应的权限,一般用户的权限由系统管理员赋予。 统一进行用户权限分配,按照用户的工作性质和工作范围,分配不同的系统操作权限,对于临时工作任务,可按操作时间、操作次数等性质,赋予临时权限; 建立权限
6、等级制度,使不同权限的用户进行分类管理。1.1.3. 系统主要构成部分 LeagView文档信息安全系统由服务端、客户端组成。 服务端服务端由客户端通讯模块,证书、密钥管理,用户管理,安全策略管理,管理员权限管理,审批管理,审计日志模块,外发文件备份管理,数据备份与恢复,Web服务等组成。其中,客户端通讯模块负责与客户端通过SSL安全连接通讯,将证书、密钥,安全策略等下发给客户端。证书、密钥管理模块负责管理整个系统使用的证书、密钥的生成、下发与维护。证书、密钥在系统初始化时生成,保证唯一性。证书、密钥可以导出备份,以便系统崩溃或重装时可以重新导入。用户管理负责维护组织架构、用户、设备的信息。安
7、全策略管理负责系统的安全策略。安全策略包括安全进程与安全文档设置,加密算法、密钥长度,身份验证模式,离线策略,外发控制,截屏控制,打印控制等。管理员权限管理负责管理管理员的权限。管理员分为三类,管理员、审批员、审计员。审批员负责审批所有的离线申请和外发申请。审计员负责审计所有的审计日志。管理员则负责整个系统的管理,管理员的权限又可以根据功能菜单项和部门、用户进行多维度的划分与组合。审批管理模块负责对终端用户提出的离线申请、外发申请进行审批。审计日志模块负责对审计日志的管理。外发文件备份管理模块负责对外发文件的备份与管理。数据备份与恢复负责对整个系统的数据的备份与恢复。支持自动备份与手工备份。W
8、eb服务模块对外提供服务端的管理界面。 客户端客户端的模块由位于操作系统应用层和内核空间的多个模块组成。包括应用层的证书、密钥管理,外发审计,手工加密工具,离线申请,内核中的文件系统过滤层透明加、解密驱动,安全保护驱动。 管理端管理端就是标准的浏览器。管理界面完全基于Web,便于管理员使用,管理端的部署为零成本。1.1.4. 系统的功能特点描述联软LeagView文档信息安全系统由服务器端、管理端及客户端三部分组成,同时支持 B/S和C/S 结构(客户端和服务器端方式为C/S结构,管理端为B/S方式)。系统采用分级授权管理,系统管理员可以设定不同的子管理员(如:超级管理员,管理员,普通用户等)
9、。 1.1.5. 适用范围 文档信息安全系统内保护的对象无论通过存储(USB、光盘、软驱、ZIP 盘等)或网络(Email、FTP、Windows共享等)或是其它传输介质与方法(红外、蓝牙等),均在保护范畴内。 加密支持的文档格式支持所有常见的文件格式,如Microsoft Office系列, Adobe系列,设计类的Solid Works、Pro/E、UG、CATIA、AUTOCAD等,并可以由用户自添加文档类型,无须升级文档安全系统即可适应企业应用软件的变化。 适用的操作系统平台服务器端:Windows Server 2000, Windows Server 2003, Windows S
10、erve 2008;客户端:Windows 98, Windows 2000, Windows XP, Windows Vista, Windows 2003, Windows Server 2008, Windows 7;管理端:常用具备Java功能的浏览器。 可靠性和安全性 n 身份验证和加密算法的安全性联软LeagView采用了基于X509标准数字证书的用户身份与权限验证。对文件的加密和授权都通过符合国际标准的加密算法和数字证书进行。每个文件都采用不同的随机对称密钥加密,避免一个文件的密钥被破解,所有加密文件都被破解的问题。每个文件中都包含授权信息,文件创建者可用在将文件流转给其他人之前
11、进行授权,授权可用细分到读、写、打印、再授权等。同时可以与任何支持X509数字证书和pkcs#11、CSAPI的硬件设备如USB Key等集成,为用户提供完整的解决方案。联软LeagView文档信息安全系统采用国际标准的算法作为加解密算法。密钥长度可长达128字节(即1024位),算法和密钥长度可由用户自行设定。同时客户端也采取了先进的保护措施,可以防止通过更改程序名或扩展名、OLE插入、远程桌面连接拷屏、文档间鼠标拖拽、终止客户端进程、移动存储设备、即时通讯、邮件等来绕过加密系统。n 客户端和服务端通信的安全性客户端和服务端的通信采用SSL加密的方式进行传输,大大提高了系统的安全性。同时客户
12、端也采取了先进的保护措施,可以防止通过更改程序名或扩展名、OLE插入、远程桌面连接拷屏、文档间鼠标拖拽、终止客户端进程、移动存储设备、即时通讯、邮件等来绕过加密系统。n 文件的安全性和可靠性联软LeagView文档信息安全系统从系统设计上就提供安全备份机制,既提供服务器后台的备份支持,也提供用户本地文件系统的自动备份支持,任何情况下不会破坏用户已保存的文档,包括系统突然掉电。在系统突然掉电的情况下,下次系统启动会自动检测发现需要恢复的文件,自动将文档恢复到最近一次自动备份的状态。整个备份与恢复过程对用户都是完全透明的,不需要特殊的、手工的处理。n 安全保护技术除了透明加、解密技术,LeagVi
13、ew文档信息安全系统还实现了严密的安全保护技术。因为应用程序读取到的是明文,因此必须阻止应用程序与非安全程序的任何进程间通讯。目前,在Windows操作系统中,常见的进程间通讯有剪贴板、管道、Socket、DDE、共享内存、Windows消息、注册表等。对于这些进程间通讯方法,本产品都可以加以控制和阻断。当然安全进程之间的进程通讯和非安全进程到安全进程的单向通讯,是不会受到任何影响的。如下图所示:这样,最大限度的减少了对用户正常工作的干扰。 用户管理LeagView系统实现了多用户管理。超级管理员可以创建不同的用户,给这些用户赋予不同的权限。权限的划分可以是按设备、按界面菜单、按监控画面(能够
14、按功能和监控对象进行组合控制)。下图是管理员权限分配界面。每个用户只能管理其具有管理权限的设备,只能使用LeagView系统管理界面上其具有权限的菜单,只能查看其具有权限的监控画面。通过定义用户和配置用户权限,可以实现灵活的多用户管理和分级管理。这些用户,不论物理位置在何处,都可以通过IE浏览器登录到LeagView系统的管理界面,不需要安装任何客户端软件就可以对自己权限范围内的设备、监控画面进行管理、查看。这样就可以实现集中式管理,既为企业节省了部署、安装的成本,又提高了管理水平与安全程度。 权限管理和控制LeagView文档安全管理系统中用户管理以个人、部门、角色为单位,用户对文档的使用分
15、别授权,包括:阅读、打印、复制、修改、截屏等权限。未授权的用户,无法打开加密文件。n 授权加密文档中可以规定哪些用户可以访问文件,以及具有什么样的权限等等。n 文档传输流程管理对于跨职能区域的文件如果需要在职能区外使用,客户端必须提交外传申请并且只有通过管理员(或上级等)的授权才能对文件进行解密外传。 移动存储管理移动介质的管理一直是企业IT管理中的难点,也是最容易出现安全问题的设备,对移动介质的管理主要必须在以下几点上进行控制: 外部的或非法的移动存储设备不能随意的进入IT系统,必须经过一个安全的注册认证流程来实现对管理; 经过注册的内部移动存储设备的使用要进行监管,未经授权无法到外部使用,进行加密存储; 为了防御移动介质的自运行程序,在使用移动介质时,无法运行移动介质中的可执行程序; 对移动介质的文件传输进行审计或禁止;n 移动存储设备控制LeagView的移动介质控制功能实现移动介质的读写控制。管理员可以设置允许读的移动介质标识、允许写的移动介质标识、对读写是否要审计。当移动介质接入到客户端时,LeagView会判断该移动介质是可以被读、被写还是不可以接入到客户端,同时控制用户对移动介质的操作。LeagView可以审计终端对移动介质操作,审计内容包括何时、哪台终端、哪个用户、使用的移动介质标识、所做的操作、文件名称和大小等信息。LeagView
