《铁卷电子文档安全系统技术白皮书_v3》由会员分享,可在线阅读,更多相关《铁卷电子文档安全系统技术白皮书_v3(25页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页V3.1沈阳易捷科技有限公司铁卷电子文档安全系统技术白皮书2010年7月本白皮书中的内容是“铁卷电子文档安全系统”技术说明书。本材料的相关权力归沈阳易捷科技有限公司所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印。 2007 沈阳易捷科技有限公司All rights reserved.铁卷电子文档安全系统技术白皮书本资料将定期更新,如欲获取最新相关信息,请访问易捷科技公司网站:http:/您的意见和建议请发送至:沈阳易捷科技有限公司沈阳市高新区辉山街20号创业中心5层5th floor Chuangye
2、 Center No.33, fengdao Road,New & High-Tech Agricultural Development Zone, Shenyang电话(TEL):024-25848172024-25846902传真(FAX ):024-25848172-802电子信箱:目 录目 录31.电子文档安全产品综述42.使用电子文档安全产品的益处52.1.知识产权保障带来竞争力提升52.2.优化流程,降低沟通成本53.铁卷的特点、优势及应用73.1.产品特点73.2.技术优势73.2.1.强制保护,用户透明73.2.2.稳定可靠73.2.3.管理简易灵活93.2.4.打印控制93.
3、2.5.审计日志详尽103.2.6.格式完全113.2.7.灾难恢复113.2.8.外发文档安全113.3.应用场景123.4.应用范围144.铁卷如何保护电子文档164.1.系统结构164.2.安装184.3.客户端使用184.4.服务端使用205.系统部署215.1.系统运行的软硬件需求215.2.实施进度表211. 电子文档安全产品综述随着Internet日益普及,越来越多的文件以电子文档的形式传输。众所周知,电子文档极易复制且复制后不留任何痕迹。通常电子文档的传输造成的信息泄露有以下几种形式:l 内部员工因为离职等原因,把秘密文件拷贝到软盘带走,或通过网络向外传递;l 网络骇客通过网络
4、攻击等非法手段取得访问权限,并把文件复制带走;l 员工没有保密观念造成无意识地泄露,如使电子文档传给了没有阅读权限的阅读者,造成秘密信息公开;l 计算机病毒自动发送电子文档;l 各类存储设备(如笔记本电脑、U盘、光盘、移动硬盘)等遗失;l 旧设备报废,但没有对设备进行有效的数据擦除处理;从政府文件、企业工程图纸、标准操作程序到销售展示,各类文档对政府、企业的平稳有效运行是至关重要的。目前随着电子政务的深入开展,无纸办公、MIS、ERP等系统也在政府及企业得到广泛的应用,利用网络发布、传递信息的个人和企业数量更是日益增长。但目前的现状是当人们议论到信息安全,往往首先想到的是外部攻击,因此联想到的
5、是防火墙、入侵检测、内部网和外部网物理隔离等技术,内部的信息泄露往往得不到应用的重视。仅举几个数据作为佐证,我们就该能了解电子文档安全的必要性:根据 CSI/FBI 统计 2005 年各种安全漏洞造成的损失中,30%-40%是由电子文件的泄露造成的;而 Fortune 排名前 1000 家的公司中,每次电子文件泄露所造成的损失平均是 500,000 美元。IDC在2005年底的预测中估计OCC(Outbound Content Compliance)即信息防泄露市场在2006年的全球市场将达到6亿美元,到2009年将达到19亿美元,每年的增幅均在50%以上。因此,对电子文档进行保护势在必行。2
6、. 使用电子文档安全产品的益处2.1. 知识产权保障带来竞争力提升2007年6月,国内一大型台资设备制造、代工企业状告另一家大型企业,使用“挖墙角”的方式获得其企业机密数据。设立了一套与其相似的生产流程,遂索赔人民币50亿元。知识产权就是现代企业的生命,现在的企业越来越重视知识产权的保护,根据国家知识产权局的统计,每年知识产权相关的案件数量在以30%以上的速度进行递增。保证知识产权,就相当于保障企业的生存空间。使用铁卷电子文档安全系统,使得企业成为电子数据的真正所有者,保证企业知识产权。有效提高企业在市场上的竞争力。2.2. 优化流程,降低沟通成本现有的企业在为保证知识产权的同时,通常都制定了
7、一系列的相关制度。通过行政手段来保证文档流传时候的可追溯性。一个典型的企业制度、流程为:在这个流程中,人员众多,审批过程全部都由人工干预。在实时性、效率上都会有一些影响。而且有比较大的安全性问题:如何能够保证所有的员工都能自觉的按照公司政策来走这个流程?使用铁卷电子文档安全系统之后,这个流程变成:在这个流程中,只需走完第一步操作,用户即可将文档正常流转到合作伙伴或者直接上机生产,大大的优化了工作的效率,从前需要人工审核的部门由计算机网络取代,提高了工作效率。同时,在服务器上备份了所有的文件审查日志。数据的完整性、可靠性都得到了极大的提升,也减免了传统的纸质备份保密资料给企业带来的成本。3. 铁
8、卷的特点、优势及应用3.1. 产品特点铁卷通过以下功能,为您提供值得依赖的文档保护方式:l 全程保障:从文档创建、传递直至销毁全过程完全控制。l 介质无关:无论通过存储(USB、光盘、软驱、ZIP盘等)或网络(Email、FTP、红外、蓝牙等),均在保护范畴,介质无关的特性能够使用户不必为新的存储介质和传输协议/方式而被迫升级系统,因此可以减少用户的软硬件成本,最大程度保护用户的投资。l 集中控制:通过集中控制台对每个客户端进行轮询和管理,有效保证电子文档既受保护,又能够灵活使用。l 用户透明:使用者完全无需更改原有电子文档使用习惯。3.2. 技术优势3.2.1. 强制保护,用户透明l 保护过
9、程完全自动。用户在对受保护的文档进行操作时,运行于Windows底层的保护驱动会自动强制启用。原作者级别的防泄密使得即使是文档的作者也无法将文件对外部泄露。l 用户体验完全透明不改变文件格式,不需要额外的阅读工具,普通用户甚至感觉不到铁卷的存在。3.2.2. 稳定可靠l 加密算法铁卷电子文档安全系统内置了AES、RC4、RC5加密算法,可供用户灵活选择。AES(The Advanced Encryption Standard)是美国国家标准与技术研究所用于加密电子数据的规范。它已经能成为人们公认的加密包括金融、电信和政府数字信息的方法。RC系列算法是大名鼎鼎的RSA三人组设计的密钥长度可变的流
10、加密算法,其中最流行的是RC4算法,RC系列算法最长可以使用2048位的密钥,该算法的速度可以达到DES加密的10倍左右。RC4算法是一种对称流加密算法。由于RC4算法的加密或解密速度均非常快,又提供了相当的强度,所以得到了广泛应用。SSL(Security Socket Layer)加密套接字协议层和WEP均采用了RC4加密算法。同时能在部署Agent的时候,自动将用户硬盘上的指定文档都转换为密文。确保文件安全。l 硬件机器码铁卷还通过USB KEY或提取用户机器的一系列硬件指纹,结合当前用户SID等信息演算后得到硬件机器码,并以此为服务器/用户端的通讯认证凭据。l 管理员权限铁卷允许多个管
11、理员对服务器进行管理,不同的管理员可以拥有不同的权限,以保证管理员不会越权操作。l 强大的防攻击技术内核驱动级的注册表、文件、进程全面保护,有效防止恶意用户的破解企图。l 安全的加密判别机制铁卷通过受保护的进程结合文件扩展名等方式来判断是否需要将某类型的文档进行加密。这比单纯依靠文件扩展名来识别文件类型并加密有更高的安全性和可靠性。3.2.3. 管理简易灵活l 部署方式便捷可以与AD结合进行推送,也可以由用户访问WEB页面,通过ActiveX方式进行安装,简化了管理员的操作,并且版本管理更为清晰简便。l 远程批量升级支持服务器对用户终端的强制批量升级,轻点几下鼠标就能够完成全公司的产品部署。l
12、 应用灵活支持对文件的解密发送(需要特定密钥并且有详尽日志记录),支持笔记本电脑的离线阅读申请,在保障安全的同时最大程度给予灵活控管。3.2.4. 打印控制铁卷能够在文档打印的时候,在文档的背景中打印出不影响正常阅读的“浮水印”,通过这个浮水印上的信息,管理员能够查看到这个文档是在何时被谁打印的。保证了文档在外发后仍具备相当的威慑性。3.2.5. 审计日志详尽铁卷提供了详细的操作日志,这些日志是被铁卷系统自动、强制记录的,管理员的每一步操作都会被铁卷完整的记录下来,可供具有“日志管理员”权限的管理人员查看。3.2.6. 格式完全目前铁卷支持包括工业制图、办公应用、图形图像设计、程序开发和其他各
13、种软件100余种,全面保护您企业的电子文档安全。(包括但不仅限于下图所示)3.2.7. 灾难恢复服务器端具有完善和安全的多机备份及多级部署机制,一旦出现服务器故障,客户端将自动的连接到备机,保证客户端能够正常使用。因此,没有传统的多机热备技术在服务器切换的时候,所需要的反应时间。最大限度的降低用户使用风险。即使在某些特殊的情况下,网络瘫痪,铁卷也有使用USB KEY或离线授权文件来临时允许客户端使用的应急解决方案。3.2.8. 外发文档安全两种不同级别的限制,满足不同用户对外发文档安全性的要求:l 自行创建USB KEY或者离线授权文件,管理员能够限制使用密码、使用时间,对方可以自行编辑修改该
14、文件。l 通过虚拟打印机,将文档转换为安全的文档格式,对方不可修改、不可复制,管理员可以使用密码、阅读次数、阅读时间等方式限制文档外发后的属性,在达到设定的条件后,文档被自行销毁。3.3. 应用场景在电子文档安全领域曾经存在的最大挑战在于无法全程监控,让我们假想这样一个场景:某IT企业融资前的一个月,公司财务总监编制了一份详细的融资及财务报告后发送给公司高管,同时抄送到自己的公网邮箱,准备进一步修改。两天后,总经理的笔记本电脑失窃这个很普通的操作实际上可能存在的风险点包括:1. 财务总监的电脑;2. 邮件发送过程中的传输链路;3. 所有公司高管的邮箱;4. 收取过邮件的高管电脑;5. 财务总监
15、的“公网邮箱”;这一场景也对电子文档安全厂商提出了几个问题:1. 如何保障文档创建者(发送者)创建(发送)的是受保护的文件?2. 如何保障传输过程中即便有“窃贼”,也无法浏览文件内容?3. 如何保障文件的接收者能正常打开,但却无法通过任何介质将文件发给其它人?目前国际上的电子文档安全系统,主要分为两大类型:l 文件加锁-解锁型:通过文档的创建和发送人对文件加锁,再由文档的接收人解锁后阅读;l 格式转换型:通过文档的创建和发送人将电子文档转换为另一种专有格式,再采用特定的查看工具打开阅读。这两种保护方式存在的最大缺陷在于:需要创建人手工将原始文件转换为加密或专有文件。这会带来:l 文件创建和发送者仍然能够不受控制地发放未给处理的文档;l 文件创建和发送者需
