篇一:北京亿赛通数据防泄露技术解决方案
某某公司
文档透明加密系统解决方案
二〇〇九年十月
目录
2 业务解决方案............................................................................................................................. 7
2.1文档安全保护体系在企业活动中的作用 ........................................................................... 7
2.2文档安全保护体系管理架构 ............................................................................................... 8
2.3体系及文档处理流程 ........................................................................................................... 9
2.4文档管控流程 ....................................................................................................................... 9
2.5技术支撑流程 ..................................................................................................................... 10
技术解决方案........................................................................................................................... 11
3.1文档加密保护技术综述 ..................................................................................................... 11
3.2技术平台解决方案 ............................................................................................................. 11
3.2.1动态加解密解决方案 .............................................................................................. 12
3.2.2移动办公解决方案 .................................................................................................. 13
3.2.3对外业务支持解决方案 .......................................................................................... 14
3.2.4网络单点故障解决方案 .......................................................................................... 14
产品要求 .................................................................................................................................. 15
4.1产品主要功能要求 ............................................................................................................. 15
4.1.1系统加密功能 .......................................................................................................... 15
4.1.2该系统对文档的保护应涵盖所有介质 .................................................................. 15
4.1.4完善的日志审计功能 .............................................................................................. 15
4.1.5客户端管理 .............................................................................................................. 15
4.1.6完善的离线管理功能 .............................................................................................. 16
4.1.7系统灾难应急措施 .................................................................................................. 16
4.2产品详细功能要求描述 ..................................................................................................... 16
4.2.1动态加解密 .............................................................................................................. 16
4.2.2文件格式支持要求 .................................................................................................. 16
4.2.3禁止屏幕打印功能 .................................................................................................. 17
4.2.4不受限制的文件存储方式 ...................................................................................... 17
4.2.5PC绑定及USB锁绑定实现离线浏览 ................................................................... 18
4.2.6系统审计日志管理 .................................................................................................. 19
4.2.7更多文件保护功能 .................................................................................................. 20
4.3 方案基本运行环境 ............................................................................................................ 21 3 4
1 需求概述
Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。目前,各企业都拥有自己的品牌或各自的业务范围,都利用信息化手段进行高效管理。随着计算机、互联网的广泛应用,信息的交流和共享已经成为各企业自身发展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
企业内部竞争性情报类型主要有:
? 企业的机密技术文件、产品研发资料
设计图稿
会计账目、财务报表资料
战略计划书
外购竞标信息和供应链合作伙伴信息
重要研究成果
研究论文
市场营销策划资料
其他:如董事会、投融资等方面管理类资料,客户资料 ? ? ? ? ? ? ? ?
大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
1.明文保存
目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。如果不加密,则进行再多的防范都是不可靠的,同样会泄密。现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
表1.1 泄密方式
2.粗放的权限控制
在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以
下分类:
表1.2 权限类型及在不受控情况下产生的危害
只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
3. 拥有时间无期限
拥有时间无期限指的是资料递交给接授方后,接授方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:
? 当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用; ? 与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目。
4. 不可靠的身份认证机制
篇二:亿赛通数据泄露防护系统安装手册 V2.0
文档编号:
归档人:
归档时间:亿赛通泄露防护(DLP)系统V3.8版本
安装手册
北京亿赛通科技发展有限责任公司
产品中心
二〇一一年六月
北京亿赛通科技发展有限责任公司
目 录
1 软件兼容性 .............................................................................................................................................................. 1
1.1 服务端的支持情况 ................................................................................................................................... 1
1.1.1 对操作系统的支持 ....................................................................................................................... 1
1.1.2 对IE浏览器的支持 ...................................................................................................................... 1
1.1.3 对数据库的支持 ........................................................................................................................... 1
1.1.4 文档权限支持如下应用软件及文件格式(透明加密支持*.*文件类型) ............................... 1
1.1.5 对杀毒软件的支持 ....................................................................................................................... 2
1.2 客户端的支持情况 ................................................................................................................................... 2
1.2.1 对操作系统的支持 ....................................................................................................................... 2
1.2.2 对杀毒软件的支持 ....................................................................................................................... 2
2 软件安装 .................................................................................................................................................................. 3
2.1 服务器安装 ............................................................................................................................................... 3
2.2 客户端安装 ............................................................................................................................................... 7
3 系统运行前的准备................................................................................................................................................. 13
3.1 检查CDG Server .................................................................................................................................... 13
3.2 配置SQL数据库 .................................................................................................................................... 14
3.3 检查SQL Server ..................................................................................................................................... 16
4 软件卸载 ................................................................................................................................................................ 18
4.1 服务器卸载 ............................................................................................................................................. 18
4.2 客户端的卸载 ......................................................................................................................................... 20
软件兼容性
1.1 服务端的支持情况
1.1.1 对操作系统的支持
?
?
?
?
? Windows 2000 server(SP4) Windows 2003 server Windows 2003 server 64 bit Windows 2008 server Windows 2008 server 64 bit
1.1.2 对IE浏览器的支持
?
?
? IE6.0 IE7.0 IE8.0
1.1.3 对数据库的支持
?
?
?
? MS SQL Server 2000(SP3) MS SQL Server 2005 MS SQL Server 2008 MS SQL Server 2008 64 bit
1.1.4 文档权限支持如下应用软件及文件格式(透明加密支持
*.*文件类型)
?
?
?
?
?
?
?
? Office 2000 Office 20003 Office 2007 Office 2010 AutoCAD 2004 AutoCAD 2007 AutoCAD 2010 PDF相关应用程序
? 记事本、写字板等文本处理程序
1.1.5 对杀毒软件的支持
?
?
?
?
?
?
?
?
? 360安全卫士(杀毒) NOD32 Avira 诺顿(SEP) 麦咖啡 比斯图 卡巴斯基6.0 瑞星 江民
1.2 客户端的支持情况
1.2.1 对操作系统的支持
?
?
?
?
?
?
? Windows server 2000(SP4) Windows server 2003 Windows XP SP2 Windows XP (64 bit) Windows Vista Windows 7 Windows 7 (64 bit)
1.2.2 对杀毒软件的支持
?
?
?
?
?
?
?
? 360安全卫士(杀毒) NOD32 诺顿(SEP) 麦咖啡 比斯图 卡巴斯基6.0 瑞星 江民
软件安装
2.1 服务器安装
步骤 1
插入安装光盘,打开光盘所在目录,双击根目录下的Setup,启动安装向导,进
入“安装界面”,如图1-1所示:
图1-1 安装界面
步骤 2 单击【下一步】按钮,选择【我接受许可证协议中的条款】。如图1-2所示:
篇三:亿赛通产品线介绍
1. 文档安全管理系统CDG——核心信息防泄露防扩散
CDG是针对组织内部各业务部门差异化的安全管理需求,通过强制加密与主动加密授权相结合的方式,保护文档全生命周期安全,实现重要信息安全流转,防止重要信息泄露和扩散的综合解决方案。
功能特点
灵活的加密方式
针对不同用户,可配置强制加密策略,也可配置主动加密策略,还可采取主动加密与强制加密相结合策略。 科学的人员管理
基于企业组织结构,通过本地认证或与AD域、ED域结合的统一身份认证等方式,建立人员管理的树型结构。
灵活的角色管理
自主定义多种角色,并赋予不同的权限,模块化角色管理。
全面的文档控制
可对文档进行“权限归档”、“权限冻结”、“权限解冻”、“权限下载”、“权限转移”、“权限收回”和“生成离线权限文件”等操作。
高效的流程控制
在线完成各类业务流程审批,包括文档解密、终端离线、客户端卸载、文档权限变更和邮件解密申请等。 强大的策略配置
策略配置包括智能动态加解密、打印、脱机、终端安全强度、磁盘初始化、文件自动备份和邮件白名单等策略。
实时的业务通报
业务审批结果通过终端冒泡提醒。
细粒度权限设置
文档权限细分为阅读、修改、复制、打印、阅读次数、阅读时间和打印水印。
严密的终端控制
采用离线安全控制、离线补时、在线使用和内容安全等多项措施保证终端安全。
多样化日志审计
详细记载服务器端和客户端日志,所有操作日志报表在线审计并可自动导出。
容灾管理
采用文档自动备份和数据库容灾管理技术,确保业务连续性 。
2. 文档透明加密系统SmartSec——核心信息防外泄
SmartSec是对任意指定类型文档进行强制、实时、透明加解密,兼具强大的安全性和易用性,防止核心信息外泄的强制加密软件产品。
功能特性
智能透明加密
系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。同时,系统还具备严格的进程签名机制,能够准确识别未经授权的非法进程,大大降低了数据泄露的风险。
超强文档保护
文档被强制加密后,只具备同一密钥的用户才能正常打开。能够细粒度控制用户对文档内容复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息;(转自:wWw.XiAocAoFanWeN.cOm 小 草 范文网:北京亿赛通商业计划书)在没具备同一密钥的情况下,文档打开后将以乱码形式呈现,无论通过何种非法途径均无法读取文档内容。
文档安全流转 加密文档在部门内部可以正常使用,若要在不同部门间流转,则需借助SmartSec流转工具。通过对文档加密密钥的转换,可以实现加密文档在公司部门之间安全流转,在满足企业工作需要的同时保障数据的安全性。
终端离线办公
系统可通过服务器设置终端离线,终端离线时需要提出离线申请,经管理员批准后才能正常离线使用。管理员可灵活设置终端离线时限,若终端在脱机超过规定时限后还需要继续使用,可使用管理员提供的补时码完成离线补时。
业务审批流程
SmartSec具备完善的业务申请审批流程,包括文档解密、终端离线、客户端卸载,能够显著提高企业工作效率。
工作模式切换
系统允许特定用户在特定时间段内进行“工作模式”和“个人模式”的切换,在个人模式下,系统将进入冻结状态,停止一切加解密控制行为。此功能提高了系统的灵活性和可用性,对家庭办公或临时加班能够提供有效支持。
3. 文档权限管理系统DRM——核心信息防扩散
DRM(Document Right Management)是对文档进行细粒度权限设置和高强度加密保护,防止重要信息泄露和因文档权限失控导致泄密的主动加密软件产品。DRM确保重要信息在授权应用环境、指定时间和指定操作范围内,不同使用者对同一文档拥有不同权限,实现核心信息分密级与分权限内部安全共享。
功能特性
细粒度权限管理
系统具备完善的权限管理机制,授权方式相当灵活,可设定不同用户的只读、修改、复制、打印等权限,文件作者还可将部分文档管理权限授予用户。另外,作者可以根据需要设定文档的使用时间和打开次数,实现对文档权限更为全面精准的控制。
完善的权限控制体系
DRM拥有一套先进完善的权限控制体系,每个用户都设有文件收件箱、发件箱、还原箱,方便对权限文档的使用和管理。用户还可以通过在线申请的方式向作者申请文档权限,申请和审批流程相当简单。同时考虑到文档离线使用情况,系统还可生成离线权限文件,并且可以设定文件的打开次数和使用时长。 特色群功能
群功能是DRM特色功能之一,不同于组织架构中的用户组,群内成员可以来自各个不同部门,这样就方便企业在项目过程中建立跨部门组织,方便业务交流和项目进展。同时,群组范围的划定也能够降低数据非法扩散的风险。
业务在线审批
DRM具备完善的业务申请审批流程,包括终端离线、客户端卸载、权限变更等各种业务都可以在线完成申请和审批,能够显著提高企业工作效率。
终端离线办公
系统可通过服务器设置终端离线,终端离线时需要提出离线申请,经管理员批准后才能正常离线使用。管理员可灵活设置终端离线时限,若终端在脱机超过规定时限后还需要继续使用,可使用管理员提供的补时码完成离线补时。
4. 文档外发控制系统ODM——核心信息安全发布
ODM(Outbox Document Management)是通过指定外发文档使用者,设定文档使用权限、时间和次数,防止重要信息泄露和非法扩散的主动加密软件产品。用户使用ODM生成外发文档,使用者不需安装客户端,通过身份认证,在指定权限内合法使用文档。
功能特性
严格控制外发文件使用期限
根据客户的需求不同可自由选择授权规则来制作可控的外发文件。即文件时间可控、次数可控等功能。 严格控制外发文件使用权限
严格控制外发文件在客户或合作伙伴处的操作权限。即文件操作可控、修改可控、打印可控、保存可控等功能。
全程监控制作文件记录
详尽的日志审计功能,查看详尽的记录了的登陆日志和操作日志;同时,日志收集过来,进行集中审计。 层次分明打开外发文件
1)直接浏览
直接浏览方式制作的外发文档,外发出的文档不需要通过任何认证即可打开。
2)密码认证
密码验证方式制作的外发文档,打开时需要用户名和密码验证才能打开。
3)硬件认证(KEY)
硬件KEY方式制作的外发文档,外发出的文档打开时必须插入硬件KEY,才能此文档。
4)网络认证
网络认证方式制作的外发文档,外发出的文档打开时必须远程服务器在线认证,才能此文档
5. 文档安全网关FileNetSec——文件或应用服务器和数据库核心信息防泄露 FileNetSec部署在数据集中管理和存储的应用环境与外部环境之间的数据传输关口(数据包括非结构化数据和结构化数据,数据集中管理和存储环境主要是各种文档服务器、资源服务器和应用服务器等),对服务器与终端之间和内网与外网之间传输的文档进行识别和保护,选择性地对文档进行透明动态加解密,保证文档服务器、应用服务器和数据库的核心信息安全,防止因数据集中存储和内外数据交互导致的核心信息泄密,全面杜绝外部和内部安全隐患。
功能特性
智能透明加密
文件安全网关为集成硬件设备,硬件部分采用性能强大的网关设备,内置加固、精简的Linux内核系统,系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
超强文档保护
文档被强制加密后,只有具备相应密钥的用户才能正常打开,但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息;在密钥不匹配的情况下,文档打开后将以乱码形式呈现,无论通过何种非法途径均无法读取文档内容。
精确访问控制
FileNetSec文档安全网关支持远程用户访问公司资源,它通过国际先进的加密技术提供基于网络的访问途径,通过与企业各种应用系统的集成,用户可以访问基于Web的各种数据资源以及共享文件。并且系统可以实现功能强大的访问控制,通过策略配置可以实现只允许可信的用户和连接访问,拒绝具有安全威胁的用户和连接访问,从而大幅提高整体网络的安全性。
支持双机热备 FileNetSec文档安全网关可以根据用户网络的特点和具体要求,在保证网络架构高效简洁的前提下,同时实现网络的负载均衡。当出现高峰突发访问时,FileNetSec到服务器的连接数并不会突然增加,从而对服务器起到一定的压力缓解作用。因此用户在访问同一资源时并不会出现时快时慢的现象,用户体验更为良好。
6. 可信介质安全管理系统 ——U盘、手机、数码相机等移动存储设备数据防
泄漏
可信介质安全管理系统从介质访问控制、终端注册授权、介质注册授权、介质存储数据安全保护、介质使用权限控制、介质使用安全审计以及结合终端端口控制、终端光盘刻录监控与审计(市面同类型产品均无此功能)等方面对存储介质进行数据泄漏防护管理,用技术手段实现存储介质的安全使用及存储的数据安全保护。通过对介质的访问控制与注册授权,实现非注册介质接入内网计算机上不能使用,内网专用介质接入非内网计算机上不能使用。数据始终以密文形式存储在专用介质上,非授权用户不能解密,保证涉密介质丢失后不会造成泄密事故。详细的介质使用审计日志,确保介质可追踪。
产品功能
终端端口控制
支持对终端端口与设备进行启用与禁用控制。主要包括:打印控制、调制解调器、串口、并口、1394、红外、蓝牙、无线等的使用控制。
终端光介质(光盘)使用监控
对终端的光介质(光盘)的读写使用权限控制。支持刻录普通光盘与加密光盘,加密光盘内的数据经过加密处理,只有经过授权的人员才能读取该光盘的内容。同时对终端刻录行为进行日志审计。
终端注册及权限控制
对终端计算机进行注册、分组管理,并对终端的介质使用范围进行授权。授权方式如下:
1、禁止使用移动存储介质
2、可以使用所有介质:不能使用注册介质。
3、可以使用注册介质:不能使用未注册的介质。
可以使用普通介质:可以使用已经注册普通介质。
可以使用专用介质:可以使用已经注册的加密存储的介质。
可以使用安全U盘:可以使用已经注册的安全U盘。
介质注册及分组管理
支持多种介质注册方式:管理台集中注册、终端在线注册以及离线注册三种介质注册方式。对已经注册的介质提供分组管理与介质状态管理(正常使用、锁定)。
介质接入控制
只有经过授权的介质才能在内网使用,未授权的介质无法在内网使用。内网专用介质只能在内网使用,在外网无法使用。防止因非法使用介质造成数据泄密。
介质使用权限控制管理
控制介质的只读、读写使用权限,同时可以控制介质的可使用范围。控制介质只能在授权的范围内使用。 离线策略
无论终端是否在线,针对该终端的策略及介质控制策略同样生效。
日志审计
对移动存储介质上所有文件操作行为进行详细记录,同时记录介质的插拔行为以及系统管理台的操作行为。审计日志可查询、导出、备份。
7. 电子文件保险箱——隐私数据防泄露
HiderSec电子文件保险箱是为用户保护机密、隐私数据的桌面防护型产品-电子文件保险箱。通过核心加密虚拟卷技术对用户敏感数据、隐私记录给予安全保护。有效防止因电脑丢失、电脑维修、黑客底层破解等情况发生时所造成的信息泄密,是您身边不可多得的“隐私数据防护专家”。
功能特点
即时通讯数据安全保护
为QQ、ICQ、MSN、UC、Skype等网络即时通讯工具的提供数据记录的安全防护,确保隐私数据不被他人窥视或利用。
电子邮件内容安全保护
为Outlook、Foxmail等邮件系统提供内容保护。
机密与隐私数据安全保护
支持多种高强度加密算法,对电脑机密与隐私数据进行强加密保护,防止电脑意外危机所带来的泄密风险。 专业数据保护
对企业财务数据、分析报告、设计文件等重点数据进行专业加密保护,支持包括:用友、金蝶等相关软件数据。
应用程序安全保护
将应用软件安装在保险箱加密空间中,只允许合法用户运行使用。
自身安全强保护
系统采用USBkey+PIN码双因子强身份认证,非法用户无法使用。同时保险箱文件通过底层驱动过滤技术深度保护,防止底层入侵及恶意破坏。
网络自动断联
支持网络自动断联功能,涉密文件无法在联网状态下被使用,防止木马、黑客等通过网络攻击窃取数据而造成信息泄漏。
操作日志
详细记录对保险箱的操作行为。
8. 全盘加密安全U盘系统 ——机密数据防破解外泄
进不来 非法用户无法登录U盘系统进行控制使用。
拿不走 非法用户通过任何手段或底层暴力破解,都无法获得U盘内的数据信息内容。 读不懂U盘内数据全部密文存储、非法用户无法识别。
走不脱 U盘具备日志审计功能,对操作行为可记录和追踪。
功能特点
加密密钥
按照GBT 22239-2008等技术标准的要求,支持多种高强度加密算法对U盘加密区中的数据进行强加密保护,密钥算法可按用户需求定制。
强身份认证
芯片级访问控制机制,将U盘与使用者通过强口令进行绑定,只有合法的使用者提供合法的口令才能访问U盘的加密区。
高强度文件粉碎
采用最高可以支持40级的高强度随机填充覆盖技术,彻底删除敏感数据,确保删除后的数据无法恢复。 口令错误锁定
用户身份鉴别尝试次数达到规定次数(5次)时,进行登录锁定。用户可以使用自己备份的密钥进行解锁。