文档加密
加密技术
“文档加密”是指通过采用加密算法和各种加密技术对网络或计算机中的文档进行加密防止文档非法外泄的技术。
简介
人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险,内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
信息安全传统的老三样(防火墙、入侵检测、防病毒)成为了企事业单位网络建设的基础架构,已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档管理、虚拟化等技术;
在新型安全产品的队列中,主机监控主要采用外围围追堵截的技术方案,虽然对信息安全有一定的提高,但是因为产品自身依赖于操作系统,对数据自身没有有效的安全防护,所以存在着诸多安全漏洞,例如:最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走,而且不留任何痕迹;此技术更多的可以理解为企业资产管理软件,单一的产品无法满足用户对信息安全的要求;
文档加密是现今信息安全防护的主力军,采用透明加解密技术,对数据进行强制加密,不改变用户原有的使用习惯;此技术对数据自身加密,不管是脱离操作系统,还是非法脱离安全环境,用户数据自身都是安全的,对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。
概念
文档加密是国内对信息安全的基本要求。国外的文档加密主要以手动为主,自动为辅。而国内主要是针对离职员工泄密为主进行文档的加密,即自动文档加密,比较典型的文档加密软件是华途数据安全系统。
数据安全保护
产品特点
数据安全保护系统是依据国家重要信息系统安全等级保护标准和法规,以及企业数字知识产权保护需求,自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想,对信息媒介上的各种数据资产,实施不同安全等级的控制,有效杜绝机密信息泄漏和窃取事件。产品特点
1. 透明加解密技术:提供对涉密或敏感文档的加密保护,达到机密数据资产防盗窃、防丢失的效果,同时不影响用户正常使用。
2. 泄密保护:通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术,防止泄漏机密数据。
3. 强制访问控制:根据用户的身份和权限以及文档的密级,可对机密文档实施多种访问权限控制,如共享交流、带出或解密等。
4. 双因子认证:系统中所有的用户都使用USB-KEY进行身份认证,保证了业务域内用户身份的安全性和可信性。
5. 文档审计:能够有效地审计出,用户对加密文档的常规操作事件。
6. 三权分立:系统借鉴了企业和机关的实际工作流程,采用了分权的管理策略,在管理方法上采用了职权分离模式,审批,执行和监督机制。
7. 安全协议:确保密钥操作和存储的安全,密钥存放和主机分离。
8.文件外发管理无懈可击:为严控收件人的使用权限,可对外发文件,设置指定的可查看次数、时间;对信任的收件对象可设置邮件白名单,白名单邮箱对加密文档自动解密;对安全级别高的加密文件,通过绑定对方计算机或者安装外发查看器两种方式,限制收件人不可再次外发传播。
9.离线应用不脱离保护:出差或短期离线办公可设置使用时间等权限保护加密文档安全,延期使用的需要申请延长使用期限。
常见技术
我们所能常见到的主要就是磁盘加密和驱动级解密技术:
全盘加密技术是主要是对磁盘进行全盘加密,并且采用主机监控、防水墙等其他防护手段进行整体防护,磁盘加密主要为用户提供一个安全的运行环境,数据自身未进行加密,操作系统一旦启动完毕,数据自身在硬盘上以明文形式存在,主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长,造成项目的实施周期也较长,用户一般无法忍耐;磁盘加密技术是对磁盘进行全盘加密,一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情,正常一块500G的硬盘解密一次所需时间需要3-4个小时;磁盘加密技术相对来讲真正要做到全盘加密还不是非常成熟,尤其是对系统盘的保护,市面上的主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制,大家知道操作系统的版本不断升级,微软自身的安全机制越来越高,人们对系统的控制力度越来越低,尤其黑客技术层层攀高,一旦防护体系被打破,所有一切将暴露无疑。另外,磁盘加密技术是对全盘的信息进行安全管控,其中包括系统文件,对系统的效率性能将大大影响。
驱动级技术是信息加密的主流技术,采用进程+后缀的方式进行安全防护,用户可以根据企事业单位的实际情况灵活配置,对重要的数据进行强制加密,大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护,驱动级加密采用透明加解密技术,用户感觉不到系统的存在,不改变用户的原有操作,数据一旦脱离安全环境,用户将无法使用,有效提高了数据的安全性;另外驱动级加密技术比磁盘加密技术管理可以更加细粒度,有效实现数据的全生命周期管理,可以控制文件的使用时间、次数、复制、截屏、录像等操作,并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制,做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时,也给用户的使用便利性带来一定的问题,驱动级加密采用进程加密技术,对同类文件进行全部加密,如何有效区别个人文件与企业文件数据的分类管理,个人电脑与企业办公的并行运行等问题;
酷卫士数据安全管理平台采用国际最先进的虚拟化技术、沙箱技术、驱动级加密等技术;
首先平台采用虚拟化技术,虚拟化最接近用户的还是要算的上桌面虚拟化了桌面虚拟化主要功能是将分散的桌面环境集中保存并管理起来,包括桌面环境的集中下发,集中更新,集中管理。桌面虚拟化使得桌面管理变得简单,不用每台终端单独进行维护,每台终端进行更新。终端数据可以集中存储中心机房里,安全性相对传统桌面应用要高很多。桌面虚拟化在用户原有的操作系统上虚拟出一个全新的安全桌面,这样用户就拥有一个电脑桌面与安全桌面,用户可以实现在电脑桌面进行个人文件操作,在安全桌面进行办公操作,用户只有在安全桌面才可以访问企业的业务系统,电脑桌面无法访问,两个桌面的操作具有无关性,用户可以在两个不同桌面同时处理个人文件与办公文件。同时在安全桌面的所有操作数据将保存在虚拟磁盘里,虚拟磁盘采用加密技术进行安全防护,用户一旦退出安全桌面,虚拟磁盘将自动退出,所有数据将不可见,有效保障了数据的安全性;
沙盒技术
沙盒技术可以算是虚拟机的一种发展,其技术原理似乎也和虚拟机大致相同,但它们仍有很大区别。沙盒是一种更深层的系统内核级技术,在一个程序运行时,沙盒会接管程序调用接口或函数的行为,并会在确认攻击行为后实行“回滚”机制,让系统复原。
沙箱通过重定向技术,把安全桌面内应用程序生成和修改的文件,定向到自身文件夹中,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
沙箱通过虚拟化技术创建的隔离系统环境。您可以在沙箱中运行包含风险程序的程序(如未知文件、病毒木马等),沙箱会记录程序运行过程中的各种操作行为
在沙箱中所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
沙箱内的文件操作,包括可执行文件和非可执行文件:安全桌面内的进程所对文件和系统的修改,全部被重定向。并且重定向后的文件是经过加密的,即使重定向的文件被泄露,也没有安全隐患。用户注销后,重定向文件全部被删除,即所有在安全桌面下进行的文件操作对于默认桌面没有任何改变。
在安全桌面中,所有的通讯也被严格控制,安全桌面与电脑桌面之间通信也会被重新定向而进行控制,防止用户把资料泄露出去。包括Socket通讯、安全桌面内的进程与电脑桌面的进程通过本机IP进行通信,避免数据泄漏。
沙箱技术具有以下特点:
1.完全隔离并轻量的虚拟化技术。
2.自动识别特定有风险软件隔离运行。
3.所有的磁盘操作放置在一个缓冲区,没有真正写入
4.安全不留痕迹,用的省心更安心。
沙箱主要为用户的安全桌面提供一个安全的运行环境,将电脑桌面与安全桌面进行安全隔离;
关于驱动加密技术前面的分析中我们已经介绍过了,在这里不再重复;
博睿勤数据安全管理平台还具有以下特点:
1、用户操作可以实现电脑桌面与安全桌面的平滑切换,不需要进行系统重启操作,大大提高了用户的办公效率和用户体验度
2、平台不但可以实现在线登陆功能,同样为用户提供离线和外出登陆功能,满足用户的不同安全需求;
3、平台可实现安全桌面可以访问电脑桌面,电脑桌面禁止访问安全桌面功能,可以大大提高数据的访问效率;
4、平台同时可以实现电脑桌面与安全桌面的同步安全管理,可根据安全需求灵活控制策略;
5、平台可实现文件的集中管控,本地不留文件的安全功能,数据全部集中存储在服务器上;
6、平台可满足用户的复杂环境的需求,可在一套系统内实现主机管理、账号管理、集中管理、桌面管理等强大功能;
7、平台具有防水墙的功能,可实现设备管理、U盘管理、上网行为管理、文档加解密功能、软硬件资产管理、非法外联、准入管理、文件备份、打印管理、授权管理、外发管理功等38项功能
8、产品不但解决了用户的数据安全性问题,同时降低了管理难度、实施难度和用户的抵触心理;
9、平台可以实现一个人多个桌面,从事不同的工作;
10、平台有效解决多人使用一台电脑的安全问题;
加密介绍
采用创新的安全策略和自主创新的实时加密技术与应用程序监控技术,实现对企业内部敏感信息的载体――电子文档,如:机密文件、重要数据、设计图纸、软件源代码、配方等全生命周期的保护。与以往的各种电子文档安全保护工具相比,采用了创新的安全策略,出发点已经不是通过防止文件被带出来保证安全;而是要做到任何人、通过任何方式带出的文件都是加密的,也是无法使用的,从而不怕文件被非法窃取。具体地说:通过保证电子文档从创建到打开、编辑、浏览、保存、传输直至删除的整个生命周期中始终处于加密状态、任何人(包括文件的创建者和合法使用者)始终都接触不到解密的文件,来做到没有人能够带走解密文件的安全效果。因为一切通过电子邮件、网络入侵、移动存储设备(软盘、U盘、笔记本等)、蓝牙设备、红外设备、木马程序等手段窃取的都只能是加密的文件,而这些加密文件在企业环境中可以不经过解密就正常使用,而一旦脱离了企业的计算机就无法正常使用。
采用的是一种主动的安全策略。在从文件创建到删除的整个生命周期都对其进行安全保护。这有别于防火墙等被动的“堵”的安全策略。图档保镖与防火墙、VPN等安全产品完全不冲突,从“内部控制”的层面对现有安全系统进行了重要的补充。只要系统内部还存在不加密的电子文档,在理论上以往的各种安全系统(防火墙等)就无法杜绝机密文件泄密的可能性。由于图档保镖可以做到系统内部不再存在没有加密的重要电子文档,因此从信源上保证了安全,在安全系统中图档保镖的安全作用将是不可替代的,结合其他的安全系统使用能够为用户构造更严密的信息安全体系。
目标
文档安全系统的目标是构建一个企业的安全办公环境,实现:
1、保存企业机密的电子文件在全生命周期(包括在新建、浏览、编辑、更改等操作文件的时候)始终都是加密的。
2、受保护的电子文件只在图档保镖数据安全系统办公环境内部的计算机上可用,在其他计算机上不可用。
3、在数据安全系统安全环境下,数据安全系统服务能够在后台监控和辅助应用程序(如Word、各种CAD软件等)不需要解密就直接操作文件;如果把文件拷贝到数据安全系统安全环境外,没有数据安全系统服务的帮助,应用程序就无法处理文件。
4、能够全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
5、只有通过数据安全系统管理机,系统管理员才能解密文件,合法地向外发放文件。并且,文件的发放操作被严格记录、审计。
6、数据安全系统服务端管理员在服务端上能够实时监控作为部门服务器的管理机的工作状态和配置管理机的功能授权,并且汇总、审计管理机上的操作日志,及时发现系统安全隐患。
7、数据安全系统管理机管理员在管理机上能够实时监控客户机上安全服务的工作状态和配置客户机的功能授权,及时发现文件安全隐患。本系统采用内核级透明加解密技术对电子文档采取自动、强制、实时的加密策略,实现图文档文件的安全保护。数据安全系统加密策略的出发点已经不是通过防止文件被带出;而是要做到任何人、通过任何方式拷出的文件都是处于加密保护状态的,未经授权也是无法使用的,不必担心企业重要文件被非法窃取。具体地说:据安全系统通过保证电子文档从新建到打开、编辑、浏览、保存、传输直至删除的整个过程中始终处于加密状态、任何人(包括文件的创建者和合法使用者)始终都接触不到可以使用的加密保护文件,做到没有人能够带走非保护文件的安全效果。因为一切通过电子邮件、网络入侵、移动存储设备(软盘、U盘、笔记本等)、蓝牙设备、红外设备、木马程序等手段窃取的都只能是保护状态的文件,而这些文件脱离了企业的计算机就无法正常使用。
文件安全系统采用C/S架构,由一个服务器及多个管理机和若干客户机组成。其中,服务器用于注册管理机;管理机用于管理客户机和加密策略的下发、解密外发图文档等功能;客户机用于实现文件的全生命周期内加密保护,安装客户机的用户不改变日常操作习惯,图文档文件在操作过程中(从创建到打开、编辑、浏览、保存、移动直至删除)始终处于加密保护状态。
特点
文档安全系统的主要技术特点:
技术核心驱动级透明加解密
基于Windows 底层的驱动级透明加解密技术是文档加密核心技术之一。这项技术的特点是自动性、透明性和强制性。
对于自动性,支持对任意文件类型、任意硬盘区间、任意文件夹的自动加密保护。在具体的应用过程中,企业用户往往是根据自身的实际需求,指定某些类别的应用程序(如微软OFFICE 软件、CAD 软件等),从而对这些应用程序新建、编辑、拷贝的文件自动的对文件进行加密保护。
对于透明性,对文件加解密过程全是在操作系统后台完成,不需要用户对文件做任何额外操作,不改变用户操作文档的习惯。产品体验就如同它为透明的一样,用户不会受到任何影响,甚至感觉不到它的存在。
对于恒久性,当用户在保存受保护程序创建的文件时,无论其以何种格式(系统默认格式或用户指定格式)、保存到何处(本地硬盘、移动硬盘、网络存储设备等),数据内容在离开内存后,都将被自动强制加密。并且,受保护的数据文件在任何存储介质上均以密文形式保存。
对于强制性,为企业构建了一个安装环境,在安全环境内对文件所做的任何操作最终结果都是加密的。员工别无选择。
对于受保护的文件,只有合法用户在被授权的终端(企业内部计算机)上进行应用。用户可以以任何方式(双击文件名、使用程序文件打开等)访问受保护文件时,信息内容在调入内存时才会被自动解密,不会在硬盘留下任何形式的明文临时文件。
国标
国家标准的加密算法,透明加密无须密钥管理
一般采用128位国家保密局标准AES加密算法,加密算法与计算机硬件结合产生企业独有的密钥;硬件狗使用USB加密设备的SSF08算法。国际先进的透明加密技术,无需人工干预后台加/解密不改变文档格式、大小、属性;不改变操作习惯。
基本条件
与受控软件的版本无关,加密任何类型的文件
在加密策略管理中将企业需要加密的软件或程序添加为受控程序即可实现加密受控软件产生的任何文件。与市场上同类软件的相比技术亮点在于受控的加密软件与受控软件的版本无关。(比如同类加密软件支持到AUTO CAD 2005 要加密AUTO CAD 2006就必须升级加密软件。)
协同集成,安全管理;持续的访问安全
加密系统后台运行实时加/解密;不改变操作者(技术人员设计用的一端)的习惯;不改变文档格式,不需要用额外程序打开,不占共享资源与受控程序协同工作不与其它应用程序发生冲突;加密文件企业内自由流通。加密文件能以任何方式进行共享,包括电子邮件、CD-ROM、FTP下载、即时消息等。确保信息无论存放在哪里或传送到何处,都是加密的,而不局限于传输中的安全。加强了客户端商务出差管理策略,可以保证客户端过期后加密文件信息禁止访问。
有效分发和版本控制
提供完整的补丁下载、分析测试、策略制定和分发,以及客户端补丁安装状况检测与分析。无需人工参与的智能版本升级,当有新版本时只需在管理端升级,管理机分发文件新版本时,旧版本客户端自动检测管理端下载升级,对客户实施的加密策略实时生效。
外部
直观的用户界面
管理端安装在企业管理者的电脑上,手动加密/解密文件夹和任何类型的文件。分组加密策略管理:实时修改加密受控程序、控制打印、控制复制粘贴、控制拷屏的策略。客户机管理:客户机状态查看、客户机分组管理、脱机时间设置、客户机卸载。登录用户操作权限管理:设置登录用户的类型、密码、用户管理、受控程序管理、客户机管理、加解密管理、日志管理、文件类型过滤等权限。受控程序管理:添加或删除需要加密的受控程序。客户机升级管理:管理机更新版本后客户机启动自动升级无须人工干预。管理端可以对加密的文件进行解密,且具有批量加密和解密的功能。详细记录登录用户的所有操作,解密需要导出的文件,并记录操作日志提供审核。谁解密了图纸,解密了什么图纸,一目了然,便于核查。否则就算带出也无法打开!有着简单直观的用户界面,可以直接加密文件夹或整个磁盘分区
完善、便捷的安全管理体系
数据安生系统具有完善、便捷的安全管理体系,配合企业内部的管理制度,即使是最高级别管理员也无法泄密。
系统管理 用户管理
策略管理 日志管理
客户端管理 文件类型管理
六个管理员的权限相互制约,防止管理者泄密内部重要信息。方便的添加、编辑和禁用个人用户。只有授权用户才能解密文件。
易于理解的权限控制
查看- 允许查看。
打印- 允许打印、禁止打印。
复制/保存- 允许复制或粘贴加密文件信息;禁止复制或粘贴加密文件信息。
控制- 允许用户修改权限。
客户端脱机工作时间- 允许用户在有效的脱机时间内访问和使用加密的文件信息。
当员工出差需要带走重要资料,但在无网络的情况下又无法对其控制,可能造成泄密。离线式安全管理解决了这个问题,
采用离线客户端权限绑定即使没有网络控制,笔记本电脑和USB狗进行绑定,仍然对文档具有绝对控制权。
权限回收技术能够使已经授予用户的权限立刻解除,防止人员离职或辞职后将内部重要信息外泄。
全面的审计报告
创建一份审计报告,跟踪所有操作,包括文件访问、查看、加密、解密和所有的管理事件。
提供证据以表明满足公司的信息安全策略。
与公司的目录和认证管理架构集成
隔离并减少管理工作。
易于使用和部署加密策略
根据企业实际的组织机构对加密客户端进行分组实施加密策略管理,不同部门采取不同的加密策略。
远程客户端监控
通过远程客户端监控功能可以查看客户机的工作状态:在线、离线、脱机。加密狗授权脱机工作时间;远程卸载客户端等功能。
智能扫描的批量加/解密功能
安装好加密软件后,用批量扫描加密工具对所有客户端电脑中已经存在的文件进行批量初始化加密。以后新产生的文件都会自动加密,图档保镖数据安全保证电脑内的电子文档都是以密文存在的。
运行稳定
1.对数据安全系统支持的每一个应用程序、版本和操作系统环境,我们都经过了超严密、大负荷、长时间的性能测试和可靠性测试,确保安全稳定。
2.全面的测试用例,每个应用程序的测试用例都来自资深设计工程师的实际使用状况。
3.不同硬件环境的测试。
4.已经有了数百家用户,数据安全系统产品在数千台装机上经受住了考验。
资源占用少
1.按照读写请求的数据量进行实时解密,图档保镖数据安全系统瞬间系统资源占用少,不会影响工作。
2.在打开和关闭文件时系统资源相对开销较大,我们的测试表明,对100M大小的文件,安装图档保镖数据安全系统后比安装前延迟时间<10秒。
3.用户在文件打开后的编辑、浏览等操作过程中,由于数据安全系统是按照读写请求的数据量进行实时加解密的,这部分数据量很小,所以操作不会有延迟的感觉。
安全方便的维护
1.安装过程绑定计算机硬件。图档保镖数据安全系统运行过程监控检查计算机硬件,认证计算机的合法性。
2.服务器实时配置管理机,管理机实时配置客户机上的打印、复制等功能权限和要安全控制的应用程序。
3.在服务器上装入升级包,系统通过网络自动升级下面的管理机和客户机。
4.在管理端只有超级管理员权限的人才能安装和卸载客户端。
解决方案
文档透明加密
采用高强度加密算法对Office、CAD、Photoshop等各类常见电子文档实现加密,完全不影响用户的原有使用习惯,同时矩阵式的文档保密授权机制及完备的外发和离线授权机制,在各种状况下保证文档安全。
帮你解决
1、对各种格式电子文档加密,正常使用自动解密非授权使用则是乱码,即使不慎丢失也不会导致泄露
2、默认禁用截屏、打印、剪贴板等可能造成泄密的功能,防止QQ、MSN等即时通讯工具截屏等外发泄密
3、严格的外发管理制度,未经文档审批即使通过Email外发出去也无法使用,防止邮件随意外发带来泄密
4、涉密文档存取时自动加解密,非授信环境下无法使用,防止智能手机等私人设备随意接入内网带来泄密隐患
5、对外发文件可设置查看期限、次数同时还可绑定收件方的硬件设备,限制文档外发后随意传播,防止二次泄密
信息防泄露保护
信息防泄露解决方案,不仅为防止信息通过U盘、Email等泄露提供解决方法,更大的意义在于,它能够帮助企业构建起完善的信息安全防护体系。通过详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三重保护全面保护企业的信息资产,使得企业实现“事前防御—事中控制—事后审计”的完整的信息防泄露流程,信息安全防护无懈可击。
帮你解决
1、防止企业内部人员主动带走或者无意泄密公司的设计图纸、财务报表等重要资料
2、避免机密信息通过QQ、MSN等聊天工具或者E-mail随意传播出去
3、阻止重要文档通过U盘、蓝牙等设备被带出企业而导致的信息外泄
4、防止储存在计算机上的信息被随意打印或泄露
5、有效掌控文档流转以免重要资料被恶意删除或修改
6、有效防范外来计算机非法接入企业内网盗取机密信息,保护信息资产
7、控制核心数据的使用权限,做到经理、主管、普通员工分级授权
未来趋势
移动办公成为加密软件又一拦路虎?
在经济一体化的商业环境中,信息的重要性被广泛接受,随着企业信息安全意识的不断增强,大家陆续开始着手部署信息防泄漏系统。早在2005年,信息安全市场逐渐向数据安全、数据防泄密为主的加密软件方向发展了,自从加密软件面世以来其市场份额逐步上升。
经过不断的实践,客户对软件开发商提出了更多的要求。
随着科技的发展,企业管理者的需求也在不断地扩大,人们的办公习惯,生活习惯也在逐步变化,好比企业管理者往往拿着IPAD或者是智能手机办公、浏览文件等,企业的办公是不是也逐渐“移动化”、“手机化”?这是否预示着加密软件也应该随之步入智能机时代了?
参考资料
文档加密.文档加密.
最新修订时间:2023-12-15 08:54
目录
概述
简介
参考资料