文档安全
计算机名词
随着信息化的高速发展,人们对信息安全的需求接踵而至,人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险,内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。所以对文档安全的保护至关重要。
前言
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
技术分析
信息安全传统的老三样(防火墙、入侵检测、防病毒)成为了企事业单位网络建设的基础架构,这已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密、UniBDP防泄露等技术。
在新型安全产品的队列中,主机监控主要采用外围围追堵截的技术方案,虽然对信息安全有一定的提高,但是因为产品自身依赖于操作系统,对数据自身没有有效的安全防护,所以存在着诸多安全漏洞,例如:最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走,而且不留任何痕迹;此技术更多的可以理解为企业资产管理软件,单一的产品无法满足用户对信息安全的要求。
文档加密是现今信息安全防护的主力军,采用透明加解密技术,对数据进行强制加密,不改变用户原有的使用习惯;此技术对数据自身加密,不管是脱离操作系统,还是非法脱离安全环境,用户数据自身都是安全的,对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。
我们所能常见到的主要就是磁盘加密和驱动级解密技术:
磁盘加密技术:主要是对磁盘进行全盘加密,并且采用主机监控、防水墙等其他防护手段进行整体防护,磁盘加密主要为用户提供一个安全的运行环境,数据自身未进行加密,操作系统一旦启动完毕,数据自身在硬盘上以明文形式存在,主要靠防水墙的围追堵截等方式进行保护。
磁盘加密技术弊端:
驱动级技术:是信息加密的主流技术,采用进程+后缀的方式进行安全防护,用户可以根据企事业单位的实际情况灵活配置,对重要的数据进行强制加密,大大提高了系统的运行效率。
驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护,驱动级加密采用透明加解密技术,用户感觉不到系统的存在,不改变用户的原有操作,数据一旦脱离安全环境,用户将无法使用,有效提高了数据的安全性。
另外驱动级加密技术比磁盘加密技术管理可以更加细粒度,有效实现数据的全生命周期管理,可以控制文件的使用时间、次数、复制、截屏、录像等操作,并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制,做到数据的全方位管理。
驱动级技术弊端:驱动级加密技术在给用户的数据带来安全的同时,也给用户的使用便利性带来一定的问题,驱动级加密采用进程加密技术,对同类文件进行全部加密,无法有效区别个人文件与企业文件数据的分类管理,个人电脑与企业办公的并行运行等问题。
明朝万达 Chinasec(安元)文档安全管理解决方案
俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
Chinasec(安元)文档安全解决方案从客户端的身份认证管理、电子文档的手动/自动加密、电子文档的密级权限控制、日志审计等环节进行综合安全防护,构成多层次、全方位的文档终端安全管理体系。为提供安全的移动信息安全服务,为用户提供了强有力的文档信息安全支撑。
♦用户身份管理,通过加强终端使用者的身份认证,包括口令认证,UKEY认证等不同的认证强度来确保终端当前使用者的身份,并且可以与AD域账户同步管理,按公司部门建立用户管理树,可设置用户职位信息与职位关系;
♦文档密级管理,可控制文档的各种操作权限,支持多种文件密级策略,可灵活的针对部门、操作、密级进行文档安全设置。例如,对文档划分“秘密”、“机密”、“绝密”等密级,用户只有系统赋予相应密级使用权限后,才能查看对应密级的文档,有效保证了文档的分级保密管理安全;
♦文档权限管理,对于各密级的文档可赋予不同的管理权限,权限策略灵活可控,包括读、写、另存、复制、截屏、打印、打印水印、使用次数、使用时间等。
♦文档使用权限提权管理,当使用者在文档使用中需要提升权限时,提供简便流畅的文件提权审批流程;
♦文档加密(手动/自动),系统提供手动和自动两种加密模式。手动加密模式如下:由文档的作者对文档主动进行加密,文档作者可以根据需求选择哪些文档需要加密,哪些不需要加密。加密权限和密级由系统下发策略提供;
♦文档自动加密,由系统下发策略,可设置对特定存储环境下(如整个硬盘、某个分区、某个文件夹等)的常见电子文档进行自动加密,并可根据需要对不同文档赋予不同密级和权限。
♦文档外带审批,当加密电子文档需要外发至第三方人员处进行交流时,系统提供一套简单流畅的文档审批外带流程,可对文档进行解密审批,并可控制文档外发后的第三方人员使用该文档的权限(包括身份认证、读、写、另存、复制、截屏、打印、打印水印、使用次数、使用时间等);
审计记录,系统可自动记录客户端电脑加密并使用电子文档的记录,管理员可以随时查找文档访问信息,可用来追踪泄密渠道,也可用作电子取证。同时,系统管理员的操作也会被完整记录下来,监督员可以进行查询和分析。
部署方式
Chinasec文档安全管理系统部署图
方案特点
♦提供强有力的用户身份管理,根据人员身份限定使用文档使用权限,账户信息可与企业现有AD域账户管理相结合,一套企业用户体系实现系统账户管理;
♦对文档使用进行细粒度的密级和权限划分,保证了文档再复杂的使用环境下,根据使用人的权限而呈现出不同的权限,提高高安全级别人员的
♦使用便捷性,限定低安全级别用户对文件的使用权限,结合文件操作审计可完整的控制重要电子文档的生命周期。
♦管理灵活,加密方式多样,提供手动、自动模式,简单易用,可充分满足不同使用人员的文档安全管理需求;
♦方案成熟,部署简单,可通过内部管理软件如:AD域推送静默安装。
博睿勤数据加密技术完美解决方案:虚拟化沙盒技术+驱动加密:
随着人们对信息安全意识的不断提高,简单的驱动级加密技术已经无法满足用户的基本安全需求,如何解决个人文件与企事业单位文件的隔离,实现对部分数据加密,部分数据不加密,多人使用一台电脑,这就成了信息安全的一大难题,如何有效的解决用户的安全需要,同时满足用户的使用便利呢?
博睿勤公司专注信息安全技术的研究,紧跟信息安全的发展脉搏,采用国际先进技术,开发完成了酷卫士数据安全综合管理平台,在满足企业对数据安全要求的同时,解决用户使用的便利性。
酷卫士数据安全管理平台采用国际最先进的虚拟化技术、沙盒技术、驱动级加密等技术:
首先平台采用虚拟化技术,虚拟化最接近用户的还是要算的上桌面虚拟化了桌面虚拟化主要功能是将分散的桌面环境集中保存并管理起来,包括桌面环境的集中下发,集中更新,集中管理。桌面虚拟化使得桌面管理变得简单,不用每台终端单独进行维护,每台终端进行更新。
终端数据可以集中存储在中心机房里,安全性相对传统桌面应用要高很多。桌面虚拟化在用户原有的操作系统上虚拟出一个全新的安全桌面,这样用户就拥有一个电脑桌面与安全桌面,用户可以实现在电脑桌面进行个人文件操作,在安全桌面进行办公操作,用户只有在安全桌面才可以访问企业的业务系统,电脑桌面无法访问,两个桌面的操作具有无关性,用户可以在两个不同桌面同时处理个人文件与办公文件。
同时在安全桌面的所有操作数据将保存在虚拟磁盘里,虚拟磁盘采用加密技术进行安全防护,用户一旦退出安全桌面,虚拟磁盘将自动退出,所有数据将不可见,有效保障了数据的安全性。
沙盒技术可以算是虚拟机的一种发展,其技术原理似乎也和虚拟机大致相同,但它们仍有很大区别。沙盒是一种更深层的系统内核级技术,在一个程序运行时,沙盒会接管程序调用接口或函数的行为,并会在确认攻击行为后实行“回滚”机制,让系统复原。
沙箱通过重定向技术,把安全桌面内应用程序生成和修改的文件,定向到自身文件夹中,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
沙箱通过虚拟化技术创建的隔离系统环境。您可以在沙箱中运行包含风险程序的程序(如未知文件、病毒木马等),沙箱会记录程序运行过程中的各种操作行为。
在沙箱中的程序有下列限制:不能运行任何本地的的可执行程序。不能从本地计算机文件系统中读取任何信息,也不能往本地计算机文件系统中写入任何信息。所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
沙箱内的文件操作,包括可执行文件和非可执行文件:安全桌面内的进程所对文件和系统的修改,全部被重定向。并且重定向后的文件是经过加密的,即使重定向的文件被泄露,也没有安全隐患。用户注销后,重定向文件全部被删除,即所有在安全桌面下进行的文件操作对于默认桌面没有任何改变。
在安全桌面中,所有的通讯也被严格控制,安全桌面与电脑桌面之间通信也会被重新定向而进行控制,防止用户把资料泄露出去。包括Socket通讯、安全桌面内的进程与电脑桌面的进程通过本机IP进行通信,避免数据泄漏。
沙箱技术具有以下特点:
1. 完全隔离并轻量的虚拟化技术;
2. 自动识别特定有风险软件隔离运行;
3. 所有的磁盘操作放置在一个缓冲区,没有真正写入;
4. 安全不留痕迹,用的省心更安心。
沙箱主要为用户的安全桌面提供一个安全的运行环境,将电脑桌面与安全桌面进行安全隔离。
关于驱动加密技术,在前面的分析中我们已经介绍过了,在这里不再重复。
博睿勤数据安全管理平台还具有以下特点:
1. 用户操作可以实现电脑桌面与安全桌面的平滑切换,不需要进行系统重启操作,大大提高了用户的办公效率和用户体验度
2. 平台不但可以实现在线登陆功能,同样为用户提供离线和外出登陆功能,满足用户的不同安全需求;
3. 平台可实现安全桌面可以访问电脑桌面,电脑桌面禁止访问安全桌面功能,可以大大提高数据的访问效率;
4. 平台同时可以实现电脑桌面与安全桌面的同步安全管理,可根据安全需求灵活控制策略;
5. 平台可实现文件的集中管控,本地不留文件的安全功能,数据全部集中存储在服务器上;
6. 平台可满足用户的复杂环境的需求,可在一套系统内实现主机管理、账号管理、集中管理、桌面管理等强大功能;
7. 平台具有防水墙的功能,可实现设备管理、U盘管理、上网行为管理、文档加解密功能、软硬件资产管理、非法外联、准入管理、文件备份、打印管理、授权管理、外发管理功等38项功能;
8. 产品不但解决了用户的数据安全性问题,同时降低了管理难度、实施难度和用户的抵触心理;
9. 平台可以实现一个人多个桌面,从事不同的工作;
10. 平台有效解决多人使用一台电脑的安全问题。
公司优势:
博睿勤公司专业从事数据安全保密十年,十年诚信品质见证,自主研发的产品均有软件著作权,国家保密局、军队、公安部、国家密码管理局荣誉资格证书。产品在湖南全省统配、甘肃全省统配,福州全市统配、中国船舶重工全国统配、中国船舶工业全国统配、中国航空工业指定品牌、中国人民银行供货厂商、安全部红网指定产品、国防科工委十一五、十二五指定供货商,产品在军工、军队、政府、企事业单位,金融、能源、制造业,上市公司等得到大量应用,得到客户一致好评和口碑。
公司研发实力
博睿勤是一家研发、生产、销售、服务于一体的高新技术企业,公司依托于党政军,立足于千万家企业的数据安全专业公司,公司拥有强大的技术后盾和科研力量,产品研发不断推陈出新,紧跟国际信息安全的发展脉络,为广大客户提供可持续化的安全服务。
公司在西安、成都分别成立了研发基地,公司参与国家重点新产品,火炬计划、国家863工程,研制的政府军工统配项目“三合一”研制军队列装项目“文档集中管控系统”国内首家研发出基于BIOS硬盘锁产品,国内首家研制手机泄密防范教育演示系统,是一家有研发实力的公司,可以做定制化的服务。
博睿勤的不仅是文档安全管理系统,提供的是数据安全整体解决方案,平台每个功能模块都由国家主管部门的单项资格认证及检测报告,数据安全管理平台以文档安全管理为核心、将终端身份认证安全登陆、桌面安全管理系统、移动介质安全管理系统、光驱监控刻录审计、打印审批、快照及水印、上网行为管理系统七大系统整合于一体,构建数据安全整体防泄密平台,实现了从核心文件的安全、物理层安全到网络层安全的全方位、立体化、多角度的安全防护体系。
服务优势
博睿勤拥有丰富的大型项目的服务经验,通过服务全省、全市、全行业的项目,公司总结出了一整套的项目管理、项目实施、项目服务体系,并在军工、军队、政府、企事业单位,制造业,设计院、生产企业、能源、金融、上市公司等大型成功案例应用,得到客户的认可及好评
博睿勤为客户提供的不只是产品在提供产品的同时为客户提供定制化的配套服务;例如安全咨询安全培训安全制度安全策略等
博睿勤公司同样是用友、江民、启明星辰、天融信、中兴通讯、英特尔、德勤、联想的战略合作伙伴。
客户价值
博睿勤为您提供的不单是文档安全管理,更是安心、省心、放心无微不至的高品质服务。
按照管理三七原则,一个好的产品在管理中只占三成,七成的管理如何配合、保障都是至关重要的,安全产品的推广实施难度大、影响多是所有管理员头痛的问题,如何采取有效的培训机制和管理措施将员工的抵制心态转变为支持,这恰恰是博睿勤公司为您提供的贴心服务,与博睿勤的合作,你不只是买的产品,你同样会深刻体验到博睿勤给您带来的客户价值。
参考资料
最新修订时间:2023-07-31 15:51
目录
概述
前言
技术分析
参考资料