技术白皮书
苏州深信达2013年10月
目录
第一章. 概述 (3)
1.1 常见的机密电子文件泄密途径 (3)
1.2 防泄密的现状 (3)
1.3 深信达SDC机密数据保密系统 (4)
第二章SDC系统介绍 (6)
2.1 SDC系统架构 (6)
2.2 SDC系统功能 (7)
2.2.1客户端涉密文件自动加密 (7)
2.2.2涉密网络内部通畅,隔离外来PC (7)
2.2.3非涉密受限白名单 (8)
2.2.4涉密文件外发 (9)
2.2.5打印内容日志 (10)
2.2.6离线客户端 (10)
2.2.7 客户端涉密文件自动备份 (10)
2.2.8涉密文件加密导出导入 (11)
2.2.9 服务器端数据保护 (11)
第三章SDC系统特点 (13)
3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13)
3.2能和文件共享服务器,应用服务器无缝结合 (13)
3.3安全稳定,不破坏数据 (13)
3.4使用便利,操作机密数据的同时,可以上网 (14)
3.5超强的反截屏 (14)
第四章推荐运行环境 (15)
4.1 管理端(可以和机密端装在一起) (15)
4.2 机密端(可以和管理端装在一起) (15)
4.3 外发审核服务器(可以和管理端装在一起) (15)
4.4 客户端 (15)
第五章关于深信达 (16)
5.1深信达介绍 (16)
5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17)
附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
第一章. 概述
1.1 常见的机密电子文件泄密途径
近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:
- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出;
- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;
- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;
- 内部人员将机密电子文件打印、复印后带出公司;
- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;
- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;
- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密
- 内部人员将通过Internet网络存储,进行保存。
。。。。。。。。
1.2 防泄密的现状
为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方法来进行限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快发现,限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方法效果不是很好,主要存在的弊端为:
-影响员工工作情绪甚至造成法律纠纷;
-增加企业运营成本,降低工作效率;
-无法防止软件研发人员泄密;
-精力都花在泄密后的事后追溯上;
1.3 深信达SDC机密数据保密系统
技术处于国际领先的深信达公司研发的SDC(Secret Data Cage)机密数据保密系统,采用世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
现在的企业都有自己的局域网,一般主要核心机密数据存放于服务器上,一部分存储在员工在自己的电脑上。SDC的保密设计理念是:
当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和服务器进行认证对接,然后形成服务器-客户端沙盒这样一个涉密的工作空间,员工在沙盒中工作,这样一来:
--服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密沙盒中。
--沙盘是和外界隔绝的,所以不会泄密。
SDC加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示意图
客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。而这个容器是透明的,使用者感觉不到它的存在。
SDC采用最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。系统本身集成网络验证,文件加密,打印控制,程序控制,上网控制,服务器数据保护等,能有效防止
外来PC,移动存储,光盘刻录,截屏等泄密行为发生。其主要特点为:- 全透明加密,不影响员工工作效率和习惯;
- 可以保护所有文件格式,包括所有文档格式,所有源代码格式,图纸格式;
- 安全稳定,不破坏文件;
- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。
- 外发文档审计,加密,防泄密处理;
- 外发邮件申请,审计业务流。
使用深信达SDC沙盒数据保密系统,可以切实保护企机密数据的安全。
SDC机密数据防泄密系统示意图
适合的行业包括:
- 软件、通讯、游戏、制造、电力、金融等拥有研发设计部门的企事业单位;
- 拥有自己的研发部门,具有一定的技术优势企业;
- PDM/ERP/文档管理/OA等应用系统的开发商;
- 所有需要对自己的机密信息保密的企事业单位。
第二章SDC系统介绍
2.1 SDC系统架构
深信达SDC机密数据保密系统分管理端,机密端,外发审核服务器,客户端四部分。管理端是整个系统的控制中心,系统中只有一个;机密端是存放机密数据的服务器,一个系统中允许有多台机密服务器;外发审核服务务器是对外发文件进行审核;客户端是安装在员工PC上的防泄密策略的执行程序。根据需要,管理端,机密端,外发审核服务器可以安装在同一台电脑上。
SDC防泄密系统架构图
管理端:
对系统中的机密端,客户端进行策略管理,组织管理;客户端日志收集;
企业加密密钥管理;客户端卸载管理;机密服务器,外发审核服务器认证管理;
机密端:
保存机密数据的服务器,对来访用户进行严格审计,加密认证。可以是文件共享服务器,ERP,PDM服务器,文档管理系统。或者是VSS,CVS,SVN文件版本管理服务器。非客户端无法访问机密端。
外发审核服务器:
对外发的邮件,文件进行审核,对于涉密文件可自动加密。外发结果记录。
客户端:
透明加密解密,真正和格式无关的加密。可信网络认证,机密资源认证。
打印控制,禁止打印,指定打印机打印,打印内容日志回传。
离线控制;文档外发等
2.2 SDC系统功能
2.2.1客户端涉密文件自动加密
SDC采用内核级纵深加密技术,对所有涉密文件都进行透明加密处理,真正做到不区分文件格式,不区分软件类型。只要是涉密信息,不管Office系列,PDF等常用文档,还是AutoCAD等制图类软件,或者是Microsoft Visual Studio, Eclipse等软件开发工具,一律自动加密,不但包括源代码,源图纸,而且编译中间文件等都自动加密,关键的是不影响本地编译,不影响性能。对于需要提交服务器进行编译的也能轻松适用。
客户端透明加密解密示意图
加密的数据不能通过移动存储(如U盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,甚至把硬盘拔走都不会造成泄密。
2.2.2涉密网络内部通畅,隔离外来PC
机密服务器和进入涉密沙盒模式下的客户端,形成一个涉密地,安全的网络空间,在涉密网络内部,信息传输是透明的,流畅的。传输方式包括文件共享,C/S (客户端和管理端)B/S(浏览器/服务器)构架的应用,和布置SDC前比,没什么区别。涉密网络内,飞秋,IPMSG等局域网内部聊天工具照常可以使用。
但是,没有进入沙盒模式的客户端,或者外来PC接入网络,由于无法通过认证,立即被隔离,成为孤岛,不能访问机密服务器,不能访问其他涉密客户端,局域网通讯工具也无法和涉密的客户端进行对话。
外来PC被隔离示意图
2.2.3非涉密受限白名单
在策略允许前提下,客户端在涉密工作的同时,在保证不会泄密的前提下,允许安某些程序进行非涉密上网。在策略允许的前提下,上网可以进行的行为包括:--浏览互联网进行必要的资料查询;
--QQ,MSN,飞信的使用;
--非涉密邮件的使用,如WebMail或者OutLook/Foxmail的非涉密收发邮件;
上述非涉密上网过程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被非涉密程序使用。
举例说明:用户正在编辑涉密的一个AutoCAD图纸,此时可以通过IE上互联网查找资料,通过QQ和业内人士讨论,但是涉密AutoCAD中的图片,文字,文件等都无法通过IE和QQ发送出去。QQ的截屏等任何截屏软件,录屏软件都无法截去涉密AutoCAD画面。。
当然,如果觉得该员工上网会影响工作效率的话,通过策略设定,可以把外网完全断开。安全隔离上网功能,极大地提高了员工查找资料的便利性。
安全隔离非涉密受限上网示意图
2.2.4涉密文件外发
当业务需要把涉密文件拿出涉密环境时,必须走SDC的外发审核流程才能脱密。SDC系统提供了明文外发,加密外发和邮件外发三种方式。下面简单做下介绍。
明文外发:
当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,经过审批后的涉密文件,可以通过邮件,QQ,U盘等方式外发给客户。
如果外发的文件格式为PDF,审核时可以为该文档添加公司标识的水印。每个外发出的PDF格式文件都包含了签名,通过该签名,可以判断出该文件是谁什么时间申请外发的,谁什么时间审批的。
审批支持多级审批,如组员->组长->经理->副总的多级审批模式
加密外发:
当业务需要,需要把涉密的文件发给客户,同时还希望控制该文件的使用范围,则可以使用加密外发业务流程。加密外发的文件发到客户处,被客户使用时,需要密码验证,并且可以设定使用次数,使用时间,能在哪台PC上打开等,该文档是否允许修改,复制,打印等,也可以设定。
邮件外发:
为了提高效率,系统支持可信邮件地址列表和可信发件人。可信发件人向可信邮件地址列表中发送带有涉密文件的邮件,无需审核,直接发送。
以上三种涉密文件外发审核流程,都是申请-〉审核-〉外发,并且日后有日志可以审核。
总之,涉密数据根据需求需要离开机密环境时,需要走审核流程。当然,企业管理者如果觉得流程麻烦,可以只看发送日志,简化审核流程。
2.2.5打印内容日志
系统默认策略是不允许打印,当需要打印时,可以指定打印机进行打印,但是打印的首页面内容将被记录并传会服务器,以备日后审计。
2.2.6离线客户端
对于需要出差或者带回家的笔记本电脑,可以设定为离线客户端,在规定的时间内,可以继续使用本地的涉密数据。离线使用时,所有涉密文件都还处于加密状态,工作人员可以继续正常作业。但如果超过设定的期限,所有涉秘密数据都自动关闭,整个系统将处与保护状态,直到返回公司接入网络连接服务器后,才能正常工作。
如果万一笔记本电脑丢失或被盗,由于对方没有解密口令,所有涉密数据都处于保护状态,重新安装系统,硬盘插拔等,都无法获取电脑中的机密数据。
当客户端策略过期而又无法回公司时,系统管理员可以对其进行策略延长。
2.2.7 客户端涉密文件自动备份
根据策略,可以设定客户端的涉密文件自动向服务器上进行备份。这样就能有效防止客户端使用人员恶意删除数据行为(如该员工离职,不作交接就把本地数据格式化了)。也能防止客户端异常造成的重要数据遗失。
客户端涉密文件自动上传
2.2.8涉密文件加密导出导入
客户端可以把某文件加密导出,然后发给另一个客户端,再解密导入,整个过程不泄密。
应用场景一:
2个人出差到外地,这2个客户端都是离线的,通过这个加密导入导出功能,能实现这2个客户端之间涉密数据交换。
应用场景二:
一个人出差外地,现场根据客户需求开发调试,调试好了的东西,需要提交给客户,如果直接让解密,无法控制该人把其他涉密文件拷贝出去。所以这个时候,出差人员把要给客户的文件加密导出,然后发回公司,公司审核后,解密,走审核流程,然后把明文发给客户,形成有效控制。
应用场景三:
2个独立的分支公司(跨互联网),其中一个公司要把一个涉密文件发给另一个分公司,然后导入。
客户端涉密文件自动上传
2.2.9 服务器端数据保护
对于存储在机密服务器上的数据,如SVN的存储目录,也可以进行保护,防止有人非法直接登录服务器,把数据从服务器上拷贝走。
服务器端文件保护
第三章SDC系统特点
3.1沙盒加密是个容器,和软件类型无关,文件类型无关
SDC采用第三代透明加密技术--内核级纵深加密技术,加密沙盒是个容器,和应用软件类型,以及文件格式无关,不破坏文件自身内容。并且抗破解能力强,完全能满足研发机构的源代码保密,和图纸保密需求。
目前为止,SDC已经实施的客户中,开发环境包括:
-Microsoft Visual Studio平台的MFC/ATL C++,C#.NET, VB等的编写代码,编译调试。
-Java,JSP等开发工具Eclipse,JBuilder,Websphere等环境下的代码编写,开发调试。
-各种小工具进行PHP,ASP,CGI,C等开发,调试。
-嵌入式开发工具:WindRiver, Tornado, A VCMonitor,
Source Insight/ComAssistant
。。。。。。
图纸设计研发类支持:
-支持AutoCAD,SolidWorks,UG等所有图纸设计工具的开发,调试,不区分文件类型,软件类型。
3.2能和文件共享服务器,应用服务器无缝结合
深信达SDC机密数据防泄密系统能和现有的文件共享服务器,文档服务器,ERP 服务器,PDM服务器,OA等B/S架构系统,C/S架构系统,VSS,CVS,SVN版本服务器等无缝结合。原有系统如是Windows平台,则不需要任何修改。服务器端支持Linux平台。
3.3安全稳定,不破坏数据
涉密文件在服务器上是明文,到达客户端自动加密。服务器上的数据要备份的,服务器上存放的是明文数据,从根本上保证了数据的连续,稳定性,减少了对加密软件的依赖性。另外,由于采用的是第三代透明加密技术,所以不管文件多么大,多么复杂,不会因为SDC系统造成文件破坏破损。
3.4使用便利,操作机密数据的同时,可以上网
SDC系统采用的是立体型全方位防泄密方案,一旦进入涉密状态,不改变原来的操作习惯。在策略许可前提下,允许通过非涉密受限上网,实现可以上网查阅资料而不泄密,收发邮件而不泄密,QQ聊天而不泄密。
3.5超强的反截屏
SDC系统对涉密文档的屏幕也做了保护,防止被截屏。截屏键,截屏软件,录屏软件都无法截取涉密文档的屏幕图像,反截屏技术在业内公认第一。
反截屏效果说明图
第四章推荐运行环境
4.1 管理端(可以和机密端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,支持64位操作系统
4.2 机密端(可以和管理端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,支持64位操作系统
4.3 外发审核服务器(可以和管理端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,IIS,.Net Framework3.5安装,支持64位操作系统
4.4 客户端
-Windows xp/Windows7 32bit/Windows7 64bit/WindowsVista/Windows2003
-CPU:P4以上
-空余磁盘:2G以上
-其他要求:微软补丁打到最新,支持64位操作系统
第五章关于深信达
5.1深信达介绍
深信达信息技术有限公司是专注于信息安全领域研发的高科技企业,在信息防泄密,主动防御领域等领域,处于国际领先水平。公司拥有一支由全国最顶尖的安全专家组成的开发团队,在数据保密,主动防御等方面,取得了一系列拥有独立知识产权的研究成果。我们基于多年的信息安全领域的研究与开发经验,为国内政府、电信、金融、制造、能源、教育等行业客户提供信息安全解决方案以及风险评估,咨询等服务。
公司目前的主要产品为:
SDC机密数据保密系统(Secret Data Cage 简称SDC):该系统采用第三代透明加密技术--内核级纵深防御架构,技术先进,保密到位,在源代码,图纸,文档的保密市场中,优势明显,先后成功为国内数家大型企业(1000终端以上)和国家涉密机关(500终端以上)实施了数据保密方案。
服务器机密数据防泄密保护组件(DLP):该插件适合作为CRM,OA,ERP,,PDM,文档管理系统等的防泄密组件,能有效防止涉密数据扩散。
企业U盘存储管理系统:企业内的U盘只能在企业内部使用,拿出单位立即为密文。外部U盘在企业内是只读的或者禁止使用的。
深信达文件保险箱:提供用来防止个人信息泄密的的系统,该系统免费,目前拥有数万用户。
有偿技术支持:
1)文件透明加密驱动库以及源代码。本技术虽然属于第二代文件透明加密技术(IFS 或Minifilter),但运行稳定,目前国内数家透明加密厂家正在使用中。
2)反截屏技术模块库,反截屏技术国内业界公认第一,目前也正在为数家安全企业做技术支持。演示视频
https://www.doczj.com/doc/2111520234.html,/v_show/id_XMjM2MjA5NzUy.html
https://www.doczj.com/doc/2111520234.html,/programs/view/zMId0n4tFd0/
附录一:透明加密技术发展
透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明,是指对使用者来说是透明的,感觉不到加密存在,当使用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让使用者看到的是明文。保存数据的时候,系统自动对数据进行加密,保存的是密文。而没有权限的人,无法读取保密数据,从而达到数据保密的效果。
自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。自上而下,
应用软件,应用层APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网络过滤驱动,各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3), 从文件过滤驱动开始,属于内核层(R0).
数据透明加密技术,目前为止,发展了3代,分别为
第一代APIHOOK应用层透明加密技术;
第二代文件过滤驱动层(内核)加密技术;
第三代内核级纵深加密技术;
第一代:APIHOOK应用层透明加密技术
应用层透明加密技术俗称钩子透明加密技术。这种技术起源于win98时代,后来随着windows2000而流行起来。就是将上述两种技术(应用层API和Hook)组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。应用层APIHOOK加密技术,特点是实现简单,缺点是可靠性差,速度超级慢,因为需要临时文件,也容易破解。但由于直接对文件加密直观感觉非常好,对于当初
空白的市场来讲,这一旗号确实打动了不少企业。
第二代:文件过滤驱动加密技术
驱动加密技术是基于windows的文件系统(过滤)驱动技术,起源于WindowsNT 发布之后,其工作在windows的内核层,处于应用层APIHook的下面,卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联,当用户操作某种后缀文件时对该文件进行加密解密操作,从而达到加密的效果。
内核层文件过滤驱动技术,分IFS和Minifilter2类。IFS出现较早,Minfilter出现在xp 以后。两者的区别可以理解为VC++和MFC的区别,IFS很多事情需要自己处理,而Minifilter 是微软提供了很多成熟库,直接用。由于windows文件保存的时候,存在缓存,并不是立即写入文件,所以根据是否处理了双缓bug,后来做了些细分,但本质还是一样,都是问题的修正版本而已。但由于工作在受windows保护的内核层,运行速度比APIHOOK加密速度快,解决了很多问题和风险。
文件过滤驱动技术实现相对简单,但稳定性一直不太理想。
第三代:内核级纵深沙盒加密技术
之所以叫内核级纵深沙盒加密技术,主要原因是使用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防御加密。该技术也起源于WindowsNT之后,但由于技术复杂,开发要求高,公开资料少,而发展较慢。但随着微软公布了部分Windows源代码之后,此技术开始逐渐成熟。内核级沙盒加密,是当使用者操作涉密数据的时候,对其存储过程进行控制,对其结果进行加密保存,每个模块只做自己最擅长的那块,所以非常稳定。加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。而这个容器是透明的,使用者感觉不到它的存在。,第三代透明加密技术的特点是,涉密数据使用前,先初始化涉密沙盒,沙盒加密一旦成功,之后所有的数据都是数据实体,不针对文件个体,所以无数据破损等问题。特点是速度快,稳定。
第一代,第二代本质都是采用的针对单个文件实体进行加密,如a.txt内容为1234, 加密后变成@#$%% +标记。@#$%%是把原文1234进行加密之后的密文。而标记的用途是用来区分一个a.txt文件是否是已经被加密。当系统遇到一个文件的时候,首先判断这个标记是否存在,如果存在,表明是被系统加密过的,则走解密读取流程,如果不是加密的,就无需解密,直接显示给使用者,只是当保存的时候,再进行加密,使其成文密文+标记。
这就带来一个巨大的风险:如果是一个较大文件,加密过程中发生异常,标记没加上,那么下次读这个文件的时候,因为没有读到表记,而采用原文读取,然后再加密,那么这个文件就彻底毁坏了。这个现象在第一代APIHOOK透明加密技术的产品中特别明显,在第二代文件过滤驱动产品中,因为速度变快了,使文件破损发生概率减低了很多,但并没有本质解决这个问题。
另外,由于是进程和文件后缀名进行关联,也造成了一个缺陷:很多编程类软件,复杂制图软件的编译,晒图等操作,都是很多进程同时操作某个文件,这个时候进行进程和文件关联显然太牵强了,因为进程太多了。即使进行关联,多个进程交替访问文件,加密解密混在一起,极容易造成异常。所以才会出现VC等环境下如不能编译,调试等。
其他方面,版本管理无法对比,服务器上存放的是密文(服务器存密文,是个极大的风
险,目前没有哪家大企业敢这么做,毕竟太依赖加密软件,持续性没有了),大文件速度慢等,一系列问题,无法解决。
而第三代内核纵深加密技术是在前者2个基础之上发展而来的,每个过滤层都只做自己最擅长的事情,所以特别稳定,速度快,性能可靠,不存在第一代和第二代的问题。由于内核级纵深透明加密技术要求高,涉及技术领域广,极其复杂,开发周期长,所以国内的能做开发的厂商不多。目前,深信达公司推出的SDC机密数据保密系统,给人一眼前一亮的感觉,其产品是第三代透明加密保密技术的典型产品,其产品主要特点是:
1)采用了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列纵深内核加密技术,采用沙盒加密,和文件类型和软件无关,沙盒是个容器。
2)在操作涉密数据的同时,不影响上外网,QQ,MSN等。
3)保密彻底,包括网络上传,邮件发送,另存,复制粘贴,屏幕截取等,特别是屏幕保密,做得非常炫。
4)服务上存放的是明文,客户端存放的是密文,文件上传服务器自动解密,到达客户端自动加密。服务器上明文,减少了业务连续性对加密软件的依赖。
5)不但可以针对普通文档图纸数据进行保密需求,同时更是研发性质的软件公司(游戏,通讯,嵌入式,各种BS/CS应用系统)源代码保密首选。
第一代,第二代,第三代透明加密技术对比:
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.doczj.com/doc/2111520234.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.doczj.com/doc/2111520234.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.doczj.com/doc/2111520234.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.doczj.com/doc/2111520234.html,
5
手机是如何泄密个人隐私的 当前,手机已经成为人们现代生活的必备品之一。手机的私密性使得用户在手机上的信息与自身利益密切相关。手机一旦遭受恶意软件、病毒的侵袭,就会妨碍机主的使用,容易泄露个人隐私,损害用户经济利益,严重的甚至危害国家安全。手机如何防偷窥、防泄密的问题,越来越受到人们重视。 手机泄露个人隐私的途径五花八门 据统计,截至2015年4月,我国共有手机用户12.93亿户,不少人还拥有两部以上手机,每年全国淘汰和废弃的手机就有约1亿部。网民中用手机接入互联网的用户占比接近80%,超过了台式电脑,手机已经成为我国网民的第一大上网终端。 与此同时,近年来我国手机遭到恶意软件攻击的数量也不断攀升,隐私泄露已经司空见惯。这些信息主要包括个人位置信息、通信信息、账号密码信息、存储文件信息等四大类。 那么,手机是如何泄露这些信息的?第一,是因为应用程序本身不完善。这其中最突出的就是Android(安卓)系统。有关研究显示,Android系统已经成为恶意软件的重点感染对象,国内市场中近六成的Android应用程序有问题,约有四分之一的安卓用户隐私遭到泄露威胁。
有专家表示,其主要原因就在于Android是开源的,软件用户有自由使用和接触源代码的权利,可自行对软件进行修改、复制及再分发,直接进行信息交换。有些用户还会自己对系统进行破解,并获取权限。这些都是造成Android平台泄露个人信息的重要原因。一些山寨手机甚至还留有后门程序,固化窃听软件,并通过远程遥控使手机话筒在用户不知情的情况下开启,把手机变成一个窃听器,造成个人隐私泄露。第二是软件监管不力。目前,国内Android市场用户获取软件的途径不一,难免鱼龙混杂。Android软件二次开发者本身也比较混乱。加之软件上线审核和监管不严格,开发者会有意无意滥用权限,在软件中加入某些获取用户信息的功能,造成泄密。比如一款游戏APP,居然要访问用户的通讯录和通话记录,甚至地理位置信息,而这些并不是软件所需要的权限,这就使大量用户隐私面临泄露风险。 第三是未能妥善处理旧手机。在处置不用的旧手机时,很多用户没有彻底删除相关信息,或者只是采取了简单的删除、格式化等方式。无论这些旧手机被转送给亲朋好友,还是转卖到二手市场,被删除的信息完全可以通过数据恢复工具还原,使旧手机上个人信息存在泄露的隐患。目前,不法分子和敌对情报机构已经把触角伸向二手手机交易市场,利用数据恢复技术搜集整理情报信息已经成为不法分子非法获取信息的新方式。此外,如果手机意外丢失或被盗,其存储的
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
手机是如何泄密的 朱剑斌李伟《中国青年报》( 2015年07月20日 09 版)当前,手机已经成为人们现代生活的必备品之一。手机的私密性使得用户在手机上的信息与自身利益密切相关。手机一旦遭受恶意软件、病毒的侵袭,就会妨碍机主的使用,容易泄露个人隐私,损害用户经济利益,严重的甚至危害国家安全。手机如何防偷窥、防泄密的问题,越来越受到人们重视。 手机泄露个人隐私的途径五花八门 据统计,截至2015年4月,我国共有手机用户12.93亿户,不少人还拥有两部以上手机,每年全国淘汰和废弃的手机就有约1亿部。网民中用手机接入互联网的用户占比接近80%,超过了台式电脑,手机已经成为我国网民的第一大上网终端。 与此同时,近年来我国手机遭到恶意软件攻击的数量也不断攀升,隐私泄露已经司空见惯。这些信息主要包括个人位置信息、通信信息、账号密码信息、存储文件信息等四大类。 那么,手机是如何泄露这些信息的?第一,是因为应用程序本身不完善。这其中最突出的就是Android(安卓)系统。有关研究显示,Android系统已经成为恶意软件的重点感染对象,国内市场中近六成的Android应用程序有问题,约有四分之一的安卓用户隐私遭到泄露威胁。 有专家表示,其主要原因就在于Android是开源的,软件用户有自由使用和接触源代码的权利,可自行对软件进行修改、复制及再分发,直接进行信息交换。有些用户还会自己对系统进行破解,并获取权限。这些都是造成Android 平台泄露个人信息的重要原因。一些山寨手机甚至还留有后门程序,固化窃听软
件,并通过远程遥控使手机话筒在用户不知情的情况下开启,把手机变成一个窃听器,造成个人隐私泄露。 第二是软件监管不力。目前,国内Android市场用户获取软件的途径不一,难免鱼龙混杂。Android软件二次开发者本身也比较混乱。加之软件上线审核和监管不严格,开发者会有意无意滥用权限,在软件中加入某些获取用户信息的功能,造成泄密。比如一款游戏APP,居然要访问用户的通讯录和通话记录,甚至地理位置信息,而这些并不是软件所需要的权限,这就使大量用户隐私面临泄露风险。 第三是未能妥善处理旧手机。在处置不用的旧手机时,很多用户没有彻底删除相关信息,或者只是采取了简单的删除、格式化等方式。无论这些旧手机被转送给亲朋好友,还是转卖到二手市场,被删除的信息完全可以通过数据恢复工具还原,使旧手机上个人信息存在泄露的隐患。目前,不法分子和敌对情报机构已经把触角伸向二手手机交易市场,利用数据恢复技术搜集整理情报信息已经成为不法分子非法获取信息的新方式。此外,如果手机意外丢失或被盗,其存储的敏感信息更易泄露。 第四,通过侦听定位设备截获信息。目前,针对手机通信的各种侦听设备层出不穷,性能不断提高。特别是使用WIFI时,由于个人信息在互联网传输过程中需要经过传输的路由,如果路由设备被人控制,个人隐私自然就泄露了。 而侦听设备只要对截获的手机信号进行相应技术处理,就能轻而易举地获取手机信号的语音和数据信息。比如,美国研发的“梯队系统”可对全球95%的各种无线电信号进行窃听。很显然,除个人隐私外,如果国家事务的重大决策、武装力量的活动等国家秘密被敌人掌握,将严重危及我国国家安全。
技术白皮书 苏州深信达2013年10月
目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅,隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13) 3.2能和文件共享服务器,应用服务器无缝结合 (13) 3.3安全稳定,不破坏数据 (13) 3.4使用便利,操作机密数据的同时,可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端(可以和机密端装在一起) (15) 4.2 机密端(可以和管理端装在一起) (15) 4.3 外发审核服务器(可以和管理端装在一起) (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17) 附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
文档类型: 文档编号: 视频数据安全防护系统 解决方案 北京XX公司科技发展有限责任公司 二O一二年五月
目录 第一章项目背景............................................................................................................................... 第二章需求分析.. (5) 2.1需求分析............................................................................................................................ 2.2使用效果............................................................................................................................ 2.3管理手段............................................................................................................................ 第三章解决方案............................................................................................................................... 3.1系统体系原则.................................................................................................................... 3.1.1合理性 ............................................................................................................................ 3.1.2先进性 ............................................................................................................................ 3.1.3稳定性 ............................................................................................................................ 3.1.4健壮性 ............................................................................................................................ 3.1.5拓展性 ............................................................................................................................ 3.1.6易操作性 ........................................................................................................................ 3.2详细设计............................................................................................................................ 3.2.1方案概述 ........................................................................................................................ 3.2.2系统构成 ........................................................................................................................ 3.3方案功能模块.................................................................................................................... 3.3.1在线视频系统准入控制 ................................................................................................ 3.3.2视频存储数据下载管控 ................................................................................................ 3.4产品核心技术.................................................................................................................... 3.4.1文件级智能动态加解密技术 ........................................................................................ 3.4.2网络智能动态加解密技术 ............................................................................................ 3.4.3协议隧道加密技术 ........................................................................................................ 3.4.4终端自我保护技术 ........................................................................................................ 3.5方案管理应用功能基础 (16) 3.5.1透明动态加密 ................................................................................................................ 3.5.2通讯隧道加密 ................................................................................................................ 3.5.3终端强身份认证 ............................................................................................................
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.doczj.com/doc/2111520234.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
船舶业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (4) 四、综合价值体现 (5) 五、行业成功案例 (6)
一、行业方案概述 海洋是各种资源的宝库,人类在地球上最后的粮仓。随着人类发展所需要的资源,尤其是能源和水源越来越匮乏,世界各国开始把目光投向了海洋,随着世界一体化进程速度的加快,海洋已经成为当今世界人类在经济、军事、政治等方面活动的主战场。在当今世界以及在人类未来相当长的一些时间里,海洋战略因素是世界任何一个国家能否成为世界大国乃至世界强国的关键因素。而船舶是人类进入海洋主要的,也是唯一的载体。在经济上,海上运输是当今世界各国进行各种物资交流的主要渠道,船舶是这个交流渠道中唯一的工具。 从近十年中国造船业占世界造船市场份额的变化可以看出,中国造船业在全球市场上所占的比重正在明显上升,中国已经成为全球重要的造船中心之一。而国际制造业的产业转移趋势是中国船舶制造业发展面临的最大机遇,在“十一五”期间中国造船业将对韩、日的领先地位形成有力地的挑战。但设计能力落后、配套产业发展滞后将是制约行业发展的主要瓶颈。在短期内,国际及国内水运市场的繁荣为行业增长提供了有力地保障,而油价的持续高位运行以及钢铁等原材料价格的上涨则构成了行业运营的主要压力。国际产业转移的趋势已经把造船业的巨大机遇展现在中国企业的面前,但在激烈的市场竞争环境,如何规避各种风险,如何把握机遇,是与企业发展命运攸关的问题。 在金融危机波及各行各业的大形势下,船舶业的市场发展同样经历着一定低迷,在此环境下企业管理层会考虑到有必要借此时机加强一下内部管理,潜心再把内功加强一下,而此时最先想到的便是对于办公室各部门人员的一个PC桌面管理,现代办公离不开计算机,而加强计算机使用管理成了修内功的一个重要方面。互普威盾内网安全方案的推出为企业管理层提供了一套行之有效,日益成熟的方案,在电子文档安全,网络行为规范,网络资产及资源管理方面将协助企业把内功做强做
XX单位手机防泄密建设方案 建设方案 适用军队手机不能带入涉密场所 北京博睿勤信息技术有限公司 2015年8月6日
目录 一、现场调研情况 (3) 二、建设目标 (3) 三、技术方案 (3) 3.1手机检测门 (3) 3.2手机信号屏蔽 (6) 3.3手持式电子产品探测器 (8) 3.4 频谱分析仪 (10) 3.5手机木马检测工具 (12) 四、方案配置一览表 (13)
一、现场调研情况 经过对XX单位实地调研,针对贵方智能设备、智能手机防泄密的要求,我方围绕着智能手机及智能设备进不来、用不了、能找到的原则建设方案: 进不来:手机、数码相机、照相机、笔记本、iPAD等智能设备无法进入到贵单位涉密场所; 用不来:即使有手机等智能设备进入到涉密场所用不了; 能找到:进入到涉密场所的违规电子设备通过检测仪器能够找到。 二、建设目标 系统建成能够实现制度管理和技术管理相结合完整解决方案,制度约束目标:禁止在携带手机,手机电池、数码相机、录像机、微型摄像机、笔记本、iPAD等电子带入,即使是关闭的手机也不准带入。 三、技术方案 3.1手机检测门 通过技术手段在11层南北2个大礼堂门口部署手机探测门,实现被检测人员通过该设备,智能识别通过人员是否携带手机(开机、关机、移除电池情况下)、数码相机、录像机、微型摄像机、笔记本、iPAD等电子产品,并实现报警。大礼堂门口部署如图(1)-摆放在礼堂门口;图(2)-嵌入到礼堂大门里面。 贵单位党委会议室属于涉密会议室,从安全保密的设计角度,在党委会议室部署1台手机探测门。 作战指挥厅涉密演习不允许携带手机,包括关闭的手机也不允许带入,设计放在在作战指挥厅门口部署1台手机探测门。
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括部用户,也有外部用户,以及外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近
年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。 (2)企业网的安全性:最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业,从而导致企业数千万美金的损失。所以企业部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 (3)部网络之间、外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例,综合型企业网络简图如下,分析现状并分析 需求:
编号:密级: 1. 概 要 项目名称:计划日期:客户方项目负责人信息安全防护方案 一期实施计划书 xxx 有限公司 二〇一六年十一 月
软件实施人员: 实施规划书重要说明: 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施 培训工作提供指导性的文件,以便使该项目的实施工作更有计划性与条理性; 2.实施日程的具体计划,xxx 有限公司将在软件购销及服务协议签署之后 做详细调研(不超过3 个工作日)后提供,经双方负责人同意确认之后,严格执行;xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际项目实施结案时间超过本实施规划十个工作日。过此期限,导致实施结案延误,其责任归软件公司自行承担;xxx 有限公司必须就此南京交通厅信息安全防护实际实施完毕并得到客户方确认方可结案; 3.本实施规划书是一份对双方均有约束力的一份文件,对双方的工作内容 有明确的规定,请详细阅读,各步骤完成之后需相关人员签字确认,将作为项目结案文档重要文件,作为实施进度及工作评估的最重要依据,并成为xxx 有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。
2. 问题阐述 2.1数据安全 通常,机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入,企业的业务系统变得日益复杂,由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为, 是各类机构面临的一个关键问题。 2.2日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3服务器异地备份 1、服务器异常 2、网络节点异常
关于部队手机泄密心得体会 篇一:20XX 最新部队安全教育心得体会 20XX 最新部队安全教育心得体会 安全是部队稳定和集中统一的基本标志,是部队全面建设好坏的综合反映,安全工作作为反映部队管理教育水平的镜子,既是经常性行政管理工作的组成部分,也是经常性思想政治工作的一项重要内容。实践告诉我们,人的安全意识和安全行为的形成,不仅有赖于法律、法规、制度等外部手段、条件的约束、管理和规范,同时更要靠强有力的思想教育和政治工作,提高人的素质和觉悟来达到。 一、加强思想政治工作,是奠定安全工作的思想基础在发生事故案件的诸多原因中,组织纪律观念差,法纪观念淡薄,违反条令条例、不遵守规章制度是一个重要原因。因此,要做好安全防事故工作,就必须从思想入手调动和发挥人的主观能动性,提高人的素质,创造良好的安全工作环境和氛围。 要筑起安全工作的坚固防线,抓紧世界观和人生观的教育是根本。人的控制力,容忍力在很大程度上依赖其世界观和人生观。一个有崇高的思想觉悟,良好的道德品行,严明的政策法纪观念,懂得真、善、美的人,是能够正确对待挫折、失败以及各种意外变故的。因此,必须经常进行马列主义基本理论,党的基本路线和革命人生观教育,使官兵思想觉悟不断提高,尽快成熟,在实践中划清是非
界限、荣辱界限,增强光荣感,责任感,这样就能从思想上消除发生事故、案件的因素,打好安全工作根基。 要增强安全防事故的能力,注意安全意识的培养是基础。事故往往发生在思想松懈麻痹的瞬间和片刻,头脑中意识减弱就会带来行动的偏差。因此,安全工作的教育一刻也不能放松,要让安全意识在头脑中牢牢扎根。安全意识不仅体现在重视安全上,还应明确如何防止事故和保证安全上,尤其要善于引导官兵从耳闻目睹的事例中受到教育,学到知识,培养把事故、案件消除在萌芽阶段,把损失减少到最低限度,把影响控制在最小范围的能力。 要提高安全管理工作的水平,做好经常性思想工作是保证。经常性思想工作和经常性管理工作,是部队建设的重要环节,两者紧密联系,相辅相承,都是以提高部队战斗力,圆满完成本职任务为目的,都是把人作为工作对象。离开了思想政治工作,行政管理就会成为无源之水,无本之木。把经常性思想工作做深做细,各类事故、案件就能有效地得到预防,安全管理工作就会更有深度和水平。加强对人员的管理、监督,使人人都在组织中,处处都有人管理。 二、加强思想政治工作,提高安全工作成效 要把安全防事故工作变为广大官兵的自觉意识和行为,需要针对官兵的心理状态,调动思想政治工作的积极手段,生动、活跃、全方位、多层次地开展工作。 首先,要加强基层组织建设,充分发挥党、团组织作用。增强党团组织的核心力量,动员团结党团骨干和广大群众,落实岗位责任
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本
一、企业的现状分析 当前,信息科技的发展使得计算机的应用围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。 在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争,面对竞争压力,他们必须有效地管理成本和资源,同时维护业务完整性和网络安全性。 二、企业网络可能存在的问题 ●外部安全 随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失都很大。 ●部安全 网络的不正当使用,一些员工利用网络处理私人事务、私自下载和安装一些与工作无关的软件或游戏等,不但消耗了企业网络资源,更有可能因此引入病毒和间谍程序,或者使得不法员工可以通过网络泄漏企业,导致企业的损失。企业业务服务器不仅需要来自互联网的安全防护,对于网频发的部非正常访问及病毒威胁,同样需要进行网络及应用层的安全防护。 ●部网络之间、外网络之间的连接安全 随着企业的发展壮大及移动办公的普及,在以后,很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式。那么,怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏就是个不得不考虑的问题了。各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。 ●上网行为和带宽的管理需求 计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们习惯了早上打开电脑访问新闻,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发、查询信息、视频会议等用途的网络变为娱乐工具时,这对公司来说是个很大的损失,如何有效的管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,已成为各个公司必须直接面对的问题。 三、企业泄密的途径 目前的企业泄密大致有以下这些途径: 1、部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走; 2、部人员通过互联网将资料通过电子、QQ、MSN等发送出去或发送到自己的; 3、将电脑上的文件打印后带出公司; 4、将文件复印后带出公司; 5、将办公用便携式电脑直接带回家中; 6、电脑易手后,原来的资料没有处理,导致泄密;