技术白皮书
苏州深信达2013年10月
1/20
目录
第一章. 概述 (3)
1.1 常见的机密电子文件泄密途径 (3)
1.2 防泄密的现状 (3)
1.3 深信达SDC机密数据保密系统 (4)
第二章SDC系统介绍 (6)
2.1 SDC系统架构 (6)
2.2 SDC系统功能 (7)
2.2.1客户端涉密文件自动加密 (7)
2.2.2涉密网络内部通畅,隔离外来PC (7)
2.2.3非涉密受限白名单 (8)
2.2.4涉密文件外发 (9)
2.2.5打印内容日志 (10)
2.2.6离线客户端 (10)
2.2.7 客户端涉密文件自动备份 (10)
2.2.8涉密文件加密导出导入 (11)
2.2.9 服务器端数据保护 (12)
第三章SDC系统特点 (13)
3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13)
3.2能和文件共享服务器,应用服务器无缝结合 (13)
3.3安全稳定,不破坏数据 (13)
3.4使用便利,操作机密数据的同时,可以上网 (14)
3.5超强的反截屏 (14)
第四章推荐运行环境 (15)
4.1 管理端(可以和机密端装在一起) (15)
4.2 机密端(可以和管理端装在一起) (15)
4.3 外发审核服务器(可以和管理端装在一起) (15)
4.4 客户端 (15)
第五章关于深信达 (16)
5.1深信达介绍 (16)
5.2联系我们........................................................................................... 错误!未定义书签。附录一:透明加密技术发展 (17)
附录二:SDC沙盒资质及成功客户............................................................ 错误!未定义书签。
2/20
第一章. 概述
1.1 常见的机密电子文件泄密途径
近年来,电脑以及互联网应用在中国的普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于电脑和网络。电子政务,无纸办公、MIS、ERP、OA等系统也在企事业单位中得到广泛应用。
但在这个发展潮流中,网络信息安全隐患越来越突出,信息泄密事件时有发生。众所周知,电子文档极易复制,容易通过邮件,光盘,U盘,网络存贮等各种途径传播。企事业的机密文档,研发源代码,图纸等核心技术机密资料,很容易经内部员工的主动泄密流转到外面,甚至落到竞争对手手中,给单位造成极大的经济与声誉损失。
常见的泄密的途径包括:
- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带出;
- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;
- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;
- 内部人员将机密电子文件打印、复印后带出公司;
- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;
- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;
- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密
- 内部人员将通过Internet网络存储,进行保存。
。。。。。。。。
1.2 防泄密的现状
为解决这些泄密风险问题,许多单位采取拆除光驱软驱,封掉USB接口,限制上网等方法来进行限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快发现,限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。
大量事实也证明这些方法效果不是很好,主要存在的弊端为:
-影响员工工作情绪甚至造成法律纠纷;
-增加企业运营成本,降低工作效率;
-无法防止软件研发人员泄密;
-精力都花在泄密后的事后追溯上;
3/20
1.3 深信达SDC机密数据保密系统
技术处于国际领先的深信达公司研发的SDC(Secret Data Cage)机密数据保密系统,采用世界上最先进的第三代透明加密技术---内核级纵深立体沙盒加密技术,是专门为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。
现在的企业都有自己的局域网,一般主要核心机密数据存放于服务器上,一部分存储在员工在自己的电脑上。SDC的保密设计理念是:
当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和服务器进行认证对接,然后形成服务器-客户端沙盒这样一个涉密的工作空间,员工在沙盒中工作,这样一来:
--服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密沙盒中。
--沙盘是和外界隔绝的,所以不会泄密。
SDC加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。也不像其他的加密软件一样,修改文件自身内容。
SDC沙盒示意图
客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把涉密软件,文件扔到沙盒容器中加密。而这个容器是透明的,使用者感觉不到它的存在。
SDC采用最先进的内核级纵深加密技术(磁盘过滤驱动,文件过滤驱动,网络过滤驱动等)进行开发设计的,充分考虑了扩展性,易用性。系统本身集成网络验
4/20
5/20
证,文件加密,打印控制,程序控制,上网控制,服务器数据保护等,能有效防止外来PC ,移动存储,光盘刻录,截屏等泄密行为发生。其主要特点为:
- 全透明加密,不影响员工工作效率和习惯;
- 可以保护所有文件格式,包括所有文档格式,所有源代码格式,图纸格式; - 安全稳定,不破坏文件;
- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,尊重了员工隐私。
- 外发文档审计,加密,防泄密处理;
- 外发邮件申请,审计业务流。
使用深信达SDC 沙盒数据保密系统,可以切实保护企机密数据的安全。
SDC 机密数据防泄密系统示意图
适合的行业包括:
- 软件、通讯、游戏、制造、电力、金融等拥有研发设计部门的企事业单位; - 拥有自己的研发部门,具有一定的技术优势企业;
- PDM/ERP/文档管理/OA 等应用系统的开发商;
- 所有需要对自己的机密信息保密的企事业单位。
6/20
第二章 SDC 系统介绍
2.1 SDC 系统架构
深信达SDC 机密数据保密系统分管理端,机密端,外发审核服务器,客户端四部分。管理端是整个系统的控制中心,系统中只有一个;机密端是存放机密数据的服务器,一个系统中允许有多台机密服务器;外发审核服务务器是对外发文件进行审核;客户端是安装在员工PC 上的防泄密策略的执行程序。根据需要,管理端,机密端,外发审核服务器可以安装在同一台电脑上。
SDC 防泄密系统架构图
管理端:
对系统中的机密端,客户端进行策略管理,组织管理;客户端日志收集;
企业加密密钥管理;客户端卸载管理;机密服务器,外发审核服务器认证管理;
机密端:
保存机密数据的服务器,对来访用户进行严格审计,加密认证。可以是文件共享服务器,ERP ,PDM 服务器,文档管理系统。或者是VSS ,CVS ,SVN 文件版本管理服务器。非客户端无法访问机密端。
外发审核服务器:
对外发的邮件,文件进行审核,对于涉密文件可自动加密。外发结果记录。
客户端:
透明加密解密,真正和格式无关的加密。可信网络认证,机密资源认证。
打印控制,禁止打印,指定打印机打印,打印内容日志回传。
离线控制;文档外发等
7/20
2.2 SDC 系统功能
2.2.1客户端涉密文件自动加密
SDC 采用内核级纵深加密技术,对所有涉密文件都进行透明加密处理,真正做到不区分文件格式,不区分软件类型。只要是涉密信息,不管Office 系列,PDF 等常用文档,还是AutoCAD 等制图类软件,或者是Microsoft Visual Studio, Eclipse 等软件开发工具,一律自动加密,不但包括源代码,源图纸,而且编译中间文件等都自动加密,关键的是不影响本地编译,不影响性能。对于需要提交服务器进行编译的也能轻松适用。
客户端透明加密解密示意图
加密的数据不能通过移动存储(如U 盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,甚至把硬盘拔走都不会造成泄密。
2.2.2涉密网络内部通畅,隔离外来PC
机密服务器和进入涉密沙盒模式下的客户端,形成一个涉密地,安全的网络空间,在涉密网络内部,信息传输是透明的,流畅的。传输方式包括文件共享,C/S (客户端和管理端)B/S (浏览器/服务器)构架的应用,和布置SDC 前比,没什么区别。涉密网络内,飞秋,IPMSG 等局域网内部聊天工具照常可以使用。
但是,没有进入沙盒模式的客户端,或者外来PC 接入网络,由于无法通过认证,立即被隔离,成为孤岛,不能访问机密服务器,不能访问其他涉密客户端,局域网通讯工具也无法和涉密的客户端进行对话。
8/20
外来PC 被隔离示意图
2.2.3非涉密受限白名单
在策略允许前提下,客户端在涉密工作的同时,在保证不会泄密的前提下,允许安某些程序进行非涉密上网。在策略允许的前提下,上网可以进行的行为包括:
--浏览互联网进行必要的资料查询;
--QQ,MSN,飞信的使用;
--非涉密邮件的使用,如WebMail 或者OutLook/Foxmail 的非涉密收发邮件;
上述非涉密上网过程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被非涉密程序使用。
举例说明:用户正在编辑涉密的一个AutoCAD 图纸,此时可以通过IE 上互联网查找资料,通过QQ 和业内人士讨论,但是涉密AutoCAD 中的图片,文字,文件等都无法通过IE 和QQ 发送出去。QQ 的截屏等任何截屏软件,录屏软件都无法截去涉密AutoCAD 画面。。
当然,如果觉得该员工上网会影响工作效率的话,通过策略设定,可以把外网完全断开。安全隔离上网功能,极大地提高了员工查找资料的便利性。
安全隔离非涉密受限上网示意图
9/20
2.2.4涉密文件外发
当业务需要把涉密文件拿出涉密环境时,必须走SDC 的外发审核流程才能脱密。SDC 系统提供了明文外发,加密外发和邮件外发三种方式。下面简单做下介绍。
明文外发:
当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,经过审批后的涉密文件,可以通过邮件,QQ ,U 盘等方式外发给客户。
如果外发的文件格式为PDF ,审核时可以为该文档添加公司标识的水印。每个外发出的PDF 格式文件都包含了签名,通过该签名,可以判断出该文件是谁什么时间申请外发的,谁什么时间审批的。
审批支持多级审批,如组员->组长->经理->副总的多级审批模式
加密外发:
当业务需要,需要把涉密的文件发给客户,同时还希望控制该文件的使用范围,则可以使用加密外发业务流程。加密外发的文件发到客户处,被客户使用时,需要密码验证,并且可以设定使用次数,使用时间,能在哪台PC 上打开等,该文档是否允许修改,复制,打印等,也可以设定。
邮件外发:
为了提高效率,系统支持可信邮件地址列表和可信发件人。可信发件人向可信邮件地址列表中发送带有涉密文件的邮件,无需审核,直接发送。
以上三种涉密文件外发审核流程,都是申请-〉审核-〉外发,并且日后有日志可以审核。
总之,涉密数据根据需求需要离开机密环境时,需要走审核流程。当然,企业
10/20
管理者如果觉得流程麻烦,可以只看发送日志,简化审核流程。
2.2.5打印内容日志
系统默认策略是不允许打印,当需要打印时,可以指定打印机进行打印,但是打印的首页面内容将被记录并传会服务器,以备日后审计。
2.2.6离线客户端
对于需要出差或者带回家的笔记本电脑,可以设定为离线客户端,在规定的时间内,可以继续使用本地的涉密数据。离线使用时,所有涉密文件都还处于加密状态,工作人员可以继续正常作业。但如果超过设定的期限,所有涉秘密数据都自动关闭,整个系统将处与保护状态,直到返回公司接入网络连接服务器后,才能正常工作。
如果万一笔记本电脑丢失或被盗,由于对方没有解密口令,所有涉密数据都处于保护状态,重新安装系统,硬盘插拔等,都无法获取电脑中的机密数据。
当客户端策略过期而又无法回公司时,系统管理员可以对其进行策略延长。
2.2.7 客户端涉密文件自动备份
根据策略,可以设定客户端的涉密文件自动向服务器上进行备份。这样就能有
11/20
效防止客户端使用人员恶意删除数据行为(如该员工离职,不作交接就把本地数据格式化了)。也能防止客户端异常造成的重要数据遗失。
客户端涉密文件自动上传
2.2.8涉密文件加密导出导入
客户端可以把某文件加密导出,然后发给另一个客户端,再解密导入,整个过程不泄密。
应用场景一:
2个人出差到外地,这2个客户端都是离线的,通过这个加密导入导出功能,能实现这2个客户端之间涉密数据交换。
应用场景二:
一个人出差外地,现场根据客户需求开发调试,调试好了的东西,需要提交给客户,如果直接让解密,无法控制该人把其他涉密文件拷贝出去。所以这个时候,出差人员把要给客户的文件加密导出,然后发回公司,公司审核后,解密,走审核流程,然后把明文发给客户,形成有效控制。
应用场景三:
2个独立的分支公司(跨互联网),其中一个公司要把一个涉密文件发给另一个分公司,然后导入。
客户端涉密文件自动上传
2.2.9 服务器端数据保护
对于存储在机密服务器上的数据,如SVN的存储目录,也可以进行保护,防止有人非法直接登录服务器,把数据从服务器上拷贝走。
服务器端文件保护
12/20
第三章SDC系统特点
3.1沙盒加密是个容器,和软件类型无关,文件类型无关
SDC采用第三代透明加密技术--内核级纵深加密技术,加密沙盒是个容器,和应用软件类型,以及文件格式无关,不破坏文件自身内容。并且抗破解能力强,完全能满足研发机构的源代码保密,和图纸保密需求。
目前为止,SDC已经实施的客户中,开发环境包括:
-Microsoft Visual Studio平台的MFC/ATL C++,C#.NET, VB等的编写代码,编译调试。
-Java,JSP等开发工具Eclipse,JBuilder,Websphere等环境下的代码编写,开发调试。
-各种小工具进行PHP,ASP,CGI,C等开发,调试。
-嵌入式开发工具:WindRiver, Tornado, A VCMonitor,
Source Insight/ComAssistant
。。。。。。
图纸设计研发类支持:
-支持AutoCAD,SolidWorks,UG等所有图纸设计工具的开发,调试,不区分文件类型,软件类型。
3.2能和文件共享服务器,应用服务器无缝结合
深信达SDC机密数据防泄密系统能和现有的文件共享服务器,文档服务器,ERP 服务器,PDM服务器,OA等B/S架构系统,C/S架构系统,VSS,CVS,SVN版本服务器等无缝结合。原有系统如是Windows平台,则不需要任何修改。服务器端支持Linux平台。
3.3安全稳定,不破坏数据
涉密文件在服务器上是明文,到达客户端自动加密。服务器上的数据要备份的,服务器上存放的是明文数据,从根本上保证了数据的连续,稳定性,减少了对加密软件的依赖性。另外,由于采用的是第三代透明加密技术,所以不管文件多么大,多么复杂,不会因为SDC系统造成文件破坏破损。
13/20
14/20
3.4使用便利,操作机密数据的同时,可以上网
SDC 系统采用的是立体型全方位防泄密方案,一旦进入涉密状态,不改变原来的操作习惯。在策略许可前提下,允许通过非涉密受限上网,实现可以上网查阅资料而不泄密,收发邮件而不泄密,QQ 聊天而不泄密。
3.5超强的反截屏
SDC 系统对涉密文档的屏幕也做了保护,防止被截屏。截屏键,截屏软件,录屏软件都无法截取涉密文档的屏幕图像,反截屏技术在业内公认第一。
反截屏效果说明图
第四章推荐运行环境
4.1 管理端(可以和机密端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,支持64位操作系统
4.2 机密端(可以和管理端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,支持64位操作系统
4.3 外发审核服务器(可以和管理端装在一起)
-Windwos 2003 Server/Windows2008 Server
-CPU:P4以上内存2G以上
-空余硬盘:10G以上(支持磁盘阵列,NAS等存储)
-其他要求:微软补丁打到最新,IIS,.Net Framework3.5安装,支持64位操作系统
4.4 客户端
-Windows xp/Windows7 32bit/Windows7 64bit/WindowsVista/Windows2003
-CPU:P4以上
-空余磁盘:2G以上
-其他要求:微软补丁打到最新,支持64位操作系统
15/20
第五章关于深信达
5.1深信达介绍
深信达信息技术有限公司是专注于信息安全领域研发的高科技企业,在信息防泄密,主动防御领域等领域,处于国际领先水平。公司拥有一支由全国最顶尖的安全专家组成的开发团队,在数据保密,主动防御等方面,取得了一系列拥有独立知识产权的研究成果。我们基于多年的信息安全领域的研究与开发经验,为国内政府、电信、金融、制造、能源、教育等行业客户提供信息安全解决方案以及风险评估,咨询等服务。
公司目前的主要产品为:
SDC机密数据保密系统(Secret Data Cage 简称SDC):该系统采用第三代透明加密技术--内核级纵深防御架构,技术先进,保密到位,在源代码,图纸,文档的保密市场中,优势明显,先后成功为国内数家大型企业(1000终端以上)和国家涉密机关(500终端以上)实施了数据保密方案。
服务器机密数据防泄密保护组件(DLP):该插件适合作为CRM,OA,ERP,,PDM,文档管理系统等的防泄密组件,能有效防止涉密数据扩散。
企业U盘存储管理系统:企业内的U盘只能在企业内部使用,拿出单位立即为密文。外部U盘在企业内是只读的或者禁止使用的。
深信达文件保险箱:提供用来防止个人信息泄密的的系统,该系统免费,目前拥有数万用户。
有偿技术支持:
1)文件透明加密驱动库以及源代码。本技术虽然属于第二代文件透明加密技术(IFS 或Minifilter),但运行稳定,目前国内数家透明加密厂家正在使用中。
2)反截屏技术模块库,反截屏技术国内业界公认第一,目前也正在为数家安全企业做技术支持。演示视频
https://www.doczj.com/doc/592758428.html,/v_show/id_XMjM2MjA5NzUy.html
https://www.doczj.com/doc/592758428.html,/programs/view/zMId0n4tFd0/
16/20
附录一:透明加密技术发展
透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明,是指对使用者来说是透明的,感觉不到加密存在,当使用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让使用者看到的是明文。保存数据的时候,系统自动对数据进行加密,保存的是密文。而没有权限的人,无法读取保密数据,从而达到数据保密的效果。
自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。自上而下,
应用软件,应用层APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网络过滤驱动,各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3), 从文件过滤驱动开始,属于内核层(R0).
数据透明加密技术,目前为止,发展了3代,分别为
第一代APIHOOK应用层透明加密技术;
第二代文件过滤驱动层(内核)加密技术;
第三代内核级纵深加密技术;
第一代:APIHOOK应用层透明加密技术
应用层透明加密技术俗称钩子透明加密技术。这种技术起源于win98时代,后来随着windows2000而流行起来。就是将上述两种技术(应用层API和Hook)组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后
17/20
18/20
再写入到磁盘中。应用层APIHOOK 加密技术,特点是实现简单,缺点是可靠性差,速度超级慢,因为需要临时文件,也容易破解。但由于直接对文件加密直观感觉非常好,对于当初空白的市场来讲,这一旗号确实打动了不少企业。
第二代:文件过滤驱动加密技术
驱动加密技术是基于windows 的文件系统(过滤)驱动技术,起源于WindowsNT 发布之后,其工作在windows 的内核层,处于应用层APIHook 的下面,卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联,当用户操作某种后缀文件时对该文件进行加密解密操作,从而达到加密的效果。
内核层文件过滤驱动技术,分IFS 和Minifilter2类。IFS 出现较早,Minfilter 出现在xp 以后。两者的区别可以理解为VC++和MFC 的区别,IFS 很多事情需要自己处理,而Minifilter 是微软提供了很多成熟库,直接用。由于windows 文件保存的时候,存在缓存,并不是立即写入文件,所以根据是否处理了双缓bug ,后来做了些细分,但本质还是一样,都是问题的修正版本而已。但由于工作在受windows 保护的内核层,运行速度比APIHOOK 加密速度快,解决了很多问题和风险。
文件过滤驱动技术实现相对简单,但稳定性一直不太理想。
第三代:内核级纵深沙盒加密技术
之所以叫内核级纵深沙盒加密技术,主要原因是使用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防御加密。该技术也起源于WindowsNT 之后,但由于技术复杂,开发要求高,公开资料少,而发展较慢。但随着微软公布了部分Windows 源代码之后,此技术开始逐渐成熟。内核级沙盒加密,是当使用者操作涉密数据的时候,对其存储过程进行控制,对其结果进行加密保存,每个模块只做自己最擅长的那块,所以非常稳定。加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。而这个容器是透明的,使用者感觉不到它的存在。,
第三代透明加密技术的特点是,涉密数据使用前,先初始化涉密沙盒,沙盒加密一旦成功,之后所有的数据都是数据实体,不针对文件个体,所以无数据破损等问题。特点是速度快,稳定。
第一代,第二代本质都是采用的针对单个文件实体进行加密,如a.txt 内容为1234, 加密后变成@#$%% +标记。@#$%%是把原文1234进行加密之后的密文。而标记的用途是用来区分一个a.txt 文件是否是已经被加密。当系统遇到一个文件的时候,首先判断这个标记是否存在,如果存在,表明是被系统加密过的,则走解密读取流程,如果不是加密的,就无需解密,直接显示给使用者,只是当保存的时候,再进行加密,使其成文密文+标记。
这就带来一个巨大的风险:如果是一个较大文件,加密过程中发生异常,标记没加上,那么下次读这个文件的时候,因为没有读到表记,而采用原文读取,然后再加密,那么这个文件就彻底毁坏了。这个现象在第一代APIHOOK 透明加密技术的产品中特别明显,在第二代文件过滤驱动产品中,因为速度变快了,使文件破损发生概率减低了很多,但并没有本质解决这个问题。
另外,由于是进程和文件后缀名进行关联,也造成了一个缺陷:很多编程类软件,复杂制图软件的编译,晒图等操作,都是很多进程同时操作某个文件,这个时候进行进程和文
19/20
件关联显然太牵强了,因为进程太多了。即使进行关联,多个进程交替访问文件,加密解密混在一起,极容易造成异常。所以才会出现VC 等环境下如不能编译,调试等。
其他方面,版本管理无法对比,服务器上存放的是密文(服务器存密文,是个极大的风险,目前没有哪家大企业敢这么做,毕竟太依赖加密软件,持续性没有了),大文件速度慢等,一系列问题,无法解决。
而第三代内核纵深加密技术是在前者2个基础之上发展而来的,每个过滤层都只做自己最擅长的事情,所以特别稳定,速度快,性能可靠,不存在第一代和第二代的问题。由于内核级纵深透明加密技术要求高,涉及技术领域广,极其复杂,开发周期长,所以国内的能做开发的厂商不多。目前,深信达公司推出的SDC 机密数据保密系统,给人一眼前一亮的感觉,其产品是第三代透明加密保密技术的典型产品,其产品主要特点是:
1)采用了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列纵深内核加密技术,采用沙盒加密,和文件类型和软件无关,沙盒是个容器。
2)在操作涉密数据的同时,不影响上外网,QQ,MSN 等。
3)保密彻底,包括网络上传,邮件发送,另存,复制粘贴,屏幕截取等,特别是屏幕保密,做得非常炫。
4)服务上存放的是明文,客户端存放的是密文,文件上传服务器自动解密,到达客户端自动加密。服务器上明文,减少了业务连续性对加密软件的依赖。
5)不但可以针对普通文档图纸数据进行保密需求,同时更是研发性质的软件公司(游戏,通讯,嵌入式,各种BS/CS 应用系统)源代码保密首选。
20/20
计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 1.1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。精品文档
信息安全整改方案10篇 信息安全整改方案10篇 信息安全整改方案(一): 加强网络与信息安全整改工作措施 为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》(东信安办发〔2014〕4号)文件精神,保障县政府门户网站安全运行,针对我县政府网站存在的问题,我们采取软硬件升级、漏洞修补、加强管理等措施,从三个方面做好了政府网站网络与信息安全工作。 一、对网站漏洞及时进行修补完善 接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后,我们详细研究分析了报告资料,及时联系了网站开发公司,对网站存在的SQL注入高危漏洞进行了修补完善,并在网站服务器上加装安全监控软件,使我县政府网站减少了可能存在的漏洞风险,降低了数据库被注入修改的可能性。 二、加强对硬件安全防护设备的升级 为确保网站安全运行范文写作,2013年,我们新上了安全网关(SG)和WEB应用防护系统(W AF),安全网关采用先进的多核CPU硬件构架,同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、资料过滤等多种功能模块,实现了立体化、全方位的保护网络安全;绿盟WEB应用防护系统能够对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为,供给完善的防护措施。同时,针对WEB应用漏洞数量多、变化快、个性化的特点,我们还定期对WEB应用防护系统进行软件升级,安装了补丁程序,保护了服务器上的网站安全。自安装硬件安全防护设备以来,网站没出现任何安全性问题。 三、继续加强对政府网站的安全管理 为加强政府网站信息发布的安全,我们在添加信息时严格执行”三级审核制”和”登记备案制”,在网站上发布的信息首先由信息审核员审核签字后报科室主任,科室主任审核签字后报分管领导,由分管领导审核签字后才可将信息发布到网站上去,确保了网站发布信息的准确性和安全性。同时,为保证网站数据安全,确保网站在遭受严重攻击或者数据库受损后能够第一时间恢复数据,我们对网站数据备份做了两套,一是设置数据库自动备份,确
解决方案 一、客户需求 1.保护对象 主要使用PRO/E、CAD等机械制图工具,重点对这几种设计软件产生出来的图纸等进行安全防范。 2.效果要求 1)公司内部的重要图纸资料不会因复制、邮件等各种方式泄密出去 2)文件可以给公司外部人员修改,但不会因此被随意拷贝泄密出去 二、泄密途径分析 1)利用U盘、移动硬盘、SD卡、刻录机刻录等方式复制; 2)通过打印机打印; 3)通过P2P传输、即时通讯、电子邮件等网络方式传送; 4)网络黑客、商业间谍通过病毒、木马等非法侵入,直接传送或复制企业 涉密信息,盗卖获利; 5)在报废电脑或硬盘时,未对其中的文件进行销毁处理,导致泄密; 6)公司员工携带涉密图纸资料的电脑离职或涉密电脑外带时不慎丢失。 三、反商业泄密软件解决方案 1.设计原理 公司是一家专业从事文档加密软件的研发和服务的高技术公司,公司成立于2005年,国内知名的加密软件产品的研发供应机构。反商业泄密系统软件集文档加密、硬件管理、行为监控、日志审计、程序控制等多个功能模块于一体,为企
事业单位提供了一套安全、方便、实用、低应用成本的反商业泄密一体化解决方案。 基本设计原理就是阻断计算机文档的通用性,并保证这种通用性在内部的有效性、数据使用的方便性。 在此基础上,文档守望者要达成以下设计目标: (1)保证理想的防护效果,不能因为各种原因(内部、外部、有意、无意)而导致泄密发生; (2)万一产生泄密事件,要能够追查回溯,查出责任人,并保存相关证据; (3)不影响现有的工作模式和操作习惯; (4)不提高管理成本; (5)内部沟通没有阻碍。 2.实现原理以及设备需求 在操作系统中, I/O(输入输出)管理器负责处理所有设备的I/O操作。 I/O 管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、文件系统驱动程序等完成I/O操作,见图。
技术白皮书 苏州深信达2013年10月
目录 第一章. 概述 (3) 1.1 常见的机密电子文件泄密途径 (3) 1.2 防泄密的现状 (3) 1.3 深信达SDC机密数据保密系统 (4) 第二章SDC系统介绍 (6) 2.1 SDC系统架构 (6) 2.2 SDC系统功能 (7) 2.2.1客户端涉密文件自动加密 (7) 2.2.2涉密网络内部通畅,隔离外来PC (7) 2.2.3非涉密受限白名单 (8) 2.2.4涉密文件外发 (9) 2.2.5打印内容日志 (10) 2.2.6离线客户端 (10) 2.2.7 客户端涉密文件自动备份 (10) 2.2.8涉密文件加密导出导入 (11) 2.2.9 服务器端数据保护 (11) 第三章SDC系统特点 (13) 3.1沙盒加密是个容器,和软件类型无关,文件类型无关 (13) 3.2能和文件共享服务器,应用服务器无缝结合 (13) 3.3安全稳定,不破坏数据 (13) 3.4使用便利,操作机密数据的同时,可以上网 (14) 3.5超强的反截屏 (14) 第四章推荐运行环境 (15) 4.1 管理端(可以和机密端装在一起) (15) 4.2 机密端(可以和管理端装在一起) (15) 4.3 外发审核服务器(可以和管理端装在一起) (15) 4.4 客户端 (15) 第五章关于深信达 (16) 5.1深信达介绍 (16) 5.2联系我们............................................................................................. 错误!未定义书签。附录一:透明加密技术发展 (17) 附录二:SDC沙盒资质及成功客户.............................................................. 错误!未定义书签。
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
船舶业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (4) 四、综合价值体现 (5) 五、行业成功案例 (6)
一、行业方案概述 海洋是各种资源的宝库,人类在地球上最后的粮仓。随着人类发展所需要的资源,尤其是能源和水源越来越匮乏,世界各国开始把目光投向了海洋,随着世界一体化进程速度的加快,海洋已经成为当今世界人类在经济、军事、政治等方面活动的主战场。在当今世界以及在人类未来相当长的一些时间里,海洋战略因素是世界任何一个国家能否成为世界大国乃至世界强国的关键因素。而船舶是人类进入海洋主要的,也是唯一的载体。在经济上,海上运输是当今世界各国进行各种物资交流的主要渠道,船舶是这个交流渠道中唯一的工具。 从近十年中国造船业占世界造船市场份额的变化可以看出,中国造船业在全球市场上所占的比重正在明显上升,中国已经成为全球重要的造船中心之一。而国际制造业的产业转移趋势是中国船舶制造业发展面临的最大机遇,在“十一五”期间中国造船业将对韩、日的领先地位形成有力地的挑战。但设计能力落后、配套产业发展滞后将是制约行业发展的主要瓶颈。在短期内,国际及国内水运市场的繁荣为行业增长提供了有力地保障,而油价的持续高位运行以及钢铁等原材料价格的上涨则构成了行业运营的主要压力。国际产业转移的趋势已经把造船业的巨大机遇展现在中国企业的面前,但在激烈的市场竞争环境,如何规避各种风险,如何把握机遇,是与企业发展命运攸关的问题。 在金融危机波及各行各业的大形势下,船舶业的市场发展同样经历着一定低迷,在此环境下企业管理层会考虑到有必要借此时机加强一下内部管理,潜心再把内功加强一下,而此时最先想到的便是对于办公室各部门人员的一个PC桌面管理,现代办公离不开计算机,而加强计算机使用管理成了修内功的一个重要方面。互普威盾内网安全方案的推出为企业管理层提供了一套行之有效,日益成熟的方案,在电子文档安全,网络行为规范,网络资产及资源管理方面将协助企业把内功做强做
电子文档防泄密整体解决方案 FileSafeGuard 电子文档防泄密系统 一、引言 伴随着社会现代化的发展,信息化的全面应用,计算机产生的电子文件作为信息交换最主要的载体得到了全面的使用,在各企事业单位中都在利用网络、USB设备等方法传递电子文件以保持着迅速、及时的沟通,不再依赖于原有的纸质文件流转方式,在得到极大的方便性的同时也使得文件信息更容易泄密,在极短暂的时间就可能造成大面积泄密。据调查,各种机密泄露30%-40%是由电子文件的泄露造成的,超过85%的安全威胁来自单位内部。防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。无线上网、移动通讯、活动硬盘在带来方便和高效的同时,却无法防止内部工作人员的无意或有意的泄漏各种电子文件信息,甚至传送给竞争者,也难以防止网络系统被截获、仿冒、侦听后造成的泄密。如何解决在各种基于计算机的信息交流活动、电子商务活动、电子政务活动中的电子文件安
全问题已经成为一个十分迫切的市场需求。 二、电子文件的安全问题 您的单位是否总是担心内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去?若泄漏是否会直接影响单位生存和发展?您的单位是否总有人员流动?原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了?现在的工作人员是否有可能将各种机密泄漏给竞争对手?工作人员离职后是否变成了单位的竞争对手? 您的单位把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不泄漏出去吗? 1、各种泄密途径,安全漏洞分析 1)、USB设备、软驱、可写光驱 现在的USB设备的使用非常普遍,USB设备的文件拷贝成为单位内部、外部交换文件最常用的方式之一,将电子文件拷贝到USB设备上,然后拷贝给内部其他工作人员或者拷贝给外单位合作人员来完成信息交换。但是拷贝的过程是不可控的,拷贝后存在泄密可能性。软驱和光驱是传统常用的计算机硬件,同样可以拷贝电子文件到软驱和可写光驱上。 针对这些硬件设备,大多数单位的做法是关闭大多数计算机的USB接口、软驱、光驱,只允许少数特权计算机可以使用,虽然如此,特权计算机还是存在泄密可能性,而且关闭硬件端口无法防止直接拆下硬盘来获取所有的文件信息。 2)、互联网发送 现在各个单位和外界的交流越来越多,互联网是必不可少的信息交换手段。 3)、互联网上传文件 互联网上传文件的方法很多,也都是泄密的途径,目前较为常用方法有: POP3Email附件方式、WebEmail附件方式、FTP方式、BT方式、QQ直传、MSN直传、Skype直传、等其他种种方式。 这些互联网操作是内部工作人员自行进行的,防火墙、防入侵等系统不会处理,所以是一个很直接、快速、隐蔽的泄密途径。 很多单位通过封锁FTP端口、封锁QQ端口、封锁发送邮件等方法来控制,但是这样仅仅
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括部用户,也有外部用户,以及外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近
年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。 (2)企业网的安全性:最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业,从而导致企业数千万美金的损失。所以企业部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 (3)部网络之间、外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例,综合型企业网络简图如下,分析现状并分析 需求:
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
防泄密解决方案
一需求分析 1 总体需求 经过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个方面全面部署实施内网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对内网行为的有效审计 当前单位内缺乏对各种内网行为的系统化审计工具和流程,经过内网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业内部,与工作相关的各种内网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,可是限制不够全面,信息有可能经过以下途径被带走: ?文件可能经过USB口拷贝到U盘、移动硬盘等移动存 储介质带离公司; ?可经过3G上网卡等连接网络,把信息经过网络带走;
?可将文件经过邮件(NOTES、WEB)发送给外部人员; ?能经过打印把电子文档转换成纸质资料带走; ?…… 4 员工行为管理缺乏有效技术手段 当前公司不能从技术上规范员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不但降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 内部文件缺乏有效的安全保护机制 公司拥有大量的机密、敏感信息,关系到客户的资料,方案,投标文件、设计图纸等等,如果发生泄密情况,不但对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。因此公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不但对公司负责,更要对客户负责。 二解决方案 针对当前xxx公司的需求,如要解决,主要经过以下三个角度来实现:
一、企业的现状分析 当前,信息科技的发展使得计算机的应用围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。 在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争,面对竞争压力,他们必须有效地管理成本和资源,同时维护业务完整性和网络安全性。 二、企业网络可能存在的问题 ●外部安全 随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失都很大。 ●部安全 网络的不正当使用,一些员工利用网络处理私人事务、私自下载和安装一些与工作无关的软件或游戏等,不但消耗了企业网络资源,更有可能因此引入病毒和间谍程序,或者使得不法员工可以通过网络泄漏企业,导致企业的损失。企业业务服务器不仅需要来自互联网的安全防护,对于网频发的部非正常访问及病毒威胁,同样需要进行网络及应用层的安全防护。 ●部网络之间、外网络之间的连接安全 随着企业的发展壮大及移动办公的普及,在以后,很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式。那么,怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏就是个不得不考虑的问题了。各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。 ●上网行为和带宽的管理需求 计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们习惯了早上打开电脑访问新闻,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发、查询信息、视频会议等用途的网络变为娱乐工具时,这对公司来说是个很大的损失,如何有效的管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,已成为各个公司必须直接面对的问题。 三、企业泄密的途径 目前的企业泄密大致有以下这些途径: 1、部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走; 2、部人员通过互联网将资料通过电子、QQ、MSN等发送出去或发送到自己的; 3、将电脑上的文件打印后带出公司; 4、将文件复印后带出公司; 5、将办公用便携式电脑直接带回家中; 6、电脑易手后,原来的资料没有处理,导致泄密;
D L P G P数据防泄密解 决方案 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
密级:商业秘密 文档编号: XX集团数据防泄密解决方案 技术建议书 专供 XX 集团 2013年11月2013年11月4日 尊敬的XX集团用户,您好! 赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可帮助XX集团保护和管理信息。我们的首要任务之一是认识数字世界的变化趋势并快速找到解决方案,从而帮助我们的客户提前预防新出现的威胁。另外,我们会提供软件和服务来抵御安全、可用性、遵从性和性能方面的风险,从而帮助客户保护他们的基础架构、信息和交互。 赛门铁克致力于: ?与您携手合作,共同打造一个全面且可持续的解决方案,从而满足您的全部需求。 ?确保项目取得成功并最大程度地降低风险。 ?在部署后向 XX集团提供支持与建议,从而确保平稳运营和持续防护。 ? 如果您在阅读完本产品技术方案后仍有疑问,请与我联系。如果您在决策过程中需要赛门铁克的任何其他支持,也请尽管告诉我。 我期待着与您合作,并为这个重要项目的成功而尽力。
保密声明与用途 本产品技术方案包含“保密信息”(如下定义)。本产品技术方案旨在提供赛门铁克提交本文之时提供的产品和(或)服务的相关。本产品技术方案专向XX集团(以下简称“您”或“您的”)提供,因为赛门铁克认为“您”与赛门铁克公司(以下简称“赛门铁克”)达成交易。赛门铁克努力确保本产品技术方案中包含的信息正确无误,对于此类信息中的任何错误或疏漏,赛门铁克不承担责任,并在此就任何准确性或其他方面的暗示保证提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议,仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间有书面保密协议,但“您”阅读赛门铁克建议书即表明,在因本产品技术方案而交换和接收的赛门铁克保密信息和专有信息的范围内,包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息,无论书面还是口头形式(以下简称“保密信息”), “您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”,除非因需知晓该信息而必须提供,但必须遵守此类“保密信息”使用的管理条款与条件,而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件,且在任何情况下绝不低于合理的商业保护。 本产品技术方案及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有,未经赛门铁克事先书面许可,不得拷贝、复制或分发。赛门铁克提供本产品技术方案,但并不负责为“您”提供任何产品或任何服务。本产品技术方案阐述赛门铁克就本文所述主题而言的一般意图, 除非“您”已经获得赛门铁克的事先书面许可,否则赛门铁克谨请“您”不要联系本产品技术方案中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和(或)服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 Contents
能源行业数据安全解决方案 一、能源行业行业背景 能源行业是国家的支柱行业,也是政府大力支持的核心产业之一。办公自动化(OA)、生产管理、机械自动化控制、ERP、财务管理等信息化管理手段已在能源行业广泛应用。 信息技术的发展对于能源行业有着革命性的意义,为了完善企业生产、管理,发展更新更好更为先进的专业应用平台,企业需要累积大量的信息数据。能源行业已从基础的生产自动化逐步向管理信息化发展,以提高自身在国内国际的竞争力,从而提高企业效益。信息化的发展极大推动了电力、水利、石油、煤矿产业的发展,信息技术大幅度提高企业的内部管理效率、降低管理所需成本、提高生产效率及价值链竞争效率。 数据资料在各种系统中起到重要决策依据的能源行业,如何确保数据的安全,完善信息化管理也是目前急需解决的问题。 二、需求分析 能源行业主要的数据为历史积累数据、生产控制系统数据、企业管理数据、办公文档及财务管理数据等。 根据能源行业的自身特点,数据多样化、信息量庞大以及计算机分散是其数据安全管理的难点,各部门、各科室、分支机构地域分散,而如何将分散的数据集中备份、集中管理、防止泄漏是我们解决的重点,下图向您展示了能源行业网络结构图。
根据数据的重要性,需要实现对各服务器数据库、数据进行备份,当服务器数据丢失或损坏时能够以最快速度恢复生产和管理,减少生产中断时间。自动备份企业各部门的办公、管理、财务等数据,有效防止数据丢失或损坏。PYD信息防泄漏系统还能够为企业提供了全面的信息防泄漏保护,有效防止因重要管理数据泄漏造成的不可弥补的损失。 三、软件向能源行业提供的全面数据安全解决方案 在信息化管理中还意味着有以下令人堪忧的隐患: 硬件设备损坏、磁盘逻辑错误、应用程序故障,导致关键数据丢失、业务中断; 人为误操作、破坏,导致数据丢失或系统无法正常运行; 病毒破坏、黑客攻击、操作系统故障导致数据丢失或损坏; 没有预防火灾、天灾等不可抗力灾难对系统构成的威胁; 重要管理数据损坏; 重要生产、管理数据被窃取; 数据信息的安全性、可靠性和私密性影响企业的生存能力。 企业需要信息数据安全的可靠保障,软件为您提供全面的数据安全解决方案。强大的数据安全备份解决方案和信息防泄漏保护方案,为企业信息化发展保驾护航: 数据备份 LAN 备份解决方案 NAS存储备份解决方案
河南CA信息安全解决方案河南省数字证书认证中心
一、身份鉴别 (一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一)、基本要求 1、应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。
(三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
数据防泄密方案 一、数据泄密的原因 1、黑客、间谍、竞争对手窃密; 2、内部人员离职拷贝带走资料泄密; 3、内部人员无意泄密和恶意泄密; 4、内部文档权限失控失密; 5、存储设备丢失和维修失密; 二、数据泄密的途径 1、USB口、光驱等外设; 2、打印文件、虚拟打印文件转换; 3、邮件发送; 4、QQ、MSN即时通讯; 5、截屏、复制粘贴、拖拽; 根据上述数据泄密原因和途径的分析,以及结合我公司现阶段实际情况,现草拟如下两套防泄密方案: 三、防泄密方案一 薪酬福利、财务等核心部门各配置一台专用电脑,专人使用,并作如下限制和要求: 1、电脑禁用网络、蓝牙、WIFI; 2、电脑禁止打印; 3、电脑禁用光驱;
4、电脑限制使用USB口,使用时需输入密码; 5、对存储数据分区进行加密,打开分区需输入密码; 6、对重要文件进行加密,打开文件需输入密码; 7、使用USB设备考取数据后,使用完即刻删除; 该方案是针对电脑中数据的入、出进行控制。优点是不需要增加任何费用和设备,配置操作短时间内可以完成。弊端是基本依靠人工操作,数据流出后不可控性较大,仍存在数据泄密可能性。 四、防泄密方案二 对关键部门、岗位电脑安装防泄密软件,根据配置策略对电脑中数据进行加密,软件可实现如下功能: 1、对电脑中全部数据根据配置策略自动加密
2、对电脑中重要的数据进行手动选取加密 3、外发加密数据可根据策略配置审批人员、阅览次数、使用 时限等使用权限 4、加密数据可根据策略配置打印机、USB口设备、刻录光驱、 虚拟打印、复制粘贴、截屏、拖拽等使用权限 5、对电脑中数据操作进行人员、时间、行为信息的日志记录该方案是对数据本身进行底层加密,并对数据外泄的各种途径进权限设置,数据正常流出后仍可具有很强的可控性,结合多种策略的配置使用,可基本满足数据防泄密的要求。弊端是软件需根据业务使用要求进行一段时间的安装、配置、调试,且根据软件用户端的数量需5-10W费用。
一需求分析 1 总体需求 通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个面全面部署实施网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。 2进一步加强对网行为的有效审计 目前单位缺乏对各种网行为的系统化审计工具和流程,通过网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业部,与工作相关的各种网行为处于企业的审计和管控之中。 3加强对信息流动(外发和外带)的管理和控制 对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走: ?文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司; ?可通过3G上网卡等连接网络,把信息通过网络带走; ?可将文件通过(NOTES、WEB)发送给外部人员; ?能通过打印把电子文档转换成纸质资料带走; ?…… 4 员工行为管理缺乏有效技术手段 目前公司不能从技术上规员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。 5 部文件缺乏有效的安全保护机制
公司拥有大量的机密、敏感信息,关系到客户的资料,案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。 二解决案 针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现: 2.1 上网行为管理解决案 2.1.1 用户认证 为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。 ●部用户 对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。当用户在认证服务器上进行认证后,AC 能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。 ●无线临时用户 对于无线临时用户,通过(短信认证、微信认证)式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
公司网络安全解决方案集团标准化工作小组 #Q8QGGQT-GX8G08Q8-GNQGJ8-MHHGN#
XX公司网络安全解决方案 目录
1.公司网络安全现状及需求 XX公司是面向XX领域的公司,公司与下属各个单位有很深的业务关系,公司自主的软件也应用在XX集团各个下属单位。因此,公司的一些文档,资料,产品代码属于涉密安全信息,需要加强进行管理。但目前并没有对安全文档进行涉密分级及加密管理,具有安全隐患。此外,随着公司集团化,规模化的发展,公司办公网络已经变成由总分公司,办事处等组成的多地协同办公体系。公司的OA办公,网络报销,项目审批等均需要在网络进行,但目前的内网OA系统无法满足面向公网及远程接入办公。而且由于目前网络办公环境中,对于接入的外来终端计算机没有采取严格的授权接入方式,这些由于公司规模扩大引起的需求变化及需要统筹解决,针对安全电子文档,外网协同办公,内网接入控制,安全终端管理等方面需要提供总体的网络安全解决方案。 2.目前重点需要解决的问题 针对公司的网络安全现状以及未来发展的需求,目前我们重点需要解决的安全问题有三个方面: (1)内部涉及企业秘密的电子文档安全管理 作为商业企业的XX来说,可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题,企业人员在被解职或辞职时,他们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业,企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑,就可以轻松将企业的重要机密电子文档
企业网络信息安全整体解决方案 技术白皮书
目录 一、完善、优化企业内部网络架构 (4) 1、域结构管理模式 (4) 2、网络拓扑结构设计 (4) 3、三层交换与VLAN结合 (5) 4、企业网管软件 (6) 二、构建全方位的数据泄漏防护系统 (13) 1、文档安全管理系统 (14) 2、企业U盘认证系统 (15) 3、打印监控系统 (17) 三、建立一体化的本地/异地备份与容灾体系 (18) 四、建立防火墙、防入侵及一体化安全网关解决方案 (21) 1、趋势科技防毒墙-服务器版(SP): (22) 2、Juniper 防火墙: (23)
随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。
一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。 在由Windows 9x构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外,还可以对属于域的所有计算机的操作权限(安装/卸载软件、更改IP地址、更改计算机设置等)进行有效的控制,以达到集中化管理的目的。 2、网络拓扑结构设计 组网方式:树形组网方案 该方案引入二级联网方式,骨干层交换机采用了高性能的千兆级二层交换机,连接服务器、路由器与网