北京亿赛通数据防泄露技术解决方案.docx
《北京亿赛通数据防泄露技术解决方案.docx》由会员分享,可在线阅读,更多相关《北京亿赛通数据防泄露技术解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
北京亿赛通数据防泄露技术解决方案
某某公司
文档透明加密系统解决方案
二〇〇九年十月
1需求概述
Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。
目前,各企业都拥有自己的品牌或各自的业务范围,都利用信息化手段进行高效管理。
随着计算机、互联网的广泛应用,信息的交流和共享已经成为各企业自身发展必要的手段。
企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。
俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
企业内部竞争性情报类型主要有:
⏹企业的机密技术文件、产品研发资料
⏹设计图稿
⏹会计账目、财务报表资料
⏹战略计划书
⏹外购竞标信息和供应链合作伙伴信息
⏹重要研究成果
⏹研究论文
⏹市场营销策划资料
⏹其他:
如董事会、投融资等方面管理类资料,客户资料
大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。
但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
1.明文保存
目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。
如果不加密,则进行再多的防范都是不可靠的,同样会泄密。
现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
表1.1泄密方式
泄密的方式
对明文情报的危害
黑客侵入
不法分子通过各种途径获取商业机密。
如侵入内部网络,电子邮件截获等;
防不胜防,特别终端由个人掌控。
互联网泄密
通过EMail,FTP,BBS等方式传递情报;
内部局域网泄密
自带笔记本电脑接入网络,从而拷贝数据;
移动终端泄密
将工作用笔记本电脑带到外界,通过笔记本电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
固定终端泄密
通过台式电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
2.粗放的权限控制
在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以下分类:
表1.2权限类型及在不受控情况下产生的危害
编号
权限
控制
危害
1
根据公司保密制度传递情报
有
情报交给对方就完全控制不了他如何使用,包括是否交给非设密的第三方;
2
打印,打印次数
无
接受方可不受限制的打印情报;
3
保存和另存
无
接受方可保留情报的副本;
4
复制和拷贝
无
接受方可保留情报的副本或某部分;
5
屏幕拷贝
无
接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容;
6
阅览次数
无
接受方可无限次的读取情报;
7
控制阅读的条件——指定机器、指定USB锁、指定IP区域
无
对于绝密情报,不能控制接受方阅读地点——有可能他正在和竞争对手一起观看!
只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
3.拥有时间无期限
拥有时间无期限指的是资料递交给接授方后,接授方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:
⏹当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用;
⏹与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目。
4.不可靠的身份认证机制
身份认证是指计算机及网络系统确认操作者身份的过程。
计算机和计算机网络组成了一个虚拟的数字世界。
在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。
在网络环境中,辨认网络另一端的身份就是一个复杂的问题。
身份认证有三个层次:
一种为证明你知道什么——即现在广泛的用户名/密码方式;其二为证明你拥有什么——即给你一个独一无二的设备,如印章,每次需要出示才能确定你的身份;最后一种为证明你是什么——即通过生物技术,如指纹、面貌等确定。
目前,身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。
用户名/密码方式:
简单易行,保护非关键性的系统,通常用容易被猜测的字符串作为密码,容易造成密码泄漏;由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
是极不安全的身份认证方式;
⏹IC卡认证:
简单易行,很容易被内存扫描或网络监听等黑客技术窃取;
⏹动态口令:
一次一密,安全性较高,但使用烦琐,有可能造成新的安全漏洞;
⏹生物特征认证:
安全性最高,但技术不成熟,准确性和稳定性有待提高;
⏹USBKey认证:
安全可靠,成本低廉但依赖硬件的安全性。
5.使用追踪无保障
如果出现了泄密事故,那么我们关心的就是损失有多大,有哪些人参与,由于哪些操作导致泄密,需要追查事故责任人。
而现在,由于没有采用有效的手段,只能通过人工方式调查取证,使得追查周期过长,损失加大,追查到真相的几率极低。
我们也不知道哪些人关注过哪些信息,某些信息被哪些人关注过,不能及时查出泄密的渠道,不能在第一时间估算出泄密所带来的损失。
2业务解决方案
2.1文档安全保护体系在企业活动中的作用
行政办公文档、经营文档、技术文档三类文档在企业运作活动中密不可分又相对独立。
如:
研发类的技术文档希望在技术体系内部使用,不能轻易流转到行政管理部门,而企业经营文档,特别是一些敏感的经营信息,只能在受控的少数经营部门,如:
财务、总办等部门使用。
文档如何在本体系内充分共享,支撑业务活动,同时又受控地流转到其它部门,是文档安全保护需要重点解决的问题。
另外,任何企业和外部有千丝万缕的联系,如:
行政监管部门、客户、供应商等,如何能将相关地文档和外部合作伙伴交换,同时保证其安全性,也是文档安全管理要解决的问题。
在行政办公文档、经营文档、技术文档相关的体系内部,文档的安全保护也必须考虑文档的日常使用和流转、文档管理规范的遵守和落实、文档保护相关的技术手段等方面的统一协调,达到安全和效率的平衡,即对文档进行适当的保护又不影响企业正常的业务运作。
达到这一定,必须充分考虑文档操作流程、文档管控措施、文档保护技术手段的要求,使三者有机地融合在一起。
下图为文档安全保护体系在企业活动中的作用和地位示意图:
2.2文档安全保护体系管理架构
文档安全保护体系要根据行政办公文档、经营文档、技术文档三大类文档的业务运作特点、以及其中企业运作中的重要程度,设计自身保护的体系架构。
同时,也要充分考虑这三类文档之间的交互和保护,以及企业各类文档和外部的交互和保护。
这样才能达到文档保护体系与企业业务运作相统一,为企业运作保驾护航的目标。
下图为企业内部三类文档之间交互和保护及企业内外文档交互和保护示意图:
文档安全保护体系的架构以每个系统的文件流转和保护为核心,同时考虑三类文档的互通与保护,以及三类文档对外的互通与保护。
下图为每类文档保护都需要考虑的管理架构。
2.3体系及文档处理流程
体系及文档处理流程是文档日常处理和操作的相关流程,保证文档在加密保护的基础上有效运作,达到安全与效率平衡的目标。
主要有文档建立、文档使用、文档管理、体系维护、特殊业务、紧急响应等主流程,每个主要流程有下级的子流程支撑、如下图:
2.4文档管控流程
文档管控流程主要是审计和考核方面的流程,保证文档安全管理体系能有效地落实。
文档管控流程主要有考核流程、配置审计流程、授权审计、异常审计等主流程,每个主流程下有相应的子流程支撑。
如下图:
2.5技术支撑流程
技术支撑流程是文档安全保护工具的日常管理、维护方面的流程,是文档安全管理体系的基础。
技术支撑流程主要有系统平台维护、技术平台维护、配置管理、客户端维护等流程。
如下图:
3技术解决方案
3.1文档加密保护技术综述
智能动态加解密技术
动态加解密技术是在文件存取时截获磁盘I/O请求,对文档进行加密、解密处理,这样的技术靠判断文件类别来决定是否加密,要么对某种类别的文档都加密,要么都不加密。
其主要优点是文件加密、解密透明,使用者不需做额外的操作,同时,部署和内部使用也灵活方便。
目前该加密技术采用对称式RC4算法实现。
混合加密技术
混合加密技术是同时具备动态加解密和权限控制的加密技术,通过策略的控制实现动态加解密或权限控制的目的,它同时具备了动态加解密和权限控制两类加密的优点。
3.
3.2技术平台解决方案
公司的行政办公文档、经营文档、技术文档需根据文档的敏感程度、使用及发布范围等因素综合考虑,设计成动态加解密模式加授权管理模式,特殊的终端还可采用磁盘加密模式。
不同的职能部门侧重不同的加密模式,不同的模式达到的安全保护效果不同,文档加密保护后的流转方式也不同,对业务文档使用效率的影响也不同。
深入调研和咨询公司的文档管理需求,制定符合各职能部门运作的加密模式是文档安全管理的重要环节。
下面将描述动态加解密解决方案和权限管理解决方案的效果和使用情况。
动态加解密解决方案
动态加解密解决方案适合文档较敏感,需要全生命周期保护,对外交互相对较少的文档的加密保护。
其业务流程如下图:
动态加解密的区域划分原则按照人员分组和文件种类两个原则处理,先根据业务人员所从事的业务的敏感程度和文档对外交互的频度,确定是否划分到动态加解密区域,然后根据其所处理的文档类型确定哪些文档需要启用动态加解密策略。
动态加解密区域中文件类型的加密保护过程如下:
1.文件保存时自动加密,同时支持文档自动全盘初始化加密
2.加密的文件在同一动态加解密区域内可以不受限制使用,文件流转到此动态加解密区域外,将无法使用
3.加密的文件如果要给区域外部人员使用,必须通过有解密权限的人员专岗解密或文件加密外发
4.动态加解密区域的人员也可对加密的文档进行主动授权给权限区用户使用,这些操作将被系统记录和审计
5.动态加解密区域员工出差时,将通过终端脱机管理控制进行离线办公
移动办公解决方案
对于移动办公用户或者小的分支机构人员,使用加密文档时可以通过外网经过适当的认证和授权访问文档加密服务器,保证移动办公人员可以正常使用加密文件。
移动办公人员使用加密文档的情况如下:
移动办公人员使用加密文档的情况如下:
1.如果笔记本电脑在内网中,使用加密文档的情况和台式机一样
2.如果移动办公人员离开公司,可以根据其使用网络的情况选择适当的处理加密文档的方式。
如果有VPN帐号,可以通过VPN进行认证,然后访问内网加密文档服务器,并正常使用加密文件
3.如果没有VPN权限,可以通过文档安全服务器开放的认证端口认证并使用加密文档
4.如果没有网络条件,可以通过授权外带的操作使用加密文档
对外业务支持解决方案
文档安全管理系统不仅考虑文档信息在公司内部的使用安全,还需要考虑文档信息对外使用安全。
对于敏感信息外发时,应该做到可控,因此通过文档安全系统的对外发布控制,可以确保信息外发的安全,外发流程如下:
Ø具备有外发权限的用户,可以将内核区域加密文档转换成外发文档,将文档加密状态下对外发布,做到文档使用可控,比如使用次数、时间、是否可打印、水印等
Ø具备有外发权限的用户,可以将拥有还原权限的权限区域加密文档转换成外发文档,将文档加密状态下对外发布,做到文档使用可控,比如使用次数、时间、是否可打印、水印等
Ø所有外发处理信息均可审计
Ø外发文档可分为四种密级等级,包括:
直接使用级、用户名口令验证级、机器码验证级、联网认证级
网络单点故障解决方案
文档安全系统是一个基于C/S架构的应用平台,客户端与服务器日常都会有一些网络连接的要求。
为了避免专线中断造成客户端与服务器连接失败造成业务中断,设计客户端默认允许离线的方案。
具体分为两部分:
一是动态加解密客户端,默认设置允许离线一定时间段,在断网的情况下,可以正常使用加解密文档;二是权限加密区域客户端,可以设计权限缓冲机制,权限文档只要在本机使用过,自动将相关权限信息在本地缓存,一旦网络中断,权限文档可以在不连接服务器的情况下继续使用。
4产品要求
4.1产品主要功能要求
文档安全系统对加密软件的主要功能要求如下:
系统加密功能
客户端动态加解密区域文件复制或保存时自动强制加密。
文件打开时自动解密。
对用户来说,该过程是完全透明的,不改变用户的使用习惯。
无论是另存为其他文件格式,还是使用进程名欺骗的的方式都能对文档有效加密。
该系统对文档的保护应涵盖所有介质
无论通过存储(USB、光盘、软驱、ZIP盘等)或网络(Email、FTP、Windows共享等)或是其它传输介质与方法(红外、蓝牙等),均在保护范畴内。
文档的控制及权限管理
1.拷贝粘贴及拖拽控制:
允许从外部复制进受控文档,但不允许从受控文档向外复制粘贴(包括邮件或者即时通讯工具),用户在受控文档间的拷贝粘贴、拖拽均可正常使用。
2.文档权限管理:
文档具有阅读、编辑、打印的权限控制。
对外发文档除了上述功能外还需加上时间限制以及次数限制功能,该文档超过一定时间或打开次数就无法再使用,而且对于作者可实行再授权功能。
完善的日志审计功能
用户端对文档的任何操作都有详细的操作日志,其检索功能对文档的非法操作能快速定位。
客户端管理
用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。
系统能控制客户端的打印、截屏、录屏等功能,但此功能仅限于对受保护的文档进行控制,而非受保护的文件使用还是灵活的。
完善的离线管理功能
员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。
系统灾难应急措施
系统服务器出现硬件故障或系统崩溃时如何确保在故障恢复期间客户端的正常使用,故障期间如遇到紧急情况需要对文档解密时的应急措施。
4.2产品详细功能要求描述
动态加解密
动态加解密即作者制作文档时,一旦发出写硬盘的操作,文档会被自动加密存放在硬盘上,若发出读硬盘的操作,文档将被自动解密以明文的形式打开。
由于加解密是动态的,由读、写硬盘的操作驱动的,保证了文件作者在制作文档过程中的安全性,防止作者故意或由于疏忽而造成泄密或对文件恶意破坏,同时文档的动态加解密节省了用户手工加密的操作。
文件格式支持要求
文档安全管理系统解决方案支持加密目前广泛应用的多种文件类型,如:
doc,xls,ppt,txt,pdf,bmp,gif,jpg,dwg等文件格式,部分无法通过右键直接加密的文件格式,可以通过客户端B—S界面直接上传加密文件,实现文档无损加、解密。
用户申请使用文件并通过身份验证后,呈现在用户眼前的是已按照此用户权限屏蔽部分功能的文件。
本系统支持目前主流的应用软件系统,使用者无需使用新的文档操作平台,即可实现对MS-Office、PDF、AutoCAD、图片文件等各种文档的保护,从而满足了使用者的办公要求,为其带来了极大的方便。
禁止屏幕打印功能
亿赛通CDG文档安全管理系统解决方案不仅支持屏蔽通过键盘或鼠标发出的屏幕拷贝、打印命令,而且也支持自动检测并屏蔽各种屏幕拷贝、屏幕录像软件、打印软件,更加全面地保护文件安全,实现真正意义上的“限浏览”功能,有效防止潜在的、破坏性的屏幕打印。
CDG文档安全管理系统还禁止远程控制类软件对加密内容的截取,比如:
WindowsTerminal服务,VNC,PCAnywhere等。
同时,CDG文档安全管理系统同时还禁止虚拟主机对加密内容的截取,比如:
VMWare。
不受限制的文件存储方式
亿赛通文档安全管理系统适用各种传输及存储方式,包括服务器上传下载、局域网下载、Email、Ftp下载、U盘、光盘、软盘存储等。
针对当今网络这一开放式信息传递主体,用限制文件的传播来达到保护文件的目的,是不可能实现的。
亿赛通文档安全管理系统所倡导的理念是不限制文件的传播形式和渠道,而只是限制文件的使用,亿赛通公司在此系统的设计中,贯彻了人性化理念,一改文档安全管理“仅依赖于制度约束或更多地关注对设备和人员的监控”的传统思路,将“文件和文件内容本身的明文存放”作为对文档信息安全威胁的根源,从根本上解决了保护了文件,防止了重要电子信息泄密的问题。
在用户使用文件时,如果不通过服务器的身份验证,即使他得到文件,也只是被加密的满纸的乱码。
图5.8加密文件存储方式
PC绑定及USB锁绑定实现离线浏览
在某些情况下,用户无法与服务器通信,如网络中断,或者用户出差无法连接到服务器,用户将无法打开加密文档。
针对这一情况,CDG文档安全管理系统为用户提供了PC绑定和USB锁绑定功能。
USB锁绑定:
USB加密锁首先要初始化才能使用,初始化是系统管理员在服务器端进行的,初始化后并配置相应的用户ID,这样就把该USB锁的使用权限赋予给某一特定用户。
将所需要离线使用的加密文件绑定到这个锁上,同时设定离线时限和阅读次数,这样,该用户可以在离线时间内使用,而不需要联网,不受服务器的限制,完全和在线时的查看一样。
比如一个典型的使用场景:
一名用户出差在外地,无法通过连接到服务器,当他要阅读已经与USB加密锁绑定的加密文档时,只需要将加密锁插在计算机上,不需要通过服务器身份认证,仍然可以使用该文档。
图5.9离线浏览
PC绑定:
与加密锁类似,系统管理员将加密文件、用户ID和某一客户端计算机绑定。
当处于离线状态时,此用户只能在在这台计算机上打开已绑定的文档,无需通过服务器身份认证。
比如一个典型的使用场景:
用户出于离线状态,无法连接到服务器,当他要阅读已经与PC绑定的加密文档时,只需要在此计算机上直接打开该文档。
离线使用文档潜在很多危险,用户在进行绑定时,同时要求用户设置离线时,用户有效性认证、有效时间、阅读次数和硬件绑定。
图5.10离线浏览控制
允许离线时间:
保存到用户电脑中的已绑定的加密文件,其有效时间受加密文件绑定生成时有效时间设定的限制,该时间限制不会因为用户修改电脑时间而改变。
文档阅读次数:
文档绑定生成时所规定的阅读次数,该阅读次数优先于允许离线时间。
离线文档必须经管理员的授权,管理员在其管理界面中有PC绑定和USB绑定设置选项,管理设定好文档的绑定功能后,预先绑定的用户对此绑定文档具备离线使用功能。
该功能是一个安全系数极高的策略,USB加密锁是一特定用户、加密文档和一个USB锁的绑定,PC绑定是设定权限用户、加密文档和一台PC机绑定。
当用户离线后,无论是否打开文档一旦超出设置时限,此文档绑定回收,文档不能打开。
用户在离线状态下对文档的操作权限与在线情况下相同。
系统审计日志管理
日志管理是一系列的日志条目,记录了一些系统事件、用户IP地址、用户操作、时间、异常等信息。
根据BS7799安全规范,一个系统最重要的部分是其审计跟踪能力,这是系统安全性的一部分。
通过审计功能,管理员可以监督、跟踪所有用户的全部操作,查看系统的使用情况,实现最高的系统安全。
根据日志信息的具体设置,可以设定不同的日志内容。
从庞大的日志数据中抽取有用的信息,例如对用户的某些操作进行分类整理,自动生成相应的审计报告。
通过研究日志报告,能够制止泄密事件的发生,对于已发生的泄密事件可以回溯历史活动,从而发现泄密渠道。
图5.11日志访问记录查询
更多文件保护功能
亿赛通文档安全管理系统始终贯彻为用户提供使用简单、功能强大且稳定的解决方案的思想,满足大多数企业/公司,不同工作领域所面临的如下文件安全需求。
1.加密文件无论以何种方式发送至何地,无需再次转换。
⏹加密文件,如果权限许可,能够还原为源文件,无任何数据损失。
⏹加密文件,如果权限许可,直接以原文件格式打开并进行编辑。
2.从创建到分发文件,仅作者和授权接收者能够访问文件。
加密后的文件上传到服务器上,供已分配到权限的用户下载使用。
3.一次设置多个用户不同权限,无需每个用户单独设置,用户权限可以随时追加、更改、收回。
4.采用树形结构管理加密文件,用户及用户组拥有自己的文件夹,方便用户上传、下载及查找。
5.实现动态加解密。
6.通过绑定功能可以离线浏览加密文件。
7.支持所有通用文本文件格式。
8.可以把一个文件夹内多个文件同时批量做成为CDG文件。
9.可以从服务器上批量下载多个CDG文件,节省用户时间。
10.文件作者能够快捷追加用户、用户组及策略。
11.文档管理员可以对文件进行归档操作。
12.跟踪记录文件操作使用和用户更改信息。
13.屏蔽屏幕打印。
14.实时监测并禁止第三方截屏、录屏软件。
15.支持设置文件访问的生效、失效时间、访问次数。
16.支持所有流行的操作系统。
17.客户端适用于多种平台。
18.CDG服务器必须位于企业/公司内部。
19.用户必须同时拥有加密文件和客户端才能对加密文件进行操作。
20.源文件在加密后仍可保留在本机以供使用,或按要求彻底销毁。
21.加密文件可通过所有文件传输方式分发,包括E-mail、FTP、CDROM、Web站点。
22.系统符合信息保护与管理法规。
23.用户界面人性化,操作简单方便。
4.3方案基本运行环境
要安装和部署亿赛通CDG文档安全管理系统解决方案的产品组件、服务器和/或客户端必须满足最低系统要求,如下表所述:
表5.2CDG服务器的运行环境
OS
HP-UX,Solar或Window2000server,WindowXP,WindowsNT
CPU
Pentiumш500Hz以上
占有内存空间
15M
使用硬盘空间
100M
表5.3CDG数据库的运行环境
Database
SQL2000,Oracle9,Oracle10,Sybase
CPU
Pentiumш800Hz以上
占有内存空间
15M
表5.4CDGClient的运行环境
OS
Window2000,windows98/me,windowsXP,
CPU
Pentiumш500Hz以上
占有内寸空间
0.5M
使用硬盘空间
10M