飞想文档安全系统的特点Word格式文档下载.docx
《飞想文档安全系统的特点Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《飞想文档安全系统的特点Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
通过密钥验证策略的下发,使客户端电脑在打开涉密文档时需要定期向密钥服务器去下载验证密钥,下载不到,就无法打开硬盘上的涉密文档。
该功能可以很好的防止电脑主机被偷或者硬盘被偷带来的泄密。
4.双密钥设计
飞想文档安全系统网络版采用双密钥设计,出厂时飞想公司会预先设定一个,不同的客户飞想公司会刻意设定不同的出厂密钥,以使不同的客户哪怕就算都购买了飞想文档安全系统并且在连公司密钥设定都一样的情况下,彼此加密的图纸也不能互相打开。
另外一个密钥用户可自定义,只要用户不泄露密钥,连软件开发商也无法解开其加密过的文件。
图4-1
双密钥的设计,大大增强了飞想文档安全系统所加密文档的安全性。
5.部门分级
大的企业中,往往分布着很多不同的部门:
如总经办、市场部、财务部、技术部、生产部等。
为了尽量缩小涉密资料的扩散范围,很多公司要求一些涉密资料只能在某个部门内流通,而不能扩散到本公司内其它部门内。
根据这一保密的要求,就相当于需要各部门之间的图纸或文件不能互相打开,比如说技术部不能访问市场部的文件,市场部不能访问技术部的图纸。
图5-1
如上图所示,在给技术部和市场部进行策略设置时,在权限策略中钩选“不允许打开其他部门文件”,此时这两个部门内所有安装飞想客户端软件的电脑中的文件能互相正常交流,而市场部和技术部之间的涉密文件则不能互相打开。
注:
部门分级的时候,飞想主要是根据客户端电脑的MAC地址来进行区别,而不是根据IP地址,所以用户无需担心客户端电脑IP地址变更后导致部门信息、策略信息等出错。
6.离线授权
飞想文档安全系统提供了离线策略功能,可对出差时需要使用涉密文档但又需要控制使用时间的用户提供了便利。
在离线策略生效期内,外带出去的笔记本电脑能打开电脑上原本加密状态的文档资料,但是同时新建的涉密类型的文档资料也将被加密。
当该笔记本电脑在离线策略授权的时间过后没有及时连接到公司内部网络的话,该笔记本电脑上处于加密状态的涉密类型文档将无法被打开,但同时新建的文件也将不被自动加密。
图7-1
使用离线策略必须注意以下几个细节:
1.离线策略仅适用于需要在特定时间段内控制电脑中涉密文件使用的时候;
2.在使用离线策略前必须要保证该电脑中的飞想客户端软件处于正常工作状态之中;
3.导入离线策略并离开公司局域网环境之后不能禁用网卡,不能修改时间,否则软件会认为用户恶意修改离线策略使用时间,从而禁止用户打开加密文件。
如果用户无意中修改了系统时间,那么重新导入授权文件也是没有用的,只有重新连接上服务器之后才能重新使用离线策略。
4.为了防止用户通过修改时间的方法重复使用离线策略,本软件采用了一个授权号只能使用一次的机制,系统会自动记录用户所使用过的授权号,如果导入的授权号已经使用过,那么就禁止再次使用此授权。
7.历史文件批量加、解密功能
针对于客户端电脑上存在的历史明文数据,飞想网络版中推出了“自动批量加密”功能,在部署完飞想软件后,通过飞想控制台给客户端电脑远程下发“批量加密”命令,即可在客户端电脑后台自动完成对历史数据的批量加密工作。
具体使用时注意点如下:
1.只有在部署完飞想客户端软件后(即客户端电脑接收到文件加密策略和密钥策略后),“批量加密”功能才生效;
2.客户端电脑在进行批量加密时,会自动扫描本身接收到的文件加密策略中的相关软件的常见格式进行自动加密(如该客户端电脑设定的文件加密策略为Word、Excel、Autocad等软件,则当运行批量加密功能时,后台的批量加密程序会自动扫描本地硬盘上的“.doc”、“.xls”、“.dwg”、“.dxf”等后缀格式的文件进行自动加密);
“批量解密”的功能可以利用后台程序将客户端电脑上的涉密类型文件全部自动解密,使用方法同“批量加密”功能。
8.加密文档分级查看权限
考虑到公司内不同职位的人员需要对不同的涉密文档有不同的访问权限,并简单的解决一些越权访问的问题,飞想软件特增加了4层密级控制。
通过飞想控制台中的设定,我们可以将飞想客户端电脑设定成“内部级、秘密级、机密级、绝密级(包括VIP客户端)”4层密级效果。
图9-1
各密级的含义如下:
内部级:
飞想客户端部署后默认密级即为内部级,处于内部级的涉密文档只能在公司内安装飞想客户端软件的电脑上打开,无法在公司内没有安装飞想客户端软件的电脑上打开,或者是在其它公司(哪怕是同样购买了飞想软件)的电脑上打开;
秘密级:
处于秘密级的电脑能直接打开内部级的文档,反向则不行;
机密级:
处于机密级的电脑能直接打开内部级或秘密级的文档,反向则不行;
绝密级:
处于绝密级的电脑能直接打开内部级、秘密级或机密级的文档,反向则不行;
VIP客户端:
VIP客户端电脑可以打开以上所有密级的文档,并在打开的瞬间将硬盘上原本处于密文状态的文档转换成明文。
注意:
当在高密级的客户端电脑上打开低密级的文档时,并不会改变低密级文档的密级属性;
但是当在高密级的客户端电脑上编辑低密级的文档时,会改变该低密级文档的密级属性,使之变成与该客户端电脑相同的密级属性。
9.客户端自动修复
由于当客户端电脑受到病毒/木马侵害时,注册表关键键值容易受到感染而导致飞想软件不能正常工作,从而导致客户端的加解密软件不能正常工作,而影响客户正常工作。
飞想客户端程序会在启动期间定期的去检查相关模块是否正常完整,若发现不正常会尝试自动修复,而在控制台同时也能监测到相关模块的状态,从而最新的掌握客户端动态。
如果自动修复后客户端还存在问题,控制台还可以手动下发修复命令给客户端,客户端收到命令后会尝试修复。
此功能大大减少了相关管理人员的宝贵时间。
图10-1
10.自动解密申请
对于平时日常文件外发比较频繁的客户,飞想软件中提供了自动解密申请功能。
通过在飞想控制台上做相应设定(设定要需要用到自动解密申请功能的客户端电脑和来进行审批的解密端电脑),我们可以设定如下2种外发文件解密模式:
1.某台客户端电脑可以向本部门所属的解密端使用者(本部门所属的解密端不在线时直接向公司级解密端申请)在线提交文件解密申请,当获得解密端使用者批准时,程序会在后台将需要解密的某个文件自动解密;
2.当将某台客户端电脑设定为“允许自动审批”时,此时客户端提交的所有文件解密申请会被默认自动通过(不需要解密端使用者审批),程序会在后台这些需要解密的文件自动解密并将其备份到飞想服务器程序安装电脑中预先设定的目录中;
11.异地电脑部署离线客户端
在实际飞想软件部署过程中,会碰到一些客户同时拥有几个异地办公地点,这些不同的办公地点都拥有一定数量的电脑。
这些电脑和公司总部未能组成一个有效的局域网,但它们的策略却需要和公司总部某个部门设置的策略一样,故飞想软件中提供了“离线策略”功能,可将总部某个部门中的策略文件导出并生成离线的客户端安装程序,在这些异地的电脑上安装,就能沿用和总部某些客户端电脑一样的策略信息,彼此加密的文件也能互相打开交流。
图13-1
图13-2离线策略总体界面
12.解密端分级认证
解密权限分级设置:
根据单位中不同的密级要求,可以分别设定解密端拥有者具有不同的解密权限。
某些部门领导只能解密本部门的文档,而公司老板或其它高层可以解密整个公司内的文档。
该项功能配合不同部门不同的密钥设置,可以使涉密文档的流通控制在更合理的范围之内,不同解密权限的分配,可以使公司内各领导权限得到很好的平衡,并不是拥有解密端,就能解密本公司内所有的文档。
这种功能可以使就算公司内某个解密端出现泄密隐患,影响的也只是公司内某一块的数据安全,而不是整个公司的数据安全。
对于虽然处于同一部门内的解密端,还可以设定解密端有不同的密级解密权限,即有些解密端只能解密内部级的文档,有些解密端能解密内部级和秘密级的文档,有些解密端能解密绝密级、秘密级和内部级的文档,而有些解密端能解密所有密级的文档。
另外,对于不同密级认证的解密端,除可以解密不同密级的文件外,还可以将低密级的文档提升成高密级的文档。
具体功能如下:
基于秘密级认证的解密端可以将本部门内内部级的加密文档提升成秘密级;
基于机密级认证的解密端可以将本部门内内部级或者秘密级的文档提升成机密级;
基于绝密级认证的解密端可以将本部门内内部级、秘密级、机密级的文档提升成绝密级;
13.外发文件控制
某些时候需要将单位内的涉密电子文档临时发给客户或者合作伙伴查看,但是又希望能控制这些临时外发的涉密电子文档的安全(比如说能控制其打开时间、打开次数、不能被编辑、不能被打印等),此时可用到飞想软件中的“外发文件控制”功能。
图15-1
图15-2
在进行外发文件制作时,注意以下几点:
1.被制作的文件本身可以是已经加密过的文件也可以是未加密过的文件;
2.可以选择对单个文件进行外发,也可以选择对单个文件夹进行外发控制;
3.对于外发文件必须设置密钥,否则外发出去的文件无效(密钥可以随意设置);
4.可以控制外发文件的打开次数、生效时间、文件只读、打印控制、剪切板控制等策略;
5.可以对外发文件阅读器进行控制,可以设置密码或者绑定硬件;
外发文件的加密算法和单位中正常被飞想客户端软件加密的算法是不同的,客户不用担心因为外发文件而泄露本公司飞想客户端的加密算法。
14.易用的邮件策略
对于常常需要通过电子邮件外发涉密文档出去,但又不想频繁通过解密端手动解密的单位,飞想网络版中提供了外发邮件时,对满足要求的邮件中的附件自动解密的功能。
具体实现技术原理如下:
飞想客户端软件截获本地计算机以SMTP协议(在TCP的25端口)发送的邮件信息,采用特定的技术扫描邮件数据,提取出收件人E-Mail地址和发件人E-Mail地址,以及附件数据和本地数据库(可以是一个文件)中的规则比较,看是否需要解密。
如果需要解密就调用飞想客户端中的解密程序对附件解密,然后把被处理后的附件代替原来的附件,再把邮件发送到原来的目的地址。
如果不需要解密则原样发送到收件人邮箱(即客户端程序主要是根据收件人和发件人的E—Mail地址和列表中的规则匹配情况。
如果满足某种规则的话就解密附件并转发,反之不进行解密附件直接转发)。
图16-1
要点如下:
1.以邮件中含有的收件人E-Mail地址和发件人E-Mail地址为过滤条件,根据该过滤条件的匹配规则触发对邮件附件的解密动作;
详细规则设置如下:
a)开关功能
开关1:
全部不解密
开关2:
全部解密
开关3:
按照规则解密
b)按照规则设置解密的具体规则如下:
规则1:
一对一的规则设置:
发件人:
ABC@
收件人:
FOO@
规则:
允许发送
此时进行附件解密,并转发所截获的电子邮件。
规则2:
一对多的规则设置即:
FOO@;
FOO1@;
FOO2@;
规则3:
一对全体的规则设置即:
ALL
规则4:
如果规则1、规则2、规则3均不符合则附件不解密,直接转发所截获的电子邮件。
邮件策略使用时的注意点:
5.当收件人中即有白名单邮件地址(许可的)和黑名单地址(未许可的收件人)时,邮件附件将不被解密;
6.邮件附件必须为原文件格式,不能是压缩格式或其它;
15.策略灵活
飞想现有策略库中集成了制造业行中常用的近100种设计软件,管理人员需要哪个部门加密什么软件只需要用鼠标简单的沟选,无需任何复杂的设置。
当对某个部门设置某种策略时,默认情况下,该部门内所有客户端自动继承该策略,当然对该部门内的客户端电脑可单独修改其策略。
正常情况下,我们希望同一个部门尽量保持相同的文件加密策略,以免文件数据交换上带来不必要的麻烦。
图17-1
16.集成方便
飞想网络版率先在同行中实现“自定义新增软件”功能”,该功能可以使客户购买加密软件后,完全免除今后新上其它软件的后顾之忧。
当单位中新上一个原来飞想策略库中没有的软件时,客户无需找软件供应商来集成或二次开发。
在“策略库编辑界面中”,按照提示,依次分别输入“新增软件类型”,“新增软件名称”,“新增软件应用进程名”,“新增软件中需要加密的后缀”等即可自行集成该新增软件。
目前客户购买加密软件面临的一个最大问题是,我们公司以后新上其它原来飞想策略库中不支持的软件时,需要一次次让加密软件开发商提供升级、集成服务。
这种做法使客户至少面临如下几个不确定的因数:
第一,加密软件开发商响应不及时怎么办(是不是我们必须一直拖到加密软件厂商有时间帮我们集成该软件后我们才能上新的系统);
第二,以后该加密软件厂商不做该产品或不存在时我们怎么办(是不是就不能引进新的设计系统或者要把加密软件全部推翻);
第三,就算加密软件厂商答应帮你升级,第一二年不收费,你能保证他以后永远不收费吗(就算我们肯出这个费用,届时万一这个费用双方不能达成一致,难道我们就不能新上软件了吗?
还是咬咬牙,以后新上其它软件只能被加密软件开发商牵着鼻子走)。
图18-1
所以选择飞想网络版,用户基本上可以不用担心任何后续的升级和集成问题,因为对于常见的应用软件,客户都可以通过此种方式自行集成。
17.通讯可靠
通讯上采用NDIS中间层网络驱动通信方式,带宽占用低,资源耗费小。
实际测试中,在600台客户端同时连到密钥服务器是,密钥服务器电脑CPU占用率不超过7%,内存占用为46M(测试时服务器配置为P41.7内存为256M)。
所有安装飞想客户端的涉密电脑安装飞想客户端后,会立即显示在飞想控制台中的默认部门下(远程推送安全的客户端最迟在2分钟之内会显示在控制台界面上,直接安装的客户端可以立即在控制台界面上显示)。
飞想网络版各部分直接的通讯均为自动连接,安装完毕之后控制台和客户端会自动搜索并连接到密钥服务器,无需手动做任何设置。
对于一个大规模的企业来说,电脑数量往往会超过256台,这时使用电脑IP地址的分布往往跨了好几个网段,通讯结构相对复杂。
飞想网络版中,安装飞想客户端的,不同网段内的涉密电脑只要能互相ping通,所有客户端都能照常正常和密钥服务器通讯,无须手动做任何额外的设置。
飞想网络版采用实时无间断通讯方式,所有客户端电脑都能实时的在控制台上显示,即时接收新下发的或者修改的策略,并实时检测客户端与密钥服务器连接情况(正常连接状态,还是断线状态),反应在控制台界面上。
图19-1控制台中具体某台客户端电脑显示信息
18.单机版网络版灵活转换
飞想文档安全系统可以根据公司内网络通讯质量随时在网络版或单机版之间进行转换,不会因为网络情况不好时影响飞想客户端的正常工作。
图21-1两项均不钩选即为单机版工作模式
升级会员 