數(shù)據(jù)安全解決方案

1、 數(shù)據(jù)安全解決方案綠盾信息安全管理軟件解決方案廣東南方數(shù)碼科技有限公司2013年3月 ©版權(quán)所有·南方數(shù)碼科技有限公司一、背景簡介4二、現(xiàn)狀4三、綠盾簡介53.1系統(tǒng)架構(gòu)53.2系統(tǒng)概述53.3綠盾主要功能6四、綠盾功能介紹61、文件自動加密61.1 文件自動加密61.2文件外發(fā)途徑管理71.3文件審批流程81.4文件自動備份81.5離線管理81.6終端操作員管理92外網(wǎng)安全管理102.1網(wǎng)頁瀏覽監(jiān)控102.2上網(wǎng)規(guī)則102.3 流量統(tǒng)計(jì)102.4 郵件內(nèi)容監(jiān)控113、內(nèi)網(wǎng)安全管理113.1屏幕監(jiān)控113.2實(shí)時(shí)日志113.3聊天內(nèi)容記錄113.4程序窗口變化記錄113.5

2、文件操作日志113.6應(yīng)用程序限制123.7遠(yuǎn)程操作123.8資源管理器124、設(shè)備限制125、USB存儲設(shè)備認(rèn)證12五、綠盾優(yōu)勢131、產(chǎn)品優(yōu)勢132、功能優(yōu)勢132.1高強(qiáng)度的加密體系132.2完全透明的文件自動、實(shí)時(shí)加密132.3文件外發(fā)管理功能142.4靈活的自定義加密策略142.5強(qiáng)大的文件備份功能142.6全面的內(nèi)網(wǎng)管理功能142.7良好的平臺兼容性143、技術(shù)優(yōu)勢153.1驅(qū)動層加密技術(shù)153.2自主研發(fā)性能優(yōu)越的數(shù)據(jù)庫163.3可自定義的受控程序164、實(shí)施優(yōu)勢16六、服務(wù)體系161、技術(shù)支持服務(wù)內(nèi)容162、響應(yīng)時(shí)間173、維護(hù)17一、 背景簡介隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和數(shù)字通信技術(shù)

3、飛速發(fā)展，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，大量的技術(shù)和業(yè)務(wù)機(jī)密存儲在計(jì)算機(jī)和網(wǎng)絡(luò)中，對網(wǎng)絡(luò)安全性要求變得越來越高，需要有效地制定安全策略來保護(hù)機(jī)密數(shù)據(jù)信息。而事實(shí)上，隨著企業(yè)信息化進(jìn)程的加速，內(nèi)部泄密正在成為企業(yè)內(nèi)部數(shù)據(jù)安全的最大威脅之一。另外，隨著全國涉密測繪成果檢查的開始，以及各地涉密CAD圖紙外泄事件的發(fā)生，涉密CAD圖紙的保密性越來越受到關(guān)注。 同時(shí)，也無法約束CAD圖紙使用方對圖紙使用期限、操作的限制。 圖紙使用方對圖紙的任意更改，對圖紙無限期、任意權(quán)限的使用甚至對圖紙的再次銷售都在侵害甚至蠶食著圖紙發(fā)布方的自身利益。二、現(xiàn)狀

4、近幾年來，隨著測繪信息化工作的不斷發(fā)展，多半數(shù)據(jù)處理在計(jì)算機(jī)的協(xié)助下快速完成，大量涉密信息存放于計(jì)算機(jī)硬盤的各個(gè)角落，且圖紙實(shí)現(xiàn)共享。而電子文檔在方便共享的同時(shí)也使得泄密變得容易，難以得到有效控制。另外，移動存儲設(shè)備的隨意拷貝使用，這是造成涉密數(shù)據(jù)泄密的另一原因，從而造成涉密CAD圖紙的泄密，給單位造成不必要的損失。單位信息面臨的主要問題:ü 主動泄密： 內(nèi)部人員將資料通過U盤或移動硬盤從電腦中拷出帶走； 內(nèi)部人員通過互聯(lián)網(wǎng)將資料通過電子郵件發(fā)送到自己郵箱； 內(nèi)部人員將文件內(nèi)容通過復(fù)制粘貼到聊天工具傳送出去； 內(nèi)部人員將文件內(nèi)容打印并帶走。ü 被動泄密： 電腦轉(zhuǎn)手或丟失后，

5、硬盤上的資料沒有處理，導(dǎo)致泄密； 存有資料的移動存儲設(shè)備借給他人使用，導(dǎo)致他人獲取資料；ü 惡意破壞：員工離職惡意刪除或格式化硬盤，破壞重要資料ü 越權(quán)讀?。汗緳C(jī)密信息無法設(shè)置閱讀權(quán)限。綠盾信息安全管理軟件，采用國際先進(jìn)的透明加解密驅(qū)動技術(shù)，在不改變企業(yè)用戶工作習(xí)慣的情況，不知不覺中完成文件的加密。作為國內(nèi)最優(yōu)秀的企業(yè)級文件加密系統(tǒng)，綠盾能夠從根本上保護(hù)單位重要資料文件的安全。三、綠盾簡介3.1系統(tǒng)架構(gòu)3.2系統(tǒng)概述綠盾信息安全管理軟件，旨在通過對企業(yè)重要的文件數(shù)據(jù)進(jìn)行加密處理，從根本上有效地保護(hù)企業(yè)的知識產(chǎn)權(quán)和商業(yè)機(jī)密。在數(shù)據(jù)通訊和文件存儲手段高速發(fā)展、人員流動更為頻繁

6、的今天，經(jīng)過加密的文件不再擔(dān)心被復(fù)制或外傳，企業(yè)的管理者也可以不用再為企業(yè)技術(shù)機(jī)密的泄漏而頭疼不已了。綠盾采用國際最先進(jìn)的Windows底層文件驅(qū)動過濾技術(shù)，通過計(jì)算機(jī)底層操作系統(tǒng)實(shí)現(xiàn)對計(jì)算機(jī)本身及外圍存儲設(shè)備的數(shù)據(jù)進(jìn)行嚴(yán)格的加解密控制。采用透明加解密技術(shù)，在不改變企業(yè)用戶原有工作習(xí)慣和工作流程的情況下，對指定的應(yīng)用程序和指定后綴的文件進(jìn)行自動加解密密處理，不需要人工輸入加解密密碼。同時(shí)，通過靈活的加密策略的配置、分組和分級權(quán)限控制，完全達(dá)到企業(yè)對文件安全性和管理人性化的雙重性。3.3綠盾主要功能通過透明加解密、控制傳播途徑可以防止單位內(nèi)部機(jī)密電子信息泄露；通過設(shè)置文件閱讀權(quán)限可以防止單位內(nèi)部

7、不同部門越權(quán)使用文檔；通過詳盡的日志記錄可追查信息泄露的渠道；內(nèi)核層的加解密可以普遍適用于各種格式的電子文檔；通過文件外發(fā)控制從根本上解決文檔的二次傳播，有力保障企業(yè)信息安全；通過對計(jì)算機(jī)操作的監(jiān)控可以有效管理員工電腦的使用，提升辦公效率；四、綠盾功能介紹1、文件自動加密1.1 文件自動加密綠盾信息安全管理軟件主要是針對企業(yè)的重要文件進(jìn)行加密。杜絕使用U盤、軟盤、光盤，電子郵件等方式竊取企業(yè)的機(jī)密技術(shù)文件、設(shè)計(jì)圖稿、會計(jì)帳目、戰(zhàn)略計(jì)劃書、研究論文等文檔。當(dāng)授權(quán)員工在企業(yè)內(nèi)部打開受保護(hù)文件時(shí)，他可以像操作普通文件一樣的通過鼠標(biāo)左鍵雙擊，或者右鍵的“打開”命令來應(yīng)用這個(gè)文件。在文件打開的過程中，透

8、明解密過程在系統(tǒng)后臺完成，對用戶操作習(xí)慣沒有任何影響。如果這個(gè)加密文件被利用MSN、QQ、電子郵件、移動存儲設(shè)備等手段傳輸?shù)狡髽I(yè)授權(quán)范圍以外（企業(yè)外部），那么它將無法被打開和應(yīng)用，并且始終保持加密狀態(tài)。將文件拷貝到網(wǎng)絡(luò)外或者沒有安裝綠盾終端的電腦上，將顯示亂碼。1.2文件外發(fā)途徑管理綠盾信息安全管理軟件可針對一些需脫離公司網(wǎng)絡(luò)使用，或業(yè)務(wù)往來時(shí)需外發(fā)給客戶的文件進(jìn)行解密。1.2.1申請解密員工可在線的管理人員（自動顯示有受理解密申請權(quán)限的在線終端）發(fā)出申請，管理人員可以查看該文件的內(nèi)容并選擇是否同意解密，同意解密后，員工終端點(diǎn)擊“下載解密文件”下載文件即可。1.2.2批量解密具有批量解密權(quán)限的

9、員工可點(diǎn)擊任務(wù)欄終端圖標(biāo)，選擇“批量解密”，在彈出的“批量解密”窗口中選擇要解密的文檔，點(diǎn)確定即可。1.2.3外發(fā)文件制作綠盾信息安全管理軟件的外發(fā)制作功能主要是針對一些重要文件需脫離公司網(wǎng)絡(luò)外發(fā)給客戶時(shí)，對這些外發(fā)文件的安全性具有很高的要求而設(shè)置的，外發(fā)制作功能可對外發(fā)文件進(jìn)行閱讀時(shí)效、閱讀次數(shù)、閱讀權(quán)限或只允許在一臺電腦上打開等限制，有效地提高這些文件的安全性。有兩種外發(fā)功能可供選擇：一是“打印外發(fā)”，即做成類似PDF的只讀文件，只能閱讀，不能修改，也不能打印，這種適用于純文本信息以及對圖像質(zhì)量要求不高的文件；二是“直接外發(fā)”，即保持原文件的格式以及加密狀態(tài)，外部電腦通過運(yùn)行微型終端來打開

10、文件。1.3文件審批流程審批流程，是為了使終端解密申請、離線申請、打印外發(fā)申請和直接外發(fā)申請的受理更加規(guī)范和安全而設(shè)計(jì)的。原本的解密、離線、打印外發(fā)申請，終端可以自行選擇授權(quán)操作員來受理，直接外發(fā)文件必須有允許制作直接外發(fā)文件的權(quán)限才可以制作，不能申請。審批流程改為由管理員設(shè)置相應(yīng)的流程來處理解密、離線、打印外發(fā)和直接外發(fā)申請。審批流程可以針對不同的分組、終端以及不同的申請功能設(shè)置多個(gè)流程，由多個(gè)操作員審批，按照需求決定哪些操作員執(zhí)行哪些既定的流程。1.4文件自動備份文件備份記錄這一功能主要用于防范重要文件遭破壞或遭惡意刪除等情況。在綠盾終端電腦上操作過的加密文件均會在綠盾服務(wù)端的指定目錄（此

11、目錄可由管理員自由設(shè)置路徑）下有備份，預(yù)防重要文檔遭惡意刪除或破壞。注意：備份的文件是以綠盾終端上的文件路徑為標(biāo)志，即終端電腦上不同路徑下保存的相同文件名的文件在服務(wù)器上均有備份（在不同終端上的同名文件也有分別備份）。1.5離線管理綠盾終端根據(jù)事先配置好的規(guī)則完成加解密操作，從加解密本身來說，不管終端與服務(wù)端的網(wǎng)絡(luò)是否聯(lián)通，都是能正常工作的。但為了提高安全性，防止長時(shí)間脫網(wǎng)，所以終端需要定時(shí)與服務(wù)端通信。對于離線的管理，綠盾提供兩種方式：短期離線 和 長期離線。1.5.1永久離線終端永久離線終端也就是離線終端。主要運(yùn)用于脫離總部，長期或永久在外面使用的電腦，一般是分公司或辦事處。使用離線終端，

12、可保證總部與分部之間的資料都是加密的，可以互相訪問，又可以控制分部的資料，防止外泄。1.5.2短期離線短期離線策略適用于公司內(nèi)部筆記本電腦的日常移動使用，如每天下班后筆記本電腦帶回家，可以在脫離公司網(wǎng)絡(luò)后的一段時(shí)間內(nèi)正常使用電腦上的加密文件。還可以用于處理一些特殊情況，如服務(wù)器關(guān)機(jī)或發(fā)生故障導(dǎo)致終端不能與服務(wù)器通信時(shí)，終端還可以在一段時(shí)間內(nèi)正常進(jìn)行文件的加解密（解密是針對有批量解密權(quán)限的終端，沒有權(quán)限的無法申請解密），確保辦公不會因此中斷。短期離線策略是和終端類型綁定的，不用每次都設(shè)置。短期離線策略在終端類型的安全選項(xiàng)中設(shè)置，短期離線策略的時(shí)間最長可設(shè)置為32767小時(shí)。1.6終端操作員管理1

13、.6.1終端操作員設(shè)置每個(gè)終端操作員都可以設(shè)置成屬于某種終端類型。綠盾默認(rèn)有兩種終端類型：“普通終端（默認(rèn)）”和“高級管理人員”。主要的區(qū)別在于“加密類型”的不同。加密類型包括：只解密不加密和透明加解密。終端類型可以添加、修改、刪除。1.6.2終端操作員管理權(quán)限綠盾信息安全管理軟件具有“操作員權(quán)限”的管理功能。a) 閱讀文檔權(quán)限：當(dāng)企業(yè)要求某一部門的文檔只能在指定部門內(nèi)流通，禁止其他部門的終端操作員使用該文檔時(shí)，可以使用軟件的“閱讀文檔權(quán)限”功能。該功能可以授權(quán)終端操作員允許使用指定部門的文檔，而無法閱讀、使用其他部門的文檔；同理，其他部門的中斷操作員也無法查看未經(jīng)授權(quán)的部門內(nèi)部的文檔。b)

14、受理解密申請權(quán)限：當(dāng)終端用戶需要外發(fā)文件時(shí)必須將文件解密后才能外發(fā)，這時(shí)可在線向擁有“受理解密申請”權(quán)限的終端操作員發(fā)送“申請解密文件”；c) 受理外發(fā)文件申請權(quán)限：當(dāng)終端用戶需要外發(fā)機(jī)密文件時(shí)，想對外發(fā)文件進(jìn)行設(shè)置閱讀時(shí)效、閱讀次數(shù)、打開密碼等權(quán)限，這時(shí)可在線向擁有“受理外發(fā)申請”權(quán)限的終端操作員發(fā)送“申請外發(fā)文件”；d) 受理離線申請權(quán)限：當(dāng)終端用戶需要帶筆記本電腦出差時(shí)，需要向擁有“受理離線申請”權(quán)限的終端操作員發(fā)送“離線申請”才可在脫離公司網(wǎng)絡(luò)后正常使用加密文件；e) 權(quán)限的設(shè)置：“閱讀文檔權(quán)限”、“受理解密申請”、“受理離線申請”均可在“終端操作員”的添加、修改的時(shí)候設(shè)置。2外網(wǎng)安全

15、管理 2.1網(wǎng)頁瀏覽監(jiān)控主要是針對員工網(wǎng)頁瀏覽操作日志進(jìn)行監(jiān)控，可對某條網(wǎng)頁瀏覽記錄直接打開閱讀，也可將員工網(wǎng)頁瀏覽日志導(dǎo)出到excel文件。 2.2上網(wǎng)規(guī)則可對終端的上網(wǎng)行為進(jìn)行限制，包括禁止或只允許瀏覽制定網(wǎng)站、端口限制。2.3 流量統(tǒng)計(jì)可以對終端電腦進(jìn)行流量觀察、查詢和統(tǒng)計(jì)。這里說的流量，可以包含內(nèi)網(wǎng)傳輸數(shù)據(jù)的流量，也可以過濾掉內(nèi)網(wǎng)流量，只記錄上網(wǎng)流量。2.4 郵件內(nèi)容監(jiān)控綠盾可以監(jiān)控終端收發(fā)郵件（指通過Outlook、Foxmail 收發(fā)的郵件）的信息，包括郵件的標(biāo)題、大小、發(fā)件人地址、收件人地址、郵件正文內(nèi)容以及附件內(nèi)容。3、內(nèi)網(wǎng)安全管理 3.1屏幕監(jiān)控遠(yuǎn)程實(shí)時(shí)監(jiān)視屏幕并錄像，可后臺

16、播放所有記錄屏幕影像；屏幕追蹤能定時(shí)連續(xù)不斷地追蹤員工計(jì)算機(jī)的工作屏幕。 3.2實(shí)時(shí)日志可以在控制臺上實(shí)時(shí)監(jiān)視終端的窗口切換記錄、文件操作記錄、聊天記錄、程序啟動/關(guān)閉記錄、報(bào)警事件記錄等。 3.3聊天內(nèi)容記錄綠盾可以實(shí)時(shí)記錄目前流行的大部分聊天工具（QQ、MSN、SKYPE、貿(mào)易通等）的文本聊天內(nèi)容，還能夠?qū)С觥浞?、保存、打印這些實(shí)時(shí)記錄，且支持根據(jù)關(guān)鍵字查詢。 3.4程序窗口變化記錄可以在控制臺查看指定時(shí)間段、全體/指定分組/終端的程序窗口變化記錄。 3.5文件操作日志可以在控制臺上查看指定時(shí)間段、全體/指定分組/終端的文件操作記錄。包括文件/文件夾創(chuàng)建、重命名、復(fù)制、刪除，打開文件、編

17、輯文件的操作；并支持移動磁盤、光盤刻錄文件、網(wǎng)上鄰居等。3.6應(yīng)用程序限制提供應(yīng)用程序白名單和黑名單功能，方便地限制員工可以運(yùn)行哪些程序，不能運(yùn)行哪些程序。3.7遠(yuǎn)程操作可以對終端進(jìn)行遠(yuǎn)程協(xié)助、遠(yuǎn)程注銷Windows、遠(yuǎn)程重啟、遠(yuǎn)程關(guān)機(jī)、修改服務(wù)器連接地址以及遠(yuǎn)程發(fā)送消息。3.8資源管理器可以在控制臺上列出終端電腦上的文件列表，可選擇列出所有文件或選擇只列出加密文件。4、設(shè)備限制可以禁止終端使用指定設(shè)備，包括打印機(jī)限制和驅(qū)動器限制。其中，打印機(jī)限制可以設(shè)置禁止使用打印機(jī)，或只允許使用指定打印機(jī)、只允許指定程序使用打印機(jī)；驅(qū)動器限制包括USB存儲設(shè)備限制、光盤驅(qū)動器限制、軟盤驅(qū)動器限制，都可以設(shè)

18、置成允許使用、禁止使用或只讀。5、USB存儲設(shè)備認(rèn)證USB存儲設(shè)備認(rèn)證功能是在禁止所有的USB存儲設(shè)備使用的情況下，允許指定分組/終端可以使用指定的USB存儲設(shè)備，即指定分組/終端只能使用經(jīng)過服務(wù)器認(rèn)證的USB存儲設(shè)備，沒經(jīng)過認(rèn)證的USB存儲設(shè)備將不能被識別。 五、綠盾優(yōu)勢1、產(chǎn)品優(yōu)勢綠盾信息安全管理軟件，采用“事前主動防御、事中全程控制、事后有據(jù)可查”的設(shè)計(jì)理念，在通過對企業(yè)重要文件數(shù)據(jù)的加密，從源頭上有效的防范企業(yè)信息數(shù)據(jù)泄密。綠盾采用Windows內(nèi)核的文件過濾驅(qū)動實(shí)現(xiàn)透明加解密，隨Windows開機(jī)而啟動，關(guān)機(jī)而停止，無法手動停止，在不改變用戶原有的工作習(xí)慣和工作流程的基礎(chǔ)上實(shí)現(xiàn)透明加

19、解密。同時(shí)，靈活的策略配置、權(quán)限控制及良好的兼容性，完全達(dá)到企業(yè)對文件安全性和管理人性化的雙重要求。2、 功能優(yōu)勢2.1高強(qiáng)度的加密體系1) 綠盾密鑰由三部分組成：為每個(gè)客戶提供的全球唯一的主密鑰、企業(yè)可以隨時(shí)修改的企業(yè)密鑰、每個(gè)文件不同的文件密鑰。在每個(gè)文件解密時(shí)，必須三個(gè)密鑰同時(shí)驗(yàn)證才能完成。這是國內(nèi)首創(chuàng)三重密鑰體系，保證軟件廠家無法解密用戶的加密文件，其他的加密軟件都無法提供此功能。2) 綠盾是采用銀行的加密算法，是采用256位密鑰來管理的，其安全性位于國內(nèi)前列。2.2完全透明的文件自動、實(shí)時(shí)加密終端人員在打開文件時(shí)，綠盾根據(jù)權(quán)限自動解密；在新建文件或編輯文件時(shí)，綠盾自動加密存儲。保證存

20、放在硬盤上的文件為密文，無需要用戶手動干預(yù)。這些加密過的軟件，在企業(yè)以外的網(wǎng)絡(luò)均無法打開。2.3文件外發(fā)管理功能綠盾提供打印外發(fā)和直接外發(fā)兩種方式，針對不同的文件類型可以采用最合適的方法，是其他軟件不具備的。打印外發(fā)是把各種格式文件轉(zhuǎn)換成.EXE格式的文件，外發(fā)一些圖片文件往往會失真；直接外發(fā)，不改變文件的格式，相當(dāng)于直接把原文件拷貝一份發(fā)出去。外發(fā)AutoCAD、Solid Works和Pro-E等需要精確度比較高的文件，采用直接外發(fā)效果就會比較好。打印外發(fā)直接運(yùn)行.exe文件就可以查看文件，而直接外發(fā)需要先運(yùn)行下外發(fā)終端才能打開文件。外發(fā)文件限制參數(shù)包括：時(shí)間限制、次數(shù)限制、密碼驗(yàn)證、打印

21、限制、修改限制、截屏限制、過期自毀等。2.4靈活的自定義加密策略即使工作或出差需要外帶筆記本離開企業(yè)環(huán)境，可通過離線授權(quán)功能（包括永久離線、中長期離線、短期離線等）及設(shè)定資料正常使用的時(shí)間及自動銷毀時(shí)間，從而加強(qiáng)數(shù)據(jù)的安全性，避免外出時(shí)有意無意的信息泄漏。2.5強(qiáng)大的文件備份功能綠盾強(qiáng)大的備份功能，可防止人為有意或無意的把資料刪除，甚至是格式化硬盤；綠盾的備份功能能保證終端操作過的數(shù)據(jù)都可以備份到服務(wù)器。2.6全面的內(nèi)網(wǎng)管理功能綠盾產(chǎn)品的模塊包括：上網(wǎng)行為管理模塊、屏幕監(jiān)控模塊、聊天內(nèi)容監(jiān)控模塊、應(yīng)用程序管理模塊、移動設(shè)備管理模塊（限制打印機(jī)、U盤等的使用權(quán)限）、ARP防火墻、資產(chǎn)管理模塊、文

22、件加解密模塊等。2.7良好的平臺兼容性1) 綠盾支持Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7等多種操作系統(tǒng)。2) 綠盾兼容國內(nèi)外近20種殺毒軟件，包括“諾頓、卡巴斯基（Kaspersky）、McAfee、瑞星、江民、金山毒霸、360安全衛(wèi)士、Nod32、趨勢等。3、技術(shù)優(yōu)勢3.1驅(qū)動層加密技術(shù)綠盾采用文件過濾驅(qū)動加密技術(shù)，驅(qū)動層加密工作在Windows內(nèi)核，加解密動作都是在文件打開的時(shí)候動態(tài)解密，文件保存的時(shí)候自動加密，不產(chǎn)生臨時(shí)文件，安全性更好，效率更高。驅(qū)動層開發(fā)難度相對應(yīng)用層要高。應(yīng)用層加密，通常都采用文件重定向技術(shù)實(shí)現(xiàn)，換句話說，就是在每次打開密文的時(shí)候，要先把密文的整個(gè)文件解密到硬盤上的某個(gè)地方，然后使用重定向技術(shù)定向到這個(gè)沒有加密的文件上。這種辦法有兩個(gè)比較大的缺點(diǎn)： 效率低、不安全，因?yàn)槊看?/p>