航宇正安文檔保護系統(tǒng)

1、中國航天航宇正安文檔保護系統(tǒng)技 術 白 皮 書 V1.0版中國航天科技集團公司第五研究院汕頭高新區(qū)航宇電子技術有限公司n 版權聲明本文檔是汕頭高新區(qū)航宇電子技術有限公司（簡稱航宇電子）文檔保護系統(tǒng)技術白皮書，文中所出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除了有特別說明，版權均屬航宇電子所有，任何個人、機構未經航宇電子的書面授權許可，不得以任何方式復制或引用本文件的任何片段。n 商標信息航宇電子（HYET）是汕頭高新區(qū)航宇電子技術有限公司注冊商標，受商標法保護。目 錄一、前言4二、系統(tǒng)介紹52.1系統(tǒng)開發(fā)背景52.2系統(tǒng)簡介5三、系統(tǒng)的功能、技術特點及應用范圍63.1系統(tǒng)功能

2、7防止內部人員主動泄密7防止外部人員竊取資料73.13防止設備、介質和傳輸鏈路問題泄露資料73.2技術特點7底層實時透明加解密7與文件格式無關8高效8無需封堵端口8不需要服務器支持9擴展性強93.3應用范圍9四、應用場景104.1應用場景一104.2應用場景二11五、系統(tǒng)部署135.1.硬件需求135.2軟件需求135.3實施進度安排13六、技術支持14七、公司簡介15一、前言二十一世紀是信息社會，信息給企業(yè)帶來了飛速的發(fā)展，電腦成了企業(yè)必不可少的辦公設備！u 企業(yè)的辦公電腦的價值是多少?某企業(yè)總經理在跟朋友交談時。朋友問他,你這筆記本電腦的價值是多少?他回答道:“1000萬,甚至更多!”。朋

3、友很奇怪問他為什么?總經理回答道:“我的電腦價值不在電腦本身，而在里面的資料！”。所以，企業(yè)的辦公電腦的價值不在電腦本身，而在電腦里面的資料！財務報表、設計圖紙、客戶資料、研究成果、產權知識、工藝配方等資料對企業(yè)的經營有重要影響，甚至關系到企業(yè)的生死存亡。這些都是企業(yè)寶貴的財富，是企業(yè)容易被忽略的“無形資產”！u 企業(yè)辦公電腦中的“無形資產”屬于誰?員工離職，他清楚地知道，公司配備給他的辦公電腦等一切硬件是屬于公司的，他不會帶走！而認為自己多年積累的客戶資料、設計方案等資料是屬于自己的，所以認為將資料帶走是理所當然的。這是人們觀念存在的誤區(qū)，很多企業(yè)也沒意識到。辦公電腦中的“無形資產”真的屬于

4、員工嗎？企業(yè)給員工支付薪水，提供了辦公環(huán)境，所以員工在工作過程中所產生“無形資產”不屬于員工！“無形資產”是屬于企業(yè)的。u 企業(yè)辦公電腦中的“無形資產”是否在流失?由于電子文檔拷貝不會留下任何痕跡，所以即使辦公電腦中“無形資產”流失，企業(yè)也感覺不到。而流失的途徑也多種多樣。據(jù) CSI/FBI統(tǒng)計 2006年各種安全漏洞造成的損失中，30%-40%是由電子文件的泄露造成的,85%的電子文檔泄露來自企業(yè)內部。絕大部分企業(yè)都存在“無形資產”流失的隱患。u 如何保護好企業(yè)電腦中的“無形資產”?目前的現(xiàn)狀是當人們議論到信息安全，往往首先想到的是外部攻擊。企業(yè)在防火墻、入侵檢測、內部網(wǎng)和外部網(wǎng)物理隔離等防

5、止外部攻擊的投資占80%以上，而內部信息安全投資不到20% 。內部的信息泄露往往得不到應有的重視。要更好地保護好企業(yè)的“無形資產”，必須重視來自企業(yè)內部的安全隱患。企業(yè)內網(wǎng)信息安全面臨的挑戰(zhàn)是：怎么防止內部信息泄露！航宇正安文檔保護系統(tǒng)，致力成為企業(yè)電腦“無形資產”的保護專家！二、 系統(tǒng)介紹2.1系統(tǒng)開發(fā)背景 航宇電子是中國空間技術研究院（中國航天五院）515所全資子公司，主要承擔航天五院的計算機內網(wǎng)信息安全關鍵技術研究及內網(wǎng)安全產品的開發(fā)工作。根據(jù)國家和集團公司軍轉民用產品的戰(zhàn)略規(guī)劃，認真落實民用信息安全市場，航宇電子將多年來從事國家航天科研型號研發(fā)成熟產品所積累的技術，同民用信息

6、安全市場需求相結合而開發(fā)的專用計算機內網(wǎng)信息安全管理軟件產品。2.2系統(tǒng)簡介 航宇正安文檔保護系統(tǒng)是一套企業(yè)電子文檔安全保護解決方案，是航宇電子結合民用信息安全市場需求開發(fā)的專用計算機內網(wǎng)安全管理軟件。該軟件采用基于計算機內核的實時透明加解密，不影響企業(yè)原有辦公習慣，又確保文件從創(chuàng)建開始就加密保護。真正做到“可預防、可控制、可追溯”，主動防止企業(yè)信息泄露，確保企業(yè)“無形資產”的安全。三、系統(tǒng)的功能、技術特點及應用范圍航宇正安文檔保護系統(tǒng)采用分布式的架構，不需要服務器的支持，實現(xiàn)了不受地理區(qū)域的影響靈活部署。根據(jù)企業(yè)規(guī)模和部門需要，配置管理員和管理密鑰（USB-Key），企業(yè)可根據(jù)不同需求選擇不

7、同的配置方式：1) 單密鑰：即企業(yè)內部所有計算機終端安裝部署航宇正安文檔保護系統(tǒng)后，只設置一個管理員管理密鑰，負責集中管理和分配使用人員的權限，本配置適用于計算機終端比較少的企業(yè)。2) 多密鑰：即企業(yè)內部所有計算機終端安裝部署航宇正安文檔保護系統(tǒng)后，根據(jù)企業(yè)安全管理需求不同，設置多個管理員，負責管理和分配使用人員的權限，本配置適用于部門和計算機終端比較多的企業(yè)。說明：管理密鑰（USB-Key）只有在安裝本系統(tǒng)和配置使用權限的時使用，日常工作中不需要使用。部署示意圖： ：安裝了文檔保護系統(tǒng)的終端機 ：未安裝文檔保護系統(tǒng)的終端機 ：同部門之間的數(shù)據(jù)可以正常交流 ：不同部門之間數(shù)據(jù)可以共享 ：密文傳

8、送文件，處于保護狀態(tài) ：明文傳送 ：經過授權手動解密的終端 ：傳遞密文或者申請解密3.1系統(tǒng)功能文件的泄露無外乎以下幾種方式：Ø 企業(yè)內部人員泄密Ø 外部人員竊密Ø 設備、介質和傳輸鏈路等問題泄密航宇正安文檔保護系統(tǒng)采用基于計算機內核的實時透明加解密和軟硬件雙重加密技術，文檔從創(chuàng)建開始便加密保護，實現(xiàn)以下功能：防止內部人員主動泄密² 員工因為離職或者跳槽，帶走公司重要資料。² 企業(yè)內部人員沒有保密觀念造成無意識地泄露公司內部信息。² 企業(yè)內部人員受利益驅使，獲得本單位的重要信息，并將它泄漏給競爭對手。3.1.2防止外部人員竊取資料&#

9、178; 外來人員移動設備接入內網(wǎng)，將文件復制偷走。² 網(wǎng)絡駭客通過遠程控制攻擊內網(wǎng)數(shù)據(jù)庫，把文件偷走。² 商業(yè)合作伙伴因業(yè)務交流泄漏商業(yè)秘密。3.13防止設備、介質和傳輸鏈路問題泄露資料² 筆記本電腦、移動硬盤等移動存儲器被盜、丟失、轉借、外送維修而導致文件泄露。² 舊設備報廢，但沒有對設備進行有效的數(shù)據(jù)擦除處理而導致文件泄露。² 計算機感染病毒自動發(fā)送電子文檔而導致文檔泄露。3.2技術特點底層實時透明加解密航宇正安文檔保護系統(tǒng)采用了內核層的透明加解密技術-TDES，TDES工作在 Windows 操作系統(tǒng)核心態(tài)的文件系統(tǒng)層面上，向整個系統(tǒng)提

10、供實時的、透明的、動態(tài)的數(shù)據(jù)加解密服務。受保護的文件以加密的形式存儲在硬盤、U盤、光盤等存儲設備上，當需要讀寫加密文件的內容時，通過領先世界的基于文件指紋智能識別技術和基于文件名識別技術有機結合，實時進行加解密，使得系統(tǒng)在授權情況下可以透明地、以明文形式讀寫該加密文件的內容。所以，通過航宇正安文檔保護系統(tǒng)，文件得到安全地加密保護，而授權的用戶又可以直接透明地以明文方式使用文件，實現(xiàn)了安全、便捷的數(shù)據(jù)安全解決方案。與文件格式無關航宇正安文檔保護系統(tǒng)可以對任意文件進行加密保護，系統(tǒng)支持對用戶指定的應用程序編輯的文件進行透明加密保護，和文件的格式無關。航宇電子對常用的應用軟件（如office，Wps

11、辦公軟件、Photoshop，AutoCAD，CorelDRAW，ACDSee圖形圖像處理軟件、Macromedia Dreamweaver主頁制作工具等）進行了詳細的測試，航宇正安文檔保護系統(tǒng)能很好的支持這些應用軟件，對其產生的各種文件都能實時透明加密，即使更改文件的后綴，也一樣被透明加密保護。航宇正安文檔保護系統(tǒng)可以支持任意文件系統(tǒng)：FAT32、NTFS、CDFS等。航宇正安文檔保護系統(tǒng)支持指定訪問加密文件明文的應用軟件，訪問加密文件密文的應用軟件，拒絕訪問加密文件的應用軟件。使得可以使用 Word 直接編輯加密文檔，也可以使用 Outlook 發(fā)送加密文件(密文形式)。高效航宇正安文檔保

12、護系統(tǒng)采用高速高效的加密算法和獨有流加密技術，文件的加解密過程同磁盤讀寫一起完成，并且文件的加解密速度比文件的磁盤讀寫速度快，加解密過程是實時的，因此不會造成延遲或增加文件操作時間，同沒有安裝航宇正安文檔保護系統(tǒng)前完全一樣，用戶完全沒有感知。3.2.4無需封堵端口計算機端口是文件輸入輸出的重要途徑，因而也是計算機信息安全隱患之一。防止信息泄露的常用方法是禁用計算機端口及限制網(wǎng)絡傳輸協(xié)議，其最大的弊端是一旦有新的傳輸協(xié)議或傳輸介質出現(xiàn)，就必須升級，造成可用性的損失，并且會導致用戶的不方便。航宇正安文檔保護系統(tǒng)對文件進行實時加密保護，不用對計算機端口進行封堵，又能達到保護機密文件的目的。3.2.5

13、無需服務器支持航宇正安文檔保護系統(tǒng)采用了分布式的架構，可以對每臺計算機根據(jù)工作需要進行特定的策略設置，不需要服務器的支持，實現(xiàn)了部署靈活。同時，這樣的設計不僅可以在企業(yè)局域網(wǎng)內部署，還可以實現(xiàn)企業(yè)遍布全國甚至全球的分支機構統(tǒng)一部署，而不需架設昂貴的企業(yè)廣域網(wǎng)，大大節(jié)省了企業(yè)的開支。3.2.6擴展性強航宇正安文檔保護系統(tǒng)采用了積木式的程序架構，可以根據(jù)企業(yè)的實際需求方便地添加新的功能，減少了企業(yè)初期投資，并能持續(xù)的滿足企業(yè)不斷增長的信息安全需求，降低了重復建設的投資風險和技術風險。同時，隨著企業(yè)的發(fā)展壯大，計算機的數(shù)量也會隨之增加，企業(yè)只需要購買新的終端授權，就可以方便地把新增計算機納入已有的文

14、檔保護系統(tǒng)，不會造成重復投資。3.3應用范圍Ø 設計類行業(yè)：大量的設計圖紙、設計方案、創(chuàng)意作品等是設計類企業(yè)“無形資產”。Ø 生產類行業(yè)：生產管理流程、工藝配方、原材料報價表等資料對企業(yè)十分重要。Ø 制造類行業(yè)：制造業(yè)有許多重要文件如產品設計圖紙、產品設計文檔、專利及商業(yè)秘密等資料具有極高的價值。Ø 調研、咨詢和培訓行業(yè)：調研數(shù)據(jù)、研究專利、研究成果等是企業(yè)的生存之本。Ø 保健及保險行業(yè)：患者病例、患者隱私、保險客戶的信息等關系到企業(yè)聲譽和利益。Ø 金融類行業(yè)：銀行、證券等機構中有大量與現(xiàn)金相關聯(lián)的敏感信息，需要嚴格控制，以防止商業(yè)秘

15、密泄露，如投資融資信息、大客戶信息、交易資料及帳目分析等。Ø 政府機關：政府和軍隊等單位需要嚴格保護許多不對外公開或者限制部門及個人閱讀、復制的安全性文檔，如政府公文、機要文件、會議記錄、涉密文件等。四、應用場景4.1應用場景一 某公司市場營銷部經理要求市場文員小蘭將所有的客戶資料分類整理，然后分發(fā)到市場部所有員工的電子郵箱并在公司服務器進行存檔。這一過程可能存在的風險點有：人為因素：² 小蘭私自存檔，離職或跳槽時帶走客戶資料；² 市場營銷部員工泄露客戶資料；² 公司其他人員秘密將客戶資料拷走；² 編輯、存檔、發(fā)送過程中被駭客竊取資料；設備和傳

16、輸鏈路因素：² 小蘭的電腦；² 部門所有員工的電腦；² 部門所有員工的郵箱；² 公司的服務器。而這些風險點可能導致的后果是所有的客戶資料泄露給競爭對手。導致客戶流失企業(yè)經營困難。部署航宇正安文檔保護系統(tǒng)之后系統(tǒng)遵循簡潔但嚴格的“默認禁止”保護規(guī)則：未經批準，都不允許外發(fā)。文件從創(chuàng)建開始整個過程都是加密保護的，加密的文件只有在部署了航宇正安文檔保護系統(tǒng)的計算機上打開。1) 小蘭用Excel表格分類整理客戶資料，命名為“客戶資料”。存檔的一剎那，我們的系統(tǒng)已經給這個文件加密保護，打開再在編輯、發(fā)送、上傳服務器整個過程小蘭本人沒任何感覺，一切都正常進行。（為什

17、么？-因為系統(tǒng)提供了底層實時透明加解密）2) 小蘭給自己的郵箱和U盤都各發(fā)送了一份“客戶資料”，打開看看沒什么異樣?；丶液蟀l(fā)現(xiàn)郵箱和U盤的“客戶資料”打開后全是亂碼。（是電腦問題嗎？#%&）3) 部門的同事收到小蘭發(fā)的郵件，在企業(yè)的辦公機計算機能正常打開。在家或者網(wǎng)吧都打開的都是亂碼。（怎么可能？其中有古怪?。?) 被駭客入侵將客戶資料從服務器上拷走，打開后發(fā)現(xiàn)全是亂碼。（怎么回事，狂暈！）5) 企業(yè)內有人受利益驅使將客戶資料拷貝賣給競爭對手。（你這無字天書也能賣錢？）6) 還有電腦、郵箱、服務器上的資料咋辦？（都加密存檔的，不用擔心?。?) 日志導出。顯示對“客戶資料”操作的情況。時

18、間發(fā)送。（隱形跟蹤。誰敢違規(guī)操作？）總結：通過部署航宇正安文檔保護系統(tǒng)，文件從創(chuàng)建起便加密保護，真正做到了“可預防、可控制、可追溯”！防止內部人員主動泄密、外部人員竊取資料，并且不會改變使用者的操作習慣。4.2應用場景二 某家電公司，有三個分公司，承擔部分生產任務；在全國各地分布28個經銷商，負責產品分銷；16個辦事處，負責售后服務。公司所面臨的問題是：總公司必須將產品技術參數(shù)和圖紙等資料發(fā)送給分公司和辦事處，將產品報價單分發(fā)給經銷商,如何確保資料在傳輸鏈路不被截獲泄露，如何確保分公司、辦事處和經銷商絕對不會將資料泄露的前提下，將產品相關資料安全發(fā)送。他們希望能夠做到：分公司、辦事處和經銷商能

19、正常接收和使用總公司分發(fā)的資料，同時報價表、技術參數(shù)和設計圖紙不會泄露出去被競爭對手利用。航宇正安文檔保護系統(tǒng)解決方案:根據(jù)總公司、分公司、辦事處和經銷商的地理區(qū)域分布和安全目標，采用分布式的架構（給分公司、辦事處經銷商和總公司的專用接收資料的電腦部署航宇正安文檔保護系統(tǒng)），統(tǒng)一管理（總公司對權限進行限制，并掌控管理密鑰）。構建一個虛擬的不受地理區(qū)域限制的“局域網(wǎng)”，有效解決以上問題。部署示意圖：分別給3家分公司、16家辦事處、28家經銷商和總公司的專用資料接收電腦統(tǒng)一部署航宇電子文檔保護系統(tǒng)，總公司掌控密鑰。1) 總公司給分公司、辦事處和經銷商發(fā)送的產品報價表、技術參數(shù)和圖紙都以密文形式發(fā)送

20、，消除了發(fā)送鏈路中被竊取的風險。2) 分公司、辦事處和經銷商只能在專用的電腦上正常接收和使用文件，但其無法將文件發(fā)送到其他電腦。防止分公司、辦事處和經銷商因為保密意識薄弱導致資料泄密。3) 公司通過系統(tǒng)提供的日志功能，記錄分公司、辦事處和經銷商對產品報價表、技術參數(shù)和圖紙的相關操作。根據(jù)相關泄密懲罰制度對合作伙伴進行約束，防止合作伙伴主動泄密。 總結：通過部署航宇正安文檔保護系統(tǒng)，企業(yè)在全國甚至全球范圍內構建起統(tǒng)一的信息安全體系，不受地理區(qū)域的約束，在不影響公司業(yè)務的前提下，有效解決了分公司、辦事處和經銷商泄密報價表、技術參數(shù)和圖紙等資料泄露的問題，并且完全消除了客戶資料和相關文件在傳輸鏈路中被截獲的風險。五、系統(tǒng)部署CPU：不低于Pentium III 1.5G 內存：不低于256M，建議512M 以上 硬盤：不低于 100M 剩余空間，建議500M 以上剩余空間5.2軟件需求Windows 2000 系列SP3以上Windows XP 系列SP2以上Windows 20