Sophos數(shù)據(jù)加密解決方案

1、XX筆記本電腦數(shù)據(jù)安全方案 ii目錄1綜述11.1筆記本電腦安全需求11.2解決思路11.3方案概述12XX安全需求分析22.1用戶數(shù)據(jù)防護(hù)層次劃分22.2用戶安全等級(jí)劃分22.3用戶安全預(yù)期效果33筆記本電腦安全方案23.1UtimacoSafeguard數(shù)據(jù)安全套件（企業(yè)版）23.1.1SafeguardEasy筆記本數(shù)據(jù)安全軟件33.1.2SafeguardPrivateDisk個(gè)人數(shù)據(jù)安全軟件143.1.3SafeguardAdvanceSecurity外設(shè)數(shù)據(jù)安全軟件17Corporation|2019-7-8對(duì)本頁所含數(shù)據(jù)的使用或公開必須遵守此文檔最后一頁上的規(guī)定。 1綜述筆記本電

2、腦安全需求為了方便移動(dòng)辦公和終端管理，XX選擇ThinkpadNotepad電腦替代員工的臺(tái)式機(jī)電腦。筆記本電腦帶來便利性的同時(shí)，也給安全管理帶來了新的挑戰(zhàn)。1）數(shù)據(jù)安全和信息安全問題從原有的臺(tái)式機(jī)換代到移動(dòng)筆記本電腦，員工在享受到移動(dòng)辦公的便利的同時(shí)，也提高了對(duì)筆記本中數(shù)據(jù)的安全擔(dān)憂。在移動(dòng)辦公的環(huán)境中（機(jī)場、酒店、餐館、會(huì)場等），筆記本丟失、硬盤失竊、未授權(quán)的用戶訪問、屏幕偷窺等安全威脅的發(fā)生概率大大上升。在筆記本失竊或被惡意訪問的情況下，如何保證筆記本電腦內(nèi)的數(shù)據(jù)安全和信息安全呢？2）上網(wǎng)安全問題筆記本電腦的移動(dòng)性，使得員工可以遠(yuǎn)程辦公，同時(shí)也允許員工自由的訪問互聯(lián)網(wǎng)（在機(jī)場、酒店、餐館

3、、會(huì)場、個(gè)人住所等）。由于這些場所的網(wǎng)絡(luò)沒有像公司網(wǎng)絡(luò)一樣的安全檢查和保護(hù)機(jī)制，員工的筆記本電腦常常會(huì)被感染，不僅影響了員工自身的工作使用，也會(huì)由于接入公司網(wǎng)絡(luò)進(jìn)而影響公司網(wǎng)絡(luò)安全。如何保證筆記本電腦的上網(wǎng)安全呢？1.2解決思路XX通過與安全服務(wù)團(tuán)隊(duì)的多次溝通，對(duì)筆記本電腦的安全挑戰(zhàn)進(jìn)行了分析。參照自身企業(yè)的全球筆記本電腦管理經(jīng)驗(yàn)，從解決方案的效果、技術(shù)和市場成熟度、管理模式等多方面，深入討論了業(yè)界幾種主流的解決辦法。大家認(rèn)為，在近期，XX迫切需要加強(qiáng)以下幾個(gè)方面的筆記本安全保護(hù)工作。1）筆記本電腦安全技術(shù)方案。從筆記本物理安全、數(shù)據(jù)安全和信息安全這3個(gè)方面對(duì)筆記本電腦實(shí)施增強(qiáng)的安全保護(hù)措施。

4、2）筆記本電腦安全管理規(guī)范和服務(wù)流程。通過完善原有的電腦安全管理規(guī)范和服務(wù)流程，進(jìn)一步適應(yīng)筆記本電腦的管理和支持需求。3）筆記本電腦用戶的安全意識(shí)教育。通過開展安全宣導(dǎo)和意識(shí)教育，提高員工的安全意識(shí)。1.3方案概述為XX特別設(shè)計(jì)了以下產(chǎn)品解決方案：1）筆記本電腦數(shù)據(jù)安全保護(hù)方案：建議在每臺(tái)筆記本電腦上安裝Safeguard數(shù)據(jù)安全軟件，保護(hù)筆記本電腦的全硬盤和個(gè)人文件目錄，減少針對(duì)公司數(shù)據(jù)和個(gè)人數(shù)據(jù)的安全威脅。通過集中的策略配置，為不同安全等級(jí)的用戶配置不同的數(shù)據(jù)保密策略。2XX安全需求分析用戶數(shù)據(jù)防護(hù)層次劃分我們依照前面安全技術(shù)解決思路分析XX的安全需求，首先是針對(duì)XX公司的終端數(shù)據(jù)安全防護(hù)

5、進(jìn)行一個(gè)層次性的劃分，可細(xì)分為下列幾個(gè)層次：數(shù)據(jù)層面：筆記本電腦將取代臺(tái)式機(jī)成為XX用戶的主要工作設(shè)備。盡管在物理層面已經(jīng)考慮到采用指紋、筆記本鎖等物理安全保護(hù)工具進(jìn)行保護(hù)，但是只能保證失竊率會(huì)有所降低，而一旦失竊的事件發(fā)生后，企業(yè)的敏感資料也將一并外泄。所以，我們在方案中重點(diǎn)為XX設(shè)計(jì)了硬盤加密的解決辦法，做到數(shù)據(jù)可以丟失，但是絕不會(huì)外泄。信息層面第一層次：信息是否可任意進(jìn)出。信息設(shè)備越來越方便使用，各式外圍設(shè)備已可隨插即用（不用安裝驅(qū)動(dòng)程序），但也因?yàn)槿?，XX的敏感數(shù)據(jù)也幾乎可以運(yùn)用各項(xiàng)外圍設(shè)備任意加載/攜出，從而造成信息安全災(zāi)難。因此，外圍設(shè)備可否使用，敏感信息可否加載/攜出，是信息安全

6、防護(hù)的第一層關(guān)卡。第二層次：資料加密與保密。有時(shí)，有些敏感資料（尤其是高階管理人員）不想任意被他人看到，或是僅想要讓某些人看到。因此對(duì)于傳遞給別人的數(shù)據(jù)進(jìn)行加密處理，是信息防護(hù)的第二層關(guān)卡。第三層次：群組共享資料加密防護(hù)。XX是一個(gè)大的企業(yè)，通常存在多個(gè)團(tuán)隊(duì)合作某個(gè)項(xiàng)目，但敏感性數(shù)據(jù)亦是團(tuán)隊(duì)成員（Intranetteam,Extranetpartnerteam）可以共同存取如何防范非合法人員數(shù)據(jù)竊取，而合法人員適當(dāng)存取。這是一個(gè)非常重要的議題。對(duì)于共享數(shù)據(jù)加密防護(hù)，并合法存取，即為數(shù)據(jù)防護(hù)的第三層關(guān)卡。用戶安全等級(jí)劃分我們劃分出的數(shù)據(jù)層次是適合XX公司的所有人員的，而每個(gè)人員由于其工作性質(zhì)和所

7、處位置的不同需要執(zhí)行不同的安全策略。我們根據(jù)XX用戶的工作實(shí)際情況，將用戶安全等級(jí)劃分成為三類：基層員工、中層管理者和高層管理者。然后通過安全等級(jí)劃分繼而為各層人員指定詳細(xì)的安全策略。這種用戶安全等級(jí)劃分是通過比較合理的角度，來保護(hù)XX日常工作中信息資產(chǎn)，通過使用加密技術(shù)以保護(hù)敏感或重要機(jī)密信息，避免組織間交換數(shù)據(jù)時(shí)遭遺失、竄改、或誤用。這三個(gè)用戶安全等級(jí)層面應(yīng)存在于一個(gè)共同的最基本的安全需求之上，即：儲(chǔ)存在文件服務(wù)器端的共享數(shù)據(jù)必須要有加密儲(chǔ)存在PC端的數(shù)據(jù)必須要有加密必須管控到PC端的移動(dòng)介質(zhì)，避免數(shù)據(jù)隨意被拷貝出去被拷貝與傳送的文件必須要有加密，避免被任意散播員工行為必須有AuditLo

8、g盡量不影響用戶的正常操作對(duì)于基層員工（包括外包員工和臨時(shí)員工），應(yīng)強(qiáng)調(diào)對(duì)于員工個(gè)人相關(guān)工作產(chǎn)生的文檔進(jìn)行必要的加密保護(hù)，同時(shí)應(yīng)嚴(yán)格控制移動(dòng)介質(zhì)的使用和訪問共享文件服務(wù)器的權(quán)限問題。對(duì)于中層管理者（包括項(xiàng)目成員、特殊權(quán)限的員工），在保護(hù)自己工作文件的基礎(chǔ)上，應(yīng)該對(duì)整個(gè)硬盤進(jìn)行完整加密，以確保筆記本一旦丟失后，數(shù)據(jù)無法被未授權(quán)用戶讀取，不可能泄漏出去。建議采用如下的安全策略及要求：對(duì)于高層管理者來說，安全策略的主要目的就是保護(hù)數(shù)據(jù)安全，所以要求對(duì)文件和硬盤進(jìn)行完整加密。建議采用如下的安全策略及要求：用戶安全預(yù)期效果通過對(duì)安全策略的執(zhí)行，XX用戶在基礎(chǔ)安全上可以達(dá)到以下安全目標(biāo)：所有員工的筆記本有

9、物理保護(hù)措施，減少失竊的概率所有員工計(jì)算機(jī)的a:z:磁盤驅(qū)動(dòng)器的可受到加密保護(hù)可控制存入磁盤驅(qū)動(dòng)器的數(shù)據(jù)必須加密，有權(quán)限的User/GroupUsers需透過PKI認(rèn)證才可以解密存取所有加密密鑰的管理與數(shù)據(jù)緊急復(fù)原機(jī)制可由公司安全主管完全掌控，同時(shí)安全主管和系統(tǒng)主管權(quán)限分離，避免被一個(gè)人完全掌控的可能。網(wǎng)絡(luò)傳輸過程，及備份的數(shù)據(jù)都是保持加密狀態(tài)違規(guī)使用禁用裝置的行為會(huì)同步于AuditServer保留一份紀(jì)錄不會(huì)改變使用者作業(yè)環(huán)境與使用習(xí)慣下表是根據(jù)安全級(jí)別對(duì)用戶分別定義后，對(duì)相對(duì)應(yīng)的策略效果進(jìn)行了比對(duì)。 分類安全措施安全效果解決方案性能影響系統(tǒng)支持要求普通員工包括：基層員工外包員工臨時(shí)員工個(gè)人

10、虛擬目錄管理個(gè)人文件/文件夾加密UtimacoSafeGuardPrivateDisk無PC、筆記本、PDA或手機(jī)（采用ARM或Xscale處理器）Windows2000/XP/VistaPocketPC2002/2002PhoneWindowsMobile2003/2003Phone全硬盤加密/移動(dòng)外設(shè)控制移動(dòng)介質(zhì)/儲(chǔ)存媒體，全部禁止。如果需要開啟，需要提出申請。UtimacoSafeGuardPortProtector無PC、筆記本W(wǎng)indows2000/2003/XP/Vista內(nèi)存=256M中層領(lǐng)導(dǎo)三級(jí)經(jīng)理個(gè)人虛擬目錄管理個(gè)人文件/文件夾加密UtimacoSafeGuardPrivat

11、eDisk無PC、筆記本、PDA或手機(jī)（采用ARM或Xscale處理器）Windows2000/XP/VistaPocketPC2002/2002PhoneWindowsMobile2003/2003Phone全硬盤加密針對(duì)本機(jī)磁盤做加密，同時(shí)也支持磁盤片，USB等移動(dòng)式設(shè)備之加密處理，防止設(shè)備遺失時(shí)數(shù)據(jù)外泄。UtimacoSafeGuardEnterprise初始化加密占用3%的CPU利用率，加密速度是1.27min/GB。加密完成后的操作影響微小（見附圖）.PC、筆記本W(wǎng)indows2000/2003/XP/Vista內(nèi)存=256M開機(jī)保護(hù)開機(jī)時(shí)病毒檢測.獨(dú)立于操作系統(tǒng)之外的認(rèn)證機(jī)制，要開

12、啟計(jì)算機(jī)必須經(jīng)過密碼驗(yàn)證，且攻擊操作系統(tǒng)無效。無。Utimaco替換原先的Bios密碼和Windows密碼移動(dòng)外設(shè)控制/高層領(lǐng)導(dǎo)包括：基層中心個(gè)人虛擬目錄管理個(gè)人文件/文件夾加密UtimacoSafeGuardPrivateDisk無PC、筆記本、PDA或手機(jī)（采用ARM或Xscale處理器Windows2000/XP/Vista領(lǐng)導(dǎo)公司領(lǐng)導(dǎo)特殊崗位員工PocketPC2002/2002PhoneWindowsMobile2003/2003Phone全硬盤加密針對(duì)本機(jī)磁盤做加密，防止設(shè)備遺失時(shí)數(shù)據(jù)外泄。UtimacoSafeGuardEnterprise初始化加密占用3%的CPU利用率，加密速

13、度是1.27min/GB。加密完成后的操作影響微?。ㄒ姼綀D）.PC、筆記本W(wǎng)indows2000/2003/XP/Vista內(nèi)存=256M移動(dòng)介質(zhì)加密移動(dòng)硬盤，U盤等移動(dòng)式設(shè)備之加密處理，防止設(shè)備遺失時(shí)數(shù)據(jù)外泄。開機(jī)保護(hù)開機(jī)時(shí)病毒檢測.獨(dú)立于操作系統(tǒng)之外的認(rèn)證機(jī)制，要開啟計(jì)算機(jī)必須經(jīng)過密碼驗(yàn)證，且攻擊操作系統(tǒng)無效。無。Utimaco替換原先的Bios密碼和Windows密碼移動(dòng)外設(shè)控制/ 附圖：采用UtimacoSafeguard對(duì)硬盤加密后的性能對(duì)比表3筆記本電腦安全方案3.1UtimacoSafeguar數(shù)據(jù)安全保護(hù)需求，可細(xì)分下列三個(gè)層次：第一層次：移動(dòng)存儲(chǔ)外設(shè)的數(shù)據(jù)安全保護(hù)信息設(shè)備越來

14、越方便使用，各式外圍設(shè)備已可隨插即用（不用安裝驅(qū)動(dòng)程序），但也因?yàn)槿?，企業(yè)敏感數(shù)據(jù)也幾乎可以運(yùn)用各項(xiàng)外圍設(shè)備（數(shù)字相機(jī)亦可以儲(chǔ)存資料）任意加載/攜出。外圍設(shè)備可否使用，敏感數(shù)據(jù)（或軟件）可否加載/攜出，是數(shù)據(jù)安全的第一層關(guān)卡。第二層次：筆記本電腦內(nèi)資料保密。筆記型電腦已經(jīng)正逐步替代PC成為XX員工的主要工作平臺(tái)，幾乎每臺(tái)設(shè)備內(nèi)都有企業(yè)的敏感數(shù)據(jù)在內(nèi)。筆記本電腦帶來了移動(dòng)辦公的便利性，也成為偷竊者或商業(yè)間諜的主要偷竊目標(biāo)，筆記本電腦的失竊率幾乎逐年高升，企業(yè)敏感資料也一并外泄。筆記本電腦加密處理，是數(shù)據(jù)安全的第二層關(guān)卡。第三層次：個(gè)人資料加密。有些敏感資料（尤其是高階管理人員）不想任意被他人看到

15、，或是僅想要讓某些人看到。移動(dòng)式設(shè)備內(nèi)數(shù)據(jù)加密處理，是數(shù)據(jù)安全的第三層關(guān)卡。針對(duì)以上3個(gè)層次的數(shù)據(jù)安全保護(hù)需求，提出了完整的解決方案。第一層次：外圍設(shè)備數(shù)據(jù)安全管理系統(tǒng)。建議采用SafeGuardAdvancedSecurity外設(shè)數(shù)據(jù)安全保護(hù)軟件。第二層次：筆記本電腦內(nèi)數(shù)據(jù)加密系統(tǒng)。建議針對(duì)筆記本電腦采用SafeGuardEasy數(shù)據(jù)加密軟件，保護(hù)筆記本電腦內(nèi)的所有數(shù)據(jù)。針對(duì)PDA設(shè)備采用SafeGuardPDA數(shù)據(jù)加密軟件。第三層次：個(gè)人資料加密。建議采用SafeGuardPrivateDisk,為個(gè)人文件目錄提供額外保護(hù)。3.1.1SafeguardEasy筆記本數(shù)據(jù)安全軟件SafeGu

16、ardEasy提供PC或Notebook之全硬盤加密防護(hù)措施，不論您在何處(在辦公室、路上、家中)使用計(jì)算機(jī)設(shè)備，或是此設(shè)備被移至何處(遺失、被竊取)，計(jì)算機(jī)中之?dāng)?shù)據(jù)始終保持在加密狀態(tài)下，非經(jīng)合法認(rèn)證，無法得到其中之?dāng)?shù)據(jù)。UtimacoSafeGuardEasy已行銷全球超過一百七十萬套，通過CommonCriteriaEAL3之認(rèn)證，非常容易安裝和使用，幾乎沒有售后服務(wù)的需求，適合快速大量之部署，是您保護(hù)計(jì)算機(jī)資產(chǎn)(e-assets)的最佳選擇。SafeGuardEasy主要有以下四個(gè)功能：全硬盤加密開機(jī)前認(rèn)證開機(jī)防護(hù)集中式管理全硬盤加密全硬盤式加密處理是SafeGuardEasy的基本功能

17、，以計(jì)算機(jī)擁有人設(shè)定的加密密鑰(encryptionkey)和加密方式(如：AES128bitor256bit,3DES)將數(shù)據(jù)做加密防護(hù)，存取數(shù)據(jù)時(shí)必須有加密密鑰能解開數(shù)據(jù)內(nèi)容。SafeGuardEasy不僅可針對(duì)本機(jī)磁盤做加密，同時(shí)也支持磁盤片，ZIP或USB等移動(dòng)式設(shè)備之加密處理，防止設(shè)備遺失時(shí)數(shù)據(jù)外泄。隹?SafeGuardEasyConfigurationWizardssWorkstationConfigurationPleasechangetheconfiqurationshownbelow.（柑GeneralAlgorithmsEncryption!FloppyAES-128螺U

18、sersRemovableAES-128HardDiskAES-256KeysFloppyKeyConfiguredRemovableKeyConfiguredHardDiskKeyConfiguredDrivesFloppyNotEncryptedRemovableEncryptedHardDiskEncryptedQCancelHelp開機(jī)前認(rèn)證SafeGuardEasy建立一獨(dú)立于操作系統(tǒng)之外的認(rèn)證機(jī)制，要開啟計(jì)算機(jī)必須經(jīng)過密碼驗(yàn)證，且攻擊操作系統(tǒng)無效。SafeGuardEasy另一項(xiàng)功能是可設(shè)定密碼輸入之間隔時(shí)間(例如：十分鐘)，當(dāng)密碼輸入錯(cuò)誤超過數(shù)次限制時(shí)，必須等待此間隔時(shí)間，才接受

19、密碼的再次輸入，這樣可以避免“字典攻擊法”或“暴力入侵”之發(fā)生。SafeGuardEasy也支持雙因子是認(rèn)證方式，如SmartcardorTokenCard，或者是指紋辨識(shí)系統(tǒng)或者是儲(chǔ)存有使用者憑證(Certificate)之令牌，強(qiáng)化認(rèn)證之機(jī)制。開機(jī)防護(hù)在一般狀況下，開機(jī)時(shí)、操作系統(tǒng)未啟動(dòng)前，其保護(hù)程序也就尚未啟動(dòng)。這時(shí)，最常遭到開機(jī)病毒(磁盤開機(jī))之入侵，尤其是針對(duì)MasterBootRecord(MBR)，而造成檔案或驅(qū)動(dòng)程序被刪除、禁止執(zhí)行。因此，SafeGuardEasy提供下列二項(xiàng)功能：強(qiáng)迫以硬盤開機(jī)一禁止以磁盤或CD-ROM開機(jī)，如此，非法者不能以有問題的開機(jī)方式取得管理者的權(quán)限

20、，存取所有的數(shù)據(jù)。MBR防護(hù)一SafeGuardEasy安裝后，會(huì)先留一份正常MBR的備份，一旦開機(jī)時(shí)，MBR被更動(dòng)過，會(huì)以此備份之MBR來開機(jī)，避免開機(jī)病毒之入侵。.1集中式管理SafeGuardEasy支持企業(yè)大量部署時(shí)之安全策略集中管理功能，達(dá)到快速且方便管理的目的。骨SafeGuardEasyConfigurationWizardasWorkstationConfigurationPleasechangetheconfigurationshownbelow.橢General垃EncrHptionUsers!日盟SGAdmin(,ConfiguredTok已門上1匚1門已qui已匚1Te

21、mplateNoneDefaultuserNoSimplified已motelogonNoEwpiraticmNoFassiAurdchangeallowedf-JuFassvxurdchangeafter0Change口assword已tnextlogonNoFassvxurd(Fassvxurd-Confiqur已dRights(Rights)日畫NWAdmin(,NotConfiguredTok已門上1匚1門已qii已匚1TemplateNoneDefaultuserNoSimplified已motelogonNoEwpiraticmNoMniiiik1CancelHelpSafeGua

22、rdEasy可將使用者權(quán)限分成下列5個(gè)等級(jí)：SYSTEM：最高權(quán)限管理者。擁有管理SafeGuardEasy的最高權(quán)限，通常是為企業(yè)的安全主管(SecurityOfficer)或安全管理員(SecurityADM),共可以建立并產(chǎn)生政策設(shè)定數(shù)據(jù)文件加以執(zhí)行。在發(fā)生狀況時(shí)(軟件或硬件毀損)，有能力可以將數(shù)據(jù)復(fù)原。通常建議其密碼儲(chǔ)存在Token中，比較安全。SGADMIN:本地管理者。在大型企業(yè)運(yùn)用時(shí)，可將政策管理權(quán)限分給幾個(gè)本地管理者，各自進(jìn)行其相關(guān)部門的管理工作，但是他們不能更改加密的參數(shù)(如：加密方法和加密密鑰)。ETakenlogonrequiredTemplateNoneDeFaultu

23、$erNoSimpHiedremotelogonNoEKpirationNdPasswordchangealowedlNoPas-E-wordchangedter0Charige出riewllogcriNoPaE5*rerd(Pisswad-Configured)Fright(Rights)Figure5:Administratorrightsdefinition(example)UserRightsListofRightsPleasechoosetherightsyouwanttoassigntoorunassignfromtheselecteduser.SelectedUse匚SGAdmi

24、nUserrightsState&ChangeremovablemediadrivekeytemporaryHGranted&ChangefloppykeylempoirilyWGranted&Switchfloppydriveencryption0Granted&Switchlemovblemediadhiveencryption“Granted&ChangeencryptionkeysnNotGranted&ChangeencryptionsettingsLNotGranted鄉(xiāng)ChangepasswordrUe$HGranted&Changeusersettings0Granted&Ch

25、angebootmanaoersellrigsWGranted&Uninstal0GrantedBootfromfloppyallowedI*Granted&ChangeworkstationlocktimeoutHGranted0Changeworkstationsettings0GrantedChangeMBR$etting$lGrantedOKiCancelFNWADmIN：網(wǎng)蠱操作系統(tǒng)管理者鳧常作業(yè)，在處理被SafeGuardEasy保護(hù)的計(jì)算機(jī)時(shí)，有此權(quán)限的管理員，可以使用_Challenge/Response方式，以“one-timepassword方式認(rèn)證可登入client端，進(jìn)

26、行日常維護(hù)作業(yè)，但不能是長期的使用者。UserRightsPle4$echooseihgrighlsyauwanttoassigntooruna?$ignliomtheSelecteduser.SelectedUser：NWAdminUserrightsState臀Lhangeremovablemectadriveksyempoisi|yNetQranrgdChangefloppykevtemporarilyNotGranted爭Switchflopwdriveenciyption*Granted爭SwitchrenrovablemediadriveencryptionGranted&Chan

27、geencryptionkpysNotGranted爭ChangeencryptionsettingsNotGranted&ChangepasswordrulesNotGranted&ChangeusersettingsNotGrantedTnkanlagannatneqiiradTbiUpIaIbNansOFdUltUMrNdSirrfjlihiedlemotelogaKYesExpir已lionNoPasswordchangeallowedYesPasswordchangeWtes0ChangepasswoiciatnextlogonNoPassrd(Passward-Configured

28、)Rights(Rights)Figure.9:Helpdeskrightsdefinition(example)UserRightsListofRightsPlea5echoosethelightsyou艸日nttoassigntoorunassignhorntheselecteduser.SelectedUser:HELPDESKU5rrightsStale超Changeremovablemediadrivekeytemporarily卜lotGranted爭ChangetloppykeytemporarilyNotGrarrtedSwitchfloppydriveencryptionGr

29、anted參Switchremovablemediadrivtencryption0Granted妙ChangeEncryptionk護(hù)NotGranted爭ChangeencrypiiDnsellingsNotGranted0ChangEpasswordrulesNotGranted&Changeusersettings7GrantedChangebootmanagersettingsNotGrantedHGrantedQDooth(MnfloppyallowedMGrantedChangeworkstationlocktimeoutHotGratedChangeworkstationset

30、tingsNotGiantedChangeMEIRsettingsNotGrantedOK扁IFigure.10:Helpdeskrights(example)user：沒有管理者權(quán)限。此為一般使用者的預(yù)設(shè)權(quán)限。安裝部署方式SafeGuardEasy可作預(yù)先設(shè)定(pre-configured)非常容易自動(dòng)安裝和部署,即使是當(dāng)初使用者，都不需系統(tǒng)管理員的協(xié)助。在MicrosoftWindows的環(huán)境下，SafeGuardEasy支持MicrosoftInstaller，在使用者不知情可輕易的完成安裝工作。通常是用以下兩種方式進(jìn)行：1)產(chǎn)生MicrosoftInstallerfile，不作其它特殊

31、的設(shè)定。亡SGfJ4ISIHi比口|FibEdATdHssTods-het1旦旦回勺g回TaHesPropertyJuduEGDNHSY5LocecLHarsoijwLQD：DMLOLLDDEOCTiverWtK-nrtFrtfwInbahnQOCCOcu-ceAttriiuteirmALLLEVEL3iXCCTra-slStcfAw-JnAExEtErrorVflTNon%5ednMd/rbalediYoumu.Petdi5?tipPetdiPatKaoe：DeraUTUDFizrtArlailOFtogTdSecutE匚出lanPrQD狀fee】H5WDM近TMTKW.;5GELCiK6A

32、”BIFwp*呻U(xiǎn)TFRCOUCTSGEFiikhCarpanertJUMMAdmnErrar/durn_tithaue-sdmmKtratornghtstarunt.RadnButtunrtanteriarrtHocfcntdfVReqLDuAETWwlnftSuffKMz-ard.Reg&trySP.VEP.RBmnvpFfewCRLF7麗血朋nF總rji|fFQFLE恥$ij應(yīng)乂d。RsrravBn.ecKb-?5CDMP.5園DW.DLL&E8曲閒J?4&BSgghaJIW3MLqDohuItEngkh.LCErffl*gUTiDBACHUFLErureCnntrnlNnSH-vcfC

33、criD：cficenstdlM_riR5TJN5T.DZft?WrjMflC_M.LShortJoJtgHsnuEasyfSMS対4f8Tecra-rte1/LLU5ER5Ldtn0Figure.12:MicrosoftInstallerpackage12）進(jìn)入SpecificSetting中作調(diào)整，可操作手動(dòng)方式或以MicrosoftInstaller輔助工作ORCA進(jìn)行。例如：如圖12在“property”字段中設(shè)定SafeGuardEasy設(shè)定文件的路徑，下圖13中，將“Feature”字段設(shè)為“willbeinstalled”系統(tǒng)就會(huì)自動(dòng)執(zhí)行安裝程序。FibEdlTdlJpsP”Mp

34、m1-fcSblQJT罰竽1一iiHmlrlllbfllir-Frnli1r|rrnlinJnr:IilJ卜r11irr:rIti/Ll說iw叫-|Alliil&vrcrmftTtirrp/VEHiriTDdICDnhqFibYclzaidInzakc-ha.-.ll1ir-flCt3J1I_FDPSgsisySiUrJ_REPa33ZEnrtvapphgHzsn3BMSrPlLllRIEF-HI-!IIRNU江AxiriTcct-電亡年pnsECcd畑wdlTSliii22H32幻出Fnr”TtimiftTrlCaii.!*!.connFYtenbth.!H申3ErFHCtiririrert

35、AikiiTiinkTjrtrtsyxMftitWrrfirr沖4V-IhVtuhiCiiiiTnuHdbnStTMHfClllKII.FiIrririhUm.F4力XL53*Jth_Ln理ALU/MWE(ra：b-|Cilsrdsth.3543Z:canEnorpUpnfineryptor.TS：al3AL.s123_nFhw如lkRtiqEncryptmAultnqA3北范乩Eno-VPtcTi5sap榨上oLcocrCxbcrcfth.n出322nbclEzGOLjbGSoquon：!GhoGYstnczYptionGnoSystcnC31DEnatclLICoqucrixwnwuSqM

36、tsysanijcr:413血臥1hgdConmncrJtToksnCjoWnTcdbWrrijbdtcrrcenSupoatFacnh36132KUT1_T55軸JTLT55V332MJHJDft55*的jnjsQ3無SGAJti-ijMjthhEncryptcfiMachhbErdngE芝卸QFthf.馬斗5GUIJ_l-iiPTESgwySGUTJ_fl3；lEU332LVtVccul&=jcmpxwrJtr笛Jhk-Mrlih!JFigure.13:MicrosoftInstallerpackage2中央控制臺(tái)SafeGuardEasy一旦安裝妥善幾乎不需要管理和維護(hù)，如果需要，也可透

37、過中央控制臺(tái)連接至SafeGuardEasy數(shù)據(jù)庫（可置于同一主機(jī)上，也可與中控臺(tái)分開，置于不同的機(jī)器），作各項(xiàng)的管理工作。迥SafeGuard%1EasyAdmiinistMtiK）nCon&olsFileEditFew&DupsExtrasHelp6口眠VAa険1血附JRuqu&slnName*IDBciiplionAdrriiriilraliD仃dlrfiachrieiIronitheacinriitiahahdeparlEenlFigure.14:AdministrationConsole緊急事件處理方式緊急情況一：用戶忘記密碼一旦忘記密碼，就無法開啟計(jì)算機(jī)，SafeGuardEasy

38、提供ResponseCodeWizard，通過三個(gè)自我檢測的步驟（圖15圖19）,系統(tǒng)管理員可將產(chǎn)生的ResponseCode，電話通知或以短信方式傳給使用者，使用者即可取得新的密碼。Y/ftlCDTietothsResponseCedeWizardrhir.bzJ.2khsT|e-d-cr*kri占匚町把恢2-aarsi-qE.rr.hb-15Eiiy.-3rinklilkv*:5:r:pymKitor-：ira*ft.|.lllrvuv.-.!MiFigure.15:Respon氈CodeWizard1RFriiKiiiiKn-nkWVlhCmidLMYHesp&niE5北WI24EnTi

39、kLL3iHjdRjl:jIw_friTjIOlM-lfT-awOGMMlLHALLm私rj-iuiHws：!IILtJ：|-43Li：nniLd1indTcy-zk!CUrZOD-iirrskicj-緊急情況二：SafeGuardEasy軟件損壞SafeGuardEasy采取PBA（Pre-BootAuthentication）保護(hù)方式，一旦存于SafeGuardEasy軟件的磁盤區(qū)域毀損，SafeGuardEasy無法正常運(yùn)作，計(jì)算機(jī)即無法啟動(dòng)，為預(yù)防此事發(fā)生，您必須先準(zhǔn)備好SafeGuardEasyKernel的備份文件（大約60KB300KB,如圖21圖22或是圖23），以此備份將系統(tǒng)

40、回復(fù)。但須注意，此備份文件是針對(duì)指定的計(jì)算機(jī)（如：PC“WKS-0815”）才有作用，無法用在別的計(jì)算機(jī)上。心dTRCiiurrlreyFrmranrynidiMNthiHaidAS-lBuI也沖1I!I4vYi-：iiHrdIrcFigure.21:EmergencyDiskWizard1iyIryriirwyl：ldiUu-eKe:七!MJw3:7QCtfc|i3Kf血丄平皿黒再晶liI-5召:aij!悩怙JliTFigure.22:EmergencyDiskWizard2-j5dfCu*ibJirbxuI：Err*AkrthnMItUbAlM.FEII-.科讓f*ofFELe?San4為

41、fcc&xipd*tdt3tuirtkwvllpflirwwtcrwFgur&.23:Comn：jnclinetoolIMcnFiwnPrifrnprRPihcfcEucjEghukrnginaHiPitai*tHMDXTdriiUj*r*dkujEgatMEkZliClxttaElj|k.avlJFEBfrt=BkU|.OMFiM5SwOC-S4jpyrahl*l+itWl*Lwv*Err*4kM4Itucka*FtII_ThecommandlineSGEBACK.EXE11tool:EnterSGEBACK/f:tocreateaback-upoftheSafeGuardEasykerne

42、Thecommandlineversionmakesiteasiertoperformtasksregularly,forexamplefromanetworkloginscript.產(chǎn)品優(yōu)點(diǎn)在安全和成本的評(píng)估下，運(yùn)用SafeGuardEasy保護(hù)企業(yè)重要的信息資產(chǎn)是最佳的選擇。以下就不同的層面來分析其優(yōu)點(diǎn)：一對(duì)于用戶而言幾乎不用教育訓(xùn)練。使用者幾乎沒有感覺其存在。SafeGuardEasy認(rèn)證與操作系統(tǒng)認(rèn)證已作成SingleSignOn,不用輸入第二次。整個(gè)硬盤都已加密,使用者不必再為何種數(shù)據(jù)該加密而考慮。不影響效能：高效能加密方式,使用者不會(huì)感覺效能降低。安全性：很多時(shí)候,使用者計(jì)算機(jī)會(huì)處

43、于“冬眠”狀態(tài),（SuspendtoDisk），因?yàn)榧夹g(shù)非常復(fù)雜，大多數(shù)的磁盤加密軟件不支持此功能。SafeGuardEasy是唯一支持此功能的產(chǎn)品，隨時(shí)都將數(shù)據(jù)保持在加密狀態(tài)。-對(duì)于IT經(jīng)理而言安全性：防護(hù)企業(yè)信息遺失。集中式安全策略管理，管理容易。知名度：SafeGuardEasy榮獲各大安全雜志評(píng)選為“五星級(jí)”最佳產(chǎn)品，不論是在UserFriendly、效能、文件、技術(shù)支持和價(jià)格效能等評(píng)比都是最高得分。低維護(hù)成本。SafeGuardEasy是針對(duì)企業(yè)大量部署的完善設(shè)計(jì)。教育訓(xùn)練，不需要使用者教育訓(xùn)練。SafeGuardEasy通過CommonCriteriaEAL3的認(rèn)證，證實(shí)其軟件設(shè)計(jì)

44、的安全性。可與其它硬件式安全產(chǎn)品結(jié)合。SafeGuardEasy可結(jié)合Token認(rèn)證或是與ESS芯片，TPM模塊結(jié)合。更加強(qiáng)其安全性。與使用者分擔(dān)硬件成本。例如：保險(xiǎn)業(yè)業(yè)務(wù)員通常要負(fù)擔(dān)部份的硬件成本，管理者想隨時(shí)保有管理權(quán)限，而使用者也想自行運(yùn)用其設(shè)備。SafeGuardEasy有提供雙開機(jī)“Twinboot”功能，可適合此一應(yīng)用。-對(duì)于系統(tǒng)管理者而言運(yùn)用pre-configuration將安全策略作好定義后，以自動(dòng)部署方式，可以很輕易的完成client端計(jì)算機(jī)的硬盤加密作業(yè)，在節(jié)省建置成本方面，SafeGuardEasy絕對(duì)比其它競爭對(duì)手要強(qiáng)很多。幾乎是作到“deploy&forget”，S

45、afeGuardEasy部署完成后，幾乎不用維護(hù)，即使修改密碼或是更改加密部分（部份加密，非全硬盤加密）也很容易，可以說是做到所謂的“deploy&forget”。遠(yuǎn)程更改設(shè)定非常容易。SafeGuardEasy的管理者可以改善使用者設(shè)定檔存成一個(gè)被保護(hù)的檔案，傳送給使用者（可透過e-mail方式）或置于中控臺(tái)，管理者甚至都不需要聯(lián)機(jī)到使用者的計(jì)算機(jī)上即可完成。解密時(shí)也不用聯(lián)機(jī)至使用者計(jì)算機(jī)。如果使用者遺忘密碼時(shí)，他可與管理者用電話連絡(luò)，進(jìn)行Challenge/Response程序后，管理者可直接告知密碼后即可解密還原，不須受到一定要計(jì)算機(jī)連接上網(wǎng)絡(luò)的限制。HELPDESK節(jié)省管理成本。Saf

46、eGuardEasy有很容易使用的Helpdesk機(jī)制，使用者可自行解決問題，不用麻煩管理員。支持多種使用者設(shè)定檔。SafeGuardEasy可支持達(dá)15個(gè)不同的userprofile給不同的使用者，同一臺(tái)計(jì)算機(jī)可依很多不同的使用者使用，數(shù)據(jù)加密防護(hù)功能依舊完善。安全地WakeonLAN(WOL)。大量部署時(shí)可能會(huì)受到使用者不在計(jì)算機(jī)旁，無法輸入PBA密碼的限制而中斷。SafeGuardEasy支持集中式管理的軟件部署功能，遇到WOL狀況時(shí)，仍能輕易的完成其管理工作。與RnR(Rescue&Recovery)整合。SafeGuardEasy是第一個(gè)通過認(rèn)證與其RnR和ThinkVantage技

47、術(shù)整合的硬盤加密產(chǎn)品。加密過的數(shù)據(jù)在備份和回復(fù)的作業(yè)中始終保持其完整性。3.1.2SafeguardPrivateDisk個(gè)人數(shù)據(jù)安全軟件在網(wǎng)絡(luò)發(fā)展盛行的今日，您的個(gè)人計(jì)算機(jī)是與網(wǎng)絡(luò)世界聯(lián)機(jī)在一起的，很容易地會(huì)被病毒、間碟程序等得知您的私密數(shù)據(jù)。因此個(gè)人數(shù)據(jù)的安全防護(hù)需求也愈來愈大。根據(jù)FBI和CSI(ComputerSecurityInstitute)2002年的統(tǒng)計(jì)分析，各企業(yè)第二大安全問題是筆記型計(jì)算機(jī)的失竊，并造成US$89,000的平均損失。因此，Utimaco以其超過20年的加密技術(shù)，提出PrivateDisk解決方案，滿足客戶這方面的需求。SafeGuardPrivateDisk

48、是融合了虛擬磁盤和磁盤加密技術(shù)的產(chǎn)品虛擬磁盤虛擬磁盤對(duì)使用者而言，好像是一個(gè)外加的磁盤區(qū)塊，但它不是實(shí)體的磁盤，而是一個(gè)大的獨(dú)立的檔案(“Volumefile”)一般，虛擬成一個(gè)磁盤方式呈現(xiàn)。例如：要產(chǎn)生一個(gè)10MB的虛擬磁盤，您的計(jì)算機(jī)硬盤中就被占用了10MB的檔案空間。虛擬磁盤不一定要在本機(jī)磁盤上，也可以是在移動(dòng)式的媒體(Disks,CD-ROM,DVD,USB.etc.)或是網(wǎng)絡(luò)硬盤上。如下圖所示，實(shí)體硬盤空間是A到G,而H和I就是虛擬磁盤了。CX：-：XXXXiFdcferg亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠亠廚DastJtopH.jMyDHDJTsentF站th+%WWWX-4.

49、-gsw:C-ZMHMWWWHWWWWWWKWWWWWWWKWWWWWW:X:WWWW:K:：:-：KJCX：XH：:：W：-：WW：-：-：XWXWX：-：WWWWK：-：K:：啲.1MyFfctijresMyC0mpi.fret.g3為:Floppy伽OWINXPPROFfC：)PPrRifiteTest(D:)J5dP*心_W(FJ7WlNMPHOre(F!)-.：iCDDnve(G；XyRRJVflTEDEKH)iMyAdurns.d|齡pdlfkO也*olUJ.3C6KBIX3C6IL50,75?KBRbFdderFifeFddsrlimmooSauarii函Pfivat日口蟲.陽h

50、jmBJ:maldStfejuejdPnvfiJtHbskUnkimeLthiecciteGbEtdPrivBteP.VnbsseSafeGuardPrivateDisk安裝后，如下圖所示，就可產(chǎn)生加密的虛擬磁盤區(qū)塊，保護(hù)個(gè)人數(shù)據(jù)，如：客戶數(shù)據(jù)、人事數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、企業(yè)合并數(shù)據(jù)等等。:：:：1:XXKKKK；:KWWXWWW?:xx:4-:：;qgmwL溉：.：應(yīng)用舉例應(yīng)用范例1：如下圖所示，本機(jī)磁盤和CD-ROM之被加密，必須是授權(quán)的人，才能讀取其中的內(nèi)容。Hlusaion3.Asp；cationofSaf&GusrcPrvatsDiskwithmobileusers應(yīng)用范例2：本機(jī)虛擬磁盤

51、和網(wǎng)絡(luò)虛擬磁盤IHusiraEcn4.UseofSafeGuardPrivteDatPCWorkstations特性說明：本地磁盤和網(wǎng)絡(luò)磁盤數(shù)據(jù)傳輸時(shí)，為加密狀態(tài)，不會(huì)被Sniffer截取到數(shù)據(jù)。整個(gè)虛擬磁盤的內(nèi)容可安全地傳送到別處（也可透過email，不過，通常受到檔案大?。?。透過管理精靈，可以輕易的管理多個(gè)虛擬磁盤。集中式管理，企業(yè)運(yùn)用時(shí)，提供緊急復(fù)原機(jī)制，當(dāng)遺忘密碼時(shí)，通過認(rèn)證程序，可以快速打開虛擬磁盤。應(yīng)用范例3:群組應(yīng)用:mwvBi匾SllustraGn5.UseofSafeGurdPrivateDisk.withUserGroupsRsdonly=1口口口口iDiskl.volHAAJUkUJLUUkUJLUJMJMLUJMJMUL口口口口only特性說明：多人共享檔案服務(wù)器上的虛擬磁盤。檔案下載至前端計(jì)算機(jī)時(shí)才解密，同時(shí)不影響Server的效能。檔案服務(wù)器管理者也沒有權(quán)限看到其中數(shù)據(jù)。虛擬磁盤備份時(shí)，仍為加密狀態(tài)。應(yīng)用范例4:移動(dòng)式虛擬磁盤特性說明：SGPD可支持于各式移動(dòng)式儲(chǔ)存媒體產(chǎn)生虛擬磁盤。移動(dòng)式設(shè)備遺失，數(shù)據(jù)不外泄。SafeG