企業(yè)內(nèi)部信息數(shù)據(jù)安全保護(hù)解決方案

1、防水墻企業(yè)內(nèi)部信息數(shù)據(jù)安全保護(hù)解決方案技術(shù)創(chuàng)新，變革未來Page 2目 錄第一部分 公司介紹第二部分 防水墻的誕生第三部分 防水墻解決方案第五部分 防水墻典型用戶第四部分 防水墻應(yīng)用場景Page 3第二部分 防水墻的誕生Page 4企業(yè)內(nèi)網(wǎng)面臨復(fù)雜多樣的威脅非法用戶隨意接入內(nèi)部網(wǎng)絡(luò)內(nèi)部合法用戶濫用權(quán)限終端不能及時打系統(tǒng)補(bǔ)丁員工私自安裝軟件、開啟危險服務(wù)員工私自訪問與工作無關(guān)網(wǎng)站員工忘記設(shè)置必要的口令現(xiàn)有安全設(shè)備難以有效保護(hù)網(wǎng)絡(luò)無法檢查網(wǎng)絡(luò)內(nèi)計算機(jī)的安全狀況缺乏對合法終端濫用網(wǎng)絡(luò)資源的安全管理無法防止惡意終端的蓄意破壞接入終端數(shù)量大、系統(tǒng)復(fù)雜，難以管理內(nèi)網(wǎng)缺乏有效安全監(jiān)控、審計手段系統(tǒng)軟件安全漏

2、洞修復(fù)不及時系統(tǒng)缺乏行之有效的管理及緊急響應(yīng)手段無法跟蹤惡意員工泄露企業(yè)信息無法及時掌握終端的更新和變化網(wǎng)絡(luò)終端的安全威脅企業(yè)信息安全的復(fù)雜環(huán)境Page 5文檔PDF圖片表格內(nèi)部員工泄密黑客竊密存儲介質(zhì)遺失企業(yè)信息安全的真正威脅調(diào)查結(jié)果顯示超過70%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。 服務(wù)器泄密維護(hù)時使用移動硬盤將服務(wù)器上數(shù)據(jù)自備一份 知道服務(wù)器密碼后遠(yuǎn)程登陸，將服務(wù)器上數(shù)據(jù)完全拷貝 Page 6信息外泄的途徑 工作站泄密開啟同事電腦，瀏覽，復(fù)制同事電腦里的數(shù)據(jù) 通過U盤或移動硬盤從電腦中拷出數(shù)據(jù)帶走將電腦或硬盤帶

3、出管控范圍利用各種手段將資料拷走將電腦或硬盤送修，資料被好事者拷走電腦易手后，硬盤上的資料沒有處理，導(dǎo)致泄密電腦遺失或者遭竊，里面的資料被完整的竊取 Page 7信息外泄的途徑 網(wǎng)絡(luò)泄密通過互聯(lián)網(wǎng)將資料以電子郵件網(wǎng)頁、BBS發(fā)送出去隨意將文件設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料將自己筆記本連接到公司局域網(wǎng)，使用各種手段竊取數(shù)據(jù)點擊不認(rèn)識的程序、上不熟悉的網(wǎng)站導(dǎo)致中了木馬的泄密 Page 8信息外泄的途徑 輸出設(shè)備（移動設(shè)備）泄密移動存儲設(shè)備共用，導(dǎo)致非相關(guān)人員獲取資料將文件打印后帶出 Page 9信息外泄的途徑 客戶泄密客戶將公司提供的文件自用或者給了競爭對手 客戶處管理不善產(chǎn)生的泄密 員工收到文

4、件后將文件發(fā)送給其他人員產(chǎn)生的泄密 Page 10FireWall（外部安全)Page 11WaterWall( 內(nèi)部安全 )防火墻IDS( 入侵檢測系統(tǒng))病毒端口監(jiān)控資源安全管理針對外部攻擊的安全策略針對內(nèi)部信息安全策略弱點漏洞分析訪問控制 災(zāi)備系統(tǒng)狀態(tài)檢測文件加密管理網(wǎng)絡(luò)連接管理 網(wǎng)絡(luò)應(yīng)用管理 防火墻防止來自外部的黑客防水墻阻止內(nèi)部信息的泄密完整的企業(yè)信息安全平臺殺毒軟件 風(fēng)水學(xué)里有山管人丁水管財之說 防水墻就是防止財富泄露的銅墻鐵壁 防水墻是上海山麗有限公司的注冊商標(biāo) 防水墻是國內(nèi)安全軟件領(lǐng)域第一個獲得國家專利Page 12防水墻的誕生 加密1.0時代環(huán)境加密 硬盤引導(dǎo)區(qū)的加密，數(shù)據(jù)本身

5、不加密 全公司采用一個密鑰 可以采用引導(dǎo)區(qū)重建工具等破解 屬于安全軟件早期加密技術(shù)Page 13安全加密技術(shù)3.0時代的道路 加密2.0時代格式加密 采用驅(qū)動級別或者應(yīng)用程序級別的 hook技術(shù) 將程序特定進(jìn)程和后綴的文件進(jìn)行加密 目前國內(nèi)大部分公司采用的是這個技術(shù) 需要用戶頻繁升級和頻繁設(shè)置 給用戶帶來使 用上的不快和升級收費的陷阱 采用單個或人工干預(yù)的多個密鑰，安全性減弱Page 14安全加密技術(shù)3.0時代的道路 加密3.0時代多模加密 采用系統(tǒng)內(nèi)核級別的驅(qū)動技術(shù) 對稱加密和非對稱加密算法相結(jié)合 實現(xiàn)一文一密鑰安全系數(shù) 國際安全軟件領(lǐng)域代表潮流代表產(chǎn)品：Windows的 EFS、win7的

6、BitLock Adobe的PDFPage 15安全加密技術(shù)3.0時代的道路 指多場景和模式滿足客戶應(yīng)用全盤加密、格式加密、目錄加密 空加密、外設(shè)加密、網(wǎng)絡(luò)加密、特定加密、特定不加密 透明加密不影響不改變使用者習(xí)慣防水墻是現(xiàn)有安全軟件中多種模型設(shè)置最多的 Page 16防水墻之透明多模加密采用 加密（AES）算法與非對稱加密（RSA）算法 融合獨有環(huán)境指紋專利技術(shù) 防水墻是安全軟件中唯一做到一文一密鑰Page 17防水墻之一文一密鑰加密和系統(tǒng)平臺無關(guān)覆蓋數(shù)據(jù)庫和操作的全平臺加密和使用者使用軟件無關(guān)不改變工作習(xí)慣，不增加工作量國內(nèi)最早提倡和采用該項技術(shù)的安全軟件Page 18防水墻之和格式無關(guān)P

7、age 19真正的加密3.0就是防水墻加密方式和系統(tǒng)、軟件無關(guān)多模透明加密一文一密鑰Page 20第三部分 防水墻解決方案服務(wù)器滿足對所有客戶端的用戶創(chuàng)建、策略記錄，是用戶信息、策略信息的后臺運行平臺，其中含有和域控集成的單點登陸功能、災(zāi)備功能以及其他服務(wù)器運行的必須功能客戶端安裝在各個計算機(jī)終端的登錄模塊安全管理員查看管理員操作日志、用戶日志的平臺，有時候，也作為密文解密審批的平臺控制臺對用戶進(jìn)行管理的策略中心，通過該策略中心，實現(xiàn)對所有客戶端的管理；Page 21防水墻的系統(tǒng)構(gòu)成防水墻客戶端核心功能多模透明加密離線管理標(biāo)準(zhǔn)審批剪貼控制密文明送 格式無關(guān) 一文一密鑰 多種使用場景 控制外發(fā)文

8、件打開的口令、累計時間、次數(shù)和打印權(quán)限等 支持所有格式文件 對外發(fā)文件控制剪貼權(quán)限 對特定程序控制剪貼權(quán)限 對截屏和遠(yuǎn)程協(xié)助做控制 審批客戶端提出的申請 明文導(dǎo)出 、密文明送，郵箱白名單等12345 支持員工出差和回家辦公的情況下繼續(xù)操作文檔防水墻客戶端增配功能打印資料拷貝資料核心資料加密對電腦硬盤重要文檔加密保護(hù)打印管理外設(shè)管理未經(jīng)管理人員審核，無法打印表格、設(shè)計文檔等資料未經(jīng)管理人員審核，U盤等移動存儲介質(zhì)無法傳輸數(shù)據(jù)，Page 24向外分發(fā)信息1、信息保護(hù)用戶加密文件文件權(quán)限信息交互12、安全驗證 用戶操作認(rèn)證 證書和權(quán)限信息交互23、信息分發(fā)通過Internet, 郵件附件，ftp下載

9、，其他存儲設(shè)備34、信息訪問接收用戶認(rèn)證獲取證書和權(quán)限 授權(quán)離線操作，可緩存密鑰4身份驗證失敗無法下載權(quán)限信息禁止外部用戶訪問無訪問身份及訪問權(quán)限防水墻服務(wù)器防水墻客戶端防水墻客戶端外部用戶防水墻之工作流程Page 25防水墻之技術(shù)指標(biāo)指 標(biāo)指 標(biāo)最大工作站點數(shù)62500最大域服務(wù)器點數(shù)250架構(gòu)C/S最大并發(fā)認(rèn)證數(shù)62500最大并發(fā)文件連接數(shù)10000加密位數(shù)128/256位支持網(wǎng)絡(luò)類型局域網(wǎng)/廣域網(wǎng)/互聯(lián)網(wǎng)加密算法3DES-X/RSA/SM1文件訪問支持協(xié)議NetBIOS/HTTP/FTP支持平臺工作站 Windows 2000至windows7 64位；服務(wù)器 Windows serve

10、r 2003至2008內(nèi)核網(wǎng)絡(luò)協(xié)議TCP/IP加密算法3DES-X/RSA/SM1每秒加密字節(jié)數(shù) 30Mb每秒解密字節(jié)數(shù) 50Mb加密延遲 200ms解密延遲100ms系統(tǒng)負(fù)荷3%最長生存期 不受約束最短生存期不受約束時間合成算法不可逆主要技術(shù)及性能 指標(biāo)達(dá)到計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB 17859-1999第四級：結(jié)構(gòu)化保護(hù)級，第五級：訪問驗證保護(hù)級執(zhí)行的質(zhì)量標(biāo)準(zhǔn)中華人民共和國國家標(biāo)準(zhǔn) 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999Page 26磁盤文件（密文）文件過濾驅(qū)動密文密文證書自動加解密，對用戶透明應(yīng)用程序（明文）讀/寫數(shù)據(jù)請求讀/寫數(shù)據(jù)請求讀/寫數(shù)據(jù)響應(yīng)讀

11、/寫數(shù)據(jù)響應(yīng)防水墻系統(tǒng)客戶端功能之多模加密高安全性密鑰本身也是密文，密鑰是隨機(jī)的客戶端與服務(wù)器，及服務(wù)器間的通訊報文經(jīng)過加密處理高效率手動加密：避免復(fù)雜的人工密鑰管理自動加密：文件自動被透明加密高透明自動加解密，對使用者完全透明不改變操作習(xí)慣，不增加工作量Page 27 用戶ID 文檔ID 加密文件 終端MAC終端綁定文檔權(quán)限、密鑰和文件ID與用戶終端綁定 本地身份與權(quán)限驗證無需連接服務(wù)器在離線端新產(chǎn)生的加密文件接受以腳色為對象的權(quán)限設(shè)置，完全不同于一般的加密軟件WVS支持離線文檔權(quán)限控制，滿足出差用戶或網(wǎng)絡(luò)中斷等無法與服務(wù)器通信時的文檔權(quán)限管理，兼顧業(yè)務(wù)與安全性。防水墻系統(tǒng)客戶端功能之離線文

12、檔Page 28防水墻系統(tǒng)安全管理員功能之日志審計Page 29賬號管理部門管理第三方賬號同步用戶漫游跨系統(tǒng)授權(quán)用戶管理支持添加、刪除、修改、查詢和瀏覽賬號信息支持查詢、創(chuàng)建、修改和刪除部門信息支持用戶角色管理支持本地賬號口令修改;強(qiáng)密碼口令強(qiáng)度AD/ED部門和賬號信息同步，和AD域結(jié)合支持動態(tài)和靜態(tài)兩種模式系統(tǒng)管理員配置操作也將會被審計賬號、部門管理角色管理防水墻系統(tǒng)控制臺功能之用戶管理防水墻系統(tǒng)控制臺功能之用戶管理Page 30防水墻管理中心Core network防水墻服務(wù)器- 管理中心系統(tǒng)管理員- 管理中心安全管理員防水墻管理節(jié)點防水墻客戶端- 防水墻服務(wù)器系統(tǒng)管理員- 防水墻服務(wù)器安

13、全管理員- 普通用戶 山麗防水墻可以支持對所有文件的加解密并提供有客戶端 多種加密方式滿足現(xiàn)在和將來文件加密解密需求 因為文檔格式發(fā)生變化需要的二次開發(fā)才能加密的，不收取任何費用（該條不受合同時間的約束）Page 31防水墻之特征More一文一密鑰結(jié)合環(huán)境指紋專利加密密鑰動態(tài)變化防止被破解 文件安全大大提高Page 32防水墻之特證Highest支持 windows操作系統(tǒng) 支持 win2000到 win7的所有系統(tǒng)支持 winxp到 win7的所有 64位系統(tǒng)支持 win2003到 win2008的所有服務(wù)端系統(tǒng)支持mySQL數(shù)據(jù)庫和Oracle數(shù)據(jù)庫Page 33防水墻之特證Forcefu

14、l能和域控等第三方系統(tǒng)完美融合 防水墻系統(tǒng)客戶端登陸方式支持多種類型支持和域控的動態(tài)結(jié)合Page 34防水墻之特證Ordinary生詞本 中頻詞，你記住了嗎？和用戶的應(yīng)用系統(tǒng)無關(guān)控制臺自由設(shè)置用戶（組）上傳到各種應(yīng)用系統(tǒng)（包括內(nèi)部網(wǎng)絡(luò)的 mail系統(tǒng)）文件的密文和明文之間的變化增加操作的便捷性不會對對網(wǎng)絡(luò)結(jié)構(gòu)做任何的變更不會增加用戶的實施難度不會增加單點故障 Page 35防水墻之特證Handy和用戶應(yīng)用系統(tǒng)(ERP、OA、HR、PDM財務(wù)管理系統(tǒng))等的集成方案多種，方式靈活、操作簡單TPM解決方案(無需更改網(wǎng)絡(luò)結(jié)構(gòu) 安全網(wǎng)關(guān)解決方案 需要更改網(wǎng)絡(luò)結(jié)構(gòu) 開放系統(tǒng)接口，實現(xiàn)融合時二次開發(fā)無需更改

15、網(wǎng)絡(luò)結(jié)構(gòu) Page 36防水墻之特證Flawless防水墻加密系統(tǒng)功能模塊完善管理平臺簡易，適合全方位信息安全管理 防水墻具有 46余種模塊，可以滿足多途徑信息安全管理目前國內(nèi)最全面的信息安全管理平臺Page 37防水墻之特證PerfectPage 38第四部分 防水墻應(yīng)用場景Page 39企業(yè)內(nèi)外網(wǎng)結(jié)構(gòu) 方案一 上傳解密、下載加密 沒有啟動加密軟件無法登陸使用應(yīng)用系統(tǒng) 功能模塊： TPM可信程序管理模塊和硬件安全網(wǎng)關(guān) 方案二上傳保持密文、下載也是密文 沒有啟動加密軟件可以登陸使用應(yīng)用系統(tǒng)，但無法查看功能模塊： 透明加密解密模塊Page 40對OAERPCRM業(yè)務(wù)系統(tǒng)的保護(hù)通過 QQ發(fā)送出去的文件仍然保持密文狀態(tài)對 QQ的截屏功能，遠(yuǎn)程協(xié)助功能進(jìn)行管控 禁止QQ等對外遠(yuǎn)程通訊Page 41對QQIM即時通訊管理的保護(hù) 方案一預(yù)先申請郵箱作為永久明文郵箱發(fā)送給這些郵箱的密文將全部自動解密 方案二預(yù)先對用戶定密級，對申請的永久郵箱定密級發(fā)送對應(yīng)密級的文件給對應(yīng)密級的郵箱密文將全部自動解密 方案三郵件外發(fā)申請，用戶可對特定的文件進(jìn)行申請當(dāng)申請通過后，發(fā)送出去的文件也將自動解密 Page 42對郵件的保護(hù) 方案一空加密：只限于高管人員的空加密 方案二目錄加密：對指定路徑目錄進(jìn)行加密 實現(xiàn)效果自己的文件不加密，但其他