8、安全管理系統(tǒng)bd-fsp技術(shù)特點

BD-FSP技術(shù)特點BD-FSP高級企業(yè)版是天海威公司針對集團化企業(yè)的復雜權(quán)限要求，耗時8個月開發(fā)的第二代驅(qū)動加密產(chǎn)品。在第一代產(chǎn)品（BD-FSP標準企業(yè)版）的基礎(chǔ)上，大膽地對整個加密文件結(jié)構(gòu)，驅(qū)動實現(xiàn)方式上做了全面的重構(gòu)，使得高級企業(yè)版的安全性更高、穩(wěn)定性更好、功能更加強大，在總體上已經(jīng)接近國外同類驅(qū)動加密產(chǎn)品，并在管理模式上更加符合中國企業(yè)的加密需求。藍盾企業(yè)文件加密系統(tǒng)BD-FSP，無論從底層技術(shù)的運用上，還是軟件的擴展性和柔韌性上，都已經(jīng)走在了中國企業(yè)文件加密軟件的最前面。并在對中國企業(yè)管理的符合度上，優(yōu)于國外同類產(chǎn)品。與國內(nèi)同類產(chǎn)品相比，BD-FSP具有以下明顯的特色和優(yōu)勢：基于windows內(nèi)核驅(qū)動的高效加解密技術(shù)BD-FSP對系統(tǒng)緩存進行了大量的優(yōu)化，同時采用獨有的3層過濾判斷的技術(shù)，將系統(tǒng)的資源進行了最優(yōu)化，使加密文件的打開和保存速度大幅度提高。實際測試結(jié)果證明，使用BD-FSP透明打開或保存大于100M的加密文件，時間延遲不超過2秒。更高的安全性多密鑰技術(shù)：BD-FSP為每個組、每個用戶都分配一個獨立的密鑰，對每個文件的加密都生成一個隨機密鑰，因此加密文件被批量破解的幾率幾乎為零。全程加密技術(shù)：BD-FSP采用“新建與覆蓋加密”方式，保證文件從創(chuàng)建即被加密，不會在保存文件的過程中，在硬盤上遺留任何未加密文件。內(nèi)存保護技術(shù)：保證內(nèi)存讀取軟件無法從緩存中獲取任何明文內(nèi)容。程序指紋技術(shù)：采集需要受控的程序的指紋作為唯一識別碼，即使將受控的進程名進行修改（如將winword,exe改為1.exe），保存出來的文件仍然被強制加密。同樣的，將其他程序名冒充為合法程序的方式也會被禁止（如將QQ.exe改名為winword.exe）。特有的分組分級授權(quán)管理分組權(quán)限為不同的分支機構(gòu)或部門（以下成為“組”）分配不同的密鑰，可以實現(xiàn)不同組的相對獨立，加密文件不可交換。也可以在同一個部門下設(shè)立多個繼承組，繼承組之間可以實現(xiàn)加密文件的共享。一個用戶可以屬于多個組，如設(shè)計部和項目部，兩個組之間采用不同的密鑰，通過組身份的切換來工作，以滿足項目管理的文件安全需要。“不加密組”：允許特權(quán)用戶在不加密狀態(tài)下進行工作，只有查看加密文件時，才切換身份到響應(yīng)的組。“特權(quán)組”：允許特權(quán)用戶的存在，可以通過郵件外發(fā)解密、QQ外發(fā)解密、U盤讀寫解密、保存到指定文件夾解密等特殊權(quán)限?！半x職員工組”：限制離職員工對文件的讀寫操作，防止惡意修改和刪除。分級權(quán)限領(lǐng)導可以查看所有下級員工的文件，但是下級員工不能查看領(lǐng)導的文件。處于高級別的解密員，可以解密所有低級組別的加密文件。完全開放的策略庫，且功能強大的策略自定義功能開放的策略庫用戶可以根據(jù)需要，自行添加擴展需要加密監(jiān)控的應(yīng)用程序和文件類型，無需二次開發(fā)即可對所有程序和文件類型進行加密?？梢詫ξ募募咏饷軙r機進行選擇控制（如創(chuàng)建、打開、修改、覆蓋、重命名、關(guān)閉文件等加密時機）。可以對文件的拒絕操作時機進行選擇控制（如拒絕打開、拒絕修改、拒絕覆蓋、拒絕重命名、拒絕刪除等）可以針對原文件為明文或密文時，分別進行控制可以對單個的應(yīng)用程序的截屏、打印等操作進行單獨控制，也可以對所有應(yīng)用程序進行統(tǒng)一控制?？梢詫Ρ镜卮疟P、網(wǎng)絡(luò)磁盤、移動存儲介質(zhì)、光盤存儲、文件夾等分別進行策略控制可以對策略執(zhí)行的優(yōu)先級（執(zhí)行順序）進行設(shè)定更復雜的策略需求，可以通過腳本來進行更細化的設(shè)置。圖13腳本方式詳細設(shè)置加密權(quán)限獨有的管理策略通過加解密及拒絕時機的設(shè)置，可以配置出更多的管理策略，如：離職策略：禁止離職員工對已加密文件或指定類型的文件進行閱讀、修改或刪除領(lǐng)導策略：允許領(lǐng)導打開加密的文件，并保存為不加密文件允許領(lǐng)導將加密的文件拷貝到U盤時自動解密允許領(lǐng)導通過QQ或Outlook等工具外發(fā)加密文件時自動解密允許領(lǐng)導將加密文件刻錄到CD時自動解密允許拷貝到領(lǐng)導計算機的文件自動解密允許領(lǐng)導進行文件解密等等。集中管理策略：設(shè)定文件只能保存到指定計算機，而不允許保存在本地磁盤。機密文件保護策略設(shè)定指定文件夾或指定計算機的文件只能閱讀，不能修改、重命名和刪除。非法程序禁止策略設(shè)定禁止運行指定的應(yīng)用程序（如QQ等）U盤控制策略設(shè)定禁止U盤的使用，或者只能從U盤拷貝文件，禁止拷貝到U盤OA集成策略所有從OA上下載的文件均會自動被加密禁止從OA中復制內(nèi)容到非法程序中加密控制強度策略較嚴格加密模式：無論任何軟件保存產(chǎn)生的指定類型的文件（如：*.doc），都會被強制加密。最嚴格加密模式：除了“較嚴格加密模式”中提到的要求外，還要求文件在被閱讀一次后，就能被自動加密。文件控制策略：指定用戶通過QQ外發(fā)時，接收者可以接收到明文內(nèi)容指定用戶通過郵件外發(fā)時，接收這可以接收到明文內(nèi)容指定用戶通過外發(fā)打包工具進行外發(fā)時，可以進行文件讀寫權(quán)限的控制。真正對互聯(lián)網(wǎng)認證機制的支持BD-FSP的加密客戶端不但可以支持遠程連接加密認證服務(wù)器，而且可以通過互聯(lián)網(wǎng)實現(xiàn)對一個分部的同一IP、不同用戶的分別獨立的加密管理。圖14基于互聯(lián)網(wǎng)的遠程安全認證專有的文件防損毀機制為了防止文件的破壞（損毀），BD-FSP采用了專有的文件鏡像保護機制，原理類似于微軟的文件保護機制，只有確認被正確加密成功后，才會將原文件進行刪除，從而確保文件不會在外界干擾下保存時可能導致的損壞。文件解密審批流程文件外發(fā)時，需要向解密審批人提出申請并發(fā)送需要外發(fā)的加密文件，審批者在確認文件可以外發(fā)后，發(fā)送解密文件給申請人，自動