信息安全解决方案
目 录
随着信息网络技术的应用层次不断深入,大量的技术和业务机密存储在计算机和网络中,对网络安全性要求变得越来越高,需要有效地制定安全策略以保护机密数据信息。而事实上,随着企业信息化进程的加速,内部泄密正在成为企业内部数据安全的最大威胁之一。FBI和CSI 调查显示,超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。在国内,诸如设计方案被窃取、关键客户名单和销售数据丢失等事件屡见不鲜,给企业造成了非常大的经济损失。
信息安全管理软件是技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用建设安全的计算机网络系统,并配备适当的安全产品的方法来实现。保证网络自身安全和业务安全,首先要有一个可靠的网络,其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋复杂,单凭网络管理员的学识和经验进行网络管理和安全管理,已经不能适应了。因此,我们必须借助一些防泄密的专业软件,才能确保内网信息的保密性、完整性、可用性、可控性。
高安全性
绿盾密钥由三部分组成:由绿盾为每个客户提供的全球唯一的主密钥、企业可以随时修改的企业密钥、每个文件不同的文件密钥组成。
主密钥保证了,不同的绿盾客户,即使企业密钥相同,也仍然无法阅读其他企业的文档。
支持多网段、跨VLAN和VPN
兼容多种流行的杀毒软件
绿盾兼容了国内外近20种杀毒软件,包括“诺顿、卡巴斯基(Kaspersky)、McAfee、瑞星、江民、金山毒霸、360安全卫士、Nod32、趋势等。
完全透明的文件自动、实时加密
终端操作员在打开文件时,绿盾根据权限,自动解密;终端操作员在新建文件、编辑文件时,绿盾自动加密存储。保证存放在硬盘上的为密文,无需用户干预。这些加密过的文件,无论通过何种方式(邮件、网上邻居、U盘拷贝、聊天工具传输),泄漏出去的文件均无法打开。
强大的管理功能
管理人员可对大到每个工作组或小到个别终端加密功能及管理策略进行订制,所有的配置操作均可在控制台实时完成。
移动加密解决方案
即使出差或工作需要外带笔记本暂时离开企业环境,可通过离线授权及设定资料正常使用时间及自动销毁时间.而使重要数据一直处于加密状态,避免外出时有意或无意的传播.
解密认证
员工端需要将文件正常外带时,需经服务端认证后方能解密.并所有加解密操作日志均被保存在服务器上,方便日后统一审计及查看.
内核级文件加密
绿盾采用文件过滤驱动技术,工作于操作系统内核。加解密速度快,难以被破解。
全面内网管理
绿盾从产品模块上分,包括屏幕监控模块、聊天内容监控模块、应用程序管理模块、ARP防火墙、资产管理、文件加解密。
其他
兼容性:良好的平台兼容性,支持Windows2000、Windows Xp、Windows 2003、Windows Vista、Windows 7等多种操作系统;
操作性: 简单,容易上手,管理员查看记录一目了然;
灵活性: 不改变用户的操作习惯,不需用任何第三方的查看工具,可定制开发各类文件类型的加密;
安全性: 可以随时更改企业密钥;
实时性:终端操作行为实时上传,即时查看,终端策略一旦更改,即时生效。
Pentium4 2.0 以上CPU
Windows 2000/XP/2003/Vista/7
至少512M内存
至少80G硬盘
Pentium3 800 以上CPU
Windows 2000/XP/2003/Vista/7
至少256M内存
至少1G硬盘
Pentium4 1.0 以上CPU
Windows 2000/XP/2003/Vista/7
如果需要屏幕监控,至少512M内存;否则至少256M内存
如果需要屏幕录像,至少10G硬盘;否则至少1G硬盘
考虑到带宽问题,目前有2种方案可供选择:1.安装一套软件统一管理;2.各分部分别安装一套软件,使用相同密钥,分开管理。
该方案的优点是整个公司可以统一管理,主服务器安装在总部,各分部分别安装一个数据采集服务器,负责本分部的数据存储,这样分部内终端的数据只需传输到本地局域网内的数据采集服务器即可,只有在控制台需要查询相关记录时,才会从分部的数据采集服务器调用数据,这样就大大减少了对互联网带宽的占用。采用统一管理便于管理员直接管理整个公司,并且省去了登录不同服务器的麻烦。企业所有的安全策略都由超级管理员制定,形成公司管理上的一致性。
各部门之间可以通过分组来管理,每个分组之间可以实现数据共享或不共享,分组内部可以设置一到两个管理员来管理分组内部的相关策略(如外发、解密、离线等)。
当然,超级管理员的责任相对应的也比较大,所以,绿盾信息安全管理提供帐号与USBKey绑定,管理员必须同时输入用户名、密码和USBKey才能登录系统,而且系统会自动实时检测。企业可以由一个人管理用户名和密码,一个人管理USBKey,两个管理员之间可以互相牵制,确保每一次制定的安全策略的合法性(详细查看3.3权限方案)。
公司现有的网络状况如下:
如上图所示,公司分为3个分部,各分部之间通过DDN连接,我们在总部安装主服务器,两个分部分别安装一个数据采集服务器,负责本分部的数据存储,数据采集服务器都指向主服务器,管理员需要在控制台上调用分部的数据时,就会从相应的数据采集服务器获取。以下为各分部局域网环境下的基本部署示意图:
该方案优点是企业每个分部内部都设立一台服务器。各分部的密钥设置成一样,使各分部的文件可以互相访问。分部内部的管理都由内部指定人员管理。缺点是不能在一个界面上统一管理,每个分部都必须培养一名对系统非常了解的管理员。
绿盾对机密文件进行保护时,系统在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护,并对机密文件的使用过程进行全程监控,有效防止了被动和主动泄密,消除内部安全隐患于无形之中。
防止单位内部机密电子信息泄露;
防止单位内部不同部门越权使用文档;
可追查信息泄露的渠道;
普遍适用于各种格式的电子文档;
从根本上解决了文档的二次传播,有力保障企业信息安全;
有效管理、监控局域网内电脑,提升办公效率
在服务器上安装绿盾服务端,然后在文件服务器和需要使用共享文件的电脑上安装绿盾终端。在绿盾服务端上创建若干终端帐户,绿盾终端使用这些帐户登录;也可以让服务端自动生成终端操作员并让终端强制自动登录。
只有安装了绿盾终端的电脑在登录帐户后才可以使用或查看加密的文件,离开局域网后使用或查看加密文件需要得到服务端的解密或者授权才可以。安装绿盾终端后,终端电脑上的文件在创建、存储、应用、传输等环节中均以加密形式存在,可以杜绝黑客工具的窃取和监听,防止磁盘介质丢失导致的资料外泄等。
绿盾信息安全管理软件采用三重密钥方式,确保企业信息安全,对于脱离了企业的加密文件,安全性由加密算法和密钥来保证。算法本身比较容易获悉(一般都采用国际流行的安全性高的通用算法),所以安全性完全依赖于密钥。需要解决如下三个问题:
(1)要保证不能搭建出两套一样的软件环境
(2)要保证厂家获取到密文,也无法解密
(3)如果密钥泄露,要有补救措施
绿盾信息安全管理系统提供了主密钥、企业密钥和文件密钥三重密钥来解决以上问题。
主密钥:系统生成全球唯一识别的主密钥,就算搭建两套一样的软件环境主密钥也不可能一样,所以确保企业数据在其它同样的系统里也打不开。
企业密钥:由用户自己设置,用户可以随时修改,正式版用户必须要使用USB Key才能修改,试用用户只能设置一次。确保企业数据就算通过不合法渠道被研发企业的研发人员获取也无法解密。
文件密钥:用于对不同的文件进行设置密码,从而实现不同分组的生成的文件可以按组别来做权限设置。
同时,绿盾信息安全管理系统还提供密钥的导入和导出功能,如果用户需要重新装系统的话,只需将最后一次导出的密钥重新导入就可以正常使用了。
注:每次设置密钥都必须导出密钥,如果忘记导出的话,当系统需要重新安装时则可能出现部分文件无法正常打开。
主密钥
企业密钥
文件密钥
绿盾信息安全管理软件分两套权限机制,一套机制是用于管理企业安全策略和终端操作员权限的(如超级管理员Admin),这类管理员只能登陆绿盾信息安全管理软件的控制台,另一套机制是用于管理终端文件的解密、外发、离线的,也可以称之为终端操作员,终端操作员中可以分为有受理权限管理员(下称终端管理员)和一般操作员(下称终端操作员),这类操作员只能登录客户端。这两机制是相对独立的。
在同一套绿盾保护下的操作员,默认情况下,文档可以自由流通。也可以根据需要,设置不同分组、或者不同操作员的文档阅读权限。即可以授权终端操作员使用哪些部门或者哪些操作员的文档。规定权限内的文档,可以自由打开阅读,其他的文档,即使获取到,也无法打开。
所有的软件都会有一个超级管理员,超级管理员只是用于管理企业安全策略和权限分配的,它并没有查看、受理申请文件等权限,也就是超级管理员并没有文件解密和受理申请等权限,除非超级管理员对终端操作员进行权限,为了尽量避免这种情况发生,企业可以将用户名和密码由企业IT相关负责,USBKey由行政部门或高层管理员负责,当需要更改新的安全策略或权限分配时,必须两方人员都在一起只才能修改,同样所做的修改系统都会以日志形式存放在服务器上,便于事后跟踪和追查。
其实终端管理员和终端操作员是基本是一样的,只是终端管理员有受理终端操作员申请的权限,一般情况下,每个分组(部门)可以设一到两个人做为该部门的终端管理员,该分组下属的终端操作员只能向该分组的终端管理员进行申请操作。注意:操作员不能受理自己的申请。
普通终端操作员一般只有阅读文档权限。阅读文档权限允许操作员在终端阅读和编辑文档。
可以根据实际需要在不同组或终端赋予操作员不同的操作权限。操作方法:选择本地网络或者某一组或者某一终端后,赋予权限;选择其他组或终端并重复以上操作,就可以赋予其他组或终端相应的权限。
共享服务器数据阅读权限可以根据不同的操作员分组来阅读不同的文件,例如:张三可以阅读业务部和采购部的文档。不允许阅读财务部的文档。
如有内部文件需要直接外发,可在终端直接在线向拥有解密权限的管理员(如部门负责人、经理等)申请解密该文件。解密申请获得批准后即可下载解密后的文件到本机,并根据实际需要发送给企业外部客户,解密出来的文件与没有加密之前是一样的,对方可以编辑该文件。可以选择制作有读取权限限制(包括打开次数、打开时间、打开密码等限制)的文件,该文件只能查看,不能编辑和打印,防止外发文件的越权操作,防止外发文档二次扩散,确保信息安全。
注:如果终端操作员具有批量解密权限,也可以自己解密。
短期离线方案:直接在服务器上设置允许脱机时间,离线后仍可以阅读文档。主要应用于突发性的事件或经常性发生的事件,如终端突然与服务器失去联系或者高级管理人员的笔记本电脑每天下班后需要离开局域网阅读加密文档;
中长期离线方案(如出差):可以使用绿盾的离线策略。离线策略需要向管理员申请,获得批准后导入即可。且离线策略可以灵活设定离线使用天数,这样在方便员工外部办公的同时也有效地保证了文档的安全。
绑定USBKey:指终端操作员登录时,是否需要插入指定的USBKey作为身份识别。其中“实时检测USBKey”是指,终端操作员登录后,USBKey不能拔出,否则将不再加解密文档,无法使用局域网内文件;
只能在指定的终端上登录:指此操作员只能在指定的终端电脑上登录。注意:每个终端电脑的识别依赖与终端电脑的硬件标识,终端电脑硬件发生变化时,有可能会重新生成新的终端电脑节点,此时需要重新绑定操作员,否则将导致终端操作无法登录;
在指定终端上自动登录:指电脑启动时,终端自动使用绑定的账号登录,如果每个操作员都有固定的电脑的话,可以采用这种方案,这样可以减少操作员的工作流程;
域用户登录自动登录:当该用户名的域用户登录后,系统根据该用户名自动登录,只有通过域用户管理的用户才能使用该功能。
为了防止员工无意或恶意删除数据,绿盾信息安全管理系统提供了文件份功能,具体备份数量可以根据客户需求定义(默认5个),也可以设置需要自动备份的文件。这些类型的文件在新建时、或者编辑后会自动上传到服务器进行保存。如果有修改,一个文件一天只算一个备份,备份文件可以很方便的在控制台上检索并导出。
选择“文件加密”列表的“特殊目录设置”按钮,就可以进入“设置不需要加密的文件或目录”对话框进行设置。在设置界面的用户列表选择本地网络或者某一组或者某一终端,然后点击“添加”,添加完不需要加密的文件或目录名后点确定并保存设置,就可以保存被过滤的文件或目录。
当系统提供了短期离线政策,默认为半个小时,用户可以根据实际情况设置时间,当终端与服务器不能通讯的情况下(如服务器停电、网络故障、服务器操作系统故障等),终端在该政策时间内是可以正常使用的。
当服务器的系统需要重新安装时,为了方便用户更快的配置好绿盾信息安全管理系统,系统服务端提供了配置信息的备份和恢复功能,只要每次用户配置完系统都有备份,重新安装就可以快速地还原成原来的配置情况。
当然企业密钥也是要导入的,前面3.2章已经讲过,这里就不详细说明了。
为了更好地解决企业信息的安全,绿盾信息安全管理系统提供了许多辅助的功能,进一步确保企业信息的安全以及事后追查和监督作用。
用户可以根据企业需求设置剪切板是否控制,为了不影响用户使用习惯,可信程序之间或不可信到可信程序时是不受这方面限制的,也可以设置剪切板的长度,在这种长度范围下,可信程序复制到不可信的程序时也是不受限制的,只能在超过这个范围后复制的内容才加密(也就是复制内容为乱码)。
可信程序:可信程序是绿盾信息安全管理系统设置的用来透明加解密的程序,如OFFICE、CAD等程序为绿盾默认的可信程序。
不可信程序:是绿盾信息安全管理系统设置的不能用来透明加解密的程序,如QQ、OUTLOOK等程序为绿盾默认的不可信程序。
为了防止用户使用截屏功能将企业的重要数据截取到外部,绿盾信息安全系统提供了禁止截屏功能(包括截屏键和第三方软件),当然也可以不禁止。
为了防止用户采用不正常手段将文件解密后复制到企业外部,系统还可以设置禁止USB、光驱、软驱等存储介质,为了不影响使用USB的其它设备,也可以对USB设置为只读,这样即可以限制数据外流,也可以不影响其它USB设备的正常使用。
为了防止用户将重要数据打印后带出去,可以设置指定的用户才能打印权限,同时记录下该用户打印文件名、打印时间、打印页数等信息。
系统提供了实时日志、屏幕快照、屏幕追踪、远程进程、服务管理器、软件清单、正在聊天、正在游戏、正在上网、正在炒股等功能,方便管理者了解终端的工作情况。
4.3系统提供了实时日志、屏幕快照、屏幕追踪、远程进程、服务管理器、软件清单、正在聊天、正在游戏、正在上网、正在炒股等功能,方便管理者了解终端的工作情况。
系统支持腾讯QQ、Windows Live、Skype、雅虎通、贸易通、AOL、Google、新浪UC、E话通、ICQ、淘宝旺旺等11种聊天工具的监控,可以监控到具体聊天内容,方便事后追查。
系统提供了窗口标题日志、程序开关日志、屏幕回放、操作员登录、报警日志、程序使用统计、软硬件配置、硬件改变日志、软件改变日志、打印机日志等,方便管理者了解终端使用电脑做了些什么和事后追查。
系统提供了应用程序限制、硬件设备限制、ARP防火墙、时间定义、报警规则等功能,管理可以限制终端如何合理地使用计算机,提高工作效率。
系统管理员通过控制台为每个终端操作员定制安全策略;
终端启动时将从服务器获取对应的安全策略和密钥,安全策略保护范围之内的文件被存储时,客户端将自动对其进行加密(而不论其打开时是明文还是密文),被合法进程读取时,客户端将自动对其解密;
在机密文件使用过程中,终端将对操作员的所有操作行为进行全程监控;
系统具有强大的自我防护功能,任何恶意终止、退出或卸载客户端程序的行为都将是徒劳;
企业密钥可根据企业需要进行更改(需要软件狗支持)
服务端用于存储系统的各项数据,并处理来自于客户端的各项验证,避免客户端可以随意安装和使用。
服务端程序需要运行在基本不关机的服务器电脑上。用于管理主密钥、企业密钥及各种策略;用于存储终端的屏幕录像数据、实时程序窗口切换记录、文件操作记录、聊天内容等。服务端程序支持扩容,支持海量数据存储。
主要作用包括如下:
管理加密密钥,包括每个企业全球唯一的主密钥、支持定期更换的企业密钥等。
进行软件注册。
终端操作员身份验证等。
存储系统配置信息。
海量存储系统运营数据。
提供控制台接入。
控制台通过网络与系统管理中心联接,对系统管理中心进行在线配置和管理。只有持有管理员密钥的用户才能登录控制台。
控制台程序运行在管理员电脑上。是系统的管理配置界面。
主要功能包括:
实时监视终端操作行为。
配置终端策略。
查看历史记录。
查询统计信息。
安装在需要保护机密文件或者是需要阅读加密文件的主机上。安装前,系统管理员必须通过控制台为终端分配一个操作员帐号。
安装成功以后,终端会随操作系统的启动而自动启动,每次启动时,终端会从服务器获取最新的安全策略及系统密钥,所有策略范围内的文件都会被自动加密,并且在使用过程中被全程监控,并生成操作日志,留待日志审计员事后追踪责任人。终端主机只有在与管理中心联机的状态下或者在离线策略(包括短期离线策略和长期离线策略两种)允许下,才能正常启动终端。
综上所述,加密软件本身只考虑加密的话是非常安全的,但在实际应用过程中又不能把所有的出口都封闭,所以在实际应用过程中需要企业去权衡,通过个性化设置和不同的权限结合企业内部的管理制度去管理,在做到保持工作效率的情况下实现企业数据的安全。
确保顾客的满意,是我们一贯的服务宗旨。 将为本区的客户提供更多、更细致、更多种方式的专业化、多维化、人性化的服务。您只需一个电话,我们将第一时间响应您的需求,解决您所面临的问题,让您用得放心、省心。
