神州数码易安-文件保密系统技术白皮书
本文阐述神州数码易安-文件保密系统的技术要领及功能,如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员,您可以从本文中得到技术上的参考和帮助。
神州数码Digital China拥有所有版权。
一、神州数码易安-文件保密系统实现原理
I、原理图
II、神州数码易安-文件保密系统原理
(1)实现原理
通过“神州数码易安-文件保密系统”加载到Windows的内核,我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程,从而对非法访问进行控
制,并对敏感的数据进行实时的加密。
(2)安全性
神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统,当安装了神州数码易安-文件保密系统后,用户无法看到神州数码易安-文件保密系统在运行,但用户的任何动作,如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。
用户试图关闭神州数码易安-文件保密系统是不可能的,就象Windows运行时您不可能关闭Windows内核一样,除非您关闭计算机。
(3)稳定性
神州数码易安-文件保密系统的实现采用了32位(并可以支持64位系统)软件代码,并在Windows内核执行前实现监控并触发少量必要的加密动作,因此,该系统在运行时,并不损耗系统资源,且能“安静而忠诚”的工作着。
只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。
安装完神州数码易安-文件保密系统后,对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。
III、实时强制加密
神州数码易安-文件保密系统采用的加密方式为实时加密。
即操作人员在文件写入或修改完成时,易安-文件保密系统会实时对文件进行加密,确保文件的安全性。
神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。
即对于客户的特殊要求,例如,对不同的客户端的加密应用程序有不同的要求(有的客户端控制Office 应用程序所产生的文件,而有的客户端则控制AutoCAD应用程序所产生的文件),我们可以根据客户的不同需求,通过不同的加密策略的配置来达到客户要求的控制效果
即使不同企业都采用神州数码易安-文件保密系统,不同的企业也不能打开其它企业的图文档。
因为易安-文件保密系统是通过软件加硬件的方式进行加密,不同的硬件网络有不同的加密格式。
图文档一旦离开了本公司的办公网络就会失效。
二、神州数码易安-文件保密系统功能简介
神州数码易安-文件保密系统是综合利用密码、访问控制及加密及审计等技术手段,对机密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护的软件系统。
神州数码易安-文件保密系统能最大限度地防止敏感信息的泄漏、被破坏的违规外传、并完整记录涉及敏感信息的操作日志以便审计。
I、机密文件防外泄
防止机密外泄是易安-文件保密系统最重要的功能。
文件外泄主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。
神州数码易安-文件保密系统针对这三种泄密途径做了全面的防护,可以根据实际情况选择启用或禁用,同时还可以记录日志以备事后追踪。
神州数码易安-文件保密系统在用户对机密文件读写时自动对文件进行加密,用户即使拷走文件,也无法在企业外部打开该文件。
II、文件安全服务
文件安全服务提供了对敏感文件和安全防护,采用了不对称RSA算法,确保用户只能在授权的计算机上才能打开机密文件,这些机密文件一旦离开指定的计算机,文件将无法打开。
III、周密的监控保护体系
集中配置和管理。
系统使企业内部的个人计算机系统集中在易安-文件保密系统的管理之下,集中配置管理安全策略。
神州数码易安-文件保密系统使用服务器多层结构,并能支持internet进行使用和管理,真正实现了分布式防护、集中式分级管理功能。
IV、系统组成功能
神州数码易安-文件保密系统壁系统由易安-文件保密系统服务器,易安-文件保密系统客户端两部分构成。
(1)神州数码易安-文件保密系统服务器
神州数码易安-文件保密系统使用后台数据库(如SQL Server),具本功能如下所述:✓存储系统组织结构,用户信息和系统工作配置参数
✓保存客户端用户信息,加密[密钥
✓存储策略,并接收控制台的指令向客户端下发策略
✓存储客户端上传的日志信息
✓参数设置,包括服务器的工作参数
✓用户管理,包括添加、删除、修改用户、每个用户都有自己的授权的工作范围和管理权限
✓安全工作域结构管理。
包含创建多层组织结构以及添加、删除系统组织结构等功能
✓密钥管理中心生成、导入和导出客户端的密钥对
✓客户端的添加、安装和卸载
✓客户端策略的配置和下发
✓监测曰志的查看。
分析和审计
✓客户端黑匣子的导入、审计和分析
(2)神州数码易安-文件保密系统客户端
易安-文件保密系统客户端是安装于受监控主机上的软件系统,一经安装无法在本
地卸载、只能通过服务器远程卸载。
客户端主要功能如下:
✓在服务器端注册本机硬件地址
✓接收服务器下发的工作策略,并按照该策略控制客户端的工作模式
✓信息泄露防护,该模块包括:文件读写操作、网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护
✓运行监测,实时记录文件的删除、重命名、进程。
服务、驱动、用户和组的变化情况
✓资源获取,接受服务器的指令,上传系统的软件硬件信息
✓文件安全服务加密目标文件,指定密文发送范围并将加密曰志上传到服务器。
解密授权密文,同时向服务器发送文件解密曰志
✓通过服务器进行身份认证
IV、神州数码易安-文件保密系统拓扑图
三、神州数码易安-文件保密系统适用范围
I、制造企业
随着公司规模扩大,企业信息化建设也逐渐覆盖各个部门。
长期以来,由于个人桌面系统的数量众多,覆盖面大,内部办公人员的电脑使用状况及技术背景相差较大,缺乏统一管理与监控的有效途径。
企业内部都拥有大量需要保护的涉密信息,如产品开发资料,公司财务信息,市场策略等等,因此需要严格控制这些桌面系统失泄密的源途及途径,并对内部办公人员电脑使用状况进行有限的管理。
神州数码易安-文件保密系统能最大限度地防止敏感信息的泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。
神州数码易安-文件保密系统部署简单、功能强大,性能优越,管理范围全面,可为企业提供信息安全的保障,阻止公司的信息外泄事件,使公司的管理制度更加严谨,更加完善,解决公司最大的、最头痛的一件事情。
II、军政部门
军政部门内部网络中有大量需要保护的涉密信息,这些重要信息一旦被泄漏出去,将使国家遭受不可估量的损失。
神州数码易安-文件保密系统产品安全性较好,产品解决方案能很好的、很方便的解决军政部门困惑已久的保密信息安全问题。
金融机构:
许多敏感信息需要严格控制,防止商业秘密泄露的文档(融资投资信息、董事会
决议、大客户信息、上市公司中报/年报等)。
知识型企业:
调查报告、咨询报告、招投标文件、专利、远程教育的教案等重要内容的版权保护。
其他:
对于电子文件数据安全有较高要求的单位、组织和个人。