管理、法律法规、社会工程学等
信息泄密的途径及防护措施
➢ 电磁波辐射泄漏（传导辐射 、设备辐射等）
防护措施：管理制度+物理屏蔽
➢ 网络化造成的泄密 (网络拦截、黑客攻击、病毒木马等)
防护措施：管理制度+访问控制技术+加密技术
➢ 存储介质泄密（维修、报废、丢失等）
防护措施：管理制度+加密技术
➢ 内部工作人员泄密 (违反规章制度泄密、无意识泄密、
策略 （Policy)
检测(Detect)
响应 (Response)
PDR扩展模型示意图
4
访问控制技术 ➢访问控制策略
• 基于身份的安全策略 • 基于规则的安全策略
➢访问控制与授权 （权限控制） ➢访问控制与审计 （操作日志）
6
数据加密技术
➢ 加密算法
• 对称加密算法 • 非对称加密算法
➢ 加密算法的实现
N 散列值与存储的散列值相同吗？
Y 读取硬盘数据， 并用用户输入的密钥解密数据
加载操作系统 操作系统按正常方式启动
用户按常规方式使用计算机
DiskSec增加的流程
用户提供验证物（密码、指纹锁等) N
验证物正确吗？ Y
继续执行
破解后的流程 用户提供验证物（密码、指纹锁等)
验证物正确吗？
继续执行
与口令、指纹锁等保密措施的区别
亿赛通数据安全保护系统
➢数据备份系统DataBack
技术特点：
• 支持静态和动态同步备份两种方式 • 备份的源和目的可以任意选择（支持备份到远程服务
➢ 审计
能够跟踪用户的各种日常活动，如登陆时间、日期等; 特别是跟踪记录用户与工作相关的各种活动情况，如什 么时间用什么软件编辑什么文档等。
SmartSec系统的客户端
➢ 采用的安全模型
自主访问控制安全模型
➢ 采用的安全策略
基于规则的安全策略 能够控制打印、加密、日 志记录方式等
➢ 审核日志
记录的日志包括上机、打 印、文件操作等，并自动 上传到服务器上
➢数据加密
用于保护机密信息在传输或存储时被非授权暴露
➢数据保护
用于防止数据遭到意外或恶意的破坏，保证数据的可用性和完整性
3
访问控制技术
➢访问控制模型
自主访问控制(DAC) 强制访问控制(MAC)
➢信息流模型 ➢基于角色的访问控
制模型(RBAC) ➢PDR扩展模型
保护(Protect)
恢复(Restore)
数据安全保护技术及产品
责任 执着 至善 心存感激
北京亿赛通科技发展有限公司 梁金千
目录
1 引言
2 数据安全保护技术
3 访问控制技术 3 4 数据加密技术 4 5 数据保护技术 3 6 亿赛通数据安全保护产品及原理
1
信息安全涉及的领域
➢自然科学
计算机科学、网络技术、通信技术、 密码技术等
➢人文科学
• 软件实现 • 硬件实现
➢ 数据加密的实现方式
• 静态加密技术 • 动态加密技术
应用程序 (数据安全算法) I 操作系统的API (数据安全算法) II
文件过滤驱动 (数据安全算法)
文件系统 (数据安全算法)
网络过滤驱动 (数据安全算法)III
系统内核
(数网据络安驱全算 动法)IV
数据文件(DAT)
故意泄密等） 防护措施： 管理制度+访问控制技术(特别是授权和审计)
+ 加密技术
2
数据安全保护技术
➢访问控制
用于控制用户能否进入系统以及进入系统的用户能够读写的数据集
➢数据流控制
用于防止数据从授权范围扩散到非授权范围
➢推理控制
用于保护可统计的数据库，以防止查询者通过精心设计的查询序列 推理出机密信息
应用程序
SmartSec应用层访问控制
编程接口API 操作系统 文件过滤驱动
SmartSec内核层 文件系统
数据文件(DAT)
安全策略 文件访问审核日志
程序行为控制 文件访问控制 动态加解密
硬盘加密系统DiskSec
➢应用领域
防止存储介质被动泄密，能够 有效防止在笔记本电脑，台式 机硬盘丢失情况下的数据安全
16
DiskSec的安全性
➢ 密钥是解密数据的 唯一钥匙，不怕绕 过验证等攻击
➢ 密钥的检验仅作为 避免用户由于输入 错误的密钥导致系 统无法启动的情形， 不作为保密的目的
➢ 不怕散列值碰撞攻 击
在安装DiskSec的情况下 计算的启动过程
执行DiskSec
DiskSec要求用户输入密码
将用户输入的密码作单向散列运算
亿赛通设备管理系统DeviceSec
➢ 应用领域
管理和控制计算机设备(打印机、软驱、光驱、红外、蓝 牙、USB设备等)的使用，特别是能够有效管理和控制移 动存储设备的使用
➢ 主要技术特点
• 采用内核级驱动控制和基于存储设备的加密方式 • 能够满足移动设备的各种使用模式（如禁止使用未认
证的移动设备，禁止认证的移动设备在非本系统内的 计算机系统使用等） • 与SmartSec配合，能够支持计算机设备使用情况的日 志记录
➢ 主要技术特点
• 内核级动态加密，能够加密 包括操作系统在内的硬盘上 的所有存储空间
• 硬盘上不保留密钥信息，能 够确保在关机或休眠的情况 下,计算机硬盘数据的安全
应用程序读写文件/磁盘
保存数据
读取数据
操作系统
明文数据
加密 DiskSec 解密
密文数据
存储设备（硬盘等）
磁盘数据的动态加密/解密过程
➢ 应用领域
防止信息通过网络、 邮件、存储介质、 打印设备等泄密
➢ 主要技术特点
• 内核级动态加密 • 应用层+内核层
访问控制 • 支持复杂系统的
授权管理 • 日志审计
SmartSec系统的服务器端
➢ 采用的安全模型
基于角色的访问控制模型
➢ 采用的安全策略
基于身份的安全策略 (权限管理）
➢ 授权
以信任关系模型为基础研发，能够保证在复杂系统环境 下的正确授权
➢文档安全管理系统SmartSec
采用的技术： 访问控制+数据加密
➢硬盘加密系统DiskSec
采用的技术： 数据动态加密
➢设备管理系统DeviceSec
采用的技术： 访问控制+数据加密
➢数据安全保护系统DataBack和FlashBack
采用的技术： 数据备份和数据保护
档安全管理系统SmartSec的组成
7
数据保护技术
➢数据备份与恢复技术
• 静态备份 • 动态备份 特点：备份和恢复比较慢，占用存储空间大;
数据安全性好
➢系统保护与还原技术
• 拷贝保护(Copy-on-write技术） • 映射保护 (Map-on-write技术） 特点：保护和还原速度快，占用存储空间小;
数据安全性差
8
亿赛通数据安全保护产品