文件过滤驱动 (数据安全算法)
文件系统 (数据安全算法)
网络过滤驱动 (数据安全算法)III
系统内核
(数网 据络 安驱 全算 动法)IV
数据文件(DAT)
数据保护技术
数据备份与恢复技术
• 静态备份 • 动态备份 特点：备份和恢复比较慢，占用存储空间大;
数据安全性好
系统保护与还原技术
• 拷贝保护(Copy-on-write技术） • 映射保护 (Map-on-write技术） 特点：保护和还原速度快，占用存储空间小;
审核日志
记录的日志包括上机、打 印、文件操作等，并自动 上传到服务器上
应用程序
安全策略
SmartSec应用层访问控制
编程接口API 操作系统 文件过滤驱动
SmartSec内核层 文件系统
数据文件(DAT)
文件访问审核日志 程序行为控制 文件访问控制 动态加解密
硬盘加密系统DiskSec
应用领域
大数据(云平台)安全保护技术及产品
Байду номын сангаас 目录
1 引言
2 数据安全保护技术
3 访问控制技术 3 4 数据加密技术 4 5 数据保护技术 3 6 亿赛通数据安全保护产品及原理
1
自然科学
信息安全涉及的领域
计算机科学、网络技术、通信技术、 密码技术等
人文科学
管理、法律法规、社会工程学等
信息泄密的途径及防护措施
• 等够抵御包括格式化操作在内的各种攻击 • 占用空间小，额外占用的空间约占受保护空间的5%% • 还原速度快，完全还原一块60G的硬盘不超过15秒
汇报完毕 感谢聆听
加密 DiskSec 解密
密文数据
存储设备（硬盘等）
磁盘数据的动态加密/解密过程
DiskSec的安全性
DiskSec增加的流程
密钥是解密数据的 唯一钥匙，不怕绕 过验证等攻击
密钥的检验仅作为 避免用户由于输入 错误的密钥导致系 统无法启动的情形 ，不作为保密的目 的
在安装DiskSec的情况下 计算机的启动过程
档安全管理系统SmartSec的组成
应用领域
防止信息通过网络 、邮件、存储介质 、打印设备等泄密
主要技术特点
• 内核级动态加密 • 应用层+内核层
访问控制 • 支持复杂系统的
授权管理 • 日志审计
SmartSec系统的服务器端
采用的安全模型
基于角色的访问控制模型
采用的安全策略
基于身份的安全策略 (权限管理）
数据安全性差
8
亿赛通数据安全保护产品
文档安全管理系统SmartSec
采用的技术： 访问控制+数据加密
硬盘加密系统DiskSec
采用的技术： 数据动态加密
设备管理系统DeviceSec
采用的技术： 访问控制+数据加密
数据安全保护系统DataBack和FlashBack
采用的技术： 数据备份和数据保护
证的移动设备，禁止认证的移动设备在非本系统内的 计算机系统使用等） • 与SmartSec配合，能够支持计算机设备使用情况的日 志记录
亿赛通数据安全保护系统
数据备份系统DataBack 技术特点：
• 支持静态和动态同步备份两种方式 • 备份的源和目的可以任意选择（支持备份到远程服务器
）
数据保护系统FlashBack 技术特点：
授权
以信任关系模型为基础研发，能够保证在复杂系统环境 下的正确授权
审计
能够跟踪用户的各种日常活动，如登陆时间、日期等; 特别是跟踪记录用户与工作相关的各种活动情况，如什 么时间用什么软件编辑什么文档等。
SmartSec系统的客户端
采用的安全模型
自主访问控制安全模型
采用的安全策略
基于规则的安全策略 能够控制打印、加密、日 志记录方式等
+ 加密技术 2
数据安全保护技术
访问控制
用于控制用户能否进入系统以及进入系统的用户能够读写的数据集
数据流控制
用于防止数据从授权范围扩散到非授权范围
推理控制
用于保护可统计的数据库，以防止查询者通过精心设计的查询序列 推理出机密信息
数据加密
用于保护机密信息在传输或存储时被非授权暴露
数据保护
用于防止数据遭到意外或恶意的破坏，保证数据的可用性和完整性
用户提供验证物（密码、指纹锁等) 执行DiskSec N
DiskSec要验求证用物户正输确入吗密码？ Y
将用户输入的密码继作续单执向行散列运算
N 散列值与存储的散列值相同吗？
破解后的流程 Y 用户读提取供硬验盘证数物据（，密码、指纹锁等) 并用用户输入的密钥解密数据
加载操验作证系物统正确吗？ 操作系统按正常方式启动
3
访问控制技术
访问控制模型 自主访问控制(DAC) 强制访问控制(MAC)
信息流模型 基于角色的访问控制模
型(RBAC) PDR扩展模型
保护(Protect)
恢复(Restore)
策略 （Policy)
检测(Detect)
PDR扩展模型示意图
响应 (Response)
4
访问控制技术
访问控制策略
防止存储介质被动泄密，能够 有效防止在笔记本电脑，台式 机硬盘丢失情况下的数据安全
主要技术特点
• 内核级动态加密，能够加密 包括操作系统在内的硬盘上 的所有存储空间
• 硬盘上不保留密钥信息，能 够确保在关机或休眠的情况 下,计算机硬盘数据的安全
16
应用程序读写文件/磁盘
保存数据
读取数据
操作系统
明文数据
• 基于身份的安全策略 • 基于规则的安全策略
访问控制与授权 （权限控制） 访问控制与审计 （操作日志）
6
数据加密技术
加密算法
• 对称加密算法 • 非对称加密算法
加密算法的实现
• 软件实现 • 硬件实现
数据加密的实现方式
• 静态加密技术 • 动态加密技术
7
应用程序 (数据安全算法) I 操作系统的API (数据安全算法) II
不怕散列值碰撞攻
继续执行 用户按常规方式使用计算机
击
与口令、指纹锁等保密措施的区别
亿赛通设备管理系统DeviceSec
应用领域
管理和控制计算机设备(打印机、软驱、光驱、红外、蓝 牙、USB设备等)的使用，特别是能够有效管理和控制移 动存储设备的使用
主要技术特点
• 采用内核级驱动控制和基于存储设备的加密方式 • 能够满足移动设备的各种使用模式（如禁止使用未认
电磁波辐射泄漏（传导辐射 、设备辐射等）
防护措施：管理制度+物理屏蔽
网络化造成的泄密 (网络拦截、黑客攻击、病毒木马等
) 防护措施：管理制度+访问控制技术+加密技术
存储介质泄密（维修、报废、丢失等）
防护措施：管理制度+加密技术
内部工作人员泄密 (违反规章制度泄密、无意识泄密、
故意泄密等） 防护措施： 管理制度+访问控制技术(特别是授权和审计)