KM电子文档防泄密整体解决方案11

FileSafeGuard电子文档防泄密解决方案电子文档防泄密整体解决方案FileSafeGuard电子文档防泄密系统FileSafeGuard电子文档防泄密解决方案一、引言伴随着社会现代化的发展，信息化的全面应用，计算机产生的电子文件作为信息交换最主要的载体得到了全面的使用，在各企事业单位中都在利用网络、USB设备等方法传递电子文件以保持着迅速、及时的沟通，不再依赖于原有的纸质文件流转方式，在得到极大的方便性的同时也使得文件信息更容易泄密，在极短暂的时间就可能造成大面积泄密。据调查,各种机密泄露30%-40%是由电子文件的泄露造成的，超过85%的安全威胁来自单位内部。防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。无线上网、移动通讯、活动硬盘在带来方便和高效的同时，却无法防止内部工作人员的无意或有意的泄漏各种电子文件信息，甚至传送给竞争者，也难以防止网络系统被截获、仿冒、侦听后造成的泄密。如何解决在各种基于计算机的信息交流活动、电子商务活动、电子政务活动中的电子文件安全问题已经成为一个十分迫切的市场需求。二、电子文件的安全问题您的单位是否总是担心内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去？若泄漏是否会直接影响单位生存和发展？您的单位是否总有人员流动？原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了？现在的工作人员是否有可能将各种机密泄漏给竞争对手？工作人员离职后是否变成了单位的竞争对手？您的单位把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不泄漏出去吗？1、各种泄密途径，安全漏洞分析1）、USB设备、软驱、可写光驱现在的USB设备的使用非常普遍，USB设备的文件拷贝成为单位内部、外部交换文件最常用的方式之一，将电子文件拷贝到USB设备上，然后拷贝给内部其他工作人员或者拷贝给外单位合作人员来完成信息交换。但是拷贝的过程是不可控的，拷贝后存在泄密可能性。软驱和光驱是传统常用的计算机硬件，同样可以拷贝电子文件到软驱和可写光驱上。针对这些硬件设备，大多数单位的做法是关闭大多数计算机的USB接口、软驱、光驱，只允许少数特权计算机可以使用，虽然如此，特权计算机还是存在泄密可能性，而且关闭硬件端口无法防止直接拆下硬盘来获取所有的文件信息。2）、互联网发送现在各个单位和外界的交流越来越多，互联网是必不可少的信息交换手段。3）、互联网上传文件互联网上传文件的方法很多，也都是泄密的途径，目前较为常用方法有：POP3Email附件方式、WebEmail附件方式、FTP方式、BT方式、QQ直传、MSN直传、Skype直传、等其他种种方式。这些互联网操作是内部工作人员自行进行的，防火墙、防入侵等系统不会处理，所以是一个很直接、快速、隐蔽的泄密途径。很多单位通过封锁FTP端口、封锁QQ端口、封锁发送邮件等方法来控制，但是这样仅仅是封锁了一部份泄密途径而已，通过互联网传送文件数据有太多的方法，而且新的方法层出不穷，例如：通过WebEmail附件方式来发送文件，这时这些封锁的方法都无能为力。只要有任何一点点漏洞，这些局部的控制都无法封堵通过互联网的泄密。4）、外部入侵单位内部的服务器或者其它计算机都有可能遭到来自于互联网的入侵、攻击，入侵的可能是各种病毒、木马，潜伏在计算机里，等待合适时机将一些其需要窃取的文件通过互联网发送出去，一旦发送成功，这些需要保密的电子文件就会直接泄密。5）、获取计算机硬盘FileSafeGuard电子文档防泄密解决方案相关人员可以直接将计算机的硬盘(包括台式机和笔记本电脑)直接拔出，带到其他的计算机上进行读取，从而获得硬盘上的各种电子文件，这种方法通过任何的封锁互联网、封锁USB设备、在机箱上贴封条等方法都是没有用的，这种途径泄密的数据量最为巨大。2、保证电子文件安全要解决的问题1）授权使用USB设备、软驱、可写光驱拷贝需要设定每台计算机对各种移动设备的权限，可以向外拷贝、不可向外拷贝，即使是可以向外拷贝文件，也要保证拷贝出去的保密文件是安全的，非法用户无法打开。2）授权使用互联网需要设定每台计算机是否允许连接互联网，即使是可以连接互联网，也要保证通过互联网发送出去的保密文件是安全的，非授权用户无法打开。3）防止硬盘拔出后造成的泄密需要保证当硬盘被拔出后，硬盘上的保密文件在单位内部可以打开，而在单位外部无法打开，保证即使是恶意的盗取硬盘也无法获得硬盘上的保密文件信息。4）FileSafeGuard的解决方案针对各种单位存在的各种电子文件安全的需求，FileSafeGuard提供完美的解决方案，保障电子文件安全，彻底解决数据安全忧患。FileSafeGuard在后台将文件本身加密，即使文件泄露出去未经授权也无法打开。三、系统介绍营造电子文档的单位安全环境首先，FileSafeGuard要营造一个电子文档的安全环境，在安全环境中，所有的电子文件可以正常的流转，大家可以共享使用各种电子文件，不影响单位内部的工作；在安全环境外，即使获得了单位内部的各种电子文件，也无法打开，从而保证了单位内电子文件的安全；单位安全环境是指所有的经过授权的合法用户组成的一个使用环境，由在单位内部的工作人员和在外出差的工作人员共同组成，授权分为内部客户端授权和移动客户端授权，在授权用户之间，保密文件可以互相打开，非授权用户无法打开。然后，FileSafeGuard利用底层软件结合高强度加密算法加密技术，实现各种计算机文件的自动加密解密，单位授权用户在计算机上操作文件的同时，底层程序自动根据服务器的授权进行加密，打开时再由底层程序根据授权自动解密，使得自动加密后的图纸、文档文件离开安全环境无法使用，文件只能在安全环境内正常使用。文件一旦被转移到非安全环境的计算机上无法打开，除非经过单位内专人解密，文件才能正常使用，这样单位的各类保密的电子文件都被锁定在单位中，保证了单位中各类保密电子文件的安全。内部客户端授权通过客户端/服务器模式实现，在服务器端设定每个客户端的各种权限，移动授权客户端先在单位内部作为内部客户端使用，从而获得服务器给与的权限，外出时根据服务器授予的权限来保证可以打开保密文件，外出时系统不会停止加密，所有操作的保密文件和在单位内部一样会被加密，在回到单位后其他内部授权客户端也可以打开这些文件。保证安全的软件底层技术FileSafeGuard提供硬件级、进程级、文件级、文件内容级的全方位加密手段。所有的电子文档从整个单位的角度来加密，而不是文档的创建者的个人角度，即使创建者将文件拷贝走也打不开。硬件级加密手段管理员可以对不同的计算机授权，使用硬件ID而不是网卡号或IP地址，避免用户手工修改网卡号或IP来得到更高的权限，也可以防止外来计算机的伪装入侵。进程(程序)级加密手段管理员可以设定哪些是保密程序哪些是非保密程序，并不是通过可执行文件的名字来区分，FileSafeGuard电子文档防泄密解决方案通过可执行文件的名字来区分是毫无安全性可言的，因为用户可以修改可执行文件的名字来获得明文文件，不论可执行文件改成任何名字FileSafeGuard都会知道其是否合法。合法进程拥有相关的文件、剪贴板等操作权限，非法进程则没有。文件级加密手段管理员可以设定哪些格式的文件是需要保密的，这些文件会在保密的进程中自动透明加解密，文件离开单位环境后无法正常打开，应用程序会报错为错误的文件格式。文件内容级加密手段管理员在设定哪些是保密程序哪些是非保密程序之后，在保密的程序之间文件内容可以不受限制的复制、粘贴、托拽，而在保密程序中复制文件内容后却无法在非保密程序中粘贴，文件内容也无法由保密程序向非保密程序托拽。管理员可以授权每台计算机是否允许打印，包括打印到打印机和打印到文件。管理员可以授权每台计算机是否允许使用键盘拷贝屏幕或使用Windows的API函数来拷贝屏幕，防止文件内容的屏幕图像泄密，不论是用键盘PrintScreen拷屏还是使用专业的抓图软件都受到授权控制。系统构成系统由服务器端、客户端、解密机组成，适用操作系统：Win2000professional，Win2000Server，Win2000advancedServer，WinXPhome，WinXPprofessional，WinServer2003等。服务器端FileSafeGuard的服务器端采用大规模网络模型，完全不用担心单位所有的计算机同时打开而造成的计算机开机等待和网络堵塞，可以支持上千个客户端的瞬间并发访问、数万个客户端的短间歇访问，对内存和CPU的占用极低，性能非常优越，使得各单位无需购买专门的服务器，只需在现有的服务器上安装即可，甚至可以用一台普通PC机作为服务器。可以在服务器端对每个客户端进行权限设置，包括可以使用那些保密程序，可否打印，可否连接互联网，可否向非保密进程粘贴，可否向非保密进程拖拽，还可以授权控制每个客户端的USB移动设备的文件进出的各种操作。可以在服务器端设置保密程序及其可以打开的保密文件格式，添加密匙，可以增删解密机用户，可以设定加密长度，可以查看日志记录，等其他选项设置。客户端FileSafeGuard的客户端在系统底层运行，并没有界面，使用过程中用户不易察觉到，客户端默默接受服务器的指令进行各种控制，包括保密文件的自动加解密、USB的文件各种进出拷贝控制、拷贝日志记录等等。为了便于管理员进行各种管理操作，可以在客户端调出隐藏的消息记录窗口。解密机当本单位需要将保密文件以明文方式传递给相关合作单位时，需要使用解密机将保密文件由密文转换成明文，由授权的解密用户进行解密操作，并且系统将解密操作自动记录到服务器日志中。系统特色1）独特的USB设备控制独特的对USB设备文件进出控制，只进不出、只出不进、不进不出、可进可出，各种操作均可受控，而无须完全禁用USB设备。2）独特的剪贴板控制对系统剪贴板进行了独特的细节控制，在保密进程之间可以不受限制的复制、粘贴、拖拽，而未经授权无法从保密进程向非保密进程复制、粘贴、拖拽，保证文件内容的安全，而不是停留在文件本身保密；还可以不受限地从非保密进程中将文件内容的复制、粘贴、拖拽到保密进程，非常方便。FileSafeGuard电子文档防泄密解决方案3）高安全强度文件的加密算法采用世界上知名的AES对称加密算法，具有非常高强度的加密性能，世界上目前尚无对AES的破解方法，如果进行穷举破解需要消耗数万年的时间。不使用低安全强度的单独唯一密匙，让管理员可以自行定期添加密匙，保证安全强度的延续，也保证了离职人员即使带走了移动许可的笔记本电脑也无法打开新生成的文件。4）高效率、低资源消耗FileSafeGuard使用了各种底层技术，并进行了大量的优化，使得加解密延迟时间非常短，用户操作一般文件时基本不受影响；不论是服务器端还是客户端，占用的内存和CPU资源都非常少。为了提高超大文件打开的速度，FileSafeGuard提供了设置加密块大小功能，使得各单位可以在保密要求的严格程度和执行效率之间进行权衡，使得在保密前提下打开超大文件也可以有很快的速度。5）方便、安全的安装、卸载对于客户端的安装，FileSafeGuard不但提供本机安装，更提供了远程安装程序，只要拥有可以登录客户端的管理员帐户，就可以在服务器上对客户端进行安装、卸载工作，避免了管理员在大量的计算机之间来回奔波之苦。卸载是安全受控的，如果没有卸载密码，客户端无法卸载，使得所有需要保密的计算机严格受到控制，无法逃避单位安全环境需要的加密。FileSafeGuard对卸载控制的非常严格，如果没有卸载密码，即使是用本地管理员身份在安全模式下也无法卸载。另：在WinXp下任意切换用户而FileSafeGuard仍然可以进行所有的权限控制。四、FileSafeGuard的配置方案各单位根据相关的计算机数量来配置FileSafeGuard的服务器端和客户端数量，至少需要1个服务器端，如果是异地的集团公司需要电子文件可以互相打开，要求配置多个相同企业编码的服务器端，每个服务器端配置1个加密锁；客户端的数量应该等于内部计算机的