保密知识
  news

  • 智能手机安全保密隐患及防范对策
  • 优盘使用不当,悔恨终生
  • 一把手家中办公险泄密
  • 为什么涉密计算机不得使用无线键盘和无线网卡
  • 保密事项范围制定、修订工作中的几个问题
密垒电子文档安全管理系统V3.0
    发布时间: 2015-08-17 23:20    
找加密软件就找杭州扬迈密垒电子文档安全管理系统V3.0

一、研发背景
       随着信息化社会云计算时代的到来,涉密信息的安全防护和知识产权的保护存在的隐患日益成为重大技术难题。网络攻击、病毒破坏、黑客木马窃密、存储介质遗失、设备故障维修、非授权使用或授权滥用、内部人员不经意间的失密或故意泄密以及人员流动等引发的泄密事件日益增多,对涉密信息安全构成严重的威胁!

二、设计目标
      
规范文档管理,保护无形资产,防范泄密隐患,杜绝数据灾难,促进管理效率,提高企业安全系数。对涉密电子文档实现集中存储、统一备份、统一管理、统一分类、统一分级、统一归档、方便查阅、按权限访问、按项目管理、按组织层次管理和防涉密信息泄漏的目标。

三、系统简介
       密
垒电子文档安全管理系统V3.0由服务器、登录器Key和移动工作站等硬件产品组成,在不改变原有网络结构和设备配置的情况下,利用现有的硬件平台,动态构建一个严格保护的网中网盘中盘的安全工作环境,实现对涉密文档进行集中存储、统一管理、文档备份、存储介质使用控制、防内部失泄密、防外部窃密、防非法内联、防非法外联、防病毒黑客木马、文件访问分级授权、系统管理分级授权、涉密操作日志审计。
      
垒电子文档安全管理系统V3.0适应多种办公场景:服务器保密工作模式、本地加密网络备份工作模式、本地加密单机工作模式和移动办公加密工作模式;既适用固定办公,也适用移动办公;既适用网络办公,也适用单机工作;既适用以部门为主线的垂直管理模式,也适用以项目为主线的跨部门的横向管理模式。

四、系统功能
      
数据只存服务器! 移动存储拷不走! 外部入侵进不来! 磁盘丢失不泄密! 黑客木马窃不走! 截图拷屏被禁止! 双模式自由切换!
      
非法外联出不去! 操作行为可监控! 内外勾结拿不走! 自动备份不怕删! 外发外拷可审计! 拷贝另存受控制! 沙盒文件出不去!

五、工作原理
      
垒电子文档安全管理系统V3.0综合运用了沙盒技术、定向访问、定向传输、定向存储、存储加密、传输加密和可信计算等创新技术,实现了从存储、传输到处理的全过程的安全防护。其基本工作原理是使用Key认证后,打开服务器进入保密工作模式,对服务器上的涉密文件进行各种操作(如创建、编辑、修改、保存、重命名、删除、移动、复制等),但涉密文件无法以各种方式非法拷贝或转移出去(即对非法的本地拷贝、U盘拷贝、共享拷贝、文件另存、上网外发、文件打印、复制粘帖、鼠标拖放、屏幕拷贝、窗口截图、双机对联、外来机接入等行为进行控制)。一旦退出保密工作模式,即返回本机普通状态,且本地不留痕迹。


六、技术特点
     
  本系统不同于传统的封堵型的防泄密技术思路,而是采用全新的疏导型的防泄密设计理念,其优点是:

       1、保密模式和普通模式双模式自由切换,可保持原电脑功能不变,灵活多样的工作模式选择,实现了安全性与方便性的完美结合。
       2、克服了透明加密类安全产品存在的加密文件技术性损坏、系统性能降低和应用环境兼容性差的问题。
      
3、克服了防水墙类安全产品存在的容易被杀毒软件拦截、强力卸载、杀进程删文件、格式化系统、安装双系统PE启动系统、光盘启动系统或Ghost还原系统等反安装活动而导致防护失控的问题。
      
4、采用创新的病毒黑客木马防护技术,对现有系统进行安全加固,弥补了杀毒软件被动防御、亡羊补牢不能对新病毒及时防御的不足和防火墙、入侵检测和安全网关等产品难以应对新型黑客木马攻击的不足。
      
5、产品软硬件一体化设计。相比纯软件产品而言,系统更稳定、更可靠、更安全,使用更简单、用户维护成本更低。
   

秘垒电子文档安全管理系统V3.0
同时解决安全存储、自动备份和防内部泄密三大问题

特点一:内部办公不泄密
      
1)非法用户进不来:必须使用365登录器,并进行身份识别、帐户和密码验证才能登录365服务器,非法用户是登不了365服务器的。
      
2)合法用户拿不走:登录365服务器后会在本地产生一个网络虚拟磁盘U,跟本地磁盘一样自由使用,但网络虚拟磁盘U的文件是拿不出来的。
      
3)非法外联出不去:登录365服务器后,自动禁止上网功能,因此是无法通过互联网外发而泄密的,也不能通过双机对联拷贝出去。
      
4)移动存储拷不走:登录365服务器后,各种移动存储设备自动被禁止使用,或者设置为只读,只能拷入而不能拷出。因此移动存储是拷不走的。
      
5)黑客木马难侵入:登录365服务器后,本机立即终止一切网络活动,切断一切网络连接,使本机彻底成为一台孤机,只能与服务器P2P通讯,使得黑客难以侵入。
特点二:移动办公不泄密
      
在实际工作中,必然会与合作单位发生文件数据交换。那么如何防范拷贝出去的文件的泄密隐患呢?——透明加密U
      
透明加密U盘的设计采用了独家专利技术,解决了内部文件通过U盘拷走回家加班、外出协同工作或为用户展示过程中的源文件泄密难题。透明加密U盘的使用过程是将本单位文件拷贝进U盘,插入对方计算机的USB接口,通过授权密码打开U盘,此时您可以在U盘里进行文件编辑修改和开发设计,但U盘里的文件无法以各种方式搞出去,从而达到既可外出工作而又不泄密的目的。
特点三:文件发布不扩散
      
在计算机网络时代,对外发布文件是不可避免的。那么如何防范对外发布文件的扩散隐患?——无源虚拟文件发布系统
      
无源虚拟文件发布系统的使用过程是将需要发布的文件制作成无源虚拟文件,拷贝到U盘里或者通过网络发送给对方。这些文件可限制打开次数、有效天数、不可更改、不可打印、不可拷贝,过期自毁。由于无源虚拟文件里无源文件,因此不存在破解窃取源文件而扩散的安全隐患。
特点四:数据交换不泄密
      
在计算机网络时代,在一个局域网内协同工作是常见的一种工作模式。那么如何方便地进行内部网络数据交换而又不泄密呢?——内部专用U盘、小组共享V盘和全局共享W盘。
      
内部专用U盘只能在单位内部使用,离开单位就无法使用。
      
小组共享V盘用于一个独立小组之间的网络协同工作和文件数据交换。
      
全局共享W盘用于整个单位内部的文件共享和信息发布。
特点五:软件无须升级
      
目前常见的存储防泄密产品,往往对使用环境的依赖性强,一旦使用环境发生变化,很可能导致控制异常或失效,使得管理维护困难,陷于失控-升级-失控-升级-失控的尴尬境地。
       
据安全中心采用了应用环境弱耦合性设计技术:
       不因系统升级、应用软件升级变化而失控;
      
与第三方软件兼容性好,未发现有冲突现象;
      
与协议无关性,不因协议改变而失控;
      
不因反安装而失控;
      
对网络无特别要求。
特点六:受控文件类型无限制
      
一些文件加密类软件常常以文件扩展名作为文件类别的控制依据,而文件扩展名容易被篡改,另存的时候也可以改变扩展名……
      
数据安全中心采用了文件扩展名无关性设计技术,不管透明加密盘里是什么类型文件,一律受控制。
特点七:适用于开发编译环境
      
由于开发编译环境相对比较复杂,编译包含配置文件、代码文件、库文件、程序文件、中间文件等,未见有效的防泄密产品应用。
      
堵漏型防泄密产品存在反安装缺陷,使应用受到局限;加密型防泄密产品对文件加密的同时,破坏了开发编译环境设置,导致编译失败。
      
本系统方案采用了数据盒设计技术,开发编译在数据盒里进行,不影响开发编译环境设置的。
特点八:简单、方便、易用
      
不改变PC机原有功能,是在PC机基础上增加一个功能:虚拟加密磁盘安全工作模式----一机两用
      
无须重装应用软件(不改变原有软件部署)
       无须重装操作系统(不改变PC机配置)
      
无须新购网络设备(不增加网络设备)
      
无须网络布线工程(不改变网络结构)
      
无须软件操作培训(不改变原来工作模式)
 

垒电子文档安全管理系统V3.0解决方案

       纯软件防泄密产品包括本地监控类、文件加密类和访问控制类等产品,时间悠久、产品丰富、技术成熟、功能完善,但是它们都存在以下致使的缺陷:

       1)客户端监控软件常常被杀毒软件等拦截而导致失控或异常。

       2)封堵端口限制电脑的某些功能,导致使用不方便,影响工作,产生抵触情绪。

       3)存在外来机非法接入内网或双机对联而泄密的风险。

       4)存在主机丢失或磁盘丢失而泄密的风险。

       5)存在恶意删除本地涉密数据和共享涉密文件的风险。

       6)存在本地硬盘故障时全盘数据丢失的风险。

       7)对系统环境的依赖性强,哪系统升级或改变、受控文件类型增加或改变等可能导致异常或失控。

       8)在客户端监控软件反安装而失去控制的风险(如杀进程、删文件、格式化系统重装、Ghost还原系统、安装双系统)。

       9)管理维护困难,常常此时正常过段时间就出问题了,陷于失控 - 升级 - 失控 - 升级 - 失控的尴尬境地。

     安全储存与防泄密系统的设计理念彻底颠覆了传统的堵漏型的本地数据防泄密的技术思路,从根本上解决了纯软件防泄密产品的上述缺陷。


项目

指标

传统方案

服务器方案

防泄密


分散式本地防泄密

集中式网络防泄密

可靠性

数据出口多,系统太开放而脆弱。

数据只存服务器,系统封闭强壮。

兼容性

对于系统软件升级、新型文件、

另种软件需重新部署或开发,

容易被杀毒软件等拦截杀掉而失控。

系统升级无关性、软件升级无关性、文件类型无关性,

无须部署或开发,也不会人为拦截杀掉。

反安装

理论上能被安装上总能被反安装。

一旦被反安装,就失去控制。

即使被反安装,

其结果是无法登录服务器,而不会导致失控。

部署实施

须在每台客户机上安装监控软件,

需要复杂的配置调试、策略分布和初始化数据。

使用登陆器、即插即用、无须安装、配置调试、

初始化数据和策略分发。

运行维护

因存在兼容性,运行维护麻烦。

运行维护工作量极小。

系统影响

对系统有功能有一定影响。

不影响不改变对系统原有功能。

备份


分散式手动刻录拷贝备份

集中式自动增量备份

备份效率

无论是管理员定时间段去每台客户机备份,

或是由各人定时段备份,

效率低且影响他人正常工作。

自动备份,效率高,

无须人工干预,不干扰正常工作。

数据完整性

备份时容易遗漏数据,难以保证数据完整性。

数据集中备份在服务器上,保护数据完整性。

备份时间差

前后两份备份的时间间隔较长。

实时备份,不存在时间差问题。

备份重复率

手工备份时很难辨别哪些文件时上次备份过的,

因此重复率很高。

采用增量备份技术,

只对修改过的或新生成的文件进行备份。

可管理性

分散式备份介质难以管理。

集中在服务器上统一管理。

防扩散性

分散式备份介质难以管理。

防扩散性好。

储存


分散式本地存储

集中式网络存储

硬盘故障风险

硬盘故障频率随使用时间增大,

一旦硬盘故障全盘数据丢失。

高容灾性,即使出现硬盘故障,

也不会丢失数据,热插拔更换一块新硬盘即可。

硬盘丢失风险

机箱容易被打开取走硬盘。

不存在硬盘丢失风险。

数据扩散风险

由于本地系统的开放性,

很容易使数据扩散出去。

不存在数据扩散风险。

可管理性

管理员难以管理控制本地存储的数据。

管理员可集中管理服务器上的数据。

防毒

病毒防护

未采取技术措施,依靠第三方杀毒软件保护。

病毒无法感染破坏服务器上的数据。

黑客木马防护

未采取技术措施,依靠第三方杀毒软件保护。

黑客木马无法窃取服务器上的数据。




上一个: