企業防泄密系統

其中尤其以個別行業性企業更為突出，比如設計院、工業製造業、金融投資業等等。

2010年維基百科泄密事件，更是投了一顆重磅炸彈

2010年三星商業泄密案

2010年AT&T、本田網站泄露客戶信息

2011年頻發的資料庫泄密事件

以上只是2010年下半年起幾樁知名公司影響力頗大的泄密事件，不過是冰山一角，每天全球各地都有大大小小公司面臨著文檔數據泄密的風險，甚至引發或大或小的惡性影響，對企業的正常運作帶來阻力。

（1）國家機關、單位發生或者發現泄密事件，應當在知悉泄密事件24小時內報告上級主管部門或當地保密局。　（2）對於泄露絕密級國家秘密的；向境外組織、機構、人員非法提供國家秘密的；泄露當事人是廳局級（含廳局級）以上幹部的，可直接報告國家保密局。　（3）案發單位應根據情況及時採取補救措施，同時積極配合有關部門查處。

除了在防泄密事件發生後即時報警追回外，已經有越來越多的公司開始採用技術手段來補漏防泄密。

企業防泄密系統 是指採用計算機信息加密技術手段防止以信息化數據的形式存在的機密或秘密泄漏, 用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。

加密技術是電子商務採取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。

目前國內外最先進、穩定、實用的加密技術是透明加解密技術。

透明加解密：是企業電子文檔安全保護技術的術語，意思為，在保護過程中，相對用戶終端是透明的、不改變用戶習慣的一種文檔加密技術。

透明加解密也是一種表象技術辭彙，不屬於純技術辭彙。　在套用中，它包含了兩個意思：　1.強制性加解密，即套用了這種技術的電子文檔安全系統，它會定義用戶終端的一些保護範圍，只要指定好這些保護範圍，它會強制性地對這些電子文檔進行加解密（保存的時候加密存檔、打開的時候解密打開），不需要由終端用戶來判斷這個文檔是否需要加密；　2.加解密過程相對透明，即在使用過程中，終端用戶正常工作時幾乎不會感覺到加解密過程的存在，還是雙擊一個文檔後自動打開，還是按保存後就檔案被關閉，不用去考慮什麼加解密這回事。　現代社會是一個資訊時代、也是一個自由開放的時代，我們在考慮信息安全的同時，也必須考慮員工的使用方便。在這之前，很多企業為了保護好自己的企業機密，採用封閉管理、圍堵等方式進行保護，這個出發點固然不錯，但在現在開放的時代中，難免會讓員工不舒服，假如有一個方法，既不影響他們跟外界的交流，又能保護好自身的機密文檔，還是不錯的。

“合力天下”防泄密系統用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。簡單地說，”合力天下”防泄密系統讓企業機密數據和套用系統的重要資料“拷不走”、“螢幕截取不走”、“另外儲存不走”、“列印不走”、“內容複製不走”、“MSN、QQ、郵件傳送不走”。

支持日常套用的各種檔案格式保密（CAD、OFFICE、PDF、圖紙、電腦程式、遊戲、數碼照片、視頻…..），用戶也可以根據自己的需要定製。

支持區域網路部署和遠程VPN部署模式，支持異地分支機構分別部署；確保公司內部資料的內部流通。

套用系統：支持基於Windows的B/S、C/S的各種業務套用系統，如PDM、PLM、ERP、OA、CRM、CAM、采編系統、流程系統、電子商務、財務管理系統、文檔管理、網站系統。

文檔類型：Office、Wps、PDF、CAD、Pro/E、Inventor、CAXA、TurboCAD、開目CAD、CATIA、Solid Edge、UG、PowerDraft、清華英泰、中望、Solidworks、ZDDS、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、CorelDraw、Fireworks、ACDSee、ZineMarker、Illustrator、MAYA、3D MAX、realplay、media player、Cakewalk、Flash、LRC Editor、C、VB、VC、C++，FOXPRO、MSSQL等。

作業系統：Windows 2000、XP、2003、2008,Vista、WIN7等。

支持中文、英文、日文、德文、韓文、法文、西班牙文等各種語言版本網路環境，支持中文、英文、日文、德文、韓文、法文、西班牙文等世界各種語言文檔加密。

國內防泄密系統的加密算法　國內防泄密系統常用的加密算法有三種，IDEA 算法、RSA算法、AES算法，加密強度來講，AES算法加密強度最高。

IDEA算法屬於對稱加密算法， 對稱加密算法中，數據加密和解密採用的都是同一個密鑰，因而其安全性依賴於所持有密鑰的安全性。

對稱加密算法的主要優點是加密和解密速度快，加密強度高，且算法公開.

缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理複雜，而且無法完成身份認證等功能，不便於套用在網路開放的環境中。

對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。

目前最著名的對稱加密算法有數據加密標準DES,但傳統的DES由於只有56位的密鑰，因此已經不適應當今分散式開放網路對數據加密安全性的要求。歐洲數據加密標準IDEA等，目前加密強度最高的對稱加密算法是高級加密標準AES，AES提供128位密鑰，128位AES的加密強度是56位DES加密強度的1021倍還多。。

對稱加密算法過程是將數據發

IDEA是International Data Encryption Algorithm的縮寫,是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標準算法,稱作PES(Proposed Encryption Standard).Lai和Massey在1992年進行了改進,強化了抗差分分析的能力,改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密算法.密鑰長度為128位.它基於“相異代數群上的混合運算”設計思想,算法用硬體和軟體實現都很容易,它比DES在實現上快得多 。

RSA算法是非對稱加密算法，非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對檔案加密而只適用於對少量數據進行加密。

對稱加密算法、非對稱加密算法和不可逆加密算法可以分別套用於數據加密、身份認證和數據安全傳輸。

RSA算法是建立在大數分解和素數檢測的理論基礎上。

RAS密鑰的產生過程：

獨立地選取兩個互異的大素數p和q（保密）。

計算n=p×q（公開），則ф(n)=（p－1）*（q－1）(保密)

隨機選取整數e，使得1<e<ф(n)並且gcd(ф(n),e)=1（公開）

計算d，d=e-1mod(ф(n))保密。

RAS私有密鑰由{d，n}，公開密鑰由{e，n}組成

RAS的加密/解密過程：

首先把要求加密的明文信息M數位化，分塊；

然後，加密過程：C=Me(mod n)

解密過程：M=Cd(mod n)

非對稱密鑰加密體制的優點與缺點：

解決了密鑰管理問題，通過特有的密鑰發放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散；由於密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；具有很高的加密強度。

與對稱加密體制相比，非對稱加密體制的加密、解密的速度較慢。

AES加密算法屬於不可逆加密算法，　不可逆加密算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。

1997年4月15日,美國國家標準和技術研究所NIST發起了徵集AES算法的活動,並成立了專門的AES工作組,目的是為了確定一個非保密的,公開披露的,全球免費使用的分組密碼算,法用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標準.1997年9月12日,在聯邦登記處公布了徵集AES候選算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全,分組長度128比特,密鑰長度為128/192/256比特.1998年8月20日,NIST召開了第一次候選大會,並公布了15個候選算法.1999年3月22日舉行了第二次AES候選會議,從中選出5個.AES將成為新的公開的聯邦信息處理標準(FIPS--Federal Information Processing Standard),用於美國政府組織保護敏感信息的一種特殊的加密算法.美國國家標準技術研究所(NIST)預測AES會被廣泛地套用於組織,學院及個人.入選AES的五種算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美國商務部部長Norman Y. Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密算法最終獲勝.

為此而在全球範圍內角逐了數年的激烈競爭宣告結束.這一新加密標準的問世將取代DES數據加密標準,成為21世紀保護國家敏感信息的高級算法.

合力天下防泄密採用系統合力天下數據防泄密系統採用256位AES加密算法和加密驗證機制，確保加密檔案無從破解。

1、用戶管理功能

“大成天下”防泄密系統其實算是多個軟體的一個集成，每個軟體都是單獨的存在，但由於對企業數據安全防護的側重點不同，他們組合起來便是大成天下的防泄密體系，主要由鐵卷電子文檔安全系統和銳眼數據審計系統組成。

鐵卷電子文檔安全系統（簡稱“鐵卷”），採用核心級透明加解密技術，在不影響企業日常辦公的前提下，維護企業文檔、圖紙等數據安全。鐵卷支持的文檔類型也及其廣泛，可以根據用戶需求來制定需要的規則，不會因為使用軟體的冷門而得不到保護支持。當員工出差時，鐵卷的離線功能以及鐵卷的外發組件密信，可以模擬區域網路環境，對檔案提供離線保護。

銳眼數據審計系統（簡稱“銳眼”），以了解員工習慣為產品目標，通過員工每日的行為操作，產生相應的趨勢圖表，企業管理者可以及時得知企業有哪些敏感檔案，都有哪些員工擁有敏感檔案，有誰對敏感檔案做了截屏、壓縮、拷貝、外發等違規操作，又都有誰已經造成了企業敏感數據的泄漏。不管是有意無意，敏感數據的泄漏都能從銳眼中分析得出；面對企業潛在的泄密風險，無論是事前預警，還是事後追查，銳眼使其成為可能。

數據安全保護系統是廣東南方信息安全產業基地公司，依據國家重要信息系統安全等級保護標準和法規，以及企業數字智慧財產權保護需求，自主研發的產品。它以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。

數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔，包括設計文檔、設計圖紙原始碼、行銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔，可以廣泛套用於政府研發、設計、製造等行業。

強制加密指定程式編輯的文檔。用戶訪問加密文檔時，需要連線伺服器（線上，非脫機狀態），並且具有合適的訪問許可權。該加密過程完全透明，不影響現有套用和用戶習慣。通過共享、離線和外發管理可以實行更多的訪問控制。

對打開加密文檔的應用程式進行如下控制：列印、記憶體竊取、拖拽和剪貼簿等，用戶不能主動或被動地泄漏機密數據。

支持共享、離線和外發文檔，管理員可以按照實際工作需求，配置是否對這些操作進行強制審批。用戶在執行加密文檔的共享、離線和外發等操作時，將視管理員的許可權許可，可能需要經過審批管理員審批。

客戶端需要連線伺服器才能訪問加密文檔。通過本功能製作離線文檔，即使客戶端未連線伺服器，用戶也可以閱讀這些離線的文檔。根據管理員許可權許可，離線文檔可能需要經過審批管理員審批離線時，可以控制客戶端的離線時間和離線時是否允許列印。

外部人員不能閱讀加密文檔的內容。本功能製作外發文檔，即使在未安裝客戶端的機器上，也可以閱讀這些外發的文檔。根據管理員許可權許可，外發文檔可能需要經過審批管理員審批外發的文檔，和內部使用一樣，受到加密保護和泄密控制，不會造成文檔泄露，同時增加口令和機器碼驗證，增強外發文檔的安全性。

集成了統一的用戶/鑒權管理，用戶統一使用USB-KEY 進行身份認證，客戶端支持雙因子認證。

對加密文檔的常規操作，進行詳細且有效的審計。控制台提供了基於WEB的管理方式。審計管理員可以方便地通過瀏覽器進行系統的審計管理。

通過在作業系統的驅動層對系統自身進行自我保護，保障客戶端不被非法破壞，並且始終運行在安全可信狀態。即使客戶端被意外破壞，客戶端計算機里的加密文檔也不會丟失或泄漏。