前言
市場的需求、人的安全意識、環境的諸多因素促使著我國的信息安全高速發展,信息安全經歷了從傳統的單一防護如防火牆到信息安全整體解決方案、從傳統的老三樣防火牆、入侵檢測、防毒軟體到多元化的信息安全防護、從傳統的外部網路防護到區域網路安全、主機安全等。
技術分析
信息安全傳統的老三樣(防火牆、入侵檢測、防病毒)成為了企事業單位網路建設的基礎架構,這已經遠遠不能滿足用戶的安全需求,新型的安全防護手段逐步成為了信息安全發展的主力軍。例如主機監控、文檔加密、UniBDP防泄露等技術。
在新型安全產品的佇列中,主機監控主要採用外圍圍追堵截的技術方案,雖然對信息安全有一定的提高,但是因為產品自身依賴於作業系統,對數據自身沒有有效的安全防護,所以存在著諸多安全漏洞,例如:最基礎的手段拆拔硬碟、winpe光碟引導、USB引導等方式即可將數據盜走,而且不留任何痕跡;此技術更多的可以理解為企業資產管理軟體,單一的產品無法滿足用戶對信息安全的要求。
文檔加密是現今信息安全防護的主力軍,採用透明加解密技術,對數據進行強制加密,不改變用戶原有的使用習慣;此技術對數據自身加密,不管是脫離作業系統,還是非法脫離安全環境,用戶數據自身都是安全的,對環境的依賴性比較小。市面上的文檔加密主要的技術分為磁碟加密、套用層加密、驅動級加密等幾種技術,套用層加密因為對應用程式的依賴性比較強,存在諸多兼容性和二次開發的問題,逐步被各信息安全廠商所淘汰。
我們所能常見到的主要就是磁碟加密和驅動級解密技術:
磁碟加密技術:主要是對磁碟進行全盤加密,並且採用主機監控、防水牆等其他防護手段進行整體防護,磁碟加密主要為用戶提供一個安全的運行環境,數據自身未進行加密,作業系統一旦啟動完畢,數據自身在硬碟上以明文形式存在,主要靠防水牆的圍追堵截等方式進行保護。
磁碟加密技術弊端:
是對磁碟進行加密的時間周期較長,造成項目的實施周期也較長,用戶一般無法忍耐;
磁碟加密技術是對磁碟進行全盤加密,一旦作業系統出現問題。需要對數據進行恢復也是一件讓用戶比較頭痛的事情,正常一塊500G的硬碟解密一次所需時間需要3-4個小時;
磁碟加密技術相對來講真正要做到全盤加密還不是非常成熟,尤其是對系統盤的保護,市面上的主要做法是對系統盤不做加密防護,而是採用外圍技術進行安全訪問控制,大家知道作業系統的版本不斷升級,微軟自身的安全機制越來越高,人們對系統的控制力度越來越低,尤其黑客技術層層攀高,一旦防護體系被打破,所有一切將暴露無疑。
另外,磁碟加密技術是對全盤的信息進行安全管控,其中包括系統檔案,對系統的效率性能將大大影響。
驅動級技術:是信息加密的主流技術,採用進程+後綴的方式進行安全防護,用戶可以根據企事業單位的實際情況靈活配置,對重要的數據進行強制加密,大大提高了系統的運行效率。
驅動級加密技術與磁碟加密技術的最大區別就是驅動級技術會對用戶的數據自身進行保護,驅動級加密採用透明加解密技術,用戶感覺不到系統的存在,不改變用戶的原有操作,數據一旦脫離安全環境,用戶將無法使用,有效提高了數據的安全性。
另外驅動級加密技術比磁碟加密技術管理可以更加細粒度,有效實現數據的全生命周期管理,可以控制檔案的使用時間、次數、複製、截屏、錄像等操作,並且可以對檔案的內部進行細粒度的授權管理和數據的外出訪問控制,做到數據的全方位管理。
驅動級技術弊端:驅動級加密技術在給用戶的數據帶來安全的同時,也給用戶的使用便利性帶來一定的問題,驅動級加密採用進程加密技術,對同類檔案進行全部加密,無法有效區別個人檔案與企業檔案數據的分類管理,個人電腦與企業辦公的並行運行等問題。
明朝萬達 Chinasec(安元)文檔安全管理解決方案
俗話說“知己知彼,百戰不殆”,如何保護企業自身重要情報不被競爭對手竊取,使企業在使用網路來提高工作效率的同時避免企業重要的智慧財產權遭受侵害,將是文檔安全管理的一個重要課題。
Chinasec(安元)文檔安全解決方案從客戶端的身份認證管理、電子文檔的手動/自動加密、電子文檔的密級許可權控制、日誌審計等環節進行綜合安全防護,構成多層次、全方位的文檔終端安全管理體系。為提供安全的移動信息安全服務,為用戶提供了強有力的文檔信息安全支撐。
♦用戶身份管理,通過加強終端使用者的身份認證,包括口令認證,UKEY認證等不同的認證強度來確保終端當前使用者的身份,並且可以與AD域賬戶同步管理,按公司部門建立用戶管理樹,可設定用戶職位信息與職位關係;
♦文檔密級管理,可控制文檔的各種操作許可權,支持多種檔案密級策略,可靈活的針對部門、操作、密級進行文檔安全設定。例如,對文檔劃分“秘密”、“機密”、“絕密”等密級,用戶只有系統賦予相應密級使用許可權後,才能查看對應密級的文檔,有效保證了文檔的分級保密管理安全;
♦文檔許可權管理,對於各密級的文檔可賦予不同的管理許可權,許可權策略靈活可控,包括讀、寫、另外儲存、複製、截屏、列印、列印水印、使用次數、使用時間等。
♦文檔使用許可權提權管理,當使用者在文檔使用中需要提升許可權時,提供簡便流暢的檔案提權審批流程;
♦文檔加密(手動/自動),系統提供手動和自動兩種加密模式。手動加密模式如下:由文檔的作者對文檔主動進行加密,文檔作者可以根據需求選擇哪些文檔需要加密,哪些不需要加密。加密許可權和密級由系統下發策略提供;
♦文檔自動加密,由系統下發策略,可設定對特定存儲環境下(如整個硬碟、某個分區、某個資料夾等)的常見電子文檔進行自動加密,並可根據需要對不同文檔賦予不同密級和許可權。
♦文檔外帶審批,當加密電子文檔需要外發至第三方人員處進行交流時,系統提供一套簡單流暢的文檔審批外帶流程,可對文檔進行解密審批,並可控制文檔外發後的第三方人員使用該文檔的許可權(包括身份認證、讀、寫、另外儲存、複製、截屏、列印、列印水印、使用次數、使用時間等);
審計記錄,系統可自動記錄客戶端電腦加密並使用電子文檔的記錄,管理員可以隨時查找文檔訪問信息,可用來追蹤泄密渠道,也可用作電子取證。同時,系統管理員的操作也會被完整記錄下來,監督員可以進行查詢和分析。
部署方式
Chinasec文檔安全管理系統部署圖
方案特點
♦提供強有力的用戶身份管理,根據人員身份限定使用文檔使用許可權,賬戶信息可與企業現有AD域賬戶管理相結合,一套企業用戶體系實現系統賬戶管理;
♦對文檔使用進行細粒度的密級和許可權劃分,保證了文檔再複雜的使用環境下,根據使用人的許可權而呈現出不同的許可權,提高高安全級別人員的
♦使用便捷性,限定低安全級別用戶對檔案的使用許可權,結合檔案操作審計可完整的控制重要電子文檔的生命周期。
♦管理靈活,加密方式多樣,提供手動、自動模式,簡單易用,可充分滿足不同使用人員的文檔安全管理需求;
♦方案成熟,部署簡單,可通過內部管理軟體如:AD域推送靜默安裝。
博睿勤數據加密技術完美解決方案:虛擬化沙盒技術+驅動加密:
隨著人們對信息安全意識的不斷提高,簡單的驅動級加密技術已經無法滿足用戶的基本安全需求,如何解決個人檔案與企事業單位檔案的隔離,實現對部分數據加密,部分數據不加密,多人使用一台電腦,這就成了信息安全的一大難題,如何有效的解決用戶的安全需要,同時滿足用戶的使用便利呢?
博睿勤公司專注
信息安全技術的研究,緊跟信息安全的發展脈搏,採用國際先進技術,開發完成了酷衛士數據安全綜合管理平台,在滿足企業對數據安全要求的同時,解決用戶使用的便利性。
酷衛士數據安全管理平台採用國際最先進的虛擬化技術、沙盒技術、驅動級加密等技術:
首先平台採用虛擬化技術,虛擬化最接近用戶的還是要算的上桌面虛擬化了桌面虛擬化主要功能是將分散的桌面環境集中保存並管理起來,包括桌面環境的集中下發,集中更新,集中管理。桌面虛擬化使得桌面管理變得簡單,不用每台終端單獨進行維護,每台終端進行更新。
終端數據可以集中存儲在中心機房裡,安全性相對傳統桌面套用要高很多。桌面虛擬化在用戶原有的作業系統上虛擬出一個全新的安全桌面,這樣用戶就擁有一個電腦桌面與安全桌面,用戶可以實現在電腦桌面進行個人檔案操作,在安全桌面進行辦公操作,用戶只有在安全桌面才可以訪問企業的業務系統,電腦桌面無法訪問,兩個桌面的操作具有無關性,用戶可以在兩個不同桌面同時處理個人檔案與辦公檔案。
同時在安全桌面的所有運算元據將保存在虛擬磁碟里,虛擬磁碟採用加密技術進行安全防護,用戶一旦退出安全桌面,
虛擬磁碟將自動退出,所有數據將不可見,有效保障了數據的安全性。
沙盒技術可以算是虛擬機的一種發展,其技術原理似乎也和虛擬機大致相同,但它們仍有很大區別。沙盒是一種更深層的系統核心級技術,在一個程式運行時,沙盒會接管程式調用接口或函式的行為,並會在確認攻擊行為後實行“回滾”機制,讓系統復原。
沙箱通過重定向技術,把安全桌面內應用程式生成和修改的檔案,定向到自身資料夾中,這些數據的變更,包括註冊表和一些系統的核心數據。通過載入自身的驅動來保護底層數據,屬於驅動級別的保護。
沙箱通過
虛擬化技術創建的隔離系統環境。您可以在沙箱中運行包含
風險程式的程式(如未知檔案、病毒木馬等),沙箱會記錄程式運行過程中的各種操作行為。
在沙箱中的程式有下列限制:不能運行任何本地的的可執行程式。不能從本地計算機檔案系統中讀取任何信息,也不能往本地計算機檔案系統中寫入任何信息。所有操作都是虛擬的,真實的檔案和註冊表不會被改動,這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。
沙箱內的檔案操作,包括執行檔和非執行檔:安全桌面內的進程所對檔案和系統的修改,全部被重定向。並且重定向後的檔案是經過加密的,即使重定向的檔案被泄露,也沒有安全隱患。用戶註銷後,重定向檔案全部被刪除,即所有在安全桌面下進行的檔案操作對於默認桌面沒有任何改變。
在安全桌面中,所有的通訊也被嚴格控制,安全桌面與電腦桌面之間通信也會被重新定向而進行控制,防止用戶把資料泄露出去。包括Socket通訊、安全桌面內的進程與電腦桌面的進程通過本機IP進行通信,避免數據泄漏。
沙箱技術具有以下特點:
1. 完全隔離並輕量的虛擬化技術;
2. 自動識別特定有風險軟體隔離運行;
3. 所有的磁碟操作放置在一個緩衝區,沒有真正寫入;
4. 安全不留痕跡,用的省心更安心。
沙箱主要為用戶的安全桌面提供一個安全的運行環境,將電腦桌面與安全桌面進行安全隔離。
關於驅動加密技術,在前面的分析中我們已經介紹過了,在這裡不再重複。
博睿勤數據安全管理平台還具有以下特點:
1. 用戶操作可以實現電腦桌面與安全桌面的平滑切換,不需要進行系統重啟操作,大大提高了用戶的辦公效率和用戶體驗度;
2. 平台不但可以實現線上登入功能,同樣為用戶提供離線和外出登入功能,滿足用戶的不同安全需求;
3. 平台可實現安全桌面可以訪問電腦桌面,電腦桌面禁止訪問安全桌面功能,可以大大提高數據的訪問效率;
4. 平台同時可以實現電腦桌面與安全桌面的同步安全管理,可根據安全需求靈活控制策略;
5. 平台可實現檔案的集中管控,本地不留檔案的安全功能,數據全部集中存儲在伺服器上;
6. 平台可滿足用戶的複雜環境的需求,可在一套系統內實現主機管理、賬號管理、集中管理、桌面管理等強大功能;
7. 平台具有防水牆的功能,可實現設備管理、隨身碟管理、上網行為管理、文檔加解密功能、軟硬體資產管理、非法外聯、準入管理、檔案備份、列印管理、授權管理、外發管理功等38項功能;
8. 產品不但解決了用戶的數據安全性問題,同時降低了管理難度、實施難度和用戶的牴觸心理;
9. 平台可以實現一個人多個桌面,從事不同的工作;
10. 平台有效解決多人使用一台電腦的安全問題。
公司優勢:
博睿勤公司專業從事數據安全保密十年,十年誠信品質見證,自主研發的產品均有軟體著作權,國家保密局、軍隊、公安部、國家密碼管理局榮譽資格證書。產品在湖南全省統配、甘肅全省統配,福州全市統配、中國船舶重工全國統配、中國船舶工業全國統配、中國航空工業指定品牌、中國人民銀行供貨廠商、安全部紅網指定產品、國防科工委十一五、十二五指定供貨商,產品在軍工、軍隊、政府、企事業單位,金融、能源、製造業,上市公司等得到大量套用,得到客戶一致好評和口碑。
公司研發實力
博睿勤是一家研發、生產、銷售、服務於一體的高新技術企業,公司依託於黨政軍,立足於千萬家企業的數據安全專業公司,公司擁有強大的技術後盾和科研力量,產品研發不斷推陳出新,緊跟國際信息安全的發展脈絡,為廣大客戶提供可持續化的安全服務。
公司在西安、成都分別成立了研發基地,公司參與國家重點新產品,火炬計畫、國家863工程,研製的政府軍工統配項目“三合一”研製軍佇列裝項目“文檔集中管控系統”國內首家研發出基於BIOS硬碟鎖產品,國內首家研製手機泄密防範教育演示系統,是一家有研發實力的公司,可以做定製化的服務。
博睿勤的不僅是文檔安全管理系統,提供的是數據安全整體解決方案,平台每個功能模組都由國家主管部門的單項資格認證及檢測報告,數據安全管理平台以文檔安全管理為核心、將終端身份認證安全登入、桌面安全管理系統、移動介質安全管理系統、光碟機監控刻錄審計、列印審批、快照及水印、上網行為管理系統七大系統整合於一體,構建數據安全整體防泄密平台,實現了從核心檔案的安全、物理層安全到網路層安全的全方位、立體化、多角度的安全防護體系。
服務優勢
博睿勤擁有豐富的大型項目的服務經驗,通過服務全省、全市、全行業的項目,公司總結出了一整套的項目管理、項目實施、項目服務體系,並在軍工、軍隊、政府、企事業單位,製造業,設計院、生產企業、能源、金融、上市公司等大型成功案例套用,得到客戶的認可及好評
博睿勤為客戶提供的不只是產品在提供產品的同時為客戶提供定製化的配套服務;例如安全諮詢安全培訓安全制度安全策略等
博睿勤公司同樣是用友、江民、啟明星辰、天融信、中興通訊、英特爾、德勤、聯想的戰略合作夥伴。
客戶價值
博睿勤為您提供的不單是文檔安全管理,更是安心、省心、放心無微不至的高品質服務。
按照管理三七原則,一個好的產品在管理中只占三成,七成的管理如何配合、保障都是至關重要的,安全產品的推廣實施難度大、影響多是所有管理員頭痛的問題,如何採取有效的培訓機制和管理措施將員工的抵制心態轉變為支持,這恰恰是博睿勤公司為您提供的貼心服務,與博睿勤的合作,你不只是買的產品,你同樣會深刻體驗到博睿勤給您帶來的客戶價值。