1、军盾数据防泄密系统技术白皮书安徽省六安市裕安区锦成国际 1905 室电话:0564-3618520http: /目 录一、数据保密需求 .11、背景 .12、企业信息泄露事件愈演愈烈 .2二、功能列表 .3三、技术优势 .51、加密策略 .52、加密参数 .63、解密审批 .74、文件权限 .75、解密 UKey.87、离线策略 .96、自定义策略 .98、审批日志 .109、加密文件备份 .1110、全盘加、解密 .11四、运行环境 .121、安装模块选定策略 .122、系统要求 .123、网络要求 .134、数据库要求 .135、跨互联网支持 .13五、关于军盾 .141、军盾简介 .14
2、2、军盾产品 .153、资质荣誉 .164、联系我们 .170564-36185200一、数据保密需求1、背景当前信息化和网络办公的普及,使得“数据”的安全越来越关系企业的生死存亡。传统信息安全领域主要关注由于外部入侵或破坏而导致的数据破坏和泄漏以及对病毒的防范,企业网络内部的信息泄漏,却没有引起足够的重视。内部信息的泄漏包:如内部人员泄密、其他未授权人员直接接入内部网络导致的泄密、某些软件自动登录其发行商网站导致企业相关内部信息公开资料等。显然,对于企业内部的信息泄密,传统手段显然无法起到有效的预防和控制作用。由于内部网络泄密的事件时有发生,而且给企业和机构带来的损失也越来越大。信息盗窃事件
3、的主谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被内部员工无意泄漏或故意盗窃。与传统的外部盗窃相比,这种来自内部的恶意泄露更具有针对性,隐蔽性,给企业造成的损失也更大。此外,我们企业向来尊重知识产权,但是有些软件自动登录其发行商网站,重复注册企业信息,给使用者带来诸多不便,比如网络拥堵,比如泄漏企业内部生产经营状况和 IP 资料等,更有部分不道德软件代理商利用这些信息骚扰使用者单位,严重干扰企业正常工作。上述种种,都使得企业的网络安全和数据保密成为企业管理工作的一部分,和管理水平的体现。0564-361852012、企业信息泄露事件愈演愈烈自加入世贸至今,浙江省立案侦办的侵犯商业(技术
4、)秘密犯罪案达四十余宗,而其中 80的商业(技术)秘密是在职工跳槽时带走的。0564-36185202二、功能列表模块名称 功能名称 功能详述及简介部门、员工管理在军盾加密系统中可以建立与企业真实组织结构完全相同的组织结构关系。当企业实际人员、部门进行调整时,管理者通过控制台灵活改变系统中的组织结构。用户管理分级管理功能分级管理功能由特权管理部门和管理员角色来体现:可以建立特权管理部门,其中包括多个全局管理员,可以对全体员工进行管理;解密外发当与外部交流,需要解密文件,员工可以通过申请解密文件,管理人员受到申请信息,根据收到申请解密文件,决定是否通过审批。可以设置多人审批,分级审批。文件外发功
5、能防泄密外发当员工外发重要文件时,可以向管理员申请外发,同时可以设置外发出去的文件的打开次数,打开时间,是否可以打印、截屏等操作。权限管理功能 文件密级管理军盾加密系统率先引入了“密级”的概念,根据保密制度和策略,通过部门、密级、文档类型的相关联,细化到各部门加密的不同文件类型,划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。每个部门有单独的权限,不同部门之间默认不可互相访问,可以根据需求进行一些必要的设置和授权。剪贴板控制受自动加密保护的文件,具有剪贴板防护的功能和控制。例如,WORD 为受保护的文件,无法将 WORD 文件中的内容拷贝到聊天对话框和其它编辑工具内,但
6、是可以将其他类型的文件内容复制到 WORD 文档中来。客户端管理自动加解密按照透明加解密策略,自动加解密文件。对于加密保护的文件,无法通过任何复制、粘贴、拖拽等方式,利用邮件、即时通讯工具等非受信任的执行程序带出到企业以外。0564-36185203日志审计所有通过申请解密的记录,留有解密文件备份在服务器。可以记录文件操作日志,打印日志,并可以自定义查询日志,可以做相应的导出。远程加解密 对远程客户端的计算机端进行手动加解密。离线用户管理(长期)若员工不能够与企业内网中的服务器相连,可以利用单机客户端的方式。离线管理离线用户管理(短期)若员工临时出差在外,可以通过离线策略对其进行管理。为员工下
7、发“离线包”或者 UKEY,则员工可以在出差期间使用加密文件。如果采用 UKEY 可以控制出差人员使用的天数。发件人白名单管理员可以设置发件人白名单,白名单中的发件人发出的邮件中的附件会自动解密邮件白名单收件人白名单管理员可以设置收件人白名单,白名单中的收件人收到的邮件中的附件会自动解密审批日志备份系统会记录所有申请解密操作、外发操作、审批操作。同时将把所有相关操作的源文件备份到服务器上。数据备份加密文件备份所有加密的文件,定时备份到服务器上,已经备份过的,没有修改过,不备份。加密文件修改过,会自动备份到服务器上,同一个文件,每天只备份一个版本。禁用 U 盘 禁止员工使用 USB 设备(区分存
8、储设备及输入设备)。禁用光驱 禁止员工使用光驱设备。禁用软驱 禁止员工使用软驱设备。禁用打印机 禁止员工使用打印机设备。策略实现禁止截屏防止截屏(包括系统截屏,QQ 截屏,搜狗截屏等其他第三方截屏软件)。0564-36185204离线文件查看 允许员工离线打开自己的加密文件。手工加密、解密允许员工手动开启加密解密功能,员工桌面的任务栏中显示图标可以进行手动关闭或者打开 (开关客户端功能)。硬件密钥产品出厂是自带硬件加密狗,加密狗中集成着该套产品的全球唯一的加密秘钥。只要用户保护好自己的加密狗,保证不能出现在两个加密环境中使用。用户密钥 用户自己设置,厂商拿到用户的文件也不能解密。密钥管理机器密
9、钥 每台机器具备一个密钥,保证加密文件的安全性。跨互联网集中管理对于子公司或者办事处,可以通过跨互联网集中管理,统一由总部管理。子公司和办事处文件能无障碍流通。单机客户端分公司或者办事处人员比较少,可安装单机客户端,单机客户端部署后,所有文件跟公司内部一样拥有统一的策略和密钥。可确保公司文件无障碍流通,以及文件安全。跨网络支持分布式管理总公司,子公司,办事处可以采用多个同密钥服务器部署,分布式管理,集中式密钥,确保公司文件无障碍流通。老板客户端 对公司内部加密文件无限制的打开,打开后的文件不再加密。文件备份 可以根据需要对客户端进行文件备份。控制台自动锁定管理员根据需要设置自动锁定控制台时间。
10、远程管理可以对客户端进行远程监视,和对远程计算机进行一些基础性的操作。其他加班、外发 可以直接对加密文件外发,限制使用时间等。0564-36185205三、技术优势1、加密策略管理员可以给终端计算机设置要加密的软件,包括 CAD、UG 、SOLIWORKS 、OFFICE、WPS等上百种软件。当客户端应用了加密策略,那么被加密的软件生成的一切文件都将是加密的。对于管理者的计算机可以应用打开文件自动解密模式,也就是老板模式,采用这种模式的终端,打开加密的文件都会自动解密。2、加密参数管理员可以设置终端计算机右键菜单的权限,包括:批量加密、批量解密、USBKEY 解密等。也可以设置终端计算机申请解密、申请打包外发时的文件使用天数和打开次数等。0564-361852063、解密审批管理员可以设置终端计算机申请解密的流程,支持多级审批,每级可以设置多人审批,任意一个人审批通过,则此级解密审批通过0564-361852074、文件权限管理员可以给终端计算机设置级别,最高级别为 6 级,高级别计算机可以打开低级别计算机生成的文件,低级别计算机不能打开高级别计算机生成的文件。
