1、技术白皮书 警盾 Lidwall数据防泄密系统软件协助你卓越胜出的好伙伴- 1 -南京蝴蝶科技有限公司Butterflysoft Co., Ltd版 权 声 明警盾Lidwall数据防泄密系统软件知识产权归南京蝴蝶科技有限公司完全所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于南京蝴蝶科技有限公司。未经南京蝴蝶科技有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息
2、制作,其内容如有更改,恕不另行通知。南京蝴蝶科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但南京蝴蝶科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈您可以访问蝴蝶科技网站,获得最新技术和产品信息。公司:南京蝴蝶科技有限公司网址:电话:(025)68599333传真:(025)68599330电邮:协助你卓越胜出的好伙伴- 2 -目 录第 1 章:概述 .31.1 关于警盾内网防泄密系统 .31.2 数据防泄密 .3第 2 章:产品技术和特点 .42.1 智能透明加密 .42.2 高效稳定处理性能 .52.3 分权限多策略管理 .52.3.1 密级
3、管理 .52.3.2 客户端管理 .72.3.3 客户端离线 .82.3.4 文件外发 .82.3.5 文件授权 .82.4 多种解密方式,完善的审批流程 .82.4.1 申请解密 .92.4.2 邮件解密 .102.4.3 安全区域解密 .122.4.4 申请打印 .132.5 密文自动备份 .132.6 简易便捷的管理部署 .132.7 多重主动防御泄密 .142.8 多重日志审计 .142.9 全程监控与远程管理 .15第 3 章:系统部署架构 .163.1 典型部署 .163.1 异地部署 .163.1.1 VPN 方式 .163.1.2 同号加密狗方式 .173.1.3 单机客户端方
4、式 .17第 4 章:行业解决方案 .184.1 行业应用 .184.2 系统支持类型 .18第 5 章: 综述 .23协助你卓越胜出的好伙伴- 3 -第 1 章:概述1.1 关于警盾内网防泄密系统警盾数据防泄密系统(警盾防泄密系统,以下简称警盾)是南京蝴蝶科技有限公司自行研发的数据防泄密产品。警盾采用国际最先进的 Windows 底层文件驱动过滤技术,通过计算机底层操 作 系统 实现 对计 算 机 本 身 及 外 围 存 储 设 备 的 数 据 进 行 严 格 的 加 解 密 控 制 。警盾采 用 透 明 加 解 密 技 术 , 在 不 改 变 企 业 用 户 原 有 工 作 习 惯 和 工
5、 作 流 程 的 情 况 下 , 对 指 定的 应 用 程 序 和 指 定 后 缀 的 文 件 进 行 自 动 加 解 密 处 理 , 不 需 要 人 工 输 入 密 码 加 解 密 。 同 时 , 通过 灵 活 的 加 密 策 略的配置、分组和分级权限控制,完全达到企业对文件安全性和管理人性化的双重要求。警盾数据防泄密系统围绕加密这个核心,通过各种对防泄密的研究,从外围到深层不断拓展研究,截获、防御各种泄密的方式。蝴蝶坚信,不了解防泄密的最新发展,就谈不上对防泄密的有效防范。为此蝴蝶科技建立了数据防泄密研究小组。通过持续不断地研究、实践和积累,逐渐建立起一系列数据、信息和知识库作为公司产品、
6、解决方案和专业服务的技术支撑。蝴蝶科技在防泄密技术领域的成绩受到了广大客户的认可,得到业界的一致好评,为船舶协会为推荐产品。警盾数据防泄密系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧,是您值得信赖的数据安全产品。1.2 数据防泄密泄密行为包括哪些?什么样的行为可以称为泄密行为?我们来看对泄密行为的标准定义:非法人员是指在非授权的情况下,试图获取企业重要信息、处理信息或散布企业内部机密,达到某种目的的行为。在当今信息社会中,商业间谍、黑客、不良员工对企业的信息安全形成了巨大的威胁。而网络的普及和 USB 接口的大量使用给企业获取和交换信息带来巨大方便的同时,也给这
7、些威胁大开方便之门。如何来管理这些情况呢?大多数企业是采用拆除光驱软驱,封掉 USB 接口,限制上网等方法来尽可能的减少信息交换,以达到信息保密的目的。或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动。但这些方法都严重影响工作的方便性,并容易引起员工的抵触情绪,甚至可能会带来法律方面的问题。并且现在大量事实证明这种方法效果不是很好,重要的文件往往依旧会泄漏。根本问题是内部机密是如何被泄漏的?我们来分析内部机密是怎么外泄的,从而知道不管什么方法也只有几种途径。切断泄密途径,自然就保密。根本上内部就是内部认识的,公开的就是公司认识的。2003 年,美国的执法机构 FBI 和 CSI 对数
8、百家企业进行了调查。该调查结果认为绝大多数协助你卓越胜出的好伙伴- 4 -泄密事件是由内部人员所为,或者由内外勾结造成的。IDC 的报告也得出了类似的结论:70%的安全损失是由内部造成的。由于内部人员熟悉文件的存放,还可以接触到密级高、范围广的文件,所以一旦发生内部人员故意泄密事件,其危害程度是大大超过外部人员的盗取(例如黑客攻击行为) 。可见,从数据保密角度来讲要内外兼防、甚至要防内终于防外。第 2 章:产品技术和特点2.1 智能透明加密警盾数据防泄密系统采用驱动级透明加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文
9、件自动解密。不影响使用习惯,不影响业务流程。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。所谓智能,是指警盾数据防泄密系统并不依赖可执行程序的名称来确定是否是受控程序,而是有一套专用智能识别算法。智能识别技术,无论怎么改变程序的名称,甚至用 UPX 等软件压缩可执行程序来改变 MD5 值,依旧不会逃过警盾防泄密软件的监测。只要文件的内容是需要受控的话,无论将其保存成为什么扩展名,都将被自动加密。其加密的原理如下图所示:2.2 高效稳定处理性能警盾数据防泄密系统采用 256 位 AES 加密算法和加密验证机制,确保加密文件无从破解。AES 算法加密速
10、度可达到几百兆每秒,高于硬盘读写速度。从理论上说,读文件的解密操作与写文件的加密操作是一个流水线的过程,整个过程只增加 0.38%的开销,用户主观上感觉不到延迟。同时对系统缓存进行了大量的优化,同时采用独有的 3 层过滤判断的技术,将系统的资源进行了最优化,使加密文件的打开和保存速度大幅度提高。对于网络异常断线,机器异常断电等突发异常,警盾数据防泄密系统可确保文档不被破坏。网络断线时,采用客户端内存数据验证,断线时间可以设定,能够适应任何复杂的网络环境。协助你卓越胜出的好伙伴- 5 -2.3 分权限多策略管理2.3.1 密级管理警盾数据防泄密系统率先引入了“密级”的概念,根据保密制度和策略,通
11、过部门、密级、文档类型的相关联,细化到各部门加密的不同文件类型,划分“公开” 、 “普通” 、 “私密” 、 “保密” 、 “机密” 、 “绝密”六个等级。某个组修改加密策略时,设置指定类型文件的加密等级,该组自动加密的文件就带有权限。再对每一个客户端设置访问策略,这样,只能是具有相应访问权限的客户端才能访问该部门的某种权限类型文件。协助你卓越胜出的好伙伴- 6 -开发部经理项目部主管 0 1开发部 ( 0 1 )成员 0 1 成员 0 1成员 0 1 成员 0 1开发部 ( 0 2 )成员 0 1 成员 0 1成员 0 1 成员 0 1项目部主管 0 2总工程师总经理审核完毕 , 授权返回存
12、档文件 ( P D F )授权文件给经理存档存档销售部门销售人员 0 1销售人员 0 1企业外部用户文件外发审批流程归档流程审核授权外发流程图形备注 :企业文档权限示意图等级一:”开发部(01) ” , ”开发部( 02) ”。 在没有授权的情况下。只能浏览本部门的文件。等级二:销售部。 只能浏览使用存档文件。等级三:开发部经理,总工程师。有权限修改阅读,开发部文件。等级四:总经理。独立文件权限,可以浏览修改任何部门人员文件。协助你卓越胜出的好伙伴- 7 -( 原始开发文档 ) T e s t . d w g项目主管项目经理开发部 ( 0 1 )成员 1等级一总工程师总经理( 开发文档 )T
13、e s t . d w g等级一小组名称( 开发文档 )T e s t . d w g说明 :如果所示 , 红色表示审核不通过 。 从文档的颜色看到处理过程中 , 文档权限是逐步升级的 . 红线和绿线返回过程文件权限需要降级处理 , 否则开发人员无法使用修改后的文件 。降级处理采用针对单个文件对指定人员授权的方式 。 例如总经理审核后批注后 , 需要授权给员工 1 , 审核后的文档( 红色背景文档 ), 只有员工 1 有修改此文件的权限 。 项目经理和总工程师无法修改查看此文件 . ( 审核开发文档 ) T e s t . d w g文档审核过程中权限变化示意图2.3.2 客户端管理客户端分为
14、“联机客户端” 、 “单机客户端” 、 “老板客户端” 。联机客户端就是部署在网络内部的,与服务器连接通信,获得密钥以加解密数据。通过设置客户端加解密开关,可以对文件进行有选择的加解密。开启加解密时,策略内的公司文件仍然自动加密;关闭加解密时,公司文件就无法打开,同时保证私人的文档不会加密。单机客户端是通过控制台生成,包含加密策略的,可以不连接服务器而实行自动加解密。老板客户端是比较特殊的客户端,在这台客户机上,可以查看加密文件,而不需要加密本机的文件,通过老板客户端打开的文件就成为未加密状态。协助你卓越胜出的好伙伴- 8 -2.3.3 客户端离线联机客户端“离线”策略,可以用离线包或 U_K
15、EY 进行验证,管理出差或其他情况需要离开公司网络的电脑。使用 U_KEY 验证时,加密文件只有在插入 U_KEY 时才能正常使用,拔下U_KEY 就不能打开。2.3.4 文件外发需要外发给客户的文件可以采用单机客户端策略,设置好加密类型之后安装到客户的电脑上,以此保持外发文件的加密状态,并且可以对时间控制,防止客户泄密。 2.3.5 文件授权加密后的文件,客户端具有文件授权的功能。对某个组授权,或者对某个客户端授权之后,文件只有创建者本身以及所授权的人才能查看。2.4 多种解密方式,完善的审批流程客户端透明加密或控制台手动加密之后,对于种种需要解密的情况,警盾数据防泄密系统制定了多种灵活的策略,并具有完善的审批流程。协助你卓越胜出的好伙伴- 9 -2.4.1 申请解密加密的文件,在右键菜单会出现申请解密的选项。可以给管理员发送解密申请消息,管理员视具体情况决定是否进行解密。这里有两种方式:顺序审批和共同审批。顺序审批就是只要某一个管理员同意即可进行文件解密;共同审批就是需要所有管理员都同意才能解密。审批通过后,解密后的文件将传给申请者,此时就可以将未加密的文件进行外发等操作。审批过程都会以日志形式保存。
