永涵电子企业安全卫士技术白皮书(正式版).doc

永涵电子企业安全卫士技术白皮书汕头市永涵电子科技有限公司n 版权声明本手册的所有内容，其版权属于汕头市永涵电子科技有限公司（以下简称永涵电子）所有，未经永涵电子许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，永涵电子及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，永涵电子恕不承担另行通知之义务。版权所有 不得翻印 2010-2011永涵电子目 录1产品背景.11.1企业信息安全现状11.2产品定位31.3系统运行环境32产品概述.42.1产品简介42.2产品架构42.3产品布署拓扑图63产品主要功能.73.1实时透明加密技术应用.73.2实时透明解密技术应用.73.3客户端策略集中管理73.4客户端离线管理73.5身份、身份组认证技术的应用73.6灵活的审批流程.83.7掉电文件保护技术应用83.8打印机控制83.9黑名单技术的应用.83.10支持网络文件系统.93.11强制水印技术的应用.93.12文件外发控制.94技术特点104.1设计思想.104.2技术原理.104.3技术实现.115技术支持121 产品背景1.1 企业信息安全现状 近年来，随着互联网在中国的迅速发展，政府、经济、社会、文化和人们生活等各方面都越来越依赖于网络。网络经济的兴起和发展，极大地改变了人们的生活、工作和思维方式，促进了经济的发展。但在这个发展潮流中，网络信息安全隐患越来越突出，信息泄密事件时有发生。黑客攻击或商业间谍入侵、木马病毒肆虐、内部员工有意或无意的泄密行为，以及存储大量数据的硬件被盗或丢失，都可能直接导致泄密情况发生，并给企业和单位造成大量的经济与声誉上的损失。信息安全也成为各网络应用单位面临的难点问题，同时随着各单位与个人对网络和电脑依赖程度越来越大，这种安全威胁和影响也不断扩大，甚至已经成为当今网络应用中最敏感的问题之一。 为解决这些问题，许多单位采取拆除光驱、软驱、封闭USB外设接口、限制上网等方法来尽可能的减少信息交换，以达到信息保密的目的；或者安装监控软件，监控员工的日常工作，使其不敢轻举妄动；或者安装各种网络信息安全防护产品，如防火墙、入侵检测、防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快发现，网络信息安全不是绝对的，没有任何一个产品或者技术能够绝对确保自己的网络不被黑客攻击和病毒入侵。同时，限制上网、封闭USB接口、拆除光驱软驱、安装监控软件等等做法一方面严重影响工作的高效性，同时容易引起员工的抵触情绪；另一方面还是无法根本杜绝有意的内部泄密行为。大量事实也证明这些方法效果不是很好，重要的文件依旧会泄漏。 美国的执法机构FBI和CSI曾对数百家企业进行了调查。该调查结果认为绝大多数泄密事件是由内部人员所为，或者由内外勾结造成的。IDC 的报告也得出了类似的结论：70%的安全损失是由内部造成的。这些都印证了中国的一句古话 “家贼难防”。由于内部人员熟悉文件的存放，还可以接触到密级高、范围广的文件，所以一旦发生内部人员故意泄密事件，其危害程度将大大超过外部人员的盗取。可见，从数据保密角度来讲，要内外兼防、甚至要防内甚于防外。 因此不难看出，目前企业对于数据安全面临的问题是： 企业中各种内部文件无法受到强制加密保护，员工可以随意的把公司中的内部文件非法拿到公司之外。 一些企业已经通过简单的加密工具，主动加密企业内部的机密文件，但是对于管理者来说，无法实现对员工的主动管理，实现对内部机密文件的被动强制加密保护。 员工在外地办事处或者分公司通过VPN等方式访问企业内部的机密文件的同时，无法保证文件的安全。 一些企业已经有自己的内部文件服务器，也有相应的文件管理员对文件访问权限进行管理，但无法保证文件服务器上存储的文件的安全。 企业中利用WINDOWS或者VSS等文件管理系统来管理文件及文件访问权限时，只能够设置简单的文件访问权限，无法根据企业中员工的实际业务需要，提供细粒度的访问权限。 企业中为了控制员工通过一些硬件存储设备，私自拷贝内部的机密文件，通常是在员工的机器上贴封条或者彻底禁用设备端口的方式，来杜绝员工非法把企业中的内部机密文件带出到企业以外，无法通过人性化的管理方式，既能够在正常工作时使用这些设备，为工作带来方便，又不允许非法使用这些设备。 一些对企业不满的员工，在离开企业时，经常把使用的机器上的文件都故意销毁。员工工作中形成的内部文件，无法实时进行备份，造成对企业资产的一定损失。 企业中日常的办公，经常使用邮件系统、及时通讯工具等与客户进行业务上的沟通，在使用这些工具进行方便工作的同时，无法控制使用这些工具对企业内部机密文件的泄漏。 企业已经有一些文件安全的管理方法，但是对于出差或者外出办事的员工，无法控制在离开企业内网环境下，其笔记本上存储的企业内部机密文件的安全。 对于企业在文件安全管理过程中，出现的文件安全事件无法追踪。在企业中，一旦出现文件泄密事件，没有追踪的依据。1.2 产品定位永涵电子企业安全卫士可以广泛应用于需要限制文档访问范围的领域： 党政机关：涉及国家机密的的文档（公文、机密文件、会议纪要、统计数据、情报等） 金融机构：包含大量敏感信息和商业秘密的文档（投资信息、大客户信息、上市公司年报等）； 医疗行业：带有不允许泄漏敏感信息的文档（医案、病案、病人信息、图片等）； 咨询行业：含有商业秘密信息的文档（调查报告、咨询报告、商业计划、客户资料等）； 制造行业：需要限制共享对象的企业文档（设计图纸、财务预算、商业计划、价格体系、采购成本、合同定单、物流信息、管理制度等） 研发行业：需要保护知识产权的文档（源代码、设计文档、知识库等）。1.3 系统运行环境l 硬件环境推荐配置CPU：P4 2.0以上； 内存：512MB以上；硬盘：2G以上； 分辨率：1024*768；l 软件环境服务端： 支持操作系统Windows 2000、Windows XP、Windows 2003的各个版本。 支持数据库 SQL Server 2000/2005、MySQL5.0客户端： 支持操作系统Windows 2000、Windows XP、Windows 2003、Vista的各个版本。 邮件代理：支持操作系统Windows 2000、Windows XP、Windows 2003的各个版本。2 产品概述2.1 产品简介永涵电子企业安全卫士是一套高扩展性、可定制化的解决方案。本系统集身份认证、文件自动加解密、打印控制、程序控制、外发控制等多种技术于一身，对单位内部的图纸、文件、设计文稿、数据库或信息等敏感电子文件从创建、分发乃至销毁的全过程进行控制和保护，确保这些文件即便被黑客盗取或内部员工恶意外泄，获得者也无法打开，切实保障企业的信息安全。2.2 产品架构永涵电子企业安全卫士的组成包括服务端、客户端、邮件代理。以下是体系结构图：l 服务端：服务端对企业的文档保护策略进行集中管理，主要功能包括： 企业组织结构树的维护：用户组、用户信息维护； 用户权限配置：包括基本控制，外设控制，进程控制，自定义进程，文件接收者权限配置； 客户端用户组、用户策略配置和下发； 系统参数设置：包括一次性密码设置，客户端水印参数设置，数据的备份和恢复，公司信息导入、导出； 设置用户离线时段； 解密及出差审核流程的配置； 对客户端进行远程目录加解密； 客户端身份验证和密钥管理 客户端卸载 监控日志审计管理及离线人员查询 邮件信任列表 必定加密文件类型，全盘加密文件类型l 客户端：安装于受控主机上，执行服务器端的各种安全管理策略，实现对本地机密文件的安全管理，为企业员工提供易用、稳定、安全的安全信息终端。一般用户不可手动停止与卸载，只能由管理员通过服务端远程卸载，主要功能包括： 信息泄露防护，为本机文件提供透明的加解密服务 接收服务端下发的工作策略，并按照该策略控制客户端的工作模式 记录文件操作日志，并上传至服务端 通过服务器进行身份认证 向服务器申请离线 预设文件所有者； 设置“我的工作目录”； 调整文件接收者； 手动加解密文件； 出差申请，出差文件升级，结束出差；l 邮件代理：对于经常往来的客户，可以根据不同的用户设定不同的信任邮件地址，邮件代理会自动的将加密附件解密后投递给可信的用户。同时邮件代理会对解密的文件保留一份副本，以备日后检查，主要功能包括： 对文件进行自动解密操作 备份邮件附件内容2.3 产品布署拓扑图3 产品主要功能3.1 实时透明加密技术应用永涵电子企业安全卫士采用内核动态加密技术，当用户保存文件时，文件将被自动强制加密，加密过程不使用临时文件，不影响用户使用习惯。若将加密的文件拷贝至其他没有安装永涵电子企业安全卫士的机器上或非本单位机器时，文件将无法正常打开使用。3.2 实时透明解密技术应用永涵电子企业安全卫士使用实时解密技术，所有的加解密操作都在内存中分块完成。系统从硬盘中读取或写入多少数据，就加/解密多少数据，使得用户在打开文件时感受不到加解密带来的延迟。3.3 客户端策略集中管理永涵电子企业安全卫士通过服务端的集中控制台可以对全公司、部门、小组甚至每个客户端进行管理，配置不同的安全策略。同时能实时上收客户端的操作日志和审计日志到服务端集中管理，降低了整个系统的运维管理成本。3.4 客户端离线管理永涵电子企业安全卫士提供了很好的离线控制机制。当客户端与服务器端由于网络故障无法连接或者用户需要出差而无法实时连接服务端，客户端可以根据预设的策略被授权在一定时间内正常使用受控文件，超过限定时间系统将锁定客户端，文件将无法打开。3.5 身份、身份组认证技术的应用永涵电子企业安全卫士是基于身份验证的基础上对电子文件进行保护的，系统管理员可以指定（通过加密方式，而不是许可控制方式）一个文件只能由哪些人(身份)/哪些部门(身份组)使用其明文，不具备授权身份的用户即使得到了文件也不能得到其明文。 永涵电子企业安全卫士安装后会为每个单位用户生成一个唯一的密钥，各单位也可以再自行设置一个用户密钥，由两把密钥来共同完成加密工作。不同的单位之间由于无法得知对方的用户密钥，相互间无法解密对方文件，保证了文件的安全性。3.6 灵活的审批流程针对企业各种OA流程控制的需求，永涵电子企业安全卫士提供了丰富的业务审批流程。能支持文档解密和出差的审批流程。可自定义单人审批即可通过，或多人同时审批才能通过，或者任意审批人同意即可通过。同时能支持审批代理人功能，即审批主管离开或出差时，能下发权限给某一人员，代理其行使审批的权限。3.7 掉电文件保护技术应用当对大文件进行加密处理时，由于所需时间较长，在处理未完成的情况下，系统意外中断（如停电）。将导致数据文件处于一半加密，另一半未加密的状态，这将直接导致数据文件的损坏。基于以上因素考虑永涵电子企业安全卫士采用世界领先的文件实时快照技术，在系统发生异常中断的情况下能保证加/解密文件的正常使用，彻底杜绝由于意外情况导致的用户文件损坏。同时，当系统恢复正常后能利用文件快照，从中断的位置继续进行加密。即保证了数据的安全，也提高了效率。3.8 打印机控制永涵电子企业安全卫士可以对某个组或某台终端电脑设置禁止使用打印机策略，同时能通过打印水印来审计打印的内容。3.9 黑名单技术的应用永涵电子企业安全卫士可以设定客户端禁止使用某些应用程序（如MSN、QQ、游戏类软件、股票类软件等等），当发现用户使用了这些被禁止使用的应用程序，系统将自动关闭这些应用程序，并弹出消息提示。同时用户通过任何方式修改进程属性也无法执行禁止的程序。3.10 支持网络文件系统永涵电子企业安全卫士在访问文件共享服务器上的文件时，能自动加解密服务器上的文件，而不因为文件服务器没有安装客户端，而导致另存到服务器上的文件不被加密。3.11 强制水印技术的应用加密文档的内容仍然有可能通过截图、拍照、打印的手段被泄密，通过设置水印功能，可以把加密文档使用者姓名的水印设定在该文档上。这样，可以通过它追查到泄密者，从而提醒使用者增强安全防范意识。3.12 文件外发控制文件外方控制手段多样，包括：客户端解密后进行外发、通过邮件代理服务器进行解密外发、不解密外发。客户端解密后进行外发需要经过流程审核，如逐级地领导审批，这个流程是可以由管理员进行自由配置的。通过邮件代理服务器进行解密外发，邮件代理服务器提供了白名单(信任的邮件地址)功能，当通过该邮件代理服务器发送加密文件时，如果该邮件中描述的所有的接收者邮件地址都在管理员定义的白名单中，那么邮件代理服务器将自动将该邮件中的加密文件(以附件形式存放在邮件中)解密。系统会记录邮件代理服务器自动解密的整个过程的日志，以备日后审查跟踪。不解密外发，需要使用阅读器软件来使用外发过来的文件。外部合作伙伴可以通过这个工具来阅读合作伙伴所发的加密文件。4 技术特点4.1 设计思想永涵电子企业安全卫士是一个向整个计算机系统提供安全、便捷、广泛的反商业泄密解决方案的信息安全产品，在任何时间地点都可以安全地保护企业文件数据不被侵犯，让机密文件得到最周全的保护。本系统可以无缝地嵌入操作系统，实现便捷、透明的安全保护，为企业提供一个低成本、高可靠的反商业泄密解决方案。 特定的文件（并非所有的文件）在生成（或保存）之时，就被加密，且加密由计算机自动地进行，不依靠人工执行； 文件的加密和解密，不依赖人工设定的密码或口令； 被加密的文件在被涉密计算机使用时，就被解密，且解密由计算机自动地进行，无需人工操作，文件的使用者也无需知道“密码”； 被加密的文件在被非涉密计算机使用时，自动报错、显示乱码或者其他方式以阻止文件内容被传播； 文件需要被外部人员（或非涉密计算机）读取，应该由专人来审查并解除其保密状态； 内部人员交流需要授权，非法越权访问获得的文件无法打开使用。4.2 技术原理永涵电子企业安全卫士需要在每一台涉密计算机上安装客户端程序。客户端程序会从服务器得到密钥（类似于人工设定的密码），而这个密钥不会也无需被涉密计算机的使用人员所掌握。涉密计算机的使用人员如果试图保存一个文件，那么客户端会根据服务器判断此文件的加密属性，自动将其加密后再保存到存储介质上，做到“强制加密”。为保证使用方便，涉密计算机的使用人员在试图打开一个加密文件时，客户端也会根据服务器设定的加密属性，自动解密。由于没有安装永涵电子企业安全卫士的非涉密计算机没有自动解密机制，自然也就无法打开加密文件了。而如果将文件拷至其他也安装有永涵电子企业安全卫士的公司，则因为其密钥不正确，也无法将其打开。如果我们需要将一份密文交给我们的客户或者供应商，那么该文件的外传则必须通过管理员。管理员在审批通过之后，在服务端或用解密端进行手动解密，将文件变成明文交给客户或供应商。4.3 技术实现l 文件识别技术应用永涵电子企业安全卫士采用了智能文件识别技术，通过在文件加密时往文件内容中添加指纹信息来标识文件。这样，可以通过文件内容而不是文件扩展名来识别文件类型，即使加密文件改名后，一样可以被正确识别为加密文件。这种基于文件内容的识别技术可以克服基于文件名识别技术存在的种种弊端，如：修改了加密文件后缀名，导致这个加密文件因为不能被识别为加密文件，而无法得到透明加解密服务。在保存文件时强制将文件保存为不同的扩展名，采用扩展名识别文件类型的系统将无法保护该文件。l 进程识别技术应用永涵电子企业安全卫士采用智能进程特征识别技术对受控进程进行识别而不仅依赖应用程序名，无论如何修改应用程序名，都能够被正确的识别出来。假如仅依赖进程名来确定受控应用程序，则当用户手工修改程序名时，如将EXCEL.EXE改成abc.exe。将绕过系统控制，导致泄密。l 安全的身份认证管理身份认证的目的是确定系统的访问者是否是合法用户。建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问，未经授权的人则无法访问到数据；保护数据不仅仅是要让数据正确、长久地存在，更重要的是，要让不该看到数据的人看不到。这方面