KDS数据解决方案.doc

专注数据防泄密技术 构建企业信息安全壁垒南京希拓科技有限公司Xxx有限公司数据防泄密方案 完整、彻底地解除重要数据泄密威胁用一万的努力，防止万一的发生 希拓公司宣希拓科技有限公司2010-2-24目 录1.数据防泄密需求22.希拓防泄密方案的价值及实施效果33.希拓数据防泄密解决方案KDS简介54.希拓防泄密方案KDS的产品优势55.实施76.售后服务介绍107.关于希拓111. 数据防泄密需求1.1 背景当前信息化的普及，使得“数据”的安全越来越关系企业的生死存亡，但是，传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏，对于企业网络内部的信息泄漏（如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等），却没有引起足够的重视。显然，对于企业内部的信息泄密，上述这些传统手段显然无法起到有效的预防和控制作用。由于内部网络泄密的事件时有发生，而且给企业和机构带来的损失也越来越大。此外，信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序，更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比，这种来自内部的恶意泄露更具有针对性，隐蔽性，给企业造成的损失也更大。泄密途径浅析1.2 企业信息泄露事件愈演愈烈自加入世贸至今，浙江立案侦办的侵犯商业（技术）秘密犯罪案达四十余宗，而其中80的商业（技术）秘密是在职工跳槽时带走的 宁波市江东盛丰钢塑管制造厂起诉张某等3名原技术人员侵犯技术秘密案； 余姚立信纺织机械厂起诉原技术员谭某侵犯商业技术秘密案； 金华市水轮机厂起诉魏某等人采用利诱方式侵犯其技术秘密案； 浙江蓝天环保高科技股份有限公司起诉杭州五名科技人员侵犯技术秘密泄密； 浙江凯恩特种材料股份有限公司起诉原设备科副科长胡某泄密公司技术信息案； 杭州鑫富药业股份有限公司起诉陈某等8人泄密侵犯商业技术秘密案 浙江巨化股份有限公司起诉胡某某及东阳野风塑胶有限公司侵犯商业技术秘密案； 延龙汽配公司也有自己的数据安全管理策略和管理流程，但策略的执行和监控等多个方面存在很大的缺陷。例如：在企业的日常办公过程中，可能需要公司内外的人员通过电子邮件、演示文稿、电子表格或文档的形式来共享机密文件等信息，当然每个人都担任不同的角色，从而对机密数据也就有不同的访问和使用权限。这种信息的公开性就给数据的泄漏造成了巨大的威胁，但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下，采取积极的措施深刻理解和解决机密文件信息流失的问题。防火墙、访问控制、网关过滤等技术，能够控制用户准许或拒绝访问机密数据。但这些技术对用户不能提供更加细分化的策略权限控制，也就是说它们不能限定用户具体的使用权限，这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。当然，除了以上泄密途径之外还有很多，如内部人员可通过USB接口、打印机、移动设备，笔记本电脑、QQ或MSN等途径泄密。2. 希拓防泄密方案的价值及实施效果希拓公司旨在帮助延龙汽配公司解决以上难题，以下是防泄密过程中常见的八大场景描述，在实施过程中：2.1 .防止内部员工泄密对内部员工而言泄密途径很多，如通过打印机、光驱、QQ、邮件、移动存储设备、USB接口等途径进行泄密。如何解决？解决方法：首先要对客户端下发透明加密策略，需要对何种文件进行透明加密，则根据客户自身企业的需求定制即可，在系统的“透明加密”策略一栏种可以进行设置。策略下发后客户端的创建的受保护文件会自动加密。在未解密的情况下通过光驱，QQ，邮件，移动设备等泄漏出去的文件都是密文。在“系统设置”策略一栏中有很多对这一类设备的禁止使用策略，同时可以自定义策略组合，这样的灵活性很高，将指定的策略组合到一起形成一个新的策略，企业可根据自身需求进行应用。2.2 .文件外发如果要外发受保护的加密文件，那么必须对其进行解密才能外发，否则发出去的文件打开为一堆乱码。传统的方法是经过上级的审核或通过安装客户端才能外发文件，而整个审核的过程非常复杂，如何解决这些问题。解决方法：对审核人员下发一个右键解密策略，当有员工需要外发文件时，只要将需要解密的文件放在审核人可访问的位置，审核人即可进行解密，可访问的位置不需要安装任何客户端或其它额外的软件。2.3 .离线策略如何防止外出工作人员通过笔记本泄密？如果对笔记本设置某个时间段才允许打开文件的策略，而外出工作人员在外地需要延长使用时间，如何解决？解决方法：（1）可以对笔记本下发离线使用策略。是否允许使用USB，离线是否允许打开加密文件，离线是否允许打印等。（2）只需要通过客户端工具导出一个验证信息，发送给管理员，管理员通过工作人员的验证信息再导出一个延时策略，发送给工作人员导入即可。2.4 .公司内部文件权限保密性强的公司一般在公司内部至少有三个级别的文件级别。打个比方老板很多东西只有自己知道不想给除自己以外的人看到，那怎么办？或是某个部门要求部门经理的文件不允许下属看到。这一切都需要我们的软件拿出解决方案。解决方法：本软件的公司内部文件权限这一块就专门针对公司出现的这一现象来做出明确的解决方法。对涉密文件我们可以分为六种加密等级，视实际情况而定一般公司选择三种加密等级即可。下面我们拿一个简单的例子来说明：研发部包括经理一共六人：该部门要求经理可以看到其属下所有研发图纸，但其属下不能看到这个经理的图纸。首先我们对图纸类软件给他打个标签为“保密”类的加密等级，然后在文件权限设置里面配置：经理可以对研发部的“保密”等级类型的涉密文件拥有一切权力，相反其他人对该部门的“保密”类文件没有权限查看，如果工作需要必需得先得到对方的授权才能查看。2.5 .防黑客如果我们的文件服务器哪天不小心被黑客黑了，大量重要文件被盗取。如果我们对文件没有采取任何措施的话，那拿走了就拿走了。对此可以说是我们软件的又一大好处。解决方法：本软件是通过AES加密算法，密钥是由服务器ID产生的长达256位的唯一密钥的加密机智。即使被黑客盗走我们的加密文件，那些重要文件脱离公司软件环境就毫无意义可言了。2.6 .支持同时对计算机管理和域用户管理机智对公司人守一机的情况，我们可以采取对计算机的管理。但有些公司为了充分利用计算机资源，实现多人同一台计算机的做法。那么我们的软件能否做到对用户的管理呢？解决方案：本软件通过以上情况综合分析，做出了以下解决方案。同时采用对计算机的管理机智和通过域管理器进行对域用户进行管理，域用户可以响应相应的加密策略。所以说本软件做出了根据用户的不同环境和工作模式做出相应的解决方案。完全支持对计算机和域用户管理的两种模式。2.7 .剪切板防止泄密如果对剪切板没有做限制的话，一个加密软件也是一个不完善的软件，会带来很大的安全漏洞，可以说是一个很大的缺陷吧！解决方法：对此本软件做到，涉密软件范围内的文件互拷是没有一点问题的。但非涉密文件和涉密文件之间我们默认是不给互拷。例如记事本我们没有加入加密策略，word,excel已经是我们的涉密文件，我们把两程序定义进入我们的加密策略之中。那么想通过word，excel把文字拷到记事本里面，你只能看到记事本上有几个黑点。2.8 .全盘加密解密如何一次性对某一台或多台客户端机器进行全盘加解密？解决方法：管理员只要在服务器端选中已绑定的用户即可一次性对客户端机器下发全盘加解密的策略，客户端会自动执行。这样对管理带来很大的便利。3. 希拓数据防泄密解决方案KDS简介希拓KDS是专为企业级用户设计的数据防泄密解决方案。它不但能够对Office、CAD等任意格式的电子文档及设计图纸进行加密保护，并且能够对加密的文件进行细分化的应用权限设置和备份保护。确保企业的机密数据只能被经过授权的人，在授权的应用环境中（例如企业内部），在指定的时间内，进行指定的应用操作，并且整个过程会被详细、完整的记录下来，以便您对数据的访问记录进行安全审计。通过实施希拓数据防泄密方案，企业可以有效杜绝机密信息泄漏和窃取事件的发生，保护企业的核心竞争力，将企业管理的执行力度深入到数据信息的具体应用层面，从而推动企业的发展。方案布署l 网络拓扑图如图所示，延龙汽配有限公司数据防泄密方案基于现有的网络架构，如下图所示软件安装示意:注：上图描绘可能的网络架构，可能与现实情况并不完全符合4. 希拓防泄密方案KDS的产品优势4.1 KDS综合优势1. 架构希拓数据防泄密方案的保护过程涉及机密文件的创建、编辑、传输、共享、销毁等多个环节，能够出色适应多种IT架构，降低企业的硬件投入成本。并且，希拓数据防泄密方案具有平滑的升级功能，可以跟随企业IT规模的发展而不断升级。2. 技术希拓数据防泄密方案采用的是基于Windows系统底层的驱动级数据加解密技术，所有加密、认证、备份等安全操作过程均在系统后台完成，用户在 KDS 实施前后不会有任何的体验差异，与 Windows 的操作过程完全相同。 3. 服务与支持由于加密技术是一个存在较大技术壁垒，以及较高服务壁垒的领域。企业在实施数据加密相关的解决方案后，如果得不到提供商有力的支持和维护，其局面将十分危险。希拓作为中国数据安全服务引领者，获得了来自广大客户的广泛认可。4.2 KDS技术优势1. 先进性希拓产品方案的总体设计充分考虑了各类企业各种不同的实际需求和安全策略，并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想，使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。同时在系统设计中使用可扩展的设计方式，为系统将来的扩展提供了一个良好的基础。 本方案产品是采用可扩展的系统结构设计，研发完成的企业级的信息安全管理系统。系统在设计中将融入基于组建化和模块化设计的思想，使整个系统具有高度的可扩展性和可定制性。2. 兼容性 本方案产品支持Windows的各类操作系统及windows环境下支持的所有应用软件；如：如：Office文档加密、WPS文档加密、CAD图纸加密、Pro/E图纸加密、UG图纸加密、CAXA图纸加密、SolidWorks图纸加密、VC源代码加密、VB源代码加密、Keil源代码加密、ADS源代码加密、Acrobat、Inventor、TurboCAD、CATIA、Solid Edge、PowerDraft、清华英泰MDS、中望CAD图纸、天河CAD图纸、开目CAD图纸、ZDDS、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhotoShop、CorelDraw、Fireworks、ACDSee、ZineMarker、Adobe Illustrator、MAYA、3D Studio MAX、Cakewalk、Adobe Flash、MP3歌曲文件、VOD歌库加密3. 安全性本方案产品运用了PKI安全认证技术解决系统中所涉及的授权问题、加密问题。系统整个架构可以容纳各种安全协议，适应系统结构的各种变化。 同时系统中的安全管理模块可帮助各级企业，根据各部门的不同权限，设置严密的文件安全策略，保证机密文件及数据的使用安全。 其次，作为信息安全产品，从传输通道安全密钥不能被截获、本地安全不能被轻易破解、备份文件安全即使系统管理员也不能随意查看等；各个环节都体现着系统的安全性。 4. 稳定性 在本方案产品的设计和实现中，我们推行按照软件工程标准体系和ISO9001的软件质量标准体系、软件能力成熟度模型CMM来进行产品开发和实施过程，确保系统的标准化。同时基于在信息安全方面的丰富经验，设计本系统采用模块化设计，可以根据企业的实际需求增加或减少模块。无论用户的需求发生何种变化，本系统都能够根据变化后的实际需求对系统进行调整，以适应新的企业管理流程。提高企业的信息化安全管理水平，帮助企业领导者借助计算机管理工具及先进的手段来提高企业的安全级别，同时也给系统的稳定性提供了良好的运行机制。 5. 可维护性 本方案产品基于企业的管理流程，支持管理流程的灵活定制，能够对不同的业务系统与模块进行整合，统一管理、调度。此外，本系统支持组织结构的灵活定制，能够方便地调整用户组之间的隶书关系，方便地将用户从一个用户组调到另一个用户组。 6. 可移动性 本方案产品可满足各类企业的远程、移动办公的需要。企业人员通过高速网络连接，实现对本系统的无障碍使用，方便快捷地掌握企业内部的工作进度与状况，及时处理工作问题。同时保证企业办公等机密文件的安全性。 7. 可重组性 本方案产品是通过基于模块的开发模式来实现系统功能的。按照一定的需求集合成各类具有特定功能的模块，这些模块之间可以无缝集成。 8. 可管理性 对于一个承载了很多需求，跨越多个部门的安全系统来说，系统是否容易管理是非常重要的。希拓企业级信息安全产品做到了这点，它不但大大降低系统管理员的负担，而且能够在系统发生任何问题的时候都能够很容易地进行诊断，并立即采取有效的措施，使得系统在任何情况下，都能正常稳定运行，不影响用户正常的工作，时刻处于良好运行的状态。 5. 实施防泄密系统实施是一项系统工程。该系统的实施将为延龙汽配有限公司迅速建立起完备的数据保护体系。为确保系统实施按计划、进度、目标、质量进行，现制定系统实施计划书。需要公司此次系统实施负责人认真履行其职责，以及各部门密切配合，保证该系统圆满成功，并在实施中不断优化管理程序和组织结构，为系统稳定、高效运行打好坚实的基础。5.1 实施阶段计划表本项目计划实施周期预计为5天，分7个具体步骤，2名技术人员参与，大致安排如下：I. 第一阶段：电脑网络拓扑结构和软件使用情况调查（2小时）本次项目实施涉及电脑的数量（185台）、电脑系统配置、网络结构、网段分布、网络通讯情况、设计软件使用情况等（此阶段软件使用情况粗略得知即可）。该过程双方配合如下：由南京希拓科技有限公司的技术人员约谈XXXX IT人员和12名技术人员，了解上述情况，整理在册，此步骤主要为以后XXXX大规模的实施做准备。II. 第二阶段：软件使用情况调查及适应性测试（5小时）统计本次项目实施涉及软件的种类、具体的版本号、需要纳入到这次加密体系中的具体软件（特别是三维软件中具体使用哪些模块）。该过程双方配合如下：由希拓科技信息技术人员约谈XXXX电脑负责人统计本部门具体软件使用情况，在此期间可以采用XXXX下发“实施企业软件使用情况调查表”或谈话的方式明确XXXX内的具体软件名称、版本号、模块、设计人员软件操作习惯、有无各种外挂软件（主要针对需加密的软件而言）、有哪些其他软件届时会读取加密状态的文件或图纸、加密状态的图纸或文件经常会复制到哪些其他软件中、有哪些数控软件需要读取加密状态的图纸和三维模型。期间希拓科技的KDS图文档防泄密系统的技术开发人员主要集中做适应性测试和集成工作，搭建一个和目前XXXX实际使用相似，并最有代表性的电脑应用环境，安装KDS软件，测试其支持各类软件的兼容性情况。同时由希拓科技信息技术的技术人员将XXXX正在用的KDS软件策略库中原来没有的软件集成好，考虑到使用的方便性和稳定性，把XXXX现在涉及的软件都做成标准的加密策略库。III. 第三阶段：预安装在XXXX中全部安装KDS图文档防泄密系统，在此安装过程中全程采用域推送模式安装，只需在服务端安装客户端即可。观察半天期间主要观察参数为：1 服务器的运行情况稳定？2 客户端的运行情况稳定？3 网络通信情况？IV. 第四阶段：下发控制策略（3小时）对XXXX中的电脑下发控制策略，并观察控制策略使用情况观测参数如下：1 USB控制策略下发使用情况；2 打印控制策略下发使用情况；3 截屏控制策略使用情况；观察测试期间，发现问题，技术人员立即解决，并详细分析原因；如果没有问题，技术人员现场主要编写一些新增加的功能。V. 第五阶段：下发加密策略对XXXX内所有电脑下发加密策略，观察半天主要参数为：1 加密解密是否正常；2 分发不同软件的加密策略是否能即时生效；3 服务器运行稳定；4 客户端运行稳定；5 控制台下发策略是否及时；6 控制台显示客户端电脑信息；7 加解密策略是否和策略设置内容相同；8 解密器批量加密解密情况；该阶段为整个项目的核心阶段，该阶段首先要保证的是KDS客户端加密解密策略生效后整个系统必须要能稳定，正常的运行，不允许有任何不稳定的现象出现。其他辅助增强功能可以在后续实现，此阶段不做重点要求。在整个系统运行稳定的情况下，技术人员现场主要编写一些新增加的功能；VI. 第六阶段：全面部署（2天）全面部署KDS软件，具体为进行实际安装调试。VII. 第七阶段：观测、培训、项目验收（1天）观察KDS软件使用情况，对在操作上有任何疑问的地方，希拓科技相关技术人员采用电话，网络或者现场的方式给予支持和解决。并对KDS软件的使用人员进行相关的培训和疑问解答，当软件运行一段时间没有问题后，进入项目验收阶段。6. 售后服务介绍延龙汽配有限公司可以获得来自希拓周到完善的软件咨询、安装布署、技术答疑、升级更新等服务。希拓提供的服务如下：1免费为相关人员提供软件安装及使用培训及现场服务。2我们提供的最主要的服务方式，包括：现场培训、网络连接、系统调试、系统初始化指导、软件运行维护等等。3需提供的服务内容如下，并保证任何时候都有一种服务方式可供使用，对于软件使用过程中出现的异常情况，需在5小时内给予解答，48 小时内解决。1) 电话服务：快速解答有关的软件安装、操作、维护等方面的问题；2) 网络服务：通过 INTERNET 进行远程协作，解决软件使用过程中的异常问题；3) 传真及电子邮件服务：以传真及电子邮件方式，处理软件使用过程中的问题；4) 修复服务：如发生因软件引起的数据问题时，需安排专人协助修复数据；5) 电话支持、E-mail 支持终身免费；6) 专业工程师定期走访，提供全方位、周到的应用服务，确保甲方系统正常稳定运转。7) 一年内随着甲方应用软件的升级及应用软件的扩充，乙方将免费为甲方提供与这些应用软件的集成，保证甲方所使用的数据安全系统的正常运行并提供 必要技术服务。7. 关于希拓南京希拓科技有限公司是一家专业的信息安全管理解决方案提供商。公司核心团队由南京大学、东南大学以及中国科学院专家构成，拥有30多位核心开发人员，并且拥有数十项信息安全技术专利。作为企业和政府的信息安全解决方案提供商，希拓科技致力于满足企业和政府在信息安全管理领域的多样化需求。 希拓科技专注于文档安全领域，是中国数据安全保护的领导者。通过对企业信息安全发展的不断研究，希拓科技认为企业信息安全管理的核心，已从针对于网络环境的安全管理转换为对机密信息应用权限的控制。这也正是希拓数据安全防护区别于其他传统安全技术的关键所在。 为了更好地满足中国企业和机构在文档安全领域的应用需求，希拓科技通过长期的市场摸索和技术整合，推出了最为适合中国企业用户的文档安全解决方案希拓文档安全系列产品。无论在安全性、易用性以及易管理性方面，希拓文档安全均被认为是中国市场上最为优秀的文档安全产品。 希拓科技目前已拥有大量的成功客户。其中广泛涉及IT、机械、能源化工、教育医疗、食品安全等中国顶级企业。希拓科技将坚持“创新、拼搏、学习”的精神，秉承“顾客、满意、速度”的服务理念，立足“诚信、沟通、成长”的经营原则，致力于为业界提供一流的信息安全产品和服务，以满足不同使用者、服务及应用的需求。希拓科技主要荣誉：2005年度南京市诚信企业 2006年度南京市高新技术企业2007年度江苏省高新技术企业 2008年度“英特尔”战略合作伙伴8、成功案例-详见官方网站15 l 桂林福达集团（2000个客户端）l 宁波精达机电科技有限公司l 宁波精乐汽车部件有限公司l 大和缝纫机(宁波)有限公司l 宁波富佳实业有限公司l 宁波科技园区普马电子有限公司l 余姚特力喷雾器有限公司l 宁波欧泰精机制造有限公司l 余姚梦莹家具有限公司l 南京新联电子股份有限公司l 南京顺之达物流设备有限公司l 南京汉元科技信息有限公司l 常州武起常乐电机有限公司l 无锡固特控制技术有限公司l 如冈自动化控制技术