天锐绿盾信息安全一体化解决方案.doc

天锐科技 天锐绿盾数据防泄密一体化解决方案厦门天锐科技有限公司目录页信息安全现状4产品概述5部分核心优势5系列产品7数据防泄密系统7网络准入控制系统10应用服务器安全接入系统10移动终端安全管理系统12移动存储介质安全管理系统13打印审计系统14桌面管理系统15行为审计系统16SITUATION信息安全现分散保存、裸奔状本地终端数据泄密事件分析 信息化时代，从本地电脑到应用服务器、移动终端都有大量重要数据存在，而各种泄密手段总是让人“预想不到”，机密文件的外泄往往给企事业单位带来巨大损失。天锐绿盾推出的数据防泄密一体化解决方案就是在不改变员工操作习惯、不封闭网络、不封闭外设端口、不改变文件格式情况下，对数据源头进行加密，主动控制数据从产生、使用到流转各个环节的安全，实现数据防泄密一体化保护。AIM我们的管理目标杜绝内部泄密 杜绝客户泄密 杜绝网络泄密 杜绝打印泄密杜绝离职泄密 杜绝出差泄密 杜绝丢失泄密 杜绝接入泄密INTRODUCTION产品概述天锐绿盾数据防泄密一体化解决方案，是一套以驱动层加密技术为基础，结合网络准入控制、应用接入网关、终端安全管理和监控审计等为一体的数据防泄密整体解决方案，真正做到“事前主动防御，事中安全可控，事后有据可查”的数据安全管控目标，实现企事业单位核心数据安全防护。部分核心优势v 智能动态驱动层加密技术驱动层：采用Windows内核的文件过滤驱动实现数据加解密，安全、稳定、效率高；强制性：主动对终端数据进行加密，有效控制所有数据在授权的范围内访问；透明性：主动对终端数据进行加密，做到用户无感知，不改变员工使用习惯、不封闭网络、不封闭丰富外设端口、不改变文件格式。v 国内独有的三重密钥体系 主密钥：由厂家分配给每个用户全球唯一的秘钥，保证每个购买天锐绿盾的公司文件不会互通； 企业密钥：由用户自己设置的秘钥，即使加密厂家获取加密文件也无法解密； 文件密钥：每个文件加密时随机生成一个文件密钥，提高加密的安全性。v 自主开发性能优越的数据库天锐绿盾自主研发的数据库， 存取速度极快，升级方便，数据库转移方便，数据库安全性高，兼容性更好。v “多采集服务器”部署方式国内独有的“多采集服务器”构架，实现分布式部署，统一集中化管理，且可以支持无限终端用户数。v 更全面的安全管理理念根据用户关注的数据风险差异以及应用场景的不同而提供多款安全产品，在方案中所有产品既独立又能够互相组合，实现统一平台管理，从而形成更完整的解决方案。v 实现与Linux平台的完美兼容支持Linux环境下文件加密，实现天锐绿盾Windows平台与Linux平台在数据加解密、策略管理配置上的完美兼容。PRODUCT系列产品 数据防泄密系统 【安全隐患】离职人员带走重要技术资料，并格式化电脑；公司内部核心文件被不具备权限的人员窃取；公司外发客户的文件，在外失控传播，二次扩散；员工携带笔记本外出办公，资料传播不受控制等，内部员工的数据安全威胁不亚于黑客，无论行为是有意还是出于疏忽。解决方案01 公司内明文数据强制透明加密l 不改变员工操作习惯、不改变文件格式、不封闭公司网络、不封闭外设端口；l 通过windows驱动级动态加解密技术，公司内部形成类似一个“用户无感知的加密网”；l 加密的文件在公司内部依旧自由交互，一旦文件未经相关领导授权，任何方式离开公司环境，文件均无法正常打开。02 严格的文件阅读权限l 机密文件创建后，创建者对文件源头进行控制，谁可以访问，有哪些访问权限，包括阅读次数、阅读时间、禁止打印、禁止截屏、过期自动删除等进行限制。l 设置文件密级级别，每个员工只能打开等于或者小于自己密级的文件，保证敏感数据在内部不同用户间交流使用过程中的安全性和可控性。03 与应用系统无缝兼容，确保数据安全l 通过天锐绿盾服务器白名单功能，实现终端加密数据自动解密成明文上传至服务器，从服务器下载至终端时自动加密，即不影响服务器正常使用，又防止服务器数据泄密。l 文件上传解密下载加密过程是在终端电脑上实现，所以不影响服务器在处理并发上面的负荷；l 无需在服务器上安装插件，即可实现文件上传自动解密、下载自动加密。04 携带笔记本外出办公，加密效果依旧l 对员工携带笔记本回家办公，公司统一设定默认离线时间（如：72小时），在默认时间内，和公司内部一样的安全管理效果；l 对员工出差情况，可在线向上级申请，授予一个合理时间，携带笔记本出差办公，和在公司内部一样的安全管理效果；l 外出办公所有的操作记录，依旧全程跟踪审计。05 外发文件安全可控外发制作功能主要是针对一些重要文件需脱离公司网络外发给客户时，出于文件安全考虑而设置的。l 外发文件身份认证方式：口令、机器码白名单、联网证书；l 外发文件访问权限控制：阅读次数、阅读时效、截屏限制、编辑权限、打印权限，以及指定的打开终端等；l 被授权的客户或或者伙伴在访问该文件时，无需在自己的电脑上安装任何插件，即可访问。06 外发文件白名单邮件自动解密，无需审批 针对可信赖的合作伙伴频繁邮件往来，为了不影响交互效率，提供以下2种方案：l 支持SMTP协议，邮件服务器环境下，通过“邮件白名单”功能，对发往白名单队列中信赖的邮件地址，文件自动解密；l 支持特殊协议（如：domino、exchange）邮件服务器环境下，通过“邮件安全网关”的方式，对发往白名单队列中信赖的邮件地址，文件自动解密。07 灵活的流程化审批l 自定义多人多级审批（如：A/B角色）审批，可用性高；l 支持审批人在线、离线、全部状态时自动审批；l 支持Web审批方式，提高流程审批便捷性；l 支持移动终端（如：iPad、iPhone、安卓）流程审批。08 文件自动备份通过自动备份功能，在天锐绿盾终端电脑上操作过的指定类型文件会在天锐绿盾服务端的指定目录（此目录可由管理员自由设置）下备份，预防重要文档遭恶意删除或破坏。网络准入控制系统 在网络入口实施规范化管理，对接入单位网络的终端设备提供健全的身份认证机制及完善的网络准入隔离功能，确保只有合法、健康的终端才能进入网络，阻止未授权终端对内网资源的访问。动态授权合法用户合格用户符合要求吗？安全检测什么设备？身份认证 企业内部资源接入请求隔离修复区非法用户，禁止进入应用服务器安全接入系统 【安全隐患】只要拥有账号密码，任何人都可以随意登录应用服务器，访问上面的资料；存储在应用服务器上的数据明文存储，数据泄密难控制等，该如何保护应用服务器上的数据安全。解决方案保证只有经过授权的用户才能访问指定的内部服务器，从而保障内部应用服务器的数据安全。1. 应用准入：用户在部署应用服务器安全接入系统之后，只允许安装有该系统客户端的终端用户正常访问应用服务器，未安装客户端的用户禁止访问。2. 应用系统防伪造：可以对应用系统进行绑定连接，有效控制因为仿冒服务器而造成的数控泄露。3. 应用数据防护：系统支持与天锐绿盾数据防泄密系统形成统一管理平台，限制只有安装数据防泄密系统客户端的终端用户才能访问指定的应用系统，同时配合服务器白名单功能模块，实现文件上传自动解密、下载自动加密。 移动终端安全管理系统 【安全隐患】移动终端上的文件是明文，能够被随意阅读或拷贝；缺乏设备认证，任何移动终端可以随意访问公司内部应用服务器；移动终端丢失或被盗，移动终端上的所有文件将完全暴露等，移动办公带来了便利，也带来了安全隐患。解决方案l 强制身份认证只有安装“天锐安全浏览器”并通过准入认证后，才能登录服务器进行访问。有效阻止非法终端进入公司内部网络进行访问和窃取机密数据资源。l 在线阅读策略控制移动终端用户打开应用系统后，支持对网页内容安全进行权限设置，如：禁止截屏、禁止打印、禁止复制。保障应用系统数据安全。l 数据下载安全控制文件下载自动加密，同时可进行防二次扩散限制：禁止截屏、打印、打开次数、使用期限、使用范围、过期销毁等设置。l 全面的日志审计 包括移动终端准入日志、身份认证登录日志、服务器上传、下载文件日志等全过程跟踪审计。移动存储介质安全管理系统【安全隐患】外来U盘无法限制，容易造成机密信息泄露和计算机病毒感染；U盘丢失或被窃，直接导致机密信息泄露；无法记录U盘使用情况，机密文件去向无法追踪等，U盘小巧便捷，同时也带来数据安全风险。解决方案 普通U盘 对U盘统一注册管理，不影响非存储USB设备的使用 公司内电脑能否使用U盘由后台统一管控，不用封堵物理端口。 对U盘分类注册，禁止公私混用 1. 通用U盘：在公司内外都可以使用； 2. 专用U盘：只允许在公司内部使用。 U盘使用权限分配 针对实际安全需求，对注册U盘的使用权限进行灵活 配置：包括只读 、可读写、写入类型等限定。 安全U盘&保密U盘针对更高安全级别要求的定制U盘保密U盘在安全U盘的基础上增加了数据加密功能，导入保密U 盘中的文件将被自动加密，导出也保持加密状态，需使用相应解密Key才能够正常打开阅读。1. 访问身份认证，避免U盘丢失导致泄密；2. 输入口令错误超过预设次数，U盘自动锁定或数据销毁，防止通过暴力手段破解口令；3. 对口令安全可以通过自定义口令密保来保护。相同点不同点打印审计系统【安全隐患】用户打印不受控制，文件可以被随意打印；打印信息无法记录，对于泄漏的打印资料，无法追踪泄密源头；打印总量无法统计，难以统计打印成本等，打印泄密困扰着企事业单位。解决方案打印成本控制打印内容备份，避免公物私用打印总量超标，需要申请审批打印数量统计，降低办公成本打印泄密管理打印权限控制 打印格式限制打印多级审批 打印行为管控打印水印警示 打印内容备份打印全程审计负荷分析报表，统计用户打印总数打印日志查询，详细记录打印内容打印刷卡取资料刷卡后取资料，避免他人拿错到最近打印处，刷卡取得资料打印后不刷卡，任务自动取消桌面管理系统【安全隐患】无关程序私自滥用、外设端口使用威胁、移动设备使用隐患、流量使用难以控制、IP地址使用混乱、软硬资产难以管理、终端维护工作量大等桌面管理问题，不仅降低员工办公效率，也带来了安全隐患。解决方案1. 上网行为管理 系统提供网页浏览、进程、端口、流量等监控管理，保证终端网络的安全；同时提高员工办公效率。2. 网络传输控制 系统通过各种安全策略，如控制QQ文件传输、邮件收发等行为，预防网络内部的敏感信息外泄。3. 硬件设备控制 系统对终端硬件使用规范管理：U盘、刻录机、打印机等使用规范化管理。4. 终端资产可视化管理系统监控管理终端上软硬件资产和资产变更情况，全面掌握终端计算机的软硬件资产，以及可进行全网统一的软件自动分发安装，远程终端维护管理等，有效解决终端维护工作量大的问题。行为审计系统【安全隐患】加密文档丢失、泄露，无法追踪泄露源、泄露时间；员工随意打印重要文档、机密合约，无法查询具体人员、文档名及内容；审计人员无法及时准确地获取违规操作行为，让违法人员有机可乘等，缺乏有效的监控审计机制，泄密发生后追究难。解决方