顺安数据安全平台决方案.doc

顺安数据安全平台技术白皮书顺安数据安全平台解决方案佛山市高盛数码科技有限公司2014年6月- 2 - 顺安数据安全平台 SHINE Data Security Platform序 言您有秘密吗？您担心电脑数据的安全吗？您可曾想过，计算机失窃、遗失，也会造成数据泄密？您可曾想过，电脑维护人员维修你的电脑时也能窃取机密信息？您可曾想过，企业内部职员可以通过移动存储设备（如U盘），或者邮件、文件传输、上载等方式轻松地泄密？隐私信息或技术资料以电子形式储存在计算机中，通过网络或可移动介质传递，安全难以得到保障。一旦信息遭到泄露，有可能对个人或企业造成难以估计的损失，因此对数据进行加密是目前解决信息泄密的最有效方法。顺安数据安全平台是高盛数码开发的以自动防护为理念、自主知识产权的信息安全系列软件产品，实现自动、动态、透明地对存储在计算机上的数据进行加密处理，加密强度大、安全级别高，能有效提高内网的安全保密性。顺安数据安全平台根据用户应用环境的改变和业务需求的发展，不断融合各种先进的信息安全防范技术，整合各种先进的信息安全产品，打造满足各类型客户的需求的信息安全平台整体解决方案，为客户的快速发展保驾护航！一 应用背景1.现状分析随着信息技术的发展，企业为了提高信息处理的效率，越来越多地把文档转化为电子文档形式，甚至把90%以上的企业机密信息以电子文档的形式存储在企业内网中。同时，企业也大量使用ERP、CRM、OA等与数据库相关的电子信息管理方案。这些新型管理手段的使用，在给企业带来更高的生产效率的同时也给企业的信息安全管理带来了新的挑战。虽然企业采用了反病毒软件、防火墙、入侵检测、身份认证等手段，但依然无法阻止电子形式的信息通以各种方式从企业中泄漏出去。而当前的大部分网络安全技术出发点是解决对外防护的问题，对内防护十分薄弱。面对日益严重的信息安全威胁，企业原有的安全方案渐渐显得力不从心。l 几乎每个企业都会遇到“合理”避税的问题；一旦泄密，企业将进入非常被动的状态；l 几乎每个高新企业都要保护技术秘密；一旦泄密，企业将失去核心竞争力，丧失行业领导地位；l 几乎每个企业都要保护标书、合同、报价单等商业私密，一但泄密，企业将失去客户。2.信息安全威胁l 据波莱蒙研究所表示，企业在数据入侵时的平均损失呈逐年递增趋势。数据入侵给企业带来的平均损失是660万美元，有的公司的损失甚至高达3200万美元。企业因数据入侵而遭受的最大损失是丢失业务。据其表示，在去年的每条记录平均损失202美元中，有139美元(占69%)是指丢失业务。l 根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。l 据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。l 3.常见的泄密途径l 黑客通过安装恶意软件（如木马程序）把信息复制出去而泄密。l 计算机感染病毒自动向外发送的泄密。l 计算机失窃、遗失造成的数据泄密。l 内部人员通过移动存储设备复制信息，或者以邮件、文件上传等形式泄密。l 第三方维护人员利用工作之便窃取信息造成泄密。4.加密机密资料，彻底解决安全隐患l 所有机密资料不能随便流出企业；l 所有机密资料在企业内部透明流通，消除安全隐患的同时，又不影响正常业务操作；l 所有机密资料可设置各种安全等级，根据授权使用；l 机密资料只有一个可控且唯一的安全出口。二 产品概述1.平台简介顺安数据安全平台能有效保护您的数据安全！平台采用“驱动层”底层透明加密技术，结合世界先进加密算法，提供完全自动化、动态化、透明化数字文件加密保护。3.平台特性l 采用驱动层动态透明加解密技术；l 唯一的企业密钥，密钥长度最高可达到8192位；l 采用高强度加密算法，可多种加密算法混合使用及多次加密；l 可加密任何类型的文件或数据库；l 可加密在任何储存介质上的文件；l 严格的身份认证体系；l 完善的、可无限扩充文件密级控制；l 加密文件只有被授权解密才能转成明文外向传送；l 加解密策略库、日志审计报表均可自由定制；l 平台简单易用，无需第三方软件配合，基本上不改变现有操作模式。4.系统拓扑结构图5.技术优势：l 数据库加密数据库在运行、备份过程中均为密文，通过应用软件导出报表，无论是C/S或B/S应用模式，报表均被自动加密；并配备“数据库锁定热键”，可在网内任一计算机按预设键，即时锁死数据库，企业可从容应对各种突发情况。l 文件加密安全平台客户端创建文件时，文件即被自动加密，并自动根据文件创建者权限在文件内添加相应的“部门”、“密级”属性。加密后的文件可在企业内部自由流通，安全平台通过严格的文件访问机制，确定文件不被非授权用户使用。支持的应用列表：办公软件Microsoft Office、金山WPS Office、PDFfactory图形设计AutoCAD、Photoshop、CAXA、CorelDRAW、Illustrator、Fireworks、Flash、Protel建模工具3ds Max、ProE、SolidWorks、UG、Inventor、Rhinoceros软件设计Visual Studio、Delphi、PowerBuilder多媒体播放ACD See、Media Player、暴风影音、千千静听、Realplayer数据库SQL Server、Oracle、Access财务系统金蝶、用友、速达、管家婆、金算盘、易用财贸PDM系统金蝶、清软英泰、SolidWorks PDM数据恢复软件EasyRecovery、FinalData、Recover My Photos、R-STUDIO、WinHex（本列表可根据用户要求不断追加）l 可无限扩展的密级管理机制灵活的“部门”+“密级”管理机制，全面掌控机密资料流向，真正实现任意细粒度控制。安全平台根据人员“部门”、“密级”授权和文件的“部门”、“密级”属性进行比对，在部门相符，人员“密级”授权大于或等于文件“密级”属性的情况下，才允许正常打开加密文件。当企业行政架构发生变化时，“部门”、“密级”均可任意增加或插入，无需特殊处理已加密文件，即可自动继承相关授权，可轻松应对未来的扩展。当文件临时需要交由企业内部其他部门使用时，可通过OA的审批流程或在安全平台客户端直接把文件内含的“部门”、“密级”属性变更到为新的“部门”、“密级”。当企业内部某些人员需要跨部门工作时，可通过安全平台控制台，对特定人员授与相应的“部门”、“密级”操作权限。l 灵活的解密机制多种灵活的解密方式，可结合OA使用实现工作程审批解密或邮件白名单自动解密，减少领导手工解密的工作量，提高企业效率。l 文件外发管理客户安全平台可以把加密文件打包外发给合作伙伴，可以配合硬件USBKEY或在线认证等方式通过时间、次数、机器特征等对平台以外的机密文件进行管控。l 多种隐蔽机制隐藏安全平台运行界面，使加密过程不着痕迹。隐藏数据库，在SQL企业管理器中看不到已加密的数据库。如遇突发情况，可紧急隐藏金蝶、用友等账套。l 进程限制功能可根据不同用户权限，限制相应进程的运行功能。禁用与工作无关的应用，提高工作效率。结合安全平台网关可支持管理员设置基于用户组/用户/应用/时间的管理策略，如A部门能上QQ，B部门不能上QQ；C用户可以用迅雷，D用户不能用迅雷；上班时间严格行为管控，下班时间放开行为管控等等；便于管理员根据需要设定精细的管理策略；l 网址访问控制功能可根据不同用户权限，设定网址访问权限，分别使用黑白名单管理，禁止用户访问与工作无关的网页，提高工作效率。结合安全平台网关可支持管理员设置基于用户组/用户/应用/时间的管理策略，如所有人不能访问黄赌毒网站；A部门能上淘宝，B部门不能上淘宝；C用户可以用网页，D用户不能用网页；上班时间严格行为管控，下班时间放开行为管控等等；便于管理员根据需要设定精细的管理策略；l 流量优化结合安全平台网关可支持管理员对部分无关业务应用进行相应的流量限制，如A部门确实需要使用迅雷，但为避免其严重占用带宽，A部门员工的迅雷下载速度设定上限，A部门员工的其他网络应用不受影响，从而保证线路带宽的合理利用；除此之外，AC设备还可以保证如网页浏览、重要业务应用的带宽，避免被其他流量所冲击，从而保证业务应用的优先正常运作。l 言论规范和审计结合安全平台网关支持对文件外发行为、言论外发行为进行相应的过滤和审计，如封堵QQ传文件，过滤和审查邮件及附件发送，禁止关键字的论坛发帖，对办公人员的所有上网行为进行审计记录以备后期查阅等，从多个维度保证数据的安全性。l 打印限制功能可根据不同用户权限，限制相应进程的打印功能。减少机密文件通过纸质形式泄密的机会。l 远程桌面监控（录屏）根据不同用户权限，可随时监控任一安全平台客户端的计算机屏幕，并可录制对方屏幕，安全终端所有操作行为无所遁形。l 工作时间排程可根据实际情况，任意设定数据库服务器及平台各用户的工作时间，在非工作时间内，无法登录平台，无法使用已加密的文件，确保机密资料安全。l 文件自动备份工作站上创建或修改的文件（符合安全策略的文件类型），在工作站本机保留有最近二次修改版本的备份文件，方便企业随时恢复；当网络空闲时，工作站上最近修改的文件会自动上传到认证服务器上进行集中备份。l 支持多种登录模式包括“用户名+密码”、“用户名+智能卡数字证书（CA）”、用户名捆绑IP、Mac地址、开机自动登录等。结合安全平台网关可支持多样化的用户识别方式，如对用户透明的基于IP/MAC地址的识别，本地化的用户名密码认证，与单位AD域等相结合的第三方服务器认证和单点登录等。l 支持离线应用安全平台根据离线后有效时间、离线后登录次数等进行离线控制，即使计算机离开公司环境，仍受到实时监控，加密和计算机行为监控效果与在公司内部使用一样。l 完善的日志记录详细记录安全终端的各项关键操作，客户可根据需要输出相应EXCEL报表。除平台系统登录日志、加密文件操作日志、加密文件变更部门密级日志、加密文件解密日志外，平台系统专门的计算机行为日志。结合安全平台网关可安装全国最大的应用规则识别库和千万级别的URL库，利用智能应用识别和智能URL库识别技术，对所有的网络应用进行识别，包括其它加密应用，以便于进一步的管控记录。三 运行环境1. 硬件环境平台需要的硬件运行环境均为X86系列的计算机，配置要求如下表： 硬件环境最低配置推荐配置客户端CPU：赛扬D内存：512M硬盘：100M以上可用空间CPU：酷睿双核1.2G或以上内存：1G或以上硬盘：400M以上可用空间服务器端CPU：P4 2G内存：1G硬盘：1G以上可用空间CPU：P4 3G或以上内存：2G或以上硬盘：10G以上可用空间网络环境10M100M或以上2. 软件环境客户端操作系统：Windows XP /Windows 2000/Windows 2003/Windows Vista/Windows 7认证服务器端操作系统：Windows 2000 Server/Windows 2003 Server/Windows 2008 Server数据库系统：MS SQL Server 2000/MS SQL Server 2005/MS SQL Server 2008四 公司简介高盛数码公司总部设于华南家电研究院，营销中心设于佛山市外贸大厦16楼，是“顺德两化融合创新服务中心”组建单位之一，2010年先后获得多个政府科技项目支持；自主创新软件“顺安数据安全平台”通过广东省科技成果鉴定，并获得佛山市科技技术奖二等奖。高盛数码以多名计算机专家、教授为主导，建立了一支高效的信息安全系统开发团队，成立了自己的信息安全研发中心，并在2009年推出顺安数据安全平台等自主知识产权系列信息安全软件产品，为企事业单位提供完善的数据安全解决方案。产品上市至今，逐步获得了各级政府机构及企事业单位的认可，满