中软-安全文档(加密).doc

中软防水墙安全文档系统介绍 introduction to waterboxtm version 7.2r5 目目 录录 第一章 系统概述1 第二章 系统关键技术2 第三章 系统工作原理：4 第四章 体系结构和运行环境5 2.1 体系架构 5 2.2 硬件环境 6 2.3 软件环境 6 第五章 系统功能7 第六章 系统特点9 常见问题10 第一章 系统概述 1 第一章第一章 系统概述系统概述 对于企业来说我们到底要保护什么？网络中最有价值的是什么？答案是肯定的：数据。关键数 据的安全性越来越重要。但是目前所有的网络安全产品大部分都集中在核心数据的外围，并没有针 对数据本身的安全保障提出有效的解决方案。这里我们不妨打个比方：如果我们是一栋大房子的主 人，现在需要部署一些安全防范手段来保障房子的安全，房子太大了，我们觉得无从下手，防盗门 肯定是要装的，可是安装了防盗门以后，我们还要做什么？就像我们的企业，一提到网络安全防护， 就会直接想到防火墙，但是部署了防火墙以后就会变得很迷茫。因为现在的安全产品实在太多，五 花八门、目不暇接，企业的确不知道那款产品更适合自己。现在我们不妨抛开具体的网络安全产品， 回到我们的房子，继续考虑如何保障一个房子的安全。要保障安全其实最重要就是保障最有价值的 那一部分物品的安全。在一幢房子里面最有价值的东西是什么？一般就是金银珠宝、收藏品等贵重 物品以及现金了。保证了这些物品的安全，实际上就相当于完成了大部分的安全保障工作。所以我 们一定要把这些物品妥善放置，比如放到保险箱里面去。我们实在没有办法将这些物品暴露在光天 化日之下，因为它们不仅仅会受到外来入侵者，比如小偷的威胁，而且还更有可能让家里来往的客 人、甚至自己调皮的孩子拿走。这就是我们的网络不仅仅会受到外来“黑客”的攻击，更为严重的 是还会受到内部人员的威胁。内部人员更加了解网络的情况，也更有条件进行信息窃取和破坏活动。 所以，一个切实保障关键资源安全的措施是非常有必要的。企业的关键资源就是数据，保证了 数据的安全所有问题也就迎刃而解了。 中软防水墙系统就是为了解决该问题而开发的。该系统利用透明加解密技术、访问控制，对用 户读写的数据强制加解密。用户存储在磁盘的关键数据都是加密的，读取数据时会自动解密。这样， 在不改变用户使用习惯的前提下，保证了企业数据安全。 防水墙安全文档系统对企业关键数据强制加密并存储在本地，确保数据无论何时、何地都处于 安全状态。当然也包括硬盘丢失、光盘启动的 dos 模式以及安装第二操作系统等对数据的窃取方式。 第二章 系统关键技术 2 第二章第二章 系统关键技术系统关键技术 防水墙安全文档系统（waterbox7.2r5）是在 windows 操作系统(包括 winnt,2k,xp,2k3 所有的操作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的、透明的、 动态的数据加解密服务。 防水墙安全文档系统（waterbox7.2r5）运行于操作系统的核心态,接管整个文件系统。 文件数据在储存设备(例如磁盘)上以密文形式存储,当需要读写该加密文件的数据内容时，通 过基于文件指纹智能识别技术和基于文件名识别技术的有机结合,实时进行加解密,使得系统在 授权情况下可以透明地,以明文形式读写该加密文件的数据。 所以，通过防水墙安全文档系统（waterbox7.2r5）,文件的数据得到安全地加密保护。 而授权的用户又可以直接透明地以明文方式使用文件的数据，实现了安全、便捷的数据解决方 案。防水墙安全文档系统（waterbox7.2r5）平台在操作系统内核工作的示意图如下。 安全文档系统工作示意图 第二章 系统关键技术 3 所有的文件系统操作都是向 windows i/o 管理器提出的,再由 windows i/o 管理器将操作 定位到具体某个文件系统来完成。防水墙安全文档系统将为加密文件提供实时的,透明的加密/ 解密服务。 第三章 系统工作原理 4 第三章第三章 系统工作原理：系统工作原理： 透明加解密技术是一种革命化的加解密技术，它不同于传统的加解密技术，而是直接运行 在操作系统内核中，动态地支持加密文件,将安全性和方便性完美地结合在一起。透明加密软 件同传统的加密软件一样，在进行加密时,也必须改变文件的内容，只有这样才能起到保护作 用。在这个过程中，使用密码或者专用加密硬件作为内容变化的依据，因此具有高度的安全性。 革命性的是透明化功能。透明化功能指的是,当用户使用加密文件时，可以不进行解密， 而让软件透明化地自动支持它。透明化功能是在后台自动执行的，但使用透明化功能时，也要 进行密码的核对或加密硬件的连接。透明化功能的具体实现过程都是在内存中进行的，不会在 磁盘上产生任何文件，这一点保证了文件的安全性。 如左图所示，销售计划.doc 在磁盘上的内容为加密内容，由于没有使用透明化功能，屏 幕上还是显示加密内容: 然而在右图中，基于防水墙安全文档的透明加密器自动在后台进行透明化服务，尽管销售 计划.doc 没有被解密，但屏幕上显示出正确的内容。 使用透明化功能时，尽管加密文件没有被解密。但是，操作系统和所有的应用程序都以文 件的原始内容为标准，这个过程对于操作系统和应用程序是透明的，所以叫做透明化加解密系 第三章 系统工作原理 5 统。 第四章 体系结构和运行环境 6 第四章第四章 体系结构和运行环境体系结构和运行环境 4.14.1 体系架构体系架构 完整的 waterbox7.2r5 扩展版系统由三部分组成，防水墙服务器（waterbox server） 、防水 墙控制台（waterbox console）和防水墙客户端（waterbox client） ，支持多级部署。 图 1 waterbox7.2r5 体系结构示意图 防水墙服务器防水墙服务器 防水墙服务器，包括服务器端软件、支持数据库和授权硬件。建议在专用主机上安装防水墙服 务器。支持操作系统为 microsoft windows 2000、windows xp、windows server 2003 系列，推荐 windows 2000 advanced server 版本。防水墙服务器以 microsoft sql server 2000 为后台数据 库。 防水墙控制台防水墙控制台 防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控 制台采用分权分级的授权模式，以提高系统的安全性和用户管理的灵活性，保证监测信息的保密性。 系统运行平台为 microsoft windows 2000、windows xp、windows server 2003 系列，推荐采用 第四章 体系结构和运行环境 7 windows 2000 professional 版本。 防水墙客户端防水墙客户端 防水墙客户端是安装于受控主机上的监测软件。防水墙客户端可远程自动升级，并采用了严密 措施防止本地用户自行卸载、关闭监控程序。防水墙客户端的工作平台目前支持 microsoft windows 系列操作系统，包括 windows 2000 系列版本、windows xp 系列版本和 windows 2003 系列 版本。 4.24.2 硬件环境硬件环境 防水墙系统推荐硬件需求防水墙系统推荐硬件需求 cpu内存硬盘网 络外设和接口 服务器pentium 4 2.8ghz 2g160g 连接到一个活动网络中的 ethernet或token ring usb接口 支持 控制台 pentium 4 2ghz 512m40g 连接到一个活动网络中的 ethernet或token ring 客户端 pentium pro 500mhz 256m1g 连接到一个活动网络中的 ethernet或token ring 表格 1 系统推荐硬件需求 4.34.3 软件环境软件环境 防水墙系统软件需求防水墙系统软件需求 操作系统所需其他软件支持 服务器microsoft windows 2000、windows xp、windows server 2003系列版本操作系统 microsoft sql server2000 硬件圣天诺加密锁驱动程序 控制台 microsoft windows 2000、windows xp、windows server 2003系列版本操作系统 mdac2.7或以上版本 客户端 microsoft windows 2000、windows xp、windows server 2003系列版本操作系统 表格 2 系统软件需求 第五章 系统功能 8 第五章第五章 系统功能系统功能 中软防水墙系统是一款领先的防止内部信息泄露的产品。先前，系统采用控制的办法，有效防 止了文件各种传播途径：网络传播、打印传播、接口传播和存储介质传播。新版本的防水墙系统采 用了透明加密技术，实现了防水墙安全文档功能，改变了防水墙系统以控制为主的局面，直接对文 件实施强制加密保护。防水墙系统可彻底保护企业涉密数据。只要受限用户（数据作者）有读写磁 盘的操作，文件就自动进行了加密或是解密，但并不控制文件的传播共享，也不影响文件打开，文 件在制作过程和传输过程中始终是密文。防水墙安全文档系统（waterbox7.2r5）的安全策略由企 业统一制定，并集中发布，对于不同性质的用户群体（财务、研发、销售）可制定不同的策略，从 根本上保护了企业数据的安全。同时，该系统还可以提供丰富的审计报表，包括文件加密，文件解 密等。 基于透明加密技术的中软防水墙安全文档系统的基本功能 防水墙系统在透明加密技术的基础上，扩展了客户端程序，使之能接受来自服务器的加密策略 和指令，在客户终端上实施对客户文件的强制加密，加密策略由防水墙管理员在服务器集中管理。 为方便用户操作，中软防水墙系统提取了常用的进程特征，在进程识别过程中，用户不必添加这些 进程的识别特征。防水墙系统还实现了防止“块拷贝”功能，有效地阻止了，从打开的密文文件中 将机密数据以块拷贝的方式转移到未受保护的文件中，防止了泄密行为的发生。另外，中软防水墙 系统增加了文件以明文带出的审批流程，方便了加密文件在特殊情况下的使用。 基于进程识别的强制加密能力 在防水墙 7.2r5extension 版本中的安全文档系统，将访问文件的进程分为三类：明文访问加 密文件、密文访问加密文件、拒绝访问加密文件。 所谓明文访问加密文件的进程是这样一类进程，它们可以透明地、以明文形式打开加密的文件。 该类进程一般是文件的创建进程，也可指定创建进程之外的其它进程为明文访问加密文件进程。如 ms word 被指定为该类进程，那么 ms word 打开的 doc 文件将以明文展现给用户，供用户编辑和阅 读。字处理软件 write 也可以指定为这类进程，当 write 程序读取 doc 文件时，doc 文件也以明文 形式展现给用户，用户可以编辑和阅读。这里 ms word 可能是创建进程。 所谓密文访问加密文件的进程，是那些对加密文件可以进行操作、但不允许以明文打开的进程。 如上面的例子，ms word 创建的文件，其操作对象 doc 文件在磁盘上以密文方式存储，但通常有共 享和交流的需要，需要将文件发到另外的地方，这时 ms outlook 就应该被指为该类进程，ms outlook 可以将文件打开后传出，但 ms outlook 没有明文打开的 doc 的权限。接收方收到的是密 文。 所谓拒绝访问加密文件，是这样一些进程，它们根本没有对加密文件实行任何操作的权限。 通常，只有两类进程需要防水墙管理员明确指定，不在这两类进程之内的所有进程都被认为是 拒绝访问加密文件的进程。 第五章 系统功能 9 拒绝通过网络邻居的方式共享加密文件 是否允许通过网上邻居访问本机的加密文件和未加密文件，可以通过系统策略来控制。默认情 况下，无论加密的、还是未加密的文件，都拒绝通过网络邻居方式访问。 防止内容拷贝 防止将打开密文文件的内容拷贝到打开的明文文件中，即：防止块拷贝。比如 ms word 明文打 开了一个加密的 doc 文件，foxmail 没有明文打开 doc 文件的权限，那么，在 ms word 编辑该 doc 文件时，系统将禁止用户从 ms word 向 foxmail 拷贝数据。 机密文件带出的审批流程 加密的文件若要带出企业内部环境，必须由申请人向审批员提出申请，审批员审批之后文件方 可明文带出。这里引入了“审批员”的角色。系统管理员可以通过防水墙系统的用户角色管理功能， 制定审批员的权限范围。 申请人通过网络、u 盘提交电子申请，审批员收到申请后通过网络、u 盘返回审批意见。所有 审批流程中的各项活动、拷贝带出操作以及文件内容本身都记录日志。 第六章 系统特点 10 第六章第六章 系统特点系统特点 提供透明加解密服务，有效防止内部和相关人员作案； 支持 dll 远程注入防护，防止从应用层窃取明文数据； 支持内存 dump 防护，防止转存内存窃取明文； 进程签名服务，保障关键进程的不可篡改性，确保非法窃取关键数据； 基于时间、用户安全策略，进行细粒度的访问控制和日志审计； 内核级驱动，支持任意应用程序加解密服务；支持任意存储设备，包括硬盘、u 盘、光盘， 软盘、磁带机、网络存储等； 文件透明加解密系统，加密、解密服务都是在内存中进行，不会产生任何临时文件； 网络分布式文件系统驱动内核，在网络分布式文件系统层面上工作，保证在网络传播的数 据自动加密； 资源占用率一般低于 3%，支持多 cpu； 强大的自我保护机制。可以防止黑客或其他用户(包括超级用户)关闭防水墙进程； 强大的审计和跟踪功能； 广泛的平台支持。windows 2000 和 windows xp、windows2003 操作系统； 附录：常见问题解答 11 附录：附录： 常见问题常见问题 防水墙安全文档支持哪些应用程序，存储设备和操作系统？ 答：防水墙安全文档是内核层驱动，支持任意应用程序；支持任意存储设备，包括硬盘、u 盘、 光盘、软盘、磁带机、网络存储等；支持全系列 windowsnt 以上操作系统。 安全文档系统能否防止第二操作系统，或者光盘启动 dos 模式失窃密？ 答：可以防护。存储在磁盘的数据都是已密文方式存储的，任何不通过防水墙解密服务读取得 数据均是密文。 通过直连线是否可以获取密文数据？ 答：无法获取，防水墙对于密文文件网络服务进程是无权访问的。 防水墙安全文档支持哪些加密算法或者加密硬件？ 答：防水墙安全文档系统是开放式架构，通过外部插件的方式，可以把任意一个软件加密算法 或者硬件加密器，插入到防水墙安全文档体系架构中。目前，防水墙安全文档应用的加密算法 是 aes。 防水墙安全文档加解密的时候会有临时文件么？ 答：作为透明加密文件系统，透明的加密解密服务都是在内存中进行，不会产生任何临时文件。 如果文件保存时候，存为一个任意后缀名，是否会加密保存？ 答：依然会自动加密的。防水墙安全文档不是通过文件名匹配的方式，决定一个文件是否是加 密的，而是通过给加密文件内植入一个识别指纹（数字签名） ，来判断是否是加密文件。因此， 防水墙安全文档可以设置为，对某个进程保存的任意文件都加密保存。而在以后使用该加密文 件的时候，防水墙安全文档也依然可以正确识别是加密文件，并提供服务。 通过网络共享，从装了防水墙安全文档的主机，把文件写到一个没有装防水墙安全文档的主机 的共享文件夹，是否也会加密？ 答：加密。即使服务器端(就是主机)上没有装防水墙，也一样保存是加密的。 通过网络共享，从装了防水墙安全文档的主机上(服务器)，把一个加密的文件读到没有装防水 墙安全文档的主机(客户机)上，是否为加密的密文？ 答：依旧是加密的。因为防水墙安全文档是真正的网络分布式文件系统驱动内核，其在网络分 布式文件系统层面上工作，使得在网络传播的数据就已经是加密的了。所以，服务器给出的数 据是加密的。 附录：常见问题解答 12 加密的文档是否在任意机器上，不需要对该机器进行配置，防水墙安全文档就可以知道其是加 密文件，并能为之服务？ 答：是的。因为防水墙安全文档系统中，一个文件是否是加密的，是通过其内部植入的一个指 纹来决定的，并且其使用哪个加密策略等信息都在文件内部， 所以，在任意一个机器 上，防水墙安全文档系统都可以知道其是加密文件并为之提供服务。 是否可