安全管理系统方案演示.ppt

,安全管理系统方案,凌珑科技,数据安全的重要性,据调查，企业机密泄露 30%-40%是由电子文件的泄露造成的。 Fortune排名前1千家的公司，每次文件泄露造成平均50万美元的损失。 对国内500家大型企业的调查发现，国内企业对电子文档几乎没有任何防护措施。有保护措施不到3%，一些机密性的材料，电子文档轻易的就可以通过电子邮件和移动硬盘泄密到网络外部。 世界最大的商业秘密：代号 7X 的可口可乐配方，采取了严密的保护措施，为可口可乐公司赢得了超过800亿美元无形资产。 中国千年绝活 “景泰蓝”制瓷技术、“纸中之王”中国宣纸等技术被窃，为企业带来了难以估量的损失。,常见的信息泄露威胁,56%,30%,10%,4%,黑客通过互联网 窃取单位内部资料,员工故意或无意的 拷贝、发送单位内部资料,计算机病毒或操作系统 后门窃取单位内部资料,竞争对手的刺探或通过收买 单位内部员工而窃取重要资料,信息泄露威胁比例,主动泄密： 内部人员将资料通过U盘或移动硬盘从电脑中拷出带走； 内部人员通过互联网将资料通过电子邮件发送到自己的邮箱； 内部人员直接将文件内容通过复制粘贴到聊天工具上传送出去； 内部人员将文件内容打印并带走 被动泄密： 外部人员通过黑客手段攻入公司局域网窃取资料； 电脑转手或丢失后，硬盘上的资料没有处理，导致泄密； 移动存储设备共用，导致非相关人员获取资料； 恶意破坏： 员工离职恶意删除或格式化电脑数据 越权读取： 公司机密信息无法设置阅读权限,企业数据安全面临的主要问题,深圳华为技术有限公司起诉王某等3名原技术人员侵犯技术秘密；,恩平市嘉维化工实业有限公司起诉原厂长胡某侵犯技术秘密；,杭州蓝天环保员工将技术非法在苏州使用，给蓝天公司造成经济损失670余万元 ；,深圳市东进通讯技术有限公司起诉王某等3名原技术人员侵犯技术秘密；,浙江桐多市某制衣厂聊天被植入病毒，被盗样衣照片损失600万 ；,富士康泄密案：郭台铭强调损失几百亿新台币；,力拓集团四员工因泄密被拘捕,防人之心不可无啊！,近年商业泄密案件,泄漏如何产生？,信息泄漏的三个构成有元素,由此可见，只要防住其中一个元素，就可以防止信息泄漏事件的发生。,“人”是无法控制的，只能依靠制度来约束；控制“途径”和控制“信息”本身, 从泄密的源头控制,才能彻底控制信息的泄漏，只要控制了信息，就不必担心“人为”的泄漏，也不必担心各种硬件媒介等“途径”的泄密。,企业核心数据、知识产权、专利技术等如何保护？,针对计算机外部设备进行管控或封锁 禁止上网 封锁USB接口 封锁光驱、软驱 使用内网行为管理软件进行监控,影响电脑使用、无法彻底解决文件泄密问题,只能起事后追查作用，无法事先预防,传统的电子文件管理方法,本软件简介,脱网后,（在安装本软件电脑上，正常使用）,（拷贝出去后，无法打开）,本软件简介,事前主动防御：文件在创建、编辑、保存时自动加密 ，能保证存放在硬盘上的文件是密文，防止主动泄密。指定类型的文件能自动备份，防止恶意删除。 事中全程控制：对信息泄密的各种途径都做了有效控制，比如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同时只有受保护的程序才能读取密文。 事后有据可查：本软件能详细记录文件的各种操作行为，包括新建、编辑、打开、复制、删除、重命名等，支持网络共享操作以及对可移动磁盘的操作。结合内网监控，能记录用户的计算机操作行为，给事后追查提供依据。,本软件能实现什么？,本软件功能介绍 - 文件加密模块,文件透明加解密,文件传播途径限制,文件外发控制,文件自动备份,文件权限管理,离线管理,文件操作记录,文件加密模块,密钥管理,解密管理,本软件功能介绍 - 文件加密模块,A、透明加解密,本软件采用Windows内核的文件过滤驱动实现透明加解密。随Windows开机而启动，关机而停止。无法手工停止，保证了加解密的安全。,由于本软件是内核层实现加解密，对用户完全透明，用户打开文件、编辑文件和平常一样，甚至毫无感觉。同时由于在文件读写的时候动态加解密，不产生临时文件，因此基本不影响速度。,加解密由驱动完成，和其他一些采用ApiHook进行加解密的软件不同，ApiHook技术和应用程序有比较大的关系，要保护的程序需要经过厂家的验证。本软件能够对所有的Windows下运行的软件进行加密，支持用户自定义要保护的程序。,本软件功能介绍 - 文件加密模块,B、传播途径限制：剪切板（复制/粘贴）,受控程序之间可以复制粘贴，不受限制,本软件功能介绍 - 文件加密模块,B、传播途径限制：打印、截屏、网络传输、邮件,本软件不仅能禁止利用键盘【Print Screen】键进行截屏的操作，还能禁止各类截屏软件的截屏操作（比如QQ截屏、红蜻蜓截屏软件截屏等）。,本软件可以禁止终端使用打印机。对允许打印的终端，能记录其打印日志。,文件在创建或者编辑时自动加密，因此存放在硬盘上的文件都是加密的。无论是拷贝到U盘也好，用E-Mail发送也好，用QQ、MSN等聊天工具传送也好， 发出去或者拷贝出去的都是已经加密过的文件。如果接收方和发送方处于同一套本软件保护下，那么接收方可以自由打开，否则，接收方打开就是乱码文件。,本软件功能介绍 - 文件加密模块,C、文件自动备份,可以根据需要，设置需要自动备份的文件。这些类型的文件在新建时、或者编辑后会自动上传到服务器进行保存。,防止 误操作 或 恶意删除。,如果有修改，一个文件一天只算一个备份。可以在服务端设置要备份的个数。,备份文件可以很方便的在控制台上检索并导出。,本软件功能介绍 - 文件加密模块,D、文件操作记录,全程记录文件的各种操作，包括新建文件、删除文件、打开文件、编辑文件、复制文件、重命名文件等。还可以记录文件打印操作，并能查看打印内容。,本软件功能介绍 - 文件加密模块,E、离线管理,本软件终端根据事先配置好的规则完成加解密操作，从加解密本身来说，不管终端与服务端的网络是否联通，都是能正常工作的。但为了提高安全性，防止长时间脱网，所以终端需要定时与服务端通信。对于离线的管理，本软件提供两种方式：短期离线 和 长期离线。,短期离线：主要用于当服务器电脑宕机、或者发生网络故障时，终端还是正常工作的缓冲时间。在指定的时间内，即使没有与服务端联通，终端也能正常工作。另外对于使用笔记本电脑工作的员工，也可以采用设置短期离线的方式，方便员工晚上回家或者周末在家也能正常加解密文件，不需要额外的操作。,长期离线：主要用于员工带电脑出差的情况。可以通过在线申请、导入离线策略文件等方式来实现终端离线工作。在规定的时间内，终端可以正常工作，超过时间，将无法打开加密文档。,离线策略,本软件功能介绍 - 文件加密模块,F、文件权限管理,在同一套本软件保护下的操作员，默认情况下，文档可以自由流通。也可以根据需要，设置不同部门、或者不同操作员的文档阅读权限。即可以授权终端操作员使用哪些部门或者哪些操作员的文档。规定权限内的文档，可以自由打开阅读，其他的文档，即使获取到，也无法打开。,例如：张三可以阅读业务部和采购部的文档。不允许阅读财务部的文档。,财务部,张三,业务部,采购部,本软件功能介绍 - 文件加密模块,G、文件外发控制,打印外发（针对文档类资料）：可以对外发文件的读取方式做限制，其中包括限制打开次数、限制文件的生存期（超过时间将无法打开文件）、限制只能在一台电脑上打开，以及设置阅读密码等，该文件特点：只能阅读，无法编辑及其他操作。,直接外发（针对图纸类资料）：即保持原文件的格式以及加密状态，外部电脑通过运行微型终端来打开文件，适用于对图像质量要求较高、尤其是具有三维效果的文件。,以上外发方式可以轻松、灵活地控制外发文件，在实现信息共享的同时，能够防止资料越权读取，防止外发文档二次扩散，确保信息安全。,本软件功能介绍 - 文件加密模块,H、解密管理,批量解密：具有此权限的操作员可以一次性将本地存储的文件进行批量解密，不需要审批。,申请解密：普通终端可以向有权限解密的人员申请解密文件，受理人经过审核后，可以授权解密。,系统审核模式：普通终端申请后，由系统自动应答，并保留解密记录。方便操作，但安全性较低。,操作员审核模式：普通终端申请后，需要由授权人员审核才能解密，解密后保留解密记录到服务器。,操作员审核,系统审核,本软件功能介绍 - 文件加密模块,I、密钥管理,对于脱离了企业的加密文件，安全性由加密算法和密钥来保证。算法本身比较容易获悉（一般都采用国际流行的安全性高的通用算法），所以安全性完全依赖于密钥。,需要解决如下三个问题： （1）要保证不能搭建出两套一样的软件环境 （2）要保证厂家获取到密文，也无法解密 （3）如果密钥泄露，要有补救措施,本软件功能介绍 内网管理模块,程序管理,资产管理,远程维护,聊天监控,设备限制,本软件功能介绍 内网管理模块,A、程序管理,本软件可以详细地记录终端的窗口标题日志和程序开关日志，方便管理人员知悉员工电脑窗口切换以及应用程序使用的情况。可以列出终端当前正在运行的程序。可以设置程序白名单、黑名单，禁止指定应用程序的使用。同时还有程序使用统计，各种程序的运行时间、使用时间和使用频率占所有程序的百分比一目了然，可以大体了解员工花在哪个程序上的时间比较多，方便管理以提高工作效率。,窗口标题日志,程序开关日志,程序使用统计,应用程序限制,本软件功能介绍 内网管理模块,B、资产管理,本软件可以远程列出终端的软硬件详细配置，并可以精确记录软硬件变更情况。同时，在终端插入、拔出可移动磁盘、改变IP地址、MAC地址、改变计算机名称时，也会以“报警日志”的形式记录下来。,软硬件配置,软硬件改变日志,拔插可移动磁盘时报警,改变IP、MAC地址时报警,本软件功能介绍 内网管理模块,C、聊天监控,可以监控腾讯QQ/TM、MSN/Live Messenger、Skype、雅虎通、贸易通（阿里旺旺）、AOL、Google Talk、新浪UC、E话通、ICQ、淘宝旺旺的文本聊天内容。,聊天内容监控,本软件功能介绍 内网管理模块,D、远程维护,屏幕追踪 实时显示终端屏幕画面。包括屏幕快照、屏幕连续追踪，并可以定时进行屏幕录像供事后查看,远程进程,远程服务管理器,操作员登陆日志,屏幕监控,远程进程 列出终端的当前运行的进程列表，各进程占用CPU、内存和虚拟内存的情况，必要时可以结束进程,远程控制 注销、重启、关闭终端电脑、向终端发送消息等,远程服务管理器 列出终端系统服务的运行情况，必要时可以停止或启动相关服务,远程协助,可以远程控制终端桌面，方便远程维护,远程资源管理器,可以在控制台上列出终端电脑上的目录结构、文件列表，并可以 直接查找指定终端上的加密文件,本软件功能介绍 内网管理模块,E、设备限制,可以限制一些外部设备的使用，包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制和打印机限制。其中USB存储设备、光盘驱动器、软盘驱动器可以设置成允许使用、禁止使用或只读；可以禁止使用打印机。,设备只读或禁用,禁止打印机,打印机白名单功能，可以限制指定计算机只能用指定的打印机,本软件功能介绍 内网管理模块,F、ARP防火墙,可以把客户端的网关绑定到真正的网关设备的MAC地址上，有效防止ARP病毒的攻击，保证局域网的稳定运行。,ARP防火墙,网关绑定到真正的网关设备的MAC地址上,不会受ARP欺骗,ARP攻击失效,本软件功能介绍 上网管理模块,网页浏览记录,流量观察,端口限制,上网限制,流量统计,邮件监控,本软件功能介绍 上网管理模块,网页浏览记录：记录终端网页浏览信息：包括网站地 址、网页标题、URL等。,网页限制：可限制所有上网行为；也可以禁止浏览所有网页、禁止或只允许浏览部分网站。,端口限制：可通过端口限制来禁止某些程序访问网络。,本软件功能介绍 上网管理模块,流量观察：可以对终端电脑进行流量观察、分时段查询和统计。,邮件内容监控：可记录通过邮件收发工具如Foxmail、Outlook收发的电子邮件：监控内容包括收发地址、邮件标题、正文内容、附件内容。,系统组成,本软件服务器,服务端程序需要运行在不关机的服务器电脑上。用于管理密钥及各种策略；用于存储终端的运行记录（包括文件操作记录、计算机操作记录等）。服务端程序支持扩容，支持海量数据存储。,策略、查看历史记录、查询统计信息。,控制台程序运行在管理员电脑上。是系统的管理配置界面。主要功能包括：实时监视终端操作行为、配置终端,终端安装在需要保护机密文件或者是需要阅读加密文件的主机上。随操作系统的启动而自动启动，执行控制台配置的策略，并全程记录操作行为。,本软件控制台,本软件终端,控制台通过网络与服务端联接，对系统进行在线配置和管理。只有持有管理员密钥的用户才能登录控制台。,通过透明加解密、控制传播途径可以防止单位内部机密电子信息泄露； 通过设置文件阅读权限可以防止单位内部不同部门