南方数据安全保护系统简介.doc

南方SecDocx数据安全保护系统21世纪是信息化飞速发展的时代，企业的核心数据的存储方式都以电子数据代替了原来的纸质文件存储。随着市场竞争的日趋激烈，对这些核心信息资产进行保护变得犹为重要，数据安全防护已经成为企业信息安全建设的当务之急，为了帮助企业消除数据泄漏的隐患，南方信息安全产业基地数据安全保护系统以国家计算机等级保护理念为依托，采用“一个中心、三层防护”的安全架构，以信息资产作为载体数据文档为重点保护对象，通过对数据文档的安全管控来构建企业的信息泄漏防护体系。通过实施南方信息安全产业基地数据安全保护系统，企业核心数据在新建后就自动加密保护，帮助企业建立完善的数据安全管理体系。应用范围数据安全保护系统的保护对象主要是政府及企业的各种敏感数据文档，包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密和企业商业秘密的文档，可以广泛应用于政府研发、设计、制造等行业。实现效果文档加密：盗走拿走 用不了权限控管：可看不可改 可改不可印时间期限：到期了 已离职 带走了 用不了身份认证：你是谁要验证使用追踪：谁看过谁印过有记录绑定管理：出差了断网了还能看使用习惯：之前怎么用 之后还怎么用产品优势1. 安全性 双因子认证：系统中所有的用户都使用USB-KEY进行身份认证，保证了业务域内用户身份的安全性和可信性。2. 高效性 U-KEY 采用经国家密码管理局认可SM2算法进行身份认证，安全性高、执行速度快。3. 兼容性 支持CC、CVS、SVN、VSS等版本管理软件，广泛兼容各种ERP、OA、PDM、财务软件等。4. 易用性 不改变用户的操作习惯，通过对数据进行读写、打印、剪贴板、拖拽、拷屏截屏控制、和内存窃取控制等技术，轻松完成对核心数据的保护。5. 协同性 支持统一的管理平台，结合终端安全保护系统及其它信息安全相关产品，实现对终端安全、数据安全的统一管理和综合全面保护。6. 合规性 符合国家计算机信息系统安全保护等级设计标准GB 17859-1999等法律法规要求。产品特点1.透明加解密保护1.1内核过滤驱动 在Windows操作系统中，存在一个管理系统输入输出的内核模块，I/O 管理器。程序在发送操作请求（如读写请求）到目标设备对象（如文件）之前，I/O 管理器会检查挂载在设备对象上的驱动程序，如存在这一对象，I/O 管理器把请求先发向驱动程序。驱动程序对象以栈的形式存在，因此可在驱动程序对象中加入定制的过滤驱动程序对象。 本系统使用内核过滤驱动技术，对管理员设置的文档类应用程序，产生的数据文档进行强制的透明加密保护，并在用户和程序访问这些加密文档时，校验其合法性，如果合法，则进行透明解密，否则不对其解密。该加解密过程不会影响现有程序和用户习惯。2.泄密保护 本系统对指定的数据文档提供了高强度的加密保护。为防止内部人员使用不当或其他非法工具手段窃取加密文档内容，本系统提供了泄密保护控制功能。2.1打印控制 本系统在操作系统内核驱动层，控制加密文档的打印，当程序向打印机发送打印请求时，内核驱动拦截该打印请求，若为可信的打印操作，驱动将允许打印，并记录该打印事件，否则禁止打印并记录该打印事件。2.2内存窃取控制 本系统在操作系统内核驱动层，保护应用程序的内存数据，当加密文档数据被加载到内存中，内核驱动对存储机密数据的内存区域进行读写保护，其他程序不能通过内存访问窃取加密文档数据，解决了内存窃取重要数据的问题。2.3其他控制本系统在操作系统内核驱动层，防止用户利用操作系统的拖拽和复制功能，泄露加密文档数据。当用户进行拖拽和复制操作时，驱动程序将分析该操作是否为策略进程，如果同为策略进程，则允许相互拖拽和复制否则禁止。3.双因子认证 WINDOWS操作系统在用户登录时，通过GINA来进行登录认证。这种方法只有身份和口令保护在高安全要求的业务环境中，这种身份认证并不安全。本系统强制客户端使用USB-KEY进行身份认证。当用户身份认证成功后，系统自动下载用户的安全策略。4.安全通信协议 本系统中，客户端与服务器的网络通信采用了私有的安全通信协议，采用ECC算法簇的加密签名算法确保网络数据无法窃听或篡改。网络数据，无论是密钥、日志和策略等数据，都采用本协议传输，保障网络通信的安全性。 本协议提供了以下特性：密钥传输安全、密钥访问权限控制（只有正确的用户才能够正确获取密钥）策略完整性、日志机密性等。加密文档SecDocx对指定应用程序所生成的文档进行强制加密保护。用户文档将被强制加密，并且只能在连接上服务器时访问自己创建的文档。该过程完全透明，不影响现有应用和用户习惯。通过共享离线和外发管理可以实行更多的访问控制。用户鉴权SecDocx集成了统一的用户鉴权管理，用户统一使用USB-KEY进行身份认证，客户端支持双因子认证产品是基于用户的管理体系，在人员、角色、权限三者之间建立的对应关系。在实际应用中完全匹配企业中的人员、职位及权限。泄密控制SecDocx系统对打开加密文档的应用程序进行如下控制：打印、内存窃取、拖拽和剪贴板等防止用户主动或被动地泄漏机密数据。审批管理SecDocx支持文档的共享、离线和外发操作，管理员可以按照实际工作需要，配置是否对这些操作强制执行审批流程。精细管控SecDocx对文档的操作权限进行细分，包括文档的读取、共享、存储、分发、打印等管控同时对文档的时效性做到了有效管控。为用户提供了人性、科学、安全、有效的管理机制。全面审计SecDocx对加密文档的常规操作，进行详细且全面的审计。控制台提供了基于WEB的管理方式。审计管理员可以方便地通过浏览器进行全系统的审计管理。离线支持离线功能是应对客户端在没有与服务器联网的状态下实现的有限管控。具体体现的情况如：公司人员出差、回家加班、服务器网络中断等情况。文档外发SecDocx系统中，非授权人员不能阅读加密文档的内容。本功能制作的外发文档，可以在未安装客户端的机器上正常访问。外发的文档，和内部使用一样，受到加密保护和泄密控制，不会造成文档内容泄露。保护范围SecDocx支持企业的各种核心数据，例如：设计文档、设计图纸、源代码、