酷卫士文档安全管理系统技术白皮书.doc

酷卫士文档安全管理系统技术白皮书酷卫士文档安全管理系统V3.0技术白皮书北京博睿勤技术发展有限公司2009年1月目 录一、前言3二、项目开发背景32.1.需求分析32.2.系统设计理念42.3.系统给客户带来的好处42.4.系统适用范围5三、系统概述53.1.产品简介53.2.系统架构6四、功能详述64.1用户管理84.2客户端管理84.3文档安全管理84.4文档外发控制84.5文件集中存储94.6日志审计94.7系统特色94.8系统工作原理9五、酷卫士文档安全管理系统要求105.1.系统配置105.2.系统支持的文件格式11一、 前言北京博睿勤公司自主研发的酷卫士文档安全管理系统采用信息安全行业最前沿的加密技术，实现了将文档作为最小管理粒度，以加密、认证、授权的方式对存储在计算机的文档加以保护。本系统通过对企业中各类机密数据信息的加密安全保护，可以显著提高企业中核心数据资产的安全防护能力。同时在对文件安全保护的基础上，又通过对剪贴板的有效控制，可以有效切断内部人员泄漏企业机密信息的途径，防止内部窃密事件的发生，而且一旦发生窃密事件，管理者能够通过日志功能，详细追查到窃密的人员、文件信息、途径等信息，以避免窃密事件的再次发生，从而能在很大程度上提高企业对机密数据信息的安全管理二、 项目开发背景2.1. 需求分析随着计算机及网络技术的发展, 政府、船舶、军工等各企业在充分利用计算机及网络技术带来的灵活、便利的情况下也面临着重要信息泄密的风险。据权威机构做的调查结果显示：在各种因安全漏洞造成的损失中有3040%是由于电子文件的泄露造成的，而这些电子文件泄露来自企业内部的超过85%。在Fortune排名前1000家的公司中,每次电子文件泄露所造成的损失平均是50万美元。因此，越来越多的企业将如何保证数据安全作为信息安全方面一个急需解决的问题。北京博睿勤技术发展有限公司作为专门从事内网安全解决方案的公司，密切关注和积极研究用户在使用电子文档过程中存在的几种外泄途径，针对这些需求自主研发了酷卫士文档安全管理系统，提出了针对电子文档防泄密的一套整体解决方案。系统采用独特的加密技术以及国际公认的加密算法，在充分保证用户信息安全基础上，更多采用人性化设计，尽量贴近用户现行管理模式、硬件环境及工作习惯2.2. 系统设计理念目前，随着信息化的发展企业中任何业务都是需要相互沟通、相互协助，为了工作的便利性企业中很多信息资源需要对外开放，但基于信息本身没有任何防护措施使得在我们便利的使用企业机密信息资源时会存在如下情况的安全隐患：u 没有授权的用户对文档进行非法拷贝、复制、修改、删除；u 无法对获得机密文件用户的安全动态修改u 通过共享未授权的用户将机密信息传播出去u 信息通过usb设备或刻录光驱将信息带出u 对机密文档的打印没有限制任何人都可以对文件打印u 对于通过U盘、移动硬盘或邮件外出文档没有控制u 因此，如何能让用户在便于使用机密文件的同时能保证信息的安全存放是博睿勤酷卫士文档安全管理系统的设计遵旨。博睿勤酷卫士文档安全管理系统的设计理念是：通过动态加解密技术实现文档加密存放、加密传输来有效防护重要的电子文档泄密。该系统可有效控制用户对文档的使用权限，可动态修改用户的对机密文件的操作权限，从真正意义上实现指定人在指定时间对指定的文件进行指定操作。2.3. 系统给客户带来的好处随着信息化迅速发展保障企业中的核心信息的安全，这些数据信息中往往包含着企业赖以生存的关键资源信息，集中体现着一个企业的核心竞争力。从这个层面上来讲，任何企业都需要对自己企业内部的核心数据信息进行安全管理和保护，以防止信息的泄密和窃密。保护好企业的信息安全，就是保护企业的创新、知识产权、商业机密，并可以帮助企业实现现代化的、数字化的、科学有效的管理。 系统通过整合大量先进的信息安全技术，已经超越了简单意义上的数据信息安全，不再是传统的对文件进行口令管理或是加密，而是第一次从用户的管理流程出发将安全和管理融合到一起，在解决信息资源安全的同时也方便用户的使用。从而适用了现代企业的实际安全管理要求。 系统能够确保信息的授权使用者只能获取自己所必需的应用权限。这样在很大程度上避免了由于电子文档自身的易复制性和易修改性所带来的安全风险。 系统是对数据信息本身的安全保护，其中整合了身份认证、数据加密、权限细分、审计等多种技术。相对于目前大量企业所采用的网络边界防护设备和内网行为管理系统，能够更为彻底、有效的保护数据信息，防止信息泄露等安全事件的发生。 在维护和应用成本上，系统也有着更为突出的优势。对于企业来讲，他们只需集中式的实施和部署一套独立的应用系统；对于用户来说，数据信息的安全保护过程完全是透明的，不改变企业内部员工的操作习惯。2.4. 系统适用范围博睿勤酷卫士文档安全管理系统采用内核级加密技术实现对文档有效防护。主要实现对涉密行业或各大、中型企业机密信息的防护，该系统使用范围广泛，如政府、军工、各设计院、研究所及各大中型企事业单位，通过对核心机密信息的防护来提高企业竞争力。三、 系统概述3.1. 产品简介博睿勤酷卫士文档安全管理系统主要是采用独特的加密技术实现对企业中重要机密文档的保护。该产品对客户端的机密文件进行集中管理统一授权，可以根据对用户、用户组授予不同权限，不同权限用户可以已不同方式访问文件。系统中实现了权限细粒度管理对用户权限管理分为：只读、读写、复制、防止打印，可以控制用户读取文件的时间范围及打开次数。系统对文件外发如：文件共享、外出携带或通过QQ、email等方式也做了相应控制，必须授予相应授权才可以正常打开。通过以上控制方式可以有效防止使用者之间非法复制、拷贝、对外发行，也杜绝了使用优盘、光盘，电子邮件等方式窃取企业的机密信息等重要文档。同时该系统还可以实现对客户端IP、非法外联、进程服务及硬件信息的监控。产品功能部署图如下：3.2. 系统架构博睿勤酷卫士文档安全管理系统采用B/S和C/S相结合的网络架构，其中客户端安装代理端程序，其中管理员通过B/S架构实现对代理端的策略下发，管理员可以通过任何计算机实时地对客户端策略进行管理。客户端安装代理端程序保证和服务器实时通信。四、 功能详述酷卫士文档安全管理系统改变了传统意义上的文档安全保护模式，在保证文档安全使用的同时控制了文档相对于不同的使用权限，实现了文档的不同程度的安全共享。 对设定了安全策略的相应文件进行智能化加密； 对设定了安全策略的相应文件强制性加密； 采用内核级加密技术； 根据用户的不同级别，可以设置文件的不同使用权限和期限； 实时监控文件使用者使用文件的情况； 防止用户非法拷贝、复制、打印、下载文件； 防止用户通过电子邮件、移动硬盘、优盘、软盘等泄密； 可以通过服务器端及时控制已经被下载文件的使用权限； 可以实时记载用户对文件的操作记录； 可以把用户的密钥，权限与指定的台式机，笔记本电脑进行绑定； 可以控制用户的阅读，打印次数； 屏蔽键盘发出屏幕打印请求； 实时检测第三方屏幕打印、录像软件； 可以限定该文件使用的特定机器特点，如网络IP； 可以根据用户的请求还原FDS文件为普通的文件；4.1 用户管理提供建立企业员工基本信息表，员工可通过自己的用户名和密码来制作FDS文件并做相应授权。当该员工需要查看别人的授权文件也需向服务器端验证是否有访问该文件的权限。文档安全管理系统对文件授权是通过用户来控制，用户与计算机不做绑定。系统默认用户有上传文件的权限。4.2 客户端管理对客户端下发本地加解密策略，可实现客户端文件强制性透明加解密。启用本地加解密策略后未授权文件通过任何方式外出都是密文。本地加解密策略可针对不同文件类型分别设置，该系统可支持新应用程序的无缝加载，不需要二次开发使用灵活方便。4.3 文档安全管理提供文件权限控制功能，可对指定文件给不同用户授予不同权限。能控制文件只读、读写、打开时间、打开次数等十几种权限功能，并可动态修改用户权限实时控制用户访问权限。该模块支持离线使用授权文件，模块设计贴近用户的使用习惯性和便利性。4.4 文档外发控制该模块主要解决脱离文档权限管理系统环境使用授权文件功能。当文件需要外出时需提出外发申请，经审批管理员审批通过后可外出。外出的文件也可做相应授权，可控制文件只读、读写、打开时间及打开次数有效防止文件的二次扩散。该模块设计灵活方便，在方便用户工作的同时有效防止文件外泄。4.5 文件集中存储提供客户端文件集中存储功能，客户端可通过管理平台授权的用户将一些重要文件集中存储到服务器端，文件是以密文形式保存到服务器端。该功能防止客户端计算机出现故障可将重要文档通过服务器来恢复。可根据用户来定义上传服务器的存储空间，用户可根据情况维护自己的存储空间。 4.6 日志审计提供文档安全管理系统操作的详细日志审计信息。包括：用户信息，文件授权信息、本地文件操作日志等，日志信息可根据需要生成相应报表4.7 系统特色 本软件具有完善的安全体系； 采用国际先进的加密算法和认证技术； 对应各种Windows平台，同时可以保护多种文件系统； 结合内核级安全加密技术； 可以和办公自动化系统、指纹认证系统、PKI系统等结合； 可以把用户的密钥，权限与台式机，笔记本电脑进行绑定； 监视客户对文件的操作； 文件按树形结构显示，更加人性化，便于管理； 软件结构简单、易于操作和管理。 4.8 系统工作原理酷卫士文档安全管理系统为B/S结构。由客户端软件FDSClient和FDSServer服务器构成，在网络中的用户需要安装FDSClient客户端软件，并且至少有一台FDSServer服务器提供认证等服务。在FDSServer系统中，用户信息和文件权限信息存储在数据库中。工作过程： 通过客户端软件加密文件，把文件密钥上传给服务器，加密算法为国际通用算法，密钥长度为512位，同时文件作者可以对其他用户打印，阅读，保存，有效时间、次数，绑定，再授权，还原等权限进行授权。 其他用户可以通过共享文件夹或者FDSServer服务器(以下简称：FDS服务器)查找文件。 其他用户通过身份认证之后，可按权限使用文件。 FDSClient 在用户利用文件过程中，可以实现以下几个功能： 控制文件的打印，拷贝(只有授权者才可以打印拷贝)； 控制保存和另存操作(只有授权者才可以保存)； 防止屏幕拷贝； 可以设置文件的使用有效时间； 控制文件的打印次数，阅览次数。 可以把用户的密钥，权限与指定的台式机，笔记本电脑进行绑定（要预先在服务器端发放权限）。五、 酷卫士文档安全管理系统要求5.1. 系统配置n 酷卫士文档安全管理系统代理端配置建议配置最低配置CPUPentium4 .0GPentium .G内存1G以上内存512M硬盘80G以上20G软件环境：WindowsXP或windows2003等微软系列操作系统、SQL Server 数据库n 酷卫士文档安全管理系统代理端配置硬件环境：CPU：Pentium 3 1G 以上 内存：128M以上硬盘：10G以上软件环境：Windows XP/2000/2003中英文版 5.2. 系统支持的文件格式文件类型文件扩展名Microsoft Office Word 2000/XP/2003.docMicrosoft Office Excel 2000/XP/2003.xlsMicrosoft Office PowerPoint 2000/XP/2003.pptAdobe Portable Document Format 5.0/6.0.pdf文本文件.txtBitmap图像.bmpGraphic Interchange Format图像.gifJPEG图像.jpg/.jpe/.jpegAutoCAD图档.dwgl 扩展电子类文件文件类型文件扩展名Microsoft Office RTF (Rich Text Format) - 文本类.rtfMicrosoft Works for Windows 4.0 - 文本类.wpsLotus 1-2-3 (DOS & Windows) - 电子表格类Microsoft Works for Windows 2.0 - 电子表格类.wksMicrosoft Office 放映稿 - 演示类.ppsMicrosoft Office 演示文稿设计模板 - 演示类.potTagged Image Format File - 图像类.tif/.tiffPortable（Public）Network Graphic - 图像类.png图标资源文件 - 图像类.icoAutoCAD 图形交换格式文件.dxfAutoCAD 图形样板文件.dwt各类文本可编辑的标记语言文件.xml/.html/.wml等各类文本可编辑的式样文件.xsl/.c