金融及运营商数据安全解决方案.doc

金融及运营商金融及运营商数据安全解决方案数据安全解决方案 目录 第 1 章 前言 43 第 2 章 需求分析 44 第 3 章 建设目标 45 第 4 章 数据安全解决方案 47 4 1 技术优势 47 4 1 1 动态加解密技术 47 4 1 2 文件权限管控技术 48 4 1 3 文档安全网关技术 48 4 1 4 全盘动态加密技术 49 4 1 5 系统架构 50 4 1 6 管理分级 53 4 2 应用系统集成 54 4 2 1 与 AD 域集成 54 4 2 2 与 OA 无缝集成 54 4 2 3 与邮件系统集成 57 4 2 4 离线数据安全防护 58 4 2 5 离线数据防扩散 59 4 2 6 离线数据安全发布 60 4 2 7 移动办公安全 60 4 2 8 便携终端防丢失 61 第 5 章 方案特点 63 第 6 章 典型案例 63 第一章第一章 前言前言 以 Internet 为代表的全球性信息化浪潮日益深刻 信 息网络技术的应用正逐渐地得到普及和广泛 随着应用层 次的不断深入 应用领域开始从传统的 小型业务系统逐 渐向大型 关键业务系统扩展 各金融企业之间的竞争也 日益激烈以及运营商之间竞争更加激烈 主要是通过提高 金融机构的运作效率 为客户提供方便快捷和丰富多彩的 服务 增强金融企业的发展能力和影响力来实现的 为了 适应这种发展趋势 金融企业在改进服务手段 增加服务 功能 完善业务品种 提高服务效率等方面做了大量的工 作 以提高金融企业的竞争力 争取更大的经济效益 而 实现这一目标必须通过实现金融电子化 利用高科技手段 推动金融业的发展和进步 网络的建设为金融行业的发展 提供了有力的保障 并且势必为金融企业的发展带来巨大 的经济效益 从而对数据安全的也提出更高要求 随着信 息网络建设和应用的逐步深入 加强信息的安全系已经迫 在眉睫 尤其是在文档安全要求方面较高 在数据传输上 既要保证企业较高的可用性 可靠性 保密性 又要对企 业内部数据及客户资料的保护 第二章第二章 需求分析需求分析 随着金融及运营商业的发展和业务规模的扩大 由于 金融及运营商业自身经营的特点 在信息安全要求方面一 般比较高 在安全设计上要充分考虑到影响业务模式的因 素 既要保证业务网络较高的可用性 可靠性 保密性 又要对内部核心数据有较强的防御 管控能力 为提金融及运营商业内部信息管理的安全性 实现内 部工作文档和应用等系统与 DLP 系统中办公文档内部流转 安全可控 实现文档脱离应用平台后能有效防止文件的扩 散和外泄 需要建立一套完善的保密数据密级管理及授权 访问系统 即对于公司内部电子文档 就其使用范围 用 户权限 用户操作 文件流转进行控制管理 以防止文档 内部核心信息非法授权阅览 拷贝 篡改 达到既防止文 档外泄和扩散 又支持公司知识积累和文件共享的目的 综上所述 为了找寻安全和效率的平衡点 提出了构 建内网数据安全整体解决方案需求 并对以下要点进行考 查 1 数据安全系统能否支持应用的复杂性 2 文档安全系统能否与应用系统无缝集成 3 数据安全系统能否支持应用的高效性 4 数据安全系统是否改变应用习惯 5 数据安全系统是否改变应用流程 6 数据安全系统是否能保障应用的安全性 7 数据安全系统是否能保证数据完整性 8 数据安全系统是否能灵活支持应用拓展 9 数据安全系统是否能支持应用系统升级 第三章第三章 建设目标建设目标 本方案是为构建金融及运营商业数据安全管理平台 基于亿赛通数据泄漏防护产品提出的技术方案与设想 方 案中将针对客户关注的数据安全性 平台易用性 系统扩 展性等问题 结合金融及运营商业现有的 OA 邮件系统 数据管理 业务管理等相关应用系统 制定一整套功能完 备的解决方案 通过导入信息加密管理和权限控制 实现以下重要目 标 1 资产识别 对核心密级以上 多类型电子文件进行 标识 实现重要信息资产和机密文档的识别和区分管理 2 集中管理 对机密级数据进行管理 通过有效的技 术管控 实现核心数据权限集中控制 文档可分布存储 3 与现有的应用系统 OA 邮件系统 无缝集成 保 证数据在应用系统之间的传输安全 4 文件加密 对文档进高强度加密和对使用者透明解 密 实现盗走了 拿走了 没法用 操作简单 应用方便 现场无痕 5 身份认证 实现与 AD 域及 CA 结合 识别使用者的 身份 6 应用灵活 根据业务实际情况进行结合 使对文档 灵活的管理 达到 多方适应 技管结合 兼顾现状 的 系统应用机制 7 权限控管 各组织 部门 使用者按实际需求 合 理的权限利用 8 内部隔离 通过对内部需隔离区域设置不同安全运 维策略 实现隔离区域间信息互访的隔离控制 9 时间期限 对机密文档实现过程控制和期限外使用 自动锁定方法 对文档生命周期进行安全保护 10 审计报表 实现对身份 操作行为的完整记录 报 表分析与查询 以便审计 第四章第四章 数据安全解决方案数据安全解决方案 4 1 技术综述 1 动态加解密技术 亿赛通智能动态加解密技术 SmartSec 是在文件存取 时截获磁盘 I O 请求 对涉密文档进行智能 动态的加解 密处理 加密的安全性主要取决为加密算法和密钥强度 目前 SmartSec 采用的加密算法为 RC4 等国际流行的加密算 法 密钥长度最大可达 256 位 完全可以满足用户的安全 需求 其主要优点是文件加密 解密透明 不改变使用者 应用程序 编程接口API 文件过滤驱动 文件系统 SmartSec应用层访问控制 SmartSec内核层 动态加解密 文件访问控制 程序行为控制 文件访问审核日志 操操作作系系统统 安安全全策策略略 数据文件 DAT 的任何操作习惯 也不改变原有信息的格式和状态 同时 部署和内部使用非常方便 其技术实现如下图所示 图 4 1 SmartSec 技术实现 SmartSec 的显著特征为 加密强制性 使用透明性 保密彻底性 应用无关性 无限拓展性 2 文件权限管控技术 涉密文档权限管理类加密技术 DRM 要和所支持的应 用 如 Office 系列 PDF 做紧密的结合 在使用其支持 的应用时 进行涉密文档的加密 解密处理 并在打开涉 密文档时根据授权确定使用者的只读 可打印 可编辑等 权限 与前一种技术相比 这种技术不是对一类文档进行 加密 而是对需要加密的文档进行加密 其优点是 非敏 感信息可以不加密 使用和传播过程中的效率不受影响 对于加密的敏感信息 又可根据使用人的岗位 确定其是 否有查看 打印 编辑等权限 保证在公司内部流转的文 档权限可细化控制 该看的人才能看到 DRM 的显著特点为 权限细粒化控制 防止信息扩散 用户易接受 业务效率影响小 3 文档安全网关技术 亿赛通文档安全网关 NetSec 是亿赛通文档安全管理系 统 SmartSec 的网络功能模块 用于保障 SmartSec 系统与 其它网络系统的无缝集成并为其他网络系统提供文档安全 保障 NetSec 由硬件和软件两大部分组成 其中硬件采用 高性能的网络服务器 软件为亿赛通研发的文档安全网关 软件 亿赛通文档安全网关软件由 网络加速 访问控 制 访问日志 和 动态加解密 四大模块组成 其基 本原理结构见下图 图 4 2 文档安全网关 NetSec 的基本原理 4 全盘动态加密技术 DiskSec 采用的是全盘动态加密技术 能够加密包括操 作系统在内的硬盘上的所有数据 而且不改变用户使用计 算机的习惯 与文件级动态加密技术相比 全盘加密技术 有着明显的技术优势 能够避免由于临时文件等引起的泄 密 全盘加密技术的先进性主要表现在 由于全盘加密要 加密包括操作系统在内的硬盘上的所有数据 因此全盘加 密系统必须负责动态解密硬盘数据并加载操作系统 也就 是说 全盘加密系统必须工作在操作系统的底层 而操作 系统则受控于全盘加密系统 一般的软件均工作在操作系 统之上 通过操作系统提供的编程接口 API 来访问计算机 系统 而全盘加密系统则工作在操作系统之下 为操作系 统提供服务 其实现如下图所示 图 4 3 全盘加密技术实现 5 系统架构 逻辑架构 图 4 4 逻辑架构图 物理架构 图 4 5 物理架构图 架构说明 系统整个的逻辑架构可以划分为用户层 接入层 应 用层 数据层和外围应用层 其中 亿赛通数据泄漏防护 系统涉及到上述的用户层 接入层 应用层 数据层 4 层 结构中 用户层 用户从类型上可以分为 OA 用户和文档安全用户 从使用方式上可以分为通过浏览器 在线编辑 检入 检出等方式访问 OA 系统 通过亿赛通客户端进行文件加解 密操作 亿赛通客户端主要是管控终端的受保护的项目文 档 对文件内容保护主要是控制拷贝粘贴 拷屏 拖拽 另存 打印等操作 另外还可以对终端上的各种涉密文件 进行强制透明加密保护 从网络途径上可以分为 内网用户和外网用户 外网 用户通过 VPN 方式 可以和内网用户具有同等的访问权限 对于离线文件的管控保持和在线时相同的效果 接入层 接入层主要有负载均衡设备 亿赛通加解密服务器 网关服务器 和 Web 服务器群 负载均衡设备是亿赛通加解密网关服务器和 Web 服务 器群做负载均衡的硬件设备 亿赛通加解密网关可以拦截对 Web 服务器发起的请求 分析出其中的文件信息 并对上行 用户层到应用层的请 求 的文件解密 对下行 应用层到用户层的请求 的文 件加密 是应用系统实现文件安全保密的重要方式 加解 密的整个实现过程对终端用户完全透明 目的是要控制从 OA 系统下载到终端的文件实现安全管控 防止终端用户主 动泄密重要的信息文档 应用层 亿赛通数据泄漏防护服务器端部署在这一层 主要功 能有用户管理 日志管理 终端管理 策略管理 流程管 理 权限管理及系统维护等功能 其中用户主要是从 LDAP 服务器中获取 按照双方协商 的同步规则 手动或自动从 LDAP 中同步用户信息 日志管理主要是记录服务器端 客户端 文件操作等 三类日志 每一类日志中细分了不同的操作日志记录 终端管理主要是记录在线或离线终端 记录终端的使 用状态 可以查看终端使用历史和终端的补丁升级等功能 权限管理主要是对从应用服务器下载数据或本机涉密 文件进行二次授权控制 防止核心数据扩散泄密 策略管理主要是对用户的应用安全规则 受控力度等 进行控制 系统维护主要完成数据库信息的备份和恢复 终端控 制模块的配置 系统公告信息等系统运维管理 数据层 数据层包括 LDAP 数据库 亿赛通数据泄漏防护系统数 据库 流程数据库 文档数据库及内容存储等 LDAP 数据库是全局统一的用户信息源 亿赛通数据泄漏防护系统数据库主要存放用户信息 权限信息 策略信息 各种日志信息 密钥 文件信息等 用户信息从 LDAP 数据库中导入 存放文档等非结构化信息的地方 基于 OA 或其他应用 服务器引擎 外围应用层 外围应用主要有 LDAP 应用 OA 系统 邮件系统 LDAP 是整个系统唯一的用户信息源 并且由于各个产 品实现方式不同 需要有一个同步的应用来维持各个子系 统的用户信息一致 亿赛通数据泄漏防护系统中的用户能 够从 LDAP 中直接获取 OA 系统为办公应用提供公文审批服务 文件流转 内 部邮件等应用 可以通过 OA 系统对一个或多个文件发起审 批请求 也可实时查询审批状态 并在审批结束后 由 OA 系统发起文件更新请求 邮件系统是信息内外交互提供的基础服务 6 分级管理 文档安全系统所有管理及审批环节均提供分级管理及 审批功能 灵活的分级设置 给企业提供灵活的管理支撑 系统所有功能均通过模块体现 模块组合为角色 通 过对角色的合理分配和管理 角色用户能通过直观的模块 功能体系快速实现对系统的使用和管理 无需投入过多培 训及学习资源 系统能够对不同机构 人员应用不同的加密策略 使 用不同策略的机构或用户之间 可设置是否能够互相正常 打开加密文档 应用相同加密策略的用户之间 在内部交 流时不需要进行解密便能正常交流 4 2 应用系统集成 1 与 AD 域集成 文档安全系统支持与 AD 域服务器或其他标准 Ldap 服 务器集成 实现 AD 用户的定期或自动同步 所有用户的登 录及访问认证将由 AD 域服务器完成 实现一体化的联动认 证 客户端用户登录域将自动登录文档安全系统 亿赛通文档安全系统服务器现支持的 ldap 应用服务器 有 Active Domino AD IBM domino IBM TDS SunOne OpenLdap Novell ED 其他的 Ldap 服务器 通过标准 Ldap 协议能从 Ldap 服务器中将用户和组织 结构信息同步成亿赛通文档安全系统服务器的用户和组 2 与应用系统集成 为确保金融和运营商核心应用系统 OA 系统等 信息数 据在线访问安全 如检出 下载 在线编辑等 亿赛通公 司提供松耦合安全集成解决方案 通过核心技术安全网关 实现终端和应用系统数据的安全交互 通过接入安全网关设备 实现下载自动加密 上传自 动解密 a 集成架构 图 4 6 OA 集成架构 OA 用户从 OA 系统下载涉密文档均自动加密 亿赛通 加密客户端能够自动识别并进行身份认证 权限认证 安 全解密 日志记录等操作 OA 用户接入 OA 系统 执行涉密文档的检入操作时解 密和检出操作时加密 如公文检出 邮件附件下载等 在线编辑 OA 系统中公文文件 如在线打开 Word 公文 文件 能够保证用户在线编辑安全及编辑保存后自动上传 更新 通过 IE 浏览器向 OA 系统上传涉密文档时透明化解密 下载涉密文档时自动授权加密 通过安全网关设备的后台无关特性 不改变证券公司 现有 OA 系统结构和流程 后续信息化系统升级或改造也无 需投入新的成本 b 集成访问流程 下图给出了终端接入 访问 OA 服务器 上传 下载文 件等基本流程 图 4 7 集成访问流程 亿赛通文档安全网关用于保障系统与其它网络系统的 无缝集成并为其他网络系统提供文档安全保障 安全网关 由硬件和软件两大部分组成 其中硬件采用高性能的网络 服务器 软件为亿赛通的文档安全网关软件 各个模块之间的逻辑关系主要如下 逻辑 关系 对象功能描述 安全 管理 动态 自动 加解密 终端下载文件数据进行强制加密控 制 对终端上传任意数据均进行解 密处理 集成 与应用服务 器结合 通过安全网关设备的协议无关性 可以与应用服务器无缝集成整合 如 OA Filenet 服务器等 日志 管理 访问审计日 志 对涉密文档的各种操作做日志记录 访问 控制 管理 访问控制 用户具备的访问及管理权限 通过 该用户所具备的角色和策略进行控 制 OA 用户从 OA 系统下载的涉密文档自动加密并以相应 的权限体现 如只读 打印 修改等 合法用户均可阅读 和使用 文档 ID 识别 与 OA 系统通过外围拓展开发 为 OA 系统完成 ID 采集接口 方便后续信息化服务器的集成 文档权限继承 与 OA 系统通过外围拓展开发 为 OA 系统完成权限继承接口 实现 OA 文档下载时权限有效继承 文档权限认证 为 OA 系统完成权限认证接口 OA 系 统中涉密文档 无论是在线还是离线状态使用 均由 OA 系 统完成一体化认证 涉密文档版本管理 通过对涉密文档 ID 判定 自动 识别涉密文档对应版本 实现与 OA 系统涉密文档版本管理 一致 解决用户在线编辑 重复上传 交叉使用所带来的 版本维护风险 DLP Server 通过策略配置和文件权限管理实现对终 端的安全策略下发和权限交互 通过日志管理记录终端对 文档的整个生命周期的操作 其他个性化需求定制等 3 与邮件系统集成 图 4 8 与邮件系统无缝集成 邮件网关集成接入 实现了邮件的安全交互 在内网 办公终端 以及外部终端之间的传播安全可控 有以下优 点 不改变用户使用习惯 自动对邮件附件中涉密电子文 档进行透明加解密 或权限涉密电子文档的转换 根据邮件策略 对发送邮件的涉密电子文档进行加密 保证发送邮件服务器存储为密文或发送线路中为密文 避 免了用户通过 web 或其他方式获取邮件服务器中的重要信 息 防止信息外泄 有利于保密 根据黑白名单 对接收邮件的涉密电子文档进行加密 解密 保证白名单用户使用不受影响 黑名单用户权限受 控 完善的日志记录 跟踪每份邮件的发件人收件人附件 等信息 4 离线数据安全防护 离线数据在产生 使用 共享等环节均非常灵活 为 了确保离线数据在证券公司内部存储和使用安全 亿赛通 公司为证券公司推荐透明化加密保护方案 实现如下安全 收益 核心业务数据强制加密 可有效防止内部用户无意识 或有意识泄密 核心业务数据强制加密 可有效防止非法用户窃密 对内部用户完全透明无感知 对业务效率无影响 解决信息源安全隐患 可有效降低后续信息化管理成 本 对离线数据所有操作行为可详细审计 对用户信息使 用行为进一步规范 其实现效果如下图 图 4 9 透明保护方案效果 透明保护方案采用亿赛通公司驱动级动态加解密技术 简称 SmartSec 详情请参阅附录一 SmartSec 的工作原理 结合基于角色授权 策略保护的思路 为用户提供高安全 性 高稳定性 高效率的保护方案 5 离线数据防扩散 离线数据在进行归档管理前 需要对授权范围 授权 对象 操作权限 使用痕迹等进行安全管控 防止核心数 据由于管理 使用不当引起安全隐患 为了确保离线数据 在证券公司内部授权传播安全 亿赛通公司为证券公司推 荐权限管控保护方案 实现如下安全收益 核心业务数据授权加密保护 防止无权限用户窃密 核心业务数据精确授权控制 防止合法用户越权使用 对核心业务数据进行全生命周期管控 防止核心信息 扩散 细粒度权限控制 满足业务部门各种安全控制需求 对业务数据可分密级管理 推进内网信息规范 其实现效果如下图 图 4 10 核心数据授权控制 权限管控保护方案是解决企业内部核心数据使用和二 次授权安全的方案 最小管控对象可达指定文件个体 最 小授权对象可达特定用户 通过结合身份识别 权限认证 访问控制 日志审计等技术 实现离线数据的精细化授权 管控 6 数据安全发布 信息与外界进行频繁沟通已成为一个必要的业务模式 这些交互的信息可能会涉及内部核心信息 而这些信息一 旦流出内网环境就面临着失控的风险 为了解决证券公司 各业务环节对外信息交互的后顾之忧 亿赛通公司为证券 公司推荐对外发布保护方案 实现如下安全收益 通过对外发信息设置访问密级 可使外界用户严格按 照预设密级权限使用信息 在加密的同时 对信息进行安 全控制 防止信息扩散 外界用户无需安装任何插件就可直接阅读外发信息 减少沟通成本 能够严格控制外发信息的使用权限 如阅读次数 时 限 打印 修改等 从信息源头实现安全管控 对信息发布行为可详细审计 确保发布流程的安全执 行 其实现效果如下图 图 4 11 信息对外发布流程 通过外发控制方案 不仅可以解决证券公司对外信息 交流的安全隐患 同时也可以解决集团公司与子公司 成 员单位间的信息交流隐患 7 移动办公安全 移动办公是证券类企业不可少的一个业务环节 员工 业务出差或外出商业活动时 必须使用内网涉密资源 如 果是明文带出可能面临泄密的风险 为了能解决终端离开 公司网络后能正常处理涉密业务 亿赛通提供了灵活的终 端脱机控制方案 通过对终端进行脱机审批 使终端能在 预设时间范围内脱离公司环境而又能正常处理涉密业务 超出预设期限将不再解密任何涉密信息 保证终端外出的 安全使用 实现效果如下 通过离线办公流程审批 实现离网用户在规定期限内 无障碍安全办公 通过离线补时流程 可以实现离线用户逾期续时安全 办公 所有离线工作行为在终端正常接入内网后完整上传 实现安全审计 8 便携终端防丢失 对于金融和运营商数量众多的便携笔记本电脑 其日 常的维修 报废 失窃等事件很有可能发生 而这类介质 中有可能集中存储有内部核心信息 对于内部人员来说 在已被授权使用情况下一般不会构成泄密隐患 但是这些 介质中的信息数据一旦被外界用户获取可能会造成很大的 损失 便携终端一旦离开内部网络 即使本机重要数据已 经强制加密 但非法用户一旦破解操作系统的用户口令 也同样能在加密状态下查阅这些重要信息 非法用户虽然 无法将已加密保护的信息还原为明文 但是对于证券公司 来说 部分重要信息一旦被外界查阅可能就会引起泄密 因此 为了能解决这一类泄密隐患