个人数据安全一体化解决方案.doc

个人数据安全一体化解决方案2011年8月1市场背景无纸化办公的普及和个人使用习惯的变化，带来数据的海量增长，无论是个人用户还是中小企业用户，现在比以往任何时候都更加依赖于数据信息。我们会把各式各样的文件和档案都备份在电脑硬盘或移动硬盘里，这样做虽然便捷却也留下了不小的安全隐患。现实中不乏因个人资料泄露给自己带来无尽麻烦的例子，更有因为数据泄漏造成商业机密被窃取带来惨痛的教训。于是，在当今这个信息时代，对于数据安全的保护成为人们最为关注的问题。2需求分析2.1安全风险分析在计算机广泛使用的今天，计算机和移动存储介质中存储资料的泄密已经成为数据安全的一个潜在的重要威胁。这些设备上往往存有个人隐私信息、公司商业机密等重要数据。目前面临的数据安全风险主要来自于以下几个方面：2.1.1笔记本电脑，移动存储设备丢失计算机丢失现象非常普遍。据权威机构的统计，由其笔记本电脑丢失的比例占10%15%；而移动存储设备由于体积较小，丢失的几率更是大幅度的提高。由于计算机和移动存储设备没有任何数据安全防护措施，所有数据均以明文状态存储于计算机或移动存储设备中，一旦丢失，设备中的数据将会完全泄露。2.1.2计算机、硬盘或移动数据存储设备被盗如同计算机和移动存储设备的丢失一样，设备一旦被窃，数据将完全暴露在窃密者面前。即使为计算机设置诸如系统密码，开机密码等防护，也可被轻易攻破，从而窃取数据。2.1.3通过USB端口，光驱设备等窃取数据在计算机打开而无人值守的情况下，窃密者可通过USB等端口设备，光驱设备等将计算机中的数据轻易地窃取出来，2.1.4黑客通过网络窃取数据黑客在互联网上通过对计算机植入木马程序等方式，在计算机或移动存储设备联网的情况下，通过互联网直接窃取数据。2.1.5计算机维修中的数据泄密计算机在维修时，维修者可通过将硬盘卸下，以附盘形式接入其他计算机，从而绕开计算机密码等安全设置，轻易将数据窃取。2.1.6计算机、硬盘等报废后的数据泄密计算机硬盘或移动存储设备报废后，虽然经过格式化或物理损坏等方式处理，仍可被专业人士通过数据还原技术，将报废设备中的数据还原。2.2需求分析基于上述风险分析，个人数据防泄密需要关注以下几点：2.2.1计算机和移动存储介质中的数据安全计算机和移动存储介质中的数据，需要以加密的形式保证数据的安全。系统对整个磁盘上的数据（包括Windows操作系统文件）进行全盘数据保护，只有合法用户才可以正常获取磁盘数据，其他人使用间谍工具或将硬盘挂接到其它计算机，都无法读取磁盘内的加密内容。2.2.2计算机和移动存储介质的安全认证磁盘加密技术运行于操作系统之外，对磁盘分区表和硬盘数据进行双重保护。用户在启动计算机前，必须先通过系统强制认证（口令认证或U-Key认证），若用户不具备合法身份，便无法读取硬盘内的加密数据，通过任何方法均无法绕过或破解加密系统的认证机制，就算用户重装系统或者破坏磁盘分区表，系统认证机制依然生效，磁盘内加密文件依旧安全。2.2.3计算机端口的全面控制通过各种类型的U盘、移动硬盘、软驱、光驱、刻录机、1394口、红外传输等进行存储与读取，同时有可能将非法程序、木马后门程序及病毒感染到电脑系统里，进行数据的破坏和窃取操作。需要对计算机的各个端口进行全面的控制，在非正常授权的情况下，禁止使用计算机的各个端口。2.2.4移动存储介质中重要数据运行时的网络安全 计算机中的网络安全往往由防病毒和防火墙等软件进行防护，而对于移动存储设备来讲，一旦接入到潜伏着间谍软件的计算机，由于自身没有任何防护，直接面临着数据被窃密的危险。所以在移动存储设备接入计算机的同时，应切断计算机所连接的网络，从根本上确保数据体在移动存储设备中的安全。2.2.5硬盘及介质中数据的彻底销毁 当硬盘或移动存储介质被销毁，或介质中的重要数据失效时，能够使数据被彻底销毁，利用任何修复工具均无法完全还原。2.2.6操作设备时的安全审计系统通过对用户操作的跟踪，能够及时发现存在泄露风险的操作，一旦有非法用户操作的泄密事件发生，通过用户操作记录, 可以在第一时间拿出最有力的证据，从而做到细致全面的事后追踪，有效降低泄密事件发生后的损失。3解决方案3.1技术路线3.1.1内核磁盘级加解密技术该方案采用亿赛通公司自主研发的内核磁盘级加解密技术，对指定的磁盘数据进行加解密。由于采用了双重强加密，可以抵御已知的各种攻击，包括绕过密码验证攻击、密码散列值碰撞攻击等。磁盘级加密技术的特点是可以对包括操作系统、页面交换文件、碎片文件等所有存储在磁盘上的数据进行加密，所以可以有效防止非法用户通过各种已知攻击手段获取涉密数据。3.1.2安全可靠的加密算法方案中，在加密系统参数、证书、密钥、硬盘数据等不同的数据时，采用了不同的加密算法，涉及的加密算法主要有RC4和AES，这些算法均为国际上广泛流行使用的加密算法，其安全性和可靠性是经过国际上许多密码学研究者广泛研究证明的，而且经过长期的实践检验，到目前为止，无论是学术界还是工业界对这些加密算法的安全性和可靠性均是认可的。3.1.3足够长的密钥长度方案中的提供的密码、加密密钥等的长度均达到了目前国际上公认的安全长度，其中用户密码和硬件锁PIN码的长度为256位，硬件锁中加密数字证书的密钥长度为1024 位，而加密硬盘数据的加密密钥长度高达2048位，且加密密钥可使用的字符覆盖计算机的所有字符集（即包含不可显示字符在内的所有字符），即使使用目前世界上所有的运算速度最快的超级计算机，要破解这么长的密钥，也几乎是不可能的。3.2需求实现3.2.1全盘加密终端综合安全防护系统（AniSec）是专为个人计算机数据安全打造的保护系统。它可以执行全盘加密的动作，自动将存储在硬盘上的数据转化为另一种形式，除持密钥者外，其他人无法看懂数据转化后的形式。如果没有正确的验证密钥，即使将硬盘安装到另一台电脑上或者通过专业的数据恢复软件，仍无法看到存储在硬盘上的数据。整个硬盘驱动器的内容，包括操作系统、系统文件、临时文件和删掉的文件，都会被自动地加密。所有的逻辑分区在启动时就被保护，并且每一个扇区都进行了加密。安全U盘（Ulock）是一个具有完善的安全数据功能的移动存储设备。在产品研发设计过程中，严格依据国家关于存储介质管理的技术要求，结合知名安全硬件厂商提供的芯片技术，对U盘实体进行全盘加密保护，从根本上解决数据泄漏隐患。3.2.2系统启动认证当受AniSec保护的系统启动时，用户必需进行认证。AniSec的认证是在操作系统认证启动之前的一种认证方式，不会破坏原有的操作系统认证方式。AniSec提供了2种认证方式，以独立的AniSec口令进行认证和以硬件UKEY的方式进行认证。当用户经过AniSec认证后，即可启动操作系统认证。安全U盘中具备加密区管理的功能，只有通过有效合法的身份认证，才能打开、访问加密区。如果没有合法认证，加密区隐藏不可见，不可打开。并且加密区中的数据经过强加密保护，加密区打开时解密，加密区关闭时加密。加解密操作过程对用户透明，对用户的操作无影响。3.2.3端口控制AniSec能够对计算机所有外联端口进行底层控制，实现“启用”和“禁用”功能！。包括：串口、并口、1394、PCMCIA、SD Card、红外、蓝牙、WIFI、网卡、本地打印机、数码图形仪、调制解调器。AniSec能够对USB端口控制。包括：USB 移动存储介质、USB软驱、USB光驱、USB打印机、手机连接等。3.2.4光盘安全刻录AniSec能够防止涉密数据通过光盘刻录等方式进行泄密，对刻录到光盘的数据进行保护，从而使用户不仅能正常使用光盘，而且能够保证涉密数据的安全。同时不改变用户的使用习惯，用户可以通过任意刻录软件对涉密文件进行刻录处理，刻录的同时留有日志，以便管理人员随时检查审核！3.2.5文件粉碎安全U盘提供对PC终端或其他存储介质中的文件进行粉碎的功能。默认粉碎级别为10级，最高支持40级(可自行更改设置)。与对删除的空间进重新写的次数越多，粉碎级别越高，粉碎的文件恢复的可能性越小。3.2.6断网保护在U盘使用过程中，用户可选择“断网”模式，保护U盘数据不被互联网木马或病毒窃取。3.2.7日志审计功能AniSec可记录下用户对操作记录，记录内容包括磁盘加密时的用户、操作方式、操作结果；光盘刻录时的用户、刻录的文件名、文件大小、时间等，以便进行审计和追溯。安全U盘可记录下用户对安全U盘软件的操作记录，以及对PC端的操作记录。以便进行审计和追溯。4实现效果4.1终端综合安全防护系统（AniSec）实现效果AniSec通过全盘数据加密、用户身份认证、权限控制、端口管理、光盘加密和日志审计等功能，实现对涉密终端数据内部泄露和失窃的全面安全管控。4.2安全U盘（ Ulcok）实现效果亿赛通全盘加密安全U盘采用芯片级硬件加密技术，对U盘存储内容进行保护，通过非正常手段无法获得和破坏存储区域数据信息，从根本上解决数据泄漏隐患。5产品规格5.1终端综合安全防护系统（AniSec）产品规格硬件参数参数说明加密狗/每个可对应多个keyKey/每个最多可管理60个终端运行环境安装最低配置硬盘：10M以上剩余空间；内存：64M以上；CPU： 133MHz以上操作系统支持Windows 2000；Windows XP；Windows 2003；Windows Vista；Windows 2008；Windows 7文件系统支持FAT12；FAT16；FAT32；NTFS；Ext2；Ext3；选配说明请根据终端数目决定购买key数目5.2安全U盘（ Ulcok）产品规格硬件参数参数说明模具材质铝合金金属模具颜色银灰色Flash芯片A+级SLC 存储芯片Flash芯片寿命10万次擦写接口类型USB1.0/2.0/3.0容量8GB/16GB兼容性：兼容项描述操作系统版本支持Windows 2000以上操作系统以上操作系统包括：/2003/XP/Vista/2008/Win7杀毒软件兼容支持支持360安全卫士，支持现有最新主流杀毒软件，如麦