企业数据加密解决方案
概述
随着我国社会信息化程度的提高,作为国家经济发展重要力量的企业信息化工作已经逐渐成为信息化工作所关注的一个热点。在知识型经济之下,企业特别是上市公司信息资产显得特别重要,能否有效保护专有技术等内部信息,更是求得成功的关键,业务保障的基础。进入信息年代,互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便,由于技术的偏差,管理不到位以及人员素质问题,计算机网络也表现出其脆弱性的一面。例如,主要技术数据和财务数据比传统模式下更容易被窃取,在增加了企业办公的便利性的同时,也增加了企业内部员工上班时间利用网络进行非工作事情,甚至利用网络进行娱乐。
信息联通的便利必然会带来信息泄露的便利。对于企业来说,核心产品的设计、关键的客户资料和敏感的财务信息无疑是企业的核心竞争力,而这些数据都是以电子形式存在的,但是根据FBI 和CSI 调查显示,超过85%的安全威胁来自企业内部,也就是说,信息的泄露大部分是来自于内部员工有意或无意的过失。另外,竞争对手利用间谍软件对信息的窃取,恶意程序、计算机病毒对企业的冲击,造成关键信息被窃取或被篡改删除,这都时时刻刻都威胁着企业的安全。
信息化除了为企业带来有用的资讯以外,还充斥着大量的休闲信息、娱乐信息,乃至不良信息。企业的计算机数目,尤其是员工个人使用的计算机众多,管理难度非常大。病毒、木马通过员工的不良行为被非法下载或通过移动存储设备被带到企业内部;由于缺乏有效的技术管理手段,很多管理规定得不到实施,例如:有些员工会在上班时间浏览与工作无关的网站、看电影、玩游戏、私自改变计算机的设置、非法外联等,员工的工作时间、工作效率完全得不到保障。
信息化还会对企业的IT资产管理带来困难。企业里的计算机数目较多,分布较散,IT管理人员对计算机的日常维护非常困难,这些困难包括:
不能统计查询所有计算机的软硬件信息;
不能对每个计算机的系统漏洞及时打上补丁,让系统存在风险;
计算机的小故障小问题都需要维护人员现场解决;
网控被定义为一款内网安全管理数据防泄密软件,是为了帮助企业解决上述问题。网控划分为13个功能模块,覆盖了内网安全管理的各个方案,它运用系统管理思想,充分利用行为审计,分级授权,访问控制,集中管理等技术手段,全面解决信息安全、应用效率、系统管理三项内网安全难题。
示意图
解决方案
防止数据离开工作环境泄密
对内部员工而言泄密途径很多,如通过打印机、光驱、QQ、邮件、移动存储设备、USB接口等途径进行泄密。如何解决?
解决方法:首先要对客户端下发透明加密策略,需要对何种文件进行透明加密,则根据客户自身企业的需求定制即可,在系统的“加密策略”可以进行设置。策略下发后客户端的创建的受保护文件会自动加密。在未解密的情况下通过光驱,QQ,邮件,移动设备等泄漏出去的文件都是密文。在“客户信息编辑里”策略信息栏中可以对这一类设备进行禁止其使用,企业根据自身需求进行应用。
防止外发文件在外二次泄密
如果要外发受保护的加密文件,那么必须对其进行解密才能外发,否则发出去的文件打开为一堆乱码,再则如手动去解密也给工作添加了很多工作量,如何解决这些问题。
解决方法:
①管理员解密:管理员可以在控制台对客户端远程加密文件进行远程文件解密,解密后的文件可以直接使用。
②客户端申请解密:当有员工需要外发文件时,只要将需要解密的文件点右键申请解密,填写相关理由,则会向审核人(设置好的审批管理员)提出申请并带有此文件附件以备查看;审核人员如果同意则会向申请端返回一个未加密的文件;反之,则拒绝。
③邮件解密:通过邮件解密模块,进行邮件外发解密或者采用绑定策略库中OUTLOOK策略,采用OUTLOOK模块或者FOXMAIL模块直接外发邮件(此时无论是采用邮件模块方式还是OUTLOOK,FOXMAIL代理方式均有以下三种控制方式:只验证发件人,只验证收件人和同时验证发件人收件人),如果策略库中有添加相应的发送邮件地址或接收邮件地址为信任的,系统会自动解密发送;反之,其打开的文件都为乱码。
防止计算机离开公司泄密
如何防止外出工作人员通过笔记本泄密?如果对笔记本设置某个时间段才允许打开文件的策略,而外出工作人员在外地需要延长使用时间,如何解决?
解决方法:
(1)可以对笔记本下发离线使用策略。为了保证外出笔记本的安全,建议搭配使用U_KEY,这样更能保证公司出差人员笔记本文件的安全。可以设置离线出差是否允许打开加密文件,同时可以设置出差使用计算机的时间,过期后无法使用计算机,如果想重新获得授权,可以通过vpn连接到公司服务器重新认证。
(2)只需要通过客户端工具导出一个验证信息,发送给管理员,管理员通过工作人员的验证信息再导出一个延时策略,发送给工作人员导入即可。
公司内部文件权限划分
保密性强的公司一般在公司内部至少有三个级别的文件级别。打个比方老板很多东西只有自己知道不想给除自己以外的人看到,那怎么办?或是某个部门要求部门经理的文件不允许下属看到……这一切都需要我们的软件拿出解决方案。
解决方法:本软件的公司内部文件权限这一块就专门针对公司出现的这一现象来做出明确的解决方法。对涉密文件我们可以分为六种加密等级,视实际情况而定一般公司选择三种加密等级即可。如下示意图可以直观的看出部门直接的权限划分:
企业文档权限示意图
等级一:“开发部(01)” ,“开发部(02)”。 在没有授权的情况下,只能浏览本部门的文件。
等级二:销售部。 只能浏览使用存档文件。
等级三:开发部经理,总工程师。有权限修改阅读,开发部文件。
等级四:总经理。独立文件权限,可以浏览修改任何部门人员文件。
防止黑客入侵导致泄密
如果我们的文件服务器哪天不小心被黑客黑了,大量重要文件被盗取。如果我们对文件没有采取任何措施的话,那拿走了就拿走了。是如何解决此问题的呢?
解决方法:本软件是通过AES加密算法,密钥是由服务器ID产生的长达256位的唯一密钥的加密机制。即使被黑客盗走我们的加密文件,那些重要文件脱离公司软件环境就毫无意义可言了。
防止将数据拷贝到QQ、邮件进行泄密
如果对剪切板没有做限制的话,一个加密软件也是一个不完善的软件,会带来很大的安全漏洞,可以说是一个很大的缺陷吧!
解决方法:对此本软件做到,涉密软件范围内的文件互拷是没有一点问题的。但非涉密文件和涉密文件之间我们默认是不给互拷。例如记事本我们没有加入加密策略,word,excel已经是我们的涉密文件,我们把两程序定义进入我们的加密策略之中。那么想通过word,excel把文字拷到记事本里面,你只能看到记事本上有几个乱码标志。
全盘加密解密
如何一次性对某一台或多台客户端机器进行全盘加解密?
解决方法:管理员只要在服务器端选中已绑定的用户即可一次性对客户端机器下发全盘加解密的策略,客户端会自动执行。这样对管理带来很大的便利。
多重日志审计
1.操作日志审计:能够记录所有文件的解密操作,将记录保存到服务器。
2.文件审计:监控文件读写,创建、删除、重命名,将记录保存到服务器。
3.打印审计:记录所有打印文档的信息,包括打印的时间,打印的计算机,文档名称,文档内容,打印页数等。
4.解密审批信息:记录所有客户端解密审批的文件,并且被解密好的文件会被自动备份到服务器设置好的备份目录下。
增强的日志管理,方便查找,并可以导出为Excel表格。
重要文件备份
如何防止数据损坏和解决数据交换需要?
解决方法:在技术部架建文件服务器,用以备份保存所有数据。软件有自动备份功能,可以替代部分易备工作。管理员设置自动备份策略,将客户端产生的数据文件备份到文件服务器指定区域。
这样可以很好的防止公司的机密文件由于员工离职等因素造成的恶意删除。
跨地域,跨网络支持功能
a、跨互联网集中管理:子公司或者办事处,可以通过跨互联网集中管理,统一由总部管理。子公司和办事处文件能无障碍流通。
b、单机客户端:对于分公司或者办事处人员比较少,安装单机客户端,单机客户端只能由系统管理员来统一发放,单机客户端部署后,此客户端相当一个公司内部移动客户端,所有文件跟公司内部一样拥有统一的策略和密钥。实现文件保护,以及加密文件,确保公司文件无障碍流通,以及文件安全。
分布式管理:总公司,子公司,办事处可以采用多个同密钥服务器部署,分布式管理,集中式密钥,确保公司文件无障碍流通。
功能介绍