数据安全保护系统
数据安全保护系统是依据国家重要信息系统安全等级保护标准和法规,以及企业数字知识产权保护需求,自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想,对信息媒介上的各种数据资产,实施不同安全等级的控制,有效杜绝机密信息泄漏和窃取事件。产品特点
1. 透明加解密技术:提供对涉密或敏感文档的加密保护,达到机密数据资产防盗窃、防丢失的效果,同时不影响用户正常使用。
2. 泄密保护:通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术,防止泄漏机密数据。
3. 强制访问控制:根据用户的身份和权限以及文档的密级,可对机密文档实施多种访问权限控制,如共享交流、带出或解密等。
4. 双因子认证:系统中所有的用户都使用USB-KEY进行身份认证,保证了业务域内用户身份的安全性和可信性。
5. 文档审计:能够有效地审计出,用户对加密文档的常规操作事件。
6. 三权分立:系统借鉴了企业和机关的实际工作流程,采用了分权的管理策略,在管理方法上采用了职权分离模式,审批,执行和监督机制。
7. 安全协议:确保密钥操作和存储的安全,密钥存放和主机分离。
8.文件外发管理无懈可击:为严控收件人的使用权限,可对外发文件,设置指定的可查看次数、时间;对信任的收件对象可设置邮件白名单,白名单邮箱对加密文档自动解密;对安全级别高的加密文件,通过绑定对方计算机或者安装外发查看器两种方式,限制收件人不可再次外发传播。
9.离线应用不脱离保护:出差或短期离线办公可设置使用时间等权限保护加密文档安全,延期使用的需要申请延长使用期限。 我们所能常见到的主要就是磁盘加密和驱动级解密技术:
全盘加密技术是主要是对磁盘进行全盘加密,并且采用主机监控、防水墙等其他防护手段进行整体防护,磁盘加密主要为用户提供一个安全的运行环境,数据自身未进行加密,操作系统一旦启动完毕,数据自身在硬盘上以明文形式存在,主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长,造成项目的实施周期也较长,用户一般无法忍耐;磁盘加密技术是对磁盘进行全盘加密,一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情,正常一块500G的硬盘解密一次所需时间需要3-4个小时;磁盘加密技术相对来讲真正要做到全盘加密还不是非常成熟,尤其是对系统盘的保护,市面上的主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制,大家知道操作系统的版本不断升级,微软自身的安全机制越来越高,人们对系统的控制力度越来越低,尤其黑客技术层层攀高,一旦防护体系被打破,所有一切将暴露无疑。另外,磁盘加密技术是对全盘的信息进行安全管控,其中包括系统文件,对系统的效率性能将大大影响。
驱动级技术是信息加密的主流技术,采用进程+后缀的方式进行安全防护,用户可以根据企事业单位的实际情况灵活配置,对重要的数据进行强制加密,大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护,驱动级加密采用透明加解密技术,用户感觉不到系统的存在,不改变用户的原有操作,数据一旦脱离安全环境,用户将无法使用,有效提高了数据的安全性;另外驱动级加密技术比磁盘加密技术管理可以更加细粒度,有效实现数据的全生命周期管理,可以控制文件的使用时间、次数、复制、截屏、录像等操作,并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制,做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时,也给用户的使用便利性带来一定的问题,驱动级加密采用进程加密技术,对同类文件进行全部加密,如何有效区别个人文件与企业文件数据的分类管理,个人电脑与企业办公的并行运行等问题;
酷卫士数据安全管理平台采用国际最先进的虚拟化技术、沙箱技术、驱动级加密等技术;
首先平台采用虚拟化技术,虚拟化最接近用户的还是要算的上桌面虚拟化了桌面虚拟化主要功能是将分散的桌面环境集中保存并管理起来,包括桌面环境的集中下发,集中更新,集中管理。桌面虚拟化使得桌面管理变得简单,不用每台终端单独进行维护,每台终端进行更新。终端数据可以集中存储在中心机房里,安全性相对传统桌面应用要高很多。桌面虚拟化在用户原有的操作系统上虚拟出一个全新的安全桌面,这样用户就拥有一个电脑桌面与安全桌面,用户可以实现在电脑桌面进行个人文件操作,在安全桌面进行办公操作,用户只有在安全桌面才可以访问企业的业务系统,电脑桌面无法访问,两个桌面的操作具有无关性,用户可以在两个不同桌面同时处理个人文件与办公文件。同时在安全桌面的所有操作数据将保存在虚拟磁盘里,虚拟磁盘采用加密技术进行安全防护,用户一旦退出安全桌面,虚拟磁盘将自动退出,所有数据将不可见,有效保障了数据的安全性; 沙盒技术可以算是虚拟机的一种发展,其技术原理似乎也和虚拟机大致相同,但它们仍有很大区别。沙盒是一种更深层的系统内核级技术,在一个程序运行时,沙盒会接管程序调用接口或函数的行为,并会在确认攻击行为后实行“回滚”机制,让系统复原。
沙箱通过重定向技术,把安全桌面内应用程序生成和修改的文件,定向到自身文件夹中,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
沙箱通过虚拟化技术创建的隔离系统环境。您可以在沙箱中运行包含风险程序的程序(如未知文件、病毒木马等),沙箱会记录程序运行过程中的各种操作行为
在沙箱中所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
沙箱内的文件操作,包括可执行文件和非可执行文件:安全桌面内的进程所对文件和系统的修改,全部被重定向。并且重定向后的文件是经过加密的,即使重定向的文件被泄露,也没有安全隐患。用户注销后,重定向文件全部被删除,即所有在安全桌面下进行的文件操作对于默认桌面没有任何改变。
在安全桌面中,所有的通讯也被严格控制,安全桌面与电脑桌面之间通信也会被重新定向而进行控制,防止用户把资料泄露出去。包括Socket通讯、安全桌面内的进程与电脑桌面的进程通过本机IP进行通信,避免数据泄漏。
沙箱技术具有以下特点:
1.完全隔离并轻量的虚拟化技术。
2.自动识别特定有风险软件隔离运行。
3.所有的磁盘操作放置在一个缓冲区,没有真正写入
4.安全不留痕迹,用的省心更安心。
沙箱主要为用户的安全桌面提供一个安全的运行环境,将电脑桌面与安全桌面进行安全隔离;
关于驱动加密技术前面的分析中我们已经介绍过了,在这里不再重复;
博睿勤数据安全管理平台还具有以下特点:
1、用户操作可以实现电脑桌面与安全桌面的平滑切换,不需要进行系统重启操作,大大提高了用户的办公效率和用户体验度;
2、平台不但可以实现在线登陆功能,同样为用户提供离线和外出登陆功能,满足用户的不同安全需求;
3、平台可实现安全桌面可以访问电脑桌面,电脑桌面禁止访问安全桌面功能,可以大大提高数据的访问效率;
4、平台同时可以实现电脑桌面与安全桌面的同步安全管理,可根据安全需求灵活控制策略;
5、平台可实现文件的集中管控,本地不留文件的安全功能,数据全部集中存储在服务器上;
6、平台可满足用户的复杂环境的需求,可在一套系统内实现主机管理、账号管理、集中管理、桌面管理等强大功能;
7、平台具有防水墙的功能,可实现设备管理、U盘管理、上网行为管理、文档加解密功能、软硬件资产管理、非法外联、准入管理、文件备份、打印管理、授权管理、外发管理功等38项功能
8、产品不但解决了用户的数据安全性问题,同时降低了管理难度、实施难度和用户的抵触心理;
9、平台可以实现一个人多个桌面,从事不同的工作;
10、平台有效解决多人使用一台电脑的安全问题;
2. 内网安全的加密系统
SecDocx系统
由广东南方信息安全产业基地研发的新一代驱动层硬加密SecDocx数据安全保护系统是一款专业的企业内网安全管理系统,它将局域网内文件的透明加密、内网的有效管理有效地结合起来,功能强大,能满足不同类型企业用户对信息安全的需求。
1、透明加解密保护内核过滤驱动: 在Windows操作系统中,存在一个管理系统输入输出的内核模块,I/O 管理器。程序在发送操作请求(如读写请求)到目标设备对象(如文件)之前,I/O 管理器会检查挂载在设备对象上的驱动程序,如存在这一对象,I/O 管理器把请求先发向驱动程序。驱动程序对象以栈的形式存在,因此可在驱动程序对象中加入定制的过滤驱动程序对象。
本系统使用内核过滤驱动技术,对管理员设置的文档类应用程序,产生的数据文档进行强制的透明加密保护,并在用户和程序访问这些加密文档时,校验其合法性,如果合法,则进行透明解密,否则不对其解密。该加解密过程不会影响现有程序和用户习惯。
2.泄密保护
系统对指定的数据文档提供了高强度的加密保护。为防止内部人员使用不当或其他非法工具手段窃取加密文档内容,本系统提供了泄密保护控制功能。
(1)打印控制:系统在操作系统内核驱动层,控制加密文档的打印,当程序向打印机发送打印请求时,内核驱动拦截该打印请求,若为可信的打印操作,驱动将允许打印,并记录该打印事件,否则禁止打印并记录该打印事件。
(2)内存窃取控制:系统在操作系统内核驱动层,保护应用程序的内存数据,当加密文档数据被加载到内存中,内核驱动对存储机密数据的内存区域进行读写保护,其他程序不能通过内存访问窃取加密文档数据,解决了内存窃取重要数据的问题。
(3)其他控制:系统在操作系统内核驱动层,防止用户利用操作系统的拖拽和复制功能,泄露加密文档数据。当用户进行拖拽和复制操作时,驱动程序将分析该操作是否为策略进程,如果同为策略进程,则允许相互拖拽和复制否则禁止。
3.双因子认证
WINDOWS操作系统在用户登录时,通过GINA来进行登录认证。这种方法只有身份和口令保护在高安全要求的业务环境中,这种身份认证并不安全。本系统强制客户端使用USB-KEY进行身份认证。当用户身份认证成功后,系统自动下载用户的安全策略。
4.安全通信协议
系统中,客户端与服务器的网络通信采用了私有的安全通信协议,采用ECC算法簇的加密签名算法确保网络数据无法窃听或篡改。网络数据,无论是密钥、日志和策略等数据,都采用本协议传输,保障网络通信的安全性。
本协议提供了以下特性:密钥传输安全、密钥访问权限控制(只有正确的用户才能够正确获取密钥)策略完整性、日志机密性等。