经调查统计,造成信息泄密的途径可能有:
1)内部人员通过SMTP、POP3、WebMail、FTP、PSTN等方式使用网络,有意或者无意将企业内部敏感信息或涉密信息传送到外部造成失泄密;
2)内部人员非法窃取公司技术资料或敏感信息;
3)内部人员使用互联网传送秘密信息时被窃取;
4)在互联网上,利用特洛伊木马技术,对网络进行控制,如BO、BO2000;
5)为了使用的便利,现代的计算机提供了大量的、各式各样的外设接口。而这些外设接口都可能是造成信息泄漏的途径。这些外设接口有:USB接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器等等;
6)通过打印机打印文件所造成的信息失泄也不能忽视。将打印的文件通过纸质形式带出,也会造成一些机密、秘密文件的外传泄漏;
7)通过笔记本计算机联入现有网络环境进行访问复制,而造成泄密;
8)越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里;
……
企业内部为加强基于网络的文件、数据交互过程中的信息保密,需建设一套信息资产保护系统,通过对信息保护的事前、事中、事后等过程的管理,达到信息加密的要求。
对于XX有限公司来说,信息资产保护需实现的目标:XX公司的重要技术文件(电子文档)只能在XX公司授权许可的范围内使用,在没有经过授权许可的情况下,无论以何种方式脱离XX公司的授权应用范围,电子技术文件都将不可使用。即技术文件从产生开始直至完成的整个生命周期内始终处于安全加密状态。
2.2方案应对
尖锐软件有限公司在分析了XX公司关于企业信息资产保护的需求后,采用尖锐软件 “企业图档加密系统V10.0”(简称加密系统),从而解决XX公司提出的企业文档的加密安全管理的问题。
需要说明的是,为适应计算机硬件的快速更新与互联网络的高速发展,不让企业用户在硬件上的无止境更新投入,加密系统无须另外增添硬件设备的限制。因此,软件的架构和操作系统的深度集成决定了不改变用户现有硬件是必然的。也不需要屏蔽计算机的各种通讯端口(如USB端口等)。
2.3方案目标
企业图档加密系统的目标――在XX公司构造一个安全的企业办公环境(指若干安装了加密系统的计算机构成的网络系统,以下简称加密系统环境),保证文件在全生命周期(包括在新建、浏览、编辑、更改等操作文件的时候)都处于加密系统的保护之下,在加密系统环境下文件能正常操作,如果被非法带出加密系统环境,文件都是不可用的,从而在源头上保证了文件的安全。
运行效果如下:
1) 保存企业机密的电子文件在全生命周期始终都是受保护的。
2) 受保护的电子文件只在加密系统办公环境内部的计算机上可用,在其他计算机上不可用。
3) 在加密系统安全环境下,加密系统服务能够在后台监控和辅助应用程序(如Word、各种CAD软件等)不需要解除保护就直接操作文件;如果把文件拷贝到加密系统安全环境外,没有加密系统服务的帮助,应用程序就无法打开和编辑文件。
4) 加密系统能够全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
5) 加密系统服务器管理员在服务器上能够实时监控作为部门服务器的控制台的工作状态和配置控制台的功能授权,并且汇总、审计控制台上的操作日志,及时发现系统安全隐患。
6) 加密系统控制台管理员在控制台上能够实时监控客户机上安全服务的工作状态和配置客户机的功能授权,及时发现文件安全隐患。
7) 加密系统提供分部门策略,可以设定不同部门之间的加密策略不一样,有效控制企业内部各部门之间文件的交互。
8) 加密系统提供完善的外发系统,企业内部的文件外发时,需要经过严格的内部审批流程。。
三、加密系统信息资产保护系统整体方案
3.1系统组成
企业图档加密系统由:服务端、控制台、客户端组成。
架构图如下:
3.2系统功能
服务端的功能:
1) 生成控制台的使用授权证书,完成控制台机的注册和安装;
2) 监控部门级加密系统控制台的工作状态,保证控制台正常工作;
3) 记录、汇总、审计下级控制台的系统操作日志;
4) 审计和认证运行状态控制台的合法性。
控制台(管理端)的功能:
1) 生成客户机的使用授权证书,完成客户机的注册和安装。
2) 监控加密系统客户机安全服务的工作状态,保证客户机安全系统正常工作。
3) 记录、汇总、审计加密系统安全系统的操作日志。
4) 审计和认证运行状态客户机的安全合法性。
5) 用来对文件进行批量保护或解除保护,完成系统的初始化工作。
6) 解除文件的保护状态,并记录操作日志。
客户端(员工端)的功能:
1) 在系统后台监控应用程序,构建企业安全工作环境。
2) 审计和认证客户机的合法性。
3) 监控应用程序的运行,实时保护应用程序操作的文件。
4) 充当应用程序和受保护文件之间的转换器,辅助应用程序对受保护文件的处理。
5) 监控、处理应用程序的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
6) 监控、处理截屏软件等可能会导致泄密的应用程序。
7) 安装客户机后用户可照常使用各相关应用程序进行自己的工作,无需任何附加操作或改变应用程序的操作习惯。
3.3系统特点
1、系统运行安全可靠
加密系统强制加密系统具有防止对系统及数据的非授权的故意或意外访问的处理能力;具有在规定的时间和条件下,能维持其性能水平的能力。系统具备容错机制,保证不同使用条件下加密系统都能正确运行。
2、系统可操作性强
强制加密系统操作简单实用,提示简明、清楚。尽量减少人工操作的步骤,提高加密软件系统的使用效率。
3、维护方便
系统提供可行的配置和维护手段,使用户能够根据实际情况的改变配置和维护加密软件系统。
4、 扩充容易简单
系统的功能的增强、增加不会引起系统总体结构上的变动。
5、 性能指标高
强制加密系统在网络稳定的环境下单一操作的系统响应时间小于5秒(包括打开超过1G以上大型的被加密文档)。能达到支持最高300个并发用户,正常100个并发用户的性能要求。系统可提供7×24小时的连续运行。
6、 应用集成能力强
强制加密系统拥有方便的与OA、PDM、PLM等第三方系统集成能力,从而为今后实施节省系统维护成本。
3.4需求应答
通过对XXX有限公司所提出的信息资产保护思路的理解,对系统的设计原则作出应答:
3.4.1 保护对象
本加密系统的保护对象为XXX有限公司的涉密数据,即由各类设计应用程序产生的电子文件及办公软件生成的电子文档。
3.4.2 离线策略
(1)出差方案:
加密系统可根据公司要求限制电脑中加密文件的使用时间,如:携带笔记本电脑外出办公,则可以设定离线策略,在一定时间内可以让该电脑脱离加密系统网络独立运行,保证加、解密动作正常,让用户在外地工作无碍,但是在规定时间内必须与服务器联系,如果发生异常情况(比如笔记本被盗),超出了规定时间,笔记本电脑上的加密文件连用户自身都无法打开。此时,用户新生成的文件却仍然是加密的。
通过加密系统控制台可实时配置加密系统客户机是否能离线工作和允许离线工作的时间。超出时间,加密系统客户端则自动失效。能够有效防止用盗窃客户机(尤其是笔记本电脑)的方式对加密文件进行窃取。
(2)延长离线
很多情况下,出差时间是无法掌控的,例如我们的出差计划为7天,那么通过加密系统的设置分配了7天的脱机时间,在7天内正常操作无影响,但因工作需要7天无法返回,那么超过7天脱机策略就会失效,加密软件就无法正常工作,这时加密系统提供了脱机时间延长策略,可以制作一个“时间策略包”,通过邮箱或者即时通讯工具发送到出差人电脑上,运行后即可获得再次授权的时间,保证外出工作的正常进行。
(3)安全加班:
在业务繁忙的时候,员工需要将任务带回家中继续工作,但是带回的文档都是加密的,在家中无法打开,该如何解决?
此时可以采用制作外发文件来满足员工带任务回家工作的需要。
对于外发文件,可以精确控制时间、打印、读写限制。可以这样设定:某员工带任务回家工作,先提交申请,主管审批通过后通过加密系统将任务资料制作成外发文件,为了保密需要,这些外发文件都进行了限定,只能打开阅读、编辑一天、在编辑的过程中不能进行另存、拷贝、截屏、打印等操作,有效的实现文件带出公司后继续进行安全保护的目的。
(3)外发文件的权限管控。对于外发文件,可以设置文件打开的次数,天数,能否打印,文件自动销毁等权限。
3.4.3 自我防护
加密软件采用独特的无痕安装,高级进程隐藏保护以及进程快速加载技术,使得普通用户无法自行终止客户端软件的运行。
客户端安装结束后,并没有卸载的选项,用户想卸载客户端必须通知系统管理员,由系统管理员执行卸载动作。
如果用户自行格式化硬盘、重新安装操作系统,那么在控制台上该计算机上的客户端显示将是灰色,一目了然。
3.4.4 强制加密
加密系统自动强制性对指定计算机中的数据进行加密,并且不影响其它应用程序的正常运行。确保在企业办公环境中,所有应用程序的功能和加密文件都能正常使用而不影响正常工作。
由于所有文件始终都处于加密状态,一旦离开本企业的网络加密环境,文件无法使用。文件无论以任何方式存储或转移,不必担心信息泄密。安装了加密系统的客户机,无需进行文件加密操作,文件在全生命周期中自动加密,完全不需要使用传统的输入密码和手动进行加密的操作,不影响内部信息交流。加密的数据未经解密离开加密环境就无法打开。
加密系统还通过多种手段来控制加密数据的外泄。安装了加密系统的计算机,在操作上与安装前没有任何变化,用户甚至察觉不到安装了加密系统,加密系统在后台保护电子文件。
3.4.5 透明加密
通过实时透明加密技术,确保在加密过程中,不会影响到员工日常工作中的操作习惯。
由于软件客户端的透明加密,使用过程中无任何工作界面,无需对员工进行操作的培训,简化系统管理员的工作。
企业办公环境中,所有涉密数据始终都处于加密状态,一旦离开本企业的网络加密环境,文件无法使用。文件无论以任何方式存储或转移,不必担心信息泄密。只要在XX公司内部的加密环境中,不需要输入密码可自动解密,不影响内部信息交流。
3.4.6 密钥唯一
企业的唯一密钥由企业自己设定,没有这个密钥,即便是厂商也不能对自身软件加密的数据进行解密。
加密系统的软件密钥是由企业自行设定的一个1024位的字符串,尖锐软件提供的密钥只是用来对企业设定的密钥进行加密保护和控制软件使用合法性的。所以企业加密文件中的唯一密钥是由企业自己掌握的,即便是尖锐软件也不能对这样的文件进行解密处理。
3.4.7 解密原则
控制台是企业内部加密文件的唯一合法出口,企业内部的加密文件如果需要解密,必须通过控制台的“解密”功能才能实现。
所有需要解密的文件必须通过XX公司管理部门制定的负责人(部门)解密。
如果需要利用加密系统外发审批流程系统,则需要XX公司根据本公司组织结构、人员权责进行设定相关审批人,并分配外发审批端赋予审批权限。
3.4.8 解密方法
(1) 电脑解密:客户端通过局域网向解密管理员提交解密申请,管理员收到解密申请,查看申请文件内容,确定是否同意解密,解密通过后,客户端收到解密后的文件,即可以发给客户。
(2) 手机APP解密:支持IOS苹果,Andriod系统的安装,进行手机移动审批解密。
(3) U-KEY离线解密:授权U-KEY进行离线解密,即使不在公司,也可以解密。
(4) 邮件白名单解密:支持绑定邮件系统白名单,通过白名单发出去的邮件自动解密,无需解密管理员审批。
3.4.9 合法认证
尖锐软件的加密算法为AES算法,驱动层加密技术,产品已获得国家公安部、国家密码局、国家信息安全中心认证许可,软件中日志记录,在法律上是有效的。
3.4.10 保护类型
加密系统可以提供对现有主流的二维、三维设计软件(如Auto CAD、PRO/E)、现有主流办公软件(如Office、WPS)、电气设计软件等产生的文件进行实时加密的功能。计算机在安装了加密系统后,用户使用设计软件和办公软件所产生的所有相关的文档都将自动加密。
尖锐图档加密目前已经实现保护的文件类型有八百多种,根据目前的实际应用情况,本次项目中需要实施保护的文件类型尖锐图档加密基本可以支持,如有目前版本不支持的软件,可以在现场进行二次开发。
考虑到企业运作中使用大量的PDM/OA/ERP等系统,尖锐软件也做了专项的集成工作,目前已经成功合作了InterLink、TeamCenter、SmarTeam、WindChill艾克斯特、开目等。
3.4.11 内部通畅
在同一个企业内,两台同时安装了加密软件并且加解密策略配置相同的电脑,它们之间可以相互打开对方的加密文件,因为系统保证了安装了加密软件的企业内部信息无障碍交流。同理,如果没有安装加密软件的电脑则无法打开加密文件。
3.4.12 部门管理
加密系统的部门管理功能可实现根据XX公司内部的组织架构图在软件系统中建立组织结构,系统管理员在维护加密系统时,即可以按照组织架构来分部维护,简化工作节约时间。
3.4.13 密级控制
加密系统的密级控制功能可以根据企业的部门规划来设定一个部门一个密钥,部门之内因为密钥相同,文件交流无阻碍;而部门之间因为密钥的不同则不能相互打开涉密文件;同时也可设定某台机器具备浏览多个密钥产生的文件的最高权限,让公司最高层可以查看公司全部涉密文件。
3.4.14 审批流程
在企业的管理制度中,文件不论是明文外发、密文外发,须经由相关领导进行审批同意后,方能外发给客户。外发审批流程管理功能,全部以后台处理的方式进行申请、审批的操
作,不但简化了文件外发过程,而且增强了系统的安全性,避免了更多人涉及到明文。
3.4.15 全程监控
加密系统能正确处理文件的操作,使在文件内容始终加密的条件下,应用程序能正常工作。并且加密系统的后台监控程序能捕捉到应用程序和系统中的复制粘贴、截屏、发邮件、插入对象、打印、打印到文件、FTP传输等任何可能泄密的不安全操作,并做相应的安全处理。
3.4.16 全面兼容
加密软件经过严格测试,只控制用户选择要监控和保护的应用程序,不影响其他软件的使用,不会造成软件冲突、机器速度变慢等情况的发生。
加密系统经过大量的客户使用验证,确保加密系统对于目前市场上的杀毒软件、防火墙、监控软件不出现冲突。
3.4.17 容灾防护
加密系统独有文件备份功能,系统文件备份功能启动后,可以将客户端的加密文件自动备份到服务端指定目录,客户端电脑因断电等原因导致硬盘损坏,服务端备份文件可安全恢复,实现数据容灾安全。
3.4.18 架构合理
加密系统采用三层架构模式,各层之间时刻保持通讯以维持信息传递,但是通讯量非常小,不会占用太多网络带宽,更不会造成网络阻塞。
3.4.19 批量加、解密
在首次安装加密系统时,可以根据XX公司的实际要求进行批量加密的工作,统一将以前的重要数据一次性加密。
经过企业管理层授权许可的加密系统解密控制台可以对被客户端加密了的文件进行解密操作,并且解密控制台具备批量解密的功能,方便企业统一进行批次解密。
3.4.20 打印方案
加密系统可以按照企业实际应用部署策略进行加密文档是否可以打印、是否可以全部还是部分打印的设置,加密系统可完全控制物理打印和虚拟打印。可以在加密系统控制台上配置客户机是否关闭打印功能。加密系统仅关闭加密文件的应用程序的打印功能。如果在控制台上的客户机配置向导窗口中勾选“打印机”,则该装有加密系统的计算机将无法把加密系统保护的文件即加密的文件输出到打印机打印。即使选择打印功能中的“打印到文件”,也不会生成打印文件。打印的文件,会有打印日志和打印内容的查询。方便公司发生泄密事件,及时追溯文件打印去向。
3.4.21 拷贝控制
加密系统的策略设置中对于明文和密文之间的通讯有严格的逻辑设定。可根据实际情况开放明文与密文之间的合法通讯。当然,从安全角度出发,加密系统原则上是不允许密文与明文之间进行通讯的。
3.4.22 防黑控制
加密系统对于涉密文件的处理是全生命周期的,文件始终处于加密保护状态,即便是黑客侵入公司局域网,没有经过解密的文件被带走,那么还是无法打开的。
3.4.23 破解防范
根据加密系统的加密原理,同一家企业的两个加密文档或者对一个文档进行两次加密,它们使用的加密方式也不相同,使得破解一个文件的结果不能用来破解第二个文件。
加密系统充分考虑了各种破解的可能,禁止通过更改文件名,扩展名,进程名等非法手段来达到饶过策略的保密限制。
3.4.24 文件生命周期管控
文件的生成、编辑、复制、删除、打印、外发等全生命周期,全部受到加密软件的管控和日志记录,包括文件的备份记录。可以追溯文件的去向。
3.4.26 自动更新
在服务器上能够监控用户的工作状态,查询用户数量、实时在线情况等参数。
在服务器上更改策略之后,客户端能够自动实时更新。
3.4.27 资源占用
按照读写请求的数据量进行实时解密,加密系统瞬间系统资源占用高峰小于3%,不会影响工作。
3.4.28 加解密速度
加密系统加密算法的速度达到15M/s,这样对于普通大小的文件在打开、保存操作基本上感觉不到延迟。
3.4.29 服务可靠
尖锐软件提供软件升级和维护(TCSP)服务,根据该服务计划,加密系统可以保证随着企业涉密软件的升级对加密系统进行升级服务。