隨著信息技術(shù)的廣泛應(yīng)用 ����,信息已成為企業(yè)重要的資源���,企業(yè)的戰(zhàn)略和決策也越來越依賴于這些資源�,信息安全問題日顯突出����,已得到全社會的關(guān)注。
各類信息泄密案例的統(tǒng)計表明.絕大多數(shù)的電子文檔泄密行為均由這些文檔的合法使用者所為�����。
而這也是*難防范的。
因為����,這些文檔總要被人瀏覽、編輯��,至少文檔的作者會擁有它們��。
即使管理者費盡周折�����,但是*不想看到的事情還是時有發(fā)生���。
我們只有實行主動加密工程,讓電子文檔只能限定在企業(yè)內(nèi)部自由使用��。
U盤防拷貝軟件系統(tǒng)�、共享文件夾加密專家、視頻加密等產(chǎn)品都是針對各類不同情境下的企業(yè)用戶針對性研發(fā)的��,因而能很好的解決目標(biāo)客戶的各類需求����。
那它的設(shè)計想法是怎樣的呢���?
信息安全系統(tǒng)的組成及工作原理
信息技術(shù)網(wǎng)絡(luò)由一個部門級交換機、部門級服務(wù)器和諸多客戶機組成����。
由研發(fā)技術(shù)部門安裝一臺加密系統(tǒng)管理機 ,部門內(nèi)的計算機安裝多個加密系統(tǒng)客戶機�。
無論應(yīng)用程序輸出何種文件 ,*終都是以二進制代碼形式存在硬盤上的����。
信息網(wǎng)絡(luò)加密軟件通過攔截操作系統(tǒng)相關(guān)的指令,在文件輸出到硬盤之前 �����,把二進制代碼按照DES3L對稱算法打亂存硬盤上���。
在相關(guān)程序要調(diào)用加密文件時�����,客戶端會自動的把二進制代碼排序逆算回正常的文件���。
如果沒有客戶端把二進制代碼恢復(fù)正常排序 .則應(yīng)用程序無法識別��。
文件存被打開編輯時是存在內(nèi)存里的信息網(wǎng)絡(luò)加密軟件對內(nèi)存里的義件也是半加密的操作狀態(tài)���,從內(nèi)存里也同樣無法截獲明文。
信息安全系統(tǒng)的軟件實現(xiàn)方法
1 采用透明加銜技術(shù)
通過對指定需要加密的應(yīng)用程序或文件類型進行自動實時的加密�����,同時安全系統(tǒng)只控制用戶選擇要監(jiān)控和保護的應(yīng)用程序�,小影響其他軟件的正常使用 ,不影響用戶的操作習(xí)慣���,終端用戶完全感覺不到安裝了安全系統(tǒng)加密軟件。
安裝了安全系統(tǒng)的客戶機 .無需進行文件加密操作����,文件在全生命周期中自動加密。
完全不需要使用傳統(tǒng)的輸入密碼和手動進行加密的操作 在企業(yè)內(nèi)的加密環(huán)境中���,不需要輸入密碼可自動解密���,不影響內(nèi)部信息交流。
2 采用強制加密技術(shù)
自動強制對指定計算機中的數(shù)據(jù)進行加密���。
不影響其它應(yīng)用程序的正常運行�����。
加密的數(shù)據(jù)未經(jīng)解密離開加密環(huán)境就無法打開�����。
安全系統(tǒng)還通過多種手段來控制加密數(shù)據(jù)的外泄���。
3 涉密文件操作控制
我們所說的涉密文檔操作控制是指:打印控制 �����、文件操作控制�����。
1) 打印控制
(1)控制物理打印機
(2)控制虛擬打印機
如果在管理機上的客戶機配置向?qū)Т翱谥胁贿x “允許打印”.則該裝有加密軟件的計算機將無法把加密軟件的保護的文件輸出到物理打印機����。
而且如果選擇打印功能中的 “打印到文件”.也不會生成打印文件�����。
如果在管理機上的客戶機配置向?qū)Т翱谥羞x擇 “允許打印“。
則該裝有加密軟件的計算機可以將加密軟件的保護文件輸出到物理打印機�����。
如果選擇打印功能中的 “打印到文件”或者虛擬打印(例 PDF虛擬打印)則將打印成加密文件���。
2 )文件操作控制
對于文件操作的控制主要是針對受控文件內(nèi)容復(fù)制 ����、粘貼等動作進行控制的����。
當(dāng)我們禁止粘貼后:
(1)受控到不受控,不允許粘貼
(2)受控到受控�����,允許粘貼
(3)不受控到受控����,允許粘貼
(4)不受控到不受控���,允許粘貼
(5)受控到桌面�����,不允許粘貼
(6)桌面到受控��,允許粘貼
(7)桌面到桌面�,允許粘貼
(8)無法將加密文件拖人不受控進程
4 離線管理功能
1) 在網(wǎng)絡(luò)出現(xiàn)故障,管理機連接不上服務(wù)器時���,管理機還能正常工作一段時間����,用戶利用這段時間讓網(wǎng)絡(luò)恢復(fù)正常��。
2) 應(yīng)對出差的情況�。
有一些安裝了加密軟件的客戶機的移動筆記本上的加密文件 ,需要在出差時能夠正常使用����,此時可以在出差前由加密軟件的管理機的管理員設(shè)置一個較長的脫機使用時間,這樣 ��,在出差期間脫離了公司的網(wǎng)絡(luò)環(huán)境���,筆記本還能正常使用 �����;在出差回來后�,接入公司環(huán)境后計時器歸零.又回到未離開公司環(huán)境的狀態(tài)中。
這種方式可以預(yù)防帶出筆記本導(dǎo)致的泄密��,因為筆記本上的加密軟件的客戶機在允許脫機時限內(nèi)仍然是正常工作的.可打開加密文件 .打開加密文件后另存為��、保存出來的文件�����,還是加密的文件��;而且如果筆記本被盜竊���,一旦超出脫機時間后.失竊筆記本內(nèi)的加密文件就永久失效了�。
安全系統(tǒng)實現(xiàn)了內(nèi)部敏感信息����,如 :機密文件 ���、重要數(shù)據(jù)�、設(shè)計圖紙、軟件源代碼等的全方位保護��,杜絕了敏感信息通過網(wǎng)絡(luò)�����、移動存儲設(shè)備 (軟盤����、U盤 、筆記本等)���、硬盤或打印機等傳輸途徑的泄露���。
安全系統(tǒng)解決了內(nèi)部信息安全管理沒有行之有效的管理手段的難題,有效地從 內(nèi)部控制了電子文檔的安全 �����,保護了我們的知識產(chǎn)權(quán)��,極大地降低了經(jīng)營的風(fēng)險與損失�����,為信息化建設(shè)保駕護航。
