Sophos数据加密解决方案.docx

1、Sophos数据加密解决方案XX笔记本电脑数据安全方案1 综述1.1 笔记本电脑安全需求 为了方便移动办公和终端管理，XX选择 Thinkpad Notepad电脑替代员工的台式机电脑。笔记本电脑带来便利性的同时，也给安全管理带来了新的挑战。1） 数据安全和信息安全问题 从原有的台式机换代到移动笔记本电脑，员工在享受到移动办公的便利的同时，也提高了对笔记本中数据的安全担忧。在移动办公的环境中（机场、酒店、餐馆、会场等），笔记本丢失、硬盘失窃、未授权的用户访问、屏幕偷窥等安全威胁的发生概率大大上升。在笔记本失窃或被恶意访问的情况下，如何保证笔记本电脑内的数据安全和信息安全呢？2） 上网安全问题

2、笔记本电脑的移动性，使得员工可以远程办公，同时也允许员工自由的访问互联网（在机场、酒店、餐馆、会场、个人住所等）。由于这些场所的网络没有像公司网络一样的安全检查和保护机制，员工的笔记本电脑常常会被感染，不仅影响了员工自身的工作使用，也会由于接入公司网络进而影响公司网络安全。如何保证笔记本电脑的上网安全呢？1.2 解决思路 XX通过与安全服务团队的多次沟通，对笔记本电脑的安全挑战进行了分析。参照自身企业的全球笔记本电脑管理经验，从解决方案的效果、技术和市场成熟度、管理模式等多方面，深入讨论了业界几种主流的解决办法。大家认为，在近期，XX迫切需要加强以下几个方面的笔记本安全保护工作。1） 笔记本电

3、脑安全技术方案。从笔记本物理安全、数据安全和信息安全这3个方面对笔记本电脑实施增强的安全保护措施。2） 笔记本电脑安全管理规范和服务流程。通过完善原有的电脑安全管理规范和服务流程，进一步适应笔记本电脑的管理和支持需求。3） 笔记本电脑用户的安全意识教育。通过开展安全宣导和意识教育，提高员工的安全意识。1.3 方案概述为XX特别设计了以下产品解决方案：1） 笔记本电脑数据安全保护方案：建议在每台笔记本电脑上安装Safeguard数据安全软件，保护笔记本电脑的全硬盘和个人文件目录，减少针对公司数据和个人数据的安全威胁。通过集中的策略配置，为不同安全等级的用户配置不同的数据保密策略。2 XX安全需求

4、分析2.1 用户数据防护层次划分我们依照前面安全技术解决思路分析XX的安全需求，首先是针对XX公司的终端数据安全防护进行一个层次性的划分，可细分为下列几个层次： 数据层面：笔记本电脑将取代台式机成为XX用户的主要工作设备。尽管在物理层面已经考虑到采用指纹、笔记本锁等物理安全保护工具进行保护，但是只能保证失窃率会有所降低，而一旦失窃的事件发生后，企业的敏感资料也将一并外泄。所以，我们在方案中重点为XX设计了硬盘加密的解决办法，做到数据可以丢失，但是绝不会外泄。 信息层面第一层次：信息是否可任意进出。信息设备越来越方便使用，各式外围设备已可随插即用(不用安装驱动程序)，但也因为如，XX的敏感数据也

5、几乎可以运用各项外围设备任意加载/携出，从而造成信息安全灾难。因此，外围设备可否使用，敏感信息可否加载/携出，是信息安全防护的第一层关卡。第二层次：资料加密与保密。有时，有些敏感资料(尤其是高阶管理人员)不想任意被他人看到，或是仅想要让某些人看到。因此对于传递给别人的数据进行加密处理，是信息防护的第二层关卡。第三层次：群组共享资料加密防护。XX是一个大的企业，通常存在多个团队合作某个项目，但敏感性数据亦是团队成员(Intranet team, Extranet partner team)可以共同存取如何防范非合法人员数据窃取，而合法人员适当存取。这是一个非常重要的议题。对于共享数据加密防护 ，

6、并合法存取，即为数据防护的第三层关卡。2.2 用户安全等级划分我们划分出的数据层次是适合XX公司的所有人员的，而每个人员由于其工作性质和所处位置的不同需要执行不同的安全策略。我们根据XX用户的工作实际情况，将用户安全等级划分成为三类：基层员工、中层管理者和高层管理者。然后通过安全等级划分继而为各层人员指定详细的安全策略。这种用户安全等级划分是通过比较合理的角度，来保护XX日常工作中信息资产，通过使用加密技术以保护敏感或重要机密信息，避免组织间交换数据时遭遗失、窜改、或误用。这三个用户安全等级层面应存在于一个共同的最基本的安全需求之上，即： 储存在文件服务器端的共享数据必须要有加密 储存在PC端

7、的数据必须要有加密 必须管控到PC端的移动介质，避免数据随意被拷贝出去 被拷贝与传送的文件必须要有加密，避免被任意散播 员工行为必须有Audit Log 尽量不影响用户的正常操作对于基层员工（包括外包员工和临时员工），应强调对于员工个人相关工作产生的文档进行必要的加密保护，同时应严格控制移动介质的使用和访问共享文件服务器的权限问题。对于中层管理者（包括项目成员、特殊权限的员工），在保护自己工作文件的基础上，应该对整个硬盘进行完整加密，以确保笔记本一旦丢失后，数据无法被未授权用户读取，不可能泄漏出去。建议采用如下的安全策略及要求：对于高层管理者来说，安全策略的主要目的就是保护数据安全，所以要求对

8、文件和硬盘进行完整加密。建议采用如下的安全策略及要求：2.3 用户安全预期效果通过对安全策略的执行，XX用户在基础安全上可以达到以下安全目标： 所有员工的笔记本有物理保护措施，减少失窃的概率 所有员工计算机的a: z: 磁盘驱动器的可受到加密保护 可控制存入磁盘驱动器的数据必须加密，有权限的User/ Group Users需透过PKI认证才可以解密存取 所有加密密钥的管理与数据紧急复原机制可由公司安全主管完全掌控，同时安全主管和系统主管权限分离，避免被一个人完全掌控的可能。 网络传输过程，及备份的数据都是保持加密状态 违规使用禁用装置的行为会同步于Audit Server保留一份纪录 不会改

9、变使用者作业环境与使用习惯下表是根据安全级别对用户分别定义后，对相对应的策略效果进行了比对。分类安全措施安全效果解决方案性能影响系统支持要求普通员工包括：基层员工外包员工临时员工个人虚拟目录管理个人文件/文件夹加密Utimaco SafeGuard PrivateDisk无PC、笔记本、PDA或手机（采用ARM或Xscale处理器）Windows 2000/XP/Vista Pocket PC 2002/2002 Phone Windows Mobile 2003/2003 Phone全硬盘加密/移动外设控制移动介质/储存媒体，全部禁止。如果需要开启，需要提出申请。Utimaco SafeGu

10、ard PortProtector无PC、笔记本Windows 2000/2003/XP/Vista内存=256M中层领导三级经理个人虚拟目录管理个人文件/文件夹加密Utimaco SafeGuard PrivateDisk无PC、笔记本、PDA或手机（采用ARM或Xscale处理器）Windows 2000/XP/Vista Pocket PC 2002/2002 Phone Windows Mobile 2003/2003 Phone全硬盘加密针对本机磁盘做加密，同时也支持磁盘片，USB等移动式设备之加密处理，防止设备遗失时数据外泄。Utimaco SafeGuard Enterprise

11、初始化加密占用3的CPU利用率，加密速度是1.27min/GB。加密完成后的操作影响微小（见附图）.PC、笔记本Windows 2000/2003/XP/Vista内存=256M开机保护开机时病毒检测. 独立于操作系统之外的认证机制，要开启计算机必须经过密码验证，且攻击操作系统无效。无。Utimaco替换原先的Bios密码和Windows密码移动外设控制/高层领导包括：基层中心领导公司领导特殊岗位员工个人虚拟目录管理个人文件/文件夹加密Utimaco SafeGuard PrivateDisk无PC、笔记本、PDA或手机（采用ARM或Xscale处理器Windows 2000/XP/Vista

12、 Pocket PC 2002/2002 Phone Windows Mobile 2003/2003 Phone全硬盘加密针对本机磁盘做加密，防止设备遗失时数据外泄。Utimaco SafeGuard Enterprise初始化加密占用3的CPU利用率，加密速度是1.27min/GB。加密完成后的操作影响微小（见附图）.PC、笔记本 Windows 2000/2003/XP/Vista内存=256M移动介质加密移动硬盘，U盘等移动式设备之加密处理，防止设备遗失时数据外泄。开机保护开机时病毒检测. 独立于操作系统之外的认证机制，要开启计算机必须经过密码验证，且攻击操作系统无效。无。Utimac

13、o替换原先的Bios密码和Windows密码移动外设控制/附图：采用Utimaco Safeguard对硬盘加密后的性能对比表3 笔记本电脑安全方案3.1 Utimaco Safeguard数据安全套件（企业版）数据安全保护需求，可细分下列三个层次：第一层次：移动存储外设的数据安全保护信息设备越来越方便使用，各式外围设备已可随插即用(不用安装驱动程序)，但也因为如，企业敏感数据也几乎可以运用各项外围设备(数字相机亦可以储存资料)任意加载/携出。外围设备可否使用，敏感数据(或软件)可否加载/携出，是数据安全的第一层关卡。第二层次：笔记本电脑内资料保密。 笔记型电脑已经正逐步替代PC成为XX员工的

14、主要工作平台，几乎每台设备内都有企业的敏感数据在内。笔记本电脑带来了移动办公的便利性，也成为偷窃者或商业间谍的主要偷窃目标，笔记本电脑的失窃率几乎逐年高升，企业敏感资料也一并外泄。 笔记本电脑加密处理，是数据安全的第二层关卡。第三层次：个人资料加密。 有些敏感资料(尤其是高阶管理人员)不想任意被他人看到，或是仅想要让某些人看到。移动式设备内数据加密处理，是数据安全的第三层关卡。针对以上3个层次的数据安全保护需求，提出了完整的解决方案。第一层次：外围设备数据安全管理系统。 建议采用SafeGuard Advanced Security外设数据安全保护软件。第二层次：笔记本电脑内数据加密系统。 建

15、议针对笔记本电脑采用SafeGuard Easy数据加密软件，保护笔记本电脑内的所有数据。针对PDA设备采用SafeGuard PDA数据加密软件。第三层次：个人资料加密。 建议采用SafeGuard PrivateDisk，为个人文件目录提供额外保护。3.1.1 Safeguard Easy笔记本数据安全软件 SafeGuard Easy提供PC或 Notebook之全硬盘加密防护措施，不论您在何处(在办公室、路上、家中)使用计算机设备，或是此设备被移至何处(遗失、被窃取)，计算机中之数据始终保持在加密状态下，非经合法认证，无法得到其中之数据。 Utimaco SafeGuard Easy已

16、行销全球超过一百七十万套，通过Common Criteria EAL3之认证，非常容易安装和使用，几乎没有售后服务的需求，适合快速大量之部署，是您保护计算机资产(e-assets)的最佳选择。SafeGuard Easy主要有以下四个功能： 全硬盘加密 开机前认证 开机防护 集中式管理3.1.1.1 全硬盘加密 全硬盘式加密处理是SafeGuard Easy 的基本功能，以计算机拥有人设定的加密密钥(encryption key)和加密方式(如：AES 128bit or 256bit,3DES)将数据做加密防护，存取数据时必须有加密密钥能解开数据内容。 SafeGuard Easy不仅可针对

17、本机磁盘做加密，同时也支持磁盘片，ZIP或USB等移动式设备之加密处理，防止设备遗失时数据外泄。3.1.1.2 开机前认证 SafeGuard Easy建立一独立于操作系统之外的认证机制，要开启计算机必须经过密码验证，且攻击操作系统无效。SafeGuard Easy另一项功能是可设定密码输入之间隔时间(例如：十分钟)，当密码输入错误超过数次限制时，必须等待此间隔时间，才接受密码的再次输入，这样可以避免 “字典攻击法”或 “暴力入侵”之发生。 SafeGuard Easy也支持双因子是认证方式，如Smartcard or Token Card，或者是指纹辨识系统或者是储存有使用者凭证(Certi

18、ficate)之令牌，强化认证之机制。3.1.1.3 开机防护 在一般状况下，开机时、操作系统未启动前，其保护程序也就尚未启动。这时，最常遭到开机病毒(磁盘开机)之入侵，尤其是针对Master Boot Record(MBR)，而造成档案或驱动程序被删除、禁止执行。 因此，SafeGuard Easy提供下列二项功能：1） 强迫以硬盘开机禁止以磁盘或CD-ROM开机，如此，非法者不能以有问题的开机方式取得管理者的权限，存取所有的数据。 2） MBR防护SafeGuard Easy安装后，会先留一份正常MBR的备份，一旦开机时，MBR被更动过，会以此备份之MBR来开机，避免开机病毒之入侵。3.1

19、.1.3.1 集中式管理 SafeGuard Easy支持企业大量部署时之安全策略集中管理功能，达到快速且方便管理的目的。 SafeGuard Easy可将使用者权限分成下列5个等级： SYSTEM：最高权限管理者。拥有管理SafeGuard Easy 的最高权限，通常是为企业的安全主管(Security Officer)或安全管理员(Security ADM)，共可以建立并产生政策设定数据文件加以执行。在发生状况时(软件或硬件毁损)，有能力可以将数据复原。通常建议其密码储存在Token中，比较安全。 SGADMIN：本地管理者。在大型企业运用时，可将政策管理权限分给几个本地管理者，各自进行其

20、相关部门的管理工作，但是他们不能更改加密的参数(如：加密方法和加密密钥)。 NWADMIN：网站或操作系统管理者。日常作业，在处理被SafeGuard Easy保护的计算机时，有此权限的管理员，可以使用Challenge/Response方式，以“one-time password”方式认证可登入client端，进行日常维护作业，但不能是长期的使用者。 HELPDESK：信息服务人员。拥有此权限的人，可以用Challenge/Response方式执行密码重置以协助忘记密码的使用者或产生NWADMIN要用的“one time password”。此功能可协助减轻系统管理者的负担。 USER：没有

21、管理者权限。此为一般使用者的预设权限。3.1.1.4 安装部署方式 SafeGuard Easy可作预先设定(pre-configured)非常容易自动安装和部署，即使是当初使用者，都不需系统管理员的协助。 在Microsoft Windows的环境下，SafeGuard Easy支持Microsoft Installer，在使用者不知情可轻易的完成安装工作。通常是用以下两种方式进行：1） 产生Microsoft Installer file，不作其它特殊的设定。2） 进入Specific Setting中作调整，可操作手动方式或以Microsoft Installer辅助工作ORCA进行。

22、例如：如图12在“property”字段中设定SafeGuard Easy设定文件的路径，下图13中，将“Feature”字段设为“will be installed ”系统就会自动执行安装程序 。 3.1.1.5 中央控制台 SafeGuard Easy一旦安装妥善几乎不需要管理和维护，如果需要，也可透过中央控制台连接至SafeGuard Easy数据库(可置于同一主机上，也可与中控台分开，置于不同的机器)，作各项的管理工作。3.1.1.6 紧急事件处理方式紧急情况一：用户忘记密码 一旦忘记密码，就无法开启计算机，SafeGuard Easy提供Response Code Wizard，通过

23、三个自我检测的步骤(图15图19)，系统管理员可将产生的Response Code，电话通知或以短信方式传给使用者，使用者即可取得新的密码。紧急情况二：SafeGuard Easy软件损坏 SafeGuard Easy采取PBA(Pre-Boot Authentication)保护方式，一旦存于SafeGuard Easy软件的磁盘区域毁损，SafeGuard Easy无法正常运作，计算机即无法启动，为预防此事发生，您必须先准备好SafeGuard Easy Kernel的备份文件(大约60KB300KB，如图21图22或是图23)，以此备份将系统回复。但须注意，此备份文件是针对指定的计算机(

24、如：PC“WKS-0815”)才有作用，无法用在别的计算机上。3.1.1.7 产品优点 在安全和成本的评估下，运用SafeGuard Easy保护企业重要的信息资产是最佳的选择。以下就不同的层面来分析其优点： 对于用户而言 几乎不用教育训练。使用者几乎没有感觉其存在。 SafeGuard Easy认证与操作系统认证已作成Single Sign On，不用输入第二次。 整个硬盘都已加密，使用者不必再为何种数据该加密而考虑。 不影响效能：高效能加密方式，使用者不会感觉效能降低。 安全性：很多时候，使用者计算机会处于“冬眠”状态，(Suspend to Disk)，因为技术非常复杂，大多数的磁盘加密

25、软件不支持此功能。SafeGuard Easy是唯一支持此功能的产品，随时都将数据保持在加密状态。 对于IT经理而言 安全性：防护企业信息遗失。 集中式安全策略管理，管理容易。 知名度：SafeGuard Easy荣获各大安全杂志评选为“五星级”最佳产品，不论是在User Friendly、效能、文件、技术支持和价格效能等评比都是最高得分。 低维护成本。SafeGuard Easy是针对企业大量部署的完善设计。 教育训练，不需要使用者教育训练。 SafeGuard Easy通过Common Criteria EAL3的认证，证实其软件设计的安全性。 可与其它硬件式安全产品结合。SafeGuar

26、d Easy可结合Token认证或是与 ESS芯片，TPM模块结合。更加强其安全性。 与使用者分担硬件成本。例如：保险业业务员通常要负担部份的硬件成本，管理者想随时保有管理权限，而使用者也想自行运用其设备。SafeGuard Easy有提供双开机“Twinboot”功能，可适合此一应用。 对于系统管理者而言 运用pre-configuration将安全策略作好定义后，以自动部署方式，可以很轻易的完成client端计算机的硬盘加密作业，在节省建置成本方面，SafeGuard Easy绝对比其它竞争对手要强很多。 几乎是作到“deploy & forget”，SafeGuard Easy部署完成后

27、，几乎不用维护，即使修改密码或是更改加密部分(部份加密，非全硬盘加密)也很容易，可以说是做到所谓的“deploy & forget”。 远程更改设定非常容易。SafeGuard Easy的管理者可以改善使用者设定档存成一个被保护的档案，传送给使用者(可透过e-mail方式)或置于中控台，管理者甚至都不需要联机到使用者的计算机上即可完成。 解密时也不用联机至使用者计算机。如果使用者遗忘密码时，他可与管理者用电话连络，进行Challenge/Response程序后，管理者可直接告知密码后即可解密还原，不须受到一定要计算机连接上网络的限制。 HELPDESK节省管理成本。SafeGuard Easy

28、有很容易使用的Helpdesk机制，使用者可自行解决问题，不用麻烦管理员。 支持多种使用者设定档。SafeGuard Easy可支持达15个不同的user profile给不同的使用者，同一台计算机可依很多不同的使用者使用，数据加密防护功能依旧完善。 安全地Wake on LAN(WOL)。大量部署时可能会受到使用者不在计算机旁，无法输入PBA密码的限制而中断。SafeGuard Easy支持集中式管理的软件部署功能，遇到WOL状况时，仍能轻易的完成其管理工作。 与 RnR (Rescue & Recovery)整合。SafeGuard Easy 是第一个通过认证与其RnR和Think Van

29、tage技术整合的硬盘加密产品。加密过的数据在备份和回复的作业中始终保持其完整性。3.1.2 Safeguard PrivateDisk个人数据安全软件 在网络发展盛行的今日，您的个人计算机是与网络世界联机在一起的，很容易地会被病毒、间碟程序等得知您的私密数据。因此个人数据的安全防护需求也愈来愈大。根据FBI和CSI(Computer Security Institute)2002年的统计分析，各企业第二大安全问题是笔记型计算机的失窃，并造成US$89,000的平均损失。 因此，Utimaco以其超过20年的加密技术，提出PrivateDisk解决方案，满足客户这方面的需求。SafeGuard

30、 PrivateDisk是融合了虚拟磁盘和磁盘加密技术的产品3.1.2.1 虚拟磁盘 虚拟磁盘对使用者而言，好像是一个外加的磁盘区块，但它不是实体的磁盘，而是一个大的独立的档案(“Volume file”)一般，虚拟成一个磁盘方式呈现。例如：要产生一个10MB的虚拟磁盘，您的计算机硬盘中就被占用了10MB的档案空间。 虚拟磁盘不一定要在本机磁盘上，也可以是在移动式的媒体(Disks, CD-ROM, DVD, USBetc.)或是网络硬盘上。如下图所示，实体硬盘空间是A到G，而H和I就是虚拟磁盘了。 SafeGuard PrivateDisk安装后，如下图所示，就可产生加密的虚拟磁盘区块，保护个人数据，如：客户数据、人事数据、产品数据、企业合并数据等等。3.1.2.2 应用举例应用范例 1：如下图所示，本机磁盘和CD-ROM之被加密，必须是授权的人，才能读取其中的内容。应用范例 2：本机虚拟磁盘和网络虚拟磁盘特性说明： 本地磁盘和网络磁盘数据传输时，为加密状态，不会被Sniffer截取到数据。 整个虚拟磁盘的内容可安全地传送到别处（也可透过email，不过，通常受到档案大小）。 透过管理精灵，可以轻易的管理多个虚拟磁盘。 集中式管理，企业运用时，提供紧急复原机制，当遗忘密码时，通过认证程序，可以快速打开虚拟磁盘。应用范例 3 : 群组应用特性说明： 多人共享档案服务器上的虚