文档安全管理解决方案Word文档格式.docx
《文档安全管理解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《文档安全管理解决方案Word文档格式.docx(36页珍藏版)》请在冰点文库上搜索。
当前,如何保障企业核心竞争力和知识产权已经成为企业信息安全建设的首要工作。
根据PonemonInstitute的一项最新研究调查显示,在美国发生的数据外泄事件当中,有75%是来自企业内部人士,外来黑客造成的事故仅占1%,内部泄密成为企业数据外泄的头号原因;
国家计算机应急响应中心数据也显示,在所有的计算机安全事件中,约有52%是人为因素造成的,技术错误和组织内部人员作案各占10%,仅有3%左右是由外部不法人员的攻击造成。
不难看出,企业信息安全的防X主体已经在发生变化,由最早的防止非法入侵将转化为防止错误行为的发生、由最早的抵御外部威胁将转化为提高内部自我保护。
随着XXX工业设备XX(以下简称“睿科公司”)业务的不断发展和公司规模的不断扩大,在文档内容使用安全方面要求越来越高,因此在信息化安全设计上要充分考虑到影响业务模式的因素,既要保证业务网络较高的可用性、可靠性、XX性,又要对内部核心数据有较强的防御和管控能力。
企业大量XX数据以文档的形式存在,其传播的方式多样,如何才能确保信息的私密性、控制能力和完整性?
特别是在开放网络环境下,员工通过网络泄密重要文件,以及黑客入侵窃取XX数据等,造成客户数据、财务记录、产品规格以及其他敏感文档被非法查看和分发,给企业业务及声誉带来灾难性的损失。
第二章项目需求分析
2.1网络架构
图2.1目前网络拓扑
睿科公司目前已经实现了基本的办公自动化,并且办公终端通过网络进行连接,日常设计的CAD图纸,OFFCE办公文档都是通过网络进行交换,这样大大的提高了公司的工作效率,也节约了大量的成本。
但是由于公司目前所有的电子文件都是以明文方式进行流转和储存的,虽然有一定的安全机制管理,但是还面对很大的安全威胁,形成威胁的主要原因有如下几点:
1)从数据形态上
⏹核心信息在全生命周期过程中均为明文电子文档形式存储,存在轻易复制性和不可完整追溯性问题;
⏹明文信息在业务流转过程中,体现的归属权不清晰问题;
⏹因业务需要,将核心信息发出内部环境使用导致的信息安全问题;
⏹因业务需要,将核心信息转储至笔记本、移动介质中导致的安全问题;
2)从安全意识上
⏹核心信息通过、业务平台误发送泄密问题;
⏹核心信息未按标准流程和XX归档随意传递给外部泄密问题;
⏹协同用户利用内部授权接入内部网络的信息安全问题;
⏹竞争对手、黑客通过欺骗、仿冒或其他途径恶意窃取核心信息泄密问题。
3)从忠诚度上
⏹内部人员违反XX规定主动泄漏核心信息引起的泄密隐患。
2.2需求分析
针对睿科公司内部的电子文档的应用方式进行分析,得出目前在电子文档内容安全管理方面存在以下问题:
1.如何防止公司内部员工直接造成或者参与的非法信息外泄事件?
2.如何防止终端离线安全,并且保证合法的离线用户在正常使用离线文档的同时防止泄密?
3.如何防止文件外发安全,能够保证文件离开公司网络环境后不被更改和非法使用?
4.如何控制电子文档整个生命周期内,在办公终端、业务系统之间流转的安全?
5.如何控制公司内部员工移动办公使用XX文件的安全?
6.如何防止公司内部人员通过网络、移动介质或其它途径泄密?
7.怎样确保公司内部与外部之间重要电子文档的畅通、安全的交流?
第三章建设目标
基于上述对睿科公司公司项目需求的简要分析,结合亿赛通科技发展XX公司(以下简称“亿赛通”)在数据泄露防护领域多年信息安全项目建设经验,针对睿科公司文档安全体系提出以下方案建议:
1)统一身份认证
⏹引入技术管控平台需与公司AD域或其他基于Ldap/OpenLdap协议的认证系统集成,实现统一身份认证及管理;
2)集中管理
⏹对XX级数据进行管理,通过有效的技术管控,实现核心数据权限集中控制;
3)数据使用安全
⏹通过数据加密技术防止主动或无意识泄密,防止用户通过端口、网络等途径泄密;
⏹防止内部员工通过剪切板拷贝、拖拽、打印、拷屏等应用行为泄密;
⏹防止内部员工越权访问受控数据;
⏹对内部电子文档可进行隔离管理;
⏹防止电子文档密文传播;
4)外发安全
⏹根据黑白,对发送接收的电子文档进行加密解密,保证白用户使用不受影响,黑用户权限受控。
5)数据外发安全
⏹对发往公司外部的电子文档进行安全控制,防止非法用户访问和二次扩散泄密;
⏹对发往公司外发的电子文档进行安全控制,防止外发用户越权使用;
6)系统集成安全
⏹引入技术管控平台需与公司核心应用系统安全集成(如公司OA、ERP等系统);
7)离线办公安全
⏹有效支持终端离线安全办公;
⏹有效防止终端丢失、维修、盗用时带来的泄密隐患;
8)兼容稳定性
⏹引入技术管控平台需与公司现有的终端防病毒产品必须完全兼容;
⏹引入技术管控平台能够对公司现有系统环境兼容,后续环境升级、变更时无需投入太多成本;
⏹不改变员工工作习惯、不影响现有业务运作;
9)操作权限、密钥与密文分离,操作权限、密钥集中统一管理等。
第四章技术解决方案
4.1技术分析
4.1.1动态加解密技术
亿赛通智能动态加解密技术(SmartSec)是在文件存取时截获磁盘I/O请求,对电子文档进行智能、动态的加解密处理。
加密的安全性主要取决为加密算法和密钥强度,目前SmartSec采用的加密算法为AES等国际流行的加密算法,密钥长度最大可达256位,完全可以满足用户的安全需求。
其主要优点是文件加密、解密透明,不改变使用者的任何操作习惯,也不改变原有信息的格式和状态,同时,部署和内部使用非常方便。
其技术实现如下图所示:
图4.1SmartSec技术实现
SmartSec的显著特征为:
加密强制性、使用透明性、XX彻底性、应用无关性、无限拓展性。
实现效果:
图4.2SmartSec应用示意
在公司网络环境内部对需要保护的电子文档进行强制加密处理,加密过的文档在公司内部可以正常使用,用户无感知,不改变使用习惯,通过合法出口离开公司的文档,也可在安全环境下正常使用,但所有非法脱离公司环境的文档将不能正常使用,强制打开文档显示乱码。
SmartSec是针对内部信息、文档和数据进行强制加密的内容保护方式,这种方式在不改变用户使用习惯、文件格式和应用程序的情况下,采用“驱动层智能动态加解密技术”对指定类型的文件进行实时、强制、透明的加解密处理,就是说在正常使用时,计算机内存中的文件是以受保护的明文方式存在,但硬盘上保存的数据却是加密状态,如果没有合法的使用身份、访问权限和正确的安全通道,则不能访问加密后的文件,所有通过非法途径获得的数据都以乱码形式表现。
4.1.2离网文档管理
离网文档管理(ODM)首先将需要发布的文档压缩加密、设定使用权限,然后制作成exe格式的离网文件。
发送到文档接收者后,运行离网文件会提示身份认证,文档接收者使用文档发送者制作时设定的认证方式(直接浏览、密码、硬件KEY或终端标识)校验身份合法性。
通过认证后,离网文件会释放其中包含的驱动等文件,创建一个虚拟卷。
同时将临时文件中的文档释放到虚拟卷中。
虚拟卷在用户的磁盘分区中是隐藏的,使用者通过磁盘管理工具也不会发现创建的虚拟空间。
最后挂载应用层的权限控制,解密后使用默认打开程序打开虚拟卷中的文件。
接收者在发送者设定的权限下进行使用。
使用完成关闭文档,文档再次变为加密状态封装在exe文件中。
离网文件业务控制流程示意如下图:
图4.3ODM应用示意
离网文件内容安全的关键控制点包括:
●离网加密文档全面控制:
离网文件加密管理员在制作离网加密文档的同时,能够对文件做到更为精确的全面控制,具体包括以下几点:
使用期限设定,根据客户的不同需求可自由选择授权规则来制作可控的离网加密文件,可以自定义文件的打开次数和使用时间等;
操作权限控制:
系统可自定义文档的修改、打印、另存为等权限,并且能够自动屏蔽如复制粘贴、内容拖拽、拷屏截屏等可能造成数据泄露的风险操作;
文档过期自动销毁:
临时加密文档具备自动销毁功能,只要打开次数或者使用时间达到系统设定的标准,文档便会自动删除,从而减少信息泄露的风险。
●文档使用者身份认证:
通过以下方式,可以限制只有指定使用者才能使用离网加密文件:
直接浏览:
直接浏览方式制作的离网加密文档,不需要通过任何认证即可打开;
密码认证:
密码验证方式制作的离网加密文档,打开时需要经过密码验证才能打开;
USB-Key认证:
USB-KEY认证方式制作的离网加密文档,在打开时必须插入相应的USB-KEY;
电脑标识:
系统会根据用户电脑标识码计算出一组唯一的认证码,只有在此电脑上通过密码验证后才能正常打开离网文件。
●文档权限严格控制:
离网加密系统具备完善的权限管理机制,可设定文件的只读、修改、复制、打印等权限,还可根据需要限制文档的使用时间和打开次数,确保XX信息在特定控制X围内进行指定操作,实现对文档权限更为全面精准的控制,真正做到文档权限的高度实时可控。
支持权限模板,并支持批量的文档集中制作离网加密文档。
●文档内容保护:
文档通过系统制作成离网加密文件之后,会变成一个附带各种控制信息的exe可执行文件,并且控制信息始终包含在文档之内。
用户在阅读时无需安装任何的客户端或插件,双击即可正常打开,不会增加用户的任何额外操作。
离网加密文档只有通过身份认证的用户才能正常打开,但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息。
另外,可开放离网加密文件的打印权限,同时支持打印水印。
●全方位日志审计:
针对离网文档制作者提供操作日志,包括制作者的登录、注销、制作临时加密文档、权限设定等所有操作都会有详尽的日志记录。
日志管理员可以随时查看系统运行情况,能够及时发现一些异常操作,从根本上降低数据泄露的风险。
4.2部署架构(一期)
图4.5技术架构
在睿科公司公司部署一台亿赛通文档安全管理服务,需要文档安全保护的终端安装亿赛通文档管理客户端,实现数据加解密管控,文件共享服务器集中存储的重要资料都以密文且授权方式存在,在安装了亿赛通文档安全管理客户端的计算机上可以按授权使用加密文档,未安装亿赛通文档安全管理客户端的计算机或未授权用户无法使用加密文档,在安装了亿赛通安全客户端的移动终端上在离网环境下同样可以安全使用加密文档,不会出现离网后泄密的安全隐患。
亿赛通文档安全管理系统为Client-Server结构与Brower-Server结构相结合。
C/S结构是由客户端软件CDGClient和CDGServer构成,而B/S结构则是指客户端及服务器端上通过浏览器(Browser)操作、维护XX系统,兼顾两种结构的优点又方便用户操作。
亿赛通文档安全管理服务器负责系统的维护和管理,系统划分系统管理员、终端管理员、日志管理员等多种角色,系统管理员负责终端的管理、用户和组织结构的划分和维护、日志的查看、安全策略的制定,日志管理员负责日志的维护和报表输出,终端管理员是二级管理员,负责部门的终端维护和加解密策略的分发。
客户端在接到安全策略后,加解密操作在终端完成,在内部以密文的形式流转。
对加密文档内容可控制拷贝粘贴、拷屏、另存等操作。
在内部环境中,文件以密文存储或流转。
对用户完全透明,不改变用户操作习惯。
同时,通过对核心文件进行权限控制,可以防止重要文件内部扩散,未安装亿赛通客户端计算机无法查阅加密文档,需要与外部用户交流时,用户可登录出口管理将加密文件解密成明文外发,也可登录外发管理平台以密文形式外发。
4.3管理分级
文档安全系统所有管理及审批环节均提供分级管理及审批功能,灵活的分级设置,给企业提供灵活的管理支撑。
系统所有功能均通过模块体现,模块组合为角色,通过对角色的合理分配和管理,角色用户能通过直观的模块功能体系快速实现对系统的使用和管理,无需投入过多培训及学习资源。
系统能够对不同机构、人员应用不同的加密策略,使用不同策略的机构或用户之间,可设置是否能够互相正常打开加密文档。
应用相同加密策略的用户之间,在内部交流时不需要进行解密便能正常交流。
4.4终端安全防护
亿赛通文档安全管理系统能够对所有被加密文件进行安全保护,加密电子文档一旦打开,亿赛通文档安全管理系统安全保护模块将对电子文档进行严格保护,用户无法通过另存为、拷贝等常用手段进行泄密,同时也无法通过宏输出、内存窃取等手段进行泄密;
用户在打开加密涉密文档的同时,即使使用进程专杀、HOOK移除等专业工具也无法进行泄密。
亿赛通文档安全管理系统支持对授权电子文档进行细粒化权限控制,如只读、打印、修改、复制等权限控制,同时也为用户提供了灵活的协同管理功能,比如可以允许用户是否能添加只读、取消只读、添加打印、取消打印、添加修改、取消修改等功能,结合对文档的使用次数、使用时间、文档生命周期、打印自定义水印等功能,为用户提供了细粒化的权限控制需求。
同时,采用安全的访问控制技术,对授权涉密文档进行安全保护,防止用户通过复制、另存为、拖拽等方式泄密,但允许用户在授权加密电子文档间进行内容的转移。
文档安全管理系统采用驱动级终端保护技术,对终端程序安装目录、常驻进程、注册表项等进行安全保护,用户无法通过常规手段进行强制移除或终止;
即使用户通过强制手段破坏了客户端运行环境,亿赛通终端驱动将自动转入安全自保护模式,系统将进入只加密、不解密的安全保护状态,确保所有被加密电子文档的存储和使用安全;
用户即使开机进入安全模式,亿赛通文档安全管理系统运行也一样安全。
4.5部署架构(二期)
图4.6文档安全网关应用效果图
随着睿科公司办公网络环境不断扩大,将在网络中构建多种服务应用,如OA系统、PDM系统、PLM应用等,为确保后台应用服务系统中所有内容安全使用,需实现前台终端加密数据上传到后台业务系统时自动解密,终端从应用系统下载文件时自动加密。
可采用亿赛通安全网关设备对上传和下载的数据进行网络驱动过滤,任意终端实现密文下载、明文上传的安全策略,减少了加密系统和应用系统的耦合度,使系统管理和维护更高效、方便。
亿赛通安全网关架设于终端与后台业务系统之间,网络拓扑结构的核心交换机(路由器等)之前或之后,以实现终端与服务器的数据交流必须经过安全网关,通过安全网关实现各种业务需求的处理。
本方案提供的网关集成架构解释如下:
应用服务器:
位于安全网关之后,所有进入应用服务器的数据都要先经过网关,经网关处理后的数据以明文方式进入数据服务器进行存储(不影响应用服务器的正常业务);
亿赛通安全网关:
该设备实现数据上传下载的加解密过滤处理,根据需求定制的应用策略,实现如下业务功能:
PDM、OA(含内网和外网)用户上传文件经过网关解密处理后存储于PDM、OA服务器,下载文件经过网关加密处理后存储于用户本地;
合法终端从PDM、OA服务器下载的加密电子文档,在本地具备透明加密系统环境下可正常使用,不影响用户的正常业务工作;
非法终端从PDM、OA服务器下载的加密电子文档,无法打开使用,保障了数据安全性。
为确保睿科公司核心应用系统信息数据在线访问安全,通过亿赛通核心技术安全网关实现终端和应用系统数据的安全交互。
其特点如下:
⏹应用系统的用户从服务器下载的涉密文档自动加密并以相应的权限体现(如只读、打印、修改等),合法用户均可阅读和使用;
⏹文档权限继承,与应用系统通过外围拓展开发,为系统完成权限继承接口,实现服务器下载时权限有效继承;
⏹文档权限认证,为应用系统完成权限认证接口,服务器中涉密文档,无论是在线还是离线状态使用,均由亿赛通客户端完成一体化认证;
⏹应用系统的用户从服务器下载电子文档的数据流在安全网关,均自动赋予操作权限,亿赛通加密客户端能够自动识别并进行身份认证、权限认证、安全解密、日志记录等操作;
⏹通过IE浏览器向应用系统上传电子文档时透明化解密,下载电子文档时自动授权加密。
⏹通过安全网关设备的后台无关特性,不改变后台业务服务系统结构和流程,后续信息化系统升级或改造也无需投入新的成本。
第五章其他技术要点
5.01加密支持格式
亿赛通文档安全管理系统解决方案支持加密目前广泛应用的多种文件类型,如:
doc、xls、ppt、txt、pdf、bmp、gif、jpg、dwg、WinPAD、photoshop、Dreamweaver等文件格式,部分无法通过右键直接加密的文件格式,可以通过客户端B—S界面直接上传加密文件,实现文档无损加、解密。
用户申请使用文件并通过身份验证后,呈现在用户眼前的是已按照此用户权限屏蔽部分功能的文件。
本系统支持目前主流的应用软件系统,使用者无需使用新的文档操作平台,即可实现对MS-Office、PDF、AutoCAD、图片文件等各种文档的保护,从而满足了使用者的办公要求,为其带来了极大的方便。
亿赛通文档安全管理系统可以通过服务器自定义安全策略,通过简单的策略配置即可实现任意文件的强制加密,用户应用系统的升级无需定制开发。
5.02强制加密控制
通过文档安全管理系统服务器安全策略控制,只要终端数据符合策略要求,用户无论是将数据文件保存、剪切、复制、上传到任意位置,数据将被强制加密控制,但用户使用完全透明无影响。
用户对加密的文件无论怎样修改生成的扩展名文档内容始终是加密的。
5.03用户认证管理
文档加密系统能够和其他认证系统进行整合,可根据实际情况灵活配置认证模式,认证方式可采用如下方式:
⏹采用用户名、密码认证方式;
⏹可采用证书认证方式;
⏹可采用用户名、密码、证书同时并存的认证方式;
⏹可采用硬件KEY等认证方式;
5.04移动设备管理
对公司内的存有重要资料的笔记本电脑,采用磁盘全盘加密系统。
DiskSec是一款防止笔记本电脑丢失、维修和报废后导致数据泄露的透明加密软件。
在电脑关机和休眠的状态下,硬盘中存储的数据均被做了高强度加密,没有用户本人输入密钥,他人无法获得硬盘上的加密数据,从而防止笔记本电脑数据泄露。
5.05数据外发控制
与外界进行频繁的信息沟通已成为公司必要的一种业务模式,这些交互的信息可能会涉及企业核心信息,而这些信息一旦流出企业就面临着失控的风险。
为了解决对外业务交互的后顾之忧,在企业文档安全体系中,我们提供信息对外发布技术方案,其特点如下:
⏹通过外发系统发布的信息,用户可以自定义信息访问密级,使外界严格按照预设密级权限使用信息,在加密的同时,对信息进行安全控制,防止信息扩散;
⏹外界用户无需安装任何插件就可直接阅读外发信息;
⏹能够严格控制外发信息的使用权限,如读取次数、时间、打印控制等;
⏹可审计,所有外发信息的发布日志和外界使用信息,内部服务器可实时审计,确保外发流程的运行安全。
5.06外发控制
亿赛通文档安全管理系统的外发功能,用户根据黑白,对接收的文档进行加密解密,保证白用户使用不受影响,黑用户权限受控;
对于用外发的文件,通过控制台认证过的收件人白地址,外发过去的中含有加密状态的附件时(不能是压缩状态的),一律会自动解密;
而对于没有经过控制台认证过的收件人地址,外发过去的中所含有的加密状态的附件一律不会自动解密,还是保持加密状态。
5.07客户端离线控制
⏹亿赛通文档安全管理系统通过服务器设置客户端脱机,客户端离线时需要通过离线申请并由管理员批准后才能正常离线使用,管理员可灵活设置客户端离线时限,最小离线时限单位为小时。
⏹亿赛通文档安全管理系统客户端在脱机超过规定时限后还需要继续使用时,管理员可通过服务器生成补时码发送给该用户完成离线补时。
5.08数据完整性保护
通过文档安全管理系统能够对终端的核心数据加密,任何受控数据一旦加密,原则上会改变该数据的原有结构,即使在前端对用户完全透明;
数据内部结构一旦发生改变,就会带来数据使用的安全性问题,即数据完整性如何保障。
数据完整性风险主要有:
病毒破坏、意外断电、保存死机、人为破坏等。
为了能保障受控信息的存储和使用安全,安全终端提供了数据自动备份机制,用户在使用任意受控文档时,文档安全管理系统将自动备份当前操作文档,目前最多对同一文档提供两个备份信息,该备份信息可滚动存储在本地,也可根据设定自动备份存储到指定服务器中。
当由于不可抗拒因素导致数据出现异常时,安全终端可立即给用户提供备份数据,将风险降到最低。
5.09数据外发控制
与外界进行频繁的信息沟通已成为睿科公司必要的一种业务模式,这些交互的信息可能会涉及企业核心信息,而这些信息一旦流出企业就面临着失控的风险。
5.10自我防护功能
亿赛通文档安全管理系统的安全终端采用强自我保护机制,防止用户恶意破坏终端运维服务和配置环境,一旦用户通过特殊手段恶意终止安全终端的运行,强保护机制将自动加载安全终端;
当文档安全管理系统检测到用户的恶意行为达到一定程度后,将启动更为强大的保护措施:
只加密而不再解密数据,来确保终端已加密数据的存储和使用安全,防止信息泄密。
5.11自动升级功能
亿赛通文档安全管理系统的安全终端随着应用的深入和用户的建议将日益完善和安全,为了能降低维护成本和提高安全性,通过服务器补丁的派发,终端将自动完成升级,大大降低了企业的维护成本,同时也可提高企业的安全收益。
5.12灵活拓展性
亿赛通文档安全管理系统采用通用化设计路线,其技术特点为不过多依赖上层应用,也就是说和上层应用无关,这样的技术理念为企业后续的安全新需求和新应用打开了方便之门,企业应用的升级和拓展基本无需改动文档安全管理系统的任何环节,只需要在服务器上推放一组或多组安全策略,就可以实现企业全部应用需要;
同时文档安全管理系统的灵活策略组合技术和简单明了的操作步骤,为企业的安全个性需求提供了有力保障。
5.13双机热备功能
如果一台设备因故障停止运行,则备份服务器能立即接管,以保证用户业务不致因故障而影响正常运行,大大提高了系统的稳定性。
5.14日志审计
能够监督、跟踪、记录所有用户的全部操作,实时查看系统的使用情况,实现最高的系统安全。
可以从庞大的记录数据中抽取有用的信息,对用户的某些操作进行分类整理,通过操作记录,回溯历史活动,从而发现泄密
升级会员 