咨询热线:400-000-3720 中文 | English
见证奇迹,亦不过如此——设计院文档加密 发布时间:2014/1/9

     随着电子政务的普遍应用,信息网络已经成为国家各级政府单位运行的基础。在各级政府部门涉及国家各个层面的涉密信息,其信息的保密性和可控性显得尤为重要。为进一步提高政府单位信息安全的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室联合发文,要求各个政府单位应该以国家保密局颁发的BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》与《信息系统安全等级保护基本要求》为基准,实现政府单位的信息安全防护体系建设,确保数据不外泄。其具有以下特征:

     1、网络环境复杂,办公网、涉密网和外网等多个网络并存,经常在不同网络间交换数据时出现有意或无意的数据泄密情况;

     2、政府内部业务系统与OA系统等应用系统数据频繁交互,与合作单位有大量的对外交互;

     3、内网政务信息数据非常敏感,内部行政人员的过失行为造成的信息泄密极易造成重大负面影响,甚至危及国家安全和社会稳定;

     4、与外部单位业务合作,对外发出文件数量较多无法得到保护。
                    
     随着电子信息化程度的不断提高,政府军工、企事业单位等各类组织机构越来越多地利用计算机来处理一些机密信息,加强交流、方便沟通的同时增加了信息的非法泄密及内部越权使用等安全风险。传统电子文档几乎不受任何权限限制,明文存放、随意阅读、修改、复制、打印或分发等,这些正是导致信息泄密的主要原因。

     安腾软件(ITEN)始终专注于透明加密软件的研发,是国内 早从事文档、图纸、代码等透明加密的研发厂商,对于加密软件有着深刻的理解。安腾力求产品的部署快速、使用简洁、功能实用、运行可靠,八年来得到客户的广泛认可和信赖,客户遍布政府、军工、设计院、机械、电子、化工、服装、广告等诸多行业。安腾(ITEN)已成为信息安全领域“计算机反泄密软件”的代名词。

     一、需求分析

     从大量信息安全事件来看,大多是内部员工故意或无意中泄露、竞争对手通过各种手段恶意侵占或猎取、计算机被盗或遗失等事件。其中又以内部员工泄密方式 为严重,超过70%的比例,大多发生在有意或即将离职、对公司不忠或有不满情绪的员工身上。

     从我们多年与设计院行业客户打交道的经验来看,目前会比较头痛一下几个问题:

     (1)、员工上班时间干私活。设计院投入大量资金做了信息化系统,多年经验积累的项目文档资源库,个别员工却工作时间利用院内核心资源承接私活。

     (2)、项目信息泄露。设计院接洽的项目,院内个别员工知晓后,可能通过别的壳公司拿到项目,再利用设计院资源和几个同事一起揽下项目在院内做。我们接触到的不少设计院,因此每年流失至少几百万的项目,给院里造成了很大损失。

     (3)、项目交付时出现问题。项目文档一旦交给客户将无法受控而影响商务环节。不少设计院会遇到价格因素而失去项目但 后发现客户采用的方案和自己设计的类似,异或项目文档交给客户后造成款项难受。

     (4)、机密信息泄密。院内大量重要信息文档或分散或集中的存储在计算机网络内,内部有意无意的行为造成重要文档的泄密,却会给设计院带来巨大损失。

     如何防止未经授权非法使用及越权使用文档所造成的信息泄密,是目前企业迫切需要解决的问题。设计行业信息化、设计过程数字化的飞速发展,各类设计文件、勘测数据在不同的部门或设计人员之间进行流转,电子信息资源的流转快捷性,一方面给生产管理带来了效率,另一方面也突显出数据资源安全问题。电子数据资源已经成为企业资料存储、内部、外部交流的重要内容。专业的设计软件和管理系统存储了企业大量图纸和数据,而这些图纸和数据都是以明文形式存储在系统中,为保障企业图纸和业务系统的安全使用,必须采用技术手段对图纸及数据等进行加密、访问控制、安全管理,防止技术成果和涉密资料的泄漏,确保企业数据不泄密。其设计行业面临的问题如下:

     1、规划方案、设计素材等资料,被外部人员非法或内部人员越权访问的风险;

     2、大量设计文件、勘测数据、设计图纸等信息是以明文的形式存储的风险;

     3、设计人员使用的计算机上, 存在大量的关键数据,存在难以有效管理的风险。

     二、解决方案 
 
     我们认为在以尽量不影响原有工作习惯的情况下,以确保院内重要文档安全为核心,以设计院自身特点指定保密策略,在设计院内部计算机网络部署反泄密系统。

     方案实现以下诉求:

     1、确保设计院内部协同工作的前提下,有效防止了受控文档在组织内部任意扩散;

     2、防止重要项目小组内、外部接触受控文档的人员擅自将文档的内容泄漏到项目小组以外;

     3、管控授权外发文档,防止将解密后的文件交给外部合作单位导致二次泄密;

     2.1 有关内部文档数据库的信息保密

     对于存在于设计院内的各个终端计算机的涉密文档、图纸等,通过安装客户端进行强制性加密保护。实施以后,在同一设计院或同一部门内部,文档可以自由的流通,就如同没有反泄密软件一样。但当文件未经授权流出公司,文件则变成乱码。如果文件需要交给客户或公司外面的人,则需要经过管理人员的批准解密。系统并能与PDM等多种项目管理系统完美对接,不会影响原有的工作环境。

     2.2有关信息传递与互换过程中的保密

     1、由于采取了加密技术,各种网络传输、邮件传输如果未经解密操作,发出去的密文是无法打开的;

     2、反泄密系统对于密文将自动限制其复制、粘贴、抓屏等行为,也可以对于打印设备进行禁止使用、限时使用、记录打印日志等加以控制;

     3、反泄密系统可以设置对各种存储设备的自动识别与管理,有禁止使用、只读、自动加密和开放使用等模式;

     4、对于需要携带涉密文档图纸的手提电脑外出的情况,系统可以提供离线加密和限时使用两种方式加以管理;

     5、对于需要发送给客户使用的涉密文档图纸,反泄密系统可以增设限制功能,对文档的修改、打印及使用时间进行参数设置。

     三、主要功能

     1)加密保护
     内部终端部署系统后,将强制地对需要保护的图纸文档进行自动加密。这些文档只能在内部使用,无论采取什么方式被带离内部环境以后,该文档将无法打开。

     2)端口控制
     防止数据通过各种移动介质泄密:比如U盘、移动硬盘、可刻录光驱、打印机等。可以实现是否允许接入终端、是否允许读、写、打印等操作。

     3)外发文控制
     通过外发文件控制软件,可以对需要向外发送的投标书、、图纸等设置打开权限。外发文件控制软件还支持打印功能控制,可以对需要在外打印的图纸或文档进行有效的管理和控制。

     4)数据备份
     为防止文件被有意或无意删除或损坏,可以对指定电脑的指定文件格式设置自动备份。当该文件有过修改后将会再备份出一个新的文件版本,形成版本库,可以追溯每次修改的记录。

     5)身份权限管理
     安腾反泄密系统不是一个单纯的加密软件,而是将分级管理的思想纳入其中,依赖PKI体系,通过身份证书来标明不同的用户,并将权限信息植于加密文件内部来实现的,与传统的通过密钥来分割权限的方式相比具有明显的优势,可以实现各种复杂的应用模型。

     四、部署模式

     在设计院内部署反泄密系统时,可以只在设计院总部设置一台服务器端,也可以设置多台服务器端。

     如果采用唯一服务器的方式,需要院内所有终端在同一内网,或有VPN专线通讯以保证分支机构与总部在一个局域网内。如果分支机构无法与总部网络打通,采用在分支机构设置分服务器方式,可以有多种模式:

     (1)分支机构服务器与总部服务器基本密钥设置一致,其效果类似于部门之间的关系;

     (2)分支机构服务器与总部服务器基本密钥不一致,可以将分支机构信息放入总部服务器中,其效果是分支机构类似总部的一个部门。

     安腾文档安全管理系统采用动态文档透明加密技术、虚拟化技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,在透明加密基础上对重要数据进行精细化细粒度权限管理。安腾软件(ITEN)是中国计算机信息反泄密软件和文档加密软件的领先品牌,长期专注政府和企业计算机信息反泄密研究,为企事业单位提供领先的计算机信息反泄密解决方案。旗下拥有“文档守望者”、“凤凰卫士”等多个品牌产品线,产品涵盖文档加密、内网安全、终端安全、外发文安全、数据备份、信息安全等领域,能够满足不同行业和规模客户的信息安全保密需求。

     凤凰卫士是安腾基于计算机技术和管理学理论的融合、扩展和延伸,力图在客户不同的管理方式下,无缝融入对计算机文档的权限管理,使其既能防止文档向外泄密,又能对单位内部的文档管理做到一个很好的支撑。能够实现复杂而灵活的应用,满足各种组织机构的需要,是企事业单位解决计算机信息泄密的 佳解决方案。

     技术亮点:

     1、采用国际领先的介于内核与应用层之间的专有加密技术,支持更多格式的文件
     目前为止,该方案将加密标识内置于文件内,成为文件的一部分。当需要打开文件时,会首先识别此文件是否含有加密标识。如果有加密标识,则对此文件进行透明解密。当需要保存文件时,对内存中的文件进行透明的加密,然后写上加密标识。指纹内置方案,使得身份认证技术成为可能。这种加密技术真正实现一份文档某些人(身份)可以打开,而其他人(身份)则不可以。另外从UG等从Unix转过来的程序,导入导出等操作依旧可以无障碍进行。

     2、完全透明的加密过程
     当用Word打开一个DOC文档,用AutoCAD打开一个DWG文件时。文档守望者会自动监测到此操作,并进行相关的解密工作,当要保存此文件时,又会进行相关的加密工作。所有的这些过程都是文档守望者在背后默默完成的,用户根本无需也无法进行干预。这些被加密过的文件无论采用何种方式:用U盘拷贝、用光盘刻录、发邮件、用Ftp上传、用QQ等P2P工具上传,泄漏出去的文件均无法打开。

     3、内容识别,而非扩展名识别
     依赖扩展名识别就像是依赖姓名来识别一个人。而我们采用的方案类似DNA识别,只要文件的内容是需要受控的话,无论将其保存成为什么扩展名,都将被自动加密。

     4、精确识别受控程序
     文档守望者并不依赖可执行程序的名称来确定是否是受控程序,也并不计算可执行程序的MD值。而是有一套专用智能识别算法。智能识别技术,无论怎么改变程序的名称,甚至用UPX等软件压缩可执行程序来改变MD值,依旧不会逃过文档守望者的监测。

     5、人性化的复制/粘贴/拖放/截屏控制
     若采用复制/粘贴可将加密的内容拷贝至非加密内容中,即可导致信息的泄密。但若限制复制粘贴等功能,则用户的日常工作将会受到影响。文档守望者的设计是在提供信息保密的同时又不影响用户的使用习惯。对此文档守望者采用的策略是:加密文件之间可以互相复制/粘贴,非加密文件之间也可互相复制/粘贴,非加密文件的内容可粘贴至加密文件,但加密文件的内容不可粘贴至非加密文件中。对于拖放,守望者也采用同样的策略。对于拷屏的策略是:如果有加密的文件处在打开状态,则禁止拷屏,否则允许。

     6、灵活的组策略
     根据用户的工作需要,客户可以对整个组设置规则,也可以针对单台电脑进行设置,同时一台电脑可以在不同的组中。如技术部(组)、财务部(组)、销售部(组)等,可以对整个工作组进行设置,同时也可对某台电脑进行单独的设置。

     7、双密钥设计
     当软件提供给客户的时候,厂商为客户提供全球唯一的密钥确保客户的加密格式不会相同。客户再自行设置一个密钥,使供应商亦无法解开被加密的文件,解除客户的后顾之忧。

     技术优势:

     1、加、解密速度快,不影响工作效率;

     2、安全系数高,难以被追踪破解;

     3、应用范围更大,可以方便定义受控程序(应用软件);

     4、加解密过程幕后自动完成,用户无需也无法进行干预,真正不影响用户工作习惯;

     5、由于采用微软的内核技术,可以完美地嵌入操作系统,操作界面更加人性化,使用与维护方便、快捷;

     6、可以与大多数软件和硬件系统友好兼容,如防水墙系统、公司OA系统、ERP系统等;

     7、强大的平台功能,为各类用户的定制开发提供了方便之门,软件的扩展应用空间广阔;

     8、为企业提供了一个几近完美的低应用成本、高可靠性的反商业泄密解决方案。

     基于PHOENIX加密内核,历时五年潜心开发,诸多用户八年见证,关键技术突破行业极限,融合安腾各项专利方法和技术,保证其运行可靠、平稳高效。凤凰卫士高度融合了信息和管理技术,高度适应网络结构复杂、保密需求严格的现代管理体系。安腾软件www.iten.com.cn)根据不同组织机构用户的实际需求,研发了以先进的PHOENIX加密技术为核心,集身份认证与权限管理、自动备份、U盘管控、程序控制、流程审批等多功能模块于一体的反商业泄密系统软件,是解决客户信息安全泄密问题的 优方案!

通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。