一、引言
1.1 关于巨石
深圳市巨石安全科技有限公司(下简称“巨石公司”)创立于2007年,总部位于中国最具活力的创业城市——深圳。
巨石公司专注于企业及个人的数据安全领域,最早于2005年,即开始了文档安全管理系统HS-Key 1.0版本产品的自主研发;经过6年的发展,巨石已经从单一的加密产品开发商,快速发展成为集个人保险箱、企业文档安全管理系统、加密网关、打印监控、备份管理、企业U盘认证等系列安全产品为一体的DLP(数据泄露防护)安全解决方案提供商,尤其是巨石HS-Key3.0版本的核心技术—双缓冲文件过滤驱动技术,彻底解决了目前国内其他厂商尚未解决的文件损坏和加密效率问题,当之无愧地成为国内外同行业的技术标杆。雄厚的开发实力、丰富的产品线、快速的服务响应,使巨石公司成为众多行业龙头企业的首选安全合作伙伴。
l 巨石精神:
创新 守信 专注 执着
l 巨石理念:
更安全 更稳定 更高效 更诚信
1.2 公司业务
1.3 什么是文件安全审计系统
任何一个企事业单位,无论是政府部门,还是设计型企业、或者物流、销售及生产型企业,都会拥有很多需要受到保护的重要机密文件,这些文件会在日常工作中被使用,可能会被阅读、修改或删除,也可能通过邮件外发出去,或者U盘进行拷贝,甚至打印出来进行流转。所有上述操作途径,都可能造成机密资料的泄密。这种泄密可能会对企事业单位带来巨大的经济损失和政治影响。
文件审计系统,就是通过精确记录对机密文件的每一个操作行为,比如文件的阅读、修改、重命名、删除、打印、邮件外发、U盘拷贝等操作,当泄密事件发生时,可以准确定位到具体的操作者和操作内容,以便追溯责任人,并为司法机关提供法律依据。
1.4 为什么需要文件安全审计系统
l 员工离职恶意串改文件或者删除文件,文件还能找回么?
l 员工通过邮件、QQ、MSN等即时通讯工具泄漏公司机密,有足够的证据提供分析么?能准确定位事件责任么?
l 员工通过打印设备带走机密文件,有足够的证据提供分析么?能准确定位事件责任么?
l 员工通过移动存储设备拷贝文件带走,您能知道是什么文件么?
l 如何发现和告警违规操作?
l 我的信息安全体系建设是否能够满足相关规范要求呢?等等问题。
二、巨石文件审计系统HS-Audit简介
2.1产品概述
HS-Audit审计功能能够查阅终端用户对密文解密后的记录,使相关负责人能够快捷掌握公司内部所有密文解密状况信息。所有可以设置成自动解密的软件(拷贝到U盘解密、QQ、MSN等发送时自动解密)、系统,都可以设置成可管理的“审计记录”功能。
2.2功能详述
|
功能简述 |
功能详述及应用效果 |
1. |
文件解密审计 |
▲功能:用户对密文解密后,审计终端后台记录登录名、(主机名、IP和MAC地址)、时间、以及原文件等信息同步到审计服务器。
▲应用: 例如:某个加密文档需要解密外发,此时触发解密动作后会把相关解密信息上传到审计服务器。 |
2. |
邮件发送审计 |
▲功能:实时记录用户通过outlook、foxmail等邮件系统发送出去的正文内容、发送人、收件人、抄送人、附件等一切信息。
▲应用: 当用户外发邮件时,审计终端会把邮件的所有信息上传到审计服务器。 |
3. |
即时通讯审计 |
▲功能: 收集用户通过即时通讯工具发送出去的附件并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用:例如:用户通过QQ、MSN、skype对外发送附件时,审计终端会实时把附件等相关日志信息上传到审计服务器。 |
4. |
文件操作审计 |
▲功能: 文件被打开、修改、删除等操作,此文件会自动上传到审计服务器并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用:
Ø 员工离职后恶意串改文件或删除文件,可以在审计服务器找回原始文件;
Ø 当员工电脑遭到病毒侵犯或者不可预知灾难导致文件破坏或者丢失,可以在审计服务器找回最新原始文件。
|
5. |
U盘操作审计 |
▲功能: 拷贝到移动设备的文件,审计终端会把这些文件自动上传到审计服务器并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用: 当员工把机密文件拷贝到U盘带走,这时审计终端会把这些拷贝过的文件以及相关信息上传到审计服务器。 |
6. |
文档打印审计 |
Ø 记录每次打印任务的详细信息。 文档名、服务器、打印机、用户、计算机(主机名、IP和MAC地址)、打印字节数、文档、页数、纸张大小、文档类型、文档内容、打印时间等信息。
Ø 完整保存每次打印任务的全部内容为图像格式,支持所有打印机类型。 |
7. |
文件实时备份审计 |
▲功能:HS-Audit审计系统内置自动备份机制,集群高可用确保数据不丢失,服务不间断,保证文档存储安全。
▲应用:客户端遇到意外情况,如文件误删、故意删除、或客户端机器硬盘损坏,可以通过文件备份服务器进行恢复。 |
三、系统运行环境
该系统为C/S结构,它的运行模块分为服务器、控制台、客户端三部分。
以下是系统的运行环境:
l
服务器
操作系统 |
Windows Server 2008_x64 |
CPU |
四核3300MHz以上 |
内存空间 |
8GB以上,推荐16GB DDR3 |
硬盘空间 |
结合实际情况搭配 |
数据库 |
审计系统自带 |
l
控制台
操作系统 |
Windows XP以上(x86-x64) |
CPU |
主频800MHz以上 |
内存空间 |
256M以上,推荐1GB |
l
客户端
操作系统 |
推荐Windows XP / Windows7(x86-x64) |
CPU |
主频450MHz以上 |
内存空间 |
512M以上,推荐2GB |
四、典型应用
4.1背景介绍
企业内网中,由于机密信息分散存储在企业内网中的各类终端中,这样机密信息在企业内网中就无处不在。如何管理企业内网中的文件本身的安全、又能够使文件能够在内网中共享授权使用,成为企业面临的一大难题。
虽然,企业中的信息安全管理者们已经意识到对企业中文件等数字机密信息安全管理对企业自身的重要性,但单纯的使用管理制度难以实现对企业内部信息全面和有力的保护。如何结合企业的现有管理制度和技术手段,实现企业文件等数字信息的安全,将是目前有信息安全需求的企业迫切需要解决的问题。
4.2企业需求
Ø 企业在日常的业务沟通过程中,通常会通过如电子邮件、及时通讯工具、网络上的BBS、演示文稿、电子表格等文档的形式来共享机密数据,这种信息的公开性本身就给数据的攻破造成了巨大的威胁,但是公司宝贵的信息又不能被封锁或破坏。
Ø 大多的安全系统,像防火墙、访问控制、网关过滤等技术能够准许或拒绝访问,但他们对可访问的用户都不能提供精细的颗粒度的策略权限,从而限定哪些机密信息能够使用,哪些不能够使用,因此,这种静态的“提供全部或零权限的”工具已经不能满足当今企业,动态的业务需求。
Ø 大多的文件安全系统,无法提供与实际企业管理流程相一致的管理制度,单纯的实现文件安全,已经无法适应企业的安全需求。如何能够真正从企业文件安全管理出发,从企业文件安全管理者的角度考虑,并能够承载企业文件管理流程的思想,通过企业安全系统的部署,最终保障企业的文件安全管理,并在最大程度为企业创造价值,同时使企业的文件安全得以不断地提高。
Ø 一般的文件安全系统在对文件加密安全保护的过程中,一旦系统出了故障,或者文件被损坏,无法实现对文件的安全备份和恢复。
Ø 对于机密性很高的文件信息,如果能够全程跟踪该文件的操作记录,实现对机密文件的安全保护,一旦出现机密文件的泄漏,能够审计到是由哪个环节造成的泄漏。
Ø ……
4.3产品部署应用
巨石审计HS-Audit系统的部署将帮助企业从根本上解决上述问题。见下图所示的巨石HS-Audit部署结构示意图:
图 4-1 巨石HS-Audit系统部署示意图
4.4实施效果
通过巨石审计HS-Audit系统的部署,完全能够杜绝现阶段企业内网环境中无法控制的机密信息对外泄露。同时,本产品在对企业中的机密文件信息进行保护的过程中,灵活的实现了受保护的企业机密文件在企业内外网中的正常使用。在极大地方便企业内网员工日常工作的同时,又保护了企业机密数字信息的安全管理。