第一章.前言
网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。黑客持续不断的攻击,员工不当使用造成防火墙失效而使数据被轻易盗取,存储了机要信息的存储介质被失窃和遗失,商业间谍和竞争对手的刺探,员工跳槽导致的企业核心技术或客户资料的流失,个别员工违规的泄露和拷贝等等。而内部网络上大多数的应用,对企业是至关重要的,甚至是严格保密的。一旦出现涉密、破坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。
调查显示:有超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,各种安全漏洞造成的损失中,30% - 40% 是由电子文件的泄露造成的,而防火墙、防病毒、入侵检测、物理隔离这些常见的内网安全措施也无法有效阻止企业机密信息的泄露。为防范风险,必须在内网建立可靠的网络管理、安全审计和监控,以保证内网安全。 企业的信息安全管理势在必行。除了部署实施
网络监控软件外,应继续部署透明加密反复制系统;技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用建设安全的计算机网络系统,并配备适当的安全产品的方法来实现。保证网络自身安全和业务安全,首先要有一个可靠的网络,其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋复杂,单凭网络管理员的学识和经验进行网络管理和安全管理,已经不能适应了。因此,我们必须借助一些网络管理及内网安全的专业软件,才能确保内网信息的保密性、完整性、可用性、 可控性。
巨石HS-Key企业文件安全管理软件是一款专业的企业内外文件安全管理软件,它将局域网内文件的透明加密、功能强大,能满足不同类型企业用户对核心文件安全的需求,确保企业的信息安全。
巨石公司曾经为同洲电子、芯邦电子、德赛电子等公司部署过文件安全管理系统,具备雄厚的技术研发能力和丰富的实施部署经验,相信巨石的产品和经验一定能为深圳市**光电子股份有限公司文档安全保护带来巨大的帮助。
第二章.巨石公司简介
巨石公司创立于2007年,总部位于中国最具活力的创业城市——深圳。
巨石公司专注于企业及个人的数据安全领域,最早于2005年,即开始了文档安全管理系统HS-Key 1.0版本产品的自主研发;
经过6年的发展,巨石已经从单一的加密产品开发商,快速发展成为集个人保险箱、企业文档安全管理系统、加密网关、打印监控、备份管理、企业U盘认证等系列安全产品为一体的DLP(数据泄露防护)安全解决方案提供商,
尤其是巨石HS-Key3.0版本的核心技术—双缓冲文件过滤驱动技术,彻底解决了目前国内其他厂商尚未解决的文件损坏和加密效率问题,当之无愧地成为国内外同行业的技术标杆。
雄厚的开发实力、丰富的产品线、快速的服务响应,使巨石公司成为众多行业龙头企业的首选安全合作伙伴。巨石已经发展成为华南地区用户量最大的文件安全软件厂商。2009年,顺丰速运集团与巨石公司正式签约,为顺丰遍布全球的2.8万台终端电脑进行安全加密监控。短短几年内,巨石已经为武钢集团、德赛集团、正大集团、同洲电子、华阳通用、TCL新技术等集团企业,以及广州公积金管理中心、海南审计厅、广州公安局等几百家大中型企事业单位提供完善的数据安全解决方案。
“安全成就未来”,在中国企业(事业单位)越来越关注信息安全、重视版权保护、风险意识越来越强的今天,巨石公司看到了机会,也意识到了责任,巨石人必将一如既往、坚定不移地沿着信息安全的道路走下去,共同铸就中国安全的明天。
第三章.文件安全需求及解决方案
3.1 **公司文件安全需求
目前**公司内部已经部署了针对外来威胁的防火墙、杀毒软件等。同时部署了深信服上网行为监控实现内网的安全管理。
但是随着公司信息化的发展,员工越来越多地借助以计算机、互联网等信息手段,将公司的经营及管理流程在线实现,所有业务数据经由系统处理,这样,信息数据就成为主要存储方式及企业内、外部之间进行信息交换的重要载体。仅仅依靠对邮件、移动存储等出口的封堵是远远不够的。
目前企业级应用系统的广泛应用,大量的核心数据都存放于服务器中,如ERP等系统。这样对应用服务器的信息防护就成了企业信息安全的重中之重。但对应用服务器的防护涉及到两个方面,一是对其的准入访问控制,另一个则是如何保护离开应用服务器环境的文档安全。如何才能在不影响公司业务系统正常运行的情况下,又能防止公司由于员工辞职、外来人员盗取资料、内部员工外发和移动存储设备的丢失造成应用服务器上核心资料的流失和外泄,从而提高整个系统的安全性,有效防止由于内部员工造成的资料外泄,实现信息防泄漏的目的。
**公司文件安全的主要需求如下:
1、全面保护全公司重要文件的存储安全。
2、对外发文件进行控制。
3、有效控制ERP数据的安全。
4、移动办公用户的文件安全保护。
5、可靠的灾备机制
3.2 巨石HS-DLP体系方案图
图1 HS-DLP体系方案图
3.3 解决方案的阐述
根据**公司文件安全管理体系的需求,结合巨石文档安全系统HS-Key来保护企业机密文档无法泄漏,规范员工的文件安全操作行为和流程,提高员工的安全意识,同时最大程度降低加密软件对员工工作效率的影响,最终达到安全管理和人性化管理的高度结合的实施目标。
以下我们以应用场景和解决方案的方式进行详细的描述,具体内容如下:
1. 自动加解密管理
应用场景:
企业的内部存在大量的机密文件和财务数据,其中包括Office文档、PDF文档、图纸、源代码文件等,需要进行加密保护,但是又不想引起员工的反感。
解决方案:
(1) 强制自动加解密:
n 所有文件在保存时自动进行强制加密;
n 加密和解密过程对于使用者来说是透明的、不可见、不可干预的,在后台悄悄进行,员工感受不到加密软件的存在;
n 加密过的文件一旦外发或拷贝到未授权的电脑上打开时,会以乱码形式显示。
n 未经授权的笔记本带离公司的环境,加密的文件无法正常的查看。
(2) 内部文件交换:
n 已安装了加密客户端的员工之间都可以相互查看加密文件,未安装加密客户端的机器无法查看加密的文件。
n 可以授予的文件权限包括:是否允许修改、是否允许复制内容、是否允许打印等。
(3) 其他权限控制:
n 打印权限、截屏权限、内容复制权限。
n 手工解密权限、解密审批权限、允许外发文件权限等。
n 是否需要U-Key做身份认证。
n 是否允许离线工作等。
2. 移动介质管理
应用场景:
为了携带资料方便,企业普遍使用U盘来进行文件的拷贝,但这会带来巨大的安全隐患。
解决方案:
移动介质管理,也就是常说的U盘和移动硬盘管理。HS-Key可以实现以下几种管理方式(以U盘为例):
(1) 禁止U盘的使用(不能从U盘读,也不能写入U盘);
(2) U盘只读(只能从U盘读,不能写入U盘);
(3) 对所有保存到U盘的文件进行强制加密。
3. 与外部企业的文件交换
应用场景:
企业的工程部门需要经常和外部的合作企业交换文件,如果文件被加密了,该如何交换文件,同时又能保证外发出去的文件的安全性?
解决方案:
n 外发的文件可以采用 “文件外发解密审批流程”的功能模块,所有外发的文件都必须经过部门领导的审批解密才能外发,不经过审批的文件发到外面打开是乱码。所有经过审批的文件都会有详细的日志记录,并备份到服务器。此方案的安全性比较高,但会增加审批员的工作量。
n 外发的文件也可以采用OUTLOOK邮件发送的抄送功能模块,由管理员设置指定一个内部邮箱,所有员工外发带附件的邮件都必须抄送到指定的邮箱,并且发送的时候文件自动解密。此方案比较方便,文件外发不需要经过审批,不会带来额外的工作量,安全性稍低,只能做为事后追溯。
n 另外HS-Key提供一套“外发文件打包”的功能模块来实现对外发送的文件的权限控制。
(1) 对外发的文件的操作权限进行控制,如:文件只读、复制、修改、打印、密码保护、有效期限、可阅读次数、时长等;
(2) 可支持所有文件类型的外发权限控制,外发文件在加密状态下编辑后可返回原厂直接阅读查看;
(3) 限定是否允许文件接收者再次将加密文件扩散给其他用户阅读使用。
4. 离线加密工作管理
应用场景:
公司的员工需要经常携带笔记本出差,如果保证他们既能正常工作又能保证笔记本中文件不会泄露?
解决方案:
(1) 当企业的员工需要携带计算机出差工作时,可在离线时提出出差申请,由管理员进行离线加密设置,保证该员工可以离线打开加密文件进行正常工作;
(2) 可设定允许离线的时间,以及离线工作的权限;
(3) 当设定的允许离线的时间超过后,可以再由管理员发送离线授权文件给该员工,延长正常离线工作时间。
5. 截屏控制
应用场景:
虽然文件被加密了,但是有多种截屏方式和截屏软件可以对打开的文件进行截屏。
解决方案:
HS-Key采用了先进的防截屏技术,不但可以对市面上已知的截屏软件(如QQ截屏等)进行限制使用,而且可以通过策略,禁止任意截屏软件的运行使用。
6. 领导特权策略
应用场景:
作为企业的老板或者受信任的领导,应该拥有不同于普通员工的特殊权限。
解决方案:
HS-Key专为领导设计了更开放、更特殊的权限策略:
(1) 普通员工的工作文件会被强制加密,而领导可以阅读加密文件,但是允许保存为不加密的文件;
(2) 领导可以通过使用专门的加密锁完成文件的解密操作;
(3) 允许领导对外发送文件时(如通过邮件、QQ等),文件会自动进行解密。
(4) 允许领导解密文件时不需要进行审批。
7. 管理员权限控制
应用场景:
管理员往往拥有超级权限,如果不加控制,会是一个巨大的安全漏洞。
解决方案:
在HS-Key系统中,采用了三权分立的权限体系。管理员账号、日志管理员和终端使用者的账号是完全独立的,管理员账号不能用于加解密工作中,即无权操作任何加密文件,因此是安全的。另外,管理权限和日志权限也是分离的,管理员的所有操作都会进行日志记录,而管理员本人是无法删除日志的。
8. 与ERP系统的集成
应用场景:
企业已经安装部署了ERP系统,存放在这些系统中的资料是非常重要的,如何将ERP和加密软件紧密结合在一起。
解决方案:
HS-Key可以很容易的和任何的ERP系统进行集成,可以提供以下集成方式: 所有上传到ERP中的文件自动解密,从ERP系统中导出到本地计算机的文件都会被强制加密 。
9. 非强制加密管理
应用场景:
同样是Word文件,有些是机密文件,必须加密保护,有些却是日常办公文件,不需要进行加密,可以随意对外发送的,如何进行区分?如果都强制进行加密了,势必会对正常的工作带来效率上的影响,引起员工的反感。
解决方案:
HS-Key针对该种需求,提供了一个可选的“非强制加密”功能。对于已加密分级的文件,无论如何进行编辑修改和另存,都会处于加密保护状态。对于本身未加密的文件,修改保存、另存后仍然保持非加密状态。当然,任何可能从加密文件中拷贝内容到非加密文件中的不安全操作,都会被严格监控。
该功能尤其适合讲究人性化管理的企业使用。
10. 基于互联网的安全管理
应用场景:
如果企业的分公司遍布全国,总部需要进行统一进行加密管控。
解决方案:
HS-Key是国内第一个实现支持互联网登录认证和远程加密控制的加密软件。HS-Key系统自身的架构完全支持基于互联网的部署,同时客户端和服务器之间传输的数据量很小,因此即使远程管理,仍然可以做到实时管控的效果。
11. 服务器的负载均衡
应用场景:
当企业规模扩大,诸多终端会否造成网络的拥塞和服务器的崩溃?
解决方案:
在终端数量巨大的情况下,确实是对服务器的一个巨大的考验。HS-Key的服务器采用了负载均衡、分时段连接、分级服务器、多服务器并行处理等技术,经过在顺丰速运的实测,负荷能力可以轻松承担10万台终端同时在线的任务。
12. 灾备及应急处理
应用场景:
如果发生网络中断、服务器崩溃、损坏,甚至是发生不可预料的天灾,每台终端电脑上的加密文件还能打开吗?
解决方案:
为应对各种可能出现的意外情况,HS-Key提供了以下灾备方案:
(1) 在提供1至2台主服务器的同时,还提供2台备用登录服务器,一旦主服务器出现问题,所有终端会自动连接上备用服务器;
(2) HS-Key会定时自动备份数据库到其他指定计算机,即使所有的服务器均出现故障,仍然可以通过该数据库保证所有终端的正常加解密工作;
(3) HS-Key提供专门的手工解密锁,由企业方自行制作超级解密锁,即使网络全部中断,也可通过该锁完成文件的手工解密工作。
13. 扩展性的问题
应用场景:
企业在飞速发展,无论是人员数量的增长,、信息化系统的新增购买,还是企业管理模式的变化,都给企业领导带来了一个隐忧:现在购买的加密软件,能满足日后企业发展的需要吗?
解决方案:
HS-Key系统是一个非常开放的系统,现有的架构不但可以适应企业应用软件的任意增加,而且可以根据企业管理模式的变化而变化,HS-Key提供丰富的自定义功能,可以人添加需要监控的软件种类,而且可以根据企业的安全等级需求,为加密文件进行分类、分级管理,一切应需而变。作为软件原厂商,巨石公司也会愿意开放所有的接口给合作伙伴,并协助合作伙伴共同开发适应最新需求的安全系统,这一点,用户可以完全放心。
第四章.应用效果
**公司实施HS-Key安全方案后,可以达到以下应用效果:
1. 所有重要的知识库文件自动加密并进行集中管理;
2. 这些机密文件只能在安装了加密客户端软件的机器上才能正常阅读。离开这个环境,文件将无法打开;
3. 可以对知识库进行分类授权管理,只有获得用户才能查看相应的加密文档;
4. 通过各种工作模式的混合设置,满足公司复杂的权限要求;
5. 通过外发控制和解密审批流程功能,实现与外界的安全交流;
6. 严格控制U盘等移动存储介质的加密和使用;
7. 原有的QQ、MSN等即时通讯工具和邮件发送工具仍然可以正常使用,但是如果发送的文件是加密文件,企业外部将无法打开;
8. 离线管理机制,保证正常离线的计算机能够正常工作;
总的来说,通过文件加密软件的部署,从整体上提升了企业的安全管理水平,在不改变内部工作方式和工作流程的情况下,有效地保护了企业的知识产权和核心竞争力,为企业的快速发展保驾护航。
咨询邮箱:404397954@qq.com 
咨询热线:0755-88844416 
