第一章.前言
网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。黑客持续不断的攻击,员工不当使用造成防火墙失效而使数据被轻易盗取,存储了机要信息的存储介质被失窃和遗失,商业间谍和竞争对手的刺探,员工跳槽导致的企业核心技术或客户资料的流失,个别员工违规的泄露和拷贝等等。而内部网络上大多数的应用,对企业是至关重要的,甚至是严格保密的。一旦出现涉密、破坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。
调查显示:有超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,各种安全漏洞造成的损失中,30% - 40% 是由电子文件的泄露造成的,而防火墙、防病毒、入侵检测、物理隔离这些常见的内网安全措施也无法有效阻止企业机密信息的泄露。为防范风险,必须在内网建立可靠的网络管理、安全审计和监控,以保证内网安全。 企业的信息安全管理势在必行。除了部署实施
网络监控软件外,应继续部署透明加密反复制系统;技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用建设安全的计算机网络系统,并配备适当的安全产品的方法来实现。保证网络自身安全和业务安全,首先要有一个可靠的网络,其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋复杂,单凭网络管理员的学识和经验进行网络管理和安全管理,已经不能适应了。因此,我们必须借助一些网络管理及内网安全的专业软件,才能确保内网信息的保密性、完整性、可用性、 可控性。
巨石HS-Key企业文件安全管理软件是一款专业的企业内外文件安全管理软件,它将局域网内文件的透明加密、功能强大,能满足不同类型企业用户对核心文件安全的需求,确保企业的信息安全。
巨石公司曾经为顺丰速运公司成功部署过全球范围内的文件安全管理系统,具备雄厚的技术研发能力和丰富的实施部署经验,相信巨石的产品和经验一定能为客户带来巨大的帮助。
第二章.巨石公司简介
巨石公司创立于2007年,总部位于中国最具活力的创业城市——深圳。
巨石公司专注于企业及个人的数据安全领域,最早于2005年,即开始了文档安全管理系统HS-Key 1.0版本产品的自主研发;
经过6年的发展,巨石已经从单一的加密产品开发商,快速发展成为集个人保险箱、企业文档安全管理系统、加密准入网关、打印监控、备份管理、企业U盘认证等系列安全产品为一体的DLP(数据泄露防护)安全解决方案提供商,
尤其是巨石HS-Key3.0版本的核心技术—双缓冲文件过滤驱动技术,彻底解决了目前国内其他厂商尚未解决的文件损坏和加密效率问题,当之无愧地成为国内外同行业的技术标杆。
雄厚的开发实力、丰富的产品线、快速的服务响应,使巨石公司成为众多行业龙头企业的首选安全合作伙伴。巨石已经发展成为华南地区用户量最大的文件安全软件厂商。2009年,顺丰速运集团与巨石公司正式签约,为顺丰遍布全球的2.8万台终端电脑进行安全加密监控。短短几年内,巨石已经为武钢集团、德赛集团、正大集团、同洲电子、华阳通用、中兴等集团企业,以及广州公积金管理中心、海南审计厅、广州公安局等几百家大中型企事业单位提供完善的数据安全解决方案。
“安全成就未来”,在中国企业(事业单位)越来越关注信息安全、重视版权保护、风险意识越来越强的今天,巨石公司看到了机会,也意识到了责任,巨石人必将一如既往、坚定不移地沿着信息安全的道路走下去,共同铸就中国安全的明天。
第三章.项目目标
3.1 项目总体目标
建立全公司范围内的文件安全管理体系,通过文档安全系统HS-Key和巨石加密准入网关来保护企业机密文档无法泄漏,规范员工的文件安全操作行为和流程,提高员工的安全意识,同时最大程度降低加密软件对员工工作效率的影响,最终达到安全管理和人性化管理的高度结合的实施目标。
目标一:全面保护windows平台上的文件的存储安全\外发安全。
目标二:保护明文服务器(未加密)上的数据安全。
目标三:有效控制Linux、UNIX等计算机上的文件安全。
目标四:建立适用于公司的整体文件安全控制体系和规章制度。
3.2 巨石HS-DLP体系方案图
图1 HS-DLP体系方案图
3.3 HS-Audit部署结构示意图
图2 HS-Audit部署示意图
3.4 具体功能目标
我们以应用场景和解决方案的方式进行描述,具体内容如下:
1.自动加解密管理
应用场景:
企业存在大量的机密文件和财务数据,其中包括Office文档、PDF文档、图片和视频文件等,需要进行加密保护,但是又不想引起员工的反感。
解决方案:
(1) 强制自动加解密:
n 所有文件在保存时自动进行强制加密;
n 加密和解密过程对于使用者来说是透明的、不可见、不可干预的,在后台悄悄进行,员工感受不到加密软件的存在;
n 加密过的文件也可以外发或者拷贝出企业。但在未授权的电脑上打开时,会以乱码形式显示。
(2) 内部文件交换:
n 不同部门的员工之间不能相互查看加密文件,只有经过追加授权的文档才能在部门之间交流。
n 可以授予的权限包括:是否允许修改、是否允许复制内容、是否允许打印等。
(3) 其他权限控制:
n 打印权限、截屏权限、内容复制权限。
n 手工解密权限、解密审批权限、允许外发文件权限等。
n 是否需要U-Key做身份认证。
n 是否允许离线工作等。
2.移动介质管理
应用场景:
为了携带资料方便,企业普遍使用U盘来进行文件的拷贝,但这会带来巨大的安全隐患。
解决方案:
移动介质管理,也就是常说的U盘和移动硬盘管理。HS-Key可以实现以下几种管理方式(以U盘为例):
(1) 禁止U盘的使用(不能从U盘读,也不能写入U盘);
(2) U盘只读(只能从U盘读,不能写入U盘);
(3) 对所有保存到U盘的文件进行强制加密。
3.与外部企业的文件交换
应用场景:
企业需要经常和外部的上下游合作企业交换文件,如果文件被加密了,该如何交换文件,同时又能保证外发出去的文件的安全性?
解决方案:
HS-Key提供一套“外发文件打包”的功能模块来实现对外发送的文件的权限控制。
(1) 对外发的文件的操作权限进行控制,如:文件只读、复制、修改、打印、密码保护、有效期限、可阅读次数、时长等;
(2) 可支持所有文件类型的外发权限控制,外发文件在加密状态下编辑后可返回原厂直接阅读查看;
(3) 限定是否允许文件接收者再次将加密文件扩散给其他用户阅读使用。
4.离线加密工作管理
应用场景:
公司的员工需要经常携带笔记本出差,如果保证他们既能正常工作又能保证笔记本中文件不会泄露?
解决方案:
(1) 当企业的员工需要携带计算机出差工作时,可在离线时提出出差申请,由管理员进行离线加密设置,保证该员工可以离线打开加密文件进行正常工作;
(2) 可设定允许离线的时间,以及离线工作的权限;
(3) 当设定的允许离线的时间超过后,可以再由管理员发送离线授权文件给该员工,延长正常离线工作时间。
5.截屏控制
应用场景:
虽然文件被加密了,但是有多种截屏方式和截屏软件可以对打开的文件进行截屏。
解决方案:
HS-Key采用了先进的防截屏技术,不但可以对市面上已知的截屏软件(如QQ截屏等)进行限制使用,而且可以通过策略,禁止任意截屏软件的运行使用。
6.领导特权策略
应用场景:
作为企业的老板或者受信任的领导,应该拥有不同于普通员工的特殊权限。
解决方案:
HS-Key专为领导设计了更开放、更特殊的权限策略:
(1) 普通员工的工作文件会被强制加密,而领导可以阅读加密文件,但是允许保存为不加密的文件;
(2) 领导可以通过使用专门的加密锁完成文件的解密操作;
(3) 允许领导对外发送文件时(如通过邮件、QQ等),文件会自动进行解密。
(4) 允许领导解密文件时不需要进行审批。
7.管理员权限控制
应用场景:
管理员往往拥有超级权限,如果不加控制,会是一个巨大的安全漏洞。
解决方案:
在HS-Key系统中,采用了三权分立的权限体系。管理员账号、日志管理员和终端使用者的账号是完全独立的,管理员账号不能用于加解密工作中,即无权操作任何加密文件,因此是安全的。另外,管理权限和日志权限也是分离的,管理员的所有操作都会进行日志记录,而管理员本人是无法删除日志的。
8.与OA/ERP/AD域系统的集成
应用场景:
企业已经安装部署了OA/ERP系统,存放在OA系统中的资料是非常重要的,如何将OA/ERP和加密软件紧密结合在一起。
解决方案:
HS-Key可以很容易的和任何的OA/ERP系统进行集成,所有上传到OA/ERP中的文件附件都处于加密状态,未经授权的计算机,即使能够登录OA系统,也无法打开OA中的文件附件。任何从OA/ERP系统中存到本地计算机的文件都会被强制加密。
另外HS-Key可以和企业的AD域做以下紧密集成:
(1)
组织架构信息同步: HS-Key自动获取并和AD域中的组织架构信息保持同步,如AD中新增账号,HS-Key中同时增加一个新账号,AD中删除一个账号,HS-Key中同时冻结该用户账号;
(2)
统一用户身份验证: HS-Key客户端登录时,会自动将账号和密码发送到AD服务器中做身份验证,验证通过后方可正常使用;
(3)
通过AD
统一发布: HS-Key客户端可以通过AD软件发布形式进行通知和自动安装,可以大幅度降低安装部署的成本。
(4)
解密流程紧密结合: HS-Key可以将解密审批流程结合到AD审批流程中,在AD中实现文件解密的审批和文件外发。
9.非强制加密管理
应用场景:
同样是Word文件,有些是机密文件,必须加密保护,有些却是日常办公文件,不需要进行加密,可以随意对外发送的,如何进行区分?如果都强制进行加密了,势必会对正常的工作带来效率上的影响,引起员工的反感。
解决方案:
HS-Key针对该种需求,提供了一个可选的“非强制加密”功能。对于已加密分级的文件,无论如何进行编辑修改和另存,都会处于加密保护状态。对于本身未加密的文件,修改保存或另存都仍然保持非加密状态。当然,任何可能从加密文件中拷贝内容到非加密文件中的不安全操作,都会被严格监控。
该功能尤其适合讲究人性化管理的企业使用。
10. 解密审批的快速文件传递
应用场景:
如果企业需要通过互联网进行通讯和管理,而且终端数量大、分布广,解密审批如果都通过传统方式传递文件,势必造成网络拥塞和传递速度慢的局面。尤其是在同一个地区网段,最好能实现QQ那样的自动识别并快速传递文件。
解决方案:
HS-Key针对以上需求,新增了P2P方式传输文件的功能,能够自动识别两个互传文件的点是否在同一个网段,自动以点对点的方式进行快速传输,最大传输速度可达10M/S以上,大大提高了文件解密审批的效率。针对远程审批,亦采用了P2P的技术,最大传输速度可达80K/S,超过QQ的文件传输速度。
11. 基于互联网的安全管理
应用场景:
如果企业的分公司遍布全国,总部需要进行统一进行加密管控。
解决方案:
HS-Key是国内第一个实现支持互联网登录认证和远程加密控制的加密软件。HS-Key系统自身的架构完全支持基于互联网的部署,同时客户端和服务器之间传输的数据量很小,因此即使远程管理,仍然可以做到实时管控的效果。
12. 服务器的负载均衡
应用场景:
当企业规模扩大,诸多终端会否造成网络的拥塞和服务器的崩溃?
解决方案:
在终端数量巨大的情况下,确实是对服务器的一个巨大的考验。HS-Key的服务器采用了负载均衡、分时段连接、分级服务器、多服务器并行处理等技术,经过在顺丰速运的实测,负荷能力可以轻松承担10万台终端同时在线的任务。
13. 灾备及应急处理
应用场景:
如果发生网络中断、服务器崩溃、损坏,甚至是发生不可预料的天灾,每台终端电脑上的加密文件还能打开吗?
解决方案:
为应对各种可能出现的意外情况,HS-Key提供了以下灾备方案:
(1) 在提供1至2台主服务器的同时,还提供2台备用登录服务器,一旦主服务器出现问题,所有终端会自动连接上备用服务器;
(2) HS-Key会定时自动备份数据库到其他指定计算机,即使所有的服务器均出现故障,仍然可以通过该数据库保证所有终端的正常加解密工作;
(3) HS-Key提供专门的手工解密锁,由企业方自行制作超级解密锁,即使网络全部中断,也可通过该锁完成文件的手工解密工作。
14. 扩展性的问题
应用场景:
企业在飞速发展,无论是人员数量的增长,、信息化系统的新增购买,还是企业管理模式的变化,都给企业领导带来了一个隐忧:现在购买的加密软件,能满足日后企业发展的需要吗?
解决方案:
HS-Key系统是一个非常开放的系统,现有的架构不但可以适应企业应用软件的任意增加,而且可以根据企业管理模式的变化而变化,HS-Key提供丰富的自定义功能,可以人添加需要监控的软件种类,而且可以根据企业的安全等级需求,为加密文件进行分类、分级管理,一切应需而变。作为软件原厂商,巨石公司也会愿意开放所有的接口给合作伙伴,并协助合作伙伴共同开发适应最新需求的安全系统,这一点,用户可以完全放心。
15. Linux等非Windows系统的管理问题
应用场景:
公司有部分研发人员需在Linux操作平台虚拟机上直接开发编译代码,如何保护此类操作系统上的文件安全并且不影响与Windows平台上加密代码文件之间交互?
解决方案:
HS-Key 3.0 透明加解密Linux版本可兼容Ubuntu、Fedora、RedHat、centos、openSUSE等主流Linux系统平台。
|
参数 |
规格 |
|
操作系统版本 |
支持32/64位的Linux操作系统,内核在2.6.32以上任何版本。 |
Ø Linux系统虚拟机通过Linux版本加密客户端部署即可实现与Windows系统上一样,正常透明加解密代码文件,并采用公司唯一加密密钥进行加密,实现无缝结合Windows与Linux代码文件之间交互。
Ø 通过Samaba系统服务软件映射加密文件系统到Windows的映射目录,终端用户即可在Windows上编辑Linux下的加密代码文件,提高工作效率便于开发。
如下图所示:
16. HS-Audit文件审计系统
HS-Audit审计功能能够查阅终端用户对密文解密后的记录,使相关负责人能够快捷掌握公司内部所有密文解密状况信息。所有可以设置成自动解密的软件(拷贝到U盘解密、QQ、MSN等发送时自动解密)、系统,都可以设置成可管理的“审计记录”功能。
|
|
功能简述 |
功能详述及应用效果 |
|
1. |
文件解密审计 |
▲功能:用户对密文解密后,审计终端后台记录登录名、(主机名、IP和MAC地址)、时间、以及原文件等信息同步到审计服务器。
▲应用: 例如:某个加密文档需要解密外发,此时触发解密动作后会把相关解密信息上传到审计服务器。 |
|
2. |
邮件发送审计 |
▲功能:实时记录用户通过outlook、foxmail等邮件系统发送出去的正文内容、发送人、收件人、抄送人、附件等一切信息。
▲应用: 当用户外发邮件时,审计终端会把邮件的所有信息上传到审计服务器。 |
|
3. |
即时通讯审计 |
▲功能: 收集用户通过即时通讯工具发送出去的附件并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用:例如:用户通过QQ、MSN、skype对外发送附件时,审计终端会实时把附件等相关日志信息上传到审计服务器。 |
|
4. |
文件操作审计 |
▲功能: 文件被打开、修改、删除等操作,此文件会自动上传到审计服务器并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用:
Ø 员工离职后恶意串改文件或删除文件,可以在审计服务器找回原始文件;
Ø 当员工电脑遭到病毒侵犯或者不可预知灾难导致文件破坏或者丢失,可以在审计服务器找回最新原始文件。
|
|
5. |
U盘操作审计 |
▲功能: 拷贝到移动设备的文件,审计终端会把这些文件自动上传到审计服务器并记录当前(登录名、主机名、IP和MAC地址、时间)。
▲应用: 当员工把机密文件拷贝到U盘带走,这时审计终端会把这些拷贝过的文件以及相关信息上传到审计服务器。 |
|
6. |
文档打印审计 |
Ø 记录每次打印任务的详细信息。 文档名、服务器、打印机、用户、计算机(主机名、IP和MAC地址)、打印字节数、文档、页数、纸张大小、文档类型、文档内容、打印时间等信息。
Ø 完整保存每次打印任务的全部内容为图像格式,支持所有打印机类型。 |
|
7. |
文件实时备份审计 |
▲功能:HS-Audit审计系统内置自动备份机制,集群高可用确保数据不丢失,服务不间断,保证文档存储安全。
▲应用:客户端遇到意外情况,如文件误删、故意删除、或客户端机器硬盘损坏,可以通过文件备份服务器进行恢复。 |
第四章 项目维护和服务计划
质量保修期内服务
深圳市巨石安全科技有限公司拥有完善的服务体系,该服务体系是建立在对用户售前、售中、售后服务目的上的。
针对本项目,如系统出现问题,深圳市巨石安全科技有限公司承诺10分钟内响应,如果是远程无法解决、而又影响用户使用的问题,深圳本地2小时内到现场,外地客户2天内到现场解决问题。由于我们
是文档加密系统的生产厂商,所以我们具有随时为用户提供原厂售后服务和技术支持的优势。
所有软件自安装调试完毕之日起,我们公司承诺1年内系统现场技术服务,免费升级,终身技术支持,从而充分体现专业化和本地化服务的优势。
深圳市巨石安全科技有限公司遵循和贯彻“技术领先、优质高效、客户至上、信守合约”的公司宗旨,依靠强大的技术队伍提供技术支持,极力做好售后服务。我公司在维护方面积累了丰富的经验,并以雄厚的技术力量为您提供可靠的支持。
现场服务
l 现场检修
在系统开通后,我公司将继续保证有效的现场技术服务,并向用户提供故障原因和分析报告。
我公司将长期提供现场顾问服务。安排专职工程师长期跟踪此项目,定期拜访用户,及时提供各类技术咨询及相关技术资料,协助用户调测系统运行参数,优化系统资源配置。
l 例行维护
本服务在现场进行,定期维护第一年每季度不得少于三次,其它正常运行期每年不得少于五次。当由于维护不当所造成的故障频率大于定期维护期时,采用不定期维护。
l 热线服务
利用现代通讯手段提供远程咨询,技术协助服务,其通讯手段主要有热线电话、E-mail等。热线电话:0755-88844416-8666;E-mail:wulx@jvshi.com;技术支持QQ: 190701876,或访问巨石网站
www.jvshi.com联系巨石技术服务专员。
热线服务人员不得主动挂断电话,直到用户问题得到解决或解答为止。
热线服务人员应首先予以咨询解答,对不能立即解决的问题在下述情况下,可暂时中断电话,但必须立即予以记录、呈报、跟踪。
用户需要对故障予以进一步判断,暂中断通话,随后热线服务人员必须主动回电话联系,以便确定原因或故障排除或进一步热线帮助。
用户通过咨询已将故障排除,热线服务人员可暂时中断电话。但中断后二十四小时内需再主要确认一次。
热线服务无法解决,热线服务人员应通知用户何时、何人、何种交通方式派人到现场服务或在线支持服务。
热线服务人员在用户许可的情况下,可直接进行远程登录维护。
质保期外服务
我们承诺在质保期外,我们对本项目的产品提供可靠的质量保证、提供终生售后服务,只收维修成本费。我们将提供对软件产品的升级,只收取最低的升级费用。
咨询邮箱:404397954@qq.com 
咨询热线:0755-88844416 
