JSCDG文檔加密培訓簡報(kayden)

1、JSCDG數(shù)據(jù)安全系統(tǒng)方案規(guī)劃JetStorJetStor捷科捷科( (中國中國) )專業(yè)的存儲設計師專業(yè)的存儲設計師KaydenKayden目錄目錄內網信息安全建設內網信息安全建設產品介紹目標客戶群體分析競爭對手分析典型案例企業(yè)信息現(xiàn)狀及面臨的問題政府機關政府機關監(jiān)管機構監(jiān)管機構客戶客戶供應商供應商合作伙伴合作伙伴內部組織、員工內部組織、員工企業(yè)經營活動企業(yè)經營活動泄密、竊密、失密泄密、竊密、失密典型保護藍圖4對外邊界對外邊界內部邊界內部邊界不能輕易拿出；不能輕易拿出；拿走了打不開；拿走了打不開；打開了看不懂；打開了看不懂；只在受控范圍內使用；只在受控范圍內使用；只對授權用戶使用；只對授權用

2、戶使用；不能篡改文檔內容；不能篡改文檔內容；不能隨意打??；不能隨意打??；不能隨意拷貝；不能隨意拷貝；文檔使用審計；文檔使用審計；企業(yè)內網信息安全場景模擬企業(yè)內網信息安全場景模擬企業(yè)可選的幾種典型安全方案企業(yè)可選的幾種典型安全方案先授權后傳播保護方案先授權后傳播保護方案文檔全生命周期保護方案文檔全生命周期保護方案綜合保護方案綜合保護方案主要特點：主要特點：解密或授解密或授權外帶或權外帶或外發(fā)控制外發(fā)控制按文檔類別加密按文檔類別加密文檔創(chuàng)建時自動加密文檔創(chuàng)建時自動加密不區(qū)分密級不區(qū)分密級不細分權限不細分權限在指定計算機上有效在指定計算機上有效文檔全生命周期保護方案文檔全生命周期保護方案( (內核加

3、密方式內核加密方式) )使用使用傳遞傳遞對外交互對外交互跟蹤審計跟蹤審計文檔創(chuàng)建文檔創(chuàng)建指定類別的文指定類別的文檔在創(chuàng)建時自動檔在創(chuàng)建時自動加密，不需手工加密，不需手工操作，強制透明操作，強制透明郵件系統(tǒng)郵件系統(tǒng)文件共享文件共享移動介質移動介質系統(tǒng)下載系統(tǒng)下載認證系統(tǒng)信息認證系統(tǒng)信息或者計算機硬件或者計算機硬件信息信息使用時無權限使用時無權限細分細分專人解密（對專人解密（對公司外部人員）公司外部人員）專人授權外帶專人授權外帶（對公司內出差（對公司內出差人員）人員）可以控制是否可以控制是否離線脫機使用離線脫機使用可以審計到每可以審計到每個文件的使用情個文件的使用情況況 優(yōu)點優(yōu)點 文件創(chuàng)建時就加密

4、，保密徹底文件創(chuàng)建時就加密，保密徹底 部署、實施周期較短部署、實施周期較短 屬于強制加密，不需太多的審屬于強制加密，不需太多的審計環(huán)節(jié)計環(huán)節(jié) 員工透明使用，沒有感覺，不員工透明使用，沒有感覺，不需額外操作需額外操作 缺點缺點 針對所有文檔加密，對外交針對所有文檔加密，對外交互的效率低互的效率低 員工抵觸比較大員工抵觸比較大 有權限使用的人，權限都一有權限使用的人，權限都一樣，不能細分權限樣，不能細分權限 文檔全生命周期保護方案文檔全生命周期保護方案( (內核加密方式內核加密方式) )主要特點：主要特點：還原或授還原或授權外帶或權外帶或外發(fā)控制外發(fā)控制文檔劃分密級等級文檔劃分密級等級對高密級的文

5、檔加密對高密級的文檔加密原始文檔創(chuàng)建時不加密原始文檔創(chuàng)建時不加密文檔傳播時加密和授權文檔傳播時加密和授權可以防止拷貝和拷屏等可以防止拷貝和拷屏等可以細分使用權限，如：可以細分使用權限，如：只讀、只打印等只讀、只打印等先授權后傳播使用方案先授權后傳播使用方案( (文檔權限管理文檔權限管理) )使用使用傳遞傳遞對外交互對外交互跟蹤審計跟蹤審計文檔創(chuàng)建文檔創(chuàng)建加密授權加密授權文檔創(chuàng)建第一文檔創(chuàng)建第一稿不保護、存在稿不保護、存在泄密隱患泄密隱患根據(jù)文檔密級根據(jù)文檔密級劃分確定是否加劃分確定是否加密授權處理密授權處理加密和授權同加密和授權同時進行時進行創(chuàng)建者可能擁創(chuàng)建者可能擁有原始明文文件有原始明文文件

6、郵件系統(tǒng)郵件系統(tǒng)文件共享文件共享移動介質移動介質系統(tǒng)下載系統(tǒng)下載先認證身份和先認證身份和權限權限必須能訪問授必須能訪問授權服務器（在公權服務器（在公司內網或者在外司內網或者在外網通過網通過VPNVPN訪問）訪問）可進行離線外可進行離線外發(fā)綁定發(fā)綁定專人解密（對專人解密（對公司外部人員）公司外部人員）專人授權外帶專人授權外帶（對公司內出差（對公司內出差人員）人員）可以控制有效可以控制有效時間或使用次數(shù)時間或使用次數(shù)可以審計到每可以審計到每個文件的使用情個文件的使用情況況可以審計到每可以審計到每個文件的授權情個文件的授權情況況 優(yōu)點優(yōu)點 針對高密級文檔，不影響針對高密級文檔，不影響其它文檔的使用、

7、傳播的其它文檔的使用、傳播的效率效率 員工主動加密授權，容易員工主動加密授權，容易接受，無反彈接受，無反彈 權限控制精細（只讀、打權限控制精細（只讀、打印、修改等）印、修改等） 缺點缺點 創(chuàng)建時不加密，有一定的創(chuàng)建時不加密，有一定的泄密風險泄密風險 實施、推廣周期較長（必實施、推廣周期較長（必須先做好密級劃分工作，須先做好密級劃分工作，全公司要有統(tǒng)一的身份管全公司要有統(tǒng)一的身份管理，如：統(tǒng)一的理，如：統(tǒng)一的ADAD等）等） 落實效果要靠定期的審計落實效果要靠定期的審計來彌補來彌補 應用范圍具有一定局限性應用范圍具有一定局限性先授權后傳播使用方案先授權后傳播使用方案( (文檔權限管理文檔權限管理

8、) )解密或授解密或授權外帶或權外帶或外發(fā)控制外發(fā)控制文檔權限管理方式文檔權限管理方式內核加密方式內核加密方式授權授權綜合使用方案綜合使用方案使用使用傳遞傳遞對外交互對外交互跟蹤審計跟蹤審計文檔創(chuàng)建文檔創(chuàng)建文檔授權文檔授權指定類型的文指定類型的文檔創(chuàng)建時自動加檔創(chuàng)建時自動加密，不需人為主密，不需人為主動參與動參與文檔傳出核心文檔傳出核心區(qū)時進行二次授區(qū)時進行二次授權加密權加密文檔可以不脫文檔可以不脫離加密狀態(tài)離加密狀態(tài)郵件系統(tǒng)郵件系統(tǒng)文件共享文件共享移動介質移動介質系統(tǒng)下載系統(tǒng)下載先認證身份和先認證身份和權限權限必須能訪問授必須能訪問授權服務器（在公權服務器（在公司內網或者在外司內網或者在外網

9、通過網通過VPNVPN訪問）訪問）專人解密（對專人解密（對公司外部人員）公司外部人員）專人授權外帶專人授權外帶（對公司內出差（對公司內出差人員）人員）可以控制有效可以控制有效時間或使用次數(shù)時間或使用次數(shù)可以審計到每可以審計到每個文件的使用情個文件的使用情況況可以審計到每可以審計到每個文件的授權情個文件的授權情況況 優(yōu)點優(yōu)點 核心區(qū)文檔創(chuàng)建時自動加核心區(qū)文檔創(chuàng)建時自動加密，保證安全密，保證安全 非核心區(qū)按密級加密，對非核心區(qū)按密級加密，對普通文檔傳播、使用效率普通文檔傳播、使用效率影響小影響小 便于先從最核心的文檔開便于先從最核心的文檔開始保護，逐步推廣始保護，逐步推廣 缺點缺點 兩種技術結合，

10、可兩種技術結合，可選產品少，技術難選產品少，技術難度大度大 全面部署周期長全面部署周期長綜合使用方案綜合使用方案核心資源保護必須考慮的關鍵問題核心資源保護必須考慮的關鍵問題業(yè)務效率影響業(yè)務效率影響信息保護信息保護工作效率工作效率設計文檔保護設計文檔保護源代碼保護源代碼保護財務報表保護財務報表保護設計圖紙保護設計圖紙保護專利保護專利保護紙面資料的保護紙面資料的保護電子介質的保護電子介質的保護安全處理，如：加密與解安全處理，如：加密與解密時間與安全性密時間與安全性使用授權復雜難易程度使用授權復雜難易程度傳播方式、安全范圍控制傳播方式、安全范圍控制防止惡意操作控制，如：防止惡意操作控制，如：防拷貝、

11、拷屏、發(fā)送防拷貝、拷屏、發(fā)送與外部交互的安全控制與外部交互的安全控制無感知的自動加解密無感知的自動加解密安全與效率的平衡安全與效率的平衡目錄目錄內網信息安全建設產品介紹產品介紹目標客戶群體分析競爭對手分析典型案例 三個階段：三個階段：“網絡安全網絡安全”、“桌面安全桌面安全”、“信息（數(shù)字資產）安全信息（數(shù)字資產）安全”“網絡安全網絡安全”：防病毒類、防火墻類、IDS（入侵檢測） 主要廠商：主要廠商：賽門鐵克、趨勢、Macfee; 啟明星辰、天融信等“桌面安全桌面安全”：防水墻類、行為監(jiān)控、強審計、垃圾郵件 主要廠商：主要廠商：中軟、北信源、明朝萬達、漢邦、圣博潤“信息安全信息安全”：文檔安全

12、、內容安全、數(shù)據(jù)備份 主要廠商：主要廠商：微軟RMS、Markany、AIRZIP(國外） 億賽通、思智泰克、前沿、大成天下等產品模塊：1.CDG權限控制管理模塊： 一句話描述：文件在流轉的過程中，對不同角色的用戶賦予不同的權限；2.Smartsec智能動態(tài)加解密模塊 對于需要保護的核心電子文檔強制的被動的加密，同時在使用的時候“透明化”無感知的解密，一旦脫離環(huán)境，無法打開或打開后是亂碼形式； 實時權限控制； 支持多種用戶認證管理方式（如AD、ED、NOTES等）； 可以把用戶信息、文件密鑰、權限與指定的臺式機、筆記本電腦和特定的USBkey進行綁定，實現(xiàn)離線瀏覽； 禁止屏幕打印，實時監(jiān)測第三

13、方屏幕打印、錄像等軟件，實現(xiàn)文件內容級安全保護； 用戶可以限制文檔的訪問期限和訪問權限類型（如：只讀、修改、打印、另存、復制等），從而控制對文檔的訪問。 使用時效的控制，對”只讀“文檔的使用次數(shù)、使用時效的管理；對離線使用的文檔的控制； 權限的可回收特性，文檔管理員可實時改變文檔的使用權限，甚至可以回收文檔擁有者的權限； 權限文檔的二次流轉控制再授權； 事后追蹤審計具有權限的人取出文件使用億賽通文檔安全管理系統(tǒng)不能使用文件 在Windows的內核驅動層實現(xiàn)文件動態(tài)自動加密；并支持各種應用程序，在不知不覺中增強安全性，同時不降低工作效率； 不受限制的文件存儲類型； 不改變文件格式，不需要用額外程

14、序打開，不占共享資源，與受控程序協(xié)同工作，不與其它應用程序發(fā)生沖突； 提供多種靈活的動態(tài)加密方案，可以進行文件加密、文件夾加密、本地磁盤加密、移動存儲設備加密和郵件智能加密等； 加密文件可在企業(yè)內自由流轉； 移動PC脫網離線使用控制；筆記本電腦或者移動硬盤等移動存儲介質一旦丟失，其里面的數(shù)據(jù)將會被公開、被竊取，根據(jù)CDG對數(shù)據(jù)信息加密機制，即使失竊或遺失，第三者也無法看到已經被加密的數(shù)據(jù)，不會造成信息泄密?？蛻舳藗€人電腦中的文件密碼化以防止泄漏；移動存儲介質拷貝的文件以加密形式存在防止遺失時泄密；文件傳輸時，均以密文形式傳輸，防止第三方截獲泄密。在企業(yè)內部文件仍然是加密存放的；當需要用通過移動

15、介質與外部交流時，可以設置權限綁定；文件作者A對用戶B加以授權，B將擁有相應打開文件或使用文件的部分權限；用戶B解密文件時，需要進行相應的身份認證和權限認證；沒有得到授權的人員，比如公司外部人員是無法打開和使用文件的。防止內部的員工有意識或無意識的將重要信息帶出向外泄漏，根據(jù)CDG的權限控制機制，對每個用戶的權限設定，控制了對信息的非法帶出泄漏， 高度機密的信息不怕被帶出泄密。對文件拷貝、復制控制；使用FD、MO、USB介質帶出的控制；對文件只讀、打印、保存控制。管理員對每個用戶設定每個文件的使用權限，比如：控制拷貝、打印、保存、另存、閱覽次數(shù)、打印次數(shù)、時間期限等，以及非法取出的防御。防止用

16、戶使用外部存儲介質拷貝、打印、保存重要文件傳播泄密防范離職、辭職人員帶走內部重要信息泄密。對已經授權的用戶進行權限回收，即使文件已經被下載，權限回收后將無法打開文件，防止泄密事件發(fā)生。防止離線泄密，保證離線辦公安全性，在無網絡控制的情況下，仍然對文檔具有絕對控制權。1. 綁定單個文件到鎖或臺式機2. 把用戶的密鑰，權限與指定臺式機，筆記本電腦或鎖進行綁定登陸服務器、下載文件等動作都會被記錄并自動上傳至CDG服務器，即使是管理員，所有的動作也被自動記錄， 臨時的授予權限，下載文件，使用文件，對文件的所有操作等這些動作信息都是要記錄，根據(jù)這些記錄，管理員可以監(jiān)控每個用戶對文件的使用情況。某人在某時

17、登陸訪問了某文件，對文件作的復制、打印、保存等這些信息都可以獲取，在客戶端獲取的日志會自動上傳到CDG服務器上。CDG文檔安全管理系統(tǒng)是一個可控授權的電子文檔安全共享管理系統(tǒng)，采用實時動態(tài)加解密保護技術和實時權限回收機制，提供對各類電子文檔內容級的安全保護，該系統(tǒng)在不改變原文件格式的前提下實現(xiàn)文檔的安全共享，防止用戶通過電子郵件、移動硬盤、優(yōu)盤、軟盤等途徑泄密重要數(shù)據(jù)文件，做到“事前主動防御、事中靈活控制、事后全維追蹤”。 防火墻或專網，可以防止外部人員非法訪問，但不能防止內部人員通過Mail或者U盤將一些敏感文件發(fā)送給其他人。這種二次傳播造成電子文檔泄密。 那么怎樣才能防止電子文檔的傳播泄密

18、呢?這就需要綜合加密技術、權限控制技術、身份認證技術等多種技術對電子文檔進行保護，做到：文檔加密：盜走了 拿走了 沒法用權限控管：誰能看 誰能印 防篡改時間期限：過期了 離職后 不能用 身份認證：你是誰 怎確認 要認證使用追蹤：誰看過 誰印過 有記錄 外發(fā)文件：誰能看 看幾次 看多久 產品資質產品資質目錄目錄內網信息安全建設產品介紹目標客戶群體分析目標客戶群體分析競爭對手分析典型案例政府：中華人民外交部政府：中華人民外交部加密政府部門的機密文件，防止政府的重要信息、政策、制度未發(fā)布而提前泄密；加密預算文件和運行計劃，加密重要的人事記錄，提供受控訪問的電子版證據(jù)。增強法律中的各個環(huán)節(jié)，保證其完整

19、性。手機設計行業(yè)：北京德信無線、上海希姆通集團、上海凱明等手機設計行業(yè)：北京德信無線、上海希姆通集團、上海凱明等大量的源代碼、模型圖紙等，手機設計行業(yè)依靠快速的更新?lián)Q代來維持市場的占有率和利潤率，每一個新的創(chuàng)意都面臨著模仿和竊取，因此保護上述重要資料成為企業(yè)生存的根本。設計院、及設計類企業(yè)：太原規(guī)劃院（局）、安陽城市規(guī)劃院設計院、及設計類企業(yè)：太原規(guī)劃院（局）、安陽城市規(guī)劃院防止將知識產權和商業(yè)機密帶出公司 ；在筆記本電腦和移動設備上保護知識產權和商業(yè)機密 ；加密的招投標文件 ；保密設計信息 。軍隊研究部門：二炮裝備研究院、酒泉衛(wèi)星發(fā)射基地等軍隊研究部門：二炮裝備研究院、酒泉衛(wèi)星發(fā)射基地等加密部隊核心軍事機密文件，加密各類新的武器研發(fā)文檔，加密重要人事記錄等。制造類企業(yè)核心設計研發(fā)部門：北京動力源、深圳大族激光、制造類企業(yè)核心設計研發(fā)部門：北京動力源、深圳大族激光、制造工藝、模具、研發(fā)圖紙、設計研發(fā)文檔等大型企事業(yè)集團：一汽集團、比亞迪（深圳）、大型企事業(yè)集團：一汽集團、比亞迪（深圳）、信息安全等級保護管理辦法和薩班斯-奧克斯利法案的實施，都以法規(guī)的形式敦促企業(yè)加強內部控制，