四川省农业机械设计院
苹果发布iOS16.0.3正式版数据防泄密
方案书
厂家名称: 深圳市虹安信息技术有限公司
项目负责:成都易佰科技有限公司
密级:秘密
版本信息:Ver1.0
2011.08

1.第一章 背景介绍    第3
2.第二章 方案目标    第4页
3.第四章 四川省农业机械设计院内网数据泄密风险分析    第5页
4.第四章 解决方案    第6页
5.第五章 系统分析    第8页
6.第六章 技术概述    第9页
  6.1系统简介    第9页
  6.1.4核心技术介绍    第12页
  6.1.5产品技术优势    第14页
李晟京
7.第七章 典型案例    第17页
8.第八章 厂家介绍    第20页
第一章 背景介绍
随着企事业单位全面信息化时代的到来,各单位越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将企事业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,电子文档就成为企事业单位信息的主要存储方式及企事业单位内、外部之间进行信息交换的重要载体。如何保护电子文档的安全问题,作为信息安全领域的一个重要内容,必将越来越受到重视。
近年来,国内设计院所在科技建院、科技兴院和可持续发展的方针指导下,大力推进信息化建设,以信息化带动设计院的现代化,取得了瞩目的成绩。特别在远程异地办公、设计应用软件资产规模、三维设计技术推广应用和协同办公等领域,单位投入了大量的资金,逐步形成了一整套覆盖设计院各个业务和管理领域的信息化基础体系。在此基础上,安全作为信息化建设的重要一环,对于以知识成果为企事业单位重要效益来源的设计院所,尤显重要。
第二章 名牌大学方案目标
为提高设计院内部数据的安全性,实现内部办公文档内容流转安全可控,实现文档脱离设计院管理平台后能有效防止文件的扩散和外泄,需要建立一套完善的文档安全管理系统,即对于设计院内部文档使用范围、用户权限、用户操作、文档流转进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散,又支持内部知识积累和文件共享的目的。内部的数据安全需从以下几方面解决:
1.确保设计院内部与外部之间重要电子文档的畅通、安全的交流;
2.保障各应用、办公系统等数据的存储和使用安全;
3.保障终端数据的离线安全;
4.保障电子文档整个生命周期内,在办公终端、业务系统之间流转的安全;
5.解决与外协人员、合作伙伴等的数据交互安全;
6.保障移动设备、存储介质的数据安全。
第三章 四川省农业机械设计院内网
数据泄密风险分析
3.1泄密分析母亲节哪天
311、设计图纸不可控,内部存在泄密风险
312、移动存贮设备未有效管理,U盘、移动硬盘成最大泄密载体。
313、外发文件未审核,泄密后无法查泄密途径。
314、外发文件不可控,存在设计理念被合作伙伴泄密或剽窃的可能。
315、文件提供给甲方后造成客户资源流失、内部人员私自将文件带走后造成客户流失
泄密分析图
第四章  解决方案
41、采用透明加密技术,可实现驱动级自动加密,不改变使用者任何操作习惯。如图4-1
42、虹安DLP数据防泄密系统,具备完善的外发审批系统,多级审核模式,所有外发审核都由统一路径出去,保证了数据的安全审计。如图4-2
43、强大的外设管理系统,能对移动存贮设备统一注册管理,保证外带的设备丢失后,里面的数据不外泄。如图4-3
44、可制作可控的外发文档,能限制使用者的打开次数、能否复制、能否打印、能否抓屏等细小权限,很好地保护了外发出去的文档安全。
4-1透明加密示意图
4-2  文件外发审请
4-3 外设管理
4-4外发文件制作
第五章  系统分析
  5.1、业务流程图
5.2、系统功能图
第六章 技术概述
6.1、系统简介
6.1.1、概述
深圳虹安DLP数据泄漏防护系统(以下简称:虹安DLP)是深圳虹安信息技术有限公司自主研发,拥有完全自主知识产权的DLP平台产品。它以密码技术为支撑,数据保密为核心,身份认证为基础,信息安全为目标。虹安DLP通过内核级加密技术,整合端点控制技术,有效防止任何状态(使用、传输、存储)的内部资料和智慧资产泄漏。
虹安DLP的内核级加密技术和端点控制技术,能够在数据和文件使用时便对其进行自动加密,确保以任何方式泄漏的数据和文件均是密文,同时能够有效防止数据和文件通过任何非法操作和传输路径(如:截屏和另存、共享和外设、邮件、和移动存储设备)等方式泄漏,助你更好的管理数据存储、使用、传输的生命周期全过程,如图所示:
虹安DLP防护数据存储、使用、传输概念图
部署虹安DLP,使泄密者不合法就进不来,进来了也不到,到了也打不开,打开了也看不懂;没有审核发不出,带走了也没有用,相关操作有记录,出现情况跑不了……
6.1.2、系统架构
虹安DLP数据泄漏防护系统包括服务端和客户端软件(含USBKEY,服务端可以是纯软件,也可以是硬件服务端的设备形式,软件硬件两种形式均支持多台同级服务器分布部署模式,系统整体架构图如下所示:
服务端
虹安DLP数据泄漏防护系统服务端后台管理系统分:证书密钥管理、策略库管理、系统管理、日志记录、外部存储设备管理、用户管理等功能。服务器端通过向客户端下发管理策略,客户端再根据相关策略来执行相应的加密保护动作。可以适应不同企业对不同数据文档的保护。同时也接收客户端上传的操作日志。
虹安DLP服务端功能模块图
服务端控制台基于通过Web方式登陆管理。若放宽登录限制,只要能上网,即可登录服务
端控制台进行配置操作。
客户端
客户端软件运行于需要保护的计算机终端后台,实现策略加密、策略解密、日志管理、数据通讯等功能,并集成文件外发工具。该客户端采用安全的方式接受服务器统一管理,接受服务器下发的策略,并通知相应的功能模块执行策略。客户端软件还要与服务器通讯,上传日志和其他服务器需要的数据,同时客户端提供加解密功能,并通过服务端下发的策略来对不同类型的文件进行加解密。
当受保护的文件需要外发时,可以通过客户端集成的外发工具给管理者审核,审核通过后可以外发。
虹安DLP客户端功能模块图
6.1.3、网络部署图
6.1.4、核心技术介绍
(a)、内核级透明加密
虹安DLP支持目前业界领先的128位、256DES3DESAESRC4加密算法,将底层透明加密驱动嵌入到操作系统内核,对文档有多层保护手段。结合RSA公私钥体系实现密钥安全传输,保证加密强度的同时,兼顾密钥传输安全。相关内核技术主要通过以下三类中的六种内核驱动程序实现:
a.1)应用程序保护
文件过滤驱动,实现进程和文件的透明加密,也可做全盘加密操作,文件产生时即被强制加密,在文件使用(编辑、保存等)过程中进行跟踪加密,以任何方式泄漏出去的文件均为密文。
进程保护驱动,防止进程被恶意终止,欺骗,注入攻击等,同时避免内存直接读取的漏洞。
访问控制驱动,对文件和数据加以权限保护。
(a.2)设备外设保护
设备文件驱动,对移动存储等文件加密,用于密文明文通用设备。
设备磁盘驱动,对移动存储或硬盘等设备全盘加密,用于密文专用设备。
(a.3)网络保护
防火墙驱动,用于控制客户端的网络使用。如:禁止内部连接,禁止外部连接,或是同时禁止内部和外部的连接。
虹安DLP系统通过上述内核技术,从高层用户接口,到底层存储和传输,全部实现加密保护。且所有操作都通过驱动程序来实现,对用户完全透明,不改变用户使用习惯。
(b)、身份认证和密钥管理
身份认证通过USBKey和软证书来进行注册,确保系统用户注册、登陆、注销和回复的全过程安全可靠。
基于PKI/CA标准密钥和数字证书管理体系,银行交易级别的密钥管理,在密钥的产生、存储、分配、使用和销毁的全过程保护密钥安全。
USBkey硬件标识作为密钥证书载体,结合密码认证登录。
双因子认证登录,增强身份认证的可信度,并实现一机多用户情况下权限明晰。
虹安DLP密钥体系图如下:
6.1.5、产品技术优势
(a)、进程学习
文档加密的策略配置过程中,最头痛的就是多个进程识别,如某些文档的编辑软件,主进程运行时还会调用其他的子进程,而这些进程都是看不到的,如果这些子进程没有添加到策略中,则文档无法正常加密保护,甚至运行错误。在虹安DLP中,加入了进程自动学习功能,所以,配置策略时,大部分程序只要把主进程填上即可,在软件运行时,就会把该主进程所调用的子进程都送到内核中,策略就会自动按需要学习到子进程并添加到策略中,而其他不起作用的或导致安全问题的进程则可以过滤。这就使本来复杂专业的策略配置变得相对简单。
b)、全面的客户端保护
数据加密保护系统,经常碰到的问题,就是客户端离线状态下,要么失去保护,要么无法使用。虹安DLP可分别设定在线和离线策略,根据两种不同状态采取针对性控制,既实现保护控制,又不影响工作。
c)、灵活的移动存储管理
对于移动设备的管理,虹安DLP除可控制在线和离线两种状态外,还可以将U盘等移动存储设备设定为内网专用和内外网通用两种不同模式,不会因为加密保护的原因,造成移动设备无法移动的尴尬。
U盘传播病毒的现象常令管理员头痛,轻则破坏好声音第二季收视率U盘内文件,严重的会影响整个内网稳定运行。虹安DLP可控制U盘将病毒带入内网传播,并保护U盘内文件不遭破坏。
d)、多种外设接口控制
虹安DLP可实现所有外设接口处在离线和在线两种不同状态下的权限控制。如:蓝牙、打印机、数码相机、光驱、串口、并口、刻录机、SD卡槽、无线上网卡、U盘、USB无线网卡等等。
(e)、备份服务器
虹安DLP所有的加密操作,都可以配置备份保护,并根据需要配置实时更新,避免重要数
据因系统崩溃、断电等原因损毁。备份服务器可以同DLP服务器集成部署,也可以使用专用文件服务器分别部署,用大容量的文件服务器来满足海量存储需求。
(f)、数据迁移
虹安DLP提供备份和恢复系统数据的功能,在系统升级过程中,能实现不同版本之间的数据迁移。
第七章  典型案例
党政机关
广州市(区)机要局
广州黄埔区城建办
广州黄埔区国资局
中国官阶广州黄埔区委办公室
广州黄埔区纪委
四川省德阳市国土勘测规划所
四川省上的德阳国土资源局
黑龙江省道路运输管理局
金融行业
招商银行
中信银行
移动通信
中兴通讯
河北网通
杭州电意电子有限公司
深圳市时讯迪科技有限公司
深圳市业通达实业有限公司
医药/医疗器械
沈阳三生制药有限责任公司
宁夏泰瑞制药股份有限公司
深圳市博锐德生物科技有限公司
建筑/装饰
深圳市艺鼎装饰设计有限公司
汽车电子
博世汽车检测设备(深圳)有限公司(世界500强企业)
深圳中软创协信息技术有限公司