典型透明加密--技术解决方案
希拓加密产品技术白皮书
技术白皮书希拓数据防泄密系统KDS金盾卫士V6.0南京希拓科技有限公司Nanjing Hitop Technology Co.,Ltd版权声明南京希拓科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于南京希拓科技有限公司。
未经南京希拓科技有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
南京希拓科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但南京希拓科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈您可以访问希拓科技网站,获得最新技术和产品信息。
目录第1章:概述 (3)1.1关于金盾卫士 (3)1.2数据防泄密 (3)第2章:产品技术和特点 (4)2.1智能透明加密 (4)2.2高效稳定处理性能 (5)2.3分权限多策略管理 (5)2.3.1密级管理 (5)2.3.2客户端管理 (8)2.3.3客户端离线 (9)2.3.4文件外发 (9)2.3.5文件授权 (9)2.4多种解密方式,完善的审批流程 (9)2.4.1申请解密 (10)2.4.2邮件解密 (11)2.4.3安全区域解密 (12)2.4.4申请打印 (13)2.5密文自动备份 (13)2.6简易便捷的管理部署 (13)2.7多重主动防御泄密 (14)2.8多重日志审计 (15)2.9全程监控与远程管理 (16)第3章:系统部署架构 (16)3.1典型部署 (16)3.1异地部署 (17)3.1.1VPN方式 (17)3.1.2同号加密狗方式 (17)3.1.3单机客户端方式 (18)第4章:行业解决方案 (18)4.1行业应用 (18)4.2系统支持类型 (19)第5章:综述 (23)第1章:概述1.1关于金盾卫士希拓数据防泄密系统(金盾卫士加密软件,以下简称金盾卫士)是希拓科技有限公司自行研发的数据防泄密产品。
使用MySQL实现数据的透明加密和解密
使用MySQL实现数据的透明加密和解密引言:随着信息技术的快速发展,数据在我们的社会生活中扮演着至关重要的角色。
然而,随之而来的数据泄露和黑客攻击事件频频发生,给人们的隐私带来了严重的威胁。
因此,数据的安全性成为了一个迫切需要解决的问题。
在这篇文章中,我们将探讨如何使用MySQL实现数据的透明加密和解密,以提高数据的安全性。
一、理解数据加密和解密的概念1.1 数据加密的概念数据加密是一种通过使用密钥将原始数据转换为无法被他人理解的密文的过程。
在加密过程中,原始数据会被加密算法处理,从而生成一串乱码。
只有持有正确密钥的人才能够将密文解密回原始的明文。
1.2 数据解密的概念数据解密是一种使用正确的密钥对密文进行逆向操作,将密文还原为原始的明文的过程。
解密过程需要使用与加密过程相同的密钥来解析密文的算法,从而还原出明文数据。
二、MySQL数据加密的实现方式2.1 对称加密算法对称加密算法是一类使用相同密钥进行加密和解密的算法。
在MySQL中,可以使用AES函数实现对称加密。
AES函数接受两个参数:明文数据和密钥。
它会将明文数据使用密钥进行加密,并返回加密后的密文。
2.2 非对称加密算法非对称加密算法使用一对密钥(公钥和私钥)来进行加密和解密。
公钥用于加密数据,私钥用于解密数据。
在MySQL中,可以使用RSA函数实现非对称加密。
RSA函数接受两个参数:明文数据和公钥。
它将明文数据使用公钥进行加密,并返回加密后的密文。
2.3 迁移现有数据在使用MySQL实现数据加密之前,我们需要考虑如何迁移现有的数据。
一种方式是使用脚本逐条地读取数据库中的数据,并使用加密函数对其进行加密。
另一种方式是使用存储过程批量对数据进行加密。
根据实际情况选择合适的方式进行数据迁移,确保数据的安全性。
三、MySQL数据解密的实现方式3.1 对称解密算法对称解密算法与对称加密算法的操作过程相反。
在MySQL中,可以使用AES函数的逆函数AES_DECRYPT来对加密后的数据进行解密。
透明加密技术研究
0引 言
近年米 ,信息技术迅猛 发展,越 来越多的信息和资料 以数字形式 存放 在硬 盘等数 字存储 设备中,并且随着信息共享技术 的 突破 ,通过移动存储设 备、网络 等介质交换数据越来 越方便,但 同时,核心数 据的控制和管 理也越来越难 ,如何保证核心数据
不泄露逐渐成为了信息安全 的热点问题 。为此,很多单位采取 r“ 完全封 『式的管理” 堵塞或拆除计算机 的 U B接 口,禁止 l 才 J 、“ S
10 5 , ia . el n tmai oktt n 8 in 0 0 2 C ia 0 8 8 Chn , B ia Auo t nW rsai , e ig10 4 , hn ) 3 i o o j
Absr c :Atp e e t hec r t r t cin a d m a a e e sf cn ta t r s n ,t o edaa p o e to n n g m nti a ig mor n ea d mor e iuss c rt e s ro e u iy rs ik,i h i o peai g s se swi l s d i h ewo k e v r m e t t eta p rn n r p in a nt e W nd wso r tn y tm i dey u e n te n t r n ion n , h rns a e te c y to sa a d W ido p r tn y tm sc o ey r ltd t t r t cin tc noo y a eti rcia l e n n wso e ai g s se i l s l eae o daap o e to e h lg ,h sa c ran p a tc lvau .Th e ta p rn n r to e h lg r n l e ,itod c d s v rlc mm o a p rnt n r to y tc n l g , rns ae te cypi ntc noo y aea ayz d nr u e e e a o nt ns a e cyp inke e h o o y r e t i ap ra ayz sis p i i e, tf r ad t e u r m e s o h e lpm e fta p r nte cr ton h sp e n l e t rncpl pu o w r he r q ie nt ft e d veo nto r ns a e n yp i t c no o y e h l g .Fial t e atce p t o wa d ta s rn ncy i n tc n og e e r h h sye o bef t ri — nl y, h ril u sf r r r n pae te r pto e h ol y r s ac a tt urhe n d p h iss f t ndr l b ly aet ef th ra g e t , t aey a ei ii r ob ur e rume tto e s e tve a t n ain p rp ci . K e o d :ta p rnt n r to if r ain s c i fl rd i r yw r s rns a e cyp in;n o m to e urt i t rve e y; e
基于Windows系统透明加密解技术的设计与实现.doc
基于Windows系统透明加密解技术的设计与实现作者:宋雪莲来源:《信息安全与技术》2013年第07期【摘要】随着信息时代的到来,信息安全问题越来越引起人们的重视。
除了要抵御来自外界的攻击和破坏,还要防止来自内部的有意或无意的信息泄漏。
为解决日益突出的信息安全问题。
本文在分析Windows平台下几种文件透明加密技术的基础上,设计并实现了一种基于文件过滤驱动技术文件透明加密系统。
【关键词】信息安全;透明加解密;过滤驱动1 引言随着计算机的普及和企事业单位信息化应用的深入,电子文档成为企业信息交换的重要载体。
但是由于其容易被复制、修改和传播等特点,可能会面临着巨大的安全风险。
因此很多公司在办公室电脑上封闭USB口来防止员工将重要文件拷贝出去,还有的禁止办公电脑接入互联网。
这些做法在一定程度上降低了内部泄密风险,但也给日常化办公带来了很大的不便。
如何在网络办公带来高效便捷的同时,又保护了数据信息的安全,在此种情况下一种全新的电子文档安全技术应运而生,即透明加解密技术。
2 透明加密相关技术透明加密技术是与操作系统紧密结合的一种技术,工作于操作系统底层。
通过监控应用程序对文件的操作,在读写文件时进行相应的加解密操作,从而达到有效保护文件的目的。
透明加密技术分为用户级的HOOK技术与内核级的WDM(Windows Driver Model)内核设备驱动两种方式。
HOOK透明加密技术,即俗称的“钩子”,主要通过HOOK API的方式来实现。
HOOK API 的基本原理就是修改一些API的入口地址,使所有对这些API的调用都先跳转到事先定义的函数中去,因此,通过HOOK一些常用的文件访问函数就可以事先捕获文件的读写操作从而完成加解密操作。
驱动加密技术是基于Windows文件系统(过滤)驱动(IFS)技术,工作在操作系统的内核层。
其实现方式主要是当应用程序对目标文件进行操作时,文件系统驱动会监控到应用程序的操作请求,并改变其操作方式,从而达到透明加密的效果。
数据库加密技术保护敏感数据的安全
数据库加密技术保护敏感数据的安全随着信息技术的快速发展,数据库成为了组织和企业存储和管理大量数据的最主要手段之一。
然而,随之而来的安全威胁也日益增多,涉及到敏感数据的泄露、篡改以及未经授权的访问,都给企业和用户带来了巨大的风险和损失。
为了解决这个问题,数据库加密技术应运而生。
数据库加密是一种将敏感数据通过加密算法转化为密文,以确保数据在存储和传输过程中不被非法获取或篡改的技术。
下面将介绍几种常见的数据库加密技术,它们为保护数据库中的敏感数据提供了有效的安全保障。
一、透明数据加密(TDE)透明数据加密是一种在数据库引擎层面实现的加密技术。
通过对数据库中的数据进行透明加密和解密操作,使得在应用程序层面对数据库进行访问时,不需要对加密和解密进行额外的处理。
TDE技术通过在数据库文件级别上进行加密,确保了数据库中的所有数据都得到了保护。
二、字段级加密字段级加密是一种在数据库中对敏感字段进行加密的技术。
通过在表结构中将敏感字段指定为加密字段,数据库在存储和查询数据时会自动对这些字段进行加密和解密操作,从而保证数据的安全性。
字段级加密通常可以细粒度地控制哪些字段需要进行加密,方便数据库管理员根据需求进行灵活配置。
三、传输层加密(SSL/TLS)传输层加密是一种在数据库与应用程序之间通过安全传输协议(如SSL/TLS)建立安全连接的技术。
通过在数据传输的过程中对数据进行加密,可以有效防止数据在传输过程中被窃取或篡改。
传输层加密是一种有效的保护机制,尤其适用于需要通过公共网络进行数据传输的场景。
四、密钥管理密钥是数据库加密技术中至关重要的一环。
良好的密钥管理可以确保加密算法的安全性。
传统的密钥管理方式包括手动进行密钥生成和分发,但由于其高复杂性和易受攻击的特点,越来越多的系统采用密钥管理系统(KMS)来实现密钥的自动化和集中式管理。
除了上述常见的数据库加密技术外,还有一些其他补充措施可以加强数据库的安全性。
例如,完善的访问控制机制可以限制不同用户对敏感数据的访问权限;安全审计功能可以对数据库的操作进行记录和监控,及时发现异常行为;定期进行漏洞扫描和安全评估,及时修补系统漏洞。
android移动终端文件透明加密技术设计与实现
android移动终端文件透明加密技术设计与实现Android文件透明加密技术设计与实现为了保护Android 移动终端上的重要数据免遭窃取和泄露,提出了一种文件级的透明加密技术方案。
该方案采用文件系统的修改机制,使用户在写入新文件时自动调用文件系统提供的加密/解密函数对新文件的内容进行加解密操作,而不需要用户手动处理文件的加密解密操作。
为了实现Android移动终端上的文件透明加密,首先需要修改Android文件系统,增加相应的加密/解密函数,并以此为基础实现文件存储后的自动加解密操作。
当用户在Android移动终端上写入新文件时,应先调用文件系统提供的加密函数对新文件的内容进行加密,而不是直接将新文件存储到硬盘。
在加密后,文件的内容将由原来的明文变为加密之后的密文,然后将加密的文件存储到硬盘上。
此外,当用户打开文件时,文件系统也应自动调用解密函数对文件的内容进行解密,才能使文件文件恢复到原来的明文格式。
另外,文件加密技术还必须考虑文件访问权限、密钥管理等方面的问题。
当用户发起一次文件访问请求时,Android文件系统应先检查用户的访问权限,如果用户拥有足够的访问权限,Android文件系统才会调用解密函数对文件内容进行解密,然后才会返回文件的内容给用户。
此外,为了保护文件的安全,Android系统还需要考虑密钥管理的问题,即在加密/解密操作时,必须保证只有拥有足够权限的用户才能获得正确的密钥信息,并用该密钥信息完成加解密操作。
总之,实现Android移动终端上的文件透明加密技术应把文件系统的修改视为最基础的技术,并在此基础上加入文件访问的权限管理和密钥管理等功能,最终达到真正实现文件透明加密的目的。
实现Android移动终端上文件透明加密技术,可以有效确保文件安全,防止文件被窃取或泄露,满足用户对文件安全的要求。
但是,由于文件数量可能会大量增加,密钥管理会变得更加复杂,而且其实现技术也是一个比较复杂的系统,也许将会遇到新的挑战。
数据加密解决方案
数据加密解决方案
一、引言
在信息技术迅猛发展的时代背景下,数据安全成为企业、组织及个人关注的焦点。为保障数据在存储、传输、处理等环节的安全,降低数据泄露、篡改等风险,制定一套详细的数据加密解决方案至关重要。本方案旨在提供一套科学、合规的数据加密策略,确保数据安全。
二、目标
1.确保数据在传输、存储、处理过程中的安全性,防止数据泄露、篡改等风险。
2.数据传输加密
(1)采用SSL/TLS协议,对传输数据进行加密,确保数据在公网传输过程中的安全。
(2)针对关键业务数据,实施二次加密,提高数据安全性。
(3)定期评估传输加密性能,确保加密强度与实际需求相匹配。
3.数据存储加密
(1)使用AES算法对存储数据进行加密,保障数据在存储设备上的安全。
(2)根据数据密级,实施差异化加密策略,确保不同密级数据的安全。
(3)定期更换存储设备加密密钥,降低密钥泄露风险。
4.数据处理加密
(1)使用AES算法对数据处理过程中的敏感数据进行加密。
(2)对数据处理过程中的临时数据进行加密,防止数据泄露。
(3)加强对数据处理环节的监控,确保数据处理安全。
5.密钥管理
(1)建立完善的密钥管理制度,规范密钥的生成、分发、存储、使用和销毁等环节。
2.实施过程中,对关键环节进行严格监控,确保方案的有效性。
3.完成实施后,进行加密性能测试,确保系统稳定性和安全性。
4.组织专家对实施效果进行评估,确保方案达到预期目标。
5.根据验收结果,对方案进行调整优化,确保数据安全。
五、维护与更新
1.定期对加密系统进行维护,确保系统稳定运行。
2.关注国内外加密技术发展动态,及时更新加密算法和方案。
防火墙透明模式典型配置举例
2006-01-21
版权所有,侵权必究
第i页
防火墙透明模式特性典型配置指导
正文
关键词:透明模式(transparent-mode)
以太网帧头过滤(ethernet-frame-filter)
TCP代理(tcp-proxy)
摘 要:本文简单描述防火墙透明模式的特点,详细描述了防火墙透明模式的配置方法,以及在 透明模式下几个典型模块的应用配置,给出了防火墙透明模式基本配置方案
配置防火墙允许通过的报 文类型
3.2.2 配置以太网帧头过滤规则
以太网帧头过滤规则主要配置如下:
1) 配置访问控制列表4000~4999
2) 配置过滤规则
3) 在接口应用以太网帧头过滤规则
操作视图
操作命令
操作说明
系统视图 [Quidway]acl number acl-number
创建acl规则
[Quidway-acl-ethernetframe-4000] rule [ rule-id ] { deny | ACL视图 permit } [ type type-code type-mask | lsap lsap-code lsap-mask ] 增加过滤规则
配置透明模式系统地址
系统视图 [Quidway]firewall arp-learning enable
配置防火墙arp学习功能
系统视图 [Quidway]firewall transparent-mode aging-time seconds
配置mac表项老化时间
系统视图
[Quidway]firewall transparent-mode transmit {ipx|dlsw|bpdu}
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某某公司文档透明加密系统解决方案二〇〇九年十月目录2 业务解决方案 (7)2.1文档安全保护体系在企业活动中的作用 (7)2.2文档安全保护体系管理架构 (8)2.3体系及文档处理流程 (9)2.4文档管控流程 (9)2.5技术支撑流程 (10)3 技术解决方案 (11)3.1文档加密保护技术综述 (11)3.2技术平台解决方案 (11)3.2.1动态加解密解决方案 (12)3.2.2移动办公解决方案 (13)3.2.3对外业务支持解决方案 (14)3.2.4网络单点故障解决方案 (14)4 产品要求 (15)4.1产品主要功能要求 (15)4.1.1系统加密功能 (15)4.1.2该系统对文档的保护应涵盖所有介质 (15)4.1.4完善的日志审计功能 (15)4.1.5客户端管理 (15)4.1.6完善的离线管理功能 (16)4.1.7系统灾难应急措施 (16)4.2产品详细功能要求描述 (16)4.2.1动态加解密 (16)4.2.2文件格式支持要求 (16)4.2.3禁止屏幕打印功能 (17)4.2.4不受限制的文件存储方式 (17)4.2.5PC绑定及USB锁绑定实现离线浏览 (18)4.2.6系统审计日志管理 (19)4.2.7更多文件保护功能 (20)4.3 方案基本运行环境 (21)1需求概述Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。
目前,各企业都拥有自己的品牌或各自的业务范围,都利用信息化手段进行高效管理。
随着计算机、互联网的广泛应用,信息的交流和共享已经成为各企业自身发展必要的手段。
企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。
俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
企业内部竞争性情报类型主要有:⏹企业的机密技术文件、产品研发资料⏹设计图稿⏹会计账目、财务报表资料⏹战略计划书⏹外购竞标信息和供应链合作伙伴信息⏹重要研究成果⏹研究论文⏹市场营销策划资料⏹其他:如董事会、投融资等方面管理类资料,客户资料大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。
但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
1.明文保存目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。
如果不加密,则进行再多的防范都是不可靠的,同样会泄密。
现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
表1.1 泄密方式2.粗放的权限控制在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以下分类:表1.2 权限类型及在不受控情况下产生的危害只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
3. 拥有时间无期限拥有时间无期限指的是资料递交给接授方后,接授方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:⏹当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用;⏹与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目。
4. 不可靠的身份认证机制身份认证是指计算机及网络系统确认操作者身份的过程。
计算机和计算机网络组成了一个虚拟的数字世界。
在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。
在网络环境中,辨认网络另一端的身份就是一个复杂的问题。
身份认证有三个层次:一种为证明你知道什么——即现在广泛的用户名/密码方式;其二为证明你拥有什么——即给你一个独一无二的设备,如印章,每次需要出示才能确定你的身份;最后一种为证明你是什么——即通过生物技术,如指纹、面貌等确定。
目前,身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。
用户名/密码方式:简单易行,保护非关键性的系统,通常用容易被猜测的字符串作为密码,容易造成密码泄漏;由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
是极不安全的身份认证方式;⏹IC卡认证:简单易行,很容易被内存扫描或网络监听等黑客技术窃取;⏹动态口令:一次一密,安全性较高,但使用烦琐,有可能造成新的安全漏洞;⏹生物特征认证:安全性最高,但技术不成熟,准确性和稳定性有待提高;⏹USB Key认证:安全可靠,成本低廉但依赖硬件的安全性。
5. 使用追踪无保障如果出现了泄密事故,那么我们关心的就是损失有多大,有哪些人参与,由于哪些操作导致泄密,需要追查事故责任人。
而现在,由于没有采用有效的手段,只能通过人工方式调查取证,使得追查周期过长,损失加大,追查到真相的几率极低。
我们也不知道哪些人关注过哪些信息,某些信息被哪些人关注过,不能及时查出泄密的渠道,不能在第一时间估算出泄密所带来的损失。
2业务解决方案2.1文档安全保护体系在企业活动中的作用行政办公文档、经营文档、技术文档三类文档在企业运作活动中密不可分又相对独立。
如:研发类的技术文档希望在技术体系内部使用,不能轻易流转到行政管理部门,而企业经营文档,特别是一些敏感的经营信息,只能在受控的少数经营部门,如:财务、总办等部门使用。
文档如何在本体系内充分共享,支撑业务活动,同时又受控地流转到其它部门,是文档安全保护需要重点解决的问题。
另外,任何企业和外部有千丝万缕的联系,如:行政监管部门、客户、供应商等,如何能将相关地文档和外部合作伙伴交换,同时保证其安全性,也是文档安全管理要解决的问题。
在行政办公文档、经营文档、技术文档相关的体系内部,文档的安全保护也必须考虑文档的日常使用和流转、文档管理规范的遵守和落实、文档保护相关的技术手段等方面的统一协调,达到安全和效率的平衡,即对文档进行适当的保护又不影响企业正常的业务运作。
达到这一定,必须充分考虑文档操作流程、文档管控措施、文档保护技术手段的要求,使三者有机地融合在一起。
下图为文档安全保护体系在企业活动中的作用和地位示意图:2.2文档安全保护体系管理架构文档安全保护体系要根据行政办公文档、经营文档、技术文档三大类文档的业务运作特点、以及其中企业运作中的重要程度,设计自身保护的体系架构。
同时,也要充分考虑这三类文档之间的交互和保护,以及企业各类文档和外部的交互和保护。
这样才能达到文档保护体系与企业业务运作相统一,为企业运作保驾护航的目标。
下图为企业内部三类文档之间交互和保护及企业内外文档交互和保护示意图:文档安全保护体系的架构以每个系统的文件流转和保护为核心,同时考虑三类文档的互通与保护,以及三类文档对外的互通与保护。
下图为每类文档保护都需要考虑的管理架构。
2.3体系及文档处理流程体系及文档处理流程是文档日常处理和操作的相关流程,保证文档在加密保护的基础上有效运作,达到安全与效率平衡的目标。
主要有文档建立、文档使用、文档管理、体系维护、特殊业务、紧急响应等主流程,每个主要流程有下级的子流程支撑、如下图:2.4文档管控流程文档管控流程主要是审计和考核方面的流程,保证文档安全管理体系能有效地落实。
文档管控流程主要有考核流程、配置审计流程、授权审计、异常审计等主流程,每个主流程下有相应的子流程支撑。
如下图:2.5技术支撑流程技术支撑流程是文档安全保护工具的日常管理、维护方面的流程,是文档安全管理体系的基础。
技术支撑流程主要有系统平台维护、技术平台维护、配置管理、客户端维护等流程。
如下图:3技术解决方案3.1文档加密保护技术综述智能动态加解密技术动态加解密技术是在文件存取时截获磁盘I/O请求,对文档进行加密、解密处理,这样的技术靠判断文件类别来决定是否加密,要么对某种类别的文档都加密,要么都不加密。
其主要优点是文件加密、解密透明,使用者不需做额外的操作,同时,部署和内部使用也灵活方便。
目前该加密技术采用对称式RC4算法实现。
混合加密技术混合加密技术是同时具备动态加解密和权限控制的加密技术,通过策略的控制实现动态加解密或权限控制的目的,它同时具备了动态加解密和权限控制两类加密的优点。
3.3.2技术平台解决方案公司的行政办公文档、经营文档、技术文档需根据文档的敏感程度、使用及发布范围等因素综合考虑,设计成动态加解密模式加授权管理模式,特殊的终端还可采用磁盘加密模式。
不同的职能部门侧重不同的加密模式,不同的模式达到的安全保护效果不同,文档加密保护后的流转方式也不同,对业务文档使用效率的影响也不同。
深入调研和咨询公司的文档管理需求,制定符合各职能部门运作的加密模式是文档安全管理的重要环节。
下面将描述动态加解密解决方案和权限管理解决方案的效果和使用情况。
动态加解密解决方案动态加解密解决方案适合文档较敏感,需要全生命周期保护,对外交互相对较少的文档的加密保护。
其业务流程如下图:动态加解密的区域划分原则按照人员分组和文件种类两个原则处理,先根据业务人员所从事的业务的敏感程度和文档对外交互的频度,确定是否划分到动态加解密区域,然后根据其所处理的文档类型确定哪些文档需要启用动态加解密策略。
动态加解密区域中文件类型的加密保护过程如下:1. 文件保存时自动加密,同时支持文档自动全盘初始化加密2. 加密的文件在同一动态加解密区域内可以不受限制使用,文件流转到此动态加解密区域外,将无法使用3. 加密的文件如果要给区域外部人员使用,必须通过有解密权限的人员专岗解密或文件加密外发4. 动态加解密区域的人员也可对加密的文档进行主动授权给权限区用户使用,这些操作将被系统记录和审计5. 动态加解密区域员工出差时,将通过终端脱机管理控制进行离线办公移动办公解决方案对于移动办公用户或者小的分支机构人员,使用加密文档时可以通过外网经过适当的认证和授权访问文档加密服务器,保证移动办公人员可以正常使用加密文件。