Lidwall技术白皮书.doc_咨信网zixin.com.cn

资源描述

协助你卓越胜出的好伙伴技术白皮书警盾® Lidwall®©数据防泄密系统软件南京蝴蝶科技有限公司 Butterflysoft Co., Ltd 版权声明警盾®Lidwall®数据防泄密系统软件知识产权归南京蝴蝶科技有限公司完全所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于南京蝴蝶科技有限公司。未经南京蝴蝶科技有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。南京蝴蝶科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但南京蝴蝶科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈您可以访问蝴蝶科技网站，获得最新技术和产品信息。公司：南京蝴蝶科技有限公司网址：电话：(025)68599333 传真：(025)68599330 电邮：service@ 目录第1章：概述 3 1.1关于警盾内网防泄密系统 3 1.2数据防泄密 3 第2章：产品技术和特点 4 2.1智能透明加密 4 2.2高效稳定处理性能 5 2.3分权限多策略管理 5 2.3.1密级管理 5 2.3.2客户端管理 7 2.3.3客户端离线 8 2.3.4文件外发 8 2.3.5文件授权 8 2.4多种解密方式，完善的审批流程 8 2.4.1申请解密 9 2.4.2邮件解密 10 2.4.3安全区域解密 12 2.4.4申请打印 13 2.5密文自动备份 13 2.6简易便捷的管理部署 13 2.7多重主动防御泄密 14 2.8多重日志审计 14 2.9全程监控与远程管理 15 第3章：系统部署架构 16 3.1典型部署 16 3.1异地部署 16 3.1.1 VPN方式 16 3.1.2同号加密狗方式 17 3.1.3单机客户端方式 17 第4章：行业解决方案 18 4.1行业应用 18 4.2系统支持类型 18 第5章: 综述 23 第1章：概述 1.1关于警盾内网防泄密系统警盾数据防泄密系统（警盾防泄密系统，以下简称警盾）是南京蝴蝶科技有限公司自行研发的数据防泄密产品。警盾采用国际最先进的Windows底层文件驱动过滤技术，通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。警盾采用透明加解密技术，在不改变企业用户原有工作习惯和工作流程的情况下，对指定的应用程序和指定后缀的文件进行自动加解密处理，不需要人工输入密码加解密。同时，通过灵活的加密策略的配置、分组和分级权限控制，完全达到企业对文件安全性和管理人性化的双重要求。警盾数据防泄密系统围绕加密这个核心，通过各种对防泄密的研究，从外围到深层不断拓展研究，截获、防御各种泄密的方式。蝴蝶坚信，不了解防泄密的最新发展，就谈不上对防泄密的有效防范。为此蝴蝶科技建立了数据防泄密研究小组。通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑。蝴蝶科技在防泄密技术领域的成绩受到了广大客户的认可，得到业界的一致好评，为船舶协会为推荐产品。警盾数据防泄密系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的数据安全产品。 1.2数据防泄密泄密行为包括哪些？什么样的行为可以称为泄密行为？我们来看对泄密行为的标准定义：非法人员是指在非授权的情况下，试图获取企业重要信息、处理信息或散布企业内部机密，达到某种目的的行为。在当今信息社会中，商业间谍、黑客、不良员工对企业的信息安全形成了巨大的威胁。而网络的普及和USB接口的大量使用给企业获取和交换信息带来巨大方便的同时，也给这些威胁大开方便之门。如何来管理这些情况呢？大多数企业是采用拆除光驱软驱，封掉USB接口，限制上网等方法来尽可能的减少信息交换，以达到信息保密的目的。或者安装一些监控软件，监控员工的日常工作，使其不敢轻举妄动。但这些方法都严重影响工作的方便性，并容易引起员工的抵触情绪，甚至可能会带来法律方面的问题。并且现在大量事实证明这种方法效果不是很好，重要的文件往往依旧会泄漏。根本问题是内部机密是如何被泄漏的？我们来分析内部机密是怎么外泄的，从而知道不管什么方法也只有几种途径。切断泄密途径，自然就保密。根本上内部就是内部认识的，公开的就是公司认识的。 2003年，美国的执法机构FBI 和CSI对数百家企业进行了调查。该调查结果认为绝大多数泄密事件是由内部人员所为，或者由内外勾结造成的。IDC 的报告也得出了类似的结论：70%的安全损失是由内部造成的。由于内部人员熟悉文件的存放，还可以接触到密级高、范围广的文件，所以一旦发生内部人员故意泄密事件，其危害程度是大大超过外部人员的盗取（例如黑客攻击行为）。可见，从数据保密角度来讲要内外兼防、甚至要防内终于防外。第2章：产品技术和特点 2.1智能透明加密警盾数据防泄密系统采用驱动级透明加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。不影响使用习惯，不影响业务流程。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。所谓智能，是指警盾数据防泄密系统并不依赖可执行程序的名称来确定是否是受控程序，而是有一套专用智能识别算法。智能识别技术，无论怎么改变程序的名称，甚至用UPX等软件压缩可执行程序来改变MD5值，依旧不会逃过警盾防泄密软件的监测。只要文件的内容是需要受控的话，无论将其保存成为什么扩展名，都将被自动加密。其加密的原理如下图所示： 2.2高效稳定处理性能警盾数据防泄密系统采用256位AES加密算法和加密验证机制，确保加密文件无从破解。 AES算法加密速度可达到几百兆每秒，高于硬盘读写速度。从理论上说，读文件的解密操作与写文件的加密操作是一个流水线的过程，整个过程只增加0.3~8%的开销，用户主观上感觉不到延迟。同时对系统缓存进行了大量的优化，同时采用独有的3层过滤判断的技术，将系统的资源进行了最优化，使加密文件的打开和保存速度大幅度提高。对于网络异常断线，机器异常断电等突发异常，警盾数据防泄密系统可确保文档不被破坏。网络断线时，采用客户端内存数据验证，断线时间可以设定，能够适应任何复杂的网络环境。 2.3分权限多策略管理 2.3.1密级管理警盾数据防泄密系统率先引入了“密级”的概念，根据保密制度和策略，通过部门、密级、文档类型的相关联，细化到各部门加密的不同文件类型，划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。某个组修改加密策略时，设置指定类型文件的加密等级，该组自动加密的文件就带有权限。再对每一个客户端设置访问策略，这样，只能是具有相应访问权限的客户端才能访问该部门的某种权限类型文件。等级一：”开发部（01）” ，”开发部（02）”。在没有授权的情况下。只能浏览本部门的文件。等级二：销售部。只能浏览使用存档文件。等级三：开发部经理，总工程师。有权限修改阅读，开发部文件。等级四：总经理。独立文件权限，可以浏览修改任何部门人员文件。 2.3.2客户端管理客户端分为“联机客户端”、“单机客户端”、“老板客户端”。联机客户端就是部署在网络内部的，与服务器连接通信，获得密钥以加解密数据。通过设置客户端加解密开关，可以对文件进行有选择的加解密。开启加解密时，策略内的公司文件仍然自动加密；关闭加解密时，公司文件就无法打开，同时保证私人的文档不会加密。单机客户端是通过控制台生成，包含加密策略的，可以不连接服务器而实行自动加解密。老板客户端是比较特殊的客户端，在这台客户机上，可以查看加密文件，而不需要加密本机的文件，通过老板客户端打开的文件就成为未加密状态。 2.3.3客户端离线联机客户端“离线”策略，可以用离线包或U_KEY进行验证，管理出差或其他情况需要离开公司网络的电脑。使用U_KEY验证时，加密文件只有在插入U_KEY时才能正常使用，拔下U_KEY就不能打开。 2.3.4文件外发需要外发给客户的文件可以采用单机客户端策略，设置好加密类型之后安装到客户的电脑上，以此保持外发文件的加密状态，并且可以对时间控制，防止客户泄密。 2.3.5文件授权加密后的文件，客户端具有文件授权的功能。对某个组授权，或者对某个客户端授权之后，文件只有创建者本身以及所授权的人才能查看。 2.4多种解密方式，完善的审批流程客户端透明加密或控制台手动加密之后，对于种种需要解密的情况，警盾数据防泄密系统制定了多种灵活的策略，并具有完善的审批流程。 2.4.1申请解密加密的文件，在右键菜单会出现申请解密的选项。可以给管理员发送解密申请消息，管理员视具体情况决定是否进行解密。这里有两种方式：顺序审批和共同审批。顺序审批就是只要某一个管理员同意即可进行文件解密；共同审批就是需要所有管理员都同意才能解密。审批通过后，解密后的文件将传给申请者，此时就可以将未加密的文件进行外发等操作。审批过程都会以日志形式保存。 2.4.2邮件解密通过邮件解密模块或者Outlook客户端，进行邮件外发解密。通过邮件解密功能，成功发送出去就会自动解密。这里有三种控制方式：只验证发件人，只验证收件人和同时验证发件人收件人。 1) 只验证发件人，是指只要发件人在授权列表中，就可以发给任何人以进行解密。 2) 只验证收件人，是指内部任何人发往授权列表中的收件人，文件将解密。 3) 更为严格的方式就是同时验证收发者，两者都在授权列表才能成功发送解密。另外还可以设置备份抄送邮箱，所有通过邮件解密发送出去的邮件同时也发送到该邮箱。这样就能了解有哪些文件通过邮件解密的方式发送出去。并且提供邮件发送审批功能，邮件在经管理员审批通过之后，方可发送出去。 2.4.3安全区域解密在客户端的机器上使用文件夹解密工具（安装时需要对其授权）。通过监视某一个文件夹，向其写入的加密文件将自动解密，变成明文。所有解密过程都有日志保存（包括客户端离线状态，当客户端重新接入公司网络，所有日志将上传至服务器）。 2.4.4申请打印在禁用打印的情况下，可以向管理员申请打印。管理员可以根据文件内容及具体情况，进行审批。审批通过之后，文件会自动推送到打印池，进行打印。所有操作及审批过程都留有日志。 2.5密文自动备份密文自动备份是指当有加密状态文件写入存储介质时，系统会自动地在服务器指定位置自动生成一份文件副本。警盾加密软件备份模块可以备份文件的多个版本。有效的防止误删除，杜绝由于病毒攻击、客户机硬件损坏造成的文件丢失。 2.6简易便捷的管理部署对于使用安全产品的用户而言，简单管理的第一步就是简单的部署方式，警盾数据防泄密加密软件遵循了“简洁”的部署原则。基于这个原则，警盾数据防泄密加密软件可以很容易的接入到用户计算机当中，并且不会对网络拓扑、应用服务、运营性能造成任何影响。用户无需改变操作习惯，只需将客户端透明接入到网络中，便可对数据文件进行加密。系统架构说明： 1) 企业部门内部可以透明地（不需要输入密码）打开加密的文件，进行正常交互。 2) 部门之间有相应权限才能打开加密文件。 3) 通过各种渠道（邮件、U盘、即时通讯工具等）外发的文件如果没有通过正常的流程进行授权解密，接受者将无法打开。 4) 离线计算机仍然可以受到加密控制。 2.7多重主动防御泄密警盾数据防泄密系统能够实现针对光驱、软驱、USB设备进行禁用，以避免员工使用与工作不相关的计算机设备。还实现了只禁用 USB 存储设备，而不禁用 USB 鼠标、键盘等非存储设备的智能识别功能，防止通过这些方式来实现文件防泄密。防止各种移动存储设备、网络、电子邮件、即时通讯工具（MSN、QQ）等方式泄密。蝴蝶科技数据防泄密加密软件能够实现针对指定的程序进行锁定，禁止非授权人员使用指定的程序。比如游戏、播放器、QQ、MSN等，能够规范员工使用程序。 2.8多重日志审计 1. 操作日志审计：能够记录所有文件的解密操作，将记录保存到服务器。 2. 文件审计：监控文件读写，创建、删除、重命名，将记录保存到服务器 3. 打印审计：记录所有打印文档的信息，包括打印的时间，打印的计算机，文档名称，文档内容，打印页数等。增强的日志管理，方便查找，并可以导出为Excel表格。 2.9全程监控与远程管理实时监视员工计算机，并能对其进行控制。时刻监视着局域网内的一举一动，任何对一旦有信息泄漏等不法行为的发生，可以迅速取证、掌握失密内容和泄密途径，追查当事人的责任，防止泄密影响扩大化。管理员根据自己的权限，可以对所管辖的部门客户端机器的文件进行远程备份，远程手工加解密客户端文件。 2.10 FTP文件权限共享服务对于分公司和办事处之间的文件共享，可以控制指定人员人的上传下载权限，在客户端自带发布功能，无需额外操作。规范公司文件共享，保证共享文件安全。 2.11 支持资源管理器全预览加密文件对于已经加密的图形可以预览，方便图形的查看，不改变用户使用习惯. 第3章：系统部署架构 3.1典型部署如下图所示： 3.1异地部署警盾数据防泄密系统提供3种解决方案： 3.1.1 VPN方式 3.1.2 对于分公司有规模较大的网络，采用VPN的部署方式，将各个分公司与总部组成一个虚拟局域网。软件服务端在总部，对本部及分公司进行加解密控制。 3.1.2主服务器子服务器同密钥部署方式多服务端同密钥部署方式同一集团公司如有分公司分厂，为单独网络，如果无法连接服务端。采用主服务器和子服务器的方式，主服务端和子服务器的密钥保持一致，总公司制定好策略，用加密狗的方式下发到分公司的服务端。总部与分公司各自控制加解密，各分公司可自行制定加密策略。总公司和分公司的文件能够相互流通，在企业内部不需要解密! 3.1.3单机客户端方式对于公司在外规模不大的办事处，可简单的采用单机客户端的方式。总部制定好加密策略，通过控制台直接生成单机客户端，下发到各办事处，安装到每台机器上。第4章：行业解决方案 4.1行业应用应用行业警盾数据防泄密加密软件，能够适用于各个有防泄密需求的行业，以下列出一些典型的行业解决方案。行业类型应用软件类型备注办公行业主要使用的是Word、Excel、PPT、Access、viso、WPS，以及OA、行业ERP等针对于OA和行业ERP系统需要提供具体的厂家产品型号制造行业主要应用Office、AutoCAD、Pro/E、CAXA、UG、PROTEL等办公软件以及二维三维设计工具如果有未列出的软件需要提供软件版本 IT行业主要应用OFFICE系列，编程VB、VC、VS.Net、Java、Delphi、PB、PHP、ASP等如果有未列出的软件需要提供软件版本多媒体行业主要是MP3、WAV、rmvb、MPG、Flash、VOD歌库文件等相关视频音频文件如果有未列出的软件需要提供软件版本能源行业主要是OFFICE、PROTEL、CAD二维设计等相关工具如果有未列出的软件需要提供软件版本其他行业行业相关配套软件需要提供程序版本 4.2系统支持类型应用程序版本二维 CAD AutoCAD AutoCAD R14 、AutoCAD 2000 、AutoCAD 2002 、AutoCAD 2004 、AutoCAD 2005 、AutoCAD 2006、AutoCAD 2007、AutoCAD 2008、AutoCAD 2009， AIP10.0、AIP11.0 基于AutoCAD内核天河THPCCAD 、Genius 、宇思CAD 、机械工程师CAD 、艾克斯特设计之星 AutoDesk Mechanical Mechanical 2005 、Mechanical 2005等 CAXA CAXA V2 、CAXA XPr1.1、CAXA XPr2.2、CAXA XP 2004、CAXA 2005、CAXA 2007 开目 KMCAD 开目KMCAD3.1 、KMCAD3.8 、KMCAD2003 、KMCAD2005 、开目尧创CAD 2008 、开目尧创CAD 2009 、开目打印中心、开目转图程序清软英泰 MDS MDS2002 版本等天喻CAD INTECAD 2000等中望 CAD 中望 CAD2005 等浙江大天 CAD 大天 GS-ZDDS 7.0和8.0等大恒 CAD 大恒 CAD6.0 及其以上版本北京凯思博宏 CAD PICAD2004 、2005 等版本三维 CAD Pro/E Pro/E 2000i2 、Pro/E 2001 、Pro/E Wildfire 1.0 、Pro/E Wildfire 2.0 、Pro/E Wildfire 3.0 等 Solid Works Solid Works 2004、2005、2006、2007、2008等版本 Solid Edge V16、V17 等版本 CATIA CATIA V5R14、V5R15、V5R16等 UG UG NX1.0、UG NX 2.0、UG NX 3.0 等 I-DEAS I-deas 10.0、I-deas 11.0等 AutoDesk Inventor Inventor Professional 8.0、9.0、11.0等 CAXA CAXA 实体设计 XP 等版本 CAM/CAE 软件 MasterCAM MasterCAM V9.x Cimatron Cimatron it12、Cimatron 5.0、Cimatron E6.0等 Ansys Ansys7.0、Ansys8.0、Ansys9.0、Ansys10.0及以上版本 GTI Gtpost、Muffler、Vtdesign、Discretizer、Gtise等 Altair HyperWorks Altair HyperWorks8.0等 Fluent（流体分析） Fluent 6.3.26等 Tecplot Tecplot 10等 Abaqus CAE Abaqus CAE等 Gambit Gambit 2.2.30等 Sysnoise Sysnoise等 MSC.Patran MSC.Patran 2005 r3等 MSC.Nastran MSC.Nastran 2005.5.0 MSC.Flds MSC.Flds 2005 r3 逆向设计软件系列 Imageware Imageware系列 Surfacer Surfacer系列 Gemagic Studio Gemagic Studio系列 Vpstudio Vpstudio系列电路设计类 Protel Protel 99se 、 Protel 2004等 Mentor Mentor2001 、 Mentor2004等 Cadence Allegro Expert 、Concept HDL等编程开发类 Visual Basic Microsoft Visual Studio 6.0 、Microsoft Visual Studio .NET 2003 、Microsoft Visual Studio 2005 、Microsoft Visual Studio 2008 Visual C++ Microsoft Visual Studio 6.0 、Microsoft Visual Studio .NET 2003 、Microsoft Visual Studio 2005 、Microsoft Visual Studio 2008 C# Microsoft Visual Studio 6.0 、Microsoft Visual Studio .NET 2003 、Microsoft Visual Studio 2005 、Microsoft Visual Studio 2008 Delphi Delphi 6.0 、Delphi 7.0 、Delphi 8.0 、Delphi 2005 、Delphi 2006 、Delphi 2007 C++ Builder C++ Builder 5.0 、C++ Builder 6.0 Power Builder PowerBuilder 9.0 、PowerBuilder 10.0 Keil Keil uVision2 、Keil uVision3 CodeWright CodeWright 6.0 、CodeWright 7.5 图像处理类 Photoshop Photoshop V7.0 及其以上版本 CorelDraw CorelDraw V8.0 及其以上版本 ACDSee ACDSee 7.0 、ACDSee 8.0 、ACDSee 9.0 、ACDSee 10.0等 ImageReady ImageReady系列 Lscape 室内效果渲染软件Lscape系列 Illustrator Illustrator系列 Ciema 4D Ciema 4D软件系列 3Dmax 3Dmax V6 、V7 、V8等 CAPP软件开目 CAPP KMCAPP 6.0 、KMCAPP 2004 大恒CAPP 大恒CAPP系列 CAXA 工艺图表 CAXA V2 、CAXA XP 2004 、CAXA 2005 工艺图表迈特迈特PDM/CAPP PDM系列法国达索公司 Smarteam 开目 PDM KMPDM3.x PTC Windchill 大恒PDM 大恒PDM系统迈特迈特PDM 思普 SIPM/PDM 艾克斯特 PDM XTPDM ERP系统易飞易飞ERP系列金蝶金蝶K3 ERP系统速达速达3000、速达5000、速达7000等浏览器类 Voloview 艾克斯特开发的 Autodesk DWF Viewer Autodesk DWF Viewer(Autocad) Autovue Autovue Professional V17.0、V18.0及19.0等 Cadthumb Cadthumb PTC ProductView Express 办公软件类 Microsoft Word Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 Microsoft Excel Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 Microsoft PowerPoint Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 Microsoft VISO Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 Microsoft PROJECT Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 Microsoft ACCESS Microsoft Office 2000 、Microsoft Office XP 、Microsoft Office 2003 、Microsoft Office 2007 MindManager MindManager系列 WPS WINWPS WPS 2003 、2005 、2007 WPS ET WPS 2003 、2005 、2007 WPS WINAPP WPS 2003 、2005 、2007 Adobe Acrobat 系列 Adobe Reader 、Adobe Acrobat professional 6.0/7.0/8.0/9.0 PDF Factory PDF Factory V3 以上第5章: 综述传统的防泄密，物理隔离：拆除光驱软驱、塞住USB端口、机箱上封条、内外网断开等，此方法简单易行，给员工的工作带来严重的影响，并且其效果差强人意，并且未能从泄密根源解决泄密问题。警盾数据防泄密系统给了您一个最佳的选择：主动防泄密+主动阻止+监控防御。对于网络应用越来越广泛的今天，各种类型的防泄密行为层出不穷，警盾数据防泄密系统这种一站式安全防护产品，必将在确保业务系统的连续运行和安全性方面起到重要的、不可替代的作用。 - 22 -

展开阅读全文