在當今信息社會中,商業間諜、、不良員工對企業的形成了巨大的威脅。而網絡的普及和USB等接口的大量使用給企業獲取和交換信息帶來巨大方便的同時, 也給這些威脅大開方便之門。員工在上班時經常上網打游戲,使工作效率大大降低。同時也給計算機帶來了病毒、木馬等惡意程序,嚴重威脅了企業網絡的安全。如何來管理這些情況呢?大多數企業是采用拆除光驅軟驅,封掉 USB接口,限制上網等方法來盡可能的減少信息交換,以達到信息安全的目的。但這些方法都嚴重影響工作的方便性,并容易觸發員工的抵觸情緒。大量事實證明傳統的方法效果并不好,重要的文件依舊會被泄漏出去。
我們對中國超過 300 家大型能源化工企業做過調查,發現國內的企業對電子文件幾乎沒有任何保護措施,有保護的不到 3% ,大量機密的核心技術、、重要客戶信息以及財務數據等方面的電子文檔輕易就可以通過電子郵件、即時通訊工具、U盤和移動硬盤等到企業外部。
防火墻、防病毒、入侵檢測、物理隔離這些常見的內網安全措施無法有效阻止企業機密信息的泄露。
需求分析
從我們接觸到的大量信息安全事件來看,大多是內部員工故意或無意中泄露、競爭對手通過各種手段惡意侵占或獵取、計算機被盜或遺失等事件。其中又以內部員工方式嚴重,超過70%的比例,大多發生在有意或即將離職、對公司不忠或有不滿情緒的員工身上。而對公司機密信息的保護有以下需求:
1、確保公司內部協同工作的前提下,有效防止了受控文檔在組織內部任意擴散;
2、防止重要項目小組內、外部接觸受控文檔的人員擅自將文檔的內容泄漏到項目小組以外;
3、管控,防止將解密后的文件交給外部合作單位導致二次。
解決方案
根據企業級用戶的實際需求,研發了以*的PHOENIX加密技術為核心的,集身份認證與權限管理、自動備份、U盤管控、程序控制、日志記錄、截屏監控、遠程通訊等多功能模塊于一體的反商業系統軟件,是解決企業信息安全問題的方案。
事前主動防御:P-EDS反軟件對已有的或正在生成各種格式的技術資料、核心文檔進行加密保護,被加密的文檔只能被用戶在環境(如,企業內部網絡)中應用,文檔在創建、存儲、應用、傳輸等環節中均為加密狀態,未經或脫離環境,加密信息均無法打開使用。
事中有效控制:P-EDS反軟件的加密過程不會因修改程序或進程名,更改保存文件后綴等手段而失效,同時加密文檔的復制/剪切/拖放/粘貼等操作也受到限制,向非加密文件中拖放/拷貝/粘貼的操作將被自動禁止。除此以外,P-EDS反軟件對打印機,U盤等存儲工具,筆記本電腦均有控制措施,并借助分組策略和身份權限的認證管理等技術進行更細化的設置和保護。
事后溯源補缺:P-EDS反軟件提供日志記錄和自動備份功能,前者可以將的操作過程詳細、完整地記錄下來,方便監督檢查和問題溯源;后者可以在文件被有意或無意刪除或損壞時,通過備份資料及時恢復。文件在備份的傳輸、存儲和恢復過程中均以加密形式存在。
主要功能
1、加密保護
內部終端部署系統后,將強制地對需要保護的技術資料、核心文檔進行自動加密。這些文檔只能在內部使用,無論采取什么方式被帶離內部環境以后,該文檔將無法打開。
2、端口控制
防止數據通過各種移動介質:比如U盤、移動硬盤、可刻錄光驅、打印機等。可以實現是否允許接入終端、是否允許讀、寫、打印等操作。
3、 外發文控制
通過外發文件控制軟件,可以對需要向外發送的投標書、技術資料等設置打開權限。外發文件控制軟件還支持打印功能控制,可以對需要在外打印的圖紙或文檔進行有效的管理和控制。
4、
為防止文件被有意或無意刪除或損壞,可以對電腦的文件格式設置自動備份。當該文件有過修改后將會再備份出一個新的文件版本,形成版本庫,可以追溯每次修改的記錄。
5、身份權限管理
P-EDS反系統不是一個單純的,而是將分級管理的思想納入其中,依賴PKI體系,通過書來標明不同的用戶,并將權限信息植于加密文件內部來實現的,與傳統的通過密鑰來分割權限的方式相比具有明顯的優勢,可以實現各種復雜的應用模型。
部署效果
P-EDS反商業軟件系統可以解決文檔數據的保密和安全管理需求,基本阻斷各種渠道。
有關內部文檔數據庫的信息保密
對于存在于各個終端計算機的涉密技術資料、核心文檔等,通過安裝客戶端進行強制性加密保護。實施以后,在同一公司或同一部門內部,文檔可以自由的流通,就如同沒有安裝反軟件一樣。但當文件未經流出公司,文件則變成亂碼。如果文件需要交給客戶或公司外面的人,則需要經過管理人員的批準解密。系統并能與OA、ERP等多種內部管理系統對接,不會影響原有的工作環境。
有關信息傳遞與互換過程中的保密需求
1、由于采取了加密技術,各種網絡傳輸、郵件傳輸如果未經解密操作,發出去的密文是無法打開的;
2、反系統對于密文將自動限制其復制、粘貼、抓屏等行為,也可以對于打印設備進行禁止使用、*使用、記錄打印日志等加以控制;
3、反系統可以設置對各種存儲設備的自動識別與管理,有禁止使用、只讀、自動加密和開放使用等模式;
4、對于需要攜帶涉密技術資料、核心文檔的手提電腦外出的情況,反系統可以提供離線加密和*使用兩種方式加以管理;
5、對于需要發送給客戶使用的涉密技術資料、核心文檔,反系統軟件可以增設限制功能,對文檔的修改、打印及使用時間進行參數設置。
不同崗位之間信息瀏覽和管理限制
1、對于不同部門或小組之間的信息壁壘,反系統可以通過分組策略加以解決;
2、對于不同層級管理人員的文檔管理權限,反系統可以通過分級策略實現上級對下級文檔管理的與審批。
部署模式
在部署棱鏡反系統時,可以只在公司總部設置一臺服務器端,也可以設置多臺服務器端。
如果采用服務器的方式,需要公司內的所有終端在同一內網,或有VPN專線通訊以保證分支機構與總部在一個局域網內。
如果分支機構無法與總部網絡打通,采用在分支機構設置分服務器方式,可以有多種模式:
1、分支機構服務器與總部服務器基本密鑰設置一致,其效果類似于部門之間的關系;
2、分支機構服務器與總部服務器基本密鑰不一致,可以將分支機構信息放入總部服務器中,其效果是分支機構類似總部的一個部門。
