EDRP产品技术皮书20071218.docVIP

EDRP企业数字版权保护系统 技术白皮书 2007年12月 目 录 1 概述 3 1.1 系统简介 3 1.2 系统组成 4 1) 硬件 4 2) 软件 4 3) 体系结构 4 2 主要功能介绍 5 2.1 安全管理中心 5 2.2 令牌管理中心 6 2.3 U盘管理中心 7 2.4 策略编辑器 8 2.5 策略分配器 9 2.6 策略服务器 12 2.7 文档服务器 13 2.8 客户端 14 3 产品特点 15 3.1 基于PKI技术，双密钥设计 15 3.2 完全透明的过程加密 15 3.3 内核级加密，支持任意格式 16 3.4 复制粘贴拖放拷屏的处理 16 3.5 灵活的组策略 16 3.6 文档集中管理与分散管理 16 4 产品设计思想 17 4.1 目标 17 4.2 实现原理 17 5 系统要求 18 6 关键技术 18 6.1 内容识别，而非扩展识别 18 6.2 不依赖进程名来确定是否受控程序 19 6.3 人性化的复制粘贴拖放截屏控制 19 7 产品优势 19 概述 1.1 系统简介 在当今信息社会中，商业间谍、黑客、不良员工对企业的信息安全形成了巨大的威胁。而网络的普及和USB接口的大量使用给企业获取和交换信息带来巨大方便的同时，也给这些威胁大开方便之门。如何来管理这些情况呢？大多数企业是采用拆除光驱软驱，封掉USB接口。限制上网等方法来尽可能的减少信息交换，以达到信息保密的目的。或者安装一些监控软件。监控员工的日常工作，使其不敢轻举妄动。但这些方法都严重影响工作的方便性，并容易引起员工的抵触情绪，甚至可能会带来法律方面的问题。并且现在大量事实证明这种方法效果不是很好，重要的文件往往依旧会泄漏。2003 年，美国的执法机构FBI和CSI对数百家企业进行了调查。该调查结果认为绝大多数泄密事件是由内部人员所为，或者由内外勾结造成的。IDC 的报告也得出了类似的结论：70%的安全损失是由内部造成的。这些都印证了中国的一句古话 “家贼难防”。由于内部人员熟悉文件的存放，还可以接触到密级高、范围广的文件，所以一旦发生内部人员故意泄密事件，其危害程度是大大超过外部人员的盗取（例如黑客攻击行为）。可见，从数据保密角度来讲，要内外兼防、甚至要防内终于防外。 EDRP企业数字版权保护系统正是为解决这个长期困扰企业的难题而开发的。她集设备控制、文件强制加密等功能于一体，从信息的源头“文件”主动加密来解决。 EDRP采用“强制加密” 技术和“文件数字水印” 技术， 从信息的源头“文件”主动加密来彻底解决文件的泄密问题。其基本的前提和理念是： 所有指定的文件必须都加密保存； 加密文件的使用者感觉不到加密的存在，对用户完全透明； 加密文件的使用者永远不会拿到文件的解密密钥； 加密文件离开网络环境便无法打开。 EDRP可以确保企业的核心竞争力，是企业在信息化道路中的安全哨兵和必备助手。应用EDRP可以实现下列两点基本目标： 切断途径，没法拿：EDRP可以根据需要，可以禁止使用U盘等移动存储设备（其他USB设备不受影响）或设置其为只读模式，切断最主要的泄密途径。对于打印机，也可以设置为禁用模式，当需要打印时，可允许其临时使用多少时间，当时间片用完后将会再次自动禁止。 实时加密，拿了也没用：加密过后的文件在公司内部可以正常流通使用，但未经授权的文件拷贝到外面时将无法正常打开使用。使得人家即使窃得文件，得到的也将是一堆乱码。同时此加密过程为全透明的。用户（即员工）无需也无法干预。也不会对用户的使用习惯有任何改变。 EDRP是一个向整个计算机系统提供安全、便捷、广泛的反商业泄密解决方案的信息安全产品。在任何时间地点安全地保护计算机系统及文件数据不被侵犯，让机密文件得到最周全的保护并无缝地嵌入操作系统实现便捷、透明的安全保护。EDRP的出现，为企业提供一个低应用成本、高可靠反商业泄密解决方案。 1.2 系统组成 硬件 ePass 1000ND电子钥匙。 软件 管理中心、客户端： 管理中心主要模块有：安全管理中心、令牌管理中心、身份卡管理、U盘管理中心、策略编辑器、策略分配器以及策略服务器等。 客户端：强制支持策略，指定类型的文档强制加密，为相关文件提供实时的加解密服务，此客户端不可见，用户不可手动停止及卸载。 体系结构 图1 系统体系机构 主要功能介绍 2.1 安全管理中心 主要功能包括组织机构管理、证书管理、密钥管理、审计管理等。 安全管理中心按企业或组织的机构设置，以树型结构定义局域网内的计算机终端；并按企业或组织的人员设置，为用户分组，并使用户与计算机终端对应；可以对企业或组织内的个人数字证书进行管理，包括导入第三方可信CA分发的