内网文件安全管理方案.doc

内网文件安全管理方案 项目背景 企业内网中，由于机密信息分散存储在企业内网中的各类终端中，这样机密信息在企业内网中就无处不在。如何管理企业内网中的文件本身的安全、又能够使文件能够在内网中共享授权使用，成为企业面临的一大难题。 虽然，企业中的信息安全管理者们已经意识到对企业中文件等数字机密信息安全管理对企业自身的重要性，但单纯的使用管理制度难以实现对企业内部信息全面和有力的保护。如何结合企业的现有管理制度和技术手段，实现企业文件等数字信息的安全，将是目前有信息安全需求的企业迫切需要解决的问题。 企业在日常的业务沟通过程中，通常会通过如电子邮件、及时通讯工具、网络上的BBS、演示文稿、电子表格等文档的形式来共享机密数据，这种信息的公开性本身就给数据的攻破造成了巨大的威胁，但是公司宝贵的信息又不能被封锁或破坏。 大多的安全系统，像防火墙、访问控制、网关过滤等技术能够准许或拒绝访问，但他们对可访问的用户都不能提供精细的颗粒度的策略权限，从而限定哪些机密信息能够使用，哪些不能够使用，因此，这种静态的“提供全部或零权限的”工具已经不能满足当今企业，动态的业务需求。 大多的文件安全系统，无法提供与实际企业管理流程相一致的管理制度，单纯的实现文件安全，已经无法适应企业的安全需求。如何能够真正从企业文件安全管理出发，从企业文件安全管理者的角度考虑，并能够承载企业文件管理流程的思想，通过企业安全系统的部署，最终保障企业的文件安全管理，并在最大程度为企业创造价值，同时使企业的文件安全得以不断地提高。 一般的文件安全系统在对文件加密安全保护的过程中，一旦系统出了故障，或者文件被损坏，无法实现对文件的安全备份和恢复。 对于机密性很高的文件信息，如果能够全程跟踪该文件的操作记录，实现对机密文件的安全保护，一旦出现机密文件的泄漏，能够审计到是由哪个环节造成的泄漏。 二、项目建设的目的及意义 安秉网盾数据防泄密软件将事前防御、事中控制、事后审计理念作为体系实现原则，不改变终端用户的操作习惯提高体系可用性；将电子文档传递过程关键环节至于管理之下加强体系完整性；采用加密技术手段控制信息内容扩散保障体系保密性；建立应用系统的安全加固方法完善体系兼容性；通过全方位的安全防护实现企业信息数据安全。 防止员工在工作过程中对电脑的无意识操作或有意识操作，致使公司重要资料如Office文档，CAD、Photoshop、3DMAX、UG、Pro/E、CAXA、CATIA等外泄； 防止人员在离职时把公司的核心图纸和技术文档复制带走，然后到竞争对手公司任职或通过不正当的行为成为对手的参考资料； 防止公司因业务需要把核心设计图纸和技术文档外发给协作厂商，容易造成再次扩散，致使设计图纸和技术文档流转到市场每个角落； 防止出差人员因工作需要，把核心图纸和技术文档带出公司，怎么样在不影响人员工作同时，保证其安全性； 防止人员误操作或自然灾害导致设计图纸和技术文档损坏，可以还原这些文档； 有效支持终端离线安全办公； 有效防止终端丢失、维修、盗用时带来的泄密隐患； 三、软件工作流程 n? ?? ??软件设计 安秉网盾企业级数据防泄密解决方案的总体设计充分考虑了企业各种不同的实际需求和安全策略，并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想，使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。 安全性原则：安秉网盾数据防泄密软件采用256位AES加密算法和加密验证机制，确保加密文件无从破解。 稳定性原则：AES算法加密速度可达到几百兆每秒，高于硬盘读写速度。从理论上说，读文件的解密操作与写文件的加密操作是一个流水线的过程，整个过程只增加0.3~8%的开销，用户主观上感觉不到延迟，对大文件的支持很完美。 可维护性原则：产品基于企业的管理流程，支持管理流程的灵活定制，能够对不同的业务系统与模块进行整合，统一管理、调度。 可扩展性原则：如果公司以后有其他核心数据需要保护，我们只需要对服务端配置文件进行升级，客户端无需任何操作，就可以对后期扩展的核心数据进行保护。 可管理性原则：对于一个承载了很多需求，跨越多个部门的安全系统来说，系统是否容易管理是非常重要的。 易用性原则：操作简单，零管理、客户端无需任何操作，产品支持复杂网络应用环境，与主流杀毒软件无冲突，支持域模式的管理方式。 可靠性原则：30万终端的客户使用，使得安秉信息成为可信赖的厂商。 n? ?? ??软件工作流程图  四、需求解决方法 n? ?? ??透明加密技术 ?? ?? ???对于某类受控制的应用程序保存的文件，在从内存写入硬盘前，都将自动进行加密。 ?? ?? ???对于使用受控制应用程序打开的文件，读入内存前，首先进行身份