加密实施方案.docxVIP

精品文档 加密实施方案 数据保密需求 传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏以及对 病毒的防范，对于企业网络内部的信息泄漏，却没有引起足够的重视。内部信息的泄漏包； 如内部人员泄密、 其他未授权人员直接接入内部网络导致的泄密。 显然， 对于企业内部的信 息泄密，传统手段显然无法起到有效的预防和控制作用。 美新微纳收购美国 XbowWSN业务后，大量的核心源代码、设计图纸、电路原理图以 及算法都是公司的重要信息资产， 必须需要严格的管理和控制。 同时新开发项目的核心信息 的安全管理都是企业安全管理工作的重要内容。 以下方案是通过数据加密的方法对公司的核 心机密信息进行安全保护。 数据加密办法 一、 信息加密系统数据管理办法 系统分为三层架构，服务器、管理机、客户机组成。 加密系统架构示意图 服务器 服务器主要功能： 管理根密钥。 服务端管理加密狗中的根密钥信息， 以此产生全球唯一的密钥， 并分发给各个管理端，客户端用以解密文件； 自动升级功能， 通过服务端可以导入最新的升级包， 通过自动下发策略可以实现自动升级加密环境； ? 注册、管理管理端， 企业中所有的管理机需要在服务端进行注册并分配权限； 注册 管理机、加密管理机器； 监控管理机的工作状态，汇总管理机的工作日志，可以随时调用查看； . 精品文档 备份、恢复数据库功能， 提供手动进行数据库备份，恢复功能，一旦服务器出现故障可以随时恢复保证运行不影响工作； 配置管理机的脱机策略。 服务器具有设置管理机的脱机时间功能， 在设置了脱机时间后，管理机和服务器未连接的状态下，管理机能正常运行的时间限制； 设置卸载码。 设置客户端、 管理机卸载时的授权码， 如果授权码不能正确即使有安装程序也无法卸载程序。 自定义密钥。客户可自行设置私有密钥，增加安全性。 备用服务器。提供主服务器无法正常工作的应急机制，可保证系统的正常工作 管理机 管理机主要功能 客户机注册管理。企业中所有客户机需要统一在管理机上进行注册，方能运行； 解密文件并记录日志， 根据服务器的授权， 管理机可以解密权限范围内的加密文件，与此同时记录下来解密文件的日志信息； 管理客户机策略。 系统内置约 300 类常用软件加密策略； 是否允许用户脱机使用及脱机使用时间； ? 是否允许用户进行打印操作，并可对使用的打印机类型进行控制 (主要用于控 制各类虚拟打印机 )； 是否允许用户进行拷屏操作； 是否允许用户进行复制涉密文件内容操作； 是否允许用户执行 OLE插入涉密文件对象操作； 是否允许用户进行涉密文件的FTP操作。 是否允许客户机加密文件图标显示， 该功能可以在客户端把加密文件， 明文文件用不同的图标显示。 ? 密级管理。 可将公司内部根据需要划分不同密级， 每个密级相互之间能否打开是可 设定的，这样可实现密级管理。如企业共划分三个密级；普通（密级 1）部门经理 （密级 2）总经理（密级 3）密级高用户可以打开密级低的用户所做的涉密文件，密级低的用户打不开密级高的用户所涉密文件，以保证普通涉密文件交流无障碍，而高级别涉密文件则处于更加严密的保护中。 域集成功能。系统可集成公司的AD 域，可把 AD 域的相关信息（用户，计算机等 组织机构）导入到系统，公司可统一对AD 域进行管理，同时通过域集成功能，管 理机可以针对计算机或域用户设置不同的客户端策略。并可针对加密文件授权给不 同的用户使用。 ? 组织机构管理。 系统可根据实际的企业组织机构进行对用户及计算机的划分， 并可以设置对应的管理人员，同时分配相应的管理权限。 角色管理。 可针对管理人员的角色不同， 设置不同的权限。 管理人员的使用权限包括：解密、注册客户机、 角色管理、 定义策略模版、 管理同级用户、 管理下级用户、定义下级组织机构及日志审计等权限。 ? 策略模版。系统提供了丰富的安全策略，可通过策略模板对这些 安全策略进行组 合自定义。定义好的策略模板可以直接应用到部门。 部门内的计算机或者用户将 自动继承策略模板的策略。 ? 日志审计。系统会详细记录系统使用的各类日志，并进行汇总。 通过日志审计能 够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。 . 精品文档 客户机 客户端在管理人员的授权下，可在三种安全桌面策略下进行工作： 强制加密桌面模式 、 手动加密桌面模式 及个人桌面模式 强制加密桌面模式 下的客户端没有界面， 即对用户透明， 不需要对终端用户进行任 何操作培训。大大简化了文件加密的过程。因为用户不需要考虑： ? 哪些文件需要加密。 每个客户端的加密策略由企业根据需要统一制定， 客户端 没有选择的机会，只有被动的执行； ? 不需要记忆密钥。每个客户端的拥有哪些解密密钥也是由服务器 统一制定下 发的。 ? 不需