亿赛通文档安全管理系统DLP-CDG3.0产品技术白皮书
亿赛通文档加密系统
文档编号:归档人:归档时间:文档安全管理系统产品介绍北京亿赛通科技发展有限责任公司项目管理中心二〇一一年六月文档说明文档属性文档历史目录1.产品介绍 (4)1.1.设计原则 (4)1.2.遵循标准 (4)1.3.系统特点 (4)1.3.1.三权分离 (4)1.3.2.管理分级 (4)1.3.3.部署分级 (5)2.资质证明 (6)3.功能特性 (8)1.1.智能透明加密 (8)1.2.内容安全防护 (8)1.3.细粒度权限控制 (8)1.4.流程审核及代办通知 (8)1.5.安全浮水印支持 (8)1.6.开放式策略库 (8)1.7.统一身份认证集成 (9)1.8.离线办公支撑 (9)1.9.工作模式切换 (9)1.10.详尽日志审计 (9)1.11.其他靓点功能 (9)4.应用效果 (10)5.产品规格 (11)6.应用范围 (13)1.产品介绍亿赛通文档安全管理系统(简称:DLP-CDG),是国内最早的可为企业核心电子数据资产提供全方位内容安全防护的信息安全防护系统。
DLP-CDG以数据加密技术为核心,通过将技术平台与管理体系有效结合,实现对用户核心信息资产的全方位保护;通过建立信息安全边界,降低核心信息资产如源代码、设计图纸、财务数据、经营分析以及其他任意信息资产的有意或无意泄密风险;配合完善的信息安全咨询服务,通过对企业的业务梳理和流程建立,保障企业核心业务正常运转的同时,不过多影响用户工作习惯及业务效率。
1.1.设计原则♦将事前防御、事中控制、事后审计理念作为系统实现原则;♦致力于不过多改变终端用户的操作习惯来提高系统可用性;♦引入核心数据全生命周期安全管理来加强组织体系管理完整性;♦采用信息加密技术手段控制信息内容扩散保障资产保密性;♦建立与核心应用系统安全集成加固方法完善体系兼容性。
1.2.遵循标准♦BS7799(ISO/IEC17799):即国际信息安全管理标准体系(ISO 17799/BS 7799 Information Security Certification)1.3.系统特点1.3.1.三权分离DLP-CDG实现对系统管理、文档管理和日志管理权限及职责的有效分离,在保障体系协同运转的同时实现管理制约及监督。
亿赛通文档安全管理系统解决方案介绍
通用文档管理系统与亿赛通CDG文档安全管理系统比较(一) 通常电子文档使用管理现状
具有权限的人取出文件
使用亿赛通文档安全管理系统
不能使用文件
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
通用文档管理系统与亿赛通CDG文档安全管理系统比较(二) 通常加密类电子文档使用现状
加密
解密密钥 公司重要文档.doc@ 解密后的文档
可以自由使用保存 重要文档.doc
使用亿赛通文档安全管理系统
根据不同权限的密钥 用户解密后对文件有不同 具有权限设定的密钥 解密后的文档
的使用权限,比如:只能 “阅读,复制”不能“保存,打印”
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
•成立实施团队 •依据实施范围 •依据实施风险 •培训计划
•现场硬件/软件 环境复杂度 •工作模式复杂 度 •其他因素(项 目)
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
项目实施团队
项目指导委员会
主 任:(客户方项目总负责) 副主任:(原厂方项目总负责、 易聆科项目总负责)
实施规模、范围及策略
实施周期
制度保障
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
典型案例 --- 晨讯集团
服务器 (CC/VSS/SubVersion)
Check Out 提交前
ห้องสมุดไป่ตู้
亿赛通数据泄漏防护(DLP)整体解决方案V1.2
•信息系统权限管理不当导致的 越权访问泄密 •基于信息系统安全缺陷导致的越 权访问泄密 •基于网络传输安全缺陷导致的恶 意渗透泄密 •基于管理监督漏洞导致的信息 泄密
•明文信息具备易复制、易传播 及不可完全监管的特性 •存储有核心明文信息的介质和 载体丢失、维修时极易被非法 访问、复制和传播 •分散存储的明文信息不易管控, 存在极易泄密的安全隐患 •集中存储的明文信息一旦存在 管理漏洞将导致巨大损失
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
信息现状
信息现状 人 途径 信息
•内部员工安全意识不足无意泄密 •内部员工受商业贿赂有意泄密 •文档权限划分不清晰导致越权泄密 •重要资料保管不当导致泄密 •离职员工携带历史资料泄密 •商业间谍、病毒、黑客木马等恶意 破坏及窃密等.
目 录 亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 DLP核心技术概述 典型案例简介
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
DLP产品优势 DLP产品优势
• • • • • • • • 支撑基于身份体系的多点登录认证 支持基于无盘工作站、瘦客户机模式部署 支持对跨平台业务环境提供安全解决方案(Windows Linux)
三角形底边中任何一点的失控将导 致三角体的崩溃 信息安全是通过对信息运用全过程 的控制来实现
数据泄漏防护是提供数据全生 命周期保护的信息安全新方案
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
基于数据生命周期保护的安全需求
概念设计 开发实现 文档 生成 信息 产生 文档 存储 文档 管理 文件 失效 文档 流转 文档 使用 文档 销毁 特殊 使用
亿赛通产品线介绍
1.文档安全管理系统CDG——核心信息防泄露防扩散CDG是针对组织内部各业务部门差异化的安全管理需求,通过强制加密与主动加密授权相结合的方式,保护文档全生命周期安全,实现重要信息安全流转,防止重要信息泄露和扩散的综合解决方案。
功能特点灵活的加密方式针对不同用户,可配置强制加密策略,也可配置主动加密策略,还可采取主动加密与强制加密相结合策略。
科学的人员管理基于企业组织结构,通过本地认证或与AD域、ED域结合的统一身份认证等方式,建立人员管理的树型结构。
灵活的角色管理自主定义多种角色,并赋予不同的权限,模块化角色管理。
全面的文档控制可对文档进行“权限归档”、“权限冻结”、“权限解冻”、“权限下载”、“权限转移”、“权限收回”和“生成离线权限文件”等操作。
高效的流程控制在线完成各类业务流程审批,包括文档解密、终端离线、客户端卸载、文档权限变更和邮件解密申请等。
强大的策略配置策略配置包括智能动态加解密、打印、脱机、终端安全强度、磁盘初始化、文件自动备份和邮件白名单等策略。
实时的业务通报业务审批结果通过终端冒泡提醒。
细粒度权限设置文档权限细分为阅读、修改、复制、打印、阅读次数、阅读时间和打印水印。
严密的终端控制采用离线安全控制、离线补时、在线使用和内容安全等多项措施保证终端安全。
多样化日志审计详细记载服务器端和客户端日志,所有操作日志报表在线审计并可自动导出。
容灾管理采用文档自动备份和数据库容灾管理技术,确保业务连续性。
2.文档透明加密系统SmartSec——核心信息防外泄SmartSec是对任意指定类型文档进行强制、实时、透明加解密,兼具强大的安全性和易用性,防止核心信息外泄的强制加密软件产品。
功能特性智能透明加密系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
同时,系统还具备严格的进程签名机制,能够准确识别未经授权的非法进程,大大降低了数据泄露的风险。
亿赛通数据防泄漏DLP系统系列终端安全防护系统AniSec产重点
按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6 北京亿赛通科技发展有限责任公司 2010 年 8 月亿赛通科技 ANISEC 产品白皮书 V1.6 版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产品白皮书。
文中的资料、说明等相关内容归北京亿赛通科技发展有限责任公司所有。
本文中的任何部分未经北京亿赛通科技发展有限责任公司(以下简称“亿赛通” )许可,不得转印、影印或复印。
支持信息感谢您关注亿赛通数据泄露防护产品!公司地址:北京市海淀区上地信息路 10 号南天大厦 2 层邮编:100085 亿赛通客服中心:电话:400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以及产品的报价等信息,请您查阅我公司网站: 亿赛通科技北京亿赛通科技发展有限责任公司亿赛通科技 ANISEC 产品白皮书 V1.6 目录第 1 章亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块) .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管理.......................................................................................................... 4 第 4 章 AniSEC 主要功能 ........................................................................................... 5 4.1 硬盘全盘数据保护.......................................................................................... 5 4.2 系统启动认证.................................................................................................. 5 4.3 强大注册表保护措施...................................................................................... 5 4.4 端口控制.......................................................................................................... 5 4.5 光盘安全刻录.................................................................................................. 5 4.6 应急恢复系统.................................................................................................. 5 亿赛通科技北京亿赛通科技发展有限责任公司亿赛通科技 ANISEC 产品白皮书 V1.6 第 1 章亿赛通数据防泄露 DLP 系统简介亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系以数据加密为核心,秉承 "事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏的安全目标。
亿赛通磁盘全盘加密系统技术白皮书
亿赛通科技
终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、 存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露; 网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通 过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露; 存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全, 防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法 泄露。
按需构建·安全可控
亿赛通数据防泄露 DLP 系统系列
磁盘全盘加密系统 DiskSEC 产品白皮书
北京亿赛通科技发展有限责任公司 2010 年 8 月
亿赛通科技
版权声明
DiskSEC 产品白皮书 V1.0
支持信息
本文的内容是亿赛通数据防泄漏 DLP 系统系列 DiskSec 产 品白皮书。文中的资料、说明等相关内容归北京亿赛通科技 发展有限责任公司所有。本文中的任何部分未经北京亿赛通 科技发展有限责任公司(以下简称“亿赛通”)许可,不得 转印、影印或复印。
公司电话:+86 1051282080 公司传真:+86 1051282080-1008 I
目录
第 1 章 亿赛通数据防泄漏 DLP 简介 ........................................................................1 第 2 章 DiskSEC 产品简介..........................................................................................2
2.2 产品应用需求
亿赛通数据泄漏防护(DLP)方案交流
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
产品原理
亿赛通DLP体系以“驱动层智能动态加 解密技术”为基础,采用对应客户需求的 安全策略,以透明加密为核心,结合身份 认证、日志审计、文档外发控制、设备安 全管理、磁盘全盘加密、流程审批、权限 管理等功能,建立起完善的体系。在系统 自身的安全性方面,还采用系统容灭、文 档备份,确保系统可靠、安全的运行。DLP 体系对数据安全进行全方位、多角度、全 生命周期的保护,彻底实现数据保护的完 整性、保持性和安全性。
系统集成
统无缝结合,不影响应用系统自身的运作和使用;
• 应用系统中的数据,在使用时能够受到保护,防止非法用户将核心数据 导出泄密。
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
目录 亿赛通简介 通用需求分析 技术解决方案
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
DLP产品线综述
亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系采用分域安全理论,将网 络分为终端、端口、磁盘、服务器和局域网五大安全域,并以笔记本电脑、移动存储设备、数 据库为安全域特例,针对各个安全域及特例实施相应安全策略,形成终端文档加解密、端口管 理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品,在确保网络各 个节点数据安全的基础上,构建整体一致的立体化DLP解决方案。
亿赛通文档安全管理系统
杨洋 2011103358 档案管理亿赛通数据防泄露系统系列文档安全管理系统北京亿赛通科技发展有限责任公司成立于2003年,是国内最具实力的、拥有完全自主知识产权的终端安全产品、文档安全产品、网络数据安全产品、涉密安全产品与数据泄露防护()解决方案的综合提供商。
亿赛通总部位于北京中关村科技园,是“国家高新技术企业”、“双软认证企业”。
目前,公司在全国各省市自治区设立分支机构,构建了全国十大区、近三十个省市的营销与服务网络,拥有覆盖全国的渠道和售后服务体系。
亿赛通致力于文档加密、内容安全、数据泄露防护相关技术的研究和开发,基于客户需求,持续创新,推出中国首款文档安全管理系统,前瞻性推出全球首个文档加解密网关,引领内容安全、数据泄露防护()解决方案的新时代。
凭借多年来的潜心研发,拥有最高级别的涉及国家秘密数据安全的各类资质,荣获部级科技进步奖等多项荣誉,在标准制定、重大专项等方面同政府部门、国内顶级院校积极配合,与国内外顶级厂商长期保持战略合作关系,尤其是与芯片级的合作产品已投放市场,在机防丢失市场空间巨大;公司全力打造“内容安全”“数据泄露防护()解决方案”知名品牌“亿赛通”。
亿赛通数据泄露防护产品在国家级、世界级重大会议安全保障体系中做出贡献,为2010年上海世博会、2010广州亚运会等国际大型活动提供文档安全产品及服务。
亿赛通数据泄露防护( )体系以数据加密为核心,秉承 "事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏的安全目标。
体系从终端(数据源头)、网络(数据通路)和存储(存储状态)三个层次入手,安全管控核心数据的形成、存储、使用、传输、归档及销毁全生命周期,结合企业组织特有的业务需求、业务模式和管理文化,为企业组织提供完整的数据泄漏防护解决方案。
其主要功能为:保障终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露;保障网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露;保障存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全,防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法泄露。
亿赛通数据泄漏防护(DLP)整体解决方案V12
目录
亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 产品线及核心技术 典型案例简介
亿赛通发展历程
作为数据泄露防护领域的领跑者,亿赛通自成立以来,专注于数据加密产品的研究、开发和生 产,保持着技术、品牌和市场的领先位置
信息定义
传统信息 公开信息
信息
*本方案以机密电子信息保护为目标 电子信息
机密信息
非结构化
结构化
文档管控
依据信息的机密性,采用一定的管理和技 术手段控制其传播和使用的方法
文档管理
使原来非结构化的信息结构化的一种方法
名词解释
结构化信息:具备固定的形式,可拆分成多个相互关联的组成部分,且有明确层次结构的,其使用和维护 通过数据库进行管理的信息。它具备集中性和关联性的特点。 非结构化信息:形式相对不固定的,常常以各种格式的文档存在的信息,如电子资料、图片等。它具备分 散性和无关联性的特点。
合作伙伴
三大产品系列24个产品模块
• 终端数据安全类产品 • 网络数据安全类产品 • 存储数据安全类产品
资质认证
目录
亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 产品线及核心技术 典型案例简介
信息泄密事件
信息安全事件
Event
“档次”最高的失窃案—— 约克郡主笔记本失窃案
信息现状
人
•内部员工安全意识不足无意泄密 •内部员工受商业贿赂有意泄密 •文档权限划分不清晰导致越权泄密 •重要资料保管不当导致泄密 •离职员工携带历史资料泄密 •商业间谍、病毒、黑客木马等恶意 破坏及窃密等.
信息现状 途径
信息
•信息系统权限管理不当导致的 越权访问泄密 •基于信息系统安全缺陷导致的越 权访问泄密 •基于网络传输安全缺陷导致的恶 意渗透泄密 •基于管理监督漏洞导致的信息 泄密
亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书
![亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书](https://img.taocdn.com/s3/m/d80e5ad676a20029bd642d96.png)
2. 设计理念
核心信息的加密保护,已经成为企业信息资产保护的一个必要手段。为了配 合企业人性化管理的特点,亿赛通公司贯彻先进的设计理念,结合丰富的实施经 验,并吸收广大客户建议,设计出符合企业安全现状和发展需要的数据防泄露解 决方案-亿赛通智能动态加解密系统 V3.0(简称 SmartSecV3.0)。 2.1. 事前主动防御 企业对于信息资产的保护,传统保护模式均为被动式防御:出现泄密事件后 才引起信息资产的保护重视,紧急调整管理制度并采用硬屏蔽手段来约束泄 密 再 次发生,无法快 速锁定泄密对象和途径 来降低泄密损失。亿赛通 SmartSecV3.0 将打破传统的保护思路,采用对企业信息资产主动设防的理 念,一旦设定保护策略,将对核心信息进行全生命周期强制加密保护,有效 规避员工由于有意识或无意识导致的信息泄密,让企业变被动为主动。 2.2. 事中灵活控制 亿赛通 SmartSecV3.0 拥有强大的策略设定平台和密钥定制平台, 能够根据企 业各种复杂应用和业务需求定制出个性化的管理策略,并通过管理策略的调
图 2 亿赛通 SmartSecV3.0 动态加解密的实现 4.2. 连接支持 亿赛通 SmartSecV3.0 系统服务器端与客户端间采用 IP 可达的连接原则,可 以适用于各种网络环境,在确保不改变企业内部网络构造的基础上,满足企业的 不同的连接需求。亿赛通 SmartSecV3.0 能够在包括域结构、内部专线、VPN、 拨号连接、Internet、VLAN 以及各种内部隔离网络间进行部署和正常连接,如 图 3 所示:
ESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accordance with applicable agreements.
亿赛通电子安全管理系统V客户端使用手册V
文档类型:文档编号:亿赛通电子文档安全管理系统客户端使用手册北京亿赛通科技发展有限责任公司2016年1月目录引言编写目的本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日志管理、终端管理、后台配置等CDG系统各个模块的业务操作。
本手册的使用对象:公司技术支持部、销售部、市场部、测试部和使用(CDG)系统产品的客户。
系统背景系统名称及版本号:亿赛通电子文档安全管理系统;任务提出者:北京亿赛通科技发展有限责任公司;任务承接者及实施者:北京亿赛通科技发展有限责任公司;系统使用者:使用亿赛通电子文档安全管理系统产品的用户;术语定义CDG:CobraDocumentGuard,文档安全防护。
参考资料编写本手册时参考的文档如下:《亿赛通电子文档安全管理系统_需求规格说明书》《亿赛通电子文档安全管理系统_概要设计规格说明书》《亿赛通电子文档安全管理系统_详细设计规格说明书》《亿赛通电子文档安全管理系统_技术白皮书》版权声明本手册以及所提及的数据、图标、名称等信息,所有权皆属于亿赛通公司所有。
未得到亿赛通公司的正式许可,任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。
本手册中的内容,亿赛通科技发展有限责任公司拥有最终解释权。
最终用户许可协议本许可协议是您与北京亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。
在使用本软件前,您必须同意以下条款和条件以及所附文档中的所有其他条款和条件。
如果您不同意此处包含的条款和条件,请不要进行安装或使用。
“亿赛通软件产品”包括计算机软件、光盘、相关的使用说明性材料、电子文档。
您如果安装、复制、或以其他方式使用“亿赛通软件产品”,就表示您同意接受本协议各项条款的约束。
授权许可亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可,软件程序以及附件文档是亿赛通公司的专有产品,受版权法和现行适用法律的保护。
您仅拥有该软件产品的使用权,并不拥有软件本身,亿赛通公司是软件本身的拥有者,并保留这种独家所有权,受中华人民共和国着作权法及国际着作权条约和中国其他知识产权法和其他国际知识产权条约的保护。
亿赛通内网数据泄露防护产品测试方案(DLP-CDG)
亿赛通内网数据泄露防护产品测试方案二〇一〇年九月版本历史版本日期备注1.0 2010年9月25日第1版《山东省联通-亿赛通内网数据泄露防护产品测试方案》目录1适用范围 (2)2参考资料 (2)3系统简介 (2)3.1DLP-CDG系统简介 (2)4环境准备 (3)4.1系统环境 (3)4.2环境拓扑 (3)5测试计划 (4)6测试用例 (5)6.1场景1:用户认证与帐号管理 (5)6.2场景2:文档透明加密保护 (7)6.3场景3:内容安全控制 (9)6.4场景4:流程化支撑 (13)6.5场景5:例外需求处理 (16)6.6场景6:DLP终端安全防护 (18)6.7场景7:系统日志审计 (20)6.8场景8:系统兼容 (21)6.9场景9:文档主动授权控制 (22)6.10场景10:文档权限细粒化控制 (24)6.11场景11:权限文件流程支持 (28)7主要功能点 (29)7.1手动授权加密 (29)7.2权限细粒化控制 (30)7.3权限的集中管控 (32)7.4外发安全管理 (32)1 适用范围内网数据泄露防护项目。
该测试方案主要用于指导山东省联通用户针对亿赛通DLP系统测试(本方案主要参考亿赛通DLP体系CDG产品模块,满足山东省联通客户涉密环境数据加密需求,也可对通用办公文档的权限控制需求进行测试)。
根据事先交流给定的需求、性能等要求,从测试组成员和用户的角度对系统进行测试,主要包含如下功能:⏹DLP-CDG(透明加解密模块)功能认证与帐号管理、策略管理、文档加密保护、内容安全、流程支撑、例外处理、系统兼容、日志审计、系统集成、自我防护等;⏹DLP-DRM(权限管理模块)功能集中管理、权限控制、日志审计等;⏹DLP-ODM(外发管理系统)功能权限控制、系统兼容、日志审计;2 参考资料《亿赛通DLP-CDG产品技术白皮书》《亿赛通DLP-CDG产品使用手册》3 系统简介3.1 DLP-CDG系统简介亿赛通数据泄露防护(DLP)体系(以下简称“DLP”),是面向企业客户应用的内网数据安全(文档安全)软件产品。
亿赛通文档安全管理系统解决方案
通用文档管理系统与亿赛通CDG文档安全管理系统比较(一) 通常电子文档使用管理现状
具有权限的人取出文件
使用亿赛通文档安全管理系统
不能使用文件
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
通用文档管理系统与亿赛通CDG文档安全管理系统比较(二) 通常加密类电子文档使用管理现状
亿赛通文档安全管理系统 (CDG)解决方案
北京亿赛通科技发展有限责任公司 2007年3月
W W W . ESAFENET. C O M
系统概述
亿赛通安全文档管理系统简称CDG,是北京亿赛通科技发展有 限责任公司自主研发的安全共享文档信息的软件产品。
解决了传统文档管理系统的安全隐患及漏洞,实现了文档的安 全共享。
LAN
VPN
外部用户访问 CDG服务器
Internet
VPN
移动用户CDG客户端
分公司 CDG客户端
CDG客户端
身份认证 上传或者下载文件
实时权限控制 全维审计追踪 CDG服务器
其它服务器
数据库
CDG客户端
对资源基于角色的分级授权访问
RBAC(Role Based Access Control)是基于角色的访问控制的英文缩写,基于角色的 访问控制技术的特点是:将对访问者的控制转换为对角色的控制,从而使授权管理更为 方便实用、效率更高。同时,角色与角色之间可以继承权限,使各个角色的权限划分更 为清晰、明确,降低了权限管理的复杂性。角色可以对应现实生活中的行政角色关系, 不同角色的用户可以访问不同权限级别的资源。
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
20100827095332亿赛通数据防泄漏DLP系统系列文档安全管理系统CDG产品白皮书[1]
![20100827095332亿赛通数据防泄漏DLP系统系列文档安全管理系统CDG产品白皮书[1]](https://img.taocdn.com/s3/m/efbfb10f79563c1ec5da710c.png)
亿赛通数据泄露防护(DLP)系统_DRM_V3.0系统安装手册
亿赛通数据泄露防护(DLP)系统_DRM_V3.0系统安装手册二〇一零年一月目录1 软件安装 (1)1.1 服务器安装 (2)1.2 服务器配置 (8)1.2.1 登录服务器配置 (8)1.2.2 AD域配置 (9)1.2.3 邮件配置 (10)1.2.4 上传下载 (10)1.2.5 安全性 (11)1.2.6 管理员 (11)1.2.7 数据库备份还原 (11)1.2.8 代理 (12)1.2.9 其他 (12)1.2.10 自定义 (13)1.3 客户端安装 (13)1.4 客户端的卸载 (17)1.5 服务器的卸载 (21)2 系统运行前的准备 (25)2.1 检查CDG Server (26)2.2 配置SQL2005 (26)2.3 检查SQL2005 (28)1 软件安装关于本章本章描述内容如下表所示。
1.1 服务器安装步骤 1打开服务器安装文件夹下的SETUP.EXE文件,双击即可弹出软件安装界面。
如图所示:图1-1欢迎安装界面步骤 2图1-2是否接受许可证协议界面步骤 3客户信息包括(用户名和公司名称必填项),根据需求选择用户安装类型,一般选择【使用本计算机的任何人(所有用户)】即可。
如图所示:图1-3输入客户信息界面步骤 4装路径,默认安装路径,如图所示:图1-4选择安装路径界面个功能选上。
如图所示:图1-5选择服务安装路径界面步骤 6图1-6选择安装路径界面步骤 7CDG Server直至完成。
如图所示:步骤 8服务器端安装完成之后,提示:【您是否需要登录系统首页】,如图所示:图1-8登录首页步骤 9确认服务器安装是否成功:打开IE浏览器,输入服务器IP,进入系统首页,如图所示:图1-9系统首页步骤 10数据库配置数据库配置菜单显示了当前服务器数据库信息,如图1-10是服务器安装完成后默认设置,配置管理员可根据实际情况修改配置数据库用户名、密码,数据库地址,数据库类型:MS-SQL,点击保存,然后重启DLP服务,再点击连接测试确保数据库创建成功;如图所示:图1-10数据库配置注意事项:后台配置管理员用户名:configadmin 密码:123456安装服务器后,请链接MS SQL SEVER2000/2005数据库,程序安装完成之后需要手动将服务重启,确保MS SQL SEVER2000/2005数据库工作正常。
内容安全解决方案V3.0(CDG)
方案实施目标场景效果示意 方案实施目标场景效果示意
内容安全方案提供商简介
方案实施效果
第三方 接触者
外发外带控 制内容扩散 数据内容 生产者 透明加密控 制内容生产
敏感信息卸出 业务数据上载
网关集成支 持系统整合
核心网络
数据内容 生产者
应用网络
外发外带控 制内容扩散
分级授权控 制内容传播 透明加密控 制内容生产
2008
2011
22
技术创新
中国第一套文档安全管理系统 中国第一套文档外协管理系统 全球第一部文档安全加密网关
中国第一套文档透明加解密系统
中国第一套全磁盘加密(FDE)系统
中国第一套移劢数据(DLP)系统
全球第一套移劢终端应用程序防破解(Anti-Hacking)系统
业务覆盖
行业资质
行业资质
非结构化数据特别是文档数据保护是目前的弱点,也是重点和难点,
2012年12月25日星期二
内容安全的威胁在哪里?
第三方 接触者
数据内容 生产者
敏感信息下载 业务数据上载
核心网络
数据内容 生产者
办公网
临时访客
内部内容传 播使用者
内容安全有哪些解决模式?
外部 网络
办公 网络
业务 网络
终端 设备
储 介
数 信息内容 据 体 质
临时访客
内部内容传 播使用者
19
方案实施效果
内部外出
设计部门 透明加密 授权信息
组织内部
业务部门 主劢加密授权 竞争对手窃密
合法出口 合法离网脱机 管理部门 强制加密+主劢授权 非法
员工离职拷贝
内部丌当行为 密 文 上 传 密 文 下 载 出口
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
亿赛通文档安全管理系统 DLP-CDG3.0 技术白皮书
二〇〇九年七月
版本历史
版本 1.0 日期 2009 年 4 月 1 日 备注 第1版 《亿赛通文档安全管理系统 DLP-CDG3.0 技术 白皮书》 1.1 2009 年 7 月 1 日 第2版 《亿赛通文档安全管理系统 DLP-CDG3.0 技术 白皮书》
亿赛通 CDGV3.0 拥有强大的策略设定平台和密钥定制平台,能够根据企业 各种复杂应用和业务需求定制出个性化的管理策略,并通过管理策略的调整 来灵活设定各个终端及用户的保护范围和保护模式,并可动态调整保护对象 的安全密级,如企业分公司与分公司间、部门与部门间、部门内部不同分组 间、项目组与项目组间以及部门与临时项目组间、人员与人员之间等。可以 根据各种不同的业务需求来设定和调整对应安全策略,在保证安全的同时又 能支持灵活的业务应用,给企业带来前所未有的安全收益。 2.3. 事后追踪审计 亿赛通 CDGV3.0 提供了强大的日志审计平台,能够为企业提供丰富的日志 报表查询,同时根据需要可设定日志存活周期,也可支持无期限记录系统日 志;系统管控范围内终端及用户的所有操作日志,均被详细记录,同时根据 审计需要可输出各种类型报表。亿赛通 CDGV3.0 结合企业多维审计的需求, 在国内率先推出图文并茂的审计功能,在传统报表审计的基础上,融入统计 报表功能,通过直观统计图来为企业提供详细的日志审查信息。 2.4. 集中管理 亿赛通 CDGV3.0 采用权限集中化管理、信息可分布存储的特点,为企业提 供了强大的集中管控平台。 可集成化的身份认证平台、 强大的终端管控能力、 科学的管控策略、灵活的审批流程等特点,为企业提供高质量的规范管理、 高性能的安全管控和低开销的运营成本。 2.5. 管控分级 亿赛通 CDGV3.0 采用权限分离、管控分级的信息安全管控理念,将系统管 理维护和日志审计权限有机分离,避免由于管理人员权限过大而导致的泄密 隐患;同时为了缓解大中型企业系统管理人员工作压力和强度,亿赛通 CDGV3.0 提供了管控权限分级下放功能, 通过各种分级管理权限来分担系统 管理职责,同时也可根据企业需要来自主设置管理权限组合,方便企业规范 管理。 2.6. 人性化应用 亿赛通 CDGV3.0 在面向终端用户时,采用了透明、无感知特性,任意受控
供访问控制功能,除此之外,还提供了日志和程序行为控制等功能,这种通过应 用层和内核层相互配合的实现方式,不仅能提供更高的安全性,而且有助于降低 安全系统对系统性能的影响。
图 2 亿赛通 CDGV3.0 动态加解密的实现 4.2. 连接支持 亿赛通 CDGV3.0 系统服务器端与客户端间采用 IP 可达的连接原则,可以适 用于各种网络环境,在确保不改变企业内部网络构造的基础上,满足企业的不同 的连接需求。亿赛通 CDGV3.0 能够在包括域结构、内部专线、VPN、拨号连接、 Internet、VLAN 以及各种内部隔离网络间进行部署和正常连接,如图 3 所示:
用户基本感觉不到安全系统的存在。不改变用户原有工作习惯、不增加用户 工作负担、不限制用户的操作行为,在保证用户原有业务模式的情况下,不 影响用户的工作效率,让用户在安全的环境中无感知的处理各种涉密业务。 人性化的平台支持让用户舒心、称心。 2.7. 流程化协同 为了保障企业原有的工作效率和业务流程,亿赛通 CDGV3.0 提供了功能强 大、操作简单、设计合理的流程化协同工作流,如在线审批流程、离线审批 流程、卸载审批流程、邮件自动化申请发送流程、权限变更审批流程等,结 合冒泡提醒、在线短消息、短信通知、邮件通告等特性功能,为企业自动化 协同办公提供了保障,也极大的方便了终端用户的使用,更促进了企业的规 范化管理。
1. 研发背景
随着计算机和网络技术的飞速发展, 越来越多的信息以电子形式存储在个人 和商用电脑中,并且通过网络进行广泛地传递,在大量的信息存储和交换中,信 息的安全问题越来越引起人们的重视。 企业一般有着完善的书面文档涉密管理制度, 并且由单独的文控中心负责制 订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。而电子 文档却都以明文方式存储在计算机硬盘中, 电子格式存储的重要情报信息却由于 传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的复杂 程度,这部分的资产极易于受到损害,那就是明文泄密! 按照对电子信息的使用密级程度和传播方式的不同, 我们将信息泄密的途径 简单归纳为如下几方面: Ø 由电磁波辐射泄漏泄密(传导辐射 、设备辐射等) 这类泄密风险主要是针对国家机要机构、 重要科研机构或其他保密级别非常 高的企、事业单位或政府、军工、科研场所等,由于这类机构具备有非常严密的 硬保密措施, 只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息 保护。 Ø 网络化造成的泄密(网络拦截、黑客攻击、病毒木马等) 网络化造成的泄密成为了目前企业重点关注的问题, 常用的防护手段为严格 的管理制度加访问控制技术, 特殊的环境中采用网络信息加密技术来实现对信息 的保护。访问控制技术能一定程度的控制信息的使用和传播范围,但是,当控制 的安全性和业务的高效性发生冲突时,信息明文存放的安全隐患就会暴露出来, 泄密在所难免。 Ø 存储介质泄密(维修、报废、丢失等) 便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企 业带来极大的损失,在监管力量无法到达的场合,泄密无法避免。 Ø 内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等) 目前由于内部人员行为所导致的泄密事故占总泄密事故的 70%以上, 内部人 员的主动泄密是目前各企业普遍关注的问题,通过管理制度规范、访问控制约束
2. 设计理念
核心信息的加密保护,已经成为企业信息资产保护的一个必要手段。为了配 合企业人性化管理的特点,亿赛通公司贯彻先进的设计理念,结合丰富的实施经 验,并吸收广大客户建议,设计出符合企业安全现状和发展需要的数据防泄露解 决方案-亿赛通文档安全管理系统 V3.0(简称 CDGV3.0)。 2.1. 事前主动防御 企业对于信息资产的保护,传统保护模式均为被动式防御:出现泄密事件后 才引起信息资产的保护重视,紧急调整管理制度并采用硬屏蔽手段来约束泄 密 再 次发生,无法快 速锁定泄密对 象和途径 来降低泄密损 失。亿赛通 CDGV3.0 将打破传统的保护思路, 采用对企业信息资产主动设防的理念, 一 旦设定保护策略,将对核心信息进行全生命周期强制加密保护,有效规避员 工由于有意识或无意识导致的信息泄密,让企业变被动为主动;同时,提供 用户主动的细粒化权限设置保护,防止核心信息在内部共享、流转、使用时 所带来的数据扩散泄密。 2.2. 事中灵活控制
4. 产品概述
4.1. 产品架构 亿赛通 CDGV3.0 系统由服务器端和客户端两大部分组成,同时支持 C/S 和 B/S 两种组织结构,如图 1 所示:
图1
CDGV3.0 文档安全系统的架构
服务端主要由用户管理、密钥管理、文档流转管理、安全引擎等组成。其中 用户管理主要负责用户身份的验证,权限的分配和管理等;文档流转管理的主要 功能是负责文档在单位内部不同部门之间的流转和单位内部与外部之间的流转 工作,在保证文档不影响用户交流的情况下,为文档提供安全保障。如控制文档 的浏览次数、使用时间,拥有的权限等。密钥管理用于实现不同部门之间的密钥 分配和交换等功能; 安全策略管理用于设置和管理系统的安全策略以及为每个用 户分配相应的安全策略等;安全引擎主要为服务器系统提供安全保障,如验证安 全系统模块的运行权限和条件等,并提供对服务器端存储的文档进行加密/解密 等多种安全相关的功能。 图 2 给出了亿赛通 CDGV3.0 客户端的实现原理,从中可以看出,CDG 的动 态加解密是以文件过滤驱动程序的方式进行实现的, 同时在应用层和内核层均提
再加上一定的审计手段威慑等防护措施, 能很大程度的降低内部泄密风险, 但是, 对于终端由个人灵活掌控的今天,这种防护手段依然存在很大的缺陷,终端信息 一旦脱离企业内部环境,泄密依然存在。 Ø 传统防御手段的不足 对于核心电子信息的防护,传统方法为完善的管理制度和人性感化,同时也 采用终端防御类技术配合,如:防水墙、终端安全平台、审计平台、行为管理等, 这类技术和方法的主要缺陷在于无法防止内部员工的有意识、主动泄密!如重新 安装操作系统、从盘引导、破坏防御平台运行环境等带来的泄密隐患。 信息的安全保护,必须从源头做起,即信息加密;只有对信息进行加密, 才能有效的实现信息全生命周期保护。亿赛通作为国内数据泄露防护领域第一 品牌,专注于数据安全研究,为企业提供最优的安全解决方案。
Due to update and improvement of ESAFENET products and technologies , information of the document is subjected to change without notice.
目
录
1. 研发背景.............................................................................................................4 2. 设计理念.............................................................................................................5 3. 核心优势.............................................................................................................7 4. 产品概述.............................................................................................................8 5. 产品靓点...........................................................................................................19 6. 运行环境...........................................................................................................20