加密实施方案

加密实施方案

数据保密需求

传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏以及对病毒的防范，对于企业网络内部的信息泄漏，却没有引起足够的重视。内部信息的泄漏包；如内部人员泄密、其他未授权人员直接接入内部网络导致的泄密。显然，对于企业内部的信息泄密，传统手段显然无法起到有效的预防和控制作用。

美新微纳收购美国Xbow WSN业务后，大量的核心源代码、设计图纸、电路原理图以及算法都是公司的重要信息资产，必须需要严格的管理和控制。同时新开发项目的核心信息的安全管理都是企业安全管理工作的重要内容。以下方案是通过数据加密的方法对公司的核心机密信息进行安全保护。

数据加密办法

一、信息加密系统数据管理办法

系统分为三层架构，服务器、管理机、客户机组成。

加密系统架构示意图

1.服务器

服务器主要功能：

管理根密钥。服务端管理加密狗中的根密钥信息，以此产生全球唯一的密钥，并分

发给各个管理端，客户端用以解密文件；

自动升级功能，通过服务端可以导入最新的升级包，通过自动下发策略可以实现自

动升级加密环境；

注册、管理管理端，企业中所有的管理机需要在服务端进行注册并分配权限；注册

管理机、加密管理机器；

监控管理机的工作状态，汇总管理机的工作日志，可以随时调用查看；

备份、恢复数据库功能，提供手动进行数据库备份，恢复功能，一旦服务器出现故

障可以随时恢复保证运行不影响工作；

配置管理机的脱机策略。服务器具有设置管理机的脱机时间功能，在设置了脱机时

间后，管理机和服务器未连接的状态下，管理机能正常运行的时间限制；

设置卸载码。设置客户端、管理机卸载时的授权码，如果授权码不能正确即使有安

装程序也无法卸载程序。

自定义密钥。客户可自行设置私有密钥，增加安全性。

备用服务器。提供主服务器无法正常工作的应急机制，可保证系统的正常工作

2.管理机

管理机主要功能

客户机注册管理。企业中所有客户机需要统一在管理机上进行注册，方能运行；

解密文件并记录日志，根据服务器的授权，管理机可以解密权限范围内的加密文件，与此同时记录下来解密文件的日志信息；

管理客户机策略。

系统内置约300类常用软件加密策略；

是否允许用户脱机使用及脱机使用时间；

是否允许用户进行打印操作，并可对使用的打印机类型进行控制(主要用于控

制各类虚拟打印机)；

是否允许用户进行拷屏操作；

是否允许用户进行复制涉密文件内容操作；

是否允许用户执行OLE插入涉密文件对象操作；

是否允许用户进行涉密文件的FTP操作。

是否允许客户机加密文件图标显示，该功能可以在客户端把加密文件，明文文

件用不同的图标显示。

密级管理。可将公司内部根据需要划分不同密级，每个密级相互之间能否打开是可

设定的，这样可实现密级管理。如企业共划分三个密级；普通（密级1）部门经理

（密级2）总经理（密级3）密级高用户可以打开密级低的用户所做的涉密文件，

密级低的用户打不开密级高的用户所涉密文件，以保证普通涉密文件交流无障碍，

而高级别涉密文件则处于更加严密的保护中。

域集成功能。系统可集成公司的AD域，可把AD域的相关信息（用户，计算机等组

织机构）导入到系统，公司可统一对AD域进行管理，同时通过域集成功能，管理

机可以针对计算机或域用户设置不同的客户端策略。并可针对加密文件授权给不同

的用户使用。

组织机构管理。系统可根据实际的企业组织机构进行对用户及计算机的划分，并可

以设置对应的管理人员，同时分配相应的管理权限。

角色管理。可针对管理人员的角色不同，设置不同的权限。管理人员的使用权限包

括：解密、注册客户机、角色管理、定义策略模版、管理同级用户、管理下级用户、定义下级组织机构及日志审计等权限。

策略模版。系统提供了丰富的安全策略，可通过策略模板对这些安全策略进行组

合自定义。定义好的策略模板可以直接应用到部门。部门内的计算机或者用户将

自动继承策略模板的策略。

日志审计。系统会详细记录系统使用的各类日志，并进行汇总。通过日志审计能

够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

3.客户机

客户端在管理人员的授权下，可在三种安全桌面策略下进行工作：强制加密桌面模式、手动加密桌面模式及个人桌面模式

强制加密桌面模式下的客户端没有界面，即对用户透明，不需要对终端用户进行任

何操作培训。大大简化了文件加密的过程。因为用户不需要考虑：

哪些文件需要加密。每个客户端的加密策略由企业根据需要统一制定，客户端

没有选择的机会，只有被动的执行；

不需要记忆密钥。每个客户端的拥有哪些解密密钥也是由服务器统一制定下

发的。

不需要考虑网络断开对加密的影响。每个客户端都设置时间长短不同的脱机

时间，在脱机时间内客户端正常工作不受任何影响。

不需要考虑性能影响。

手动加密桌面模式是系统提供的一种 VIP 用户模式，在该模式下，用户生产的文

件不加密，但是能够打开加密文件。同时客户端可以通过鼠标右键，把明文文件

进行加密。

个人桌面模式，该模式下，等同于没有安装客户端软件。生成的文件不加密，同时

无法打开加密文件。

二、系统部署方式

由于加密系统采取服务器、管理机、客户机三层架构模式，所以可根据客户的特点实现两种部署方式：集中式部署和分布式部署。

集中部署适合地理分布相对集中，所有部门都在一个局域网内的。

分布式部署，适合由地理分布较分散的集团型企业，集团成员企业与集团总部之间