KM电子文档防泄密整体解决方案

电子文档防泄密整体解决方案

FileSafeGuard

电子文档防泄密系统

一、引言

伴随着社会现代化的发展，信息化的全面应用，计算机产生的电子文件作为信息交换最主要的载体得到了全面的使用，在各企事业单位中都在利用网络、USB设备等方法传递电子文件以保持着迅速、及时的沟通，不再依赖于原有的纸质文件流转方式，在得到极大的方便性的同时也使得文件信息更容易泄密，在极短暂的时间就可能造成大面积泄密。据调查,各种机密泄露30%-40%是由电子文件的泄露造成的，超过85%的安全威胁来自单位内部。防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。无线上网、移动通讯、活动硬盘在带来方便和高效的同时，却无法防止内部工作人员的无意或有意的泄漏各种电子文件信息，甚至传送给竞争者，也难以防止网络系统被截获、仿冒、侦听后造成的泄密。如何解决在各种基于计算机的信息交流活动、电子商务活动、电子政务活动中的电子文件安

全问题已经成为一个十分迫切的市场需求。

二、电子文件的安全问题

您的单位是否总是担心内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去？若泄漏是否会直接影响单位生存和发展？您的单位是否总有人员流动？原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了？现在的工作人员是否有可能将各种机密泄漏给竞争对手？工作人员离职后是否变成了单位的竞争对手？

您的单位把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不泄漏出去吗？

1、各种泄密途径，安全漏洞分析

1）、USB设备、软驱、可写光驱

现在的USB设备的使用非常普遍，USB设备的文件拷贝成为单位内部、外部交换文件最常用的方式之一，将电子文件拷贝到USB设备上，然后拷贝给内部其他工作人员或者拷贝给外单位合作人员来完成信息交换。但是拷贝的过程是不可控的，拷贝后存在泄密可能性。软驱和光驱是传统常用的计算机硬件，同样可以拷贝电子文件到软驱和可写光驱上。

针对这些硬件设备，大多数单位的做法是关闭大多数计算机的USB接口、软驱、光驱，只允许少数特权计算机可以使用，虽然如此，特权计算机还是存在泄密可能性，而且关闭硬件端口无法防止直接拆下硬盘来获取所有的文件信息。

2）、互联网发送

现在各个单位和外界的交流越来越多，互联网是必不可少的信息交换手段。

3）、互联网上传文件

互联网上传文件的方法很多，也都是泄密的途径，目前较为常用方法有：

POP3Email附件方式、WebEmail附件方式、FTP方式、BT方式、QQ直传、MSN直传、Skype直传、等其他种种方式。

这些互联网操作是内部工作人员自行进行的，防火墙、防入侵等系统不会处理，所以是一个很直接、快速、隐蔽的泄密途径。

很多单位通过封锁FTP端口、封锁QQ端口、封锁发送邮件等方法来控制，但是这样仅仅

是封锁了一部份泄密途径而已，通过互联网传送文件数据有太多的方法，而且新的方法层出不穷，例如：通过WebEmail附件方式来发送文件，这时这些封锁的方法都无能为力。只要有任何一点点漏洞，这些局部的控制都无法封堵通过互联网的泄密。

4）、外部入侵

单位内部的服务器或者其它计算机都有可能遭到来自于互联网的入侵、攻击，入侵的可能是各种病毒、木马，潜伏在计算机里，等待合适时机将一些其需要窃取的文件通过互联网发送出去，一旦发送成功，这些需要保密的电子文件就会直接泄密。

5）、获取计算机硬盘

相关人员可以直接将计算机的硬盘(包括台式机和笔记本电脑)直接拔出，带到其他的计算机上进行读取，从而获得硬盘上的各种电子文件，这种方法通过任何的封锁互联网、封锁USB 设备、在机箱上贴封条等方法都是没有用的，这种途径泄密的数据量最为巨大。

2、保证电子文件安全要解决的问题

1）授权使用USB设备、软驱、可写光驱拷贝

需要设定每台计算机对各种移动设备的权限，可以向外拷贝、不可向外拷贝，即使是可以向外拷贝文件，也要保证拷贝出去的保密文件是安全的，非法用户无法打开。

2）授权使用互联网

需要设定每台计算机是否允许连接互联网，即使是可以连接互联网，也要保证通过互联网发送出去的保密文件是安全的，非授权用户无法打开。

3）防止硬盘拔出后造成的泄密

需要保证当硬盘被拔出后，硬盘上的保密文件在单位内部可以打开，而在单位外部无法打开，保证即使是恶意的盗取硬盘也无法获得硬盘上的保密文件信息。

4）FileSafeGuard的解决方案

针对各种单位存在的各种电子文件安全的需求，FileSafeGuard提供完美的解决方案，保障电子文件安全，彻底解决数据安全忧患。FileSafeGuard在后台将文件本身加密，即使文件泄露出去未经授权也无法打开。

三、系统介绍

营造电子文档的单位安全环境

首先，FileSafeGuard要营造一个电子文档的安全环境，在安全环境中，所有的电子文件可以正常的流转，大家可以共享使用各种电子文件，不影响单位内部的工作；在安全环境外，即使获得了单位内部的各种电子文件，也无法打开，从而保证了单位内电子文件的安全；单位安全环境是指所有的经过授权的合法用户组成的一个使用环境，由在单位内部的工作人员和在外出差的工作人员共同组成，授权分为内部客户端授权和移动客户端授权，在授权用户之间，保密文件可以互相打开，非授权用户无法打开。

然后，FileSafeGuard利用底层软件结合高强度加密算法加密技术，实现各种计算机文件的自动加密解密，单位授权用户在计算机上操作文件的同时，底层程序自动根据服务器的授权进行加密，打开时再由底层程序根据授权自动解密，使得自动加密后的图纸、文档文件离开安全环境无法使用，文件只能在安全环境内正常使用。文件一旦被转移到非安全环境的计算机上无法打开，除非经过单位内专人解密，文件才能正常使用，这样单位的各类保密的电子文件都被锁定在单位中，保证了单位中各类保密电子文件的安全。

内部客户端授权通过客户端/服务器模式实现，在服务器端设定每个客户端的各种权限，移动授权客户端先在单位内部作为内部客户端使用，从而获得服务器给与的权限，外出时根据服务器授予的权限来保证可以打开保密文件，外出时系统不会停止加密，所有操作的保密文件和在单位内部一样会被加密，在回到单位后其他内部授权客户端也可以打开这些文件。保证安全的软件底层技术

FileSafeGuard提供硬件级、进程级、文件级、文件内容级的全方位加密手段。所有的电子文档从整个单位的角度来加密，而不是文档的创建者的个人角度，即使创建者将文件拷贝走也打不开。

硬件级加密手段

管理员可以对不同的计算机授权，使用硬件ID而不是网卡号或IP地址，避免用户手工修改网卡号或IP来得到更高的权限，也可以防止外来计算机的伪装入侵。

进程(程序)级加密手段

管理员可以设定哪些是保密程序哪些是非保密程序，并不是通过可执行文件的名字来区分，