亿赛通文档安全网关DLP-NetSec1.0简介
亿赛通文档加密系统
文档编号:归档人:归档时间:文档安全管理系统产品介绍北京亿赛通科技发展有限责任公司项目管理中心二〇一一年六月文档说明文档属性文档历史目录1.产品介绍 (4)1.1.设计原则 (4)1.2.遵循标准 (4)1.3.系统特点 (4)1.3.1.三权分离 (4)1.3.2.管理分级 (4)1.3.3.部署分级 (5)2.资质证明 (6)3.功能特性 (8)1.1.智能透明加密 (8)1.2.内容安全防护 (8)1.3.细粒度权限控制 (8)1.4.流程审核及代办通知 (8)1.5.安全浮水印支持 (8)1.6.开放式策略库 (8)1.7.统一身份认证集成 (9)1.8.离线办公支撑 (9)1.9.工作模式切换 (9)1.10.详尽日志审计 (9)1.11.其他靓点功能 (9)4.应用效果 (10)5.产品规格 (11)6.应用范围 (13)1.产品介绍亿赛通文档安全管理系统(简称:DLP-CDG),是国内最早的可为企业核心电子数据资产提供全方位内容安全防护的信息安全防护系统。
DLP-CDG以数据加密技术为核心,通过将技术平台与管理体系有效结合,实现对用户核心信息资产的全方位保护;通过建立信息安全边界,降低核心信息资产如源代码、设计图纸、财务数据、经营分析以及其他任意信息资产的有意或无意泄密风险;配合完善的信息安全咨询服务,通过对企业的业务梳理和流程建立,保障企业核心业务正常运转的同时,不过多影响用户工作习惯及业务效率。
1.1.设计原则♦将事前防御、事中控制、事后审计理念作为系统实现原则;♦致力于不过多改变终端用户的操作习惯来提高系统可用性;♦引入核心数据全生命周期安全管理来加强组织体系管理完整性;♦采用信息加密技术手段控制信息内容扩散保障资产保密性;♦建立与核心应用系统安全集成加固方法完善体系兼容性。
1.2.遵循标准♦BS7799(ISO/IEC17799):即国际信息安全管理标准体系(ISO 17799/BS 7799 Information Security Certification)1.3.系统特点1.3.1.三权分离DLP-CDG实现对系统管理、文档管理和日志管理权限及职责的有效分离,在保障体系协同运转的同时实现管理制约及监督。
亿赛通文档安全管理系统解决方案介绍
通用文档管理系统与亿赛通CDG文档安全管理系统比较(一) 通常电子文档使用管理现状
具有权限的人取出文件
使用亿赛通文档安全管理系统
不能使用文件
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
通用文档管理系统与亿赛通CDG文档安全管理系统比较(二) 通常加密类电子文档使用现状
加密
解密密钥 公司重要文档.doc@ 解密后的文档
可以自由使用保存 重要文档.doc
使用亿赛通文档安全管理系统
根据不同权限的密钥 用户解密后对文件有不同 具有权限设定的密钥 解密后的文档
的使用权限,比如:只能 “阅读,复制”不能“保存,打印”
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
•成立实施团队 •依据实施范围 •依据实施风险 •培训计划
•现场硬件/软件 环境复杂度 •工作模式复杂 度 •其他因素(项 目)
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
项目实施团队
项目指导委员会
主 任:(客户方项目总负责) 副主任:(原厂方项目总负责、 易聆科项目总负责)
实施规模、范围及策略
实施周期
制度保障
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
典型案例 --- 晨讯集团
服务器 (CC/VSS/SubVersion)
Check Out 提交前
ห้องสมุดไป่ตู้
加密系统终端用户使用相关说明
加密系统终端用户使用相关说明亿赛通文档透明加密系统DLP-SmartSec是针对内部数据进行强制加密/解密的软件产品。
该系统在不改变用户使用习惯、计算机文件格式和应用程序的情况下,采取“驱动级智能动态加解密技术”,对指定类型的文件进行实时、强制、透明的加解密。
在正常使用时,计算机内存中的文件是以受保护的明文形式存放,但硬盘上保存的数据却是加密状态。
如果没有合法的使用身份、访问权限、正确的安全通道,所有加密文件都是以密文状态保存。
所有通过非法途径获得的数据,都以乱码文件形式表现。
一、使用范围:硬件开发部、软件开发部,生产(约5人)。
二、使用方法:1、服务器管理由总办信息系统管理员负责策略制定、授权、备份。
2、客户端登录帐号密码:由管理员分配。
3、客户端接受加密保护的开发工具和文件类型参见文档最后附录:加密开发工具和文件类型一览表4、客户端业务申请4.1、关于解密申请方式一:安装了加密系统后,在系统桌面右下角的任务栏里有如图所示图标:在该图标上使用鼠标右键,弹出功能菜单,如下图:选择“解密申请”,进入文件选择对话框,单个文件解密选择【增加文件】,批量解密选择【增加目录】,将目标指定到要解密的文件或目录即可:点击【确定】后,解密申请流程结束。
此后请等待相关解密管理员进行审核。
方式二:对于需要解密的文件,直接在该文件上使用鼠标右键,弹出菜单如下图:选择【密文解密申请】,在备注中输入解密申请理由后,【确定】即可。
用户提交的文件解密申请,通过管理员的审批后,客户端机器桌面右下角会有如下冒泡窗口提示:文件解密前后的状态对比:解密前的文档图标显示图下图:解密后文档显示如下图:4.2 关于离线申请1、员工因公出差或其他原因不能上网时,需要申请离线使用工作电脑,以保障应用程序的正常使用,离线申请流程如下:安装了加密系统后,在系统桌面右下角的任务栏里有如图所示图标:在该图标上使用鼠标右键,弹出功能菜单,如下图:2、当离线使用超时后,用户可以以电话或其他方式向相关管理员发起离线补时申请,由管理员审核通过后,将生成的补时码以邮件或其他方式发送给用户,用户在客户端图标的右键菜单里选择【本机信息】,在【脱机认证码认证】一栏将补时码输入并确定即可,如下图:4.3 关于卸载申请员工因电脑维护或其他原因需要卸载加密软件客户端时,需要进行客户端卸载申请,卸载申请流程操作如下:安装了加密系统后,在系统桌面右下角的任务栏里有如图所示图标:在该图标上使用鼠标右键,弹出功能菜单,如下图:4.4 用户密码修改用户需要修改密码时,请在BHOA的首页修改。
Doc-01.亿赛通内网数据泄露防护产品测试方案(CDG+FileNetSec+SafeUDisk)
亿赛通内网数据泄露防护产品测试方案二〇〇九年九月版本历史Copyright © 2009 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information ofESAFENET Corporation and is not to be disclosed orused except in accordance with applicableagreements.Due to update and improvement of ESAFENETproducts and technologies,information of thedocument is subjected to change without notice.目录1适用范围 (2)2参考资料 (2)3系统简介 (2)3.1 DLP-CDG系统简介 (3)3.2 DLP-FileNetSec系统简介 (3)4环境准备 (4)4.1 系统环境 (4)4.2 环境拓扑 (4)5测试计划 (5)6测试用例 (6)6.1 EST-01:用户认证与帐号管理(AD集成认证、用户绑定) (6)6.2 EST-02:文档透明加密保护(文档透明保护、策略定义和下发) (8)6.3 EST-03:内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制) (10)6.4 EST-04:流程化支撑(解密审批流程、离线审批流程、卸载审批流程) (14)6.5 EST-05:例外需求处理(邮件外发自动解密审批流程、文档外发控制) (17)6.6 EST-06:设备安全管理(设备安全准入控制、安全U盘功能) (19)6.7 EST-07:DLP终端安全防护(用户异常状态审计、终端自我防护) (21)6.8 EST-08:系统日志审计(系统日志在线审计、报表导出) (23)6.9 EST-09:系统兼容(操作系统、应用软件、防病毒体系等兼容) (24)6.10 EST-10:应用系统集成整合(安全网关透明加密,安全准入整合) (25)6.11 EST-11:文档主动授权控制(授权文档制作,批量授权) (27)6.12 EST-12:文档权限细粒化控制(复制粘贴,只读,打印,修改,再授权) (29)6.13 EST-13:权限文件流程支持(权限蛮更申请,还原) (32)1 适用范围内网数据泄露防护项目。
亿赛通文档安全管理系统
杨洋 2011103358 档案管理亿赛通数据防泄露DLP 系统系列文档安全管理系统 CDG北京亿赛通科技发展有限责任公司成立于2003年,是国内最具实力的、拥有完全自主知识产权的终端安全产品、文档安全产品、网络数据安全产品、涉密安全产品与数据泄露防护(DLP)解决方案的综合提供商。
亿赛通总部位于北京中关村科技园,是“国家高新技术企业”、“双软认证企业”。
目前,公司在全国各省市自治区设立分支机构,构建了全国十大区、近三十个省市的营销与服务网络,拥有覆盖全国的渠道和售后服务体系。
亿赛通致力于文档加密、内容安全、数据泄露防护相关技术的研究和开发,基于客户需求,持续创新,推出中国首款文档安全管理系统,前瞻性推出全球首个文档加解密网关,引领内容安全、数据泄露防护(DLP)解决方案的新时代。
凭借多年来的潜心研发,拥有最高级别的涉及国家秘密数据安全的各类资质,荣获部级科技进步奖等多项荣誉,在标准制定、重大专项等方面同政府部门、国内顶级院校积极配合,与国内外顶级IT厂商长期保持战略合作关系,尤其是与Intel芯片级的合作产品已投放市场,在PC机防丢失市场空间巨大;公司全力打造“内容安全”“数据泄露防护(DLP)解决方案”知名品牌“亿赛通”。
亿赛通数据泄露防护产品在国家级、世界级重大会议安全保障体系中做出贡献,为2010年上海世博会、2010广州亚运会等国际大型活动提供文档安全产品及服务。
亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系以数据加密为核心,秉承"事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏的安全目标。
DLP 体系从终端(数据源头)、网络(数据通路)和存储(存储状态)三个层次入手,安全管控核心数据的形成、存储、使用、传输、归档及销毁全生命周期,结合企业组织特有的业务需求、业务模式和管理文化,为企业组织提供完整的数据泄漏防护解决方案。
亿赛通数据泄漏防护(DLP)整体解决方案V1.2
•信息系统权限管理不当导致的 越权访问泄密 •基于信息系统安全缺陷导致的越 权访问泄密 •基于网络传输安全缺陷导致的恶 意渗透泄密 •基于管理监督漏洞导致的信息 泄密
•明文信息具备易复制、易传播 及不可完全监管的特性 •存储有核心明文信息的介质和 载体丢失、维修时极易被非法 访问、复制和传播 •分散存储的明文信息不易管控, 存在极易泄密的安全隐患 •集中存储的明文信息一旦存在 管理漏洞将导致巨大损失
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
信息现状
信息现状 人 途径 信息
•内部员工安全意识不足无意泄密 •内部员工受商业贿赂有意泄密 •文档权限划分不清晰导致越权泄密 •重要资料保管不当导致泄密 •离职员工携带历史资料泄密 •商业间谍、病毒、黑客木马等恶意 破坏及窃密等.
目 录 亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 DLP核心技术概述 典型案例简介
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
DLP产品优势 DLP产品优势
• • • • • • • • 支撑基于身份体系的多点登录认证 支持基于无盘工作站、瘦客户机模式部署 支持对跨平台业务环境提供安全解决方案(Windows Linux)
三角形底边中任何一点的失控将导 致三角体的崩溃 信息安全是通过对信息运用全过程 的控制来实现
数据泄漏防护是提供数据全生 命周期保护的信息安全新方案
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
基于数据生命周期保护的安全需求
概念设计 开发实现 文档 生成 信息 产生 文档 存储 文档 管理 文件 失效 文档 流转 文档 使用 文档 销毁 特殊 使用
亿赛通产品线介绍
1.文档安全管理系统CDG——核心信息防泄露防扩散CDG是针对组织内部各业务部门差异化的安全管理需求,通过强制加密与主动加密授权相结合的方式,保护文档全生命周期安全,实现重要信息安全流转,防止重要信息泄露和扩散的综合解决方案。
功能特点灵活的加密方式针对不同用户,可配置强制加密策略,也可配置主动加密策略,还可采取主动加密与强制加密相结合策略。
科学的人员管理基于企业组织结构,通过本地认证或与AD域、ED域结合的统一身份认证等方式,建立人员管理的树型结构。
灵活的角色管理自主定义多种角色,并赋予不同的权限,模块化角色管理。
全面的文档控制可对文档进行“权限归档”、“权限冻结”、“权限解冻”、“权限下载”、“权限转移”、“权限收回”和“生成离线权限文件”等操作。
高效的流程控制在线完成各类业务流程审批,包括文档解密、终端离线、客户端卸载、文档权限变更和邮件解密申请等。
强大的策略配置策略配置包括智能动态加解密、打印、脱机、终端安全强度、磁盘初始化、文件自动备份和邮件白名单等策略。
实时的业务通报业务审批结果通过终端冒泡提醒。
细粒度权限设置文档权限细分为阅读、修改、复制、打印、阅读次数、阅读时间和打印水印。
严密的终端控制采用离线安全控制、离线补时、在线使用和内容安全等多项措施保证终端安全。
多样化日志审计详细记载服务器端和客户端日志,所有操作日志报表在线审计并可自动导出。
容灾管理采用文档自动备份和数据库容灾管理技术,确保业务连续性。
2.文档透明加密系统SmartSec——核心信息防外泄SmartSec是对任意指定类型文档进行强制、实时、透明加解密,兼具强大的安全性和易用性,防止核心信息外泄的强制加密软件产品。
功能特性智能透明加密系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
同时,系统还具备严格的进程签名机制,能够准确识别未经授权的非法进程,大大降低了数据泄露的风险。
亿赛通—可信介质安全管理系统DLP-Media Sec
终端用户可以在线提交需要注册的介质的注册信息:介质ID、介质编号、用户、厂商、介质容量等信息 单机或者离线模式下,终端可以将服务器导出的策略文件导入到终端,实现单机、离线终端的控制 只有经过服务器授权允许读取加密盘的终端才能通过终端软件不正确的密码读取加密盘中的数据 网络模式下终端可以实时手劢向服务器获取最新的策略信息。默认情况下终端将每个10分钟向服务区获取一次策略信息 联网终端一旦离线,终端策略仍然生效 不国内瑞星、金山、江民等流行杀毒软件及国外诺顿、赛门铁克、McAfee等 14 种杀毒软件完全兼容(个别防病毒软件可 能提示风险劢作或信息,需进行信任或例外设置)。 不天网、绿色警戒等多种国内防火墙及 Kerio、ZoneAlarm 等国外防火墙完全兼容 U盘、移劢硬盘、手机、数码相机、摄像机、iPod、MP3/MP4、PDA、各种CF/MD/SD/Flash Disk等移劢存储设备 默认兼容亿赛通全盘加密安全U盘。可以为用户定制兼容其他厂商的安全U盘。
可信介质安全管理系统-MediaSec V2.0产品功
功能模块
产品基础信息
产品名称 产品版本 产品信息 基础信息 产品形态 系统语言 产品架构 开发语言 技术参数 核心技术 加密算法 操作系统 CPU 服务器 系统平台 推荐内存 磁盘空间 数据库 操作系统 客户端 CPU 推荐内存 磁盘空间Fra bibliotek功能说明
在单机模式下,终端可以将需要注册的介质信息导出成一个注册介质信息文件,服务器导入该文件后通过审批及完成单机离线终端的介质
成功通过终端软件设置加密刻录的密码后,使用刻录软件刻录的光盘内的数据会被加密保护。只有通过本系统终端软件并提供正确的密码
批及完成单机离线终端的介质离线注册
统终端软件并提供正确的密码才能读取加密盘的数据
亿赛通数据泄漏防护(DLP)整体解决方案V1.2
深圳市新开思信息技术有限公司 TEL:400-666-3148
亿赛通数据泄漏防护(DLP)整体解决方案
深圳市新开思信息技术有限公司 TEL:400-666-3148
亿赛通数据泄漏防护(DLP)整体解决方案
加密原理:读解密、写加密 工作层次:Windows内核层 工作特性:透明、强制、无感知
内 核 层
安全模型:双文件系统/双缓存
DLP签 名检验
DLP过 滤引擎
Windows 系统缓存 Windows缓 存处理器
透明加解密 数剧同步
DLP明文 缓存
文件系统 数 据 存 储
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
• • • • • • 2003年1月成立,注册资金1100万 双软认证企业、高新技术企业 数据泄露防护产品市场占有率第一 产品终端用户数超过70万 公司员工人数136人 研发人员76人
核心优势
• • • • • 专业研发团队 超强创新力 技术领先 自主知识产权 大型客户应用
产品体系
三大产品系列24个产品模块
数据存储
目 录 亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 DLP核心技术概述 典型案例简介
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
典型用户方案一
项目名称 项目目标 项目规模 产品模块 部署架构 应用集成 用户认证
•中国移动计算机终端统一管理平台项目 •保障OA办公系统数据终端存储和使用安全 •79,000终端用户 •权限控制模块(DRM) •分布式分级管理架构 •与集团OA系统进行松散集成,直接将密文数据上传至OA系统或手动解密上传 •与NOVELL ED域实现统一身份认证 •与Novell ED实现统一身份认证 •实现分布式二级部署及管理架构 •集团数据库、省数据库信息定期增量同步任务 •支持OA办公用户跨省漫游办公
亿赛通磁盘全盘加密系统技术白皮书
亿赛通科技
终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、 存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露; 网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通 过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露; 存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全, 防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法 泄露。
按需构建·安全可控
亿赛通数据防泄露 DLP 系统系列
磁盘全盘加密系统 DiskSEC 产品白皮书
北京亿赛通科技发展有限责任公司 2010 年 8 月
亿赛通科技
版权声明
DiskSEC 产品白皮书 V1.0
支持信息
本文的内容是亿赛通数据防泄漏 DLP 系统系列 DiskSec 产 品白皮书。文中的资料、说明等相关内容归北京亿赛通科技 发展有限责任公司所有。本文中的任何部分未经北京亿赛通 科技发展有限责任公司(以下简称“亿赛通”)许可,不得 转印、影印或复印。
公司电话:+86 1051282080 公司传真:+86 1051282080-1008 I
目录
第 1 章 亿赛通数据防泄漏 DLP 简介 ........................................................................1 第 2 章 DiskSEC 产品简介..........................................................................................2
2.2 产品应用需求
北京亿赛通基于Linux文档透明加密系统介绍
应用效果
产品规格
参数
规格
32 位 Linux 系统。 客户端操作系统版本
目前支持内核版本:2.6.32、2.6.35、2.6.38 等
支持编译工具
GCCБайду номын сангаасG++\MAKE\JAVAC\ANT\ARM
依赖 DLP 服务器版本 DLP V3.8
应用范围 可适用于高科技及嵌入式开发、手机平台研发、手机软件研发及其他使用 Linux 进行代码研发的企业。
基于多年的数据防泄漏防护经验,亿赛通自主研发了一套运行在 Linux 平台环境 下,防止 Linux 系统中存放程序源代码泄密的产品。该系统在不改变用户使用习 惯、计算机文件格式和编译程序的情况下,对指定类型的代码文件进行实时、透 明地加解密,支持编译进程编译密文代码,伪造进程不能编译密文代码。所有通 过非法途径获得的数据,都将以乱码文件形式表现。
基于 Linux 文档透明加密系统
产品概述 由于嵌入式 Linux 具有天生秉承的优势,越来越多的企业已经把目光转向了嵌入 式 Linux 的开发和应用上。大量嵌入式应用的系统运行平台已经从私有操作系统、 塞班系统、Windows CE 等过渡到开放性的 Linux 平台。2011 年初数据显示, 正式上市仅两年的基于 Linux 开放性内核的操作系统 Android 已经超越称霸十 年的塞班系统,使之跃居全球最受欢迎的智能手机平台。现在,Android 系统 不但应用于智能手机,也在平板电脑市场急速扩张,在智能 MP4 方面也有较大 发展。已经有大量的制造企业在使用 Linux 平台进行代码研发。代码成果何其宝 贵,如果有丝毫的泄露,都会造成巨大的损失。
亿赛通数据泄漏防护(DLP)方案交流
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
产品原理
亿赛通DLP体系以“驱动层智能动态加 解密技术”为基础,采用对应客户需求的 安全策略,以透明加密为核心,结合身份 认证、日志审计、文档外发控制、设备安 全管理、磁盘全盘加密、流程审批、权限 管理等功能,建立起完善的体系。在系统 自身的安全性方面,还采用系统容灭、文 档备份,确保系统可靠、安全的运行。DLP 体系对数据安全进行全方位、多角度、全 生命周期的保护,彻底实现数据保护的完 整性、保持性和安全性。
系统集成
统无缝结合,不影响应用系统自身的运作和使用;
• 应用系统中的数据,在使用时能够受到保护,防止非法用户将核心数据 导出泄密。
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
目录 亿赛通简介 通用需求分析 技术解决方案
Copyright © 2009 By E-SAFENET S&T Co. Ltd.
DLP产品线综述
亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系采用分域安全理论,将网 络分为终端、端口、磁盘、服务器和局域网五大安全域,并以笔记本电脑、移动存储设备、数 据库为安全域特例,针对各个安全域及特例实施相应安全策略,形成终端文档加解密、端口管 理、全磁盘加密、文档安全网关、安全U盘、安全移动硬盘等一系列DLP产品,在确保网络各 个节点数据安全的基础上,构建整体一致的立体化DLP解决方案。
主流国产加密软件测试报告
主流国产加密软件测试报告加密软件测试报告2011.6⼀、前⾔随着我公司PDM项⽬的实施,将会⼤⼤提⾼公司的研发效率和⽔平,同时也会产⽣⼤量的图纸、技术⽂档等资料,这些资料对公司来说就是命脉,是我们的竞争砝码,如果这些资料被⾮法流出,将会对我公司造成重⼤的损失,甚⾄会使某些新产品的研制计划夭折,因此加强对图⽂档的保密就变得⾮常重要了。
⽽⽬前信息⽹络⼜⽆处不在,公司的电脑也没有做加强的防护,因此现在的泄密途径很多,⽐如⽤笔记本电脑、U盘、USB硬盘等移动存储设备就可以将图纸全部拷贝带出,或者⽤邮件也可以将资料外送,或者通过互联⽹都可以将资料发送到外部。
除了研发资料外,公司其他⼀些资料也是机密的,⽐如我们的财务报表、供应商资料、客户资料、项⽬资料、成本及价格资料等等都是需要保密的。
近⼏年,因为企业机密被泄露⽽导致严重损失的例⼦经常见诸报端、⽹络,所以很多公司都已经开始部署加密软件来保护内部的重要资料,通过把机密⽂件进⾏加密存储,即使⽂件被拷贝带出了,离开了原公司的加密环境是不能打开的。
为提升信息管理⽔准,保障机密电⼦⽂档的安全,我公司也应部署⼀套⽂档安全管理系统,使公司内部的⽂档安全可靠,管理规范。
⽽为了保证重要信息的安全,需要在内部和外部的边界处建⽴起⼀道可靠的⽂档信息安全防线,以使这些重要的数据信息⾃由流动的范围仅限制在公司内部。
⼆、测试说明我公司部署的PDM系统是PTC的Windchill系统,是基于JA V A的B/S架构模式,本次测试主要测试加密软件与Windchill系统的兼容。
经过与PDM的实施⼯程师交流和实际加密的简单测试,最终确定PDM系统的加密原则:PDM服务器不进⾏加密,访问PDM系统的客户端进⾏加密,不装客户端的电脑不允许访问PDM系统。
PDM服务器不进⾏加密是因为Windchill系统⾥⾯有些功能与加密不兼容,如果服务器上存储的⽂档进⾏了加密,Windchill的有些功能将不能使⽤,⽐如缩略图功能,另外还考虑万⼀加密出现问题后,服务器上的⽂档将⾯临失效的危险,因此确定服务器上不进⾏加密;客户端进⾏加密,凡是从PDM系统上下载下来的⽂档都进⾏加密存储,⽤设计软件绘制的图纸进⾏加密存储,检⼊到PDM系统时进⾏解密;上传到PDM系统的⽂档⾃动进⾏解密;因为PDM服务器是明⽂存储的,所以要对访问进⾏控制,不允许没安装加密客户端的电脑进⾏访问。
亿赛通数据泄漏防护(DLP)整体解决方案V12
目录
亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 产品线及核心技术 典型案例简介
亿赛通发展历程
作为数据泄露防护领域的领跑者,亿赛通自成立以来,专注于数据加密产品的研究、开发和生 产,保持着技术、品牌和市场的领先位置
信息定义
传统信息 公开信息
信息
*本方案以机密电子信息保护为目标 电子信息
机密信息
非结构化
结构化
文档管控
依据信息的机密性,采用一定的管理和技 术手段控制其传播和使用的方法
文档管理
使原来非结构化的信息结构化的一种方法
名词解释
结构化信息:具备固定的形式,可拆分成多个相互关联的组成部分,且有明确层次结构的,其使用和维护 通过数据库进行管理的信息。它具备集中性和关联性的特点。 非结构化信息:形式相对不固定的,常常以各种格式的文档存在的信息,如电子资料、图片等。它具备分 散性和无关联性的特点。
合作伙伴
三大产品系列24个产品模块
• 终端数据安全类产品 • 网络数据安全类产品 • 存储数据安全类产品
资质认证
目录
亿赛通公司简介 信息现状概述 亿赛通DLP解决方案 产品线及核心技术 典型案例简介
信息泄密事件
信息安全事件
Event
“档次”最高的失窃案—— 约克郡主笔记本失窃案
信息现状
人
•内部员工安全意识不足无意泄密 •内部员工受商业贿赂有意泄密 •文档权限划分不清晰导致越权泄密 •重要资料保管不当导致泄密 •离职员工携带历史资料泄密 •商业间谍、病毒、黑客木马等恶意 破坏及窃密等.
信息现状 途径
信息
•信息系统权限管理不当导致的 越权访问泄密 •基于信息系统安全缺陷导致的越 权访问泄密 •基于网络传输安全缺陷导致的恶 意渗透泄密 •基于管理监督漏洞导致的信息 泄密
亿赛通数据泄露防护(DLP)系统安装手册V1.0
文档类型:文档编号:亿赛通数据泄露防护(DLP)系统安装手册北京亿赛通科技发展有限责任公司1.1.1.1.1二O一三年十月三十日文档说明更新历史编写人日期版本号变更内容董伟杰2013-10-30 V1.0 初稿、更新目录1.引言 (5)1.1编写目的 (5)1.2系统背景 (5)1.3术语定义 (5)1.4参考资料 (5)1.5版权声明 (5)1.6最终用户许可协议 (6)1.6.1授权许可 (6)1.6.2知识产权保护 (6)1.6.3有限保证 (7)1.6.4您应保证 (7)2.软件兼容性 (9)2.1服务端的支持情况 (9)2.1.1.对操作系统的支持 (9)2.1.2.对IE浏览器的支持 (9)2.1.3.对数据库的支持 (9)2.1.4.文档权限支持如下应用软件及文件格式(透明加密支持*.*文件类型) (9)2.2客户端的支持情况 (10)2.2.1.对操作系统的支持 (10)2.2.2.文档权限支持如下应用软件及文件格式(透明加密支持*.*文件类型) (10)3.软件安装 (11)3.1.服务器安装 (11)3.2.FTP服务器部署 (15)3.3.客户端安装 (15)4.系统运行前的准备 (19)4.1.检查CDG Server (19)4.2.配置SQL数据库 (19)4.3.检查SQL Server (21)5.软件卸载 (23)5.1.服务器卸载 (23)5.2.客户端的卸载 (25)5.2.1.服务器终端卸载 (25)5.2.2.输入卸载码卸载 (28)1.引言1.1编写目的本手册指导使用者进行软件安装、数据库配置等保证亿赛通数据泄露防护(DLP)系统运行的基本操作。
本手册的使用对象:公司技术支持部、销售部、市场部、测试部和使用亿赛通数据泄露防护(DLP)系统产品的客户。
1.2系统背景系统名称:亿赛通数据泄露防护(DLP)系统版本号:V300R008C01SPH530任务提出者:北京亿赛通科技发展有限责任公司;任务承接者及实施者:北京亿赛通科技发展有限责任公司;系统使用者:使用亿赛通数据泄露防护(DLP)系统产品的用户;1.3术语定义DLP :Data Leakage Prevention,数据泄露防护;1.4参考资料编写本手册时参考的文档如下:《亿赛通数据泄露防护(DLP)系统_DLP需求规格说明书》《亿赛通数据泄露防护(DLP)系统_DLP概要设计规格说明书》《亿赛通数据泄露防护(DLP)系统_DLP详细设计规格说明书》《亿赛通数据泄露防护(DLP)系统_DLP技术白皮书》1.5版权声明本手册以及所提及的数据、图标、名称等信息,所有权皆属于亿赛通公司所有。
亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书
![亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书](https://img.taocdn.com/s3/m/d80e5ad676a20029bd642d96.png)
2. 设计理念
核心信息的加密保护,已经成为企业信息资产保护的一个必要手段。为了配 合企业人性化管理的特点,亿赛通公司贯彻先进的设计理念,结合丰富的实施经 验,并吸收广大客户建议,设计出符合企业安全现状和发展需要的数据防泄露解 决方案-亿赛通智能动态加解密系统 V3.0(简称 SmartSecV3.0)。 2.1. 事前主动防御 企业对于信息资产的保护,传统保护模式均为被动式防御:出现泄密事件后 才引起信息资产的保护重视,紧急调整管理制度并采用硬屏蔽手段来约束泄 密 再 次发生,无法快 速锁定泄密对象和途径 来降低泄密损失。亿赛通 SmartSecV3.0 将打破传统的保护思路,采用对企业信息资产主动设防的理 念,一旦设定保护策略,将对核心信息进行全生命周期强制加密保护,有效 规避员工由于有意识或无意识导致的信息泄密,让企业变被动为主动。 2.2. 事中灵活控制 亿赛通 SmartSecV3.0 拥有强大的策略设定平台和密钥定制平台, 能够根据企 业各种复杂应用和业务需求定制出个性化的管理策略,并通过管理策略的调
图 2 亿赛通 SmartSecV3.0 动态加解密的实现 4.2. 连接支持 亿赛通 SmartSecV3.0 系统服务器端与客户端间采用 IP 可达的连接原则,可 以适用于各种网络环境,在确保不改变企业内部网络构造的基础上,满足企业的 不同的连接需求。亿赛通 SmartSecV3.0 能够在包括域结构、内部专线、VPN、 拨号连接、Internet、VLAN 以及各种内部隔离网络间进行部署和正常连接,如 图 3 所示:
ESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accordance with applicable agreements.
数据防泄漏(DLP)产品功能对比
功能描述
Ping32 IPguard 亿赛通
审批流程支持文件解密审批、邮件解密审批、文档安全外 发审批、离网补时审批等。
控制授权软件于非授权软件之间的剪切板使用权限,可限 制禁止密文复制到明文,密文之间允许复制等权限。
针对各应用服务器(如OA、ERP等)实现文件上传自动 解密,下载到本地自动加密,有效杜绝非法用户的访问。
敏感内容扫描
通过敏感内容扫描策略,可以扫描指定终端上的文档,分 析是否包含指定的敏感数据类别。
文档权限 - 安全域
根据企业组织机构或者指定一组终端用户创建文件安全 域,实现不同安全域内文件相互隔离
文档权限 - 密级
根据终端用户自身属性,为其赋予密级等级,使得用户只 能访问小于或者等于自身密级的加密文件。
支持在移动端(手机、PAD)直接预览加密文件,也支持 直接加密或解密移动端的文件。
在离线终端插入UKEY,保证离线的情况下,加解密功能 继续使用。
在未安装客户端电脑,插入U盘加密客户端时可执行透明 加解密功能,无需另外安装加密客户端。
终端访问加密文件时透明解密,加密文件进行修改、保存 后仍是加密状态。非加密文件操作不受管控。
Ping32 IPguard 亿赛通
绿盾
华途
网站访问控制
对指定的网站URL进行封堵。
网站敏感词拦截
网页关键词拦截。
HTTP 协议过滤
阻断终端通过HTTP协议的文件上传行为。
即时通讯监控 聊天语义告警
记录主流即时通讯软件的对话时间、收发双方、对话内容 等信息。
对话内容包含了敏感的关键词或语义自动报警。
设备管理
功能模块 移动存储使用
功能描述 对终端计算机的移动存储拔插事件进行记录。
亿赛通文档安全管理系统解决方案
通用文档管理系统与亿赛通CDG文档安全管理系统比较(一) 通常电子文档使用管理现状
具有权限的人取出文件
使用亿赛通文档安全管理系统
不能使用文件
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
通用文档管理系统与亿赛通CDG文档安全管理系统比较(二) 通常加密类电子文档使用管理现状
亿赛通文档安全管理系统 (CDG)解决方案
北京亿赛通科技发展有限责任公司 2007年3月
W W W . ESAFENET. C O M
系统概述
亿赛通安全文档管理系统简称CDG,是北京亿赛通科技发展有 限责任公司自主研发的安全共享文档信息的软件产品。
解决了传统文档管理系统的安全隐患及漏洞,实现了文档的安 全共享。
LAN
VPN
外部用户访问 CDG服务器
Internet
VPN
移动用户CDG客户端
分公司 CDG客户端
CDG客户端
身份认证 上传或者下载文件
实时权限控制 全维审计追踪 CDG服务器
其它服务器
数据库
CDG客户端
对资源基于角色的分级授权访问
RBAC(Role Based Access Control)是基于角色的访问控制的英文缩写,基于角色的 访问控制技术的特点是:将对访问者的控制转换为对角色的控制,从而使授权管理更为 方便实用、效率更高。同时,角色与角色之间可以继承权限,使各个角色的权限划分更 为清晰、明确,降低了权限管理的复杂性。角色可以对应现实生活中的行政角色关系, 不同角色的用户可以访问不同权限级别的资源。
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
亿赛通文档安全网关产品介绍
亿赛通文档安全网关产品介绍文档加密安全网关产品概述随着电子信息化建设力度的不断加大,企业越来越多的利用各种应用系统来实现信息的共享和交换,以提高其商务竞争能力和办公效率。
在当今这个信息经济时代,除了要能够随时随地获取信息之外,确保信息的机密性和完整性显得更为重要。
日益加剧的市场竞争和层出不穷的病毒木马,使得数据的安全性受到极大威胁。
亿赛通FileNetSec(文档安全网关)系统是从文件在企业的使用流程入手,将数据泄露防护与企业现有OA系统、文件服务系统、ERP 系统、CRM系统等企业应用系统完美结合,有效解决文档在脱离企业应用系统环境后的安全问题。
应用范围FileNetSec广泛用于保护各类文档服务器、资源管理服务器、OA、ERP、PDM 等应用服务器的数据安全可控。
功能特性智能透明加密文件安全网关为集成硬件设备,硬件部分采用性能强大的网关设备,内置加固、精简的Linux内核系统,系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
超强文档保护文档被强制加密后,只有具备相应密钥的用户才能正常打开,但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息;在密钥不匹配的情况下,文档打开后将以乱码形式呈现,无论通过何种非法途径均无法读取文档内容。
精确访问控制FileNetSec文档安全网关支持远程用户访问公司资源,它通过国际先进的加密技术提供基于网络的访问途径,通过与企业各种应用系统的集成,用户可以访问基于Web的各种数据资源以及共享文件。
并且系统可以实现功能强大的访问控制,通过策略配置可以实现只允许可信的用户和连接访问,拒绝具有安全威胁的用户和连接访问,从而大幅提高整体网络的安全性。
支持双机热备FileNetSec文档安全网关可以根据用户网络的特点和具体要求,在保证网络架构高效简洁的前提下,同时实现网络的负载均衡。
当出现高峰突发访问时,FileNetSec到服务器的连接数并不会突然增加,从而对服务器起到一定的压力缓解作用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
成功数为 75,失败 25,失败率为 25%,耗时平均为 86.775 秒。 对于失败的情况进一步分析: 1) 在执行后,通过 IE 直接访问应用,可正常提交附件,证明网关和应用均 可用; 2) 性能测试客户端(脚本运行的机器)在截屏时无法进行,整个客户端操 作响应缓慢,确认极限测试的瓶颈在客户端,而不在安全网关,客户端 重启后,一些操作正常。
5. 网关用户测试报告 ...................................... 7 5.1. 5.2. 测试环境 ............................................................................................7 测试案例 ............................................................................................9
结论 据以上数据,安全网关在 50 个用户 10M 文档强并发时,性能良好;对于 100 用户强并发,瓶颈转移到客户端,可不再进行进一步测试。
亿赛通硬件网关(服务器、防火墙、安全系统、交换机等) :
品牌 型号 系统信息 主机名 IP 操作系统 CPU 内存 当前值 当前值 172.16.2.171 UBUNTU 8.10 192.168.250.250
2.
序号 1 2 3
软件环境
名称 UBUNTU Windows PTC 版本 8.10 2003 9.0 详细描述(安装路径、配置信息) 亿赛通硬件网关系统 PLM 服务器系统 D:\PTC
ESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accordance with applicable agreements.
亿赛通文档安全网关设备
DLP-NetSec1.0 技术简介
二〇〇九年四月
版本历史
版本 1.0 日期 2009 年 4 月 1 日 备注 第 1 版《亿赛通文档安全网关 DLP-NetSec1.0 简介》
Copyright 2009 ESAFENET Corporation BeiJing P. R. China
4.1. 文档安全系统的架构
SmartSec终端 2U
SmartSec终端
文档安全网关NetSec
OA系统服务器
图 2 亿赛通文档安全系统的架构
4.2. 文档安全系统的访问程
图 3 和图 4 分别给出了终端接入服务器、上传和下载文件的基本流程。
图 3 终端接入 OA 服务器流程
图 4 终端上传和下载文件流程
终端
访问审核日志 应用层协议(http,ftp等) 传输层协议(tcp/udp等) 网络层协议(ip等) NetSec内核层 网络访问控制 网络加速
服务器(DAT)
动态加解密
图 1 亿赛通文档安全网关 NetSec 的基本原理
2. NetSec 与其它系统的兼容性
由于亿赛通文档安全网关采用“透明”方式处理网络数据包,在其它系统看 来,好像不存在这个网关一样,因此,亿赛通文档安全网关能够兼容其它各种网 络系统。
系统简要信息
3. 网络拓扑
(测试拓扑图)
5.2. 测试案例 1. 功能性测试
测试步骤 1) 步骤一、搭建一套完整的 PLM 平台,环境包括 windchill、tomcat 等(plm 服务器不安装亿赛通客户端) ; 2) 步骤二、网关 eth0 接入公司内网段并设置 ip:172.16.2.171、eth1 设置 ip:192.168.250.250,并配置好 nat;PLM 服务器本地连接 1 设置 ip:192.168.250.251; 网关与 PLM 服务器之间通过 ‘交叉线’相 连接,使其传输模式为透明而非代理; 3) 步骤三、配置好网关加解密文件类型&加解密密钥,设定好 PLM 客户 端账户权限,通过域名解析将 172.16.2.171 解析成 ; 4) 步骤四、亿赛通客户端通过 web 登录 http:// /Windchill,输入相关 plm 账号后上传不同类 型的加密文件,登录到 plm 服务器查看上传的加密文件是否变成明 文(a. 直接通过对应文件类型的软件打开、b. 通过右键选择记事 本方式打开) 如果能正常打开或者在记事本中最左上角未出现 Esafe Lock 标志的话证明其文件为明文,寻找另一台未安装亿赛通的客户 端通过 web 登录到 http:// /Windchill 下载 之前上传的那几个文件到本地看文件是否是密文(a. 直接通过对应 文件类型的软件打开、b. 通过右键选择记事本方式打开)如果提示 不能识别的格式或者在记事本中最左上角出现 Esafe Lock 标志的话 证明其文件为密文。
Due to update and improvement of ESAFENET products and technologies , information of the document is subjected to change without notice.
目
录
1. NetSec 的基本组成 ...................................... 4 2. NetSec 与其它系统的兼容性 .............................. 4 3. NetSec 对系统性能的影响 ................................ 4 4. NetSec 的应用 .......................................... 5 4.1. 4.2. 文档安全系统的架构 ......................................................................5 文档安全系统的访问流程 .............................................................5
5. 网关测试报告(宇龙通信)
5.1. 测试环境 1. 硬件环境
PLM 服务器(服务器、防火墙、安全系统、交换机等) : 品牌 型号 系统信息 主机名 IP 操作系统 CPU 内存 当前值 当前值 IBM XSERIES_3650
YL_PLM_1
192.168.250.251 Windows 2003 server SP2 E5405 2.00GHz 4GB
结论 网关能对上传的加密的文件(同密钥)解密,密文在 plm 服务器上是明文, 并且客户端通过 web 方式下载 plm 上的文件落地自动加密成密文。
2. 压力性测试
测试步骤 通过脚本对 plm 服务器进行并发性上传附件操作,以下为没网关和有网关的 情况下,50 用户 10M 文档强并发,同时提交附件,每个用户执行一次,直到运 行结束的耗时情况。 1) 没有网关的情况下的测试
50 用户全部成功,平均耗时 14.768; 2) 有网关的情况下的测试
50 用户全部成功,平均耗时 15.634。 结论 以上两图中的红线部分为每个用户执行的平均耗费时间,基本上相差 1 秒的区 别,损耗在 6%,可以接受。
3. 极限性测试
策略步骤 在网关的情况下,执行 100 个用户 10M 文档强并发,同时提交附件,每个用户执 行一次,直到运行结束的耗时及失败情况。
3. NetSec 对系统性能的影响
从理论上来说,文档安全网关对系统性能会有一定的影响,但由于亿赛通文 档安全网关采用特有的网络加速处理技术,在大多数情况下,不仅不会对系统性
能产生影响,而且能够从整体上提高网络的访问速度。
4. NetSec 的应用
下面我们以 NetSec 在 OA 系统中的应用为例,说明如何通过 SmartSec 与 NetSec 的配 合保障文档的安全。
1. NetSec 的基本组成
亿赛通文档安全网关 NetSec 是亿赛通文档安全管理系统 SmartSec 的网络功 能模块,用于保障 SmartSec 系统与其它网络系统的无缝集成并为其他网络系统 提供文档安全保障。 NetSec 由硬件和软件两大部分组成,其中硬件采用高性能 的网络服务器,软件为亿赛通研发的文档安全网关软件。亿赛通文档安全网关软 件由“网络加速”“访问控制”“访问日志”和“动态加解密”四大模块组成, 、 、 其基本原理结构见图 1.