文件加密方案

当前企业数据安全面临的挑战
安全重点由外到内的转变
- 根据Ponemon Institute 的研究，78%的资料外泄事件
都是由企业内的合法使用者所造成
信息泄露事件愈演愈烈
- 竞争企业之间上演无间道，数据泄密所带来的损失逐年增加
机密信息管理薄弱
- 企业部署了许多防护措施，例如VPN、防火墙、网络监视器等等 但这些措施只能做到‘防外’却不能做到‘安内’。
客戶
企业安全现状二：封堵式(典型应用：桌面安全产品）
方案特点：
模具廠
牺牲便捷性换取敏感信息安全性的提高 限制联网阻断敏感信息通过互联网泄漏 优点：不影响用户操作，对业务环境影响较小 缺点：无法解决敏感信息泄漏的问题
方案安全漏洞
网络 黑客 攻击
路由器
敏感数据外发时可能被合作伙伴泄漏 网络木马、病毒、黑客攻击导致敏感信息泄漏 敏感信息因出差时电脑设备外带导致泄漏 外网访问业务系统泄漏
客戶
企业安全现状三：磁盘加密式(典型应用：安全堡垒、环境加密）
方案特点：
模具廠
针对敏感信息的存储介质进行加密 只能保证磁盘硬件丢失情况下的数据安全 优点：不影响用户操作，有较好便捷性 缺点：依然无法解决敏感信息泄漏的问题
方案瓶颈
存储在被加密的磁盘里的数据全部是明文，并且接受任何 应用程序的访问（QQ\MSN……，各种网络磁盘……等所有 通过互联网泄漏的应用程序）
2006年CSI调查显示： 在所有的安全技术应用中，以数据加密传输 和加密存储为基础的技术应用所占比率分别 为66%和47%。
近期泄密案例
2006年，国内《信息安全等级保护管理办法》，美国《萨班斯—奥克斯利法案》的正式实施 对于信息安全产业产生了标志性的影响。
企业安全现状及泄密途径分析
工廠
敏感信 息外发 给合作 伙伴时 泄漏
产品介绍
四大特征TPKC 系统架构介绍 应用系统数据安全方案 策略&功能介绍
项目实施步骤 我们的客户 演示与问答
我们的客户
作为中国最大的SUV生产厂商，长丰集团近年发展迅速，07年销售收入即已超过260亿，这家由军工 厂转制的大型企业非常注重企业信息安全建设，为保护其庞大的图文机密资料，长丰集团从06年就开 始筹备文档保护项目，经过考察并试用国内多家厂商的产品后，最终选用了‚Dynamics 文档安全管 理系统‛。长丰集团机构众多，遍布全国，需要保护的除了办公文档，还有各种CAD/CAM图纸和文 件，涵盖的软件从OFFICE/PDF/PS到复杂的CAD/CAM等大型开发工具软件多达30余种 重邮信科是国内拥有3G核心技术的为数不多的几家源头企业之一，从事3G协议栈与芯片的研发，信息 安全事关该企业的生存和发展，其对相关信息防护措施的要求非常严苛。在选用加密系统的招标过程中， 重邮信科经过严格反复的测试发现，在所有的参测产品中，除Dynamics 系统以外，其他产品在复杂 的开发、编译、仿真和测试环境等方面无法满足其稳定性、安全性等要求，诸多关键应用无法得到支持。 重邮信科要求加密保护的软件包括日常办公软件（OFFICE/PDF/IPD/EMAIL）、代码工具、编译软 件、设计软件、仿真软件、其他工具软件总计80余种，其严格的要求与实施难度代表着国内目前最复 杂的加密环境 作为省级运营商，湖南移动对信息系统的建设要求一向严谨专业，文档安全项目是其完善信息安全 体系的基础措施之一。经过多方考察和严密测试，湖南移动选择了UUDynamics作为其日常办公文档 安全保障的核心设施。
截图录像： 储介质 Camtasia\…… 硬件接口： USB接口 蓝牙\……
移动存 泄漏
HTTP： 163\QQ网盘…… WEB应用系统 上传敏 百 度 感信息 \Google…… 泄漏 其它
通讯工 具、邮 件泄漏
外网访 问泄漏
外协电 脑连入 泄漏
移动 设备 外带 泄漏
打印敏 感信息 泄漏
HR
OA
Disk
内核层透明加解密原理
明文\密文
Win32 Application Programming interface
User Space Kernel Space 明文\密文
Windows I/O Manager
明文\密文
Windows Cache Manager
Cache Operation
Windows File System TSFS Installable 平台 (Windows) En/Decrypt Data Realtime（实时加解密） Windows Real File System
数据要 怎么加 密？
d) 加密数据使用过程的明文状态保护？
如何保证加密数据不损坏
a) 怎样预防加密数据出现明密文交互导致数据损坏
数据需要 加密！ 数据加密之路，安核考虑得更远！
系统性能影响——集成缓存的重要意义
工作软件： 件自带 Office\PDF 通讯功 …… 2D\3D drawing 能泄漏 Protel\VC …… Coredraw……
工作软
通讯软件： QQ\MSN\…… 邮件系统： Foxmail 通讯工 Outlook\……
截图录像： Camtasia\…… 硬件接口： USB接口 蓝牙\……
移动存 储介质 泄漏
具、邮 件泄漏
HTTP： 上传敏 163\QQ网盘…… 感信息 WEB应用系统 泄漏 百 度 \Google…… 其它
外网访 问泄漏
外协电 脑连入 泄漏
移动 设备 外带 泄漏
打印敏 感信息 泄漏
HR
OA
PDM
ERP……
企业安全现状及泄密途径分析
工廠
敏感信 息外发 给合作 伙伴时 泄漏
敏感信息防泄漏解决方案
——UUDynamics产品介绍
Agenda
公司介绍 企业数据安全背景
企业安全现状及泄密途径分析 应对举措分析
数据要怎么加密？
透明加解密技术介绍 应用层加解密技术原理与瓶颈 内核层加解密技术原理
数据加密之后？
系统性能影响 软件兼容与系统稳定 如何保证数据不损坏
a) c) 加解密速度？ 加密系统自身安全性？
数据加密系统，如何选择！！
b) 大文件加解密效率？ d) 运行于内核的加解密软件对操作系统的影响？
软件兼容与系统稳定
a) c) e) 怎么梳理用户终端的软件进程？
数据加密之后？
b) 加密数据的访问控制？（金山词霸、杀毒软件、对应的编辑软件） 怎样防止泄密软件进程不泄露敏感信息？ 软件厂商对于内核加密程序的维护能力？
路由器
工作软件： 件自带 Office\PDF 通讯功 …… 2D\3D drawing 能泄漏 Protel\VC …… Coredraw……
工作软
通讯软件： QQ\MSN\…… 邮件系统： Foxmail 通讯工 Outlook\……
截图录像： Camtasia\…… 硬件接口： USB接口 蓝牙\……
客戶
企业安全现状一：开放式
敏感信息的安全隐患：
模具廠
网络 黑客 攻击
路由器
敏感数据外发时可能被合作伙伴泄漏 网络木马、病毒、黑客攻击导致敏感信息泄漏 敏感信息通过工作软件自带的通讯功能模块泄漏 敏感信息通过通讯软件泄漏 敏感信息通过邮件系统泄漏 敏感信息通过硬件接口拷贝泄漏 敏感信息通过网络存储泄漏 敏感信息通过外网访问业务系统泄漏 敏感信息通过打印泄漏 敏感信息因出差时电脑设备外带导致泄漏 外部人员的电脑接入内网导致信息泄漏
PDM
ERP……
Agenda
公司介绍 企业数据安全背景
企业安全现状及泄密途径分析 应对举措分析
数据要怎么加密？
透明加解密技术介绍 应用层加解密技术原理与瓶颈 内核层加解密技术
数据加密之后？
系统性能影响 软件兼容与系统稳定 如何保证数据不损坏
产品介绍
具、邮 件泄漏
HTTP： 上传敏 163\QQ网盘…… 感信息 WEB应用系统 泄漏 百 度 \Google…… 其它
打印敏 感信息 泄漏
HR
OA
PDM
ERP……
应对举措分析
工廠
敏感信 息外发 给合作 伙伴时 泄漏
客戶
安全举措
透明加解密
详细描述
工作软件保存数据自动加密，读取数据自动解密 可能泄密的应用程序访问数据时不予解密 控制工作软件可能泄密的通道，禁止访问工作外URL 加密数据的打印，生存期，读写权限、次数等 业务系统检出加密、检入自动解密
四大特征TPKC 系统架构介绍 应用系统数据安全方案 策略&功能介绍
项目实施步骤 我们的客户 演示与问答
透明加解密技术介绍
透明加解密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓 透明，是指对使用者来说是不可见的。当使用者在打开或编辑指定文件时，系统将自 动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内 存中是明文。一旦离开使用（环境），由于应用程序无法获得自动解密的服务而无法 打开，从而起到保护文件内容的效果。 透明加解密技术是与操作系统紧密结合的一种技术，它工作于操作系统底层，从技术 角度看，可分为内核级加密和应用级加密两类。 应用层加密：属于内容级安全管理软件，基于Windows操作系统的API hook技术制造，其软件本身
是跟应用软件有紧密关系的一种方式。
驱动层加密：基于windows的文件系统（过滤）驱动（IFS）技术，工作在windows的内核层。与应
用软件无相关性，属于内容级管理软件.
应用层加解密原理与技术瓶颈
应用层加密介绍
DOS INT 2E
API HOOK
Win32 Application Programming interface
a) 文件加解密与应用程序相关，即加解密是分布于各应用程序 b) 无法实现缓冲管理，导致效率低下 c) 支持面小，对不调用API函数的应用程序无法支持；对部分调 用API函数的程序产生数据部分加密部分无法加密的效果，导 致文件损坏；对使用驱动程序完成部分文件操作的应用程序无 法支持；无法支持流文件对象； d) 针对使用内存映射的应用程序，在处理大文件透明加解密时容 易对文件造成破坏
User Space
Kernel Space
Native
Windows I/O Manager
Windows Cache Manager
Cache Operation Sorry I can’t!
Windows Installable File System
Windows Real File System
数据加密之后？
系统性能影响 软件兼容与系统稳定 如何保证数据不损坏
产品介绍
四大特征TPKC 系统架构介绍 应用系统数据安全方案 策略&功能介绍
项目实施步骤 我们的客户 演示与问答
数据加密之后的重点考量
数据加密——绝对不止是加密那么简单！！
系统性能影响
模具廠
智能解密 工作软件URL限制 密文权限控制
网络 黑客 攻击
路由器
业务系统安全
工作软件： Office\PDF 工作软 …… 2D\3D drawing 件自带 Protel\VC 通讯功…… Coredraw …… 能泄漏
通讯软件： QQ\MSN\…… 邮件系统： Foxmail Outlook\……
移动存 储介质 泄漏
具、邮 件泄漏
HTTP： 上传敏 163\QQ网盘…… 感信息 WEB应用系统 泄漏 百 度 \Google…… 其它
外网访 问泄漏
外协电 脑连入 泄漏
移动 设备 外带 泄漏
打印敏 感信息 泄漏
HR
OA
PDM
ERP……
企业安全现状及泄密途径分析
工廠
敏感信 息外发 给合作 伙伴时 泄漏
方案问题：能否全部范围限制接口和互联网连接？
工作软件： 件自带 Office\PDF 通讯功 …… 2D\3D drawing 能泄漏 Protel\VC …… Coredraw……
工作软
通讯软件： QQ\MSNwk.baidu.com…… 邮件系统： Foxmail 通讯工 Outlook\……
截图录像： Camtasia\…… 硬件接口： USB接口 蓝牙\……
密文
Disk
密文
a) b) c) d)
业界领先的加密技术 受操作系统保护 具有无可质疑的稳定性 文件加解密统一由TSFS平台处理
Agenda
公司介绍 企业数据安全背景
企业安全现状及泄密途径分析 应对举措分析
数据要怎么加密？
透明加解密技术介绍 应用层加解密技术原理与瓶颈 内核层加解密技术