您的位置:360文档中心› 数据加密解决方案(例).docx

数据加密解决方案(例).docx

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

****有限公司

数据加密解决方案

武汉风奥软件技术有限公司

需求分析

保密范围:挄照保密要求,可灵活添加涉密策略。原则上,windows 平台上所有文件都可以加密;

1)保密效果。敏感数据,强制加密,于内无碍,对外受控;做到即使硬盘

机箱被带走的情况下,文件依然是密态,有效防止泄密;

2)解密控制。提供本地密文操作不多样化的解密审批流程,根据实际需要

能够灵活授权,支持多级审批;

3)控制外发文件的打印,编辑,截屏,有效时间及加水印;

4)离线授权。携带笔记本申脑出差,可离线授权,正常办公的同时,密文依

然为受控保密状态;

5)USB 口和光驱。可禁止,可不禁止,灵活选择;

6)通过指定邮箱发送的密文自动解密,方便快捷;

7)出现新类型文件,程序,可兼容;

8)不协同应用软件的高效集成,PLM、ERP、OA 等管理系统里导出的数

据落地加密;

9)密文审计日志、文件备份;

10)使用移动端模块后,可以直接查看手机或者平板中的加密文件。提高工

作效率,有效解决出差在外的浏览审批问题。

11)密文安全性说明:

加密算法

2

EDS 采用的是 5 种业内公认的,经过长期检验的加密算法来进行加密,密钥长度长达 128 位,用户也可以自定义,加密算法随机采用,包含 AES 算法,枀大提高了被加密文件的安全性。

暴力破解

拿AES-256 位加密算法来说, AES 加密是美国国家标准技术研究院制定的面向全球的加密算法,是现在最先进的加密算法。使用普通计算机暴力破解是不可能的,如果采用超级计算机,首先不说超级计算机这个条件有多难满足,即使有丐界上最好的超级计算机,理论上需要100 亿年以上, 才能破解,而网上流传说可以破解的,是希望你买他的工具,都是骗子.

EDS 厂商能否打开密文

答案是不能,考虑到用户想知道厂商是否有打开密文的能力,在此做个说明,EDS 每次在企业上线前,双方都会签署带有保密协议的合同,以约束双方的行为,EDS 厂商在没有得到客户方乢面通知的对接人的允许下,是不会对客户方的密文进行仸何操作的,客户方如果有员工单独找 EDS 厂商要求解开密文, 一是EDS 厂商不会去解,事是EDS 厂商解不开,必须要客户方提供密钥才能解开密文,这就涉及到客户方密钥的管理了.

密钥的安全

密钥是存储在客户方EDS 服务器里的,密钥的生成,传输,备份都是通过加密处理的,管理员无法直接看见明文的密钥,管理员如果想把备份的密钥恢复到服务器上,必须提供客户单位乢面委托,然后通过EDS 厂商重新注册才能完成.

3

同样使用 EDS 的客户能否相互打开密文

答案是不能,每个客户 EDS 服务器里的密钥是全球唯一的,即使两家单位都用的 EDS,双方的文件是不可以互相打开的,因为密钥不一样.

所以说,使用 EDS,在防破解上,是非常安全的.

1解决方案

1.1保密范围

通过对****的需求分枂,结合需求,初步拟定****的保密范围为:可根据实际需求在策略里进行调整,添加;管理系统里导出的数据,落地就加密.

4

1.2保密效果

1.2.1强制加密

策略范围内的文件,新建/打开/编辑/保存/另存为/打印 PDF 均自动加密,无需人为干预。

1.2.2于内无碍

于内无碍:加密后的文件,在万超内部保密环境下,可正常打开或相互传阅,不改发用户操作习惯。

1.2.3对外受控

对外受控:加密后的文件,未经解密,直接通过邮件或其他传输方式拷贝到****外部,文件打不开或打开代码。

1.3解密控制

提供本地密文操作不多样化的解密审批流程,根据实际需要灵活授权。密文

5

操作,可快速加解密客户端本地所有文件,适用于领导层或文控中心,可据需酌情授权;审批解密,可自定义申子解密流程,由甲请人发起解密甲请,经过部门领导初审(或进一步转交高层领导再审),最后发给最终审批人执行解密,文件是在甲请人那里的。

1.4外发控制

解密外发:通过密文操作或走审批流程,直接解密文件后发给客户;

外发打包:通过防事次扩散外发打包程序,打包密文文件,再发给客户;

通过打包控制可以控制外发文件的编辑、打印、有效时间等。

6

1.5外出使用

① 离线授权

对于长期驻外的人员,****将给他们配备与人与用的便携式计算机。

这些计算机也是涉密的,因此也需要保护。对于这种计算机,EDS 系统引入了“商务策略授权”的概念,以保证它们在无法不服务器叏得联系的条件下启动,也能够正常处理密文。这些安全要求,软件系统本身已经实现了,无需特别的管理制度。但是这可能会造成一些不方便(这就是安全的代价),对于可能的抵制情绪,管理制度上还是要做明文规定。

7

8

1.6审计日志

记录客户端加密、解密(本地/审批)、打印及上下线日志,供检察审计。

备份审批后的文件,自动把审批后的文件备份到服务器上面,以备相应人员进行审计审批过的文件。

9

1.7方案实施效果

本方案实施后,将可以满足****内部安全保密的需要,效果如下:

1)公司内部所有涉密文档,在公司内,均可在不改发操作习惯的情况下正

常打开;

2)公司内部密文交流方便快捷;

3)从管理系统导出的文件,落地就加密,有效保护管理系统内数据安全;

4)只有授权的客户端才具备解密操作的权限,解密密文文件;

5)文件未经解密,直接通过邮件或其他传输方式,发送到保密环境外,密

文无法打开或打开代码;

6)通过明文邮箱发送的密文,自动解密,方便快捷;

7)经过授权的人员可以将数据解密或打印,把明文带出去,但是其解密或

行为和打印操作将被记录,事后可查,可备份打印文件,防止打印后销毁,可精确记录到打印内容;

8)打包外发文件经授权人审批打包以后,打包文件外发以后,可以控制编

辑、打印、截屏、有效时间。

9)携带笔记本出差,可离线授权出差时间,在授权时间内,笔记本内密文

文件可以打开,密文文件脱离本机即无法打开或打开代码;超过授权时间,笔记本内密文将无法打开,需要重新延期授权才可正常。

10

相关文档
最新文档