文件加密模块介绍

1、天锐绿盾采用驱动级加密技术,与其它加密技术对比优势如下:

磁盘加密:

磁盘加密技术工作在内核层下面,磁盘层上面,无法识别哪些数据是哪个进程写入或读取的,这样导致任意应用程序轻易就可以读取该加密文件,比如保存在网络共享磁盘,就是明文。

应用层加密:

应用层加密通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。与应用程序密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。应用程序为了防止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行,所以应用层加密很容易通过反钩子来避开绕过。应用层透明加密技术(钩子透明加密技术)开发容易,但存在技术缺陷,应用程序版本变更容易产生不兼容,而且容易被反Hook所破解。

驱动层加密:

驱动层透明加密技术工作在windows的内核层,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定,但开发难度大。


2、国内独有的“三重密钥”体系:

主密钥:由天锐分配给每个用户全球**的密钥,保证每个购买天锐绿盾的企业文件不会互通;

公司密钥:由用户自己设置的密钥,保证加密厂家获取加密文件也无法解密

文件密钥:每个文件加密时随机生成一个文件密钥,提高加密的安全性。


3、“多采集服务器”部署方式,即实现集中式和分布式一体化管理。

理论上实现无限制终端用户数统一平台化管理。比如:七匹狼5000用户、山东齐鲁制药4000用户使用多采集服务器。


2.jpg


*强制透明加密

从信息泄密角度来看,只要是明文文件在硬盘上保存,无论是从访问控制、设备监控、安全审计等手段都无法从根源上彻底解决信息的安全。最有效的手段就是对存储信息进行强制加密保存。

1)强制加密:通过驱动层动态加解密技术,对企业内部所有涉密文档进行强制加密处理,从文件创建开始即可自动加密保护。

2)透明使用:加密文档在加密前后对于数据合法使用者无任何差异,不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成,对用户而言完全透明、无感知。



*全盘加解密

在系统部署上线时,天锐绿盾对企业内部所有终端(包括:Windows、Linux和Mac设备)需要加密保护的文件,可通过管理员统一下发全盘加密策略,对终端上的文件进行全盘或指定目录扫描加密。在卸载天锐绿盾终端程序之前需要先把终端电脑上的加密文件进行解密,也可以通过控制台上的“全盘加解密”功能进行全盘解密。另外,系统支持“目录过滤”功能,对不需要进行全盘加解密的可目录进行过滤,且全盘解密完成之后,会在后台有统计日志



对于企业内部文档,根据其所承载的涉密程度不同,需要由不同涉密等级的的人员进行处理,这就需要对涉密文档和使用者进行密级标识,以控制涉密文档的安全性。管理员可对每个终端用户设置用户密级:公开文件、内部资料文件、秘密文件、机密文件、绝密文件(其中公开文件<内部资料文件<秘密文件<机密文件<绝密文件)。系统还支持修改密级描述、自定义密级级数、并提供多套密级图标。密级设置之后,每个等级只能查看不高于自己密级的文档,从而有效防止内部涉密文档被越权查看。

另外,为了方便内部文档交互使用,具备密级转换权限的用户,能够进行文档密级转换,且只能将文档转换成比自己低的密级。普通用户需要查看高于自己密级的文档或者需要提高文档密级,以增加文件浏览的人员限制时,可通过走申请文档密级转换流程,待审批通过后下载查看。


*落地加密

落地加密是指文件从网络下载到终端时立即加密,保证从网络平台接收、下载数据的安全。

在日常工作中,在日常工作中,员工常常要通过企邮箱、企业通讯工具等方式接收外部文件,为防止这些渠道接收的文件泄密,我们提供落地加密的方案进行防护,员工从邮箱、通讯工具等途径下载的文件,下载即加密,在企业内部可正常查看、编辑、保存和交互,在不影响员工日常办公的前提下**限度保障此类渠道接收文档的安全。



*全盘加密历史文

在系统部署上线时,对企业所有电脑现有需要加密保护的文件,管理员可统一下发全盘加密策略,对终端上的文件进行全盘批量加密。在卸载天锐绿盾终端程序之前需要先把终端电脑上的加密文件进行解密,也可以通过控制台上的“全盘加解密”功能进行全盘解密。

*部门阅读权限隔离

可以根据需要,设置不同部门、不同操作员的文档阅读权限,即授权指定部门或用户只能访问指定部门的文档,其他文档,即使获取到,也无法打开,有效避免因误发文档导致泄密的情况发生。

*为天锐绿盾量身定做自主开发的数据库

安装方便快捷,存取速度极快,数据库维护方便,数据库安全性高。同时天锐绿盾支持主流的数据库。天锐绿盾数据库模块是专门针对天锐绿盾信息安全管理软件的业务功能而开发的一个数据存储子模块,在设计阶段我们经过大量的研究与测试,最终决定采用自己开发一个天锐绿盾数据库模块来实现,以下主要说明下为什么要再开发一个数据库模块而不是使用当前已有的数据库管理系统。

举个例子:一台终端每操作(新增、修改、删除)一个文件或者变换窗口都会产生一条的日志(如文件操作日志、窗口标题日志),则在正常的办公环境下,平均一台终端一天开机10小时就会有近1000条左右的日志,相应的1万台终端则一天就会有1000万条的数据。按照公安部计算机信息系统安全产品质量监督检验中心颁布的标准:日志信息至少保存两个月以上,那么两个月就是6亿条。这么大的数据量,业务功能能否实现,主要体现在以下几点上。

插入效率

天锐绿盾数据库模块针对我们的业务需要只做最简单的数据插入,而其它浪费插入效率的操作如索引、簇我们都不做。天锐绿盾数据库管理模块每秒钟能够插入的数据在20000条左右,远远超出我们业务对表数据插入效率的要求。

查询效率

天锐绿盾数据库模块针对我们的业务应用需求,采用了分布式存储方式,我们存储数据时将这些数据按每天和每个终端分成每一个表进行存储,这样查询就能快速的定位到哪一天及哪一台终端上。从1000条记录中查询一条数据记录与从6亿条记录中查询一条记录效率差别可想而知。

护灵活性

由于天锐绿盾数据库模块采用分布式的存储,每台终端每天都分开存储,这样无论是清理或者备份都只需找到指定日期目录的文件夹然后进行删除或者拷贝即可。

安全性

由于天锐绿盾数据库模块是我们独立自主开发的,所以我们可以实现对数据存储字段进行加密存储,保障数据更加安全,就算数据库泄露被人获取也无法获取数据库里的数据。

综上所述,天锐绿盾数据库模块是专门针对天锐绿盾信息安全管理软件的业务功能而开发的,完全能够满足绿盾信息安全管理软件业务功能上的需求。

当然像SQL SERVER、ORACLE这种大型的数据库管理系统都支持海量的数据存储,但是这种大型的数据库软件要实现海量的数据存储无论从前期的设计,开发到后期的部署、实施和维护都比较复杂,显然对于天锐绿盾信息安全管理软件这种类型的软件应用,我们自主开发的数据库模块,无论从设计、业务应用还是成本上都是最适合我们的绿盾信息安全管理软件的。

天锐绿盾数据库模块是由我们天锐科技独立自主开发,是天锐绿盾信息安全管理软件中的一个子模块,它并不是一套数据库管理系统,而是属于天锐绿盾信息安全管理软件。天锐绿盾信息安全管理软件于2008年09月04日获得软件著作权,软件著作权登记号:2008SR18094。


服务器白名单

企事业单位无需在内部应用系统上安装任何插件,事前通过数据防泄密系统统一配置,实现终端加密文件上传到指定服务器是明文,或者密文;单位内部的加密终端根据下发配置要求,系统会自动判断,如果要求明文存储,自动解密后上传,无需人工干预。



应用安全网关

公司内部的应用系统越来越多,这些系统一般处于开放的环境,也就是说只要在同一个网络,知道地址的话,任何人都能直接访问内部的应用系统,而有些应用系统涉密级别比较高,并不希望任何人都能够访问,只有经过授权用户才能允许访问指定的内部服务器,从而保障内部应用服务器的数据安全。
针对企业内部应用服务器保护,我们提供以下方案来进行保护:


管理思路:

应用接入在用户的局域网内部署天锐绿盾应用服务器安全接入系统,只允许安装有数据防泄密系统客户端的终端用户正常接入应用服务器,非法用户禁止接入;

上传下载安装有数据防泄密系统客户端的终端用户,在允许访问合法应用服务器同时,配合终端的透明加解密模块和服务器白名单模块,实现文件上传自动解密、下载自动加密;

非法外联安装有数据防泄密系统客户端的终端用户将禁止连接仿冒应用服务器,防止非法用户利用客户端上传自动解密机制进行非法外联泄密。

跨平台兼容天锐绿盾应用服务器安全接入系统支持包括windows\MAC\Linux的终端类型,能够有效解决企业内部Windows、Mac、Linux终端混合使用的情况。