数据安全解决方案
1.系统概述
天喻数据防扩散系统旨在对企业中重要的电子文档数据提供有效的保护。在技术上采用先进的加密算法对指定的数据进行加密,密钥及核心算法存放于硬件智能卡内,不可跟踪及复制。加密后的文件在企业内部可正常使用,当文件脱离企业环境后,由于不能获得服务器上的文件密钥,应用程序将无法打开加密数据,从而有效的实现对加密数据的保护。
(天喻产品数据防扩散系统界面)
2.系统架构
天喻数据防扩散系统采用国内先进、国际通用的软件架构体系和软件开发准则对产品进行开发和封装。成型后的产品稳定性高,可配置型强,具备良好的扩展性和易用性。系统以C/S和B/S相结合的混合模式提供基于实时加密的数据加密及应用业务,系统架构模型如下图所示:
(系统架构模型图示)
3.设计模式
天喻数据防扩散系统通过在企业构建安全平台来实现对企业核心电子数据的全面防护。通过天喻数据防扩散系统及相关产品的部署,企业内的电子数据一旦产生,就是安全的加密状态,加密后的文件仅能在企业内部流转、使用。若是有出差、离线使用数据的需求,需要专人授权使用;若有对外交流的需要,则需要专人审核解密;除合法途径之外的其他方式流出的数据(如QQ、U盘拷贝等),一旦数据脱离企业内部,自动无法使用。
(系统设计模式图示)
4.核心技术
天喻数据防扩散系统中的文件加密技术,采用的是底层文件过滤驱动技术,由内核驱动对数据进行实时、动态加解密。系统工作于Windows API函数的下层,当API函数对指定类型保护数据进行读操作时,系统自动将文件解密提交至应用程序;当API函数对指定保护数据进入写操作时,自动将明文进行加密,存放于存储介质中。工作在受Windows保护的内核层的文件过滤驱动技术运行速度快,加解密操作稳定。
(文件过滤驱动技术加解密原理示意图)
此项内核驱动加密技术由天喻软件自行研制开发,其稳定性、对文件的处理效率、平台兼容性均处于业界领先水平。
5.系统易用性
天喻数据防扩散系统采用实时、动态加解密技术,确保数据始终处于加密状态,透明强制的加解密方式不改变数据的名称、图标、存储位置、修改日期等参数,用户使用加密数据的方式与未实施加密之前完全一致,采用本解决方案后,系统后台静默运行,用户无任何感觉。
(数据自动加密效果图示)
6.系统兼容性
天喻数据防扩散系统能够稳定支持市面上几乎所有电子数据的加解密处理,能够兼容Windows全系列操作系统,支持部分Linux、Unix内核操作系统的加解密处理,支持Android、iOS移动操作系统内核的扩展应用。
解决方案兼容(支持)的软件列表如下(不限于):
(软件兼容性支持列表图示)
7.系统安全性
天喻数据防扩散系统采用以下技术手段,有效保障了密钥及加密数据的绝对安全:
- 密钥的产生、计算过程均采用随机算法。
- 程序密钥为256位密钥,可破解性极低。
- 产品密钥存放于硬件智能卡(硬件锁)中,不可追踪、不可复制、不可反编译。
- 密钥的获取过程、传输过程、使用过程均再次加密处理,杜绝密钥的非法获取。
- 服务端采用银行智能卡级别的秘钥存储机制。
- 客户端采用AES加密算法,网络传输层采用3DES加密算法。
(系统安全架构图示)
8.泄密途径控制
天喻数据防扩散系统对所有可能造成信息流失的方式都提供了完备的解决方案,尽量考虑到所有可能造成信息流失的途径,屏蔽了诸如另存输出、剪贴板、打印机、截屏等各种高危操作,涉密数据将始终以密文形式存储在物理介质上,从而能够有效的防止企业内部涉密信息的流失。
系统屏蔽的可泄密途径列举如下:(支持但不仅限于)
- 允许或禁止程序间通过剪切板拷贝/粘贴传递数据;
- 允许或禁止客户端进行打印输出数据;
- 允许或禁止程序间通过OLE动作进行数据交互;
- 能够辅助管控USB存储设备(控制USB存储设备的禁用、只读、读写状态),并且不影响USB鼠标和键盘的正常工作;
- 能够限制截屏、录像等获取数据的行为;
- 能够杜绝客户端的非法卸载;
- 能够禁止用户非法结束客户端进程;
9.日志审计
天喻数据防扩散系统提供详细、完备的日志管理功能,记录所有的配置修改、权限修改、流程申请、审批、在线离线加密解密、在线离线打印等操作的详细信息,管理人员可根据系统提供的多种查询方式方便的查询、审计及泄密事件追溯。
(系统日志审计界面图示)
(流程解密量统计图示)
10.与业务系统集成
天喻软件数据安全部可以根据企业的特定需求,实现与管理系统集成环境下的定制开发。定制开发后,能够和企业的OA、档案系统、ERP系统等各种专业的业务系统进行整合,实现对业务系统中重要数据、重要文件的安全防护。
若企业有着更为深入的集成需求,天喻数据安全部可根据企业的实际需求,提供专用的接口和API,供企业进行自行调用,进而达到企业所需要的深度集成应用的目的。
通过与企业的OA、ERP、档案、PDM等系统的应用集成,集成后,能够有效保证系统中的文档数据安全,实现上传解密、下载加密、准入控制等功能。文档安全管理与业务系统集成后,对业务系统中重要的文档进行加密防护与授权,保证涉密数据即使从业务系统中下载、签出至用户本地,也是安全的加密状态,将业务系统中文档的安全区域扩展至用户桌面。
11.外发模块
当用户需要将数据提供给合作单位(接收单位)时,先使用外发模块将数据进行安全处理,对数据的使用权限、使用期限、使用方式等进行安全管控设定。设定成功后,将处理完成的数据及InteDOC浏览器(绿色文件,简单小巧)共同提供给数据接收方。数据接收方收到数据后,使用InteDOC浏览器对接收到的数据进行控制范围内的查看、使用。
对外发出去的数据,系统支持三种验证方式:
- 密码验证:接收单位打开外发文件时,必须输入正确密码才能打开浏览。
- MAC 地址绑定:外发文件必须在指定的机器上,才能正常打开浏览。
- 硬件锁绑定:外发文件必须在有USB硬件加密锁的机器上,才能打开使用。
对外发出去的数据权限,系统支持五种权限限制方式:
- 使用次数:限定文件的打开次数。
- 使用时间:限定文件的使用时间。
- 过期后自动删除文件:当文件超过使用次数或使用时间后,自动删除文件。
- 允许打印:是否允许文件打印。
- 允许复制/粘贴:是否允许将文件中的内容进行复制、粘贴。
同时,系统还提供以下附带功能:
- 外发文件中含有发送单位名称和接收单位名称,即使文件遗失,也可追查。
- 外发文件中可以嵌入发送单位自定义的水印底纹,即使拍照,也有原单位的痕迹。
- 外发文件无法另存、保存,无法输出成其他数据格式。
(外发权限模板配置界面)
12.备份模块
使用备份功能,可以设置备份周期及备份策略,系统自动、按需备份用户终端的数据,必要时快捷方便地恢复数据。解决因而恶意删除文件、存储介质损坏、病毒感染等情况下引发的数据丢失问题。
(备份模块工作机制图示)
13.移动端APP
天喻数据防扩散系统移动应用App,旨在解决移动终端的密文浏览问题和流程审批问题,让企业用户能够方便的在移动设备上浏览加密文件,快捷的进行流程处理,让数据安全的应用,从计算机终端延伸到移动终端。
- 密文浏览
使用KeyFile,可以直接浏览加密的文件,也可以在第三方程序中(如邮件、OA等)启动KeyFile,用以打开应用程序中的加密文件。
(密文浏览图示)
- 流程审批
使用FlowMng,完成解密相关流程在移动终端上的应用,随时随地完成解密流程的申请、审核。
(流程审批图示)
14.典型客户
秉承安全至上、服务至上、声誉至上的责任使命,天喻软件不断改进管理、革新技术、贴近市场。现如今,天喻数据方案解决方案已经广泛应用于机电、仪表、汽车、锅炉、冶金、水利、化工、航空等各行业,在机械制造行业的市场占有率稳居第一,为企业的电子数据安全管理起到了至关重要的保护作用。
受益于天喻数据安全解决方案,企业的电子数据安全得到了有效保障,机密电子数据外泄情况已得到明显遏制,有效捍卫了企业的知识产权,提升了企业在市场环境中的竞争优势。产品的部分成功案例如下(包括但不限于):