一.系統(tǒng)概述
優(yōu)盾企業(yè)文件加密系統(tǒng)��,旨在通過對企業(yè)重要的文件數(shù)據(jù)進行加密處理�,從根本上有效地保護企業(yè)的知識產(chǎn)權(quán)和商業(yè)機密。在數(shù)據(jù)通訊和文件存儲手段高速發(fā)展�����、人員流動更為頻繁的今天��,經(jīng)過加密的文件不再擔(dān)心被復(fù)制或外傳�����,企業(yè)的管理者也可以不用再為了企業(yè)技術(shù)機密的泄漏而頭疼不已了�。
優(yōu)盾采用國際最先進的Windows底層文件驅(qū)動過濾技術(shù),通過計算機底層操作系統(tǒng)實現(xiàn)對計算機本身及外圍存儲設(shè)備的數(shù)據(jù)進行嚴(yán)格的加解密控制。采用透明加解密技術(shù)����,在不改變企業(yè)用戶原有工作習(xí)慣和工作流程的情況下,對指定的應(yīng)用程序和指定后綴的文件進行自動加解密密處理��,不需要人工輸入加解密密碼��。同時�,通過靈活的加密策略的配置、分組和分級權(quán)限控制����,完全達到企業(yè)對文件安全性和管理人性化的雙重要求。
二.優(yōu)盾主要功能
(1)文件自動加解密��,不改變用戶習(xí)慣
(2)對離線工作�、移動(筆記本)工作進行加密控制
優(yōu)盾可以滿足企業(yè)離線工作的需要�。離線策略的設(shè)定可以滿足兩方面的需求:
■當(dāng)企業(yè)加密服務(wù)器崩潰或者網(wǎng)絡(luò)中斷的時候,受加密控制的計算機仍然能夠在一段時間內(nèi)正常進行工作���,對加密文件進行正常讀寫操作�。
■當(dāng)出差人員��,或部分領(lǐng)導(dǎo)需要脫離企業(yè)網(wǎng)絡(luò)進行工作的時候,能夠保證在設(shè)定的脫機時間內(nèi)正常進行工作����。脫機操作的日志可以在恢復(fù)網(wǎng)絡(luò)連通時上傳至加密服務(wù)器。
(3)加密策略的即時下發(fā)更新
加密服務(wù)器可以對所有連接的計算機進行統(tǒng)一加密管理�,當(dāng)加密服務(wù)器的加密策略修改時,所有連接的客戶端機器的加密控制策略會即時更新��。
(4)離線策略的更新
離線的受控計算機臨時需要更改權(quán)限時���,如需要延長脫機時間����,優(yōu)盾可以會制作臨時授權(quán)文件����,將該文件導(dǎo)入到受控計算機后����,即可修改該計算機的當(dāng)前工作權(quán)限���。
(5)采用先進的文件指紋識別技術(shù),防止惡意篡改文件名
(6)對外發(fā)送的文件可以進行有效控制
將需要對外發(fā)送的文件打包為專用文件包(*.afp格式),并可對文件包進行權(quán)限設(shè)定���,如打開文件的密碼,允許打開的有效時間�����,允許打開的次數(shù)��,是否允許打印等等���。
三.優(yōu)盾技術(shù)特色
優(yōu)盾高級企業(yè)版是優(yōu)盾公司針對集團化企業(yè)的復(fù)雜權(quán)限要求����,耗時18個月開發(fā)的第二代驅(qū)動加密產(chǎn)品�����。在第一代產(chǎn)品(優(yōu)盾標(biāo)準(zhǔn)企業(yè)版)的基礎(chǔ)上����,大膽地對整個加密文件結(jié)構(gòu),驅(qū)動實現(xiàn)方式上做了全面的重構(gòu),使得高級企業(yè)版的安全性更高���、穩(wěn)定性更好���、功能更加強大�����,在總體上已經(jīng)接近國外同類驅(qū)動加密產(chǎn)品����,并在管理模式上更加符合中國企業(yè)的加密需求��。
優(yōu)盾企業(yè)文件加密系統(tǒng)優(yōu)盾,無論從底層技術(shù)的運用上�����,還是軟件的擴展性和柔韌性上���,都已經(jīng)走在了中國企業(yè)文件加密軟件的最前面����。并在對中國企業(yè)管理的符合度上�,優(yōu)于國外同類產(chǎn)品�。與國內(nèi)同類產(chǎn)品相比,優(yōu)盾具有以下明顯的特色和優(yōu)勢:
1.基于底層驅(qū)動的雙緩沖加解密技術(shù)
國內(nèi)目前應(yīng)用最廣的是基于應(yīng)用程序二次開發(fā)加密以及基于驅(qū)動的單機加密系統(tǒng),但這兩種加密系統(tǒng)都存在著明顯的缺陷和安全漏洞。
基于應(yīng)用程序二次開發(fā)的加密軟件�����,只能針對少數(shù)幾種應(yīng)用程序進行加密控制,而不能適應(yīng)種類繁多的應(yīng)用程序的加密控制�����,因此受到很大應(yīng)用局限性��。
基于驅(qū)動的單機加密系統(tǒng)��,雖然可以加密監(jiān)控本地計算機所有的應(yīng)用程序�����,但是由于不支持網(wǎng)絡(luò)文件系統(tǒng)����,打開本機加密文件另存至未受控的計算機時會自動解密�,從而導(dǎo)致加密文件的安全泄漏。
而優(yōu)盾則在底層技術(shù)上采用了以下技術(shù):
(1)采用雙緩沖底層驅(qū)動文件過濾技術(shù)進行文件加密�����。
雙緩沖技術(shù),即在windows自有的緩沖區(qū)之外�,另建了一個存儲結(jié)構(gòu)相同的緩沖區(qū)��,這個緩沖區(qū)由優(yōu)盾單獨管理和控制��。在讀取密文的時候����,在windows緩存中保存密文,而在自建的緩沖區(qū)中保存明文信息����,當(dāng)進行寫操作時,如果需要寫入明文���,則從自建的緩沖區(qū)中直接寫入硬盤��,如果需要寫入密文�����,則將windows緩沖區(qū)的密文內(nèi)容寫入硬盤��。這樣做的優(yōu)勢就在于:
■全新的驅(qū)動加密技術(shù)����,直接在緩存中進行加解密,寫硬盤的速度更快���,加解密效率更高�,幾乎不改變windows運行速度�。
■在windows緩存中保存的是密文,可以防止別有用心的人從windows緩沖中竊取明文數(shù)據(jù)��,導(dǎo)致泄密���。
■不但可以實現(xiàn)強制加密功能�,而且可以輕松的實現(xiàn)強制解密功能��,更加符合企業(yè)的實際加密管理需求����。
(2)全面支持網(wǎng)絡(luò)文件系統(tǒng)。
同時監(jiān)控本地硬盤和網(wǎng)絡(luò)驅(qū)動器的讀寫加密����。對任何應(yīng)用程序生成的任何文件進行加密控制���。同時,透明加解密的過程中��,不產(chǎn)生臨時文件�,
2.高安全性算法和加解密效率并重
加密強度和加解密速度是雙面刃。加密強度越高��,加解密速度越慢���,而且文件越大,時間上的延遲越明顯���。加密強度太低���,則很容易被破解。為了同時保證文件安全和加密效率�,優(yōu)盾采用了160位的IBM公司的SEAL加密算法,同時采用雙緩沖技術(shù)��,對加解密速度進行了優(yōu)化�。實際測試結(jié)果證明,使用優(yōu)盾透明打開大于100M的文件�,也不會有明顯的時間延遲。
3.切合企業(yè)實際的安全管理
國內(nèi)的很多加密軟件在關(guān)注文件加解密的同時,忽略了將加解密管理融入到企業(yè)的管理體系當(dāng)中�,為了加密而加密,不但改變了企業(yè)原有的工作習(xí)慣���,而且導(dǎo)致工作效率因此而大幅度降低��。優(yōu)盾則在產(chǎn)品的構(gòu)架上充分考慮了企業(yè)的實際需求���,因此在實施時能夠很好的融合到企業(yè)的整體安全管理體系中。
(1)實名制身份認(rèn)證
國內(nèi)絕大多數(shù)加密軟件簡單地采用硬件綁定的方式進行加密管理���,這種方式的缺點就在于:
a.無法判斷客戶端的登錄用戶到底是誰�;
b.不能夠進行分組管理和授權(quán)����;
c.將客戶端與計算機硬件進行了綁定。一旦計算機硬件配置發(fā)生變化�����,則無法再進行管理���。高加密權(quán)限的用戶也無法操作普通用戶的計算機�。
d.單個用戶只能有單一的權(quán)限。
針對這些問題����,優(yōu)盾獨創(chuàng)的采用實名制方式進行身份認(rèn)證管理,即每個用戶都擁有一個安全權(quán)限���,根據(jù)用戶名+密碼登錄+硬件碼的方式進行管理���,而不是簡單地和機器的硬件(MAC地址)進行綁定。這種管理方式的優(yōu)勢在于:
a.可以直觀的看到安全組以及其用戶的設(shè)置情況��;
b.可以直觀了解�����,哪些用戶沒有登錄或者未受到加密監(jiān)控�;
c.高級權(quán)限的用戶無論在任何一臺機器上登錄都擁有相同的權(quán)限���;
d.在同一臺機器上可以進行多用戶的切換��,加解密權(quán)限也隨之變化�;
e.也可以根據(jù)需要將用戶名和硬件綁定��,限定該用戶只能在本機登錄。
f.不需要專門的解密工具�,擁有解密權(quán)限的用戶可以登錄到任何一臺計算機進行解密。
(2)允許合法的脫機工作
優(yōu)盾不但允許合法用戶脫機進行加密文件的閱讀��,同時還允許動態(tài)的延長授權(quán)時間和授權(quán)策略����。
(3)可制定多種明文出口
(4)靈活的策略自定義
4.多操作系統(tǒng)的加解密管理
目前支持:Windows 2000、Windows XP�、Windows 2003、Vista�、Windows 7。
5.優(yōu)盾高級企業(yè)版的特色
優(yōu)盾公司的優(yōu)盾高級企業(yè)版在標(biāo)準(zhǔn)企業(yè)版的基礎(chǔ)上��,增加了分組授權(quán)��、分級授權(quán)和解密流程審批等功能模塊�����,功能更加強大��,能滿足集團化企業(yè)和動態(tài)企業(yè)聯(lián)盟的復(fù)雜的文件安全需求�����。具體包含如下功能模塊:
(1)全新的驅(qū)動加密技術(shù),加解密效率更高��,幾乎不改變windows運行速度��;
(2)策略更加開放和靈活��,可以自定義文件加\解密的時機�����,并可對文件的讀\寫拒絕自行設(shè)定��,是目前國內(nèi)外策略開放度最高的加密軟件���;
(3)可對每個受控程序的打印和復(fù)制粘貼權(quán)限進行單獨設(shè)定���;
(4)已申請專利技術(shù)的分組分級權(quán)限管理功能����,功能強大,完全可以滿足集團化企業(yè)的復(fù)雜權(quán)限管理要求���;
(5)采用文件鏡像技術(shù)�,對正在加密的文件進行全面保護,即使是意外斷電或死機�����,源文件都完好無損�;
(6)國內(nèi)第一家和企業(yè)的域管理緊密結(jié)合的加密產(chǎn)品,使企業(yè)加密權(quán)限的管理更加輕松�����;
(7)解密審批權(quán)限的引入�,更加符合企業(yè)現(xiàn)有的工作流程;
(8)解密審批員��、安全管理員��、日志管理員的三權(quán)分立模式�����,有效地杜絕了超級管理員的特權(quán)可能帶來的安全隱患�����。
(9)一人多組的權(quán)限認(rèn)證模式�����,使得工作身份切換更加安全、合理���。
(10)加密軟件與域用戶管理的集成
(11)分組和分級授權(quán)
(12)文件分級和解密員分級
(13)解密流程管理
(14)角色管理
(15)高級日志管理
(16)加密文件對外發(fā)送管理
目前國內(nèi)尚未有如此強大和方便的產(chǎn)品上市��。優(yōu)盾高級企業(yè)版在技術(shù)和功能上可與國外的同類產(chǎn)品分庭抗衡���,并在某些方面超過國外產(chǎn)品。
