一.系統(tǒng)概述
優(yōu)盾企業(yè)文件加密系統(tǒng),旨在通過對企業(yè)重要的文件數(shù)據(jù)進(jìn)行加密處理,從根本上有效地保護(hù)企業(yè)的知識產(chǎn)權(quán)和商業(yè)機(jī)密。在數(shù)據(jù)通訊和文件存儲(chǔ)手段高速發(fā)展、人員流動(dòng)更為頻繁的今天,經(jīng)過加密的文件不再擔(dān)心被復(fù)制或外傳,企業(yè)的管理者也可以不用再為了企業(yè)技術(shù)機(jī)密的泄漏而頭疼不已了。
優(yōu)盾采用國際最先進(jìn)的Windows底層文件驅(qū)動(dòng)過濾技術(shù),通過計(jì)算機(jī)底層操作系統(tǒng)實(shí)現(xiàn)對計(jì)算機(jī)本身及外圍存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行嚴(yán)格的加解密控制。采用透明加解密技術(shù),在不改變企業(yè)用戶原有工作習(xí)慣和工作流程的情況下,對指定的應(yīng)用程序和指定后綴的文件進(jìn)行自動(dòng)加解密密處理,不需要人工輸入加解密密碼。同時(shí),通過靈活的加密策略的配置、分組和分級權(quán)限控制,完全達(dá)到企業(yè)對文件安全性和管理人性化的雙重要求。
二.優(yōu)盾主要功能
(1)文件自動(dòng)加解密,不改變用戶習(xí)慣
(2)對離線工作、移動(dòng)(筆記本)工作進(jìn)行加密控制
優(yōu)盾可以滿足企業(yè)離線工作的需要。離線策略的設(shè)定可以滿足兩方面的需求:
■當(dāng)企業(yè)加密服務(wù)器崩潰或者網(wǎng)絡(luò)中斷的時(shí)候,受加密控制的計(jì)算機(jī)仍然能夠在一段時(shí)間內(nèi)正常進(jìn)行工作,對加密文件進(jìn)行正常讀寫操作。
■當(dāng)出差人員,或部分領(lǐng)導(dǎo)需要脫離企業(yè)網(wǎng)絡(luò)進(jìn)行工作的時(shí)候,能夠保證在設(shè)定的脫機(jī)時(shí)間內(nèi)正常進(jìn)行工作。脫機(jī)操作的日志可以在恢復(fù)網(wǎng)絡(luò)連通時(shí)上傳至加密服務(wù)器。
(3)加密策略的即時(shí)下發(fā)更新
加密服務(wù)器可以對所有連接的計(jì)算機(jī)進(jìn)行統(tǒng)一加密管理,當(dāng)加密服務(wù)器的加密策略修改時(shí),所有連接的客戶端機(jī)器的加密控制策略會(huì)即時(shí)更新。
(4)離線策略的更新
離線的受控計(jì)算機(jī)臨時(shí)需要更改權(quán)限時(shí),如需要延長脫機(jī)時(shí)間,優(yōu)盾可以會(huì)制作臨時(shí)授權(quán)文件,將該文件導(dǎo)入到受控計(jì)算機(jī)后,即可修改該計(jì)算機(jī)的當(dāng)前工作權(quán)限。
(5)采用先進(jìn)的文件指紋識別技術(shù),防止惡意篡改文件名
(6)對外發(fā)送的文件可以進(jìn)行有效控制
將需要對外發(fā)送的文件打包為專用文件包(*.afp格式),并可對文件包進(jìn)行權(quán)限設(shè)定,如打開文件的密碼,允許打開的有效時(shí)間,允許打開的次數(shù),是否允許打印等等。
三.優(yōu)盾技術(shù)特色
優(yōu)盾高級企業(yè)版是優(yōu)盾公司針對集團(tuán)化企業(yè)的復(fù)雜權(quán)限要求,耗時(shí)18個(gè)月開發(fā)的第二代驅(qū)動(dòng)加密產(chǎn)品。在第一代產(chǎn)品(優(yōu)盾標(biāo)準(zhǔn)企業(yè)版)的基礎(chǔ)上,大膽地對整個(gè)加密文件結(jié)構(gòu),驅(qū)動(dòng)實(shí)現(xiàn)方式上做了全面的重構(gòu),使得高級企業(yè)版的安全性更高、穩(wěn)定性更好、功能更加強(qiáng)大,在總體上已經(jīng)接近國外同類驅(qū)動(dòng)加密產(chǎn)品,并在管理模式上更加符合中國企業(yè)的加密需求。
優(yōu)盾企業(yè)文件加密系統(tǒng)優(yōu)盾,無論從底層技術(shù)的運(yùn)用上,還是軟件的擴(kuò)展性和柔韌性上,都已經(jīng)走在了中國企業(yè)文件加密軟件的最前面。并在對中國企業(yè)管理的符合度上,優(yōu)于國外同類產(chǎn)品。與國內(nèi)同類產(chǎn)品相比,優(yōu)盾具有以下明顯的特色和優(yōu)勢:
1.基于底層驅(qū)動(dòng)的雙緩沖加解密技術(shù)
國內(nèi)目前應(yīng)用最廣的是基于應(yīng)用程序二次開發(fā)加密以及基于驅(qū)動(dòng)的單機(jī)加密系統(tǒng),但這兩種加密系統(tǒng)都存在著明顯的缺陷和安全漏洞。
基于應(yīng)用程序二次開發(fā)的加密軟件,只能針對少數(shù)幾種應(yīng)用程序進(jìn)行加密控制,而不能適應(yīng)種類繁多的應(yīng)用程序的加密控制,因此受到很大應(yīng)用局限性。
基于驅(qū)動(dòng)的單機(jī)加密系統(tǒng),雖然可以加密監(jiān)控本地計(jì)算機(jī)所有的應(yīng)用程序,但是由于不支持網(wǎng)絡(luò)文件系統(tǒng),打開本機(jī)加密文件另存至未受控的計(jì)算機(jī)時(shí)會(huì)自動(dòng)解密,從而導(dǎo)致加密文件的安全泄漏。
而優(yōu)盾則在底層技術(shù)上采用了以下技術(shù):
(1)采用雙緩沖底層驅(qū)動(dòng)文件過濾技術(shù)進(jìn)行文件加密。
雙緩沖技術(shù),即在windows自有的緩沖區(qū)之外,另建了一個(gè)存儲(chǔ)結(jié)構(gòu)相同的緩沖區(qū),這個(gè)緩沖區(qū)由優(yōu)盾單獨(dú)管理和控制。在讀取密文的時(shí)候,在windows緩存中保存密文,而在自建的緩沖區(qū)中保存明文信息,當(dāng)進(jìn)行寫操作時(shí),如果需要寫入明文,則從自建的緩沖區(qū)中直接寫入硬盤,如果需要寫入密文,則將windows緩沖區(qū)的密文內(nèi)容寫入硬盤。這樣做的優(yōu)勢就在于:
■全新的驅(qū)動(dòng)加密技術(shù),直接在緩存中進(jìn)行加解密,寫硬盤的速度更快,加解密效率更高,幾乎不改變windows運(yùn)行速度。
■在windows緩存中保存的是密文,可以防止別有用心的人從windows緩沖中竊取明文數(shù)據(jù),導(dǎo)致泄密。
■不但可以實(shí)現(xiàn)強(qiáng)制加密功能,而且可以輕松的實(shí)現(xiàn)強(qiáng)制解密功能,更加符合企業(yè)的實(shí)際加密管理需求。
(2)全面支持網(wǎng)絡(luò)文件系統(tǒng)。
同時(shí)監(jiān)控本地硬盤和網(wǎng)絡(luò)驅(qū)動(dòng)器的讀寫加密。對任何應(yīng)用程序生成的任何文件進(jìn)行加密控制。同時(shí),透明加解密的過程中,不產(chǎn)生臨時(shí)文件,
2.高安全性算法和加解密效率并重
加密強(qiáng)度和加解密速度是雙面刃。加密強(qiáng)度越高,加解密速度越慢,而且文件越大,時(shí)間上的延遲越明顯。加密強(qiáng)度太低,則很容易被破解。為了同時(shí)保證文件安全和加密效率,優(yōu)盾采用了160位的IBM公司的SEAL加密算法,同時(shí)采用雙緩沖技術(shù),對加解密速度進(jìn)行了優(yōu)化。實(shí)際測試結(jié)果證明,使用優(yōu)盾透明打開大于100M的文件,也不會(huì)有明顯的時(shí)間延遲。
3.切合企業(yè)實(shí)際的安全管理
國內(nèi)的很多加密軟件在關(guān)注文件加解密的同時(shí),忽略了將加解密管理融入到企業(yè)的管理體系當(dāng)中,為了加密而加密,不但改變了企業(yè)原有的工作習(xí)慣,而且導(dǎo)致工作效率因此而大幅度降低。優(yōu)盾則在產(chǎn)品的構(gòu)架上充分考慮了企業(yè)的實(shí)際需求,因此在實(shí)施時(shí)能夠很好的融合到企業(yè)的整體安全管理體系中。
(1)實(shí)名制身份認(rèn)證
國內(nèi)絕大多數(shù)加密軟件簡單地采用硬件綁定的方式進(jìn)行加密管理,這種方式的缺點(diǎn)就在于:
a.無法判斷客戶端的登錄用戶到底是誰;
b.不能夠進(jìn)行分組管理和授權(quán);
c.將客戶端與計(jì)算機(jī)硬件進(jìn)行了綁定。一旦計(jì)算機(jī)硬件配置發(fā)生變化,則無法再進(jìn)行管理。高加密權(quán)限的用戶也無法操作普通用戶的計(jì)算機(jī)。
d.單個(gè)用戶只能有單一的權(quán)限。
針對這些問題,優(yōu)盾獨(dú)創(chuàng)的采用實(shí)名制方式進(jìn)行身份認(rèn)證管理,即每個(gè)用戶都擁有一個(gè)安全權(quán)限,根據(jù)用戶名+密碼登錄+硬件碼的方式進(jìn)行管理,而不是簡單地和機(jī)器的硬件(MAC地址)進(jìn)行綁定。這種管理方式的優(yōu)勢在于:
a.可以直觀的看到安全組以及其用戶的設(shè)置情況;
b.可以直觀了解,哪些用戶沒有登錄或者未受到加密監(jiān)控;
c.高級權(quán)限的用戶無論在任何一臺機(jī)器上登錄都擁有相同的權(quán)限;
d.在同一臺機(jī)器上可以進(jìn)行多用戶的切換,加解密權(quán)限也隨之變化;
e.也可以根據(jù)需要將用戶名和硬件綁定,限定該用戶只能在本機(jī)登錄。
f.不需要專門的解密工具,擁有解密權(quán)限的用戶可以登錄到任何一臺計(jì)算機(jī)進(jìn)行解密。
(2)允許合法的脫機(jī)工作
優(yōu)盾不但允許合法用戶脫機(jī)進(jìn)行加密文件的閱讀,同時(shí)還允許動(dòng)態(tài)的延長授權(quán)時(shí)間和授權(quán)策略。
(3)可制定多種明文出口
(4)靈活的策略自定義
4.多操作系統(tǒng)的加解密管理
目前支持:Windows 2000、Windows XP、Windows 2003、Vista、Windows 7。
5.優(yōu)盾高級企業(yè)版的特色
優(yōu)盾公司的優(yōu)盾高級企業(yè)版在標(biāo)準(zhǔn)企業(yè)版的基礎(chǔ)上,增加了分組授權(quán)、分級授權(quán)和解密流程審批等功能模塊,功能更加強(qiáng)大,能滿足集團(tuán)化企業(yè)和動(dòng)態(tài)企業(yè)聯(lián)盟的復(fù)雜的文件安全需求。具體包含如下功能模塊:
(1)全新的驅(qū)動(dòng)加密技術(shù),加解密效率更高,幾乎不改變windows運(yùn)行速度;
(2)策略更加開放和靈活,可以自定義文件加\解密的時(shí)機(jī),并可對文件的讀\寫拒絕自行設(shè)定,是目前國內(nèi)外策略開放度最高的加密軟件;
(3)可對每個(gè)受控程序的打印和復(fù)制粘貼權(quán)限進(jìn)行單獨(dú)設(shè)定;
(4)已申請專利技術(shù)的分組分級權(quán)限管理功能,功能強(qiáng)大,完全可以滿足集團(tuán)化企業(yè)的復(fù)雜權(quán)限管理要求;
(5)采用文件鏡像技術(shù),對正在加密的文件進(jìn)行全面保護(hù),即使是意外斷電或死機(jī),源文件都完好無損;
(6)國內(nèi)第一家和企業(yè)的域管理緊密結(jié)合的加密產(chǎn)品,使企業(yè)加密權(quán)限的管理更加輕松;
(7)解密審批權(quán)限的引入,更加符合企業(yè)現(xiàn)有的工作流程;
(8)解密審批員、安全管理員、日志管理員的三權(quán)分立模式,有效地杜絕了超級管理員的特權(quán)可能帶來的安全隱患。
(9)一人多組的權(quán)限認(rèn)證模式,使得工作身份切換更加安全、合理。
(10)加密軟件與域用戶管理的集成
(11)分組和分級授權(quán)
(12)文件分級和解密員分級
(13)解密流程管理
(14)角色管理
(15)高級日志管理
(16)加密文件對外發(fā)送管理
目前國內(nèi)尚未有如此強(qiáng)大和方便的產(chǎn)品上市。優(yōu)盾高級企業(yè)版在技術(shù)和功能上可與國外的同類產(chǎn)品分庭抗衡,并在某些方面超過國外產(chǎn)品。