首页 > 数据加密方案

时间:2017-01-10

鸿萌金融数据安全整体解决方案

对各级机构终端电脑电子文件强制透明加密

 

 

行内加密电子文件转化纸质化泄密管控

 

管理思路:

事前打印控制:谁可以打印、谁不能打印?   谁可以使用哪一台打印机?哪些类型软件产生的文件允许打印?

事中打印警示自定义水印内容,打印警示;提供水印功能起到防伪的作用,比如:必须带水印打印,如“xx银行内部资料”,且文档标记打印人和打印时间。

事后打印审计什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数,全程跟踪记录。

对行内各类应用系统数据安全保护

 

我们的方案对公司内部所有的终端数据透明加密后,通过服务器白名单功能实现对公司内部各种服务器上的数据保护。比如:客户管理系统服务器、liunx服务器,将加密的文件上传到服务器会影响正常使用,必须将加密的文件上传到指定服务器,自动解密成明文,下载自动加密。

行业公文内部流转安全管控

由于xx银行内部机密文件访问,通常会因实际业务需要涉及到不同部门的相关人员,或者相关领导查阅。此类机密文件应用特点:

机密文件访问人员是跨部门,根据实际业务来设定的;

机密文件访问的时效性是需要严格把控住的;

机密文件访问权限也需要详细控制,避免泄密。

 

 

加密文件提取审批流程

对加密文件外发解密、员工泄密笔记本外出办公,都需要银行领导的审批,我们的方案提供丰富流程化审批功能,做到有效防止xx银行内部数据不泄密,又不影响内部员工的办公效率,详细如下:

 自定义多人多级审批(如:A/B角色)审批,可用性高;

 支持多流程化审批,提供特殊文件审批管理;

 支持审批人在线、离线、全部状态时自动审批;

 流程审批即时消息提醒,提高了流程审批效率;

 支持Web审批方式,提高流程审批便捷性;

 支持移动终端(如:iPadiPhone)流程审批;

 审批人员审批时需要输入合法口令,提高审批安全性;

 可查询所有发起审批、待审批、已审批等信息;

 审批可以在线查看或者下载文件内容。

与第三方合作文件交互安全管控

当用户需要将受控文档带外编辑处理,或需要给银行外人员发相关项目文档时,在允许外发的基础上,对外发文件本身进行控制,确保数据各种可能的泄密。

 

解决方案:

当用户需要将受控文档带外编辑处理,或需要给银行外人员发相关项目文档时,首先只有经过银行领导审批后,而后才能有权将该文件打包成一个受控外发文件;

被授权的人员获得该受控外发文件后,打开时需先进行合法的身份认证,而后才能在授予的权限范围内访问;

身份认证的方式包括:口令认证、机器码认证、联网认证;

访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等;

外发打印水印提醒,比如:必须带水印打印,如“银行内部资料”,且文档标记打印人和打印时间;

被授权人员在访问该文件时,无需在自己的电脑上安装任何插件,即可访问。

外来厂商接入办公泄密

由于项目的需求,允许有些项目厂商人员会携带自己的笔记本银行内项目开发部接入测试网办公,同时确保项目未完成期间数据泄密,以及项目项目完成后,避免厂商人员携带自己笔记本离开导致泄密。

 

功能优势

鸿萌信息安全管理解决方案功能强大,相当于集合国内强大的文档加密系统,以及内外网行为管理系统两套系统功能,一体化管理。

 

我们的方案采用Windows内核的文件过滤驱动实现数据加解密,安全、稳定、效率高; 主动对终端数据进行加密,有效控制所有数据在授权的范围内访问;主动对终端数据进行加密,做到用户无感知,不改变员工使用习惯、不封闭网络、不封闭丰富外设端口、不改变文件格式。

 

我们的方案恶意“自定义添加受控应用程序”,自动枚举条件应用程序安装目录下的所有exe进程,操作方便、快捷。且理论上满足对所有的应用程序产生的文件加密。同时解决用户担心购买了我们的方案后,对后续增加新的应用程序生产文件无法加密;

支持Liunx环境下文件加密。针对LINUX平台指定进程产生的数据进行透明加解密,如vigediteclipsecode blocks等代码编辑工具;与WINDOWS平台的加解密完美兼容,方便在window平台与Linux平台上对相同的加密文档进行查看、编辑等操作;应用防护,支持防拷贝、粘贴、截屏等操作;基于LINUX内核的文档透明加解密技术,采用高强度的加密算法对数据进行加密保护;不改变用户的操作习惯,可信进程在操作过程中,自动的进行加解密,不可信的进程,无法正常操作加密文档,方便又安全;支持的系统类型:支持内核版本2.6.18及以上系统;支持桌面环境: gnome、命令行;支持编译工具:  任何本地以及交叉编译工具;支持文件类型:  进程操作的任意类型文档。

丰富的流程化功能,解决了加密与办公效率矛盾的问题。流程灵活性类似OA系统一样,以及独有的大文件快速审批效率;

针对可信赖的合作伙伴频繁邮件往来,为了不影响交互效率,支持各种协议的邮件服务器环境下,加密的文件自动解密。并与foxmailoutlook结合,不改变办公习惯。支持各种特殊协议的邮件服务器,实现邮件白名单功能;

支持应用服务器明文下载自动生成外发受控文件,确保交互安全、效率;

服务器白名单实现无需在应用服务器上安装任何插件,做到终端电脑加密的文件,上传的白名单服务器上自动解密,下载自动加密;

指定办公人员某些类型的文件在新建、编辑时,自动备份到数据安全服务器,避免办公人员误删,导致数据丢失;

我们的客户端程序可以禁止QQ等各种截屏工具防止泄密,以此同时,提供我们自主开发的截屏功能,截屏的内容是加密保存,解决了泄密和办公方便性矛盾问题;

支持IPAD在线阅读加密文件,比如:mailOACRMERP等加密附件在线阅读,方便办公。

技术优势

我们的方案采用驱动级加密技术,与其它加密技术对比优势

磁盘加密:

磁盘加密技术工作在内核层下面,磁盘层上面,无法识别哪些数据是哪个进程写入或读取的,这样导致任意应用程序轻易就可以读书该加密文件,比如保存在网络共享磁盘,就是明文。

应用层加密:

应用层加密通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。与应用程序密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

应用程序为了限止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行,所以应用层加密很容易通过反钩子来避开绕过。

应用层透明加密技术(钩子透明加密技术)开发容易,但存在技术缺陷,应用程序版本变更容易产生不兼容,而且容易被反Hook所破解。

驱动层加密:

驱动层透明加密技术工作在windows的内核层,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定,但开发难度大。

国内独有的“三重密钥”体系

主密钥由厂商分配给每个用户全球唯一的密钥,保证每个购买我们解决方案的测绘院文件不会互通;

公司密钥由用户自己设置的密钥,保证加密厂家获取加密文件也无法解密;

文件密钥每个文件加密时随机生成一个文件密钥,提高加密的安全性。

“多采集服务器”部署方式,即实现集中式和分布式一体化管理。理论上实现无限制终端用户数统一平台化管理。比如:七匹狼5000用户、山东齐鲁制药4000用户使用多采集服务器。

 

 

为我们方案量身定做自主开发的数据库,安装方便快捷,存取速度极快,数据库维护方便,数据库安全性高。同时我们的方案支持主流的数据库。

我们的数据库模块是专门针对鸿萌数据信息安全解决方案的业务功能而开发的一个数据存储子模块,在设计阶段我们经过大量的研究与测试,最终决定采用自己开发一个数据库模块来实现,以下主要说明下为什么要再开发一个数据库模块而不是使用当前已有的数据库管理系统。

举个例子:一台终端每操作(新增、修改、删除)一个文件或者变换窗口都会产生一条的日志(如文件操作日志、窗口标题日志),则在正常的办公环境下,平均一台终端一天开机10小时就会有近1000条左右的日志,相应的1万台终端则一天就会有1000万条的数据。按照公安部计算机信息系统安全产品质量监督检验中心颁布的标准:日志信息至少保存两个月以上,那么两个月就是6亿条。这么大的数据量,业务功能能否实现,主要体现在以下几点上。

插入效率

我们的数据库模块针对我们的业务需要只做最简单的数据插入,而其它浪费插入效率的操作如索引、簇我们都不做。我们的数据库管理模块每秒钟能够插入的数据在20000条左右,远远超出我们业务对表数据插入效率的要求。

查询效率

我们的数据库模块针对我们的业务应用需求,采用了分布式存储方式,我们存储数据时将这些数据按每天和每个终端分成每一个表进行存储,这样查询就能快速的定位到哪一天及哪一台终端上。从1000条记录中查询一条数据记录与从6亿条记录中查询一条记录效率差别可想而知。

维护灵活性

由于我们的数据库模块采用分布式的存储,每台终端每天都分开存储,这样无论是清理或者备份都只需找到指定日期目录的文件夹然后进行删除或者拷贝即可。

安全性

由于数据库模块是我们独立自主开发的,所以我们可以实现对数据存储字段进行加密存储,保障数据更加安全,就算数据库泄露被人获取也无法获取数据库里的数据。

综上所述,数据库模块是专门针对我们的信息安全管理解决方案的业务功能而开发的,完全能够满足我们信息安全管理解决方案业务功能上的需求。

当然像SQL SERVERORACLE这种大型的数据库管理系统都支持海量的数据存储,但是这种大型的数据库软件要实现海量的数据存储无论从前期的设计,开发到后期的部署、实施和维护都比较复杂,显然对于我们的解决方案来说,这种类型的软件应用,我们自主开发的数据库模块,无论从设计、业务应用还是成本上都是最适合我们的方案的。

实现效果

解决方案使用前后的效果对比

使用前安全漏洞

使用后效果匹配

银行内部数据明文存储,内部员工可以通过QQ、邮件任意泄密

xx各银行所有电脑数据强制透明加密,现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口,实现文件在创建编辑以及复制时透明加密,做到公司内部员工文件交互依旧自由流通,无任何影响。即员工在创建、编辑、复制文件时,一旦发出写硬盘的操作,文件会被自动加密存放在硬盘上。公司内部形成类似一个“用户无感知的加密网”。

内部的核心文件,在银行内部泄密,无法有效控制

作者在银行内部创建了机密文件后,根据实际业务的需要,对需要访问的不同员工设定不同的访问权限;

被授权的员工获得该机密文件后,打开时必须输入作者赋予的正确口令,才能访问该机密文件;

被授权的员工经过合法的身份认证后,也只能在赋予的权限范围内访问该机密文件;

机密文件的访问权限的控制包括:阅读次数、次数打印、是否可截屏、是否可编辑、阅读时间、禁止删除、过期自毁等。

银行外发给客户的文件,就像放飞的风筝一样,安全无法保障

外发的文件只有经过上级领导审批,合法的客户在授予的权限范围内访问,比如:只读、禁止打印、禁止编辑、访问期限等。

内部重要文件员工可以随意打印带走,导致泄密

事前打印控制:谁可以打印、谁不能打印?   谁可以使用哪一台打印机?哪些类型软件产生的文件允许打印?

事中打印警示:自定义水印内容,打印警示;

事后打印审计:什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数,全程跟踪记录。

对公司应用服务器数据保护

加密数据上传到公司某些应用服务器(比如:PDMOA),数据自动解密成明文后保存在服务器上。将服务器上明文数据下载到公司内部终端时,数据被自动加密,避免数据泄密。

 

系统正式上线:鸿萌加密系统在xx公司真实环境下,经过了试运行阶段的磨合后正常后,则开启所有电脑的加密功能,并配置相应的用户权限,观察所有电脑的运作情况,若无异常发生,代表系统已成功上线。

具体的实施路线如下图所示:

 

 

 

变革管理

系统正式上线

项目管理

系统

试运行

人员

培训

系统建设

蓝图

设计

实施

准备

开启所有电脑的加密功能,并配置相应的用户权限,系统已成功上线

加密系统在真实环境磨合,确保方案加密系统运行正常

对单位的管理层、方案加密系统管理员、普通员工等进行培训

售前咨询、项目交接、实施准备与实施规划

了解科瑞加密项目管理要求,结合实施经验制定实施计划

 

根据实施方案,以及项目实施标准完成加密系统的安装;

 

 

 

 

 

 

 

 

 

 

 

 

实施准备

为使项目实施能有序、有度、有理、有效地进行,实施方需要在项目实施前对工程周期、部署、进度、人员等方面进行规划,并协调客户完成实施现场信息收集、实施准备等工作,确保项目质量和效率。

双发项目组确定

 

项目小组

技术顾问

实施顾问

关键用户

IT技术员

项目经理

项目经理

 

 

 

 

 

 

      

            xx公司项目组                           鸿萌项目组

以下对关于项目组人员职责说明:

项目角色

职责和任务

 

 

 

 

项目经理

负责布置项目组所有成员的日常实施工作;

负责项目组所有资源(人员、设备)的调配;      

负责客户方项目进度、质量的控制;

定期对项目组成员进行绩效评估;

负责配合实施方项目经理开展项目实施的具体工作;

负责公司内部部门间的沟通和协调;

确认天锐方提交的各项成果和阶段项目实施的计划;

负责领导客户项目组的所有成员,开展项目相关的工作;

对于项目实施过程中的问题,与天锐方面的项目经理进行沟通协调;

协助天锐项目经理开展公司实施的相关工作;

负责实施项目形成的管理制度、规程的制定;

负责项目验收和监督系统上线运行;

组织项目阶段实施鉴定。

关键用户

协助项目经理,完成客户方的实施工作;

负责指导和参与公司基本资料的准备工作;

参与公司业务流程的调研、方案评定、系统测试等关键环节的把关工作。

IT技术员

负责具体配合天锐实施顾问完成整个项目的实施;

负责完成实施,后期系统运行的维护,要求对鸿萌加密系统非常熟悉。

技术顾问

根据实施计划,主要负责项目实施过程技术总体把关,以及项目实施的具体配合

实施顾问

根据实施方案,在xx技术人员配合下,全权负责项目的具体实施

服务器准备情况

为了保证系统的顺利运行,实施前需对服务器的配置情况进行确认。

700用户服务器建议配置要求

CPU

Intel Xeon 1.6G  专用服务器 4

内存

4G

硬盘

1T

网卡

1000Mbps

操作系统

windows server 2003/2008 Enterprise,建议用2003系统

需要及环境调研

实施环境调研

实施环境准备

环境

子环境

环境确认

 

材料准备情况

服务器是否准备好?

 

公司组织架构基本信息?

 

 

 

 

 

 

终端系统情况

安装Windows 2000操作系统的电脑数量?

 

安装Windows 2003操作系统的电脑数量?

 

安装Windows XP操作系统的电脑数量?

 

安装Windows 7操作系统的电脑数量?

 

安装Windows Vista操作系统的电脑数量?

 

是否有繁体版、英文版或其他语言的操作系统?

 

是否有试用过鸿萌产品、版本号?

 

网络环境情况

客户内部网络是否在同一局域网?

 

加密程序调研

需要加密程序文件(以下只是列出常有的)

确认情况

办公软件:WordExcelPowerPointPdf、金山WPS、福昕PDF阅读器、方正PDF阅读器、永中Office

工程设计:AutoCADPro/EUGS NXSolidEdgeSolidWorksCAXA线切割、CAXA电子图版、CAXA图文件、MicroStation CADCimatronMastercam

电路设计:Protel

图形图像:PhotoshopFreeHandACDSeeCroelDrawIllustrator、画图;

文本文件:记事本、写字板;

三维动画:3dMax、中视典VRP

虚拟打印机:PDF335proFinePrintSmartPrinterCRPrinterdoPDF6、文电通PDFDirectSofteVirtualPrinter5D PDF Createor

自定义程序:新程序自己添加受控;

受控程序创建、编辑、保存文件时自动加密

加密策略下发要求

根据xx公司的加密项目管理要求,以及结合实施工程师多年来加密项目实施经验,制定项目下发策略。

此阶段主要提交文件:

《项目组成员名单》

《服务器准备情况表》

《实施环境调查结果》

《加密策略分发表》

蓝图设计

以下实施计划以700点为基础,按项目实施经验进行可靠性评估时间,实际安装时间以具体情况讨论后确定。

此阶段主要提交文件:

项目实施计划表

不同的故障分级划分如下:

P1级故障

属于紧急故障,系统的故障严重影响了用户的正常业务开展。

反应时间从接到用户请求开始,不得超过4小时。

P2级故障

属于严重问题,系统的故障现对用户的正常业务未造成严重影响,但出现的问题不及时处理,可能会严重影响正常业务。

反应时间从接到用户请求开始,不得超过8小时。

P3级故障

属于轻微问题,系统的故障对用户的正常业务造成了一定影响。

反应时间从接到用户请求开始,不得超过16小时。

P4级故障

属于普遍问题,系统的问题是普通问题,可能对用户的正常业务造成微小的影响。

反应时间从接到用户请求开始,不得超过24小时。

服务流程

 

 

 

 

 

 

 

服务方式

电话/邮件服务

在接到客户的技术支持请求或故障报告后,将立即以电话或邮件方式与客户联系,了解问题的详细情况,分析故障原因,判断故障的类型,并指导客户使用人员及时排除故障,恢复系统的正常运行。

远程服务

当电话或邮件服务未能解决客户故障时,在得到客户授权的前提下,技术服务人员将通过网络远程登录,提供技术服务。在网络远程登录访问中,保证所有对客户电脑的操作不违反现行的相关安全法律法规

现场服务

当电话或邮件、远程服务等方式均无法解除故障时,技术人员将到现场解决问题。如客户认为需要,除不抗拒的原因外,技术人员将在24小时内赶到现场(国家法定节假日除外)。如遇特殊情况,双方通过协商解决。

服务监督

公司有专门的售后管理系统对服务人员的服务态度、服务效率、服务质量、服务意识进行跟踪,并按照一定办法予以考核,以便监督和跟踪服务,进而提高服务质量,对于用户的投诉,我们将核实情况并妥善处理,尽快给出解决办法。对于情节严重者,将予以警告和适当惩戒。

服务投诉

用户在和我司服务人员进行沟通时有任何不满,可通过以下方式进行投诉:

投诉电话:022-58311300

如果对我们的服务质量的提高有任何建议,也可通过以上联系方式反馈,我们会采纳合理的建议并努力提高服务质量。

 

鸿萌---国内专业数据安全服务提供商!专业提供数据备份、数据加密、数据恢复、数据清除、 网络安全等服务及企业级存储产品。

公司地址:天津市南开区鞍山西道百脑汇科技大厦1602

服务热线:022-58311300022-5839202818920060818

数据安全服务: http://www.hongmengdata.com

硬盘之家:http://wwww.myhdd.com.cn

微信公众号:hongmengservice