JSCDG文档加密培训简报(kayden)

1、JSCDG数据安全系统方案规划JetStorJetStor捷科捷科( (中国中国) )专业的存储设计师专业的存储设计师KaydenKayden目录目录内网信息安全建设内网信息安全建设产品介绍目标客户群体分析竞争对手分析典型案例企业信息现状及面临的问题政府机关政府机关监管机构监管机构客户客户供应商供应商合作伙伴合作伙伴内部组织、员工内部组织、员工企业经营活动企业经营活动泄密、窃密、失密泄密、窃密、失密典型保护蓝图4对外边界对外边界内部边界内部边界不能轻易拿出；不能轻易拿出；拿走了打不开；拿走了打不开；打开了看不懂；打开了看不懂；只在受控范围内使用；只在受控范围内使用；只对授权用户使用；只对授权用

2、户使用；不能篡改文档内容；不能篡改文档内容；不能随意打印；不能随意打印；不能随意拷贝；不能随意拷贝；文档使用审计；文档使用审计；企业内网信息安全场景模拟企业内网信息安全场景模拟企业可选的几种典型安全方案企业可选的几种典型安全方案先授权后传播保护方案先授权后传播保护方案文档全生命周期保护方案文档全生命周期保护方案综合保护方案综合保护方案主要特点：主要特点：解密或授解密或授权外带或权外带或外发控制外发控制按文档类别加密按文档类别加密文档创建时自动加密文档创建时自动加密不区分密级不区分密级不细分权限不细分权限在指定计算机上有效在指定计算机上有效文档全生命周期保护方案文档全生命周期保护方案( (内核加

3、密方式内核加密方式) )使用使用传递传递对外交互对外交互跟踪审计跟踪审计文档创建文档创建指定类别的文指定类别的文档在创建时自动档在创建时自动加密，不需手工加密，不需手工操作，强制透明操作，强制透明邮件系统邮件系统文件共享文件共享移动介质移动介质系统下载系统下载认证系统信息认证系统信息或者计算机硬件或者计算机硬件信息信息使用时无权限使用时无权限细分细分专人解密（对专人解密（对公司外部人员）公司外部人员）专人授权外带专人授权外带（对公司内出差（对公司内出差人员）人员）可以控制是否可以控制是否离线脱机使用离线脱机使用可以审计到每可以审计到每个文件的使用情个文件的使用情况况 优点优点 文件创建时就加密

4、，保密彻底文件创建时就加密，保密彻底 部署、实施周期较短部署、实施周期较短 属于强制加密，不需太多的审属于强制加密，不需太多的审计环节计环节 员工透明使用，没有感觉，不员工透明使用，没有感觉，不需额外操作需额外操作 缺点缺点 针对所有文档加密，对外交针对所有文档加密，对外交互的效率低互的效率低 员工抵触比较大员工抵触比较大 有权限使用的人，权限都一有权限使用的人，权限都一样，不能细分权限样，不能细分权限 文档全生命周期保护方案文档全生命周期保护方案( (内核加密方式内核加密方式) )主要特点：主要特点：还原或授还原或授权外带或权外带或外发控制外发控制文档划分密级等级文档划分密级等级对高密级的文

5、档加密对高密级的文档加密原始文档创建时不加密原始文档创建时不加密文档传播时加密和授权文档传播时加密和授权可以防止拷贝和拷屏等可以防止拷贝和拷屏等可以细分使用权限，如：可以细分使用权限，如：只读、只打印等只读、只打印等先授权后传播使用方案先授权后传播使用方案( (文档权限管理文档权限管理) )使用使用传递传递对外交互对外交互跟踪审计跟踪审计文档创建文档创建加密授权加密授权文档创建第一文档创建第一稿不保护、存在稿不保护、存在泄密隐患泄密隐患根据文档密级根据文档密级划分确定是否加划分确定是否加密授权处理密授权处理加密和授权同加密和授权同时进行时进行创建者可能拥创建者可能拥有原始明文文件有原始明文文件

6、邮件系统邮件系统文件共享文件共享移动介质移动介质系统下载系统下载先认证身份和先认证身份和权限权限必须能访问授必须能访问授权服务器（在公权服务器（在公司内网或者在外司内网或者在外网通过网通过VPNVPN访问）访问）可进行离线外可进行离线外发绑定发绑定专人解密（对专人解密（对公司外部人员）公司外部人员）专人授权外带专人授权外带（对公司内出差（对公司内出差人员）人员）可以控制有效可以控制有效时间或使用次数时间或使用次数可以审计到每可以审计到每个文件的使用情个文件的使用情况况可以审计到每可以审计到每个文件的授权情个文件的授权情况况 优点优点 针对高密级文档，不影响针对高密级文档，不影响其它文档的使用、

7、传播的其它文档的使用、传播的效率效率 员工主动加密授权，容易员工主动加密授权，容易接受，无反弹接受，无反弹 权限控制精细（只读、打权限控制精细（只读、打印、修改等）印、修改等） 缺点缺点 创建时不加密，有一定的创建时不加密，有一定的泄密风险泄密风险 实施、推广周期较长（必实施、推广周期较长（必须先做好密级划分工作，须先做好密级划分工作，全公司要有统一的身份管全公司要有统一的身份管理，如：统一的理，如：统一的ADAD等）等） 落实效果要靠定期的审计落实效果要靠定期的审计来弥补来弥补 应用范围具有一定局限性应用范围具有一定局限性先授权后传播使用方案先授权后传播使用方案( (文档权限管理文档权限管理

8、) )解密或授解密或授权外带或权外带或外发控制外发控制文档权限管理方式文档权限管理方式内核加密方式内核加密方式授权授权综合使用方案综合使用方案使用使用传递传递对外交互对外交互跟踪审计跟踪审计文档创建文档创建文档授权文档授权指定类型的文指定类型的文档创建时自动加档创建时自动加密，不需人为主密，不需人为主动参与动参与文档传出核心文档传出核心区时进行二次授区时进行二次授权加密权加密文档可以不脱文档可以不脱离加密状态离加密状态邮件系统邮件系统文件共享文件共享移动介质移动介质系统下载系统下载先认证身份和先认证身份和权限权限必须能访问授必须能访问授权服务器（在公权服务器（在公司内网或者在外司内网或者在外网

9、通过网通过VPNVPN访问）访问）专人解密（对专人解密（对公司外部人员）公司外部人员）专人授权外带专人授权外带（对公司内出差（对公司内出差人员）人员）可以控制有效可以控制有效时间或使用次数时间或使用次数可以审计到每可以审计到每个文件的使用情个文件的使用情况况可以审计到每可以审计到每个文件的授权情个文件的授权情况况 优点优点 核心区文档创建时自动加核心区文档创建时自动加密，保证安全密，保证安全 非核心区按密级加密，对非核心区按密级加密，对普通文档传播、使用效率普通文档传播、使用效率影响小影响小 便于先从最核心的文档开便于先从最核心的文档开始保护，逐步推广始保护，逐步推广 缺点缺点 两种技术结合，

10、可两种技术结合，可选产品少，技术难选产品少，技术难度大度大 全面部署周期长全面部署周期长综合使用方案综合使用方案核心资源保护必须考虑的关键问题核心资源保护必须考虑的关键问题业务效率影响业务效率影响信息保护信息保护工作效率工作效率设计文档保护设计文档保护源代码保护源代码保护财务报表保护财务报表保护设计图纸保护设计图纸保护专利保护专利保护纸面资料的保护纸面资料的保护电子介质的保护电子介质的保护安全处理，如：加密与解安全处理，如：加密与解密时间与安全性密时间与安全性使用授权复杂难易程度使用授权复杂难易程度传播方式、安全范围控制传播方式、安全范围控制防止恶意操作控制，如：防止恶意操作控制，如：防拷贝、

11、拷屏、发送防拷贝、拷屏、发送与外部交互的安全控制与外部交互的安全控制无感知的自动加解密无感知的自动加解密安全与效率的平衡安全与效率的平衡目录目录内网信息安全建设产品介绍产品介绍目标客户群体分析竞争对手分析典型案例 三个阶段：三个阶段：“网络安全网络安全”、“桌面安全桌面安全”、“信息（数字资产）安全信息（数字资产）安全”“网络安全网络安全”：防病毒类、防火墙类、IDS（入侵检测） 主要厂商：主要厂商：赛门铁克、趋势、Macfee; 启明星辰、天融信等“桌面安全桌面安全”：防水墙类、行为监控、强审计、垃圾邮件 主要厂商：主要厂商：中软、北信源、明朝万达、汉邦、圣博润“信息安全信息安全”：文档安全

12、、内容安全、数据备份 主要厂商：主要厂商：微软RMS、Markany、AIRZIP(国外） 亿赛通、思智泰克、前沿、大成天下等产品模块：1.CDG权限控制管理模块： 一句话描述：文件在流转的过程中，对不同角色的用户赋予不同的权限；2.Smartsec智能动态加解密模块 对于需要保护的核心电子文档强制的被动的加密，同时在使用的时候“透明化”无感知的解密，一旦脱离环境，无法打开或打开后是乱码形式； 实时权限控制； 支持多种用户认证管理方式（如AD、ED、NOTES等）； 可以把用户信息、文件密钥、权限与指定的台式机、笔记本电脑和特定的USBkey进行绑定，实现离线浏览； 禁止屏幕打印，实时监测第三

13、方屏幕打印、录像等软件，实现文件内容级安全保护； 用户可以限制文档的访问期限和访问权限类型（如：只读、修改、打印、另存、复制等），从而控制对文档的访问。 使用时效的控制，对”只读“文档的使用次数、使用时效的管理；对离线使用的文档的控制； 权限的可回收特性，文档管理员可实时改变文档的使用权限，甚至可以回收文档拥有者的权限； 权限文档的二次流转控制再授权； 事后追踪审计具有权限的人取出文件使用亿赛通文档安全管理系统不能使用文件 在Windows的内核驱动层实现文件动态自动加密；并支持各种应用程序，在不知不觉中增强安全性，同时不降低工作效率； 不受限制的文件存储类型； 不改变文件格式，不需要用额外程

14、序打开，不占共享资源，与受控程序协同工作，不与其它应用程序发生冲突； 提供多种灵活的动态加密方案，可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等； 加密文件可在企业内自由流转； 移动PC脱网离线使用控制；笔记本电脑或者移动硬盘等移动存储介质一旦丢失，其里面的数据将会被公开、被窃取，根据CDG对数据信息加密机制，即使失窃或遗失，第三者也无法看到已经被加密的数据，不会造成信息泄密。客户端个人电脑中的文件密码化以防止泄漏；移动存储介质拷贝的文件以加密形式存在防止遗失时泄密；文件传输时，均以密文形式传输，防止第三方截获泄密。在企业内部文件仍然是加密存放的；当需要用通过移动

15、介质与外部交流时，可以设置权限绑定；文件作者A对用户B加以授权，B将拥有相应打开文件或使用文件的部分权限；用户B解密文件时，需要进行相应的身份认证和权限认证；没有得到授权的人员，比如公司外部人员是无法打开和使用文件的。防止内部的员工有意识或无意识的将重要信息带出向外泄漏，根据CDG的权限控制机制，对每个用户的权限设定，控制了对信息的非法带出泄漏， 高度机密的信息不怕被带出泄密。对文件拷贝、复制控制；使用FD、MO、USB介质带出的控制；对文件只读、打印、保存控制。管理员对每个用户设定每个文件的使用权限，比如：控制拷贝、打印、保存、另存、阅览次数、打印次数、时间期限等，以及非法取出的防御。防止用

16、户使用外部存储介质拷贝、打印、保存重要文件传播泄密防范离职、辞职人员带走内部重要信息泄密。对已经授权的用户进行权限回收，即使文件已经被下载，权限回收后将无法打开文件，防止泄密事件发生。防止离线泄密，保证离线办公安全性，在无网络控制的情况下，仍然对文档具有绝对控制权。1. 绑定单个文件到锁或台式机2. 把用户的密钥，权限与指定台式机，笔记本电脑或锁进行绑定登陆服务器、下载文件等动作都会被记录并自动上传至CDG服务器，即使是管理员，所有的动作也被自动记录， 临时的授予权限，下载文件，使用文件，对文件的所有操作等这些动作信息都是要记录，根据这些记录，管理员可以监控每个用户对文件的使用情况。某人在某时

17、登陆访问了某文件，对文件作的复制、打印、保存等这些信息都可以获取，在客户端获取的日志会自动上传到CDG服务器上。CDG文档安全管理系统是一个可控授权的电子文档安全共享管理系统，采用实时动态加解密保护技术和实时权限回收机制，提供对各类电子文档内容级的安全保护，该系统在不改变原文件格式的前提下实现文档的安全共享，防止用户通过电子邮件、移动硬盘、优盘、软盘等途径泄密重要数据文件，做到“事前主动防御、事中灵活控制、事后全维追踪”。 防火墙或专网，可以防止外部人员非法访问，但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。这种二次传播造成电子文档泄密。 那么怎样才能防止电子文档的传播泄密

18、呢?这就需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护，做到：文档加密：盗走了 拿走了 没法用权限控管：谁能看 谁能印 防篡改时间期限：过期了 离职后 不能用 身份认证：你是谁 怎确认 要认证使用追踪：谁看过 谁印过 有记录 外发文件：谁能看 看几次 看多久 产品资质产品资质目录目录内网信息安全建设产品介绍目标客户群体分析目标客户群体分析竞争对手分析典型案例政府：中华人民外交部政府：中华人民外交部加密政府部门的机密文件，防止政府的重要信息、政策、制度未发布而提前泄密；加密预算文件和运行计划，加密重要的人事记录，提供受控访问的电子版证据。增强法律中的各个环节，保证其完整

19、性。手机设计行业：北京德信无线、上海希姆通集团、上海凯明等手机设计行业：北京德信无线、上海希姆通集团、上海凯明等大量的源代码、模型图纸等，手机设计行业依靠快速的更新换代来维持市场的占有率和利润率，每一个新的创意都面临着模仿和窃取，因此保护上述重要资料成为企业生存的根本。设计院、及设计类企业：太原规划院（局）、安阳城市规划院设计院、及设计类企业：太原规划院（局）、安阳城市规划院防止将知识产权和商业机密带出公司 ；在笔记本电脑和移动设备上保护知识产权和商业机密 ；加密的招投标文件 ；保密设计信息 。军队研究部门：二炮装备研究院、酒泉卫星发射基地等军队研究部门：二炮装备研究院、酒泉卫星发射基地等加密部队核心军事机密文件，加密各类新的武器研发文档，加密重要人事记录等。制造类企业核心设计研发部门：北京动力源、深圳大族激光、制造类企业核心设计研发部门：北京动力源、深圳大族激光、制造工艺、模具、研发图纸、设计研发文档等大型企事业集团：一汽集团、比亚迪（深圳）、大型企事业集团：一汽集团、比亚迪（深圳）、信息安全等级保护管理办法和萨班斯-奥克斯利法案的实施，都以法规的形式敦促企业加强内部控制，