企业内部信息数据安全保护解决方案

1、防水墙企业内部信息数据安全保护解决方案技术创新，变革未来Page 2目 录第一部分 公司介绍第二部分 防水墙的诞生第三部分 防水墙解决方案第五部分 防水墙典型用户第四部分 防水墙应用场景Page 3第二部分 防水墙的诞生Page 4企业内网面临复杂多样的威胁非法用户随意接入内部网络内部合法用户滥用权限终端不能及时打系统补丁员工私自安装软件、开启危险服务员工私自访问与工作无关网站员工忘记设置必要的口令现有安全设备难以有效保护网络无法检查网络内计算机的安全状况缺乏对合法终端滥用网络资源的安全管理无法防止恶意终端的蓄意破坏接入终端数量大、系统复杂，难以管理内网缺乏有效安全监控、审计手段系统软件安全漏

2、洞修复不及时系统缺乏行之有效的管理及紧急响应手段无法跟踪恶意员工泄露企业信息无法及时掌握终端的更新和变化网络终端的安全威胁企业信息安全的复杂环境Page 5文档PDF图片表格内部员工泄密黑客窃密存储介质遗失企业信息安全的真正威胁调查结果显示超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。 服务器泄密维护时使用移动硬盘将服务器上数据自备一份 知道服务器密码后远程登陆，将服务器上数据完全拷贝 Page 6信息外泄的途径 工作站泄密开启同事电脑，浏览，复制同事电脑里的数据 通过U盘或移动硬盘从电脑中拷出数据带走将电脑或硬盘带

3、出管控范围利用各种手段将资料拷走将电脑或硬盘送修，资料被好事者拷走电脑易手后，硬盘上的资料没有处理，导致泄密电脑遗失或者遭窃，里面的资料被完整的窃取 Page 7信息外泄的途径 网络泄密通过互联网将资料以电子邮件网页、BBS发送出去随意将文件设成共享，导致非相关人员获取资料将自己笔记本连接到公司局域网，使用各种手段窃取数据点击不认识的程序、上不熟悉的网站导致中了木马的泄密 Page 8信息外泄的途径 输出设备（移动设备）泄密移动存储设备共用，导致非相关人员获取资料将文件打印后带出 Page 9信息外泄的途径 客户泄密客户将公司提供的文件自用或者给了竞争对手 客户处管理不善产生的泄密 员工收到文

4、件后将文件发送给其他人员产生的泄密 Page 10FireWall（外部安全)Page 11WaterWall( 内部安全 )防火墙IDS( 入侵检测系统)病毒端口监控资源安全管理针对外部攻击的安全策略针对内部信息安全策略弱点漏洞分析访问控制 灾备系统状态检测文件加密管理网络连接管理 网络应用管理 防火墙防止来自外部的黑客防水墙阻止内部信息的泄密完整的企业信息安全平台杀毒软件 风水学里有山管人丁水管财之说 防水墙就是防止财富泄露的铜墙铁壁 防水墙是上海山丽有限公司的注册商标 防水墙是国内安全软件领域第一个获得国家专利Page 12防水墙的诞生 加密1.0时代环境加密 硬盘引导区的加密，数据本身

5、不加密 全公司采用一个密钥 可以采用引导区重建工具等破解 属于安全软件早期加密技术Page 13安全加密技术3.0时代的道路 加密2.0时代格式加密 采用驱动级别或者应用程序级别的 hook技术 将程序特定进程和后缀的文件进行加密 目前国内大部分公司采用的是这个技术 需要用户频繁升级和频繁设置 给用户带来使 用上的不快和升级收费的陷阱 采用单个或人工干预的多个密钥，安全性减弱Page 14安全加密技术3.0时代的道路 加密3.0时代多模加密 采用系统内核级别的驱动技术 对称加密和非对称加密算法相结合 实现一文一密钥安全系数 国际安全软件领域代表潮流代表产品：Windows的 EFS、win7的

6、BitLock Adobe的PDFPage 15安全加密技术3.0时代的道路 指多场景和模式满足客户应用全盘加密、格式加密、目录加密 空加密、外设加密、网络加密、特定加密、特定不加密 透明加密不影响不改变使用者习惯防水墙是现有安全软件中多种模型设置最多的 Page 16防水墙之透明多模加密采用 加密（AES）算法与非对称加密（RSA）算法 融合独有环境指纹专利技术 防水墙是安全软件中唯一做到一文一密钥Page 17防水墙之一文一密钥加密和系统平台无关覆盖数据库和操作的全平台加密和使用者使用软件无关不改变工作习惯，不增加工作量国内最早提倡和采用该项技术的安全软件Page 18防水墙之和格式无关P

7、age 19真正的加密3.0就是防水墙加密方式和系统、软件无关多模透明加密一文一密钥Page 20第三部分 防水墙解决方案服务器满足对所有客户端的用户创建、策略记录，是用户信息、策略信息的后台运行平台，其中含有和域控集成的单点登陆功能、灾备功能以及其他服务器运行的必须功能客户端安装在各个计算机终端的登录模块安全管理员查看管理员操作日志、用户日志的平台，有时候，也作为密文解密审批的平台控制台对用户进行管理的策略中心，通过该策略中心，实现对所有客户端的管理；Page 21防水墙的系统构成防水墙客户端核心功能多模透明加密离线管理标准审批剪贴控制密文明送 格式无关 一文一密钥 多种使用场景 控制外发文

8、件打开的口令、累计时间、次数和打印权限等 支持所有格式文件 对外发文件控制剪贴权限 对特定程序控制剪贴权限 对截屏和远程协助做控制 审批客户端提出的申请 明文导出 、密文明送，邮箱白名单等12345 支持员工出差和回家办公的情况下继续操作文档防水墙客户端增配功能打印资料拷贝资料核心资料加密对电脑硬盘重要文档加密保护打印管理外设管理未经管理人员审核，无法打印表格、设计文档等资料未经管理人员审核，U盘等移动存储介质无法传输数据，Page 24向外分发信息1、信息保护用户加密文件文件权限信息交互12、安全验证 用户操作认证 证书和权限信息交互23、信息分发通过Internet, 邮件附件，ftp下载

9、，其他存储设备34、信息访问接收用户认证获取证书和权限 授权离线操作，可缓存密钥4身份验证失败无法下载权限信息禁止外部用户访问无访问身份及访问权限防水墙服务器防水墙客户端防水墙客户端外部用户防水墙之工作流程Page 25防水墙之技术指标指 标指 标最大工作站点数62500最大域服务器点数250架构C/S最大并发认证数62500最大并发文件连接数10000加密位数128/256位支持网络类型局域网/广域网/互联网加密算法3DES-X/RSA/SM1文件访问支持协议NetBIOS/HTTP/FTP支持平台工作站 Windows 2000至windows7 64位；服务器 Windows serve

10、r 2003至2008内核网络协议TCP/IP加密算法3DES-X/RSA/SM1每秒加密字节数 30Mb每秒解密字节数 50Mb加密延迟 200ms解密延迟100ms系统负荷3%最长生存期 不受约束最短生存期不受约束时间合成算法不可逆主要技术及性能 指标达到计算机信息系统安全保护等级划分准则 GB 17859-1999第四级：结构化保护级，第五级：访问验证保护级执行的质量标准中华人民共和国国家标准 计算机信息系统安全保护等级划分准则GB 17859-1999Page 26磁盘文件（密文）文件过滤驱动密文密文证书自动加解密，对用户透明应用程序（明文）读/写数据请求读/写数据请求读/写数据响应读

11、/写数据响应防水墙系统客户端功能之多模加密高安全性密钥本身也是密文，密钥是随机的客户端与服务器，及服务器间的通讯报文经过加密处理高效率手动加密：避免复杂的人工密钥管理自动加密：文件自动被透明加密高透明自动加解密，对使用者完全透明不改变操作习惯，不增加工作量Page 27 用户ID 文档ID 加密文件 终端MAC终端绑定文档权限、密钥和文件ID与用户终端绑定 本地身份与权限验证无需连接服务器在离线端新产生的加密文件接受以脚色为对象的权限设置，完全不同于一般的加密软件WVS支持离线文档权限控制，满足出差用户或网络中断等无法与服务器通信时的文档权限管理，兼顾业务与安全性。防水墙系统客户端功能之离线文

12、档Page 28防水墙系统安全管理员功能之日志审计Page 29账号管理部门管理第三方账号同步用户漫游跨系统授权用户管理支持添加、删除、修改、查询和浏览账号信息支持查询、创建、修改和删除部门信息支持用户角色管理支持本地账号口令修改;强密码口令强度AD/ED部门和账号信息同步，和AD域结合支持动态和静态两种模式系统管理员配置操作也将会被审计账号、部门管理角色管理防水墙系统控制台功能之用户管理防水墙系统控制台功能之用户管理Page 30防水墙管理中心Core network防水墙服务器- 管理中心系统管理员- 管理中心安全管理员防水墙管理节点防水墙客户端- 防水墙服务器系统管理员- 防水墙服务器安

13、全管理员- 普通用户 山丽防水墙可以支持对所有文件的加解密并提供有客户端 多种加密方式满足现在和将来文件加密解密需求 因为文档格式发生变化需要的二次开发才能加密的，不收取任何费用（该条不受合同时间的约束）Page 31防水墙之特征More一文一密钥结合环境指纹专利加密密钥动态变化防止被破解 文件安全大大提高Page 32防水墙之特证Highest支持 windows操作系统 支持 win2000到 win7的所有系统支持 winxp到 win7的所有 64位系统支持 win2003到 win2008的所有服务端系统支持mySQL数据库和Oracle数据库Page 33防水墙之特证Forcefu

14、l能和域控等第三方系统完美融合 防水墙系统客户端登陆方式支持多种类型支持和域控的动态结合Page 34防水墙之特证Ordinary生词本 中频词，你记住了吗？和用户的应用系统无关控制台自由设置用户（组）上传到各种应用系统（包括内部网络的 mail系统）文件的密文和明文之间的变化增加操作的便捷性不会对对网络结构做任何的变更不会增加用户的实施难度不会增加单点故障 Page 35防水墙之特证Handy和用户应用系统(ERP、OA、HR、PDM财务管理系统)等的集成方案多种，方式灵活、操作简单TPM解决方案(无需更改网络结构 安全网关解决方案 需要更改网络结构 开放系统接口，实现融合时二次开发无需更改

15、网络结构 Page 36防水墙之特证Flawless防水墙加密系统功能模块完善管理平台简易，适合全方位信息安全管理 防水墙具有 46余种模块，可以满足多途径信息安全管理目前国内最全面的信息安全管理平台Page 37防水墙之特证PerfectPage 38第四部分 防水墙应用场景Page 39企业内外网结构 方案一 上传解密、下载加密 没有启动加密软件无法登陆使用应用系统 功能模块： TPM可信程序管理模块和硬件安全网关 方案二上传保持密文、下载也是密文 没有启动加密软件可以登陆使用应用系统，但无法查看功能模块： 透明加密解密模块Page 40对OAERPCRM业务系统的保护通过 QQ发送出去的文件仍然保持密文状态对 QQ的截屏功能，远程协助功能进行管控 禁止QQ等对外远程通讯Page 41对QQIM即时通讯管理的保护 方案一预先申请邮箱作为永久明文邮箱发送给这些邮箱的密文将全部自动解密 方案二预先对用户定密级，对申请的永久邮箱定密级发送对应密级的文件给对应密级的邮箱密文将全部自动解密 方案三邮件外发申请，用户可对特定的文件进行申请当申请通过后，发送出去的文件也将自动解密 Page 42对邮件的保护 方案一空加密：只限于高管人员的空加密 方案二目录加密：对指定路径目录进行加密 实现效果自己的文件不加密，但其他