华御智能防信息泄密解决方案

智能防信息泄密解决方案东莞宏鸣信息科技限公司PAGE第2页共24页智能防信息泄密解决方案东莞宏鸣信息科技限公司华御智能防信息泄密解决方案※华御智能防泄漏系统—文件透明加解密※华御文件安全服务器系统—服务器文件强制加密※华御外发文件安全系统—防止外发文件二次扩散※华御文件备份系统—文件多版本备份、恢复※华御分级权限管理系统—文件分级管理，加强内部安全HopeMe宏鸣信息东莞市宏鸣信息科技有限公司技术咨询代表：辛先生联系方式录第一章需求概述 41.1.背景 41.2.需求概述 5第二章解决方案 62.1 方案概述 62.2 主要功能和特点 72.3 管理权限体系： 82.4 出差用户授权体系： 10第三章华御智能防信息泄漏系统产品介绍 113.1概要说明 113.2主要构成 113.2.1智能动态加解密模块 123.2.2文件自动多版本备份模块 123.2.3日志审计模块 133.2.4主机资产监控模块 133.2.4用户操作监控，跟踪模块和安全策略智能扩展模块 133.3实现原理 133.4工作原理 143.5技术优势 153.6产品规格 163.7运行环境 173.7.1服务器端 173.7.2控制台 183.7.3客户端 18第四章：华御智能防信息泄漏系统强大功能 194.1产品功能特点 194.2主要安全应用 194.2.1、按照使用人员范围划分 194.2.2、按照行业划分 204.2.3、支持的软件 21第五章产品资质 22第六章配置清单及报价 28第七章综述 29

第一章需求概述背景

计算机与网络的普及应用让信息的生产、存储、获取、共享和传播更加方便，同时也增加了组织内部重要信息泄密的风险。来自Gartner的调查显示：有超过85%的安全威胁来自组织内部；各种安全漏洞造成的损失中，30%-40%是由电子文件泄露造成的；在Fortune排名前1000家的公司中，每次电子文件泄露所造成的损失平均是50万美元。因信息泄密导致严重后果的案例：◆2003年某大型企业投入巨资历时一年研发高技术新产品，研发才接近尾声，竞争对手已经拿到了拷有全部研发成果图纸的移动硬盘，抢先一步申请了专利并迅速投放市场，给该企业造成直接经济损失超过1亿元。◆2005年12月某专用设备厂一位跟随老板创业十余年的销售经理突然离职，带走1万多份产品电子图纸，在距该厂不到500米处自己开厂、生产同类产品与原厂竞争，使原厂产品利润空间损失50%以上。传统的信息安全解决方案如防火墙、专网、入侵检测等，可以防止外部人员非法访问，但不能防止内部人员、以及作者本人对机密文档进行复制和传播。众所周知，电子文档的复制非常容易、传播极其隐秘，这种对机密文档的复制和传播才是造成信息泄密的主要途径。常见的信息泄密情形有：◆内部主动泄密：员工因为离职、不满、被收买等原因把机密文档外泄。

◆内部无意泄密：员工保密观念不强造成无意识地外泄，如离机未锁定系统、在外使用移动硬

盘、存储介质如U盘遗失等。◆外部恶意窃取：外部黑客入侵网络窃取机密，计算机病毒或木马程序自动对外发送数据等。

常见的信息泄密途径有：◆计算机硬件端口：通过USB、IDE、软驱、光驱、红外、蓝牙、无线网卡等端口，使用U盘、

移动硬盘、光盘、笔记本电脑、PDA甚至智能手机复制或传输。◆网络：通过网上邻居、共享文件夹、E-mail、QQ/MSN/ICQ等即时通讯工具、论坛发贴、

ftp、BT、网络硬盘等方式传输。泄密原因多样化、泄密手段专业化让人防不胜防，许多单位都面临着极大的信息泄密风险!如何才能从根本上防范信息泄密、把风险降到最低？在对大量泄密案例和潜在泄密风险进行深入调查和分析的基础上，经过多年的技术攻关和潜心研发，上海华御信息技术有限公司的智能防信息泄漏解决方案应运而生。从2003年起，上海华御信息技术有限公司（以下简称“上海华御”）就开始致力于基于透明加解密技术的防信息泄漏产品的研发，目前已经具有了内网安全管理的比较全面的产品线，包括华御文档安全管理系统、华御智能防信息泄漏系统、华御文件安全服务器系统、华御外发文件安全管理系统、华御文档安全管理系统等。在本方案中，我们以中盛光电的具体需求为向导，以上海华御防信息泄密产品为基础，为中盛光电量身定制最适合的防信息泄密解决方案。需求概述

****是一家具有自主研发产品的高科技生产企业，是国际领先的光伏发电系统供应商。公司业务遍布全球三十五个国家和地区，公司产品涵盖：单晶硅棒、多晶硅锭、晶体硅片、太阳能组件、一维/二维伺服系统。公司拥有世界领先的光伏产品专利技术和工业产权。公司设有全球先进的研发中心，已通过ISO:9000、TUV、IEC、CE、UL等国际质量体系认证。通过与motech、mecasolar的合作，为公司产品先进的技术和高水平的质量提供有力的保证。公司的制造中心设立在中国泰州，占地22万平方米，厂房面积达到10万平方米，拥有6条专业化生产线，技术工人1200人，现有产能120兆瓦，预计2010年将达到900兆瓦。由于中盛光电拥有世界领先的产品专利技术，对于这些知识设计资料和图纸的知识产权保护具有非常重要的意义，一旦这些技术资料泄漏给竞争对手，将给公司造成巨大的损失。公司目前的保护措施主要是禁止USB端口、禁止使用光驱、监控员工发送的邮件等，但这些措施不能从根本上杜绝内部泄密问题，还带来了很多不方便：一、禁止USB端口的措施在禁止使用U盘和移动硬盘的同时，也给正常的U盘和移动硬盘的正常使用需求带来不便。而现在越来越多的计算机外设采用USB端口，禁止USB端口带来很多的不便。二、拆除计算机光驱后，在电脑重装操作系统时只能临时打开机箱、外接光驱，给IT部门带来了很多麻烦。三、监控员工外发邮件的方式只是一种事后追查责任的亡羊补牢之策，不能从根本上杜绝泄密。如何能够在不降低工作效率和使用方便性的同时，彻底解决

中盛光电的知识产权保护问题？这是中盛光电领导层和管理层一直关心的问题。第二章解决方案方案概述基于中盛光电的具体需求，我们基于中国国防信息泄密领导企业–上海华御信息技术有限公司的“智能防信息泄漏系统”产品，为中盛光电提出本解决方案。方案原理图如下：采用“华御智能防信息泄漏系统V5.0”，如果选用软件版的管理中心，则在中盛光电泰州厂区内选择一台PC机作为管理中心，配置要求PentiumIII以上，512M内存，安装管理中心软件；如果选择硬件版的管理中心，则直接将该机架式的工控机安装在机柜内部。控制台可设置在IT部门，也可以设置在技术部门，取决于外发解密时是有什么人来承担审核的责任。技术部门的电脑上安装“华御智能防信息泄漏系统V5.0管理中心的职能：1、用户/组帐户和安全策略管理；2、本地网络认证；3、新版本升级；4、日志信息；5、远程文件备份服务。控制台的职能：1、对管理中心进行在线管理；2、员工出差授权；3、日志审计；4、远程控制客户端。客户端的职能：1、根据安全策略加密保护指定的文件；2、根据安全策略控制计算机外设端口；3、根据安全策略对文件进行自动备份。智能防信息泄漏系统工作在两个层次： ① 动态加密模块：工作在计算机最底层上保护文件内容，只要用户有读、写磁盘的操作，文件就自动进行加密或是解密，节省了用户手动进行加解密操作的时间，但并不控制文件的传播共享，也不影响文件打开时间，文件在制作过程和传输过程中始终是密文。而且该技术的操作面向用户全透明的方式，让用户完全在正常的工作中不知不觉地享受安全。② 后台服务：纯后台工作模式，实时监控用户操作行为，智能扩展安全策略。文件多版本自动备份模块更进一步保障文件的安全性。主要功能和特点智能加、解密：根据可信应用保护机密文件，保护机密文件与文件后缀名称无关，即使文件没有后缀名称，通过安全策略智能模块也同样能对该文件进行跟踪、强制保护。机密文件多版本自动备份：支持本地备份和远程集中备份两种模式，备份文件存放在受控的安全区域，用户无法对此区域内的文件进行浏览、操作。一旦病毒、恶意代码或者用户误操作导致文件内容丢失，可以方便、快捷得对文件进行恢复。确保重要的数据文件万无一失。粘贴板数据过滤：实时过滤粘贴板数据内容，系统将有效阻止机密文件内容被复制到到普通文件中（机密文件之间可以进行数据复制、粘贴；普通文件的内容也可以复制到机密文件中）。OLE对象过虑：OLE数据对象插入过滤，系统禁止将机密文件内容通过OLE对象插入的方式插入到普通文件中导致机密文件内容泄密（机密文件之间可以相互进行OLE插入；普通文件的内容也通过OLE对象插入到机密文件中）。资产监控：对所有安装华御智能防信息泄漏系统的客户端主机进行资产监控（资产信息包含主机的CPU、内存、硬盘、网卡、操作系统等信息）。一旦客户端资产变更，华御智能防信息泄漏系统将会在线实时报警，及时通知系统管理员用户。本系统具备强大的自我防护功能，阻止非法卸载、终止程序。客户端软件的安装、卸载都需经过管理中心的授权，防止客户端的非法安装、接入和卸载；可按用户组和用户方便、灵活制定安全策略；对离线、出差用户有非常周到的支持，授权用户可在“离线”状态下可以对机密文件进行访问；同时支持异地权限管理；支持在线升级。系统具有完备的基于角色的分级、分权管理和审计体系。日志审计：完备的日志审计功能；防止文件作者泄密，文件作者在本机做成文件后被加密存放在硬盘上，即使拷贝带到外界仍是密文无法读取文件的真正内容；支持在线管理；系统卸载时将会扫描硬盘所有文件，解密所有加密文件，不对用户造成任何影响。管理权限体系：华御智能防信息泄漏系统采用分级分权管理体系。如图所示：在上面的管理体系中，根管理员称为一级管理员。系统管理员、日志审计员、文件管理员称为二级管理员。其中系统管理员、文件管理员、日志审计员均由根管理员创建并且通过分发USB电子钥匙进行授权。他们的权限既可分开授权又可合并到一个管理员用户。用户可以根据实际情况进行二级管理员权限分配。四类管理员各自承担着相应的权限和职责：根管理员：① 对系统密钥进行管理（包括密钥备份，恢复，更新）；② 创建二级管理员并且通过USB电子钥匙为之授权。系统管理员：① 客户端用户管理：创建用户组和用户帐号；② 安全策略管理：为创建的用户组和用户分配安全策略；③ 员工外出授权：通过USB电子钥匙为出差用户进行本地授权、远程更改以及外出用户管理；④ 在线报警消息管理：报警信息包括用户非法卸载客户端、用户资产信息变更等；⑤ 资产信息管理.日志审计员：① 对系统日志信息审计：可以按照时间、类型、用户（组）对日志信息查询、审计。 ② 对日志信息管理（备份、清除、导入）。文件管理员：对客户端提交的需要解密的文件进行审核和解密（支持批量文件解密）。出差用户授权体系：员工出差或在家加班时可以携带硬件的EKEY以获得授权。

第三章华御智能防信息泄漏系统产品介绍3.1概要说明文件的安全性主要是体现在文件的可用性和机密性。如果仅仅考虑文件的机密性是非常不全面的，机密性需要在可用性的基础上才有其意义。因此华御智能防信息泄漏系统在考虑文件防泄密的基础上引入了文件多版本自动备份模块，来保障重要数据的可用性。在此基础上，通过智能动态加、解密技术来保障机密文件的机密性。对机密文件进行强制加密、解密。从安全角度出发实现加密解密过程完全自动化，必须通过系统级的驱动程序来完成。否则，操作系统以上的任何应用程序都不可能实现方便、灵活安全实时的加密解密。3.2主要构成华御智能防信息泄漏系统的核心功能模块有：①智能动态加解密模块②文件自动多版本备份模块③用户操作监控模块④安全策略智能扩展模块⑤主机资产监控模块⑥日志审计模块3.2.1智能动态加解密模块智能动态加解密技术通过不同安全策略对机密文件内容进行强制加密保存，使存储的数据不能通过任何途经（包括：各种移动存储设备、网络、电子邮件、即时通讯工具：MSN、QQ、PaoPao、Skype等）向外泄密；当合法用户读取数据时，已经被加密的数据会通过动态加解密技术和正确的安全策略通道安全的解密数据；对于内存中的明文数据内容，提供独特的内存文件内容防护系统（内存内容过滤技术），防止非法通过网络或其他的应用程序窃取内容，造成泄密。加解密过程自动完成，对用户完全透明，在用户没有任何感知的情况下保护文件的安全。3.2.2文件自动多版本备份模块文件自动多版本备份模块通过对用户操作机密文件行为进行实时监控。一旦机密文件内容被修改，并且保存，那么华御智能防信息泄漏系统将自动对该机密文件备份（本地备份或者是远程集中备份）。用户可以通过设置文件备份的过滤器来指定文件自动备份的范围。对同一份机密文件，系统可以备份多个版本（用户可指定，系统支持一个文件可以备份1～5份不同版本）。合法用户可以选择其中的某个版本进行恢复。华御智能防信息泄漏系统V5.0支持文件备份备份；其企业版支持本地备份和远程集中备份。3.2.3日志审计模块系统记录以下日志信息：管理员控制台操作日志；客户端安装、卸载日志；用户违规操作日志；文件加密、解密日志；文件备份日志；并且提供多种审计手段，对日志进行有效审计和管理。3.2.4主机资产监控模块监控客户端主机硬件信息和操作系统信息，一旦主机资产信息发生变更，系统将会实时在线报警（到系统管理员处）；资产信息查询：提供多种手段对当前资产信息进行查询和汇总，并且可以导入到外部文件中。3.2.4用户操作监控，跟踪模块和安全策略智能扩展模块华御智能防信息泄漏系统将全程监控用户对机密文件进行操作的每一个动作；一旦检测到用户的违规操作，可以立即生成对应的安全策略，阻止该违规操作。通过在线消息，通知系统管理员，系统管理员可以在第一时间发现当前系统的安全隐患，并且排除。3.3实现原理文件系统运行机制：在操作系统中,I/O管理器负责处理所有设备的I/O操作。I/O管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、文件系统驱动程序等完成I/O操作，见图。我们的驱动程序位于图中红色部分。3.4工作原理 安全等级设定为满足各种客户对不同安全需求，安全等级有五级。高级别的用户可以透明访问底密级的用户信息。 密钥管理通过应用程序可以对密钥进行更新、备份、导入。智能动态加、解密写硬盘时，根据访问文件的应用程序来决定该文件是否被加密；读硬盘时，更具应用程序和该文件的状态来决定是否对该文件进行解密文件备份策略根据应用程序和文件状态判断该文件是否为机密文件；根据文件备份策略和文件备份过滤器决定文件是否被备份；根据应用程序决定是否可以访问备份文件。日志开关设定客户端日志将被强制上传到管理中心，由日志管理员对日志信息进行集中审计；如果是外出用户，那么改用户的日志信息将会保存在本地主机，一旦接入内部网络，日志信息将会自动上传到安全管理中心；未上传的日志信息无法删除；3.5技术优势华御智能防信息泄漏系统应用了先进的动态加解密技术、文件自动多版本备份技术、用户操作实时监控、安全策略智能化技术、内存数据过滤技术、端口控制技术。有着无可比拟的优势，这也是华御智能防信息泄漏系统区别国内外同类产品的一大特征：动态加、解密技术：从内核级的过滤驱动入手，实现了对于使用者完全透明的，自动的加解密过程。相比较于传统的静态加解密，动态加解密过程中基本不需要人工介入，使用者完全处于被动加解密，这样就大大降低了人为疏忽造成泄密或人为直接造成泄密的可能性。，这样管理者只需通过调整策略，就可以实时控制加解密的过程。另外，与传统的加解密产品相比，动态加解密系统还加入了数据访问控制模块和数据访问监查模块。传统的加解密只保护了数据的机密性（Confidentiality），而具有访问控制的动态加解密系统则全面的保护了数据的机密性，完整性（Integrity）和可用性（Availability）。强大的日志记录功能提高了动态加解密系统的实时审计力度。② 文件自动多版本备份技术：全后台运行，对使用者完全透明。华御智能防信息泄漏系统支持两种备份模式：本地备份：本地备份文件对用户不可见，无法删除，只有通过控制台验证身份以后才能对备份文件进行有效管理；远程备份：定时在线备份到指定华御智能防信息泄漏系统管理中心（仅企业版硬件版本才支持远程集中备份）；备份的方式：支持明文备份（未加密但是经过编码，无法直接使用）和密文备份；备份策略：用户可以按照自身的需要设置文件备份的策略（后缀名、文件名、文件目录……）多版本备份：同一份文件最多可以备份5份最近的版本，用户可以选择任意版本恢复。③ 用户操作实时监控、安全策略智能化技术：全程监控用户对机密文件的操作过程，一旦发现用户违规操作，华御智能防信息泄漏系统安全策略智能扩展模块将生成匹配的安全策略进行阻止。通过该技术哪怕用户为加密的文件指定任意后缀名称，华御智能防信息泄漏系统也会将它跟踪并且强制保护；④ 内存数据过滤技术：实时过滤系统内存中的明文数据，以及OLE对象数据，在不影响用户使用方便的同时，保护机密文件数据的安全；3.6产品规格华御智能防信息泄漏系统包括三个版本。① 单机版：由核心部分（包含智能动态加解密、文件多版本自动本地备份、日志审计），安全策略管理工具和人工解密工具三部分组成。安装后，共占硬盘空间20M左右（不含日志占用空间）；运行时，共占内存5M② 标准版：由服务器端、控制台、和客户端组成。服务器端包含有：eKey授权、密钥管理、用户管理、安全策略管理、智能动态加解密，安全策略智能扩展，用户操作监控模块；客户端包含有本地备份和通讯模块。安装后，服务器端占硬盘70M③ 企业版：服务器设备和客户端组成。在标准版基础上增加文件多版本备份、管理员多模式选择、主机资产监控、日志审计等功能按照硬件可分企业版软件服务器（含控制台）和企业版硬件服务器（含控制台）。企业版软件服务器（含控制台）：支持各种Windows版本、Linux、Unix的纯软件版本。企业版硬件服务器（含控制台）：服务器是基于Linux的工控机，控制台采用Web方式。可使用于有跨地域分支机构的单位。Linux的工控机包含的模块有：设备管理、防火墙、DHCP服务器、SSL模块，SSH服务器、eKey授权、密钥管理、用户管理、备份文件管理、安全策略管理、在线消息、实时监控、资产监控和日志审计等模块。3.7运行环境3.7.1服务器端项目条件CPUPentium2以上内存最低256M操作系统Windows2000/XP/2003/NT硬盘空闲空间100M以上USB至少1个USB接口网卡10到100M网卡3.7.2控制台项目条件CPU建议最好PentiumII以上内存最低256M操作系统Windows2000/XP/2003/NT硬盘空闲空间500M以上USB至少2个USB接口网卡10到100M网卡3.7.3客户端项目条件CPU建议最好PentiumII以上内存最低256M操作系统Windows2000/XP/2003/NT硬盘空闲空间500M以上网卡10到100M网卡

第四章：华御智能防信息泄漏系统强大功能4.1产品功能特点软件特点描述说明强制性只要用户在操作相应策略文件的过程中，有写磁盘的操作，文件就会自动被加密弥补了由于公司内部人员主动泄密的安全漏洞智能化用户只要添加了相应文件类型的策略，就可以放心的使用这种类型的文件了，加密解密的过程完全不用用户手动操作节省了用户手动操作的时间，提高了工作效率可靠性文件加密保证数据不备泄密、文件自动备份保证数据的可靠性全后台实现，对用户完全透明4.2主要安全应用4.2.1、按照使用人员范围划分功能划分主要应用说明个人可以根据个人的需要SmartILPS单机版个人用户可以根据自己的需要设定相应的策略，这种情况下，只有本机的相应用户才能够对相应文件进行加密解密操作中小型企业这种情况需要SmartILPS标准版或者SmartILPS企业版，工作组中的所有人都要设定相同的密钥，可以共享资源在达到资源完全共享的情况下，可以保证在资源离开工作组的情况下无法使用大型企业（含有分公司）推见安装SmartILPS企业版和硬件服务器，由于管理中心采用嵌入式Linux和工控机构架，自带防火墙功能，可以直接联机Internet，实现分公司之间的集中在线管理通过SmartILPS企业版可以构架多极安全管理中心，实现异地公司之间的在线集中管理。4.2.2、按照行业划分功能划分主要应用文件类型说明Office办公主要使用的是word、excel、ppt、access、viso、project等所有MicrosoftOffice的工具任意文件后缀，期间生成的所有文件都是密文，可以过滤Office内部粘贴版；金融行业主要使用MicrosoftOffice工具和二维画图工具任意文件后缀，期间生成的所有文件都是密文；制造行业主要应用AutoCAD、ProE等相应的画图工具任意文件后缀，期间生成的所有文件都是密文；设计行业主要应用Office工具和ProE等三维画图工具任意文件后缀，期间生成的所有文件是是密文；多媒体行业MAYA、PHOTOSHOP等多媒体制作工具任意文件后缀，期间生成的所有文件都是密文；其它行业主要应