防泄密系统范文（精选6篇）

防泄密系统 第1篇

加强网络信息安全既要防范外部人员非法介入或窃取信息, 更要防范内部人员的主动泄密。根据美国联邦调查局 (FBI) 和计算机安全机构 (CSI) 的调查结果显示, 80%以上的安全威胁来自内部[1];中国国家信息安全测评认证中心的调查结果也表明, 信息安全问题主要来自泄密和内部人员犯罪[2]。

因此要从根本上提高网络信息安全防护能力和水平, 杜绝各类失泄密事件发生, 必须在系统设计规划中, 主动应对各种失泄密途径, 建立一个主动的信息安全保护机制[3]。

1主动防泄密安全机制

基于上述考虑, 本文提出一种主动防泄密安全机制, 由用户绑定机制、网络绑定机制、处理监控机制、数据加密机制和身份认证机制五部分组成。用户绑定机制实现涉密文件与用户的绑定, 防止非法用户接触涉密文件或合法用户对涉密文件进行非授权操作;网络绑定机制实现涉密文件与网络环境的绑定, 使涉密文件只能在特定网络环境中存在, 离开特定网络环境就成为无效数据;处理监控机制实现涉密文件在处理过程中的安全防护, 主要包括对用户打印、复制、读写文件等操作的实时监控;数据加密机制实现涉密文件基于特定网络和用户信息的数据加密, 使涉密文件统一加密存储在用户计算机中;身份认证机制实现用户与网络系统的绑定。

上述五种安全机制相互配合, 实现了涉密文件基于特定网络环境和用户信息的加密存储, 并且只有合法用户在特定网络下才能解密文件并进行处理, 而处理过程则受到系统实时监控, 这样文件本身就具备了较强的防范内部主动泄密和外部技术窃取的安全防护能力[4]。

2主动防泄密安全机制技术方案

主动防泄密安全机制涉及到身份论证与访问控制、数据加密、文件处理监控等关键技术, 这里根据单位内部局域网信息安全防护的实际需要, 提出以下技术实现方案。

(1) 基于eKey的网络身份认证与安全登录:

用户只有插入合法的eKey, 并通过服务器认证后才可登录计算机系统。

(2) 基于双层监控机制的文件操作实时监控:

通过用户层监控实现对涉密文件剪贴板操作、非法打印和拷贝的实时阻断;通过内核层监控实现涉密文件读写权限控制、透明加解密及安全审计等功能。

(3) 基于网络的文件加密:

利用基于网络的系统密钥加密机制, 并选用具备高强度安全性能的AES算法, 实现涉密文件数据的加密。

以上技术方案通过eKey及其存储的数字证书实现了涉密文件与用户的绑定以及用户与网络系统的绑定;通过系统密钥实现了涉密文件与网络环境的绑定;通过双层监控机制的文件操作实时监控实现了涉密文件在处理过程中的安全防护;通过高强度加密算法加密实现了涉密文件的数据加密存储。综合运用以上技术方案, 可实现基于主动防泄密安全机制的信息防护[4]。

3主动防泄密信息安全防护系统的实现

根据上述技术方案, 本文设计并实现一种主动防泄密信息安全防护系统, 主要由服务器管理端与用户终端构成, 如图1所示。

服务器中设有密钥中心, 随机产生密钥来加密涉密文件。控制服务器负责用户的注册, 监控规则命令的下发以及文件操作记录的接收和存储;数据库服务器完成监控规则、密钥信息、用户注册信息等数据的存储。其三大模块功能如下:

3.1 基于eKey的网络身份认证与安全登录

Windows 2000/XP操作系统允许用户自己定制特殊的登录方式, 因为GINA是Winlogon调用的一个可替换的DLL模块, 认证策略在GINA中实现, 通过替换GINA.dll可以实现用其他认证方式代替Windows所默认的登录方式, 比如:eKey、指纹识别等[5]。本文通过开发定制的GINA (Mygina.dll) 替换操作系统默认的Msgina.dll, 实现基于eKey的双因素身份认证[6,7]。用户必须输入正确的用户名、密码, 插入合法的eKey并通过网络身份认证后才有权登录到操作系统[8]。

3.2 基于双层监控机制的文件操作实时监控

为了实现对文件操作的全面实时监控, 结合API HOOK (API函数截获) 技术和文件系统过滤驱动技术, 提出基于用户层和内核层的双层文件监控机制, 其结构设计如图2所示。主要由启动加载模块、API HOOK模块 (FileHook.dll) 、文件访问监视程序 (FileMon.exe) 、涉密文件设置接口 (FileSet.dll) 和文件系统过滤驱动 (FileFilter.sys) 组成。

启动加载模块启动后读取配置信息, 调用API函数LoadLibrary () 加载涉密文件设置接口和文件系统过滤驱动, 调用API函数CreateProcess () 创建文件访问监视程序的进程[9]。

API HOOK模块通过截获相关文件操作API函数, 实现对保密区涉密文件移动操作、打印操作和剪贴板操作的实时阻断, 并通过文件访问监视程序将操作记录发送给数据库服务器。

文件访问监视程序负责从API HOOK模块与文件系统过滤驱动的日志暂存队列中取出日志, 并发送日志到数据库服务器。

涉密文件设置接口通过调用API函数DeviceIoControl () 向文件系统过滤驱动发送设置涉密文件的命令。

文件系统过滤驱动根据截获到的IRP (I/O request package, 输入/输出请求包) 类型调用相应的处理例程[10], 负责维护涉密文件表、控制涉密文件读/写访问、记录涉密文件读/写访问到日志暂存队列、阻断对保密区内文件重命名的IRP请求, 在例程中根据监控规则实现保密区内涉密文件的实时监控和透明加解密。

3.3 基于网络的文件加密

系统的密钥中心为用户的每个涉密文件产生一个系统密钥SK, 并利用此系统密钥加密涉密文件, 加密算法采用AES算法。

系统设计了密钥安全获取通信协议, 保证只有通过合法身份认证的用户才能得到系统密钥SK。该协议首先通过检测用户eKey的序列号, 并与用户注册的eKey序列号相比较来实现用户合法性判断, 然后通过系统密钥SK的ID号, 来正确获取每个涉密文件对应的系统密钥SK。

文件加密时首先以系统密钥SK为加密密钥, 通过AES算法加密原文件, 得到文件加密数据, 再将系统密钥SK的ID号写入文件头, 与文件加密数据组成加密后的涉密文件。

文件解密时, 首先读出文件头, 获得系统密钥SK的ID号, 并通过ID号在密钥数据库中查找对应的EK{SK}。然后检测用户eKey的序列号, 并与用户注册信息相比较, 若相同则通过认证, 服务器将{EK{SK}}发送到用户端。用户端以其eKey的序列号为初始值生成EK, 使用EK解密EK{SK}获得系统密钥SK (文件解密密钥) , 最后使用系统密钥SK通过AES算法解密涉密文件。涉密文件基于网络的加密与解密流程如图3所示。

4结语

提出主动防泄密安全机制, 设计了相应的信息安全防护技术方案, 研制了一种主动防泄密信息安全防护系统, 实现了基于eKey的网络身份认证与安全登录、基于双层监控机制的文件操作实时监控和基于网络的文件加密, 系统有效提高了防范内部主动泄密和外部技术窃取的安全防护能力。

参考文献

[1]LAWRENCE A.2007 CSI/FBI computer crime and securitysurvey[R].USA:Computer Security Institute, 2007-12-30.

[2]韩君.基于USBKey的Windows身份认证与访问控制研究[D].武汉:武汉大学, 2004.

[3]姜宁.建设主动防御的信息安全体系[J].计算机安全, 2005, 7 (11) :35-36.

[4]葛春, 杨百龙.涉密微机信息安全防护系统研究[J].现代电子技术, 2007, 30 (12) :98-100.

[5]YUE L.Design of an Alternative credentials authenticationfor Windows[D].Albany:Computer Science Department ofAlbany State University.2004.

[6]Microsoft Corporration.Winlogon and GINA[EB/OL].[2008-07-22].http://msdn.Microsoft.com, 2008.

[7]Microsoft Corporation.Microsoft Platform SDK[EB/OL].[2008-09-11].http://msdn.Microsoft.com, 2008.

[8]深圳明华公司.eKey用户手册[EB/OL].[2008-06-05].http://www.mwcard.com, 2008/2009.

[9]冉林仓.Windows API编程[M].北京:清华大学出版社, 2005.

防泄密系统 第2篇

要求（试行）》的通知

2014-3-13 13:49:07

各公安分局、崇明县公安局技防办，各技防从业单位：

为了加强本市视频安防监控系统管理，提高视频安防监控系统图像信息防泄密能力，市局技防办根据当前本市视频安防监控系统管理需要，在组织专家进行考察、调研的基础上，广泛听取了公安部计算机信息系统安全产品质量监督检验中心，以及本市多家重点单位、技防从业单位的意见，经多次讨论修改，制定了《上海市市视频安防监控数据导出防泄密系统基本技术要求（试行）》（以下简称《防泄密系统》，详见附件）。该防泄密系统的安装使用，将为本市重点单位视频安防监控系统应用提供必要安全保障和技术支撑。

为规范防泄密系统产品性能，防止防泄密系统产品质量鱼龙混杂、以次充好，自本通知发布起，凡在本市生产、销售、安装、使用防泄密系统产品，均应持有公安部计算机信息系统安全产品质量监督检验中心按照《防泄密系统》检测合格的型式检验报告（有效期2年）。

在《防泄密系统》试行期间，如遇问题请及时与市局技防办联系。联系人：刘晓新、顾忠平；联系电话：22023461、22023469。

特此通知。

上海市公安局技术防范办公室

2014年3月11日

上海市视频安防监控数据导出防泄密系统基本技术要求

（试行）

2014-3-13 14:00:07

1.范围

本要求规定了对本市视频安防监控系统中采用的视频安防监控数据导出防泄密系统（以下简称“防泄密系统”）的总体要求、组成和基本功能，是相关产品设计、编制、安装和检测的主要技术依据之一。

本要求适用于视频安防监控系统中本地及远程视频安防监控数据导出的防泄密系统。2.术语及定义

2.1.视频安防监控数据（文件）

采用用户终端由视频安防监控系统数字录像设备导出的录像文件和截图文件。2.2.安全策略

对视频监控文件使用范围的设定及操作行为的响应策略。2.3.用户终端

经联网系统注册并授权、对视频安防监控系统内的数据和/或设备有操作需求的客户端设备。2.4.防泄密网关

对视频安防监控系统获取视频安防监控数据（文件）进行防泄密保护的网间连接及协议控制设备。

2.5.防泄密系统软件

依附于用户终端运行，结合防泄密网关，对获取视频安防监控数据（文件）进行防泄密保护的软件。

3.总体要求

3.1.防泄密系统安全性评估应符合《信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求》（GB/T 18336.3－2001）的规定。3.2.防泄密系统身份鉴别和安全审计的防控强度应满足《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）第三级安全防护的规定。3.3.防泄密系统应符合《信息安全技术 主机文件监测产品检验规范》（MSTL_JGF_04-025）的规定。

3.4.防泄密系统应适用于符合《视频安防监控数字录像设备》（GB 20815-2006）、《上海综合型数字录像设备补充技术要求》及《本市专业型数字录像设备补充技术要求》规定的数字录像设备。3.5.用户终端任何对数字录像设备的操作应采用两组用户口令的认证方式。其中一组为视频安防监控系统自身的用户口令，一组为防泄密系统的口令。

4.系统组成

4.1.防泄密系统可由单台或多台防泄密网关及防泄密系统软件组成。4.2.防泄密网关的配置应与视频安防监控系统和联网模式相适应。4.3.防泄密系统软件的自身运行环境要求如下： a)CPU：1.8GHz及以上 b)内存：1G及以上

c)操作系统：通用性操作系统 5.技术要求 5.1.安全策略

防泄密系统应具有对用户终端管理员提供策略增加、修改、删除与应用等功能。5.2.身份鉴别

a)防泄密系统应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

b)防泄密系统应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； c)防泄密系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；

d)防泄密系统应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

e)防泄密系统应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

5.3.访问控制

a)泄密系统应提供访问控制功能，依据安全策略，控制视频监控文件访问的授权环境及视频监控文件的访问。保护视频监控文件的能力应不小于5G字节；

b)防泄密系统应具有防控用户终端截取内存和显存数据截屏的能力；

c)防泄密系统应支持对视频监控文件的操作提交申请、批复和授权。申请、批复和授权均应被记录。

5.4.安全审计

a)防泄密系统应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件（对安全策略中指定文件的所有操作事件）进行审计；

b)防泄密系统应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

c)防泄密系统审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； d)防泄密系统应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。5.5.视频监控文件通信及存储的保密性和完整性保护

a)防泄密系统应采用保密技术保证数字录像设备与用户终端间通信过程中数据的保密性和完整性。

b)防泄密系统应采用保密技术保证用户终端存储的视频监控文件的保密性和完整性。5.6.视频监控文件的外发应用

a)防泄密系统应能通过授权，在用户终端将视频监控文件制作成外发数据，并应具有设置密码、时效、编辑、自删除等修改、调整功能；

b)防泄密系统所制作的外发数据，在时效和权限许可范围内，应无需安装专用软件即可使用；

c)5G大小的外发文件在标准配置的计算机上打开时间比原始视频文件增加不应超过10秒钟。

5.7.防泄密系统应能直接与“上海安全技术防范监督管理平台”联网并发送报警信息。

附件：

本地视频安防监控系统防泄密系统

用以对本地视频安防监控系统用户终端的视频监控文件进行防泄密保护，拓扑如下：

远程视频安防监控系统防泄密系统

防泄密系统 第3篇

1 企业信息数据防泄密现状及分析

1.1 企业信息数据的泄密隐患

当前, 企业的信息数据泄密隐患主要来自于两个方面, 即外部的信息窃取和内部的信息泄密。数据泄密的主要途径有七种:黑客和间谍窃取, 外部竞争对手窃取, 内部人员离职拷贝带走数据泄密, 内部人员无意泄密和恶意泄密, 内部文档权限失控泄密, 存储设备丢失和维修泄密, 对外信息发布失控泄密。

1.2 企业信息数据安全保密现状

企业在信息化规划及建设规划过程中都已或多或少考虑了信息安全, 并已经建立了一些信息安全系统, 企业信息安全系统主要由防火墙、VPN、IPS、IDS、防病毒、存储备份、容灾和安全管理制度等组成。通过信息安全系统的建设, 对企业信息安全管理、网络安全、数据安全有一定的防护能力。但是, 企业还存在信息安全的投入不断增加、维护与管理越来越复杂、信息系统的使用效率不断降低、企业内部缺乏信息数据泄密防范、对新型攻击入侵无防御能力等一系列问题。

1.3 企业信息数据防泄密存在的突出问题分析

企业内部需要进行数据保密, 同时也面临着更多的数据交换方式和业务应用方式的结合问题, 如何在安全和便捷之间寻找合适的平衡点, 是企业数据保密建设的难点, 从企业信息安全管理的实际情况来看, 主要存在以下矛盾:

1.3.1 如何保证信息数据处于开放状态下的保密

由于企业的规模较庞大, 人员的流动和信息的交互也非常频繁, 企业很难从管理上确保处于开放状态下的信息数据的安全。另外, 早期建设信息化系统时考虑更多的是使用的便利性, 比如OA、ERP在公网的应用, 原本是方便驻外人员和移动办公的需要, 但是由于外部的管理措施无法和企业内部进行有效的联动, 开放的应用系统成了数据保密建设的障碍之一;

1.3.2 如何解决在对外频繁交流和沟通中的数据安全性问题

任何的信息数据都不是孤立的, 一旦孤立对企业的生产和运营的工作效率将产生严重的影响, 因此, 各种途径的数据交换都给数据在传输使用过程中的安全性带来了严峻的挑战, 企业要保证数据对外交换的过程中提高数据的安全管理, 是安全和便捷间寻求平衡最头疼的问题;

1.3.3 如何同现有的管理体系和人员组织相结合

数据保密不仅是一项功能性产品, 更多的是需要跟不同的职能部门进行有机的结合, 跟相关的管理措施和制度相结合, 不同的使用角色和不同的工作职能对数据的使用方式和应用方式, 如何有效地进行联动取得最佳的效果是数据保密项目成功实施的关键要素。

从以上问题中可以发现, 很多企业对于建立数据保密系统处于两难境地, 既要考虑到企业实际的需求又要考虑到现在的企业制度和企业文化。目前企业急需系统化架构和实施信息数据防泄密体系, 为企业提供有效的信息数据安全保障。

2 企业数据加密系统建设

2.1 数据加密系统规划思路

数据加密系统规划思路是围绕数据文档加密为控制点, 在企业网络内对数据文档进行自动透明加密, 通过解密流程控制审核数据文档解密, 防止企业数据文档被非法窃取、泄密。在不影响企业用户正常使用的前提下, 做到企业数据文档加密:盗走了、拿走了、没法用。

2.2 数据加密系统关键功能

(1) 全面安全防护。采用高强度加密算法, 内核透明加密保证文件全程处于加密状态, 进程自身保护防止恶意修改、终止、卸载等。

(2) 内置解密流程。程序内置解密流程, 集成域帐户解密审核审批权限控制, 点击鼠标即可完成授权解密, 解密记录可审计。

(3) 灵活策略定义。根据企业实际情况, 对重点部门的个人终端, 可实施强制性加密措施, 使终端里的机密数据自动加密保护。

(4) 精细权限控制。对CAD图纸文档等可以实现细粒度的权限控制, 如:打印、传输、拷贝、编辑修改、使用时间、次数等细致权限控制。

(5) 无缝安全对接。本系统能够与企业已有的应用业务系统 (比如说:PDM、ERP等) 集成, 顺畅对接, 方便使用。

(6) 完善的审计跟踪。提供详细的操作审计日志, 记录使用者的所有行为。可以利用查询记录功能来检查这些记录。

2.3 加密系统的加密原理及应用思路

2.3.1 加密系统实现原理

通过在服务器和客户端计算机上安装加密系统软件, 加载到Windows操作系统的内核, 可以监控Windows操作系统的所有应用程序的文件读写、输入、输出及数据通讯等相关的执行过程, 对非法访问进行控制 (如拷贝、粘贴、截屏操作) , 根据加密策略对指定的应用程序产生的数据文档进行实时加密。

2.3.2 文件解密实现原理

申请人直接右键点击文件和文件夹, 选择“申请解密文件”, 通过计算机分组管理, 解密申请会自动发送到相应主管领导计算机上, 主管领导确认是否同意即可实现文件解密, 主管领导确认后会自动发通知到申请人计算机, 申请人下载解密后的文件即可。解密文件操作过程不会影响到原来存储的文件, 系统会复制一份到后台解密, 只有申请人可以下载解密后的文件, 并且解密后的文件经下载后, 即自动删除了。解密流程如图1所示。

2.3.3 加密系统运行的安全性

加密系统是加载在Windows内核中的软件监控系统, 当安装了加密系统后, 用户感觉不到加密系统在运行, 但用户的操作动作, 如保存文件、读/写文件等都在加密系统的监控之下。用户试图卸载加密系统是不可能的, 就像Windows操作系统运行时您不可能关闭Windows内核一样, 除非您关闭计算机。

2.3.4 加密系统的稳定性

加密系统在Windows操作系统内核执行文件读写前实现监控并触发必要的加密动作, 加密系统在运行时, 并不损耗系统资源, 且能“安静而忠诚”的工作着。只有当指定的应用软件 (如UG) 访问数据文件 (如PRT后缀的文件) 时才触发加解密动作。安装完加密系统后, 对系统的影响就像多加装了一个USB接口的硬件设备及其驱动程序。

2.3.5 加密系统应用的条件

在公司内整体部署加密系统, 就形成了一个特定的公司网络工作环境;只要是公司网络内计算机上产生的指定类型文件都处于实时加密状态;在公司网络内计算机上读写加密的文件对用户来说是透明的, 不产生任何影响;加密的文件可以在公司内部进行交流, 当离开公司网络的加密文件立即不可用;

需要对外交流的加密文件, 可通过部门领导的审核并解密后发出;加密系统的加密密钥和解密密钥对我们公司来说是唯一性的;加密系统支持离线使用, 即离开公司网络的公司计算机可继续使用, 像在公司网络内一样;加密文件的内容复制、粘贴、截屏有严格的管理规定。

2.3.6 加密系统的影响

实施加密系统对用户使用操作计算机不产生任何影响、也不需要任何额外操作, 不会对公司的日常运转、计算机使用带来其他的影响。加密系统采用的加密方式为实时加密, 即用户在安装了加密系统客户端的电脑上操作时, 无论是打开、修改和保存文档时, 加密系统将实时对文件进行加密, 对用户并没有增加其他的额外工作, 加密于无形之中。

对于已经加密的文件, 在公司网络内安装了加密系统客户端的电脑上可以直接打开、修改和保存, 保存后的文件仍然是实时加密的, 即对用户来说是透明的、感觉不到的。

在打开加密文档后, 对文档内容的拷贝、粘贴以及截屏, 加密系统有严格的管理控制。加密文件内容拷贝以及截屏仅仅可以粘贴到实时加密的应用程序中, 即实时加密的应用程序间可以进行拷贝和粘贴;非实时加密的应用程序间也可以拷贝和粘贴;非实时加密的应用程序内容拷贝可以粘贴到实时加密的应用程序中, 反之则不行;截屏只能粘贴到实时加密的应用程序中。

实施加密系统后, 现有的大量文件仍处于未加密的状态, 需要进行批量手动加密以确保公司内部的所有文件都处于加密状态中。对于以上的情况, 加密系统提供了手动批量加密方式, 可以一次加密整个目录或者整个磁盘的指定类型文件。今后从外部导入的数据也可以实现手动批量加密。

2.4 数据加密系统实施部署

按照以下五个阶段的方法对加密系统进行实施部署:

阶段一:软件安装

加密系统供应商将与IT管理人员共同建立加密系统项目实施小组;确定并分配各自在项目中担任的角色和职责;确定软件安装硬件环境, 组织软件的服务器和客户端安装。

阶段二:配置加密策略

加密系统供应商指导项目实施小组根据企业的具体要求, 确定需要加密的程序类型, 并根据需求对不同的客户端应用不同的加密策略。

阶段三:对已有的数据进行加密

软件安装完毕并确定加密策略以后, 对服务器和客户端上已有的文件进行加密。以达到所有文件都处于加密的状态。

阶段四:系统管理培训

供应商对加密系统的管理和维护进行培训, 包括如何安装、策略配置、加密和解密、常见问题处理。

阶段五:运行支持

软件供应商提供系统实施后的技术支持, 协助系统维护人员处理运行过程中遇到的技术问题, 以确保系统能够正确地运行, 并逐步移交工作。

总结

通过建立企业信息数据防泄密体系, 保护企业的信息资产和核心机密数据, 已成为当前众多企业的普遍共识。本文讨论了数据加密系统在企业构建和应用思路, 通过实施部署数据加密系统, 切实管控了企业核心机密数据, 有效防止了企业信息数据泄密, 为企业提供有效的信息安全保障。

参考文献

[1]李硕.电子文档防泄密软件的设计与实现.上海交通大学, 2008

防泄密系统 第4篇

2012/5/26 11:30:09

小型企业面对发展的初级阶段，最为需要的是性价比高、易用性强并可持续发展的数据安全系统。

小型企业安全现状分析

与大中型企业相比，小型企业的规模、资金相对有限。为了更好地发展自己的业务领域，小型企业往往投入大量的资源对企业业务经营、竞争优势、品牌塑造等方面加以提升。这些资源的投入最终将转换成为企业的无形资产，所以需要得到严格的控制与保护。这些有效资源主要包括：客户资料、核心技术文档、知识产权、企业合同等。同时，小型企业普遍存在IT软硬件配置较难达到统一，相配备的专业IT人员较少甚至没有，企业员工整体计算机应用较弱等问题。处于发展中的小型企业，具有高速成长、变化频繁等特点，因此针对小企业的数据安全管理系统必须具备高性价比、易管理应用、可发展等特点，能够灵活适应企业实际的发展状况。

希拓金盾解决方案给您带来的帮助

针对上述需求，希拓金盾小型企业解决方案，通过广泛整合最为实用的功能，更为合理的价格，帮助小型企业保护机密数据，简化工作流程，提高管理效率，实现低投入、高安全的数据管理模式。

希拓金盾小型企业解决方案实施后，用户只需创建、保存所操作的文档，这个文档就会被自动加密，不需要企业内部人员参与，整个加密过程均在后台系统自动完成。用户在整个操作过程中不会有任何的体验差异，与使用Windows操作系统完全相同。当加密文档在非授权的情况下被带到企业外部时，加密文档无法打开或者打开以后形成乱码格式，无法查阅。

虚拟化技术防金融核心业务数据泄密 第5篇

随着信息技术的发展, 金融机构几乎全部业务数据都放到服务器进行集中化管理, 在降低IT成本的同时, 也带了更大的挑战:一旦核心业务数据通过某些渠道被泄露, 造成的隐患将是空前的。

攘外必先安内

目前在市场活动中数据泄密的手段多种多样, 对重要数据的非法获取也变得非常有针对性。如果说以前的黑客只是为了证明自己技术高超的话, 现在的入侵则更多具备了非常明确的目的为了经济利益或者达到其他影响。对这些外部入侵, 我们目前已经具备很多成熟有效的应对方法, 但是在内部保密措施方面却不够完善, 也因此出现了不少影响恶劣的泄密事件。

对于在国内发生过的某知名外资银行的客户存款被盗案件, 上海师范大学金融工程研究中心主任孙茂辉曾表示:“金融行业相比其他行业, 在信息安全的硬件建设上是最成熟的, 被盗案件更多是由于内部员工或者合作伙伴引起的数据丢失。此案的爆发, 对整个银行业有一定的警示作用。目前, 银行多专注于防控来自外部的风险, 而对内部人员的管理却流于形式。”

内部常见的安全漏洞

目前的金融内部系统, 人员数量大、业务复杂、应用繁多, 特别是各种数码移动及上网设备普及, 给信息安全管理尤其是核心业务数据的防泄密工作带来了很大的难度, 比较常见的安全漏洞有:

一、难以优化的系统本身的安全功能缺失:重要的企业资料、文件、程序可被随意留存在本地电脑的硬盘存储中, 容易私自传播造成泄密;由于软件系统本身的安全防范能力不足, 而被破解用户名密码或者越权访问。

二、难以管理的个人行为:通过USB便携存储设备私自拷贝, 利用打印机打印资料带走;私自通过其他的网络链路泄密, 如私自使用3G上网卡;通过互联网泄密, 比如利用网络邮箱、网络存储、通讯工具传输机密数据等。

除了主动泄密, 也有员工将重要信息留存在本地设备, 结果因设备遗失或被窃取造成的被动泄密, 所以访问核心业务数据时的安全性应该引起的足够重视。

传统解决方案难挑大梁

利用终端对核心业务数据进行单独访问时, 传统方式主要是采用网络安全隔离卡、安全隔离网闸、基于无盘系统的隔离、双网络系统等物理隔离的办法。采取物理隔离的方式有较高的安全性, 但是数据的传输与处理仍是明文的方式来进行, 客观上有一定的风险存在。因此, 物理隔离在实际的使用中, 还存在着诸多不足。

首先是易用性差。现代办公对网络应用更加的依赖, 在保证信息安全的情况下, 不能方便的进行其它文件的跨网使用、移动办公、外网邮件、IM即时通讯等应用。其次是扩展性差, 后期扩展必须增加两套设备。再者是IT成本高, 包括建设、管理和维护成本。基以上于物理隔离的使用特点, 我们可以看到, 传统的隔离方式已经不能更好地适应金融信息化的快速发展。适时出现具有前瞻性的解决方案提供商, 对金融信息安全建设进行引导至关重要。

虚拟化技术解决金融核心业务数据泄密问题

如今, 虚拟化技术在国内已经成为热议话题, 各种虚拟化应用被广为宣传, 但受当前物理设备对虚拟化技术支持的限制和管理人员对虚拟化技术可靠性的担心, 企业在虚拟化领域的大规模实际应用仍然停留在摸索和观望阶段。特别是在重视系统安全性的金融行业, 全面应用虚拟化技术还有很长的路要走, 但在部分细分领域, 已经出现了一些比较成熟的技术, 可以作为向虚拟化方向转型的突破口。

长期以来, 在企业IT建设的虚拟化技术领域活跃的都是以VMware为代表的外资厂商, 国内厂商鲜有涉足。现在我们欣喜地看到了内资厂商的身影。经过多年蛰伏, 少数国内领导厂商已经扛起了虚拟化的大旗, 开始在细分领域提供比较成熟可靠的虚拟化解决方案。

如本文探讨的金融核心业务数据防泄密解决方案, 即是由本土厂商深信服电子科技有限公司推出。深信服作为国内领先的网络安全与优化厂商, 在企业级市场取得了令人瞩目的成绩。“安全是现代金融的基石, 特别是如何保障内部信息安全一直缺乏让人满意的方法。深信服在网络安全已有多年积累, 此番运用虚拟化技术推出这款解决方案可谓是水到渠成。”深信服金融高级产品经理郝晓龙如是说。

控制力是保护金融内部信息安全的一个重要因素, 包括对企业内部人员的控制和访问企业网络资源的合作伙伴的控制。深信服提供的解决方案是, 运用“沙盒”技术在访问的终端生成一个虚拟安全桌面, 可以使相关的核心业务数据只能在这个安全桌面中访问, 安全桌面与本身的默认桌面形成逻辑隔离, 实现业务数据的安全访问, 并使用虚拟安全网关做统一管理。

虚拟化安全桌面的优势

“虚拟化安全桌面中所有运行的程序和临时存储的数据, 都是在虚拟独立的硬盘空间和内存空间中的, 运行的过程中直接对该区域进行加密。所以, 在默认桌面中, 任何程序都无法查看或者调用安全桌面中的运行数据和临时存储的数据。”郝晓龙说。 (如图1所示)

安全桌面是一种相对孤立的环境, 本地桌面与安全桌面不能进行数据交互, 即访问终端不能把任何资料或文件保留在本地;在安全桌面中禁止和外网、本地局域网的任何地址进行通讯, 数据不能通过即时通讯和邮件等工具进行发送, 也不能连接到打印机进行打印;虚拟桌面获取的临时业务数据在退出安全桌面中会被销毁, 所有的操作痕迹将会被清除。

“虚拟隔离用的是加密、重定向技术以及底层的数据通讯拦截技术, 在数据的隐藏、防泄密和防篡改方面完全可以达到和物理隔离一样的效果, 并在传输安全和服务器区访问记录及授权上有更全面的安全机制。”相对于传统的物理隔离, 郝晓龙显得信心满满。

而且部署安全桌面不需要改变网络结构, 用户在默认桌面和安全桌面间可以自由切换。在安全桌面中, 用户可以在访问服务器时获得与默认桌面一致的用户体验, 具有良好的易用性。

虚拟化安全解决方案走向明朗

“目前已有银行和券商开始在尝试部署深信服虚拟化安全解决方案, 虽然应用方向上略有调整, 但都是基于安全桌面技术, 另外还有好几家银行也对此的方案表示了浓厚的兴趣。”郝晓龙透露到。

防泄密安全产品自身的安全性问题 第6篇

近年来, 防泄密类产品如雨后春笋般不断涌现。据不完全统计, 从事防泄密产品和技术研究的厂家有几百家之多。这些产品从不同的角度出发, 控制了信息的存储环境、泄密途径、存储介质, 以及电子文件的运动轨迹。但这些产品本身的安全性问题却很少被人关注, 如:

系统功能失效。窃密者使产品功能失效, 拆除该安全软件, 绕过安全产品的监控, 从而实施窃密;也有可能由于系统自身故障, 导致系统功能不能正常发挥, 致使窃密者有机可乘。

系统日志保护。系统日志内含有大量的秘密信息, 例如谁在什么时间对什么样的数据进行了什么样的操作, 窃密者完全有可能从中分析出机密信息;更有甚者, 有些日志是对被操作的敏感文件的备份和用户屏幕的截图, 这些日志包含了敏感信息, 不需分析就可直接获得秘密。

报警数据保护。一般情况下, 报警数据也是需要保护的, 例如报警数据作为证据要防止篡改, 保持数据的一致性和合法性。

数据传输安全。如果数据不加密就在网络中传输, 若被别有用心的人截取, 也将直接导致泄密。

密钥安全管理。这是信息安全最核心的问题, 也许是目前最大的问题。即使对用户身份进行了鉴别、对数据和系统自身实施了安全防范措施, 但是, 如果密钥保管不好, 窃密者就可以拿者密钥去解密, 获得敏感信息。

前不久, 网上盛传的某网络内容过滤软件的安全事件给我们敲响了警钟, 也为防泄密安全软件的自身安全提供了反面教材。上述事件的原因大致有两个方面, 一是密码的管理不善。它通过MD5方法对密码加密之后, 储存在一个dll文件中, 该文件并没有受到任何保护, 用普通的文字处理器就可以修改其中的内容, 这样一来, 只要将密码的MD5值修改成一个已知的字符串 (例如112233) 的MD5值, 就可以将系统的密码变回到112233。不仅如此, 人们还可以将那个dll文件替换掉, 如果新的dll文件中包含了已知的密码, 那么人们就可以轻松充当系统的管理员了。二是系统功能失效。它的四个进程没有得到充分保护。虽然以两个为一组交叉保护, 当其中一个进程被强行中止, 另一个进程将会重新启动运行它, 但是, 这可以被许多并不复杂的工具轻而易举地摧毁掉。功能失效还体现在对操作系统和其它应用软件的支持和兼容上, 如对Windows版本支持不全面, 对浏览器的支持不全面等等都能致使系统功能失效。

总而言之, 安全产品的自身安全问题已成为安全软件产品的一个重要问题, 当然防泄密安全产品也不例外。下面根据防泄密安全产品的特点, 探讨防泄密安全产品的自身安全防范措施。

1 防泄密类安全产品的特点

防泄密类安全产品防内不防外。它不同于防火墙、入侵检测、防病毒等安全产品。防火墙、入侵检测、防病毒产品防止的是外部的恶意攻击, 那些外部的人没有单位内部网络的合法身份, 他们的攻击往往没有什么针对性。而防泄密类产品防止的是内部的人员有意或无意的泄密, 这些内部人员拥有对单位内部网络、计算机资源的访问权限, 他们窃取机密材料都是有针对性的。外部的攻击易受到关注, 而内部的窃密较不易受到重视, 也较难管理和防范。正所谓家贼难防、堡垒最容易从内部攻破。

防泄密类安全产品保护的对象都是敏感信息。如果信息不足够敏感, 防泄密类产品就没有发挥作用的余地。这些敏感信息只有拥有合法权限的人才能有资格看到, 很多时候, 即使是系统管理员甚至是系统安全员也无权看到某些敏感信息。这是保密管理的规定。所以, 有权威专家称:“在防泄密类安全产品中, 不允许存在特权用户”, 就是这个道理。

防泄密类安全产品具有独特的软件构架。防泄密类产品大致有两种实现方式, 一是基于主机的防泄密产品, 二是基于网络的防泄密产品。两种产品可以同时使用, 互相配合取长补短, 共同发挥作用。所谓基于主机就是在每个用户的计算机上安装一个小的代理程序, 另设置一个服务器, 服务器负责管理、下发策略 (给每个用户计算机) 、存储代理程序发回的各种日志。基于网络的防止泄密类产品, 通常在网络的出口处部署一个网关设备, 像一个“看门狗”, 监视敏感数据的流动, 发现敏感数据即阻止其流出。基于网络的产品最大难度在于对敏感数据的识别, 而基于主机的防泄密产品难点在于和客户端各种软件的兼容, 因每台计算机都要安装代理程序, 故其部署的工作量也很大。

防泄密产品记录大量日志, 日志本身是敏感的。这是防泄密类产品的又一特点。这些日志包含了谁在什么时候、在什么地方对什么数据进行了什么操作。如A用户打印了文件B, 则B文件的影像和文件本身就可能根据安全策略记录在日志中, 又例如某用户C拷贝了文件D, 则文件D本身也被记录在日志中, 日志内容、特别是被记录的文件是极其敏感的, 需要加以适当保护, 包括日志数据的存储和传输。

综上所述, 防泄密类产品主要有以下几个特点:

(1) 防内为主的强制性。和防外不一样, 防外是大家一致的愿望, 策略是自愿、自觉执行的。既是防内, 就要求策略的强制性。例如文件加密不加密是由安全策略说了算, 不取决于文件作者本人或文件操作者的意愿;防泄密产品的安装也是强制性的, 且安装了之后不能被用户自己私自卸载。

(2) 保护对象的敏感性。这要求分层分级的访问控制, 要求系统中不存在特权用户。没有一个人能看见全部敏感数据, 即使是系统管理员或是系统安全员、审计员。

(3) 日志本身的机密性。这要求对日志本身要加以保护, 无论是记录在数据库中的记录, 还是存在于文件系统之中的文件;无论是数据在硬盘中的存储还是在传输途中。

除此之外, 防泄密产品的密码保护也是非常重要的。密码包括数据库口令, 用户身份的信息等等。一旦密码系统被攻破, 其它的防护措施就会功亏一篑。

2 防泄密安全产品的安全性防护策略

上述已分析了防泄密产品的特点。根据这样的分析, 我们认为, 防泄密系统在安全策略的强制性、基于角色的访问控制、强制访问控制和日志存储、传输和密码管理上, 均须采取措施。

2.1 策略执行的强制性

所有防泄密终端上的安全策略均来自于服务器, 服务器上的安全策略是由系统安全员设置的, 体现的是组织的安全意图, 不管大家愿意不愿意, 这个意图都要贯彻执行。我们通常所说的“策略下发”或“策略统一管理”实质上就是指策略的强制实施;并且, 客户端上的用户无权改变安全策略。例如, 在透明加解密系统中, 一个文件是否加密保护, 不是用户本人 (文件的创建者或文件的操作者) 说了算, 而是由组织的安全策略来决定, 系统往往通过指定进程和后缀规定什么样的文件必须被加密, 什么样的文件不加密;在移动存储介质管理系统中, 不经过授权的移动存储介质不允许在内部使用, 而经过授权的移动存储介质只能在内部、不能在外部使用, 体现的也是防泄密系统安全策略的强制性执行。

策略统一管理也许相对容易实现, 但防止客户端用户改变自己的安全策略是相对困难的, 因为恶意用户可以通过以下措施破坏策略的强制性:

(1) 拆除客户端软件, 使机器和用户逃避防泄密系统的监控;

(2) 删除或修改存储于本地的安全策略;

(3) 取得服务器的访问权限, 以修改自己的安全策略。

要针对以上各种可能的攻击行为, 采取措施保护安全策略免受攻击, 才能保证策略的强制性。以上列举的三个问题, 分别在后续文字里给予说明, 涉及到密码管理、客户端程序保护等重要问题。

2.2 基于角色的访问控制措施

前面已经提到, 防泄密系统保护的是敏感数据, 不允许存在这样一种用户, 他们可以看见所有的敏感数据, 即超级用户。

这一点和其它系统很不一样, 也是防泄密系统的一大特点。在其它系统中 (如操作系统) 允许存在一个超级用户 (Super User) , 他的权限比任何人都多, 他可以监视甚至控制一般用户的行为, 必要时还可以看见他人的操作内容。

为防止权限过分集中导致的泄密可能, 在防泄密类系统中须设置相应的角色, 实现分权分级管理。

所谓分权, 通常在系统中设置系统操作员 (Operator) 、管理员 (Administrator) 、安全员 (Security Officer) 、审计员 (Auditor) , 各司其职以避免权限的过分集中, 系统中的每个用户都属于四种角色中的一个。操作员负责系统的日常运行和维护、设置系统参数等;管理员负责用户管理, 如增加和删除用户账户;安全员负责安全策略的制定, 如什么样的文件需要加密, 系统日志多长时间备份一次等;审计员负责日志的审计、用户行为的分析和泄密责任的追踪。为避免审计员在审计工作中利用接触敏感信息的机会故意泄密, 往往还需要在系统中加入约束措施, 如只有多个审计员在场才能打开敏感文件。

所谓分级, 通常是指某种角色的用户只能在一定的范围内拥有权限, 在这个范围之外, 他没有相应的权限。在某组织内部, 如研发组和测试组是两个平行的组织, 则系统允许将研发组的管理员设置成不能对测试组的用户进行管理, 反之亦然。

分权与分级, 有效了消除了权限的过度集中, 保障了敏感信息的安全。这对于防泄密系统是至关重要的。

2.3 强制访问控制措施

为了说明在防泄密系统中应用强制访问控制技术, 下面先说明什么是强制访问控制, 然后说明它为什么适合于防泄密产品, 最后说明强制访问控制技术如何应用到防泄密产品中。

什么是强制访问控制?和强制访问控制 (MAC) 相对的是自主访问控制 (DAC) 。MAC是一种多级安全系统的访问控制技术, 它的主要特点是系统对访问主体和受控对象实行强制访问控制, 系统事先给访问主体和受控对象分配不同的安全级别属性, 在实施访问控制时, 系统先对访问主体和受控对象的安全级别属性进行比较, 再决定访问主体能否访问该受控对象。

什么是多级安全信息系统?将敏感信息与通常资源分开隔离的系统, 我们称之为多级安全信息系统。防泄密系统是典型的多级安全信息系统, 因为防泄密系统中将敏感信息与非敏感信息分开处理。防泄密要将信息资源按照安全属性分级考虑, 安全类别有两种类型:

(1) 有层次的安全级别。分为TS, S, C, RS, U五级:绝密级别 (Top Secret) , 秘密级别 (Secret) , 机密级别 (Confidential) , 限制级别 (Restricted) 和无级别级 (Unclassified) 。

(2) 无层次的安全级别。不对主体和客体按照安全类别分类, 只是给出客体接受访问时可以使用的规则和管理者。

从上面的介绍不难看出, 防泄密产品是多级安全信息系统, 在防泄密系统中引入强制访问控制技术是必然的, 是防泄密系统的本身的特点所决定的。

最典型的强制访问控制模型是BLP[Bell and LaPadula, 1976], 它最初应用于军事系统, 其出发点是维护系统的保密性, 防止信息泄露。BLP要求, 对给定安全级别的主体, 仅被允许对同一安全级别和较低安全级别上的客体进行“读”;对给定安全级别上的主体, 仅被允许向相同安全级别或较高安全级别上的客体进行“写”。

BLP具体应用到透明加解密系统中, 对受保护的文件 (即受透明加密处理的文件) , 当文件 (客体) 处于打开和编辑状态时, 非加密进程 (主体) 是不能明文读取该文件的, 对其内容进行拷贝或剪切、然后将其粘贴到其它非保护的电子文件中的操作也是被禁止的。另外, 当受保护的电子文件被另存为 (Save As) 其它格式的文件, 如MS Word文件另存为TXT文件时, 该TXT文件也是被强制加密的, 其目的是防止低级别的主体访问受保护的 (高级别的) TXT文件。

BLP具体应用到移动存储介质管理系统中, 较高密级的主机不能向较低密级的移动存储介质上写入数据, 但较高密级的主机可以读取较低密级介质中的数据;较高密级的电子文件也不能存放在较低密级的移动存储介质中, 因为较高密级的主体 (文件操作者) 不能向较低密级的客体 (介质) 里写入数据。

2.4 日志报警数据的存储和传输保护

日志和报警数据是责任追踪的一个重要证据, 为了保证其完整性和真实性, 必须对系统获取的各种日志和报警数据进行特殊处理, 避免证据被伪造和篡改。一般来讲, 防泄密系统既要利用数字摘要和数字签名技术进行证据保全, 又要对日志数据和文件进行加密存储, 以防止数据泄露, 还要在数据传输过程中, 采用加密措施 (如SSL通信协议) 防止数据在传输中途被截获。

在安全级别较高的防泄密系统中, 必须使用国家密码管理部门许可的数据加密算法和密码。

2.5 密码管理措施

密码管理是所有应用系统都要关注的问题, 通常对密码管理的要求体现在加密密钥的保护、身份认证口令保护和数据库口令保护等方面, 在这里不再赘述。

需要指出的是密码的存储。例如, 在自动建立数据库连接时, 系统会自动获取数据库口令, 这时候数据库口令一定要加密存储。类似于上述某网络内容过滤软件对密码的保护是严重的错误。

在安全级别较强的防泄密系统中, 身份信息的保护按照国家有关部门的规定需要采用硬件保护。

2.6 客户端代理程序的保护措施

保证程序的一致性或完整性, 是防泄密类软件保护客户端代理程序的主要措施。除了保证进程的正常运行之外, 还需要采用完整性检查, 一旦发现客户端程序被破坏, 立即采取措施阻断其连入网络, 或自动关机。

另外, 紧急策略是防止客户端代理程序被破坏的辅助措施。所谓紧急策略是机器离线状态下的一种策略, 一旦机器不能和服务器通信, 紧急策略立即生效, 即使在客户端代理程序遭到局部损坏的情况下也要生效。

网络巡逻员是又一个辅助措施。网络巡逻员定时巡视各联网机器的状态, 一旦发现客户端没安装代理程序, 或代理程序被破坏, 系统立即阻止该机器联网, 或实行隔离, 或及时报警等。

3 结语

防泄密产品正处在蓬勃发展的时机, 虽然目前多数产品在功能上下了很大工夫, 逐渐呈现出产品同质化的倾向, 但是产品自身的安全性问题缺乏相应的关注, 特别是客户, 目前尚未将眼光聚焦在安全性方面, 或关注得还不够全面。这篇文章的目的是探讨防泄密产品的安全性所包含的各个方面和采取的措施。

当然, 安全性是相对的。究竟什么样的安全防护才是足够的, 这要看具体的系统要求, 特别是受保护的对象的安全级别。

参考文献

[1]陈尚义.透明加解密技术及其应用.信息安全与通讯保密.2007.

[2]陈尚义.电子文件保密技术的现状和发展趋势.信息安全技术与应用.2008.

[3]郭玮, 茅兵, 谢立.强制访问控制MAC的设计和实现.计算机应用与软件.2005.