企業泄密危機
隨著商業經濟的快速發展,企業商業機密及重要文檔的安全問題日益受到重視,如今不僅僅是大型企業或外企對防泄密格外重視重視,眾多民營中小企業也開始意識到這個問題的重要性與必需性。其中尤其以個別行業性企業更為突出,比如設計院、工業製造業、金融投資業等等。
2010年維基百科泄密事件,更是投了一顆重磅炸彈
2010年三星商業泄密案
2010年AT&T、本田網站泄露客戶信息
2011年頻發的資料庫泄密事件
以上只是2010年下半年起幾樁知名公司影響力頗大的泄密事件,不過是冰山一角,每天全球各地都有大大小小公司面臨著文檔數據泄密的風險,甚至引發或大或小的惡性影響,對企業的正常運作帶來阻力。
企業發生泄密事件應當怎么辦
(1)國家機關、單位發生或者發現泄密事件,應當在知悉泄密事件24小時內報告上級主管部門或當地保密局。 (2)對於泄露絕密級國家秘密的;向境外組織、機構、人員非法提供國家秘密的;泄露當事人是廳局級(含廳局級)以上幹部的,可直接報告國家保密局。 (3)案發單位應根據情況及時採取補救措施,同時積極配合有關部門查處。
企業防泄密系統
除了在防泄密事件發生後即時報警追回外,已經有越來越多的公司開始採用技術手段來補漏防泄密。
企業防泄密系統 是指採用計算機信息加密技術手段防止以信息化數據的形式存在的機密或秘密泄漏, 用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。
加密技術是電子商務採取的主要安全保密措施,是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
目前國內外最先進、穩定、實用的加密技術是透明加解密技術。
透明加解密:是企業電子文檔安全保護技術的術語,意思為,在保護過程中,相對用戶終端是透明的、不改變用戶習慣的一種文檔加密技術。
透明加解密也是一種表象技術辭彙,不屬於純技術辭彙。 在套用中,它包含了兩個意思: 1.強制性加解密,即套用了這種技術的電子文檔安全系統,它會定義用戶終端的一些保護範圍,只要指定好這些保護範圍,它會強制性地對這些電子文檔進行加解密(保存的時候加密存檔、打開的時候解密打開),不需要由終端用戶來判斷這個文檔是否需要加密; 2.加解密過程相對透明,即在使用過程中,終端用戶正常工作時幾乎不會感覺到加解密過程的存在,還是雙擊一個文檔後自動打開,還是按保存後就檔案被關閉,不用去考慮什麼加解密這回事。 現代社會是一個資訊時代、也是一個自由開放的時代,我們在考慮信息安全的同時,也必須考慮員工的使用方便。在這之前,很多企業為了保護好自己的企業機密,採用封閉管理、圍堵等方式進行保護,這個出發點固然不錯,但在現在開放的時代中,難免會讓員工不舒服,假如有一個方法,既不影響他們跟外界的交流,又能保護好自身的機密文檔,還是不錯的。
企業防泄密系統介紹
合力天下防泄密系統簡介
“合力天下”防泄密系統用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。簡單地說,”合力天下”防泄密系統讓企業機密數據和套用系統的重要資料“拷不走”、“螢幕截取不走”、“另外儲存不走”、“列印不走”、“內容複製不走”、“MSN、QQ、郵件傳送不走”。
支持日常套用的各種檔案格式保密(CAD、OFFICE、PDF、圖紙、電腦程式、遊戲、數碼照片、視頻…..),用戶也可以根據自己的需要定製。
支持區域網路部署和遠程VPN部署模式,支持異地分支機構分別部署;確保公司內部資料的內部流通。
套用系統:支持基於Windows的B/S、C/S的各種業務套用系統,如PDM、PLM、ERP、OA、CRM、CAM、采編系統、流程系統、電子商務、財務管理系統、文檔管理、網站系統。
文檔類型:Office、Wps、PDF、CAD、Pro/E、Inventor、CAXA、TurboCAD、開目CAD、CATIA、Solid Edge、UG、PowerDraft、清華英泰、中望、Solidworks、ZDDS、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、CorelDraw、Fireworks、ACDSee、ZineMarker、Illustrator、MAYA、3D MAX、realplay、media player、Cakewalk、Flash、LRC Editor、C、VB、VC、C++,FOXPRO、MSSQL等。
作業系統:Windows 2000、XP、2003、2008,Vista、WIN7等。
支持中文、英文、日文、德文、韓文、法文、西班牙文等各種語言版本網路環境,支持中文、英文、日文、德文、韓文、法文、西班牙文等世界各種語言文檔加密。
合力天下防泄密系統加密原理
國內防泄密系統的加密算法 國內防泄密系統常用的加密算法有三種,IDEA 算法、RSA算法、AES算法,加密強度來講,AES算法加密強度最高。
IDEA算法屬於對稱加密算法, 對稱加密算法中,數據加密和解密採用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。
對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開.
缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理複雜,而且無法完成身份認證等功能,不便於套用在網路開放的環境中。
對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。
目前最著名的對稱加密算法有數據加密標準DES,但傳統的DES由於只有56位的密鑰,因此已經不適應當今分散式開放網路對數據加密安全性的要求。歐洲數據加密標準IDEA等,目前加密強度最高的對稱加密算法是高級加密標準AES,AES提供128位密鑰,128位AES的加密強度是56位DES加密強度的1021倍還多。。
對稱加密算法過程是將數據發
IDEA是International Data Encryption Algorithm的縮寫,是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標準算法,稱作PES(Proposed Encryption Standard).Lai和Massey在1992年進行了改進,強化了抗差分分析的能力,改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密算法.密鑰長度為128位.它基於“相異代數群上的混合運算”設計思想,算法用硬體和軟體實現都很容易,它比DES在實現上快得多 。
RSA算法是非對稱加密算法,非對稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費時間長、速度慢,它不適合於對檔案加密而只適用於對少量數據進行加密。
對稱加密算法、非對稱加密算法和不可逆加密算法可以分別套用於數據加密、身份認證和數據安全傳輸。
RSA算法是建立在大數分解和素數檢測的理論基礎上。
RAS密鑰的產生過程:
獨立地選取兩個互異的大素數p和q(保密)。
計算n=p×q(公開),則ф(n)=(p-1)*(q-1)(保密)
隨機選取整數e,使得1<e<ф(n)並且gcd(ф(n),e)=1(公開)
計算d,d=e-1mod(ф(n))保密。
RAS私有密鑰由{d,n},公開密鑰由{e,n}組成
RAS的加密/解密過程:
首先把要求加密的明文信息M數位化,分塊;
然後,加密過程:C=Me(mod n)
解密過程:M=Cd(mod n)
非對稱密鑰加密體制的優點與缺點:
解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;由於密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;具有很高的加密強度。
與對稱加密體制相比,非對稱加密體制的加密、解密的速度較慢。
AES加密算法屬於不可逆加密算法, 不可逆加密算法的特徵是加密過程中不需要使用密鑰,輸入明文後由系統直接經過加密算法處理成密文,這種加密後的數據是無法被解密的,只有重新輸入明文,並再次經過同樣不可逆的加密算法處理,得到相同的加密密文並被系統重新識別後,才能真正解密。
1997年4月15日,美國國家標準和技術研究所NIST發起了徵集AES算法的活動,並成立了專門的AES工作組,目的是為了確定一個非保密的,公開披露的,全球免費使用的分組密碼算,法用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標準.1997年9月12日,在聯邦登記處公布了徵集AES候選算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全,分組長度128比特,密鑰長度為128/192/256比特.1998年8月20日,NIST召開了第一次候選大會,並公布了15個候選算法.1999年3月22日舉行了第二次AES候選會議,從中選出5個.AES將成為新的公開的聯邦信息處理標準(FIPS--Federal Information Processing Standard),用於美國政府組織保護敏感信息的一種特殊的加密算法.美國國家標準技術研究所(NIST)預測AES會被廣泛地套用於組織,學院及個人.入選AES的五種算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美國商務部部長Norman Y. Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密算法最終獲勝.
為此而在全球範圍內角逐了數年的激烈競爭宣告結束.這一新加密標準的問世將取代DES數據加密標準,成為21世紀保護國家敏感信息的高級算法.
合力天下防泄密採用系統合力天下數據防泄密系統採用256位AES加密算法和加密驗證機制,確保加密檔案無從破解。在國內套用廣泛。
合力天下防泄密系統功能列表
1、用戶管理功能
功能簡述 | 功能詳述及套用效果 | |
1. | 建立、維護用戶和部門 信息及其隸屬關係 | 在合力天下加密系統中可以建立與企業真實組織結構完全相同的組織結構關係,可以對用戶、部門的基本信息進行維護調整。當企業實際人員、部門進行調整時,管理者通過控制台靈活改變系統中的組織結構。 |
2. | 建立、維護管理員信息 | 根據企業的需要,由超級管理員(admin)預定義適當許可權賦予適當的用戶。 |
3. | 分級管理功能 | 分級管理功能由特權管理部門和管理員角色來體現: Ø 可以建立特權管理部門,其中包括多個全局管理員,可以對全體員工進行管理; Ø 可以建立多種管理員角色,如日誌管理員僅管理日誌,部門管理員僅管理部門員工,檔案管理員僅管理備份檔案等。 |
4. | ukey驗證登入 | 可以設定賬號與UKEY綁定,這樣該賬號登入,必須有事先設定好的UKEY |
功能簡述 | 功能詳述及套用效果 | |
1. | 默認用戶策略列表 | 系統提供默認策略列表,供用戶使用。且可以根據用戶實際需求,由合力天下公司添加特定的默認策略內容。 |
2. | 自定義策略組合 | 根據管理員的管理需要,可以將策略列表中的默認策略進行組合,生成新的策略組,以便於策略下發。 |
3. | 策略套用 | 管理者根據企業管理制度,把相應策略套用於每一個員工或者部門。得到策略的員工或部門將按照策略規定,接受管理。 |
4. | 全盤加解密功能 | 在部署合力天下加密系統後,員工新建或修改的檔案能夠被自動加密保護,但此前的大量檔案需要進行批量加密,可通過“硬碟加解密”功能實現。 |
5. | 遠程手動加解密 | 通過遠程檔案功能,對線上的用戶可以手動加解密其檔案 |
6. | 檔案密級管理 | 合力天下數據防泄密系統率先引入了“密級”的概念,根據保密制度和策略,通過部門、密級、文檔類型的相關聯,細化到各部門加密的不同檔案類型,劃分“公開”、“普通”、“私密”、“保密”、“機密”、“絕密”六個等級。 某個組修改加密策略時,設定指定類型檔案的加密等級,該組自動加密的檔案就帶有許可權。再對每一個客戶端設定訪問策略,這樣,只能是具有相應訪問許可權的客戶端才能訪問該部門的某種許可權類型檔案 |
7. | 檔案列印水印 | 客戶端列印檔案,可以設定列印檔案帶有水印功能,防止重要資料被他人轉載使用。 |
功能簡述 | 功能詳述及套用效果 | |
1. | 執行策略 | 執行並套用控制台下發的各種策略。 |
2. | 檔案剪貼簿控制 | 受自動加密保護的檔案,具有剪貼簿防護的功能和控制。 例如,WORD為受保護的檔案,無法將WORD檔案中的內容拷貝到聊天對話框和其它編輯工具內,但是可以將其他類型的檔案內容複製到WORD檔案中來。 |
3. | 檔案自動加解密 | 按照透明加解密策略,自動加解密檔案。對於加密保護的檔案,無法通過任何複製、貼上、拖拽等方式,利用郵件、及時通訊工具、論壇等非受信任的執行程式帶出到企業以外。 |
4. | 執行檔案訪問許可權 | 按照檔案作者對檔案訪問許可權的設定,在訪問許可權內對檔案進行訪問。 |
功能簡述 | 功能詳述及套用效果 | |
1. | 長期離線用戶管理 | 若員工不能夠與企業區域網路中的伺服器相連,可以利用單機客戶端的方式。 |
2. | 短期離線用戶管理 | 若員工臨時出差在外,可以通過離線策略對其進行管理。 為員工下發“離線包”或者UKEY,則員工可以在出差期間使用加密檔案。如果採用Ukey可以控制出差人員使用的天數或者次數。 |
3. | 離線解密功能 | 出差人員如果在外地需要解密和客戶交流檔案 |
功能簡述 | 功能詳述及套用效果 | |
1. | 超級日誌管理功能 (logadmin) | Ø 對超級管理員(admin)和所有部門管理員在控制台的操作行為進行審計。 Ø 對所有員工進行的檔案操作行為進行審計。 |
2. | 記錄解密審批日誌 | 記錄所有通過申請解密的記錄,並留有解密檔案備份在伺服器。 |
3. | 記錄檔案操作日誌 | 記錄客戶端對檔案的操作日誌: Ø 檔案操作信息記錄包括:新建檔案、刪除檔案、檔案名稱稱更改、檔案路徑變更、檔案手動加解密操作的詳細記錄。 Ø 離線的客戶端日誌記錄。客戶端離線後的操作也全部被記錄,當連線到伺服器後自動將離線後所有操作的信息上傳到伺服器。 |
4. | 螢幕錄像 | 可以針對指定的客戶端計算機進行螢幕錄像 |
5. | 記錄列印日誌 | 記錄客戶端列印檔案的日誌 |
6. | 日誌維護 | 定期維護日誌信息,可以導出日誌信息、刪除日誌等。 |
7. | 自定義日誌查詢 | 可以通過日誌記錄篩選查詢。 |
功能簡述 | 功能詳述及套用效果 | |
1. | 設定檔案備份伺服器 | 由超級管理員設定檔案備份路徑等信息。 |
2. | 檔案備份設定 | 通過套用檔案自動備份策略,對企業受保護的檔案能夠自動備份到檔案伺服器上,並且可以靈活的設定哪些人需要備份哪些人不需要備份,每個人需要備份哪種格式的檔案。備份的檔案在伺服器上仍然以密文的形式存貯。 |
3. | 檔案恢復 | 客戶端遇到意外情況,如檔案誤刪、故意刪除、或客戶端機器硬碟損壞,可以通過檔案備份伺服器將檔案恢復。 |
實現功能 | 使用策略 | |
1. | 實現指定格式檔案的自動加密保護。 | 支持加密檔案見附屬檔案 |
2. | 禁止員工使用USB設備(區分存儲設備及輸入設備)。 | 禁止使用USB設備 |
3. | 禁止員工使用光碟機設備。 | 禁止使用光碟機設備 |
4. | 禁止員工使用軟碟機設備。 | 禁止使用軟碟機設備 |
5. | 禁止員工使用印表機設備。 | 禁止使用印表機 |
6. | 允許員工授權自己的加密檔案給其他人。 | 檔案授權 |
7. | 允許員工將受保護檔案的內容拷貝到放行的程式中。 | 允許剪貼簿 |
8. | 防止截屏。 | 禁止截屏 |
9. | 允許員工離線打開自己的加密檔案。 | 離線管理 |
10. | 允許員工手動開啟加密解密功能,員工桌面的系統列中顯示圖示 | 開關客戶端 |
功能簡述 | 功能詳述及套用效果 | |
1 | 解密審批 | 當與外部交流,需要解密檔案,員工可以通過申請解密檔案,管理人員受到申請信息,根據收到申請解密檔案,決定是否通過審批。可以設定多人審批,分級審批。 |
2 | 郵件解密 | 當符合驗證要求,本地檔案保持加密保護狀態,傳送出去的附屬檔案就會自動解密。這裡有三種控制方式:只驗證發件人,只驗證收件人和同時驗證發件人收件人。 1) 只驗證發件人,是指只要發件人在授權列表中,就可以發給任何人以進行解密。 2) 只驗證收件人,是指內部任何人發往授權列表中的收件人,檔案將解密。 3) 同時驗證收件人與發件人,兩者都在授權列表才能成功傳送解密。 另外還可以設定備份抄送信箱,所有通過郵件解密傳送出去的郵件同時也傳送到該信箱,以便對通過郵件解密的方式傳送出去的檔案留有記錄 |
3 | 外發瀏覽器 | 加密檔案需要和公司外部交流,可以通過HL-dataASCreator外發瀏覽器,將加密檔案打包到瀏覽器,客戶可以瀏覽加密檔案,但是無法獲取檔案信息,整個過程檔案將受到保護。防止外發檔案二次擴散。 |
功能簡述 | 功能詳述及套用效果 | |
1 | VPN集中管理 | 對於子公司或者辦事處,可以通過VPN組成區域網路,統一由總部管理。子公司和辦事處檔案能無障礙流通。 |
2 | 單機客戶端 | 對於分公司或者辦事處人員比較少,安裝單機客戶端,單機客戶端只能由系統管理員來統一發放,單機客戶端部署後,此客戶端相當一個公司內部移動客戶端,所有檔案跟公司內部一樣擁有統一的策略和密鑰。實現檔案保護,以及加密檔案,確保公司檔案無障礙流通,以及檔案安全。 |
3 | 分散式管理 | 總公司,子公司,辦事處可以採用多個同密鑰伺服器部署,分散式管理,集中式密鑰,確保公司檔案無障礙流通。 |