為什麼需要透明加密?
在信息化不斷推進的今天,計算機、網際網路等設備無疑提高了企業的辦公效率。但企業在享受著高科技帶來的便利之時也面臨著隨之而來的困擾——如何在紛繁複雜的虛擬世界中保護自己機密信息的安全?
80%的安全威脅來自企業內部,將近60%的離職者或被辭退者在離開時會攜帶企業數據
----美國CSI/FBI
60%的移動辦公者和44%內部常駐辦公者坦承曾通過E-mail、IM泄露過公司機密
----趨勢科技
美國去年的數據泄漏事故平均造成損失為675萬美元,每條泄露數據損失為204美元
——Ponemon研究機構
在Fortune排名前1000家的公司中,每次電子檔案泄露所造成的損失平均是50萬美元
——Gartner調查
困擾:如何全方位保護信息資產
謹防信息外泄,避免重大損失?
如何防止企業內部人員主動帶走或者無意泄密公司的設計圖紙、財務報表等重要資料?
如何避免機密信息通過QQ、MSN等聊天工具或者E-mail隨意傳播出去?
如何阻止重要文檔通過隨身碟、藍牙等設備被帶出企業而導致的信息外泄?
如何謹防儲存在計算機上的敏感、機密信息被隨意列印及泄露?
如何清楚地了解文檔操作以免重要資料被惡意刪除或修改?
如何有效防範外來計算機非法接入企業區域網路盜取機密信息,保護網路安全?
如何控制核心數據的使用許可權,如經理、主管、普通員工查看檔案的許可權?
簡介
透明加密技術是近年來針對企業檔案保密需求應運而生的一種檔案加密技術。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時,系統將自動對未加密的檔案進行加密,對已加密的檔案自動解密。檔案在硬碟上是密文,在記憶體中是明文。一旦離開使用環境,由於應用程式無法得到自動解密的服務而無法打開,從而起來保護檔案內容的效果。
特點
強制加密:安裝系統後,所有指定類型檔案都是強制加密的;
使用方便:不影響原有操作習慣,不需要限止連線埠;
於內無礙:內部交流時不需要作任何處理便能交流;
對外受阻:一旦檔案離開使用環境,檔案將自動失效,從而保護智慧財產權。
原理
透明加密技術是與 Windows 緊密結合的一種技術,它工作於 Windows 的底層。通過監控應用程式對檔案的操作,在打開檔案時自動對密文進行解密,在寫檔案時自動將記憶體中的明文加密寫入存儲介質。從而保證存儲介質上的檔案始終處於加密狀態。
監控 Windows 打開(讀)、保存(寫)可以在 Windows 操作檔案的幾個層面上進行。現有的 32 位 CPU 義了4種(0~3)特權級別,或稱環(ring),如右圖所示。其中 0 級為特權級,3 級是最低級(用戶級)。運行在 0 級的代碼又稱核心模式,3級的為用戶模式。常用的應用程式都是運行在用戶模式下,用戶級程式無權直接訪問核心級的對象,需要通過API函式來訪問核心級的代碼,從而達到最終操作存儲在各種介質上檔案的目的。
為了實現透明加密的目的,透明加密技術必須在程式讀寫檔案時改變程式的讀寫方式。使密文在讀入記憶體時程式能夠識別,而在保存時又要將明文轉換成密文。Window 允許編程者在核心級和用戶級對檔案的讀寫進行操作。核心級提供了虛擬驅動的方式,用戶級提供 Hook API 的方式。因此,透明加密技術也分為 API HOOK 廣度和 VDM(Windows Driver Model)核心設備驅動方式兩種技術。API HOOK 俗稱鉤子技術,VDM 俗稱驅動技術。
理念
信息防泄漏三重保護
IP-guard信息防泄漏三重保護理念,不僅為防止信息通過隨身碟、Email等泄露提供解決方法,更大的意義在於,它能夠幫助企業構建起完善的信息安全防護體系,使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程,從而達到信息安全目標的透明性、可控性和不可否認性的要求。
IP-guard信息防泄漏三重保護體系包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。
詳盡細緻的操作審計是三重保護體系的基礎,也是不可或缺的部分,它使得龐大複雜的信息系統變得透明,一切操作、行為都可見可查。
審計不僅可以用作事後審計以幫助追查責任,更能夠幫助洞察到可能的危險趨向,還能夠幫助發現未知的安全漏洞。
全面嚴格的操作授權從網路邊界、外設邊界以及桌面套用三方面實施全方位控制,達到信息安全目標中的“可控性”要求,防止對信息的不當使用和流傳,使得文檔不會輕易“看得到、改得了、發得出、帶得走”。
安全可靠的透明加密為重要信息提供最有力的保護,它能夠保證涉密信息無論何時何地都是加密狀態,可信環境內,加密文檔可正常使用,在非授信環境內則無法訪問加密文檔,在不改變用戶操作習慣的同時最大限度保護信息安全。
第一重保護:詳盡細緻的操作審計
詳細的審計是三重保護的基石,全面記錄包括文檔操作在內的一切程式操作,及時發現危險趨向,提供事後追蹤證據!
文檔全生命周期審計
完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命周期內的每一項操作信息記錄下來,同時,記錄共享文檔被其它計算機修改、刪除、改名等操作。
另外,對於修改、刪除、列印、外發、解密等可能造成文檔損失或外泄的相關操作,IP-guard可以在相關操作發生前及時備份,有效防範文檔被泄露、篡改和刪除的風險。
文檔傳播全過程審計
細緻記錄文檔通過印表機、外部設備、即時通訊工具、郵件等工具進行傳播的過程,有效警惕重要資料被隨意複製、移動造成外泄。
桌面行為全面審計
IP-guard還擁有螢幕監視功能,能夠對用戶的行為進行全面且直觀的審計。通過對螢幕進行監視,企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。
第二重保護:全面嚴格的操作授權
通過全面嚴格的第二重保護管控應用程式操作,防止信息通過隨身碟、Email等一切方式泄露,全面封堵可能泄密漏洞!
文檔操作管控
控制用戶對本地、網路等各種位置的檔案甚至資料夾的操作許可權,包括訪問、複製、修改、刪除等,防範非法的訪問和操作,企業可以根據用戶不同的部門和級別設定完善的文檔操作許可權。
移動存儲管控
IP-guard能夠授予移動存儲設備在企業內部的使用許可權。可以禁止外來隨身碟在企業內部使用,做到外盤外用;同時還可對內部的移動盤進行整盤加密,使其只能在企業內部使用,在外部則無法讀取,做到內盤內用。
終端設備規範
能夠限制USB設備、刻錄、藍牙等各類外部設備的使用,有效防止信息通過外部設備外泄出去。
網路通訊控制
能夠控制用戶經由QQ、MSN、飛信等即時通訊工具和E-mail等網路套用傳送機密文檔,同時還能防止通過上傳下載和非法外聯等方式泄露信息。
網路準入控制
及時檢測並阻斷外來計算機非法接入企業區域網路從而竊取內部信息,同時還能防止區域網路計算機脫離企業監管,避免信息外泄。
桌面安全管理
設定安全管理策略,關閉不必要的共享,禁止修改網路屬性,設定登錄用戶的密碼策略和賬戶策略。
第三重保護:安全可靠的透明加密
透明加密作為最後一道最強防護盾,對重要文檔自動加密,保證文檔無論何時何地都處在加密狀態,最大限度保護文檔安全!
強制透明加密
IP-guard能對電子文檔進行強制性的透明加密,授信環境下加密文檔可正常使用,非授信環境下加密文檔則無法使用。同時,鑒於內部用戶主動泄密的可能性,IP-guard會在加密文檔的使用過程中默認禁止截屏、列印,以及剪下、拖拽加密文檔內容到QQ、Email等可能造成泄密的套用。
內部許可權管理
對於多部門多層級的組織,IP-guard提供了分部門、分級別的許可權控制機制。IP-guard根據文檔所屬部門和涉密程度貼上標籤,擁有標籤許可權的用戶才能夠訪問加密文檔,控制涉密文檔的傳播範圍,降低泄密風險。
文檔外發管理
對於合作夥伴等需要訪問涉密文檔的外部用戶,IP-guard提供了加密文檔閱讀器,通過閱讀器企業可以控制外發加密文檔的閱讀者、有效訪問時間以及訪問次數,從而有效避免文檔外發後的二次泄密。
雙備防護機制
IP-guard採用備用伺服器機制以應對各種軟硬體及網路故障,保證加密系統持續不斷的穩定運行。加密文檔備份伺服器可以對修改的加密文檔實時備份,給客戶多一份的安心保證。