secWall

secWall

在企業secWall安全環境中,任何檔案只要引用了機密檔案的內容,都將自動加密。保證機密數據/檔案的引用和重組安全性。

簡介

secWall是萬華數據科技有限公司出品的一款檔案加密系統。

套用到secWall的情況:

我們公司剛剛設計出來的新產品,怎么對手公司也推出了同樣的產品呢?

技術人員王工去了對手的公司,會不會帶走我們的最新設計成果呢?

我們花了幾百萬買來的圖紙,怎么對手公司的新產品設計和我們的如此相似?

我們的光碟機、軟碟機、USB接口都封掉了,怎么還是阻止不了圖紙外泄呢?

……

我們已經想了很多辦法:出入公司要檢查、禁止使用隨身碟等移動存儲設備、禁止向外傳送郵件、斷開公司內外網路、安裝防火牆等安全系統……

但是,泄密事件還是發生了。

現在, secWall 企業版(數據圍牆)從源頭上解決問題!

secWall企業版(數據圍牆)致力於解決企業的內部數據防泄密問題。該系統一改傳統安全系統“防、堵”的模式,採用創新的檔案全生命周期保護安全策略,實現電子化文檔數據的實時保護。 secWall數據圍牆安全策略的出發點不是通過防止檔案被帶出,而是所有企業機密數據都以加密形態存放和使用,與外部處於虛擬隔離狀態。加密的企業數據只有在企業內部才能被正常識別,企業環境是實時加解密引擎解碼數據的必要條件。同樣的數據通過複製、網路傳送,甚至拆走存放數據的硬碟,一旦離開企業環境,這些數據就是毫無意義的亂碼一堆。如同為企業的計算機環境加了一道無形的圍牆,技術圖紙、商務機密、客戶資料、財務數據等在牆內沒有任何變化,同樣是這些數據一旦被帶出企業,因為失去了 secWall構築的企業安全環境的支持,這些數據因為無法解碼而變得毫無價值。

secWall 數據圍牆的目標:構建一個安全的企業辦公環境

⑴ 保存企業機密的電子檔案在全生命周期(包括在新建、瀏覽、編輯、更改等操作檔案的時候)始終都是加密的。

⑵ 受保護的電子檔案只在 secWall數據圍牆內部的計算機上可用,在其他計算機上不可用。

⑶ secWall安全環境下,以實時加解密引擎為核心。所有應用程式(如Word、各種CAD軟體等)不需要解密就直接讀寫、編輯、更改檔案;如果把檔案複製到 secWall安全環境外,沒有 secWall安全環境的支持,應用程式就無法處理檔案。

⑷ 在企業 secWall安全環境中,任何檔案只要引用了機密檔案的內容,都將自動加密。保證機密數據/檔案的引用和重組安全性。

⑸ 在 secWall安全環境中,普通用戶能正常使用機密檔案,但不能通過拷貝貼上片斷機密數據內容經由QQ、MSN等聊天工具將機密內容傳遞給網際網路上的其他人。

安全不能影響工作效率: secWall 安全與易用兼備

secWall系統安全和易用兼備,徹底改變了傳統信息安全產品安全性和易用性總是背道而馳的尷尬局面。 secWall不需要使用者具有信息安全理念和技術背景,用戶甚至不需要知道自己使用的數據是不是加密數據,因為 secWall安全系統保密的數據或文檔不改變原來存放的位置,也不改變用戶原來的操作方式和使用習慣,授權用戶可以直接使用。所有與數據安全相關的工作都由 secWall系統在後台自動完成和保障。

secWall系統體系結構採用軟體和硬體結合的方式,硬體稱為 secWall IC(本手冊中或簡稱為“IC”) 採用標準USB接口,類似常見的隨身碟外形。 secWall IC集智慧卡、讀卡器和微型安全作業系統功能於一體。可以這樣理解 secWall單用戶版的體系結構:

Ø 沒有安全系統的計算機處於全開放狀態,任何人都可以從計算機上拿走他想要的數據。

Ø secWall軟體平台為計算機系統加了鎖,機密數據對其他人是不可見的,即使鎖被別人砸壞了。

Ø secWall IC是加了鎖的計算機的鑰匙。授權使用者只需要插上鑰匙使用計算機,操作和感覺與沒有安裝 secWall系統前沒有任何不同。

secWall企業版(數據圍牆)主要技術特徵:

Ø 實時主動強制加密技術

secWall企業版採用智慧型數據流向追蹤技術主動強制加密涉密數據,企業環境中任何設定為涉密數據的檔案內容在被複製、引用、轉移時都將保持加密狀態。加密的數據只能在企業環境中才能被正確解讀。

Ø 即插即用的保密文檔

secWall IC使用USB接口, secWall系統把USB接口的即插即用特性擴展到保密文檔上。用戶只需要插上IC,保密的文檔無須解密就可以正常使用;拔掉IC,保密的文檔就地消失。這一特性源於 secWall系統採用了業界領先的實時加解密技術。實時加解密技術加密時不需要搬動檔案的位置,使用時也不需要事先解密。由於這種先進技術的引入, secWall系統具有很多一般加密系統無法做到的新特徵。

ü 可以加密其他應用程式的程式或數據檔案

如可以加密文檔資料、即時聊天記錄、上網歷史記錄、通訊錄、證券交易軟體、網上銀行客戶端軟體等,這種加密其他套用軟體程式和數據的特性使 secWall系統成為真正的安全平台,用戶可以與自己的實際套用環境組合出千變萬化的安全解決方案。

ü 可以以檔案、資料夾或邏輯盤符(驅動器)為單位進行加密

secWall加密對象的最小單位是單個檔案,最大可以是驅動器。在 secWall環境下,未授權的用戶不能進入加密的驅動器和資料夾,也不能存取加密檔案。在 secWall安全環境失效(如:自主卸載 secWall系統、拆卸數據硬碟進行暴力性攻擊)時,加密檔案以密文形式存在,攻擊者無法獲得加密檔案的內容。

ü 自動加密操作員新建和保存的檔案

secWall加密的資料夾或驅動器具有保密繼承屬性,任何在加密資料夾或驅動器下生成的檔案或資料夾都會保持加密狀態。管理員只需要進行一次加密,以後操作員新生成的檔案都會自動加密。這一特性使保密可靠性與實際操作員無關,不會因為操作員的操作失誤或操作員的保密能力意識欠缺等原因導致機密數據的流失。

ü 加密檔案使用過程中不會在磁碟上留下機密資料明文檔案

由於 secWall加密的檔案不需要解密就可以直接使用,不象傳統保密軟體在使用加密數據前必須先解密成明文檔案,因此不存在傳統保密系統機密數據使用時的風險。

Ø 高強度分組加密技術

secWall採用了符合AES標準的高強度分組加密技術,採用128分組和256位密鑰對數據進行全程編碼加密。

Ø 隨身攜帶的密鑰

secWall 系統將加密使用的關鍵密鑰放在可隨身攜帶的 secWall IC硬體上(集控伺服器版密鑰在企業伺服器上動態分發),與密文的存儲位置在物理上分離,具有極高的安全性。 secWall IC自身採用PIN技術識別主人身份,防止他人盜用和消除IC遺失後可能的安全隱患。

Ø 可選的IC自動登錄和拔離自動鎖定功能

用戶在登錄計算機時無需輸入用戶名與密碼,只需插入IC,便可登錄到計算機。拔掉IC,計算機立即鎖定,插回IC,立刻恢復到原來的工作畫面。

Ø 增強的硬體身份認證功能

登錄系統和解鎖計算機時可選擇使用強制IC硬體身份認證功能以阻止其他用戶通過輸入用戶名/密碼進入計算機。

Ø 加密檔案自動隱藏

用戶對檔案設定保密後,拔掉IC,加密檔案自動隱藏;插入IC,加密檔案則自動顯現並可以正常使用。

典型套用範例

某研究所技術成果保護方案

secWall secWall

這是 secWall 企業版保護單個重要部門數據的典型套用,適合企業用於單一的保護智慧財產權目的。

在這個案例中,技術部原有的檔案伺服器同時兼做 secWall伺服器,為其所管轄的客戶機(上圖中黃褐色的工作站)提供存取企業機密資源所必須的解碼條件。 secWall硬體IC、 secWall伺服器和加入到 secWall伺服器中的所有企業計算機節點共同構成企業的安全環境,企業和機密資源只能在這個安全範圍內使用。不管以什麼手段把企業的機密資源帶離這個安全環境,這些機密資源都因為得不到 secWall伺服器和 secWall硬體IC的支持而無法解碼。

上圖中工作站11和工作站13雖然同處於區域網路,但因為沒有加入到企業安全環境,因而不能存取企業的機密資源。企業可以通過 secWall伺服器靈活地控制安全環境的組成計算機。

加密對象

secWall secWall

Ø 自動隱藏

自動隱藏打開時,如果當前用戶不具備操作加密文檔的許可權,用戶將看不到這些加密文檔。

例如:文檔A採用證書1加密,文檔B採用證書2加密。如果當前用戶IC沒有插在計算機上,文檔A和文檔B都不顯示;如果用戶的IC插在計算機上,IC上有證書1,則文檔A會顯示,如果IC是有證書2,則文檔B會顯示。

如果自動隱藏關閉,系統顯示所有加密檔案的名稱。但用戶不能存取沒有加密證書的加密檔案或資料夾。

secWall secWall

Ø 加密圖示可以給加密文檔圖示選擇添加一個加密標誌以區分加密檔案。你可以選擇這個標誌的樣式,也可以不使用加密標誌。

提示:改變這個設定須重新登錄才能生效。

Ø 高級:

反黑功能是從源頭切斷黑客盜取數據的網路資源,任何電腦程式(包括黑客工具、後門程式、木馬程式)在涉密後立刻與外網虛擬隔離(類似於物理隔斷),從而將機密數據的存在範圍嚴格限制在用戶的計算機內。

啟用加密檔案反黑功能:勾選此項,則插上IC,與外網斷開,無法訪問外部網路,QQ、MSN等即時聊天工具也無法進行通訊;拔掉IC,則網路恢復正常。

secWall secWall

信任來自區域網路的連線:勾選此項,則在區域網路內的通訊不會受到反黑功能的阻斷,可正常進行內部交流。 提示:若要取消反黑功能,去掉“啟用加密檔案反黑功能”複選框內的勾,點擊“確定”按鈕後,需要驗證PIN碼,此時必須要通過PIN身份驗證才能成功關閉反黑功能。否則將視為無效,反黑功能不關閉。

密碼說明

secWall數據圍牆系統中使用的密碼,出廠默認值在包裝盒的密碼封中。用戶在使用本套系統時應該設定相應的密碼以保障系統的安全性。

Ø IC持有者身份驗證(PIN)碼

每次IC插上計算機時提示用戶輸入的密碼,用於驗證IC持有者的身份,防止其他人獲得IC後冒充原IC持有者的身份獲得授權。

遺忘處理辦法:請IC管理員清除PIN碼。

Ø IC管理器密碼

IC管理員啟動“ secWall IC管理器”的密碼,也是IC管理員發行歷史記錄密碼。

遺忘處理辦法:刪除發行歷史記錄檔案。

歷史記錄檔案位於< COMMON_APPDATA>\Mawadata\secWall\ICManCls資料夾下。< COMMON_APPDATA>和你的系統所在盤符有關,如果你的系統安裝在C:盤,那么< COMMON_APPDATA>一般為C:\Document and Settings\All Users\Application Data。

警告: 由於發行歷史記錄檔案被IC管理器密碼加密,遺忘IC管理器密碼會丟失全部發行歷史記錄。

Ø IC密碼

IC密碼是IC管理員操作IC的密碼。這個密碼一般和IC管理器密碼同步,在IC管理器每次寫入IC時更新IC密碼。IC密碼會在IC管理員發行歷史記錄中存儲,因此,除非丟失了發行歷史記錄,IC管理員在通過IC管理器密碼驗證後一般不需要再次輸入IC密碼。

遺忘處理辦法:必須回原廠才能清除。

Ø IC集控伺服器密碼

集控伺服器密碼實際是集控伺服器專用IC的密碼。

遺忘處理辦法:必須回原廠才能清除。

Ø 日誌審計密碼

日誌審計密碼是“secWall日誌審計”的密碼,也是日誌檔案的密碼。

遺忘處理辦法:刪除日誌檔案。

日誌檔案位於 \System32\Mawadata\secWall資料夾下。

警告: 刪除日誌檔案也就刪除了全部日誌數據。

相關詞條

相關搜尋

熱門詞條

聯絡我們