棱镜软件P-EDS系统(以下简称P-EDS)是常州棱镜公司开发的具有自主知识产权的电子文档安全加密软件,采用创新的安全策略和自主创新的实时加密技术与应用程序监控技术,实现对企业内部敏感信息的载体――电子文档,如:机密文件、重要数据、设计图纸、软件源代码、配方等全生命周期的保护。与以往的各种电子文档安全保护工具相比,P-EDS采用了创新的安全策略,P-EDS的出发点已经不是通过防止文件被带出来保证安全;而是要做到任何人、通过任何方式带出的文件都是加密的,也是无法使用的,从而不怕文件被非法窃取。具体地说:P-EDS通过保证电子文档从创建到打开、编辑、浏览、保存、传输直至删除的整个生命周期中始终处于加密状态、任何人(包括文件的创建者和合法使用者)始终都接触不到解密的文件,来做到没有人能够带走解密文件的安全效果。因为一切通过电子邮件、网络入侵、移动存储设备(软盘、U盘、笔记本等)、蓝牙设备、红外设备、木马程序等手段窃取的都只能是加密的文件,而这些加密文件在企业环境中可以不经过解密就正常使用,而一旦脱离了企业的计算机就无法正常使用。
P-EDS采用的是一种主动的安全策略。在从文件创建到删除的整个生命周期都对其进行安全保护。这有别于防火墙等被动的“堵”的安全策略。P-EDS与防火墙、VPN等安全产品完全不冲突,P-EDS从“内部控制”的层面对现有安全系统进行了重要的补充。只要系统内部还存在不加密的电子文档,在理论上以往的各种安全系统(防火墙等)就无法杜绝机密文件泄密的可能性。由于P-EDS可以做到系统内部不再存在没有加密的重要电子文档,因此P-EDS从信源上保证了安全,在安全系统中P-EDS的安全作用将是不可替代的,P-EDS结合其他的安全系统使用能够为用户构造更严密的信息安全体系。
1、产品的安全保护策略、目标
通过对现有的各种计算机文件安全系统的分析,我们认为他们从本质上都是应用的“堵”的策略,即堵住文件被非法带走的渠道。由于
1) 不可能构造一个完全与外界隔绝的办公环境,并且这样做也会带来很高的管理成本;
2) 因为工作需要总会有一些人获得文件的操作权(如浏览、编辑、更改、打印等),他们就有机会得到解除保护的文件,至少文件的作者一定会有;
因此,用“堵”的方式管理成本高,也不能从根本上保证文件的安全。
有鉴于此,P-EDS采用了全新的安全保护策略――构造一个安全的企业办公环境(指若干安装了P-EDS的计算机构成的网络系统,以下简称P-EDS环境),保证文件文件在全生命周期都处于P-EDS系统的保护之下,在P-EDS环境下文件能正常操作,如果被非法带出P-EDS环境,文件都是不可用的,从而在源头上保证了文件的安全。
P-EDS数据安全系统的目标是构建一个安全的企业办公环境,实现:
1)保存企业机密的电子文件在全生命周期(包括在新建、浏览、编辑、更改等操作文件的时候)始终都是加密的。
2)受保护的电子文件只在棱镜软件数据安全系统办公环境内部的计算机上可用,在其他计算机上不可用。
3)在棱镜软件数据安全系统安全环境下,棱镜软件数据安全系统服务能够在后台监控和辅助应用程序(如Word、各种CAD软件等)不需要解密就直接操作文件;如果把文件拷贝到棱镜软件数据安全系统安全环境外,没有棱镜软件数据安全系统服务的帮助,应用程序就无法处理文件。
4)棱镜软件数据安全系统能够全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
5)只有通过棱镜软件数据安全系统管理机,系统管理员才能解密文件,合法地向外发放文件。并且,文件的发放操作被严格记录、审计。
6)棱镜软件数据安全系统服务端管理员在服务端上能够实时监控作为部门服务器的管理机的工作状态和配置管理机的功能授权,并且汇总、审计管理机上的操作日志,及时发现系统安全隐患。
7)棱镜软件数据安全系统管理机管理员在管理机上能够实时监控客户机上安全服务的工作状态和配置客户机的功能授权,及时发现文件安全隐患。本系统采用内核级透明加解密技术对电子文档采取自动、强制、实时的加密策略,实现图文档文件的安全保护。棱镜软件数据安全系统加密策略的出发点已经不是通过防止文件被带出;而是要做到任何人、通过任何方式拷出的文件都是处于加密保护状态的,未经授权也是无法使用的,不必担心企业重要文件被非法窃取。具体地说:棱镜软件数据安全系统通过保证电子文档从新建到打开、编辑、浏览、保存、传输直至删除的整个过程中始终处于加密状态、任何人(包括文件的创建者和合法使用者)始终都接触不到可以使用的加密保护文件,做到没有人能够带走非保护文件的安全效果。因为一切通过电子邮件、网络入侵、移动存储设备(软盘、U盘、笔记本等)、蓝牙设备、红外设备、木马程序等手段窃取的都只能是保护状态的文件,而这些文件脱离了企业的计算机就无法正常使用。
P-EDS数据安全系统采用C/S架构,由一个服务器及多个管理机和若干客户机组成。其中,服务器用于注册管理机;管理机用于管理客户机和加密策略的下发、解密外发图文档等功能;客户机用于实现文件的全生命周期内加密保护,安装客户机的用户不改变日常操作习惯,图文档文件在操作过程中(从创建到打开、编辑、浏览、保存、移动直至删除)始终处于加密保护状态。
2、P-EDS图档卫士的主要技术特点:
基于 Windows 底层的驱动级透明加解密技术是棱镜软件的核心技术之一。这项技术的特点是自动性、透明性和强制性。
对于自动性,棱镜软件支持对任意文件类型、任意硬盘区间、任意文件夹的自动加密保护。在具体的应用过程中,企业用户往往是根据自身的实际需求,指定某些类别的应用程序(如微软 OFFICE 软件、 CAD 软件等),从而对这些应用程序新建、编辑、拷贝的文件自动的对文件进行加密保护。
对于透明性,棱镜软件对文件加解密过程全是在操作系统后台完成,不需要用户对文件做任何额外操作,不改变用户操作文档的习惯。产品体验就如同它为透明的一样,用户不会受到任何影响,甚至感觉不到它的存在。
对于恒久性,当用户在保存受保护程序创建的文件时,无论其以何种格式(系统默认格式或用户指定格式)、保存到何处(本地硬盘、移动硬盘、网络存储设备等),数据内容在离开内存后,都将被自动强制加密。并且,受保护的数据文件在任何存储介质上均以密文形式保存。
对于强制性,棱镜软件为企业构建了一个安装环境,在安全环境内对文件所做的任何操作最终结果都是加密的。员工别无选择。
对于受保护的文件,只有合法用户在被授权的终端(企业内部计算机)上进行应用。用户可以以任何方式(双击文件名、使用程序文件打开等)访问受保护文件时,信息内容在调入内存时才会被自动解密,不会在硬盘留下任何形式的明文临时文件。
国家标准的加密算法,透明加密无须密钥管理
采用128位国家保密局标准3DES加密算法,加密算法与计算机硬件结合产生企业独有的密钥;硬件狗使用USB加密设备的SSF08算法。国际先进的透明加密技术,无需人工干预后台加/解密不改变文档格式、大小、属性;不改变操作习惯。
与受控软件的版本无关,加密任何类型的文件
在加密策略管理中将企业需要加密的软件或程序添加为受控程序即可实现加密受控软件产生的任何文件。与市场上同类软件的相比技术亮点在于受控的加密软件与受控软件的版本无关。(比如同类加密软件现在支持到AUTO CAD 2005 要加密AUTO CAD 2006就必须升级加密软件。)
协同集成,安全管理;持续的访问安全
加密系统后台运行实时加/解密;不改变操作者(技术人员设计用的一端)的习惯;不改变文档格式,不需要用额外程序打开,不占共享资源与受控程序协同工作不与其它应用程序发生冲突;加密文件企业内自由流通。加密文件能以任何方式进行共享,包括电子邮件、CD-ROM、FTP下载、即时消息等。确保信息无论存放在哪里或传送到何处,都是加密的,而不局限于传输中的安全。加强了客户端商务出差管理策略,可以保证客户端过期后加密文件信息禁止访问。
提供完整的补丁下载、分析测试、策略制定和分发,以及客户端补丁安装状况检测与分析。无需人工参与的智能版本升级,当有新版本时只需在管理端升级,管理机分发文件新版本时,旧版本客户端自动检测管理端下载升级,对客户实施的加密策略实时生效。
管理端安装在企业管理者的电脑上,手动加密/解密文件夹和任何类型的文件。分组加密策略管理:实时修改加密受控程序、控制打印、控制复制粘贴、控制拷屏的策略。客户机管理:客户机状态查看、客户机分组管理、脱机时间设置、客户机卸载。登录用户操作权限管理:设置登录用户的类型、密码、用户管理、受控程序管理、客户机管理、加解密管理、日志管理、文件类型过滤等权限。受控程序管理:添加或删除需要加密的受控程序。客户机升级管理:管理机更新版本后客户机启动自动升级无须人工干预。管理端可以对加密的文件进行解密,且具有批量加密和解密的功能。详细记录登录用户的所有操作,解密需要导出的文件,并记录操作日志提供审核。谁解密了图纸,解密了什么图纸,一目了然,便于核查。否则就算带出也无法打开!有着简单直观的用户界面,可以直接加密文件夹或整个磁盘分区。
棱镜软件数据安生系统具有完善、便捷的安全管理体系,配合企业内部的管理制度,即使是最高级别管理员也无法泄密。
系统管理 用户管理
策略管理 日志管理
客户端管理 文件类型管理
六个管理员的权限相互制约,防止管理者泄密内部重要信息。方便的添加、编辑和禁用个人用户。只有授权用户才能解密文件。
查看 - 允许查看。
打印 - 允许打印、禁止打印。
复制/保存 - 允许复制或粘贴加密文件信息;禁止复制或粘贴加密文件信息。
控制 - 允许用户修改权限。
客户端脱机工作时间 - 允许用户在有效的脱机时间内访问和使用加密的文件信息。
当员工出差需要带走重要资料,但在无网络的情况下又无法对其控制,可能造成泄密。 离线式安全管理解决了这个问题,
采用离线客户端权限绑定即使没有网络控制,笔记本电脑和USB狗进行绑定,仍然对文档具有绝对控制权。
权限回收技术能够使已经授予用户的权限立刻解除,防止人员离职或辞职后将内部重要信息外泄。
创建一份审计报告,跟踪所有操作,包括文件访问、查看、加密、解密和所有的管理事件。
提供证据以表明满足公司的信息安全策略。
与公司的目录和认证管理架构集成
隔离并减少管理工作。
根据企业实际的组织机构对加密客户端进行分组实施加密策略管理,不同部门采取不同的加密策略。
通过远程客户端监控功能可以查看客户机的工作状态:在线、离线、脱机。加密狗授权脱机工作时间;远程卸载客户端等功能。
安装好棱镜软件加密软件后,用批量扫描加密工具对所有客户端电脑中已经存在的文件进行批量初始化加密。以后新产生的文件都会自动加密,棱镜软件数据安全保证电脑内的电子文档都是以密文存在的。
1.对棱镜软件数据安全系统支持的每一个应用程序、版本和操作系统环境,我们都经过了超严密、大负荷、长时间的性能测试和可靠性测试,确保安全稳定。
2.全面的测试用例,每个应用程序的测试用例都来自资深设计工程师的实际使用状况。
3.不同硬件环境的测试。
4.目前已经有了数百家用户,棱镜软件数据安全系统产品在数千台装机上经受住了考验。
1.按照读写请求的数据量进行实时解密,棱镜软件数据安全系统瞬间系统资源占用少,不会影响工作。
2.在打开和关闭文件时系统资源相对开销较大,我们的测试表明,对100M大小的文件,安装棱镜软件数据安全系统后比安装前延迟时间<10秒。
3.用户在文件打开后的编辑、浏览等操作过程中,由于棱镜软件数据安全系统是按照读写请求的数据量进行实时加解密的,这部分数据量很小,所以操作不会有延迟的感觉。
1.安装过程绑定计算机硬件。棱镜软件数据安全系统运行过程监控检查计算机硬件,认证计算机的合法性。
2.服务器实时配置管理机,管理机实时配置客户机上的打印、复制等功能权限和要安全控制的应用程序。
3.在服务器上装入升级包,系统通过网络自动升级下面的管理机和客户机。
4.在管理端只有超级管理员权限的人才能安装和卸载客户端。
3、产品基本组成及功能描述
P-EDS系统由一个企业级服务器、多个部门级管理机和诸多客户机组成。一个企业内安装一台P-EDS服务器和一个或多个管理机,一般企业中相对独立的一个部分(如研发部门、市场部门)安装一台管理机,部门类的工作计算机系统安装多个P-EDS客户机。
P-EDS服务器的功能:
1 管理机联机服务器自动完成管理机的注册和安装。
2 监控部门级P-EDS管理机的工作状态,保证管理机正常工作。
3 记录、汇总、审计下级管理机的系统操作日志。
4 审计和认证运行状态管理机的合法性。
服务器主界面如下图所示:
P-EDS管理机的功能:
1 客户机联机管理机自动完成客户机的注册和安装。
2 监控P-EDS客户机安全服务的工作状态,保证客户机安全系统正常工作。
3 记录、汇总、审计P-EDS安全系统的操作日志。
4 审计和认证运行状态客户机的安全合法性。
5 用来对文件进行批量保护或解除保护,完成系统的初始化工作。
6 解除文件的保护状态,并记录操作日志。
P-EDS客户机的功能:
1 在系统后台监控应用程序,构建企业安全工作环境。
2 审计和认证客户机的合法性。
3 监控应用程序的运行,实时保护应用程序操作的文件。
4 充当应用程序和受保护文件之间的转换器,辅助应用程序对受保护文件的处理。
5 监控、处理应用程序的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。
6 监控、处理截屏软件等可能会导致泄密的应用程序。
7 客户机无图标,无介面,隐形存在。
P-EDS安全工作环境拓补图
企业实施棱镜P-EDS安全系统后加密文件内部交流图