亿赛通文件加密系统

产品介绍

亿赛通文件加密系统

本项目建设的数据资产内容安全管理产品包括8个子系统和24个不同应用方向的产品模块,可根据需求进行不同的组合。

2.png

1、总体业务逻辑

建设面向数据资产内容信息安全保护的技术体系,主要解决数据资产内容承载客体——“数据内容”和数据资产内容操作主体——“信息内容接触者”之间的相互关系问题。信息化环境下,这个问题衍生出不同的管理目标,本项目将从以下几个方面解决数据资产内容信息安全保护问题。

3.png

图2 项目总体逻辑示意

业务操作者:亦即信息系内容接触者,作为数据资产内容播散的根源主体必须在体系中被有效的管理。因此,本项目体系先要建立“成员认证子系统”,依靠该子系统完成数据资产内容接触者身份标识、认证,同时结合数据及衍生管理体系完成访问及操作能力控制的授权和行为痕迹保留。

 数据:数据资产内容的承载体是泄密保护的直接目标。本项目需建立“数据管控子系统”,主要完成对数据目标的标识、加解密,同时结合成员认证子系统及衍生管理体系实现数据的静态内容看护和动态内容防扩散。

 应用系统:在信息化发展进程中,电信企业已经或即将拥有不同形式及规模的应用系统,应用系统本身就是数据资产内容的集中承载容器。本项目将针对应用系统中的数据资产内容建立“服务器及应用安全子系统”,该子系统负责在完成数据资产内容安全保护体系与应用系统之间的集成,一方面是为在保护信息化基础投资的前提条件下建设数据资产内容保护体系,另一方面是提高应用系统本身的数据泄露防御能力。

交互通信:电信企业为了实现不同范围的信息交互,会引入各种数据通讯体系,例如邮件系统、即时通讯系统等等,这些系统非常频繁的进行着电信企业内部数据的交互和对外输送,是数据资产内容泄露的重要途径之一。本项目把“交互通信安全子系统”作为这个方向的管理支持手段,将电信企业中利用邮件、即时通讯途径进行内部、外部输送数据的关键点纳入到数据资产内容安全管理目标中。

移动式终端:移动式终端包括可以便捷离开电信企业网络的新型平板类数据终端和职能手机类终端等。移动式终端的最大特点是为了提高业务效率,随时需要应用电信企业数据内容,不管其是否在电信企业的网络体系控制范围内。这类终端的地理及网络控制逻辑位置的不定性,使其成为数据资产内容泄密的重要通途径。所以,本项目引入了“移动式终端安全子系统”专门用于看护移动式终端上的静态数据和管控移动式终端上的动态数据应用。

存储介质:本项目中的存储介质是泛指目前已经通行的磁存储(硬盘,软盘,磁带)、电存储(U盘,存储卡,固态硬盘内存条)和光存储(光盘),并未涵盖未来可能出现的生物智能存储介质。存储介质是数据资产内容的物理承载体,它们是信息化体系运营的基本支撑体,也是数据资产内容泄密的主要应用单体。本项目建设中“存储介质安全子系统”是专门针对电信企业存储介质应用过程中的单体标识、服役登记、内容看护、维护管理和报废处理方面进行管控的。

传统输出:打印、喷绘、激光雕刻等是目前电信企业应用中实现电子数据向传统载体(泛指:纸张、胶片、喷绘布基、立体打印塑模、激光雕刻胚体等)的基本手段。尽管信息化的发展使得传统信息载体的地位发生很大的变化,但是传统输出仍是实际业务中不可替代的信息交互方法。本项目提供“传统输出安全子系统”用于管理涉密数据资产内容的传统输出,主要针对许可、登记、附加标识来防止传统输出应用造成数据资产内容扩散。

可视效果:可视效果是指在信息系统应用、专项软件应用等信息化体系运作过程中通过屏幕(或类屏幕)提供的数据内容展现。从严格意义上讲这类的信息内容实际上是在信息设备的内存中。因此,本项目中的“可视效果安全子系统”有两方面的管理,一方面是通过展现附加标识(如:显示阅读浮水印)遏制直接拍摄、摄录可视效果后的信息内容扩散;另一方面是通过对操作系统显示内存的管控约束屏幕拷贝、抓取或录制对信息内容的获取。

2、成员认证子系统

成员认证子系统是本项目的基础子系统,主要业务支撑能力包含成员身份标识、组织架构管理、主体安全域管理、应用角色管理、签入签出管理、成员权限管理、操作日志及审计和外部集成接口八个方面,同时在软件架构逻辑方面还支撑PKI标准认证接驳、权限注册接驳以及权限控制响应接驳任务。

成员身份标识:完成对项目安全体系所涉及到的人员进行身份标定和鉴别的作业,使安全体系牵涉到的人员在体系内有操作参与身份识别基准,达到对安全主体“人”的基本信息管理的目的。

组织架构管理:按照电信企业的实际职能结构,实现部门结构、岗位部署、人员配置的详情业务逻辑。

主体安全域管理:数据资产内容安全保护是与电信企业实际业务紧密结合的管理目标体系,主体安全域就要支持具体的人员按照实际业务的情况设立不同的安全范围(例如:项目组、作业组),在组织架构体系的基础之上更加有效的重构人员安全行为边界,以便于对数据资产内容信息数据进行使用行为制约。

应用角色管理:“角色”是“人员”的集合,是在组织架构和主体安全域基础上更进一步的作业身份辨识体,在实际业务中“角色”可以包含指定的权限信息。具体人员可以通过执行“角色”任务,获得“角色”权力,且可以批量为人员分配权限。

签入签出管理:操作人员通过系统分配的标识进行项目体系的登录、业务执行和登出,数据资产内容安全保护体系签入过程中可以支撑强行签入(例如:随终端操作系统登录)保证操作者实际操作是在系统监控之下,也支持强行签出(例如:作业过程中校验身份标识失败,自动退出)以确保人员身份被注销或者受到限制时不能获取数据资产内容信息内容。

成员权限管理:成员权限管理是实现对不同来源业务成员的用户权限分配和权限验证管理。无论使用者在哪一个子系统中受到具体权限制约,都可以在成员认证子系统中实现判断哪些功能操作和数据允许该成员访问,哪些功能操作和数据应拒绝该成员访问。系统用户的权限可分为两个方面:对特定功能操作的权限、对特定数据的权限。成员权限认证将两方面的安全管理集成在一起。通过两个方面的保障机制,在各种类型的应用系统和各种来源和类型的用户之间,建立起可靠的安全屏障。

操作日志及审计:所有在系统中拥有身份的人员,其在各子系统中进行的关键操作都会被计入到成员子系统中,并支持以这些操作记录为基础进行多维度的行为审计。

外部集成接口:在电信和互联网企业中会部署众多的信息系统,不同的信息系统在用户安全控制方面采用不同策略和方法,一个实际工作人员需要面对不同系统访问权控制,这已经成为信息化建设整体性的一个问题。成员认证管理系统可以提供面向多种信息系统访问权控制的服务机制(例如:集成AD域、CA认证等等)。不同的系统只要利用成员管理服务对其实际访问权进行有效性注册,实际操作人员就可以通过一个统一的用户身份取得不同系统的详情访问权,不同系统之间的访问权差异由成管理引擎统一完成身份认证和权限转换。

3、数据管控子系统

由于结构化数据存在于不同的应用系统中,且主要依存于数据库体系,这部分的安全控制本项目在“服务器及应用安全子系统”中进行管理。而数据管控子系统中的数据主要是针对非结构化的电子文件,在这个子系统中要完成涉密数据文件的标识、加解密等业务逻辑。

数据标识:亦即对于数据文件的身份描述,是在文件数据体中加入身份标签,该标签具备如下特征:标签的生成与文件数据体的诞生伴随,该标签不可与数据体分离,强行分离将造成数据体不可逆损毁;系统中以标签为索引记录文件数据体内容被操作过程,包括操作者、动作、时间、操作终端等等要素;数据标签有两种应用模式,一种是面向一般性数据资产,文件数据体被复制的过程以及文件内容修改衍生的副本均视为与原数据体式统一管理客体,不加区分;另一种是针对核心数据资产内容,当文件数据体被复制的过程中,视副本为新数据体,被重新赋予标签,但标签本身可记载复制的衍生谱系关系,从而可以追溯某一个文件是从什么文件经历了怎样的历程演变而来的。在特定情况下,对于特定的文件数据体可以重新开始家族谱系。

数据加解密:数据加密的目的是为了控制数据信息内容,通过加密手段使文件数据体演变成为正常操作不可获取内容的状态,从而实现对于文件内容的静态看护,数据资产内容文件一旦被加密意味着,未经解密操作者将无法使用文件内容,而文件数据体本身的便捷流动能力不受制约(文件复制、移动、删除等操作不受限制);解密是与加密对应而言的,对于许可获取内容的合法使用过程,加密的文件可以进行解密并提供给操作者,使其可以完成业务操作;加解密的应用逻辑有两个方面,一方面是动态加解密,也就是自动的实现加密和解密,使用者不用关心加、解密本身的实现,完全依靠系统通过权限来判别并执行加、解密动作;另一方面是加密算法和密钥,本项目采用加密算法可以替换模式,电信企业可以选择适合自身情况的加密算法;密钥管理则根据数据资产内容保密程度不同,提供两种模式,一种是多文件使用同一密钥的模式,这种模式下所有文件都用一个密钥加密处理,便于加密体系的管理和应用业务支持的延展,适合于一般性数据资产和核心数据资产中相对保密要求低的部分;另一种是每一个加密文件在统一密钥基础上又附加了个性化密钥(亦即“一文一密”),这种模式下,数据文件和个性密钥之间的匹配关系需要进行专门管理,管理成本和运维难度上比较高,因此适合于核心数据资产中要求较高的数据。

数据权限:对以文件形式存在的数据资产进行数据标识和加密都是为了能够实现数据内容的有效管理,而实现具体数据的应用能力的授权就是实现管控的直接手段。加密的所有文件信息内容的操作能力采用授权控制机制进行制约,并将权限与文件数据体强制进行逻辑绑定。数据授权是结合加密数据体及其数据标识在成员认证子系统中,进行以文件为单位的面向成员进行应用能力声明,而被授权的文件在使用过程中需要向成员认证子系统质询操作者与当前文件之间的权限关系,再通过数据管控子系统完成许可的解密,解密后的应用能力也会受到权限制约。

数据使用日志:数据管控系统会将具体文件被具体系统成员使用的关键操作写入到成员认证系统的日志逻辑中。而且数据管控子系统也会利用成员认证系统所提供的日志接口,完成以数据为管理主体的操作审计。

4、服务器及应用安全子系统

这个子系统的安全管控目标是结构化数据,也就是以关系型数据库为宿主的数据类型;在电信企业实际IT环境中,结构化数据是为一定的业务应用服务的,也是随着这些业务应用演进发展的;因此面向结构化数据安全管控的核心就是服务器及应用安全;

服务器及应用是很多电信企业信息化建设的重点,但是服务于电信企业实际业务的具体系统是多种多样。因此本项目中的服务及应用安全子系统采用了两种实现逻辑来支持具体安全业务目标:一种是利用应用系统数据资源访问的特点在网络通路上建立安全控制逻辑;另一种是提供安全业务逻辑开发接口以便于应用系统的调用。

网络通路安全控制的特点是不需要应用系统进行再度开发,依靠针对具体应用访问过程中通道数据流进行加密,再经由访问终端点进行许可认证式安全解密来实现内容安全的管控,基本业务逻辑如下图:

4.png

图3网络通路数据安全控制示意

在应用系统服务器上保持原有的数据状态,不作任何改变;

利用通路数据加解密网关进行通路访问数据流加解密处理,从应用服务器下行的数据在网关上进行加密、从终端向服务器上行的数据在网关上进行解密;数据加解密也有两种方式,一种是对整个通讯数据进行加、解密,另一种是对于上下行数据中的文件体进行加解密,前一种主要用于控制结构化数据访问,后一种是更进一步控制应用系统进行非结构化数据输出或交换过程中的文件数据内容。

无论是内部网络还是外部网络,在网络通路上传输的数据是经过加密处理的,不管是上行数据流还是下行数据流,都是加密数据状态在途输送的。

对于电信企业内部环境,在所有终端上部署数据加解密控制客户端软件,该客户端实现使用者身份辨识,并依据与之策略对于使用者有权限的数据进行动态解密,将解密结果交给终端具体应用(如:B/S模式的浏览器、C/S模式的client端)支持内容适用;对于没有权限的使用者,不予解密,使其无法获取数据内容。同时,对于终端使用者向应用系统回传的数据进行加密处理,该加密数据会在“通路数据加解密网关”上实现解密再送入应用系统。

对于利用公共网络资源访问应用系统资源的用户终端,同样也部署数据加解密控制客户端软件,其作用与内部网络的客户端软件是一样的,只不过移动访问终端设备的多样性,造成各种终端上部署的软件有所不同,但是基本业务逻辑都是负责动态加解密工作的执行。

服务器及应用安全子系统在提供“通路数据加解安全网关”模块的同时,还为应用系统提供了“数据加解密服务器”模块;数据加解密服务器实际上是一套数据加密、解密处理服务包,其中主要提供数据加解密、使用者身份认证、数据权限分配等方面的调度、作业服务的接口,其业务逻辑示意如下:

5.png

图4数据加解密服务器业务逻辑示意

(1)应用系统可以根据实际业务的需要,对具体业务进行改造,实际到数据资产内容数据的业务可以调用“数据加解密服务器”提供的数据接口进行数据内容的加密,加密同样支持通道加密和文件体加密两种模式;

(2)数据加解密服务器负责提供数据加密解密的接口,同时根据应用系统的接口指令进行实际作业调度和作业执行:包括响应应用系统要求进行下行数据加密,同时向成员认证系统进行加密数据权限声明,同时将数据加密后返回给数据通路;响应应用系统要求进行上行数据的解密,解密前向成员认证系统质询数据解密许可,并将解密后数据返回给数据通路。

(3)所有数据加密、解密的执行都经过成员认证子系统对于操作身份的辨识和对数据权限的声明和验证。

(4)数据使用者在获取加密数据的过程中数据通路本身是加密处理的,下行数据到达数据使用者终端时,由安装在终端上的客户端端软件进行动态解密;上行数据由客户端进行动态加密。

(5)终端数据动态解密、加密过程都会经过成员认证子系统对于操作身份的辨识和对数据权限的声明和验证。

(6)在应用系统中如果存在按照业务规则不需要保密的数据内容,应用系统可以采用原有的方式进行操作者数据交换,不必调用数据加解密服务模块。

6、交互通信安全子系统

交互通信安全子系统主要针对电信企业中常用的通信交互系统,例如:电子邮件系统、及时通讯系统等等;不同于电信企业的业务应用系统,这类系统数据以非结构化为主要数据交换形式。

为了解决上述系统的内容安全,本项目在交互通信安全子系统中设计了两种业务逻辑:邮件加密、即时通讯工具加密。

邮件加密:目前所提供的解决项目模式目标是内部人员相互交换机密邮件,对于加密邮件的附件在收件人的处进行编辑修改的过程将结合“数据管控自行通”进行文件跟踪记录;加密邮件的附件本身是加密的文件,如果再次被作为加密邮件附件时将会被先自动解密再重新进行数字身份标示和加密封装,但系统会形成操作日志,记录这个数字身份标示的转换过程,以备管理需要的时候进行附件使用途径追踪。具体业务逻辑如下:

6.png

图5 邮件加密发送逻辑示意

7.png

图6 邮件加密接收逻辑示意


即时通讯工具加密:主要通过提供了从桌面电脑,手提电脑到移动终端的集中式管理和有效控制。通过对普通用户目录及后续注册用户的无缝整合,实现对电信企业现有即时通讯工具的环境快速配置。通过为组织提供的中央服务器,同时可以监控到注册用户使用即时通讯工具进行数据交换过程。确保在保护文件的所有权、完整性和保护企业数字资产等前提条件下, 同时可以允许授权的用户访问这些机密数据。

7、移动式终端安全子系统

可以便捷离开电信企业网络的新型平板类数据终端和职能手机类终端等可移动式设备在电信企业数据应用中越来越受到重视;应用系统不断地向这类设备上扩展数据获取和应用的能力,这给数据资产内容安全保护带来新的挑战。

本项目移动式终端安全子系统是通过在这类终端上安装数据加解密控制软件来实现内容安全管理的,终端内容控制逻辑如下:

8.png

图7移动终端内容安全控制逻辑示意

终端获取的数据是以加密的形式进入设备存储介质的,需要使用者通过身份认证方能对数据体进行动态解密;

根据需要限制文件的使用时间和打开次数,确保机密信息在特定控制范围内进行指定操作,超过时间或使用次数中的一项再次打开文件自我擦除;

使用者只能按照获得的授权使用数据,数据不可转存或移出,使用者不能利用应用软件生产非安全副本。

8、存储介质安全子系统

存储介质安全主要包含:存储介质标识、服役状态、内容看护、维修管理和报废处理五个方面进行数据资产内容安全管理。

存储介质标识:按照存储介质本身的特点,进行存储介质的单体标记和识别;主要有两种标识,一种是由内置电路的存储介质的标识,主要通过介质本身的内部识别信息,如硬盘,U盘、SD卡等在介质上都有唯一性的识别信息,通过识别这些信息建立相应的介质身份档案就可以实现对介质单体的标识;另一种是光盘这样的没有内置电路的存贮介质的标识,主要是通过植入特性信息的方式实现标定,以植入标定信息为索引建立介质身份档案,以实现对这类介质的区分和辨认。

服役状态:结合介质标识过程中所建立的机制身份档案,对于存储介质的使用状态进行管理,掌握存储介质的规格、参数、服役时长,固定介质(如PC中的硬盘)隶属设备,移动介质持有人员等等状态信息进行统一登记,并建立定期巡检提醒,使存储介质本身纳入到管理目标范围内。

内容看护:存储介质内容看护逻辑主要有三种方式:加密,即在移动介质上的数据资产内容信息是进行加密处理的,必须通过解密才能打开,实现信息数据的看护;授权,即只允许授权过的移动介质才能存储数据资产内容信息,未授权的移动介质不能存储数据资产内容信息,实现访问能力的看护;监控,即对介质的使用行为进行监控,对使用过程中的读、写、复制等进行监控,实现应用行为看护。

维修管理:存储数据资产内容存储介质的维修过程是需要进行安全处理的,对于服役中的介质交付维修前的数据擦除、维修后的数据重置,以及维修过程中的维修方信息管理;存储介质安全子系统均设计了登记、查询、追溯等手段进行管控。

报废处理: 对于存储过数据资产内容的存储介质,如果因生命周期问题而不能继续使用,需要进行专门的报废处理过程,通过对报废过程的监控,确保数据资产内容不会随报废存储介质泄露。

传统输出安全子系统

从电子数据状态,借助各种系统的输出方法,将数据内容从电子数据体中转换到传统介质或新型材料介质上,也是数据资产内容泄露的一种途径。传统输出安全子系统针对的就是这个方面的数据内容看护。主要业务逻辑有:输出行为禁止、强制水印和设备审计三个方面:

输出行为禁止:主要利用对输出操作进程的控制,使数据资产内容的使用者没有办法使用输出功能,杜绝数据资产内容从电子数据状态向传统介质承载转换;

强制水印:对于一些可信输出过程,允许进行输出操作。但是会强制在输出过程中添加水印,用户可自定义水印内容,例如使用电信企业logo标识或者水印上还会附带当前用户的用户名和文件打印时间,操作记录一目了然。通过水印可以追踪打印泄密途径,输出来的每一份介质都在管理之下,时间、密级、用途、输出者、输出内容都有据可查,可以追溯。

设备控制:对于输出设备的内置特征信息进行识别,并在系统中标记这些设备,在数据内容输出过程中获取输出设备的信息,并进行记录形成输出日志进而实现设备审计。

9、可视效果安全子系统

可视效果泄密主要有三种方式:利用应用软件进行内容摘抄;利用系统进行截屏;直接进行屏幕拍照或摄录。

内容摘抄控制:系统支持对加密数据体提供如下内容安全控制,如复制粘贴、打印、拖拽、拷屏等保护,有权使用加密数据体的使用者未经许可的情况下不能将密文中的内容通过剪贴板复制到非加密数据体中;但是非加密数据体中的内容可以利用剪贴板复制到加密数据体中;

截屏控制:就是阻止截屏程序读取显存数据,对截屏操作的发起者作智能筛选,不影响显示性能,对正常操作的屏幕显示几乎无任何影响。即使是截屏动作,在无泄密风险的前提下甚至也可以正常使用。

阅读浮水印:当用户通过屏幕阅读数据资产内容时,屏幕上会出现半透明的阅读浮水印,水印的内容和位置可以根据实际业务通过可视效果安全子系统进行配置,用于抵御屏幕拍照或屏幕摄录。

核心技术:

1、文件加密

本项目系统所提供的加密功能具有如下应用支持能力:

加密算法:项目采用国家密码局要求的国密算法SM2、SM3和SM4,密钥长度为128位。

加密技术:项目系统确保加密机制的安全、高效和稳定,即使操作系统在安全模式下工作,项目系统也提供同等加密保护;

加密范围:项目系统体现应用无关特性,不限制用户的加密应用范围,用户可自主设置需要加密保护的数据类型和应用;能够适应目前所要求的office系列办公文件、PDF文件等,而且未来需要扩展新的应用和数据类型只需要通过策略配置更新就可以实现。

加密特征:项目系统对加密文件进行有效视觉区分,并可通过策略控制灵活实现是否启用该区分;在使用加密文件时,对用户完全透明,不改变用户工作习惯,不改变应用软件界面和菜单形态;

密钥管理:系统支持集中密钥管理;同时为了保持可扩展能力系统还支持多密钥,不同的部门、不同的策略可以采用不同的密钥管控;提供密钥合并技术,通过自动合并不同管理人员设定的密钥段来强化企业密钥。文件权限细粒度控制

权限控制:对需要加密的文件提供细粒度的权限加密控制,如:只读、打印、修改、复制、再授权等权限控制;

时效控制:可设置任意用户对授权文件的使用时效,如阅读时限、阅读次数等;

版本管理:具备修改权限的用户,修改授权文件后,均可以将最新文件版本上传服务器端存储,系统支持对授权文件的多版本管理,根据需要用户可以下载和使用同一个文件的不同版本;

权限归档:文件管理员可以将任意用户的权限文件进行权限归档,将文件权限回收服务器控制;

权限转移:文件管理员可以将任意用户的权限文件进行权限转移,方便用户离职或其他情况下工作延续;

权限删除:文件管理员可以将任意用户的权限文件进行权限删除;

权限集中管理:本项目系统将加密文件和权限管理分成两个层面,加密文件本身是不存储权限信息的;所有的权限信息依靠策略集中管理,通过服务器中的安全策略管理予以支持实现,这样才能完成上述对于终端任意加密文件的权限统一管理和变更。

权限模版:对于加密文件的授权是以文件作为目标单元的,授权本身的频度和工作强度在日常工作中是很难估量的,因此将常用的授权机制形成权限模版是为了能够提高授权本身的操作效率,降低工作繁琐程度,本项目系统提供公有权限模版、局部权限模版和私有权限模版几种形式。 

2、文件内容安全

内容安全控制:项目系统支持对加密文件提供如下内容安全控制,如复制粘贴、打印、拖拽、拷屏等保护,有权使用加密文件的使用者未经许可的情况下不能将密文中的内容通过剪贴板复制到非加密文件中;但是非加密文件中的内容可以利用剪贴板复制到加密文件中;项目系统能通过策略配置实现对内容安全控制的启用和禁用;

例外控制:项目系统能设置剪贴板白名单,方便将敏感数据内容拷贝至指定应用文件中;项目系统能控制剪贴板白名单容量,防止用户利用例外策略恶意泄密;

阅读浮水印:项目系统支持对加密文件添加阅读浮水印保护,防止非法用户通过屏幕打印、拍照等方式窃密;并支持集中管理自定义浮水印内容;

打印浮水印:项目系统支持对加密文件添加打印浮水印保护,防止非法用户扩散泄密;并支持集中管理自定义浮水印内容。

 3、文件操作审计及预警

数据资产安全系统通过加密文件内置唯一标识,以及终端用户管理两个维度相结合可以对任何加密文件的应用历程进行跟踪,亦即什么用户(帐号)在什么时间在哪一台终端上(IP)对什么文件(内置标识不可篡改)做了什么,并将这些跟踪记录上报到服务器形成操作日志。

系统提供灵活的日志审计和丰富的报表导出功能,所有用户对于加密文件的一切操作信息均详细记录,并提供根据操作类别、操作对象、操作时间、操作动作等组合条件进行日志审计,同时也支持用户自定义组合条件进行日志查询;管理员用户对于系统的运行维护、管理等操作也可被强审计,所有日志信息将上传至后台数据库进行集中存储。

管理员可以随时通过提供的管理界面查询跟踪系统操作或加密文件的使用情况,审计记录包括每一个系统操作或文件的应用或使用过程,阅览者使用文件的全部操作(打开、读取、打印、修改、上传、授权、权限变更等动作均可被后台捕获并记录)。

对于文件操作的某些动作还可以设定为需要预警的风险动作,以便于管理过程中及时发现和修正错误行为。 

4、离网应用

为提高办公效率,移动办公是必不可少的一个业务环节,员工业务出差或外出商业活动时必须使用内网涉密资源,如果明文带出可能面临泄密的风险。

为了确保终端在离开内部网络后还能正常处理涉密业务,文件内容安全管理系统提供了强大的终端脱机控制方案。通过对终端进行脱机设置,使得终端能在预设时间范围内脱离公司环境并且能够正常处理涉密业务,超出预设期限将不再解密任何涉密信息,保证终端外出的使用安全:

离网审批:用户提出离网申请后由管理员进行审批,管理员可根据实际情况自由设定用户的离线时间,在离网时间范围内用户能够正常打开修改计算机内已经被加密的文件。并且缓存在终端上的策略和密钥依然有效,无法对其进行破解和恶意篡改,终端加密驱动运转正常,离线状态下依旧能够对文件进行加解密操作。

离网补时:若原设定离网时间已经用完,离网客户端可以联系管理员获取离网补时码,用户在终端导入补时码,若本地认证通过后,系统会自动延长其离网时间,以免影响其正常工作。

离网控制:对于离网客户端,虽然与服务器的连接已经断开,但是缓存在客户端本地的策略和密钥依旧工作在系统驱动层,只是暂时不能完成和服务器策略配置同步更新。客户端并没有完全失去控制,文件的保护机制和加解密控制机制仍然有效,并且离网客户端的所有操作都会记录到本地操作日志,在重新连接上服务器时会自动上传,以便审计。

暂时容灾:数据资产安全系统的离网工作原理使得任何终端在脱离服务器连接状态下都可以在一段时间内完整的处理密文,因此系统开放对全局终端的离网时长统一配置能力;如果策略集中管理服务器出现意外情况不能在线工作,终端用户在所设置的时间段内不会感知到,利用这段时间可以恢复策略集中管理服务器。 

5、成员认证管理

数据资产安全系统对于用户成员的管理主要通过系统管理功能来体现,主要包括:

组织机构管理:组织机构信息是系统安全的基础数据。提供对部门、人员、用户、角色进行管理和配置的功能。

人员管理: “人员”表示的是组织机构的人,系统管理员可在部门中创建人员,并填写人员的基本信息,如人员的部门、职位、用户身份信息等。

用户管理:“用户”表示的是登录到本系统中的身份。“人员”与“用户”关联后,才能够实现有效的登录。用户信息包括:用户名和密码、用户状态(是否允许登录)、用户关联的人员、用户创建时间、上次登录时间、登录次数、用于用户的安全策略,如:密码失败次数等

角色管理:“角色”是“人员”的集合,同时“角色”还包含了指定的权限信息。通过“角色”,可以批量为人员分配权限。

身份认证:数据资产安全系统可集成多种身份认证体系,用户名和密码验证:在此模式下,本系统在自己的数据库中维护用户信息,并以加密的方式保存用户密码。当用户登录时,本系统将验证用户输入的用户名和密码与数据库中保存的信息是否一致。LDAP/MS-AD用户验证:在此模式下,本系统使用认证目录服务器中的用户信息进行登录用户身份验证,在本系统数据库中,只记录相应用户与本系统中的组织机构人员的对应关系,而不记录用户密码。当用户登录时,本系统将把用户输入的登录信息发送到认证目录服务器进行验证。数字证书(CA)验证:在此模式下,在本系统登录时,将同时采集用户计算机(或移动介质)上的CA证书信息,并将其发送到CA服务器进行验证。验证通过后,将向本系统返回真实的用户身份,再由本系统建立用户会话。CA证书可以保存在用户计算机的“安全存储区域”中,也可以保存在移动介质上(如USB KEY)。 

6、文件生命周期管理

由于本项目系统目标应用中文件的适用范围可能涉及到多级机构,跨越众多应用系统,涉及到几乎所有的业务参与人员;因此文件生命周期管理需要解决以下几个方面的问题:

首先是应用历程:包括文件的生产(文件人工编制、应用系统数据输出)、内部传播(跨组织结构、跨地域)、内部使用、外发外带(管控脱离数据资产安全系统部署范围);

其次是文件身份标识:现行的电子文件应用状态下无法鉴别任意两个电子文件的衍生关系,无法识别不同物理位置上的原始文件及其复本,不能识别文件,生命周期更无从谈起。

再次是操作者行为跟踪:如果能解决文件识别的问题,那么接下来就是文件操作者行为跟踪,要能够获得什么人对什么文件做了什么才能解决文件生存过程中的管控。

另外还有文件内容销毁问题:如果已经能够掌控什么人对什么文件做了什么,如何能够控制文件内容的使用权终结,也就是如何能够让文件“死掉”就成为必需要解决的问题;

文件生命周期管理的实现方法如下:

首先,采用加密手段控制各应用历程中的文件,针对生产过程,内部传播过程、内部使用过程、外发外带过程采用相应的加密应用模式,控制文件内容,确保文件数据体的流动不会使文件内容扩散;

在文件内容安全的基础上,对所有加密文件进行内置不可篡改的标志,使文件具备可识别性,该标识不会随着文件的复制、移动、重名命、内容更新等应用操作而改变,对于必要的文件衍生过程还要依靠标识识别文件家族谱系;

将文件操作者与标识文件之间的操作动作建立关联,关联关系包括应用能力和文件实际使用操作的关联,前一个关联决定的文件使用权限,后一个关联决定行为审计。

针对文件“死掉”的问题,内部文件使用通过系统的安全略和权限进行生命周期控制,对于文件的使用者而言如果失去了对特定文件的操作权限,这个文件对于这个使用者相当于被销毁。具体场景示意如下:

 9.png

图1内容安全系统内的文件生命周期控制示意

对于外发外带的加密文件采用可自我擦除的方法消灭文件数据体,彻底消灭内容扩散的源头。 

7、虚拟文档管理

其特点包括:1、以虚拟文档作为核心设计思想,利用成熟的数据库技术实现多内容数据信息的保全,包括集中存储、统一备份、快速恢复。2、提供灵活的内容分类定制手段,对于内容进行有序的分类。用户可以根据实际的业务需要对相同的内容进行不同角度、不同规则的分类。3、根据分类规则,建立索引机制,通过按分类方式、关键词、内容属性、单项、多项等多种方式进行检索查询,可以快捷的提供查询结果。对于文字描述型的数据信息,还提供了全文检索机制。另外,还为第三方提供了查询接口,第三方可根据自己定制的分类机制进行查询。

应用领域

水面载体:可应用于各类水面载体,提供通信及互联网接入,如:各类军用民用船只、较大测量浮标测量数据实时传输、钻井平台通信等载体的各类网络应用场景。

政府/军用:政府应急抢险、远程通信、现场视频实时传送、指挥等;海军、陆军军用天线装备。

车载领域:加装惯导系统即可适应车载动中通应用场景。

偏远地区:为不具备或不适合铺设光纤或建设基站的偏远区域,提供卫星宽带接入。

应用案例

1.渔业应用

自2017年3月起至今,XXXXXXXXXXXXXXXXXXXXXXXXXXXXX接入,截至目前运行良好。在超过半年的使用过程中,用户除通过手机使用产品提供的通话及网络进行常规网络应用外,还成功运用网络进行了鱼获销售方。如,在以前无法通信的海域,通过电话和微信图片视频与岸上商家快速达成交易,就近约定交货地点,既保证了渔获的新鲜度,也提高了买卖双方的交易效率,节省的时间及柴油渔船可再次出海打鱼,更新鲜的渔获也能使双方有更好的收益。如果配以合适的交易平台,即可形成海上互联网+。

产品可扩展至如下应用:

2.信息系统在小型军舰上做备份

如果在没有航姿航向等数据输出的小型军舰上安装我们的动中通产品,再配上合适的信息推送装置不仅可以满足通信需求,还可以作为XXXXXXXXX当主舰故障时替代主舰信息推送的主要功能。

3.渔船民兵

在渔船上配置我们的动中通系统,可以通过XXXX远海态势,通过实时传送的视频信息提供海警、军舰行动的参考数据,并对民兵发布作战指令。更有利于全民皆兵,打人民战争。

4.海洋地质、地貌和水文资料实时传输

在大数据时代,准确实时的数据是作出战略战术决断的基本依据,我们的XXXXXXXXXXXXXXXXXXXXXXXXXXX海洋地貌和水文资料。成本低、体积小,只要有足够电力,不需要浮标有其他信息,有利于大范围投放。

公司

北京亿赛通科技发展有限责任公司

联系方式

联系人:张艳茹 

固定电话:010-57933738

手机: 13261928861

邮箱: zhangyanru@esafenet.com

传真:010-57933600

地址:北京市海淀区西二旗大街39号4层401