收藏
下载资源 加入VIP免费专享

中软安全文档(加密).doc

上传人:laozhun 文档编号:2401690 上传时间:2023-02-17 格式:DOC 页数:13 大小:2.19MB
返回 下载 相关 举报
中软安全文档(加密).doc_第1页
第1页 / 共13页
中软安全文档(加密).doc_第2页
第2页 / 共13页
中软安全文档(加密).doc_第3页
第3页 / 共13页
中软安全文档(加密).doc_第4页
第4页 / 共13页
中软安全文档(加密).doc_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《中软安全文档(加密).doc》由会员分享,可在线阅读,更多相关《中软安全文档(加密).doc(13页珍藏版)》请在三一办公上搜索。

1、中软防水墙安全文档系统介绍Introduction toWaterBoxTMVersion 7.2R5目 录第一章 系统概述1第二章 系统关键技术2第三章 系统工作原理:4第四章 体系结构和运行环境52.1 体系架构52.2 硬件环境62.3 软件环境6第五章 系统功能7第六章 系统特点9常见问题10第一章 系统概述对于企业来说我们到底要保护什么?网络中最有价值的是什么?答案是肯定的:数据。关键数据的安全性越来越重要。但是目前所有的网络安全产品大部分都集中在核心数据的外围,并没有针对数据本身的安全保障提出有效的解决方案。这里我们不妨打个比方:如果我们是一栋大房子的主人,现在需要部署一些安全防范

2、手段来保障房子的安全,房子太大了,我们觉得无从下手,防盗门肯定是要装的,可是安装了防盗门以后,我们还要做什么?就像我们的企业,一提到网络安全防护,就会直接想到防火墙,但是部署了防火墙以后就会变得很迷茫。因为现在的安全产品实在太多,五花八门、目不暇接,企业的确不知道那款产品更适合自己。现在我们不妨抛开具体的网络安全产品,回到我们的房子,继续考虑如何保障一个房子的安全。要保障安全其实最重要就是保障最有价值的那一部分物品的安全。在一幢房子里面最有价值的东西是什么?一般就是金银珠宝、收藏品等贵重物品以及现金了。保证了这些物品的安全,实际上就相当于完成了大部分的安全保障工作。所以我们一定要把这些物品妥善

3、放置,比如放到保险箱里面去。我们实在没有办法将这些物品暴露在光天化日之下,因为它们不仅仅会受到外来入侵者,比如小偷的威胁,而且还更有可能让家里来往的客人、甚至自己调皮的孩子拿走。这就是我们的网络不仅仅会受到外来“黑客”的攻击,更为严重的是还会受到内部人员的威胁。内部人员更加了解网络的情况,也更有条件进行信息窃取和破坏活动。所以,一个切实保障关键资源安全的措施是非常有必要的。企业的关键资源就是数据,保证了数据的安全所有问题也就迎刃而解了。中软防水墙系统就是为了解决该问题而开发的。该系统利用透明加解密技术、访问控制,对用户读写的数据强制加解密。用户存储在磁盘的关键数据都是加密的,读取数据时会自动解

4、密。这样,在不改变用户使用习惯的前提下,保证了企业数据安全。防水墙安全文档系统对企业关键数据强制加密并存储在本地,确保数据无论何时、何地都处于安全状态。当然也包括硬盘丢失、光盘启动的dos模式以及安装第二操作系统等对数据的窃取方式。第二章 系统关键技术防水墙安全文档系统(WaterBox7.2R5)是在Windows操作系统(包括WinNT,2K,XP,2K3所有的操作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的、透明的、动态的数据加解密服务。防水墙安全文档系统(WaterBox7.2R5)运行于操作系统的核心态,接管整个文件系统。文件数据在储存设备(例如磁盘)上以密文形式

5、存储,当需要读写该加密文件的数据内容时,通过基于文件指纹智能识别技术和基于文件名识别技术的有机结合,实时进行加解密,使得系统在授权情况下可以透明地,以明文形式读写该加密文件的数据。 所以,通过防水墙安全文档系统(WaterBox7.2R5),文件的数据得到安全地加密保护。而授权的用户又可以直接透明地以明文方式使用文件的数据,实现了安全、便捷的数据解决方案。防水墙安全文档系统(WaterBox7.2R5)平台在操作系统内核工作的示意图如下。安全文档系统工作示意图所有的文件系统操作都是向Windows I/O管理器提出的,再由Windows I/O管理器将操作定位到具体某个文件系统来完成。防水墙安

6、全文档系统将为加密文件提供实时的,透明的加密/解密服务。第三章 系统工作原理:透明加解密技术是一种革命化的加解密技术,它不同于传统的加解密技术,而是直接运行在操作系统内核中,动态地支持加密文件,将安全性和方便性完美地结合在一起。透明加密软件同传统的加密软件一样,在进行加密时,也必须改变文件的内容,只有这样才能起到保护作用。在这个过程中,使用密码或者专用加密硬件作为内容变化的依据,因此具有高度的安全性。革命性的是透明化功能。透明化功能指的是,当用户使用加密文件时,可以不进行解密,而让软件透明化地自动支持它。透明化功能是在后台自动执行的,但使用透明化功能时,也要进行密码的核对或加密硬件的连接。透明

7、化功能的具体实现过程都是在内存中进行的,不会在磁盘上产生任何文件,这一点保证了文件的安全性。 如左图所示,销售计划.doc在磁盘上的内容为加密内容,由于没有使用透明化功能,屏幕上还是显示加密内容: 然而在右图中,基于防水墙安全文档的透明加密器自动在后台进行透明化服务,尽管销售计划.doc没有被解密,但屏幕上显示出正确的内容。 使用透明化功能时,尽管加密文件没有被解密。但是,操作系统和所有的应用程序都以文件的原始内容为标准,这个过程对于操作系统和应用程序是透明的,所以叫做透明化加解密系统。 第四章 体系结构和运行环境4.1 体系架构完整的WaterBox7.2R5扩展版系统由三部分组成,防水墙服

8、务器(WaterBox Server)、防水墙控制台(WaterBox Console)和防水墙客户端(WaterBox Client),支持多级部署。图1 WaterBox7.2R5 体系结构示意图n 防水墙服务器防水墙服务器,包括服务器端软件、支持数据库和授权硬件。建议在专用主机上安装防水墙服务器。支持操作系统为Microsoft Windows 2000、Windows XP、Windows Server 2003系列,推荐Windows 2000 Advanced Server版本。防水墙服务器以Microsoft SQL Server 2000为后台数据库。n 防水墙控制台防水墙控制

9、台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式,以提高系统的安全性和用户管理的灵活性,保证监测信息的保密性。系统运行平台为Microsoft Windows 2000、Windows XP、Windows Server 2003系列,推荐采用Windows 2000 Professional版本。n 防水墙客户端防水墙客户端是安装于受控主机上的监测软件。防水墙客户端可远程自动升级,并采用了严密措施防止本地用户自行卸载、关闭监控程序。防水墙客户端的工作平台目前支持Microsoft Windows系列操作系统,包括Windows 2000系列版

10、本、Windows XP系列版本和Windows 2003系列版本。4.2 硬件环境防水墙系统推荐硬件需求CPU内存硬盘网 络外设和接口服务器Pentium 42.8GHz2G160G连接到一个活动网络中的Ethernet或Token RingUSB接口支持控制台Pentium 42GHz512M40G连接到一个活动网络中的Ethernet或Token Ring客户端Pentium Pro500MHz256M1G连接到一个活动网络中的Ethernet或Token Ring表格1 系统推荐硬件需求4.3 软件环境防水墙系统软件需求操作系统所需其他软件支持服务器Microsoft Windows

11、2000、Windows XP、Windows Server 2003系列版本操作系统Microsoft SQL Server2000硬件圣天诺加密锁驱动程序控制台Microsoft Windows 2000、Windows XP、Windows Server 2003系列版本操作系统MDAC2.7或以上版本客户端Microsoft Windows 2000、Windows XP、Windows Server 2003系列版本操作系统表格 2 系统软件需求第五章 系统功能中软防水墙系统是一款领先的防止内部信息泄露的产品。先前,系统采用控制的办法,有效防止了文件各种传播途径:网络传播、打印传播、

12、接口传播和存储介质传播。新版本的防水墙系统采用了透明加密技术,实现了防水墙安全文档功能,改变了防水墙系统以控制为主的局面,直接对文件实施强制加密保护。防水墙系统可彻底保护企业涉密数据。只要受限用户(数据作者)有读写磁盘的操作,文件就自动进行了加密或是解密,但并不控制文件的传播共享,也不影响文件打开,文件在制作过程和传输过程中始终是密文。防水墙安全文档系统(WaterBox7.2R5)的安全策略由企业统一制定,并集中发布,对于不同性质的用户群体(财务、研发、销售)可制定不同的策略,从根本上保护了企业数据的安全。同时,该系统还可以提供丰富的审计报表,包括文件加密,文件解密等。n 基于透明加密技术的

13、中软防水墙安全文档系统的基本功能防水墙系统在透明加密技术的基础上,扩展了客户端程序,使之能接受来自服务器的加密策略和指令,在客户终端上实施对客户文件的强制加密,加密策略由防水墙管理员在服务器集中管理。为方便用户操作,中软防水墙系统提取了常用的进程特征,在进程识别过程中,用户不必添加这些进程的识别特征。防水墙系统还实现了防止“块拷贝”功能,有效地阻止了,从打开的密文文件中将机密数据以块拷贝的方式转移到未受保护的文件中,防止了泄密行为的发生。另外,中软防水墙系统增加了文件以明文带出的审批流程,方便了加密文件在特殊情况下的使用。n 基于进程识别的强制加密能力在防水墙7.2R5Extension版本中

14、的安全文档系统,将访问文件的进程分为三类:明文访问加密文件、密文访问加密文件、拒绝访问加密文件。所谓明文访问加密文件的进程是这样一类进程,它们可以透明地、以明文形式打开加密的文件。该类进程一般是文件的创建进程,也可指定创建进程之外的其它进程为明文访问加密文件进程。如MS Word被指定为该类进程,那么MS Word打开的doc文件将以明文展现给用户,供用户编辑和阅读。字处理软件Write也可以指定为这类进程,当Write程序读取doc文件时,doc文件也以明文形式展现给用户,用户可以编辑和阅读。这里MS Word可能是创建进程。所谓密文访问加密文件的进程,是那些对加密文件可以进行操作、但不允许

15、以明文打开的进程。如上面的例子,MS Word创建的文件,其操作对象doc文件在磁盘上以密文方式存储,但通常有共享和交流的需要,需要将文件发到另外的地方,这时MS Outlook就应该被指为该类进程,MS Outlook可以将文件打开后传出,但MS Outlook没有明文打开的doc的权限。接收方收到的是密文。所谓拒绝访问加密文件,是这样一些进程,它们根本没有对加密文件实行任何操作的权限。通常,只有两类进程需要防水墙管理员明确指定,不在这两类进程之内的所有进程都被认为是拒绝访问加密文件的进程。n 拒绝通过网络邻居的方式共享加密文件是否允许通过网上邻居访问本机的加密文件和未加密文件,可以通过系统

16、策略来控制。默认情况下,无论加密的、还是未加密的文件,都拒绝通过网络邻居方式访问。n 防止内容拷贝防止将打开密文文件的内容拷贝到打开的明文文件中,即:防止块拷贝。比如MS Word明文打开了一个加密的doc文件,Foxmail没有明文打开doc文件的权限,那么,在MS Word编辑该doc文件时,系统将禁止用户从MSWord向Foxmail拷贝数据。n 机密文件带出的审批流程加密的文件若要带出企业内部环境,必须由申请人向审批员提出申请,审批员审批之后文件方可明文带出。这里引入了“审批员”的角色。系统管理员可以通过防水墙系统的用户角色管理功能,制定审批员的权限范围。申请人通过网络、U盘提交电子申

17、请,审批员收到申请后通过网络、U盘返回审批意见。所有审批流程中的各项活动、拷贝带出操作以及文件内容本身都记录日志。第六章 系统特点l 提供透明加解密服务,有效防止内部和相关人员作案;l 支持dll远程注入防护,防止从应用层窃取明文数据;l 支持内存dump防护,防止转存内存窃取明文;l 进程签名服务,保障关键进程的不可篡改性,确保非法窃取关键数据;l 基于时间、用户安全策略,进行细粒度的访问控制和日志审计;l 内核级驱动,支持任意应用程序加解密服务;支持任意存储设备,包括硬盘、U盘、光盘,软盘、磁带机、网络存储等;l 文件透明加解密系统,加密、解密服务都是在内存中进行,不会产生任何临时文件;l

18、 网络分布式文件系统驱动内核,在网络分布式文件系统层面上工作,保证在网络传播的数据自动加密;l 资源占用率一般低于3%,支持多CPU;l 强大的自我保护机制。可以防止黑客或其他用户(包括超级用户)关闭防水墙进程;l 强大的审计和跟踪功能;l 广泛的平台支持。Windows 2000和Windows XP、Windows2003操作系统;附录:常见问题n 防水墙安全文档支持哪些应用程序,存储设备和操作系统?答:防水墙安全文档是内核层驱动,支持任意应用程序;支持任意存储设备,包括硬盘、U盘、光盘、软盘、磁带机、网络存储等;支持全系列WindowsNT以上操作系统。n 安全文档系统能否防止第二操作系

19、统,或者光盘启动dos模式失窃密?答:可以防护。存储在磁盘的数据都是已密文方式存储的,任何不通过防水墙解密服务读取得数据均是密文。n 通过直连线是否可以获取密文数据?答:无法获取,防水墙对于密文文件网络服务进程是无权访问的。n 防水墙安全文档支持哪些加密算法或者加密硬件?答:防水墙安全文档系统是开放式架构,通过外部插件的方式,可以把任意一个软件加密算法或者硬件加密器,插入到防水墙安全文档体系架构中。目前,防水墙安全文档应用的加密算法是AES。n 防水墙安全文档加解密的时候会有临时文件么?答:作为透明加密文件系统,透明的加密解密服务都是在内存中进行,不会产生任何临时文件。n 如果文件保存时候,存

20、为一个任意后缀名,是否会加密保存?答:依然会自动加密的。防水墙安全文档不是通过文件名匹配的方式,决定一个文件是否是加密的,而是通过给加密文件内植入一个识别指纹(数字签名),来判断是否是加密文件。因此,防水墙安全文档可以设置为,对某个进程保存的任意文件都加密保存。而在以后使用该加密文件的时候,防水墙安全文档也依然可以正确识别是加密文件,并提供服务。n 通过网络共享,从装了防水墙安全文档的主机,把文件写到一个没有装防水墙安全文档的主机的共享文件夹,是否也会加密?答:加密。即使服务器端(就是主机)上没有装防水墙,也一样保存是加密的。n 通过网络共享,从装了防水墙安全文档的主机上(服务器),把一个加密

21、的文件读到没有装防水墙安全文档的主机(客户机)上,是否为加密的密文?答:依旧是加密的。因为防水墙安全文档是真正的网络分布式文件系统驱动内核,其在网络分布式文件系统层面上工作,使得在网络传播的数据就已经是加密的了。所以,服务器给出的数据是加密的。n 加密的文档是否在任意机器上,不需要对该机器进行配置,防水墙安全文档就可以知道其是加密文件,并能为之服务?答:是的。因为防水墙安全文档系统中,一个文件是否是加密的,是通过其内部植入的一个指纹来决定的,并且其使用哪个加密策略等信息都在文件内部, 所以,在任意一个机器上,防水墙安全文档系统都可以知道其是加密文件并为之提供服务。n 是否可以对可执行文件(例如

22、exe文件,dll文件)进行加密,并提供透明服务?答:可执行文件是通过内存映射文件方式来进行读取的,防水墙安全文档平台工作于文件系统驱动层面,可以支持对内存映射文件的方式。n 是否支持从打开的密文中复制粘贴一段数据到明文中去?答:禁止从密文向明文粘贴数据,但密文之间是可以的。n 通过QQ、MSN、OUTLOOK等网络工具是否可以将磁盘存储的密文通过明文方式传送出去?答:无法传送,对于密文文件,上述进程在未授权的情况下无法解密。n 假设Winword.exe是一个合法的明文打开加密文件的应用程序,如果我把QQ.exe改为Winword.exe,那是否也是可以打开?答:不可以,防水墙有强大的进程认

23、证功能,认证方式采用数字签名,所以简单的改名绝对不会逃过防水墙的防护。 n 防水墙安全文档的性能怎样? 答:作为透明加密文件系统,防水墙安全文档没有性能问题,或者说对性能影响微乎其微。因为其是应用程序需要多少数据就解密服务多少数据,而不是一次解密所有数据。从目前测试情况看,只有千分之三的性能差别。n Windows的EFS系统,和防水墙安全文档系统有什么不同?答:EFS是微软开发的功能强大的文件系统,但是只能在NTFS格式下使用,这就造成了EFS使用的局限性。而防水墙安全文档系统却可以在任何磁盘格式下工作,也可以在任何存储设备上工作,适用面更广。n 安全文档系统将关键数据加密存储,但是我想把这些数据与外单位共享怎么办? 答:安全文档系统提供明文审批流程,方便用户带出数据。n 防水墙安全文档能防止远程注入及内存DUMP从应用进程中提取明文吗? 答:防水墙安全文档系统完全可以对这两种方式进行防范,这也是我们的产品区别于其他产品的技术优势。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号