深圳红线科技开发有限公司 数据防泄密解决方案 红线隐私保护系统企业版 深圳红线科技开发有限公司 版权信息 深圳红线科技开发有限公司保留所有版权 ( ) ShenZhen RedLine Technology Development Co., Ltd. Copyright(C) 201

Size: px
Start display at page:

Download "深圳红线科技开发有限公司 数据防泄密解决方案 红线隐私保护系统企业版 深圳红线科技开发有限公司 版权信息 深圳红线科技开发有限公司保留所有版权 ( ) ShenZhen RedLine Technology Development Co., Ltd. Copyright(C) 201"

Transcription

1 数据防泄密解决方案 红线隐私保护系统企业版 版权信息 保留所有版权 ( ) ShenZhen RedLine Technology Development Co., Ltd. Copyright(C) All Rights Reserved 更新日期 :

2 目录 第一章 企业信息泄露途径及存在的问题 企业机密外泄途径及原因 企业安全管理存在的问题... 5 第二章 红线隐私保护系统企业版简介 产品框架体系说明 运行环境 ( 操作系统及环境需求 ) 所支持的自动透明加解密的应用 : 企业版集中管理功能特性 企业版客户端功能特性 红线隐私保护系统企业版优势 红线隐私保护系统企业版网络拓扑结构 红线隐私保护系统企业版实施简易步骤说明 红线隐私保护系统企业版隐私申明

3 第一章企业信息泄露途径及存在的问题 1.1 企业机密外泄途径及原因 随着中国经济产业调整的转变, 高技术含量的产业得到了充足的发展, 相比传统产业信息化的滞后, 高技术产业的信息化之路已经步入正轨 从整个行业生态的角度来看, 高技术含量的企业发生泄密事件的概率普遍较高, 例如制造行业 设计行业 互联网 IT 行业 电子通信行业 以及金融业等都是泄密高发行业 随着市场的饱和, 行业竞争加剧, 竞争升级催生各行业更高的保密需求 在所有的泄密单位类型中, 企业依然是最大的受害者, 这主要是由于市场竞争的不断加剧, 经济利益 竞争需求和发展需求使然 此外, 个人遭受信息泄密, 这几年出现了爆发式的增长, 个人信息贩卖俨然成为一个新兴市场 ; 而政府统计数据的屡次外泄, 也已经敲响了政府公信力下降的警钟 年全球泄密事件分析报告 3/6 从泄密人员来看, 技术和管理人员风险高由于机密文档的流通性通常在企业内部设限, 因此, 在内部信息泄密事件中, 拥有高级权限的技术型人员和管理者成为泄密的高风险人员 但也有一些企业对机密文档疏于管理, 文档存放和使用权限混乱, 因此, 公司内部大部分人员都有可能成为泄密对象 3

4 从泄密途径来看, 便利性的传输方式占比高在内部泄密事件中, 泄密途径主要是计算机的外设介质和网络通道, 外设介质包括存储介质 ( 移动硬盘 U 盘 闪存卡 智能手机 平板电脑等 ) 和传输介质 ( 传真 打印 光驱 蓝牙 红外灯), 网络通道主要是 QQ / MSN 等聊天软件传输, 邮件外发和在线上传等 在这些途径中, 便利性的传输方式成为泄密最重要的途径, 如移动存储 聊天工具外发和邮件外发 从泄密原因来看, 五大因素并驾齐驱 纵观 10 年间大量的泄密事件, 数据表明泄密的 原因无外乎五个类型 : 离职跳槽 离职创业或者高薪跳槽, 为了谋求更好的发展, 有意识的窃密 ; 黑客入侵 基于报复 利益, 黑客主动或被唆使窃取公司机密 ; 为谋私利 员工受到金钱诱惑出卖公司的机密文件 ; 商业间谍 竞争对手获取商业机密常用的手段 ; 无意泄密 员工使用计算机和互联网的过程中无意识的泄密 4

5 以上数据资料来自 : 数据安全 年全球泄密事件分析报告 - 汉均信息 1.2 企业安全管理存在的问题 在现代企业中, 企业对于信息安全管理已经逐步提升成为 IT 运维系统中的重中之重, 为此大量的企业部署了各种安全设备或安全管理系统来应对来自方方面面的威胁 例如企业级硬件防火墙进行互联网访问控制 过滤来保障网络层面的安全威胁, 利用企业级反病毒系统 WSUS 统一补丁管理系统来保障操作系统层面安全, 利用各种行业解决方案来对员工计算机进行监控 控制或审计来封堵各种泄密途径等等 红线科技认为, 企业之所以会面临如此多层面的安全问题, 如此多的泄密途径与防不胜防的泄密方式, 最关键最核心的原因在于企业计算机系统内存放了有商业价值的资料 有商业价值的资料是根本所在, 因此治本之道在于如何解决企业机密资料被有意 无意 恶意窃取或外泄 红线隐私保护系统企业版本即是基于以上出发点而设计 有价值的商业机密资料被高强度加密存放, 企业用户无须解密成明文即可对高强度加密过的文档进行查看 编辑 修改 打印等操作, 文档始终以高强度加密方式存放, 因此文件无论以何种方式, 何种途径泄露, 始终是密文, 从而保障企业核心机密不被非法窃取或直接泄露 第二章红线隐私保护系统企业版简介 红线隐私保护系统是历经五年技术积累与沉淀, 用高强度加密算法 AES 256 AES 512 或相应国密商用密码标准对企业资料文档进行高强度加密 所有受支持的应用程序, 如 OFFICE 办公应用, 图形处理应用 工程设计应用等应用系统保存的数据资料, 落地即被高强度加密处理 用户在授权的计算机上经过安全认证后, 受信任的应用程序 ( 如 OFFICE PHOTOSHOP AUTOCAD SOLIDWORKS 等等 ) 可透明打开被加密的文档资料进行编辑修改操作 无需手动解密成明文才能对文档进行操作, 无需操作完成后重新对文档进行加密保护等繁复的操作流程 对企业用户而言, 红线隐私保护系统自动后台透明运行, 无需改变用户使用习惯, 保存 或另存为时文档即被高强度加密处理 有效防止用户因遭受黑客攻击 竞争对手恶意窃取 5

6 计算机丢失或流氓应用后台悄悄上传用户资料造成的隐私泄露及附带的无法估量的经济损 失 红线隐私保护系统企业版拥有高度的集中管理 集中策略控制 灵活的分组 ( 部门 ) 管 理机制 企业可以根据实际的需求对不同的部门设置不同的加密策略及相应的控制策略 2.1 产品框架体系说明 红线隐私保护系统企业版分为三层架构, 数据层负责企业控制数据的存储, 服务层负责与企 业客户端或移动客户端进行通讯交互, 企业客户端层则实现透明加解密的操作处理 数据层 : 云平台主要用来存放企业相关数据 ( 企业唯一识别信息 分组信息 策略信息 受保护应用清单 自定义策略及自定义受保护应用清单等等 ) 服务层 : 主要包括网页版企业管理中心服务和通讯处理中心两大块, 分别完成企业集中管理控制服务功能和通讯服务功能 客户端应用层 : 包括用户网页管理功能页面,PC 客户端应用和移动客户端应用 客户端与 WEB Server 及 RL Server 通信采用 HTTPS 协议接口, 采用 SSL 加 6

7 密协议对传输数据进行加密, 保证用户通讯数据安全 2.2 运行环境 ( 操作系统及环境需求 ) 系统 : 红线隐私保护系统企业版 PC 客户端需要运行于 Windows 操作系统, 目前支持如下操作 Windows XP 32 位 ( 不建议 未做兼容性测试 ) Windows XP 64 位 ( 不建议 未做兼容性测试 ) Windows 7 32 位 Windows 7 64 位 Windows 8 32 位 Windows 8 64 位 Windows 位 Winddows 位 Windows 位 Windows 位 Windows 10 企业版 理论上红线隐私系统支持任何 X86 或 X64 架构的任何 WINDOWS 操作系统, 包括 WINDOWS 服务器操作系统, 但部分系统未做兼容性测试, 建议用户使用 WIN7 WIN8 WIN8.1 WIN10 等桌面操作系统, 不推荐用户在 XP 或 SERVER 版操作系统上使用 2.3 所支持的自动透明加解密的应用 : 用户常用的办公软件, 如 :MICROSOFT OFFICE 金山 WPS OFFICE PHOTOSHOP 等应用 程序在使用时, 如红线隐私保护系统处于运行并开启保护状态下, 这些受保护的应用程序所 生成并保存的数据文件将会被自动高强度加密 红线隐私保护系统处于运行并开启保护状态下, 受保护的应用程序可以直接打开被加密的文档进行编辑修改操作 系统会在后台自动进行文档的透明加解密操作, 不改变用户的使用习惯, 同时对系统性能 (CPU 资源 内存资源 ) 的影响可以忽略不计 目前红线隐私保护系统企业版支持如下类型的应用 : OFFICE( ) 全系列应用 (Word Excel Powerpoint Access Publisher Project Visio 等 ) 金山 WPS OFFICE Adobe PDF Adobe Acroba 祈福 PDF 7

8 Windows 画图 Acdsee Google Picasa Photoshop CS Adobe Illustrator Windows Media Player MPC-HC QQ Player 百度影音 Windows 记事本 写字板 Ultraedit Notepad++ 3ds Max Autocad CAXA CAD SolidWorks 等 理论上红线隐私保护系统企业版可以支持绝大多数 32 位与 64 位应用程序的透明加解密 操作, 前提是企业购买的授权中包含该应用支持, 同时将该应用支持授权分配给相应的企业 员工用户使用 出于对用户数据安全考虑, 我们对受保护应用采取唯一识别特征来区别每个不同的版本, 有效防止受保护应用被恶意程序或病毒木马冒名顶替导致其获得读取加密数据的权限 因 此, 若企业因业务需要增加新的应用支持, 则可与我司联系获取技术支持 2.4 企业版集中管理功能特性 红线隐私保护系统企业版拥有如下集中管理功能特性 : 管理员分配员工帐号并设置控制权限 ( 是否禁止复制 打印 截屏 直接解密等权限 ) 管理员根据不同的员工分组设置不同的控制权限 ( 如不同部门设置不同的控制策略 ) 管理员可解除帐号与用户计算机的绑定对应关系 ( 相当于终端接入审核 ) 管理员可针对单一用户设置不同的加密策略 ( 对需要开启数据加密服务的应用清单针对 特定用户自定义 ) 管理员可以针对不同群组用户设置不同的加密策略 ( 需要开启数据加密服务的应用清单 ) 根据企业组织架构将不同的部门划分成不同的虚拟安全域, 不同的安全域之间进行隔离, 彼此不能打开被加密的文档 如行政部无法打开财务部的加密文档 管理员可以分配或指定用户 用户组归属于某个或多个不同的安全域, 如公司老总或企 业高管拥有所有安全域的权限 管理员可以指定不同的用户或用户组拥有不同的文档加密密级 ( 总共分三级, 普通 机 密 绝密 ), 同安全域内的用户, 高密级权限用户可打开低密级权限用户的加密文档 管理员对外发申请进行审核批准或拒绝审核 8

9 2.5 企业版客户端功能特性 桌面右键对文档进行单独或批量加密操作 桌面右键对文档进行单独或批量解密或解密申请操作 ( 视管理员设置权限而定 ) 开机自动运行并登录客户端 透明对用户保存的文档进行高强度加密处理 用户可透明打开被加密文档 支持多达上百种应用程序的自动透明加解密 ( 视企业版授权类型而定 ) 用户右键修改文档的安全属性 ( 密级 安全域 ) 防止被加密文档在打开状态下内容被复制 打印或截屏 批量查找整个硬盘被加密的文档 批量加密或解密 ( 视管理员设置权限而定 ) 在线及离线均可以正常工作, 不限地域不限物理距离 对文档自动进行备份, 以防意外断电导致的数据丢失或破坏 2.6 红线隐私保护系统企业版优势 云平台管理模式, 企业无需服务端部署成本 ( 硬件服务器成本投入 ) 企业无需对服务端投入额外的人员管理及维护成本 分布式集中管理机制, 不限地域, 不限物理距离, 适合分散式协同办公 众多分支机构 分公司 门店等类型企业的集中管理 被加密文档具备极高的加密强度及安全性 极低的系统资源消耗 (CPU 占用 内存占用 磁盘 IO 占用均可忽略不计 ) 无文件重定向, 无明文解密落地 多因子认证, 多因子参与加密运算 极大降低企业使用成本, 客户端免费, 只按年收取平台服务费及技术支持费用 提供专业技术服务团队对企业客户进行一对一技术指导, 问题处理及 BUG 修正服务 部署实施简单, 小规模企业可以在 1 小时内完成企业版本的部署实施工作 9

10 2.7 红线隐私保护系统企业版网络拓扑结构 拓扑结构说明 : 业务部门彼此能互相打开本部门的加密的文档 ( 公共安全区 ) 财务部门能打开业务部门及财务部门的文档 设计部门能打开业务部门及设计部门的加密文档 总裁办能打开所有部门的加密文档 业务部门无法打开其他部门的加密文档 财务部门无法打开设计部门, 总裁办的加密文档 设计部门无法打开财务部门, 总裁办的加密文档 所有部门均无法打开总裁办的文档 策略分发后可以断网离线运行 2.8 红线隐私保护系统企业版实施简易步骤说明 红线隐私保护系统实施部署相对简易, 只需要极少操作即可完成企业版的部署, 简 单步骤如下 : 访问 在网站导航栏最右边点击 企业入口 注册企业帐号 ( 注意域名是区分不同企业的唯一性的要素, 且在客户端部署第一次登录 10

11 的时候需要该域名 ) 登录企业管理后台 在导航栏点 员工帐号管理, 新建员工帐号 ( 所有用户帐号均由管理人员来建立并分配 ) 设置相应权限及需要保护的应用程序 在企业管理界面顶部下载企业版专用客户端软件, 在需要安装部署的计算机上安装 安装完成后重启计算机 ( 必须 ) 登录员工帐号 ( 企业域名 员工帐号及密码 ), 成功登录后, 后续会自动绑定至该计算机 ( 一个员工帐号对应一台计算机 ) 具体企业版本技术手册请参见如下文档 : 红线隐私保护系统企业版隐私申明 三不原则 1 我们的程序不上传任何用户资料文档至云端 2 我们的程序不会主动收集用户的姓名 邮件 联系方式 地址或个人隐私方面信息 3 我们的程序不收集用户的互联网活动行为或消费习惯等数据 云端存储数据 1 用户登陆及管理密码是以高强度方式加密存放于云端, 用于用户在线登陆认证, 即使泄漏亦无法被他人解密 同样由于特殊的存储设计流程, 即使被加密后的密码数据被恶意替换成攻击者的密文亦无法登录 2 用户计算机硬件信息同样以高强度加密方式变换保存, 用于对用户计算机唯一性进行识别, 当用户更换新的设备后或用户登陆密码被其他途径窃取后, 保证非法用户无法正常获取授权接入企业网络进而获取访问加密文档的权限 3 云端存储用户受保护应用清单列表中的软件记录 我们可能会收集哪些信息 1 用户名 密码 硬件信息 受保护应用清单中的程序唯一识别特征( 所有数据均高强度加密, 在云端存储数据中有详细说明 ) 2 我们可能会收集受保护应用清单类别( 如办公类型软件 图片处理软件等 ) 中同类型应用软件的唯一识别特征, 用于完善我们产品能支持的应用数量 因红线隐私保护系统对应用的合法性, 唯一性识别有苛刻的要求, 为防止伪造, 假冒程序冒充合法授权应用读取用户被加密的文档, 因此我们需要取得应用程序的唯一特征来识别 该操作能有效完善并提升我们对新应用程序的支持度及响应速度 11