一��、背景
通常,信息安全防護體系是由服務器���、網絡和終端三個環節組成,任何一個環節的安全缺失都會使安全防護形同虛設�。也就是說����,服務端�、網絡和終端三個環節必須形成安全閉環。
然而,在信息安全體系中,*薄弱環節是終端安全防護。目前�����,終端安全防護的技術手段極為有限�����,終端存在諸多安全隱患�����,其中*大的問題是終端普遍存在數據泄露風險。
二、終端數據泄漏的主要途徑
由于終端設備的多樣性�、計算機系統的多功能性���,網絡的開放性,數據的多樣性和應用場景的復雜性��,終端數據泄漏手段和途徑極其多樣����,傳統安全措施似乎黔驢技窮,越來越難以應付。終端數據泄漏主要表現在:
三����、信息泄漏事件主要來自內部
據資料顯示��,近些年來�,在所有的的泄密事件中�,大部分是“內部泄密”,而不是“外部竊密”。據統計�����,80%以上的信息泄露事件是由內部員工數據泄露導致的�����,如圖:
由此可見����,防內部人員數據泄漏才是信息安全解決方案的重中之重����,也就是說,如果信息安全體系中缺失終端數據泄漏防護,尤其是內部人員的數據泄漏防護,那就是不完整的方案����,存在極大安全隱患�����。
軟件公司的程序源代碼���、工程設計公司的圖紙文件�����、制造企業的工藝和配方����、軍工企業涉及的軍事秘密等 �����,一旦流失到企業外部����、競爭對手或敵對勢力手里���,將造成無法估量的損失����。那么怎樣才能使這些文件不被流失呢?
四����、隱形加密技術概述
隱形加密技術是一種保護單位知識產權的技術方法��,能夠對文件全過程實施自動加密保護。所謂隱形加密��,具有強制���、自動��、實時、動態�、隱形���、無感和無損的加密特點�����,在文件編輯和使用過程中,加密和解密是自動進行的��,無需用戶干預�����,用戶實際上是無知覺的��。隱形解密不需要明文過渡���,在磁盤上不生成明文�����。加密的文件一旦離開使用環境,無法打開或打開是亂碼��。隱形加密從根源上解決文檔安全問題��。
五����、隱形加密技術原理
當使用者打開文件時���,系統對加密文件自動解密��,當編輯保存文件時自動對文件加密。對于涉密進程的運行中產生的文件(包括但不限于臨時文件����、隨機文件�、導出文件等)均被自動加密�。這樣無論另存為什么樣的文件名稱,轉換為什么樣的文件格式,都會受到嚴格的加密保護,即使使用某些文件恢復工具也無法得到加密文檔的明文內容。文件在磁盤上始終是密文。一旦離開使用環境,加密的文件無法打開或打開是亂碼�,從而起到保護文件內容的效果����。
其特點是:
1����、自動強制加密和解密。使用者對文件的加密和解密過程無知覺。
2�、不影響原來操作習慣�。不改變原來的文件操作規則����。
3、環境內文件交流無礙。在內部環境里無需作任何處理便能交流文件。
4、一旦離開環境即失效�。加密的文件未經授權拷貝或外發出去�����,打不開或者打開是亂碼。
5�����、文件分級管理�。高級別的可以訪問低密級的文件,低密級的不能訪問高密級的文件。
6、未經授權解密����,即使文檔作者本人也無法獲取文檔內容。
六���、隱形加密系統的基本功能
數據防泄漏系統用于企業的數字知識產權的保護,防止企業的重要數據不外泄不流失��。數據防泄露系統具備以下基本功能:
1��、杜絕一切途徑泄密
電子文檔在內部如常使用���,無需手工加解密��;在外無法使用。
從根本上防止資料外泄���,加密的文件在環境內正常使用,離開環境即失效�����。
2���、文檔分組管理
可將網絡分為不同的工作組(例如按部門劃分)�,可設置組內密文互通或不通不同工作組���,密文不能相互訪問����。
3�����、文檔交流管理
交流管理組用于不同工作組之間進行受控的密文交換
只有參與該交流組的人員��,才能訪問該交流組的文件
交流組可隨需創建�����,使得跨部門的項目工作可以非常方便的進行開展
4�����、文件等級管理
根據行政級別劃分不同的等級組
高級別組可審閱低級別組密文,低級別組不能打開高級別組的密文
5����、文檔外發管理
**文檔在外打開密碼/打開次數/過期時間
非常方便密文的外出辦公所需�����,可攜帶文檔外出工作,時刻保證文檔只存于受保護密盤上
6�、文檔解密管理
為管理員提供專用的解密工具���。解密工具要能識別UUID����,只能解密自己公司的密文����,不能解密其他公司的密文。
7�、密文流轉范圍
加密的文件�����,原則上不同電腦之間不能互解,但可以定義一定范圍內的電腦可以互解���。更進一步地��,流轉范圍可以定義為:本設備���、只本人�����、班團內、部門內、單位內�、集團內��。流轉范圍在軟件安裝激活時確定。
8、UUID設計說明
每個用戶單位擁有全球**性UUID識別碼�,并作為文件加密因子�,不同用戶單位之間的密文不能互解�;解密工具以UUID為識別依據,只能解密自己單位的密文��,不能解密其他單位的密文�����;每個用戶單位內部���,密文可以在**范圍內互通��,無障礙流轉。
9.安裝無痕
用戶看不到找不到安裝路徑,安裝目錄不可見,即使用專業工具找到了安裝目錄��,也不可訪問��。
10.防反安裝
不留安裝信息�,無法通過控制面板去卸載,卸載專用工具也找不到安裝信息�;對安裝目錄做了訪問控制����,防篡改刪除����。
11.強制啟動保護
采用了一種新的強制啟動方法��,用后臺服務進程實現開機自動啟動�����,啟動不留痕,且在早于殺毒前啟動,因此不會被殺毒攔截�����。
12.算法保護
客戶端只加密�,不解密,軟件里無解密函數���,無法利用客戶端軟件來破解解密,理論上增加了破解難度。
軟件可以在線體驗�����,體驗網址:http://sesoffice.cn
或者關注微信公眾號體驗也可以�,微信公眾號: SesOffice
