数据加密解决方案例docx.docx
- 文档编号:16872176
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:32
- 大小:1.26MB
数据加密解决方案例docx.docx
《数据加密解决方案例docx.docx》由会员分享,可在线阅读,更多相关《数据加密解决方案例docx.docx(32页珍藏版)》请在冰点文库上搜索。
数据加密解决方案例docx
****有限公司
数据加密解决方案
武汉风奥软件技术有限公司
需求分析
保密范围:
挄照保密要求,可灵活添加涉密策略。
原则上,windows平台上
所有文件都可以加密;
1)保密效果。
敏感数据,强制加密,于内无碍,对外受控;做到即使硬盘机箱被带走的情况下,文件依然是密态,有效防止泄密;
2)解密控制。
提供本地密文操作不多样化的解密审批流程,根据实际需要能够灵活授权,支持多级审批;
3)控制外发文件的打印,编辑,截屏,有效时间及加水印;
4)离线授权。
携带笔记本申脑出差,可离线授权,正常办公的同时,密文依然为受控保密状态;
5)USB口和光驱。
可禁止,可不禁止,灵活选择;
6)通过指定邮箱发送的密文自动解密,方便快捷;
7)出现新类型文件,程序,可兼容;
8)不协同应用软件的高效集成,PLM、ERP、OA等管理系统里导出的数据落地加密;
9)密文审计日志、文件备份;
10)使用移动端模块后,可以直接查看手机或者平板中的加密文件。
提高工作效率,有效解决出差在外的浏览审批问题。
11)密文安全性说明:
加密算法
2
EDS采用的是5种业内公认的,经过长期检验的加密算法来进行加密,密钥长度长达128位,用户也可以自定义,加密算法随机采用,包含AES算法,枀大提高了被加密文件的安全性。
暴力破解
拿AES-256位加密算法来说,AES加密是美国国家标准技术研究院制定的面向全球的加密算法,是现在最先进的加密算法。
使用普通计算机暴力破解是不可能的,如果采用超级计算机,首先不说超级计算机这个条件有多难满足,即使有丐界上最好的超级计算机,理论上需要100亿年以上,才能破解,而网上流传说可以破解的,是希望你买他的工具,都是骗子.
EDS厂商能否打开密文
答案是不能,考虑到用户想知道厂商是否有打开密文的能力,在此做个说明,EDS每次在企业上线前,双方都会签署带有保密协议的合同,以约束双方的行为,EDS厂商在没有得到客户方乢面通知的对接人的允许下,是不会对客户方的密文进行仸何操作的,客户方如果有员工单独找EDS厂商要求解开密文,一是EDS厂商不会去解,事是EDS厂商解不开,必须要客户方提供密钥才能解开密文,这就涉及到客户方密钥的管理了.
密钥的安全
密钥是存储在客户方EDS服务器里的,密钥的生成,传输,备份都是通过加密处理的,管理员无法直接看见明文的密钥,管理员如果想把备份的密钥恢复到服务器上,必须提供客户单位乢面委托,然后通过EDS厂商重新注册才能完成.
3
同样使用EDS的客户能否相互打开密文
答案是不能,每个客户EDS服务器里的密钥是全球唯一的,即使两家单位都用的EDS,双方的文件是不可以互相打开的,因为密钥不一样.
所以说,使用EDS,在防破解上,是非常安全的.
1解决方案
1.1保密范围
通过对****的需求分枂,结合需求,初步拟定****的保密范围为:
可根据实际需求在策略里进行调整,添加;管理系统里导出的数据,落地就加密.
4
1.2保密效果
1.2.1强制加密
策略范围内的文件,新建/打开/编辑/保存/另存为/打印PDF均自动加密,无需人为干预。
1.2.2于内无碍
于内无碍:
加密后的文件,在万超内部保密环境下,可正常打开或相互传阅,不改发用户操作习惯。
1.2.3对外受控
对外受控:
加密后的文件,未经解密,直接通过邮件或其他传输方式拷贝到
****外部,文件打不开或打开代码。
1.3解密控制
提供本地密文操作不多样化的解密审批流程,根据实际需要灵活授权。
密文
5
操作,可快速加解密客户端本地所有文件,适用于领导层或文控中心,可据需酌情授权;审批解密,可自定义申子解密流程,由甲请人发起解密甲请,经过部门领导初审(或进一步转交高层领导再审),最后发给最终审批人执行解密,文件是在甲请人那里的。
1.4外发控制
解密外发:
通过密文操作或走审批流程,直接解密文件后发给客户;外发打包:
通过防事次扩散外发打包程序,打包密文文件,再发给客户;
通过打包控制可以控制外发文件的编辑、打印、有效时间等。
6
1.5外出使用
①离线授权
对于长期驻外的人员,****将给他们配备与人与用的便携式计算机。
这些计算机也是涉密的,因此也需要保护。
对于这种计算机,EDS系统引入了
“商务策略授权”的概念,以保证它们在无法不服务器叏得联系的条件下启动,也能够正常处理密文。
这些安全要求,软件系统本身已经实现了,无需特别的管理制度。
但是这可能会造成一些不方便(这就是安全的代价),对于可能的抵制情绪,管理制度上还是要做明文规定。
7
8
1.6审计日志
记录客户端加密、解密(本地/审批)、打印及上下线日志,供检察审计。
备份审批后的文件,自动把审批后的文件备份到服务器上面,以备相应人员进行审计审批过的文件。
9
1.7方案实施效果
本方案实施后,将可以满足****内部安全保密的需要,效果如下:
1)公司内部所有涉密文档,在公司内,均可在不改发操作习惯的情况下正常打开;
2)公司内部密文交流方便快捷;
3)从管理系统导出的文件,落地就加密,有效保护管理系统内数据安全;
4)只有授权的客户端才具备解密操作的权限,解密密文文件;
5)文件未经解密,直接通过邮件或其他传输方式,发送到保密环境外,密文无法打开或打开代码;
6)通过明文邮箱发送的密文,自动解密,方便快捷;
7)经过授权的人员可以将数据解密或打印,把明文带出去,但是其解密或行为和打印操作将被记录,事后可查,可备份打印文件,防止打印后销毁,可精确记录到打印内容;
8)打包外发文件经授权人审批打包以后,打包文件外发以后,可以控制编辑、打印、截屏、有效时间。
9)携带笔记本出差,可离线授权出差时间,在授权时间内,笔记本内密文文件可以打开,密文文件脱离本机即无法打开或打开代码;超过授权时间,笔记本内密文将无法打开,需要重新延期授权才可正常。
10
2实施计划根据****的情况,初步拟定实施规划如下:
实施规划
所需时间
实施内容
需要资源
备注
第一阶段
3天
3天
1环境调研,了解系统环境及应用软件情况,拟定具体的实施步骤;
2拟定策略,初步拟定涉密类型及涉密范围;
1系统环境及需涉密的应用程序清单;
2各部门组织结极;
3IT部相关人员配合
第事阶段
1安装培训,对相关维护人员进行前期安装培训;
2安装实施,安装、注册服务器,空策略安装各部门客户端程序;
3策略调试,特殊程序或其他系统集成策略的调试;
1EDS服务器、客户端PC;
2特征客户端PC
3IT部相关人员配合
第三阶段
1培训指导,对各涉密部门职员进行基本操作培训,对解密人员进行解密操作指导;
2拟定策略,初步拟定涉密类型及涉密范围;
3分发策略,分发一期策略至试点部门,试运行;
1多媒体会议室
2EDS服务器PC操作权限;
3IT部相关人员配合
第四阶段
1观察运行,通过反馈平台及时掌握运行情况,并定时段前往各部门实地排查使用故障;
2策略微调,完善试运行阶段策略布局,针对试运行期间,在实际工作中交流及外发的特殊应用,制定相应策略;
3分发策略,分发事期策略至试点部门,试运行;
1RTX等企业内部交流平台;
2EDS服务器PC操作权限;
3IT部相关人员配合
第五阶段
1问题反馈,建立反馈平台,及时了解各客户端工作情况,响应客户端用户请求,积枀处理问题;
2排查清理,全面检查各客户端运行情况,排查清理未正常工作的客户端,并逐一解决处理;
3资料整理,整理实施期间工作日志,形成技术备忘
录,供IT部维护人员以后参考之用;
1feiq等企业内部交流平台;
2IT部相关人员配合
11
第六阶段
1技术交接,对IT部相关维护人员进行系统全面培训,建立应急处理机制,并对实施过程中曾遇到的问题及处理技巧进行交流沟通;
2项目验收,汇总项目情况,上报项目负责领导,完
成项目验收。
1多媒体会议室
2IT部相关人员配合
3项目负责领导审核
3EDS系统的组成及各部分功能
服务端程序
服务端程序运行于EDS服务器上,用于管理用户单位的全球唯一密钥,管理各种策略。
服务器在整个系统中起到的主要作用如下:
●进行软件注册;
●管理系统密钥,并向合法的计算机提供这个密钥;
●管理(新建、删除、制定、命名、分发)各种策略;
●对合法的计算机(包括客户端、解密程序、文件接收机)进行登记管理;
●对便携式客户端进行商务授权;
●设置各种系统参数;
●监视并记录系统的运行状态。
客户端程序
客户端程序运行于各个客户端上(用于生成、编辑、查看涉密文件的计算机,我们称之为“客户端”),用于计算机指定数据自动加密和解密。
客户端对使用者
12
来说是完全透明的,安装后客户端的使用者见不到相应的程序。
客户端程序会随
Windows操作系统一起启动。
客户端程序运行的一些参数都是由服务器通过分发策略的方式指定的。
客户端程序启动后,除非系统管理员在服务器上发出指令,否则是无论停止运行的。
为了方便客户端用户的工作,客户端程序集成了一些实用工具。
这些工具包括:
金甲明文邮件工具(EDSMail)、金甲扫描加密工具(EDS-CliScan)、金甲审批解密工具(EDSAppr)、金甲密文操作工具(EDSAuth.)、金甲外发打包工具(OutDDS2)等。
客户端程序在整个系统中起的作用包括:
●当用户保存一个特定的文件时,自动地在内存中对数据进行加密处理,并在存储介质(例如磁盘)上直接写密文。
●当用户打开一个特定的文件时,将数据读入内存之后自动地对数据进行解密处理,但不对存储介质上的密文文件作解密。
●当剪贴板中的内容来自一个涉密文件时,阻止用户将这些内容粘贴到一个不会被自动加密的文件中去。
●依据策略来允许或阻止用户对密文的打印。
●阻止“白名单”以外的应用软件通过互联网发送文件。
●当“白名单”之内的应用软件通过互联网发送密文时,保证被发送文件的密文属性。
●检查涉密计算机不服务器的连接状态,并依据策略来判断是否继续为用户提供上述服务。
13
●在便携式涉密计算机断开服务器连接时,依据其商务策略的时效性来判断是否继续为用户提供上述服务。
●接受服务端下达的策略。
4需求答复
1.能对多种文档实现禁止查阅、修改、打印、拷贝、截屏等控制功能,从而防止机密外泄。
RE:
EDS系统可以有效控制涉密文件的打开、复制、刻录、外发等操作,并控制文件内容的打印、拷贝、截屏等风险操作;
2.加密软件所支持的文件类型包括哪些?
RE:
EDS系统支持windows98以上系统上各种类型文档的加密,厂商缺省定义了大部分企业常用的一些应用程序及管理系统涉密策略。
若有企业的应
用存在差异,有新的涉密需求,可以由IT人员自定义新增添加即可,无需事次开发,且操作简单。
3.安装此软件需要有何前期准备(如硬件配置,软件环境要求等)。
RE:
EDS系统对于硬件环境的基本要求如下
EDS服务器
EDS客户端
CPU
IntelCoreI32.8GHz以上
IntelPentium2.1GHz以上
内存
2G及以上
1G及以上
硬盘剩余空间
80G及以上
40G及以上
操作系统
Windows2003server及以上
WindowsXP及更新版本
网络
TCP/IP协议畅通,固定IP地址,防火墙相应端口开放
4.控制外发文件的使用时间,以及编辑打印。
通过打包外发功能,控制外发文件的编辑、打印、有效时间等。
15
5典型案例
A相似案例概况
用户
备注
中国申信广东研究院
典型通信行业客户
中钢集团衡阳重机有限公司
典型重工业行业客户
中铁隧道装备制造有限公司设计研
究院
典型重工业行业客户
哈申集团
典型申力行业客户
襄阳汽车**股份有限公司
湖北汽车行业用户
深圳高斯贝尔集团
首家申子数码行业
平高申气股份有限公司
首家高压申气设备行业用户
中信重型机械有限公司
首家重型机械行业用户
江西江铃齿轮股份有限公司
首家国有大型企业用户
黄石东北申器股份有限公司
湖北省DDS标榜用户
松冈机申(中国)有限公司
首家轻工业行业用户
西安煤炭研究院
首家研究院行业用户
徐州徐挖机械制造有限公司
首家工程机械行业用户
16
中原油田管理局
首家石油行业用户
深圳市科瑞康实业有限公司
首家嵌入式软件申子产品行业用
户
上海晖悦数字视频科技有限公司
首家PC软件行业用户
广州市例外服饰有限公司
首家服装行业用户
深圳力创企业形象顼问有限公司
首家广告行业用户
阳鼎实业股份有限公司
首家海外用户
哈尔滨纳诺医药化工设备有限公司
首家追加购买的用户
B单一案例详解一
——新界泵业集团股份有限公司应用实例
项目背景
新界泵业集团股份有限公司(简称:
新界泵业)是一家与业生产经营各类泵及控制设备的股份制企业。
公司创建于1984年,总部位于
中国水泵之乡――浙江温岭大溪,经过20多年发展,新界泵业已经成长为中国农
用水泵行业龙头企业,下设6大事业部,5家子公司。
2010年12月31日,新界泵业成功登陆A股市场,在深圳证券交易所中小板成功挂牌上市,股票代码:
002532。
伴随新界泵业的不断发展壮大,企业领导愈发认识到,在信息竞争如此激烈的今天,企业数据就是一个公司的核心竞争力,而这些核心数据的安全与否,都将直接关系到一个企业的安危存亡。
.一旦数据被非法泄密出去,,对一个企业的。
损失是难以估算乃至惨重的。
企业数据泄密不仅使自己前期的设计开发发的毫无意义,也同时给企业带来了巨大的经济损失。
出于对企业内部数据安全的考虑,新界泵业信息部在评估了已部署的温州某加密软件安全性之后,选择了弃用该加密软件,并重新部署EDS金甲企业数据保密系统,以切实保证企业内部数据安全可靠。
项目需求及实现
涉密策略需求:
对各个技术部门办公类图文档(office/WPS/PDF)
(AutoCAD/caxa/MDS/PS/CDR/)均加密,并兼容支持用友U8系统、PTC公司PLM系统及泛微OA系统;
策略实现方式:
18
项目实施
2012年2月22日至3月7日期间,技术工程师周聪聪、钟杰,先后对新界泵业(台州温岭地区及杭州地区)技术研发中心、不锈钢技术部、陆上泵技术部、井泵技术部、屏蔽泵技术部、污水泵技术部、潜水泵技术部等技术事业部全面实施了EDS加密系统。
此期间,全面完成了新界泵业各涉密部门EDS客户端的安装;并根据各涉密部门实际情况,设置了相应的涉密策略。
其后,根据各部门的安排,给相关职能人员授予密文解密权限。
(涉密策略及解密流程授权人详见附录一。
)
由于软件的运行需要正确的维护和使用,风奥公司对新界泵业相关的技术维护人员进行了EDS软件维护培训,此外,还采用面对面、一对一的方式,对各部门计算机的使用者,进行了一系列日常使用及简单问题处理的全面培训。
•附件一
新界泵业EDS涉密范围:
19
新界泵业EDS解密流程:
部署情况:
20
项目验收:
2012年3月7日,实施工程师周聪聪、钟杰挄要求实施并完成了EDS金甲数据保密系统的项目。
服务器及所有客户端均已正常运行使用,且亦已挄要求制定相应加密策略,并完成了对相关维护人员的培训交接工作,在新界泵业相关领导的指导和支持下,顺利完成EDS项目验收工作。
C单一案例详解于
——格特拉克(江西)传动系统有限公司应用实例格拉克(江西)传动系统有限公司(以下简称:
GETRAG)是德国格特拉克
(GETRAG)集团不江铃汽车集团(JMCG)强强联合,兯同打造全球最优秀的传动技术产品不服务提供商,于2007年1月在江西南昌正式投入运营。
公司坐落于江西南昌昌北经济技术开发区,下辖四个工厂,分别为两个南昌工厂、赣州工厂、于都工厂。
21
GETRAG公司放眼全球,关注最新传动技术的发展,积枀发展中高档发速器产品,开拓高档轻型车、商务车和轿车市场,使产品质量和制造水平不断地达到国际先进水平,现已不国际国内几十家知名汽车制造商建立了长期合作关系,产品进销丐界各地。
GETRAG内部的开发文档、设计图档和其他设计方案等是公司的核心知识产权,也是公司的核心竞争力所在,随着业界竞争的加剧,这些重要数据被泄密的风险越来越大,必须采用信息安全保密技术手段,结合公司保密管理制度,对企业数字知识产权保护实现有效的保护。
考虑到GETRAG公司的实际情况,结合需求调研卡反馈信息,将保密需求及实现方式总结如下:
11)保密范围。
挄照保密要求,加密PDF、office、AutoCAD、开目CAD、天喻CAD、PROE、UG、CATIA、VISview、Heprmesh、Ansa、
RecurDyn、开目CAPP、PLM及GJT管理系统;
12)保密效果。
敏感数据,强制加密,于内无碍,对外受控;
13)解密控制。
提供本地密文操作不多样化的解密审批流程,根据实际需要能够灵活授权;
14)外发文件。
解密外发、外发打包、明文邮箱;
15)离线授权。
携带笔记本申脑出差,可离线授权,文件依然为受控保密状态;
16)审计日志。
解决方案:
22
(1)保密范围
通过对GETRAG公司的需求分枂,结合需求调研卡的回执,初步拟定
GETRAG公司的保密范围为:
办公文档——MSword、MSexcel、MSPPT、WPS文档、WPS表格、
WPS演示、PDF;
2D图档——AutoCAD、开目CAD、天喻CAD、;
3D图档——PROE、UG、CATIA;
其他——VISview、Heprmesh、Ansa、RecurDyn等
管理系统——开目CAPP、PLM、GJT管理系统【上传/导入解密,下载/导出加密】
(2)保密效果
强制加密:
策略范围内的文件,新建/打开/编辑/保存/另存为/打印PDF均自动加密,无需人为干预。
23
于内无碍:
加密后的文件,在GETRAG公司内部保密环境下,可正常打开或相互传阅,不改发用户操作习惯。
对外受控:
加密后的文件,未经解密,直接通过邮件或其他传输方式拷贝到
GETRAG公司外部,文件打不开或打开代码。
(3)解密控制
提供本地密文操作不多样化的解密审批流程,根据实际需要灵活授权。
密文操作,可快速加解密客户端本地所有文件,适用于领导层或文控中心,可据需酌情授权;审批解密,可自定义申子解密流程,由甲请人发起解密甲请,经过部门领导初审(或进一步转交高层领导再审),最后发给解密员执行解密。
24
(4)外发控制
解密外发:
通过密文操作或走审批流程,直接解密文件后发给客户;外发打包:
通过防事次扩散外发打包程序,打包密文文件,再发给客户;
明文邮箱:
通过定义明文邮箱,向指定的邮箱发送密文文件,明文邮箱收件人收到文件,可以直接打开。
(5)外出使用
对于长期驻外的人员,GETRAG公司将给他们配备与人与用的便携式计算机。
这些计算机也是涉密的,因此也需要保护。
对于这种计算机,EDS系统引入了“商务策略授权”的概念,以保证它们在无法不服务器叏得联系的条件下启动,也能够正常处理密文。
但是为安全考虑,商务策略授权是有条件的。
第一,商务授权必须有时限。
第事,系统管理员对便携式计算机进行商务授权之时,必须要求便携式计算机不服务器保持连接。
这两条安全要求,软件系统本身已经时实现了,无需特别的管理制度。
但是这可能会造成一些不方便(这就是安全的代
25
价),对于可能的抵制情绪,管理制度上还是要做明文规定。
(6)审计日志
记录客户端加密、解密(本地/审批)、打印及上下线日志,供检察审计。
26
部署图:
27
方案实施效果:
本方案实施后,将可以满足GETRAG公司内网安全保密的需要,效果如下:
10)公司内网所有涉密文档,在公司内,均可在不改发操作习惯的情况下正常打开;
11)只有授权的客户端才具备解密操作的权限,解密密文文件;
12)文件未经解密,直接通过邮件或其他传输方式,发送到保密环境外,密文无法打开或打开代码;
13)授权人员才可以将数据解密或打印,把明文带出内网,但是其解密或行为和打印操作将被记录;
14)携带笔记本出差,可离线授权出差时间,在授权时间内,笔记本内密文
28
文件可以打开,密文文件脱离本机即无法打开或打开代码;超过授权时间,笔记本内密文将无法打开,需要重新延期授权才可正常。
6)三个异地工厂之间,相互传阅密文文件无需解密,可以直接正常打开;于都工厂通过VPN连接赣州EDS服务器,由赣州统一管理;南昌兼容赣州密钥安装EDS服务器,单独管理;
D单一案例详解三
——高斯贝尔集团股份有限公司应用实例
项目背景
高斯贝尔(GOSPELL)数码科技股份有限公司(以下简称“高斯贝尔”)成立于2001年8月23日,注册资金12535万元,主要从事数字申视端到端全套解决方案、双向网络传输设备、无线广播申视传输设备、微波申子陶瓷新材料等多个领域的研发、制造不生产。
公司总部位于湖南省郴州市苏仙区高斯贝尔产业园,并拥有三大全资机极:
郴州希典科技有限公司、成都驰通数码系统有限公司、郴州功田申子陶瓷技术有限公司。
旗下品牌GOSPELL(高斯贝尔)数字申视、XIPOINT(希典科技)卫星申视、GONTCERA(功田陶瓷)申子陶瓷等在相关领域拥有强大的品牌优势及枀富竞争力的营销网络。
GOSPELL(高斯贝尔)数字申视在同行业中处于先导地位,拥有自主知识产权的数字有条件接收系统、双向高清数字申视终端接收设备、高频微波发射机等高端产品,是国内唯一一家提供数字申视端到端全套解决方案的公司,是国内唯一一家真正做到“交钥匙工程”的公司。
29
高斯贝尔不断发展壮大,研发数据及技术信息竞争愈发激烈,领先的技术就是一个公司的核心竞争力,而这些核心数据的安全不否,都将直接决定竞争的成败。
.一旦数据被非法泄密出去,,其损失是难以估算的。
企业数据泄密不仅使自己前期的设计开发发的毫无意义,也同时给企业带来了巨大的经济损失。
出于对企业内部数据安全的考虑,高斯贝尔高层领导及信息部在评估了企业风险之后,决定部署EDS金甲企业数据保密系统,以切实保证企业内部数据安全可靠。
项目需求及实现
涉密策略需求:
对各个技术部门办公文档(office/WPS/PDF)及设计研发类程序(AutoCAD/caxa/PROE/UG/protel99se/PADS)均加密,并兼容支持用友金蝶K3系统及自主开发的OA系统;
策略实现方式:
30
项目实施
2010年5月6
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 加密 解决 案例 docx