數(shù)據(jù)安全解決方案

作者：天喻軟件

發(fā)布于： 2022-11-10 14:36

分類：數(shù)據(jù)安全

標(biāo)簽：解決方案數(shù)據(jù)安全解決方案天喻軟件

1.系統(tǒng)概述

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)旨在對(duì)企業(yè)中重要的電子文檔數(shù)據(jù)提供有效的保護(hù)。在技術(shù)上采用先進(jìn)的加密算法對(duì)指定的數(shù)據(jù)進(jìn)行加密，密鑰及核心算法存放于硬件智能卡內(nèi)，不可跟蹤及復(fù)制。加密后的文件在企業(yè)內(nèi)部可正常使用，當(dāng)文件脫離企業(yè)環(huán)境后，由于不能獲得服務(wù)器上的文件密鑰，應(yīng)用程序?qū)o法打開加密數(shù)據(jù)，從而有效的實(shí)現(xiàn)對(duì)加密數(shù)據(jù)的保護(hù)。

（天喻產(chǎn)品數(shù)據(jù)防擴(kuò)散系統(tǒng)界面）

2.系統(tǒng)架構(gòu)

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)采用國(guó)內(nèi)先進(jìn)、國(guó)際通用的軟件架構(gòu)體系和軟件開發(fā)準(zhǔn)則對(duì)產(chǎn)品進(jìn)行開發(fā)和封裝。成型后的產(chǎn)品穩(wěn)定性高，可配置型強(qiáng)，具備良好的擴(kuò)展性和易用性。系統(tǒng)以C/S和B/S相結(jié)合的混合模式提供基于實(shí)時(shí)加密的數(shù)據(jù)加密及應(yīng)用業(yè)務(wù)，系統(tǒng)架構(gòu)模型如下圖所示：

（系統(tǒng)架構(gòu)模型圖示）

3.設(shè)計(jì)模式

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)通過在企業(yè)構(gòu)建安全平臺(tái)來實(shí)現(xiàn)對(duì)企業(yè)核心電子數(shù)據(jù)的全面防護(hù)。通過天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)及相關(guān)產(chǎn)品的部署，企業(yè)內(nèi)的電子數(shù)據(jù)一旦產(chǎn)生，就是安全的加密狀態(tài)，加密后的文件僅能在企業(yè)內(nèi)部流轉(zhuǎn)、使用。若是有出差、離線使用數(shù)據(jù)的需求，需要專人授權(quán)使用；若有對(duì)外交流的需要，則需要專人審核解密；除合法途徑之外的其他方式流出的數(shù)據(jù)（如QQ、U盤拷貝等），一旦數(shù)據(jù)脫離企業(yè)內(nèi)部，自動(dòng)無法使用。

（系統(tǒng)設(shè)計(jì)模式圖示）

4.核心技術(shù)

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)中的文件加密技術(shù)，采用的是底層文件過濾驅(qū)動(dòng)技術(shù)，由內(nèi)核驅(qū)動(dòng)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)、動(dòng)態(tài)加解密。系統(tǒng)工作于Windows API函數(shù)的下層，當(dāng)API函數(shù)對(duì)指定類型保護(hù)數(shù)據(jù)進(jìn)行讀操作時(shí)，系統(tǒng)自動(dòng)將文件解密提交至應(yīng)用程序；當(dāng)API函數(shù)對(duì)指定保護(hù)數(shù)據(jù)進(jìn)入寫操作時(shí)，自動(dòng)將明文進(jìn)行加密，存放于存儲(chǔ)介質(zhì)中。工作在受Windows保護(hù)的內(nèi)核層的文件過濾驅(qū)動(dòng)技術(shù)運(yùn)行速度快，加解密操作穩(wěn)定。

（文件過濾驅(qū)動(dòng)技術(shù)加解密原理示意圖）

此項(xiàng)內(nèi)核驅(qū)動(dòng)加密技術(shù)由天喻軟件自行研制開發(fā)，其穩(wěn)定性、對(duì)文件的處理效率、平臺(tái)兼容性均處于業(yè)界領(lǐng)先水平。

5.系統(tǒng)易用性

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)采用實(shí)時(shí)、動(dòng)態(tài)加解密技術(shù)，確保數(shù)據(jù)始終處于加密狀態(tài)，透明強(qiáng)制的加解密方式不改變數(shù)據(jù)的名稱、圖標(biāo)、存儲(chǔ)位置、修改日期等參數(shù)，用戶使用加密數(shù)據(jù)的方式與未實(shí)施加密之前完全一致，采用本解決方案后，系統(tǒng)后臺(tái)靜默運(yùn)行，用戶無任何感覺。

（數(shù)據(jù)自動(dòng)加密效果圖示）

6.系統(tǒng)兼容性

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)能夠穩(wěn)定支持市面上幾乎所有電子數(shù)據(jù)的加解密處理，能夠兼容Windows全系列操作系統(tǒng)，支持部分Linux、Unix內(nèi)核操作系統(tǒng)的加解密處理，支持Android、iOS移動(dòng)操作系統(tǒng)內(nèi)核的擴(kuò)展應(yīng)用。

解決方案兼容（支持）的軟件列表如下（不限于）：

（軟件兼容性支持列表圖示）

7.系統(tǒng)安全性

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)采用以下技術(shù)手段，有效保障了密鑰及加密數(shù)據(jù)的絕對(duì)安全：

密鑰的產(chǎn)生、計(jì)算過程均采用隨機(jī)算法。
程序密鑰為256位密鑰，可破解性極低。
產(chǎn)品密鑰存放于硬件智能卡（硬件鎖）中，不可追蹤、不可復(fù)制、不可反編譯。
密鑰的獲取過程、傳輸過程、使用過程均再次加密處理，杜絕密鑰的非法獲取。
服務(wù)端采用銀行智能卡級(jí)別的秘鑰存儲(chǔ)機(jī)制。
客戶端采用AES加密算法，網(wǎng)絡(luò)傳輸層采用3DES加密算法。

（系統(tǒng)安全架構(gòu)圖示）

8.泄密途徑控制

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)對(duì)所有可能造成信息流失的方式都提供了完備的解決方案，盡量考慮到所有可能造成信息流失的途徑，屏蔽了諸如另存輸出、剪貼板、打印機(jī)、截屏等各種高危操作，涉密數(shù)據(jù)將始終以密文形式存儲(chǔ)在物理介質(zhì)上，從而能夠有效的防止企業(yè)內(nèi)部涉密信息的流失。

系統(tǒng)屏蔽的可泄密途徑列舉如下：（支持但不僅限于）

允許或禁止程序間通過剪切板拷貝/粘貼傳遞數(shù)據(jù)；
允許或禁止客戶端進(jìn)行打印輸出數(shù)據(jù)；
允許或禁止程序間通過OLE動(dòng)作進(jìn)行數(shù)據(jù)交互；
能夠輔助管控USB存儲(chǔ)設(shè)備（控制USB存儲(chǔ)設(shè)備的禁用、只讀、讀寫狀態(tài)），并且不影響USB鼠標(biāo)和鍵盤的正常工作；
能夠限制截屏、錄像等獲取數(shù)據(jù)的行為；
能夠杜絕客戶端的非法卸載；
能夠禁止用戶非法結(jié)束客戶端進(jìn)程；

9.日志審計(jì)

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)提供詳細(xì)、完備的日志管理功能，記錄所有的配置修改、權(quán)限修改、流程申請(qǐng)、審批、在線離線加密解密、在線離線打印等操作的詳細(xì)信息，管理人員可根據(jù)系統(tǒng)提供的多種查詢方式方便的查詢、審計(jì)及泄密事件追溯。

（系統(tǒng)日志審計(jì)界面圖示）

（流程解密量統(tǒng)計(jì)圖示）

10.與業(yè)務(wù)系統(tǒng)集成

天喻軟件數(shù)據(jù)安全部可以根據(jù)企業(yè)的特定需求，實(shí)現(xiàn)與管理系統(tǒng)集成環(huán)境下的定制開發(fā)。定制開發(fā)后，能夠和企業(yè)的OA、檔案系統(tǒng)、ERP系統(tǒng)等各種專業(yè)的業(yè)務(wù)系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)中重要數(shù)據(jù)、重要文件的安全防護(hù)。

若企業(yè)有著更為深入的集成需求，天喻數(shù)據(jù)安全部可根據(jù)企業(yè)的實(shí)際需求，提供專用的接口和API，供企業(yè)進(jìn)行自行調(diào)用，進(jìn)而達(dá)到企業(yè)所需要的深度集成應(yīng)用的目的。

通過與企業(yè)的OA、ERP、檔案、PDM等系統(tǒng)的應(yīng)用集成，集成后，能夠有效保證系統(tǒng)中的文檔數(shù)據(jù)安全，實(shí)現(xiàn)上傳解密、下載加密、準(zhǔn)入控制等功能。文檔安全管理與業(yè)務(wù)系統(tǒng)集成后，對(duì)業(yè)務(wù)系統(tǒng)中重要的文檔進(jìn)行加密防護(hù)與授權(quán)，保證涉密數(shù)據(jù)即使從業(yè)務(wù)系統(tǒng)中下載、簽出至用戶本地，也是安全的加密狀態(tài)，將業(yè)務(wù)系統(tǒng)中文檔的安全區(qū)域擴(kuò)展至用戶桌面。

11.外發(fā)模塊

當(dāng)用戶需要將數(shù)據(jù)提供給合作單位（接收單位）時(shí)，先使用外發(fā)模塊將數(shù)據(jù)進(jìn)行安全處理，對(duì)數(shù)據(jù)的使用權(quán)限、使用期限、使用方式等進(jìn)行安全管控設(shè)定。設(shè)定成功后，將處理完成的數(shù)據(jù)及InteDOC瀏覽器（綠色文件，簡(jiǎn)單小巧）共同提供給數(shù)據(jù)接收方。數(shù)據(jù)接收方收到數(shù)據(jù)后，使用InteDOC瀏覽器對(duì)接收到的數(shù)據(jù)進(jìn)行控制范圍內(nèi)的查看、使用。

對(duì)外發(fā)出去的數(shù)據(jù)，系統(tǒng)支持三種驗(yàn)證方式：

密碼驗(yàn)證：接收單位打開外發(fā)文件時(shí)，必須輸入正確密碼才能打開瀏覽。
MAC 地址綁定：外發(fā)文件必須在指定的機(jī)器上，才能正常打開瀏覽。
硬件鎖綁定：外發(fā)文件必須在有USB硬件加密鎖的機(jī)器上，才能打開使用。

對(duì)外發(fā)出去的數(shù)據(jù)權(quán)限，系統(tǒng)支持五種權(quán)限限制方式：

使用次數(shù)：限定文件的打開次數(shù)。
使用時(shí)間：限定文件的使用時(shí)間。
過期后自動(dòng)刪除文件：當(dāng)文件超過使用次數(shù)或使用時(shí)間后，自動(dòng)刪除文件。
允許打印：是否允許文件打印。
允許復(fù)制/粘貼：是否允許將文件中的內(nèi)容進(jìn)行復(fù)制、粘貼。

同時(shí)，系統(tǒng)還提供以下附帶功能：

外發(fā)文件中含有發(fā)送單位名稱和接收單位名稱，即使文件遺失，也可追查。
外發(fā)文件中可以嵌入發(fā)送單位自定義的水印底紋，即使拍照，也有原單位的痕跡。
外發(fā)文件無法另存、保存，無法輸出成其他數(shù)據(jù)格式。

（外發(fā)權(quán)限模板配置界面）

12.備份模塊

使用備份功能，可以設(shè)置備份周期及備份策略，系統(tǒng)自動(dòng)、按需備份用戶終端的數(shù)據(jù)，必要時(shí)快捷方便地恢復(fù)數(shù)據(jù)。解決因而惡意刪除文件、存儲(chǔ)介質(zhì)損壞、病毒感染等情況下引發(fā)的數(shù)據(jù)丟失問題。

（備份模塊工作機(jī)制圖示）

13.移動(dòng)端APP

天喻數(shù)據(jù)防擴(kuò)散系統(tǒng)移動(dòng)應(yīng)用App，旨在解決移動(dòng)終端的密文瀏覽問題和流程審批問題，讓企業(yè)用戶能夠方便的在移動(dòng)設(shè)備上瀏覽加密文件，快捷的進(jìn)行流程處理，讓數(shù)據(jù)安全的應(yīng)用，從計(jì)算機(jī)終端延伸到移動(dòng)終端。

密文瀏覽

使用KeyFile，可以直接瀏覽加密的文件，也可以在第三方程序中（如郵件、OA等）啟動(dòng)KeyFile，用以打開應(yīng)用程序中的加密文件。

（密文瀏覽圖示）

流程審批

使用FlowMng，完成解密相關(guān)流程在移動(dòng)終端上的應(yīng)用，隨時(shí)隨地完成解密流程的申請(qǐng)、審核。

（流程審批圖示）

14.典型客戶

秉承安全至上、服務(wù)至上、聲譽(yù)至上的責(zé)任使命，天喻軟件不斷改進(jìn)管理、革新技術(shù)、貼近市場(chǎng)?，F(xiàn)如今，天喻數(shù)據(jù)方案解決方案已經(jīng)廣泛應(yīng)用于機(jī)電、儀表、汽車、鍋爐、冶金、水利、化工、航空等各行業(yè)，在機(jī)械制造行業(yè)的市場(chǎng)占有率穩(wěn)居第一，為企業(yè)的電子數(shù)據(jù)安全管理起到了至關(guān)重要的保護(hù)作用。

受益于天喻數(shù)據(jù)安全解決方案，企業(yè)的電子數(shù)據(jù)安全得到了有效保障，機(jī)密電子數(shù)據(jù)外泄情況已得到明顯遏制，有效捍衛(wèi)了企業(yè)的知識(shí)產(chǎn)權(quán)，提升了企業(yè)在市場(chǎng)環(huán)境中的競(jìng)爭(zhēng)優(yōu)勢(shì)。產(chǎn)品的部分成功案例如下（包括但不限于）：