Sophos数据加密解决方案
XX
笔记本电脑数据安全方案
目录
1综述1
1.1笔记本电脑安全需求1
1.2解决思路1
1.3方案概述1
2XX安全需求分析2
2.1用户数据防护层次划分2
2.2用户安全等级划分2
2.3用户安全预期效果3
3笔记本电脑安全方案2
3.1Utimaco Safeguard数据安全套件(企业版)2
3.1.1Safeguard Easy笔记本数据安全软件3
3.1.2Safeguard PrivateDisk个人数据安全软件14
3.1.3Safeguard Advance Security外设数据安全软件17
1综述
1.1笔记本电脑安全需求
为了方便移动办公和终端管理,XX选择 Thinkpad Notepad电脑替代员工的台式机电脑。笔记本电脑带来便利性的同时,也给安全管理带来了新的挑战。
1)数据安全和信息安全问题
从原有的台式机换代到移动笔记本电脑,员工在享受到移动办公的便利的同时,也提高了对笔记本中数据的安全担忧。在移动办公的环境中
(机场、酒店、餐馆、会场等),笔记本丢失、硬盘失窃、未授权的用户
访问、屏幕偷窥等安全威胁的发生概率大大上升。在笔记本失窃或被恶意
访问的情况下,如何保证笔记本电脑内的数据安全和信息安全呢?
2)上网安全问题
笔记本电脑的移动性,使得员工可以远程办公,同时也允许员工自由的访问互联网(在机场、酒店、餐馆、会场、个人住所等)。由于这些
场所的网络没有像公司网络一样的安全检查和保护机制,员工的笔记本电
脑常常会被感染,不仅影响了员工自身的工作使用,也会由于接入公司网
络进而影响公司网络安全。如何保证笔记本电脑的上网安全呢?
1.2解决思路
XX通过与安全服务团队的多次沟通,对笔记本电脑的安全挑战进行了分析。参照自身企业的全球笔记本电脑管理经验,从解决方案的效果、技术和市场成熟度、管理模式等多方面,深入讨论了业界几种主流的解决办法。大家认为,在近期,XX迫切需要加强以下几个方面的笔记本安全保护工作。
1)笔记本电脑安全技术方案。从笔记本物理安全、数据安全和信息安全这3个方面对笔记本电脑实施增强的安全保护措施。
2)笔记本电脑安全管理规范和服务流程。通过完善原有的电脑安全管理规范和服务流程,进一步适应笔记本电脑的管理和支持需求。
3)笔记本电脑用户的安全意识教育。通过开展安全宣导和意识教育,提高员工的安全意识。
1.3方案概述
为XX特别设计了以下产品解决方案:
1)笔记本电脑数据安全保护方案:建议在每台笔记本电脑上安装Safeguard数据安全软件,保护笔记本电脑的全硬盘和个人文件目录,减少针对公司数据和个人数据的安全威胁。通过集中的策略配置,为不同安全等级的用户配置不同的数据保密策略。
2XX安全需求分析
2.1用户数据防护层次划分
我们依照前面安全技术解决思路分析XX的安全需求,首先是针对XX公司的终端数据安全防护进行一个层次性的划分,可细分为下列几个层次:
●数据层面:
笔记本电脑将取代台式机成为XX用户的主要工作设备。尽管在物理层面已经考虑到采用指纹、笔记本锁等物理安全保护工具进行保护,但是只能保证失窃率会有所降低,而一旦失窃的事件发生后,企业的敏感资料也将一并外泄。所以,我们在方案中重点为XX设计了硬盘加密的解决办法,做到数据可以丢失,但是绝不会外泄。
●信息层面
第一层次:信息是否可任意进出。
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,XX的敏感数据也几乎可以运用各项外围设备任意加载/携出,从而造成信息安全灾难。
因此,外围设备可否使用,敏感信息可否加载/携出,是信息安全防护的第一层关卡。
第二层次:资料加密与保密。
有时,有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。因此对于传递给别人的数据进行加密处理,是信息防护的第二层关卡。
第三层次:群组共享资料加密防护。
XX是一个大的企业,通常存在多个团队合作某个项目,但敏感性数据亦是团队成员(Intranet team, Extranet partner team)可以共同存取如何防范非合法人员数据窃取,而合法人员适当存取。这是一个非常重要的议题。对于共享数据加密防护,并合法存取,即为数据防护的第三层关卡。
2.2用户安全等级划分
我们划分出的数据层次是适合XX公司的所有人员的,而每个人员由于其工作性质和所处位置的不同需要执行不同的安全策略。
我们根据XX用户的工作实际情况,将用户安全等级划分成为三类:基层员工、中层管理者和高层管理者。然后通过安全等级划分继而为各层人员指定详细的安全策略。
这种用户安全等级划分是通过比较合理的角度,来保护XX日常工作中信息资产,通过使用加密技术以保护敏感或重要机密信息,避免组织间交换数据时遭遗失、窜改、或误用。
这三个用户安全等级层面应存在于一个共同的最基本的安全需求之上,即:
●储存在文件服务器端的共享数据必须要有加密
●储存在PC端的数据必须要有加密
●必须管控到PC端的移动介质,避免数据随意被拷贝出去
●被拷贝与传送的文件必须要有加密,避免被任意散播
●员工行为必须有Audit Log
●尽量不影响用户的正常操作
对于基层员工(包括外包员工和临时员工),应强调对于员工个人相关工作产生的文档进行必要的加密保护,同时应严格控制移动介质的使用和访问共享文件服务器的权限问题。
对于中层管理者(包括项目成员、特殊权限的员工),在保护自己工作文件的基础上,应该对整个硬盘进行完整加密,以确保笔记本一旦丢失后,数据无法被未授权用户读取,不可能泄漏出去。建议采用如下的安全策略及要求:
对于高层管理者来说,安全策略的主要目的就是保护数据安全,所以要求对文件和硬盘进行完整加密。建议采用如下的安全策略及要求:
2.3用户安全预期效果
通过对安全策略的执行,XX用户在基础安全上可以达到以下安全目标:
●所有员工的笔记本有物理保护措施,减少失窃的概率
●所有员工计算机的a:\ ~ z:\ 磁盘驱动器的可受到加密保护
●可控制存入磁盘驱动器的数据必须加密,有权限的User/ Group Users需透过
PKI认证才可以解密存取
●所有加密密钥的管理与数据紧急复原机制可由公司安全主管完全掌控,同时安
全主管和系统主管权限分离,避免被一个人完全掌控的可能。
●网络传输过程,及备份的数据都是保持加密状态
●违规使用禁用装置的行为会同步于Audit Server保留一份纪录
●不会改变使用者作业环境与使用习惯
下表是根据安全级别对用户分别定义后,对相对应的策略效果进行了比对。
附图:采用Utimaco Safeguard对硬盘加密后的性能对比表
3笔记本电脑安全方案
3.1Utimaco Safeguard数据安全套件(企业版)
数据安全保护需求,可细分下列三个层次:
第一层次:移动存储外设的数据安全保护
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,企业敏感数据也几乎可以运用各项外围设备(数字相机亦可以储存资料)任意加载/携出。
外围设备可否使用,敏感数据(或软件)可否加载/携出,是数据安全的第一层关卡。
第二层次:笔记本电脑内资料保密。
笔记型电脑已经正逐步替代PC成为XX员工的主要工作平台,几乎每台设备内都有企业的敏感数据在内。笔记本电脑带来了移动办公的便利性,也成为偷窃者或商业间谍的主要偷窃目标,笔记本电脑的失窃率几乎逐年高升,企业敏感资料也一并外泄。
笔记本电脑加密处理,是数据安全的第二层关卡。
第三层次:个人资料加密。
有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。
移动式设备内数据加密处理,是数据安全的第三层关卡。
针对以上3个层次的数据安全保护需求,提出了完整的解决方案。
第一层次:外围设备数据安全管理系统。
建议采用SafeGuard Advanced Security外设数据安全保护软件。
第二层次:笔记本电脑内数据加密系统。
建议针对笔记本电脑采用SafeGuard Easy数据加密软件,保护笔记本电脑内的所有数据。针对PDA设备采用SafeGuard PDA数据加密软件。
第三层次:个人资料加密。
建议采用SafeGuard PrivateDisk,为个人文件目录提供额外保护。
3.1.1Safeguard Easy笔记本数据安全软件
SafeGuard Easy提供PC或 Notebook之全硬盘加密防护措施,不论您在何处(在办公室、路上、家中…)使用计算机设备,或是此设备被移至何处(遗失、被窃取),计算机中之数据始终保持在加密状态下,非经合法认证,无法得到其中之数据。
Utimaco SafeGuard Easy已行销全球超过一百七十万套,通过Common Criteria EAL3之认证,非常容易安装和使用,几乎没有售后服务的需求,适合快速大量之部署,是您保护计算机资产(e-assets)的最佳选择。
SafeGuard Easy主要有以下四个功能:
●全硬盘加密
●开机前认证
●开机防护
●集中式管理
3.1.1.1全硬盘加密
全硬盘式加密处理是SafeGuard Easy 的基本功能,以计算机拥有人设定的加密密钥(encryption key)和加密方式(如:AES 128bit or 256bit,3DES)将数据做加密防护,存取数据时必须有加密密钥能解开数据内容。
SafeGuard Easy不仅可针对本机磁盘做加密,同时也支持磁盘片,ZIP或USB等移动式设备之加密处理,防止设备遗失时数据外泄。
3.1.1.2开机前认证
SafeGuard Easy建立一独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。SafeGuard Easy另一项功能是可设定密码输入之间隔时间(例如:十分钟),当密码输入错误超过数次限制时,必须等待此间隔时间,才接受密码的再次输入,这样可以避免“字典攻击法”或“暴力入侵”之发生。
SafeGuard Easy也支持双因子是认证方式,如Smartcard or Token Card,或者是指纹辨识系统或者是储存有使用者凭证(Certificate)之令牌,强化认证之机制。
3.1.1.3开机防护
在一般状况下,开机时、操作系统未启动前,其保护程序也就尚未启动。这时,最常遭到开机病毒(磁盘开机)之入侵,尤其是针对Master Boot
Record(MBR),而造成档案或驱动程序被删除、禁止执行。
因此,SafeGuard Easy提供下列二项功能:
1)强迫以硬盘开机-禁止以磁盘或CD-ROM开机,如此,非法者不能以有问题的开机方式取得管理者的权限,存取所有的数据。
2)MBR防护-SafeGuard Easy安装后,会先留一份正常MBR的备份,一旦开机时,MBR被更动过,会以此备份之MBR来开机,避免开机病毒
之入侵。
3.1.1.3.1集中式管理
SafeGuard Easy支持企业大量部署时之安全策略集中管理功能,达到快速且方便管理的目的。
SafeGuard Easy可将使用者权限分成下列5个等级:
●SYSTEM:最高权限管理者。拥有管理SafeGuard Easy 的最高权限,
通常是为企业的安全主管(Security Officer)或安全管理员(Security
ADM),共可以建立并产生政策设定数据文件加以执行。在发生状况时(软件或硬件毁损),有能力可以将数据复原。通常建议其密码储存在Token中,比较安全。
●SGADMIN:本地管理者。在大型企业运用时,可将政策管理权限分给
几个本地管理者,各自进行其相关部门的管理工作,但是他们不能更改加密的参数(如:加密方法和加密密钥)。
NWADMIN:网站或操作系统管理者。日常作业,在处理被SafeGuard Easy保护的计算机时,有此权限的管理员,可以使用
Challenge/Response方式,以“one-time password”方式认证可登入
client端,进行日常维护作业,但不能是长期的使用者。
HELPDESK:信息服务人员。拥有此权限的人,可以用
Challenge/Response方式执行密码重置以协助忘记密码的使用者或产生NWADMIN要用的“one time password”。此功能可协助减轻系统管
理者的负担。
USER:没有管理者权限。此为一般使用者的预设权限。
3.1.1.4安装部署方式
SafeGuard Easy可作预先设定(pre-configured)非常容易自动安装和部署,即使是当初使用者,都不需系统管理员的协助。
在Microsoft Windows的环境下,SafeGuard Easy支持Microsoft Installer,在使用者不知情可轻易的完成安装工作。通常是用以下两种方式进行:1)产生Microsoft Installer file,不作其它特殊的设定。
2)进入Specific Setting中作调整,可操作手动方式或以Microsoft Installer辅助工作ORCA进行。例如:如图12在“property”字段中设定SafeGuard Easy设定文件的路径,下图13中,将“Feature”字段设为“will be installed ”系统就会自动执行安装程序。
3.1.1.5中央控制台
SafeGuard Easy一旦安装妥善几乎不需要管理和维护,如果需要,也可透过中央控制台连接至SafeGuard Easy数据库(可置于同一主机上,也可与中控台分开,置于不同的机器),作各项的管理工作。
3.1.1.6紧急事件处理方式
紧急情况一:用户忘记密码
一旦忘记密码,就无法开启计算机,SafeGuard Easy提供Response Code Wizard,通过三个自我检测的步骤(图15-图19),系统管理员可将产生的Response Code,电话通知或以短信方式传给使用者,使用者即可取得新的密码。
紧急情况二:SafeGuard Easy软件损坏
SafeGuard Easy采取PBA(Pre-Boot Authentication)保护方式,一旦存于SafeGuard Easy软件的磁盘区域毁损,SafeGuard Easy无法正常运作,计算机即无法启动,为预防此事发生,您必须先准备好SafeGuard Easy Kernel的备份文件(大约60KB~300KB,如图21~图22或是图23),以此备份将系统回复。但须注意,此备份文件是针对指定的计算机(如:PC“WKS-0815”)才有作用,无法用在别的计算机上。
3.1.1.7产品优点
在安全和成本的评估下,运用SafeGuard Easy保护企业重要的信息资产是最佳的选择。以下就不同的层面来分析其优点:
→对于用户而言
几乎不用教育训练。使用者几乎没有感觉其存在。
(完整版)工资表存储加密数据格式的方案
工资表存储加密数据格式的方案: 关键的要求: 1、数据是以加密的形式存储于表中的,即使数据库管理员通过后台代码也不能查询到 明文数据 2、同一个员工的工资数据可能存在多个人都需要查看的问题。如:A员工的工资,事 业部总经理B、副总经理C、人力资源分管负责人D和他的部门经理E都需要能看 到。 整体方案:将工资数据分成两部分:需要加密的和不需要加密的,需要加密的部分给每一个可以查看该数据的人员一份拷贝,该拷贝使用查看人员自己的密码加密后存放在数据库中,只有使用查看人员的密码解密后才能够使用。 具体过程: 1、基于用户输入的短语,密码和系统自动创建的唯一标识生成一个对称密钥,并将短语、 密码、唯一标识保存到用户计算机的文件中,以后凭此三项信息恢复该密钥。用户需要自行备份此文件,如果文件丢失,该用户的数据不能解密,只能由别的用户重新分发一份给他。 短语:用来作为对称密钥的种子 密码:用于给密钥加锁,要使用此密钥解密数据时,必须要使用此密码打开该密钥后才能使用。 唯一标识:用于在系统中唯一地标识一个对称密钥,由系统在恢复对称密钥时使用。 对称密钥用于加密和解密数据。 2、创建证书,证书用于在数据分发的过程中对数据进行加密,防止数据被非法截取。 3、需加密数据的录入:需加密的数据由专门的人员录入系统(通常是财务部张素勤),录 入的同时即加密存储。录入完成后使用专用分发工具将数据用查看人员的证书公钥分别加密后,作为文件存储到录入人员的电脑上,由录入人员在系统外分发给不同的查看人员。 4、查看人员收到文件后,使用专门的上传工具将数据上传到服务器中,此时使用证书私钥 解密数据后,使用查看用户的对称密钥加密,再将数据存到表中。 5、使用数据时,统一先用对称密钥解密才能使用。 6、使用的对称密钥全部为临时的,在用户登录时创建,在用户连接关闭时由数据库自动删 除。在整个生存周期中通过其他连接的用户都不能使用该密钥(由Sql 2005 保证) 方案的优点:录入数据的人员不需要知道查看数据人员的密钥信息,查看数据的人员能够独立的保护自己的密码。一份数据多人持有拷贝,降低了密码丢失导致的数据丢失风险。 方案的缺点: 1、分发数据比较麻烦(如果只有一个人录入的话,可以将密码交给录入的人,可以绕过)。 2、如果数据有修改,而查看用户没有及时上传的话,每个人看到的数据不一致(可以通 过技术手段减轻)。
信息系统安全方案(加密机制)
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
加密实施方案
加密实施方案 数据保密需求 传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏以及对病毒的防范,对于企业网络内部的信息泄漏,却没有引起足够的重视。内部信息的泄漏包;如内部人员泄密、其他未授权人员直接接入内部网络导致的泄密。显然,对于企业内部的信息泄密,传统手段显然无法起到有效的预防和控制作用。 美新微纳收购美国Xbow WSN业务后,大量的核心源代码、设计图纸、电路原理图以及算法都是公司的重要信息资产,必须需要严格的管理和控制。同时新开发项目的核心信息的安全管理都是企业安全管理工作的重要内容。以下方案是通过数据加密的方法对公司的核心机密信息进行安全保护。 数据加密办法 一、信息加密系统数据管理办法 系统分为三层架构,服务器、管理机、客户机组成。 加密系统架构示意图 1.服务器
服务器主要功能: 管理根密钥。服务端管理加密狗中的根密钥信息,以此产生全球唯一的密钥,并分 发给各个管理端,客户端用以解密文件; 自动升级功能,通过服务端可以导入最新的升级包,通过自动下发策略可以实现自 动升级加密环境; 注册、管理管理端,企业中所有的管理机需要在服务端进行注册并分配权限;注册 管理机、加密管理机器; 监控管理机的工作状态,汇总管理机的工作日志,可以随时调用查看; 备份、恢复数据库功能,提供手动进行数据库备份,恢复功能,一旦服务器出现故 障可以随时恢复保证运行不影响工作; 配置管理机的脱机策略。服务器具有设置管理机的脱机时间功能,在设置了脱机时 间后,管理机和服务器未连接的状态下,管理机能正常运行的时间限制; 设置卸载码。设置客户端、管理机卸载时的授权码,如果授权码不能正确即使有安 装程序也无法卸载程序。 自定义密钥。客户可自行设置私有密钥,增加安全性。 备用服务器。提供主服务器无法正常工作的应急机制,可保证系统的正常工作 2.管理机 管理机主要功能 客户机注册管理。企业中所有客户机需要统一在管理机上进行注册,方能运行; 解密文件并记录日志,根据服务器的授权,管理机可以解密权限范围内的加密文件,与此同时记录下来解密文件的日志信息; 管理客户机策略。 系统内置约300类常用软件加密策略; 是否允许用户脱机使用及脱机使用时间; 是否允许用户进行打印操作,并可对使用的打印机类型进行控制(主要用于控 制各类虚拟打印机); 是否允许用户进行拷屏操作;
数据加密方案
数据加密方案
一、什么是数据加密 1、数据加密的定义 数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 2、加密方式分类 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为对称密钥和非对称密钥两种。 对称密钥:加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种
方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。 对称加密 对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而如今仍广泛被采用。 DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。 非对称密钥:非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同,因而可以将一个密钥公开,而将另一个密钥保密,同样可以起到加密的作用。
全方位的数据保密解决方案
北京朗天鑫业信息工程技术有限公司Chinasec全方位的数据保密解决方案 ` 北京朗天鑫业信息工程技术有限公司 2011年8月
北京朗天鑫业信息工程技术有限公司 一、Chinasec平台各系统功能简介 C hinasecTM(安元TM)可信网络安全平台系列产品是基于内网安全和可信计算 理论研发的内网安全管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,实现对内网中用户、计算机和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。 ChinasecTM(安元TM)可信网络安全平台系列产品是在ChinasecTM(安元TM)可信网络安全平台的基础上,由六个系统组成,分别是Chinasec可信网络认证系统(TIS)、Chinasec可信网络保密系统(VCN)、Chinasec可信网络监控系统(MGT)、Chinasec 可信数据管理系统(DMS)、Chinasec可信应用保护系统(APS)和 Chinasec可信移 动存储设备管理系统(RSM)。这六个系统均采用模块化设计,根据安全机制的需求将 功能打包成产品系统,各系统作为可信安全产品进行单独使用,同时又可以根据用户特殊场景应用和需求进行灵活组合成多种数据保密解决方案。 ?可信网络认证系统(TIS):终端操作系统认证加固与管理(可结合AD域、CA 统一管理); ?可信网络保密系统(VCN):硬盘加密、通信信道加密、逻辑虚拟子网划分; ?可信网络监控系统(MGT):操作行为、网络行为审计,终端软硬件资源使用、 网络访问管理; ?可信移动存储设备管理系统(RSM):外来移动存储设备区别管理,内部办公 设备注册使用; ?可信数据管理系统(DMS):基于模式切换实现对同一计算机办公与非办公状态 的区别性控制管理; ?可信应用保护系统(APS):精确定位应用系统(B/S架构,如OA、CRM、PDM 等)泄密风险,制定专属数据安全防护体系。 二、Chinasec全方位的数据保密解决方案 ?终端数据保密
数据安全加密保护方案
数据安全加密保护方案 数据泄露事件而引起的浪潮,已经在不停的冲刷企业内部筑起的数据安全堤坝。在国内甚至全球,数据安全已经成为了急需解决的重点问题,数据防泄密也不 止一次两次被个人及企业提及关注。很多人在说,却也不是很懂。数据防泄密 系统到底是什么?数据防泄密技术真能有效保护数据安全吗?数据防泄密能防 哪些泄密? 数据防泄密是通过一定的技术手段,例如加密技术,防止企业的重要数据或信 息资产被内部内鬼窃取或者外部网络攻击而流出。工作中,文档数据的流通包 含括创建、存储、使用和传输等几个主要过程。数据防泄密系统就是保护企业 的机密信息不被非法存储、使用和传输。做到文档数据的全生命周期管控,全 程管控信息流通的各个环节,企业数据安全就受到严密的保护。 从这个意义上说,数据防泄密系统是一个全方位的体系。在这个体系中,数据 全程处于保护状态,一切对数据的操作都会被加密控制。形象的说,数据被加 上一个透明的外壳。数据在"壳"里自由流动。未经许可,里面的数据出不来, 外面的人拿不到。 数据防泄密系统的功能很多,能防范的泄密也很多。用红线防泄密系统以下一 些案例来详细说明。 1 防止窃取和泄密红线防泄密系统以数据加密为基础。日常所有类型的文件,都能被加密。加密过的文档,未经许可及对应权限即无法打开,即使被拷贝走 打开也是密文显示,无法查看真实内容。无论内部人员或外部入侵都无法造成 数据泄密。 2 防止越权访问管理员通过权限控制,能精确控制人员对文件的访问、编辑(包括复制、截屏、打印)权限,同时划分文件密级,有效防止越权访问。常 见的通过U盘拷贝、邮件发送等方式的泄露手段都将无用武之地。 3 防止二次扩散企业内部文档数据在创建后即被强制自动加密,采用透明加密技术,可自由设置所支持的自动透明加解密应用,在文档数据需要外发时,需 申请管理员审批解密。防止二次扩散。
五种常用的数据加密方法
五种常用的数据加密方法.txt22真诚是美酒,年份越久越醇香浓型;真诚是焰火,在高处绽放才愈是美丽;真诚是鲜花,送之于人手有余香。一颗孤独的心需要爱的滋润;一颗冰冷的心需要友谊的温暖;一颗绝望的心需要力量的托慰;一颗苍白的心需要真诚的帮助;一颗充满戒备关闭的门是多么需要真诚这一把钥匙打开呀!每台电脑的硬盘中都会有一些不适合公开的隐私或机密文件,如个人照片或客户资料之类的东西。在上网的时候,这些信息很容易被黑客窃取并非法利用。解决这个问题的根本办法就是对重要文件加密,下面介绍五种常见的加密办法。加密方法一: 利用组策略工具,把存放隐私资料的硬盘分区设置为不可访问。具体方法:首先在开始菜单中选择“运行”,输入 gpedit.msc,回车,打开组策略配置窗口。选择“用户配置”->“管理模板”->“Windows 资源管理器”,双击右边的“防止从“我的电脑”访问驱动器”,选择“已启用”,然后在“选择下列组合中的一个”的下拉组合框中选择你希望限制的驱动器,点击确定就可以了。 这时,如果你双击试图打开被限制的驱动器,将会出现错误对话框,提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”。这样就可以防止大部分黑客程序和病毒侵犯你的隐私了。绝大多数磁盘加密软件的功能都是利用这个小技巧实现的。这种加密方法比较实用,但是其缺点在于安全系数很低。厉害一点的电脑高手或者病毒程序通常都知道怎么修改组策略,他们也可以把用户设置的组策略限制取消掉。因此这种加密方法不太适合对保密强度要求较高的用户。对于一般的用户,这种加密方法还是有用的。 加密方法二:
利用注册表中的设置,把某些驱动器设置为隐藏。隐藏驱动器方法如下: 在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer中新建一个DWORD值,命名为NoDrives,并为它赋上相应的值。例如想隐藏驱动器C,就赋上十进制的4(注意一定要在赋值对话框中设置为十进制的4)。如果我们新建的NoDrives想隐藏A、B、C三个驱动器,那么只需要将A、B、C 驱动器所对应的DWORD值加起来就可以了。同样的,如果我们需要隐藏D、F、G三个驱动器,那么NoDrives就应该赋值为8+32+64=104。怎么样,应该明白了如何隐藏对应的驱动器吧。目前大部分磁盘隐藏软件的功能都是利用这个小技巧实现的。隐藏之后,WIndows下面就看不见这个驱动器了,就不用担心别人偷窥你的隐私了。 但这仅仅是一种只能防君子,不能防小人的加密方法。因为一个电脑高手很可能知道这个技巧,病毒就更不用说了,病毒编写者肯定也知道这个技巧。只要把注册表改回来,隐藏的驱动器就又回来了。虽然加密强度低,但如果只是对付一下自己的小孩和其他的菜鸟,这种方法也足够了。 加密方法三: 网络上介绍加密方法一和加密方法二的知识性文章已经很多,已经为大家所熟悉了。但是加密方法三却较少有人知道。专家就在这里告诉大家一个秘密:利用Windows自带的“磁盘管理”组件也可以实现硬盘隐藏! 具体操作步骤如下:右键“我的电脑”->“管理”,打开“计算机管理”配置窗口。选择“存储”->“磁盘管理”,选定你希望隐藏的驱动器,右键选择“更改驱动器名和路径”,然后在出现的对话框中选择“删除”即可。很多用户在这里不
数据安全解决方案(DOC)
绿盾信息安全管理软件 解决方案 广东南方数码科技有限公司 2013年3月 ?版权所有·南方数码科技有限公司
一、背景简介 (4) 二、现状 (4) 三、绿盾简介 (5) 3.1系统架构 (5) 3.2系统概述 (5) 3.3绿盾主要功能 (6) 四、绿盾功能介绍 (6) 1、文件自动加密 (6) 1.1 文件自动加密 (6) 1.2文件外发途径管理 (7) 1.3文件审批流程 (8) 1.4文件自动备份 (8) 1.5离线管理 (8) 1.6终端操作员管理 (9) 2外网安全管理 (10) 2.1网页浏览监控 (10) 2.2上网规则 (10) 2.3 流量统计 (10) 2.4 邮件内容监控 (10) 3、内网安全管理 (11) 3.1屏幕监控 (11) 3.2实时日志 (11) 3.3聊天内容记录 (11) 3.4程序窗口变化记录 (11) 3.5文件操作日志 (11) 3.6应用程序限制 (11) 3.7远程操作 (12) 3.8资源管理器 (12) 4、设备限制 (12) 5、USB存储设备认证 (12)
五、绿盾优势 (12) 1、产品优势 (12) 2、功能优势 (13) 2.1高强度的加密体系 (13) 2.2完全透明的文件自动、实时加密 (13) 2.3文件外发管理功能 (13) 2.4灵活的自定义加密策略 (14) 2.5强大的文件备份功能 (14) 2.6全面的内网管理功能 (14) 2.7良好的平台兼容性 (14) 3、技术优势 (14) 3.1驱动层加密技术 (14) 3.2自主研发性能优越的数据库 (15) 3.3可自定义的受控程序 (15) 4、实施优势 (16) 六、服务体系 (16) 1、技术支持服务内容 (16) 2、响应时间 (16) 3、维护 (16)
数据加密技术及解决方案
数据加密技术及解决方案 市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。 前言 随着信息化的高速发展,人们对信息安全的需求接踵而至,人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险,内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。 市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。 传统数据加密技术分析 信息安全传统的老三样(防火墙、入侵检测、防病毒)成为了企事业单位网络建设的基础架构,已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密等技术。 在新型安全产品的队列中,主机监控主要采用外围围追堵截的技术方案,虽然对信息安全有一定的提高,但是因为产品自身依赖于操作系统,对数据自身没有有效的安全防护,所以存在着诸多安全漏洞,例如:最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走,而且不留任何痕迹;此技术更多的可以理解为企业资产管理软件,单一的产品无法满足用户对信息安全的要求。 文档加密是现今信息安全防护的主力军,采用透明加解密技术,对数据进行强制加密,不改变用户原有的使用习惯;此技术对数据自身加密,不管是脱离操作系统,还是非法脱离安全环境,用户数据自身都是安全的,对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。 当今主流的两大数据加密技术 我们所能常见到的主要就是磁盘加密和驱动级解密技术: 全盘加密技术是主要是对磁盘进行全盘加密,并且采用主机监控、防水墙等其他防护手段进行整体防护,磁盘加密主要为用户提供一个安全的运行环境,数据自身未进行加密,操作系统一旦启动完毕,数据自身在硬盘上以明文形式存在,主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长,造成项目的实施周期也较长,用户一般无法忍耐;磁盘加密技术是对磁盘进行全盘加密,一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情,正常一块500G的硬盘解密一次所需时间需要3-4个小时;磁盘加密技术相对来讲真正要做到全盘加密目前还不是非常成熟,尤其是对系统盘的保护,目前市面上的主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制,大家知道操作系统的版本不断升级,微软自身的安全机制越来越高,人们对系统的控制力度越来越低,尤其黑客技术层层攀高,一旦防护体系被打破,所有一切将暴露无疑。另外,磁盘加密技术是对全盘的信息进行安全管控,其中包括系统文件,对系统的效率性能将大大影响。 驱动级技术是目前信息加密的主流技术,采用进程+后缀的方式进行安全防护,用户可以根据企事业单位的实际情况灵活配置,对重要的数据进行强制加密,大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进
数据泄露防护解决方案
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
数据加密方法及原理介绍
数据加密方法及原理介绍 一,加密术语 ■加密 ◇透过数学公式运算,使文件或数据模糊化,将容易识别的明文变成不可识别的密文 ◇用于秘密通讯或安全存放文件及数据 ■解密 ◇为加密的反运算 ◇将已模糊化的文件或数据还原,由密文还原出明文 ■密钥 ◇是加密/解密运算过程中的一个参数,实际上就是一组随机的字符串 二,加密方法 1,对称式加密 ◆使用同一把密钥对数据进行加密和解密,又称对称密钥(Symmetric Key) 或(Secret Key) ◆进行加密通信前需要将密钥先传送给对方,或者双方通过某种密钥交换方法得到一个对称密钥 ◆缺点:破解相对较容易 ◆优点:加密/解密运算相对简单,耗用运算较少,加密/解密效率高 ◆常见算法:40Bits~128Bits ●DES,3DES,AES,RC2,RC4等 2,非对称式加密(也称为公钥/私钥加密) ◆公钥加密主要用于身份认证和密钥交换.公钥加密,也被称为"不对称加密法",即加解密过程需要两把不同的密钥,一把用来产生数字签名和加密数据, 另一把用来验证数字签名和对数据进行解密. ◆使用公钥加密法,每个用户拥有一个密钥对,其中私钥仅为其个人所知, 公钥则可分发给任意需要与之进行加密通信的人.例如:A 想要发送加密信息给B,则 A 需要用 B 的公钥加密信息,之后只有 B 才能用他的私钥对该加密信息进行解密. 虽然密钥对中两把钥匙彼此相关, 但要想从其中一把来推导出另一把, 以目前计算机的运算能力来看,这种做法几乎完全不现实.因此,在这种加密法中,公钥可以广为分发,而私钥则需要仔细地妥善保管. ◆双方使用"不同密钥"执行加密/解密工作 ◆又称为不对称密钥(Asymmetric Key) ,由一对公钥(Public Key)和私钥(Private Key)构成一个密钥对 ◆密钥对具有单向性(One Way Function)以及不可推导性.公钥可以对外公开或传给通讯过程的另一方,私钥不可泄露必须由自己妥善保管,采用公钥加密的数据只能通过私钥解密,采用私钥加密的数据也只能通过公钥来解密.所谓有不可推导性是指通过公钥几乎是不可能推导出对方的私钥的, 一般情况下都是采用公钥来加密,私钥用来解密及数字签名等 ◆密钥的保管 ●公钥可传送给需要进行安全通信的计算机或用户 ●私钥必须由自己好好保管,不可泄露 ◆缺点:加密/解密复杂,耗用较多运算,速度慢,效率相对较低
数据加密方法及原理介绍
数据加密方法及原理介绍 一、加密术语 ■加密 ◇透过数学公式运算,使文件或数据模糊化,将容易识别的明文变成不可识别的密文 ◇用于秘密通讯或安全存放文件及数据 ■解密 ◇为加密的反运算 ◇将已模糊化的文件或数据还原,由密文还原出明文 ■密钥 ◇是加密/解密运算过程中的一个参数,实际上就是一组随机的字符串 二、加密方法 1、对称式加密 ◆使用同一把密钥对数据进行加密和解密,又称对称密钥(Symmetric Key)或(Secret Key) ◆进行加密通信前需要将密钥先传送给对方,或者双方通过某种密钥交换方法得到一个对称密钥 ◆缺点:破解相对较容易 ◆优点:加密/解密运算相对简单,耗用运算较少,加密/解密效率高 ◆常见算法:40Bits~128Bits ●DES、3DES、AES、RC2、RC4等 2、非对称式加密(也称为公钥/私钥加密) ◆I公钥加密主要用于身份认证和密钥交换。公钥加密,也被称为"不对称加密法",即加解密过程需要两把不同的密钥,一把用来产生数字签名和加密数据,另一把用来验证数字签名和对数据进行解密。 ◆使用公钥加密法,每个用户拥有一个密钥对,其中私钥仅为其个人所知,公钥则可分发给任意需要与之进行加密通信的人。例如:A想要发送加密信息给
B,则A需要用B的公钥加密信息,之后只有B才能用他的私钥对该加密信息进行解密。虽然密钥对中两把钥匙彼此相关,但要想从其中一把来推导出另一把,以目前计算机的运算能力来看,这种做法几乎完全不现实。因此,在这种加密法中,公钥可以广为分发,而私钥则需要仔细地妥善保管。 ◆双方使用“不同密钥”执行加密/解密工作 ◆又称为不对称密钥(Asymmetric Key),由一对公钥(Public Key)和私钥(Private Key)构成一个密钥对 ◆密钥对具有单向性(One Way Function)以及不可推导性。公钥可以对外公开或传给通讯过程的另一方,私钥不可泄露必须由自己妥善保管,采用公钥加密的数据只能通过私钥解密,采用私钥加密的数据也只能通过公钥来解密。所谓有不可推导性是指通过公钥几乎是不可能推导出对方的私钥的,一般情况下都是采用公钥来加密,私钥用来解密及数字签名等 ◆密钥的保管 ●公钥可传送给需要进行安全通信的计算机或用户 ●私钥必须由自己好好保管,不可泄露 ◆缺点:加密/解密复杂,耗用较多运算,速度慢,效率相对较低 ◆优点:破解困难,安全性高,目前还没有发现公钥算法被破解的情况 ◆常见算法:512 bits~4096 bits ●DH算法(Diffie-Hellman):非常典型的一种公钥算法,IPSec中普通使用DH算法 ●RSA(Rivest-Shamir-Aldeman由这三个人共同发明的一种安全性极高的公钥算法)现在的SSL安全通信中普通采用RSA算法来进行生成通信双方最终用于数据加密和解密的对称密钥、数字签名等方面 ◆非对称(公钥)加密算法原理介绍 本节以DH算法为例对非对称(公钥)加密算法的原理进行一个通俗、简单的简述,目的在于帮助大家了解非对称加密算法的基本工作原理,以及如何通过该算法巧妙的得出一个通信双方最终用来对数据进行加密/解密的共享密钥(对称密钥)。
信息内容加密方案
信息内容加密方案 1. 加密技术 所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。 同时,硬件加密技术基于软件加密,但是提供了硬件如USBkey等。 1.1. 密钥加密技术 密钥技术提供的加密服务可以保证在开放式环境中网络传输的安全。通常大量使用的两种密钥加密技术是:私用密钥(对称加密)和公共密钥(非对称加密)。 1.1.1. 私用密钥 在私用密钥机制中,信息采用发送方和接收方保存的私有的密钥进行加密。这种系统假定双方已经通过一些人工方法交换了密钥,并且采用的密钥交换方式并不危及安全性。 需要对加密和解密使用相同密钥的加密算法。由于其速度,对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。 对称式数据加密的方式的工作原理如图。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥实际上是一种算法,通信发送方使用这种算法加密数据,接收方在意同样的算法解密数据。 因此对称式加密本身不是安全的。 1.1. 2. 公共密钥 公共密钥机制为每个用户产生两个相关的密钥。一个公开,另一个私有。如果某人想给你发送消息,他(她)用你的公开密钥对信息加密。当收到信息后,你可以用私存的密钥对信息解密。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。 公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
(完整版)数据加密方法
数据加密方法 据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。下面我们将分别介绍简单加密方法、对称算法、公钥算法和PGP的应用。 1.简单的加密方法:换位和置换 换位和置换(transposition and substitution ciphers)是两种主要的编码方法,是组成最简单的密码基础。换位很像是一种字母游戏,打乱字母的顺序,并设法用这些打乱的字母组成一个单词。在换位密码中,数据本身并没有改变,它只是被安排成另一种不同的格式,有许多种不同的置换密码,有一种是用凯撒大帝的名字Julias Caesar命名的,即凯撒密码。它的原理是每一个字母都用其前面的第三个字母代替,如果到了最后那个字母,则又从头开始算。字母可以被在它前面的第n个字母所代替,在凯撒的密码中n就是3。 2.基于密钥的密码算法 这种算法通常有两类:对称算法和公开密钥算法。 (1)对称算法 对称算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。大多数对称算法中,加、解密的密钥是相同的,这些算法也称为秘密密钥算法或单密钥算法。它要求发送者和接收者在安全通信之前,商定一个密钥。算法的安全性依赖于密钥,只要通信需要保密,密钥就必须保密。 对称算法又分为两类:分组算法和序列算法,两者区别在于分组算法是对一个大的明文数据块(分组)进行运算;序列算法是对明文中单个位(或字节)进行运算。对称算法体制的发展趋势将以分组密码为重点,着名的对称密码算法有: 1)DES(Data Encryption Standard)数据加密标准 最着名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)是由IBM公司在70年代发展起来的,该标准于1977年由美国国家标准局颁布,主要用于民用敏感信息的保护,后被国际标准化组织接受作为国际标准。DES主要采用替换和移位的方法,使用56位密钥每次处理64位数据,运算速度快,易于用软件实现,也适合在专用芯片上实现。DES是一种世界公认的好的加密算法,自它问世以来经受住了许多科学家的研究和破译,曾为全球贸易、金融等部门提供了可靠的通信安全保障。但它也有明显的缺点,密钥太短,有56位。目前已有许多DES被破译的报道,因此为了提高安全性,DES又有了新的发展。比如:三重DES 使用双密钥加密的方法,即使用两个56 位的密钥k1、k2,发送方用k1 加密,k2 解密,再使用k1加密。接收方则使用k1解密,k2加密,再使用k1解密,其效果相当于将密钥的长度增加到112位。还有三重DES的变形算法,使用三个独立密钥,相当于密钥长度增加到168位等。 2)IDEA(International Data Encryption Algorithm)国际数据加密算法
【解决方案】--关于政府加密解决方案
前言 2010年4月29日修订的《中华人民共和国保守国家保密法》, 要求保密与信息公开并重,政府部门急需加强数据防泄密保护措施,保护国家秘密的安全。 目前政府的网络分为接入Internet网络和政务专网两个部分,它们之间物理隔离。其中接入Internet网络部署多种应用系统,泄密途径无处不在;政务专网由于属于可信任网,一直以来对安全防护的重视程度较低。政府部门普遍在信息安全这块薄弱,泄密隐患严重。 政府电脑上存储着大量的政府重要机密信息,但是所有文件均是明文分散存储在办公人员电脑上,任何人可以随意拷贝和外发,安全性得不到保障;一些机密级别较高的公文,内部人员都有权限查看,越权访问时有发生;另外,政府单位与外界其他单位进行信息交互时,通常以U 盘作为媒介传递数据,移动存储介质的使用缺乏规范化管理,如果仅仅依靠单位的制度,而缺乏有效的技术手段,往往造成泄密事件频发。 需求分析 政府机构作为国家的职能机关从事的行业性质都是跟国家紧密联系的,所涉及信息都是机密性,现存在如下方面对政府机构信息安全造成威胁: ·内部文件明文存储,办公人员可以随意将文件拷贝泄密; ·公文无法限定访问人员、访问权限(如:打印)和期限; ·电脑存放公文成为保密管理死角,可以任意打印和拷贝; ·个别办公人员安全保密意识不强,造成无意识文件泄密; ·泄密事件的发生依靠单位的制度,缺乏有效的技术手段。 解决方案 依据2010年4月29日修订的《中华人民共和国保守国家秘密法》,通过驱动级加密技术,对数据源头进行控制,为政府机构信息安全提出针对性的安全解决方案,做到:
1.单位内文件透明加密 采用Windows内核的文件过滤驱动实现透明加密与解密,对用户完全透明,用户打开文件、编辑文件和平常一样,不影响用户操作习惯。同时由于在文件读写的时候动态加密与解密,不产生临时文件,因此基本不影响速度。 如果加密文件通过QQ、电子邮件、移动存储设备等手段流转到单位授权范围以外(政府外部),那么打开时会显示乱码,无法正常阅读或使用,通过加密软件保障数据安全。 2.控制内部公文二次扩散 为了防止内部公文的二次扩散,支持对内部公文的制作和使用做到指定人员、指定电脑、指定权限、指定期限。 ·公文制作:公文制作人设定水印警示、公文密级、具体访问人员、访问权限、访问期限; ·公文访问:被授权人员经身份认证后,在授予的权限(比如:禁止打印、禁止截屏、禁止复印、禁止编辑、阅读次数、过期自动销毁)和期限时间内访问; ·公文回收:经单位授权的人员才有权将内部公文回收为原公文。
大数据安全解决方案
大数据安全解决方案 CHT100-MG国密读写模块支持国家密码管理局指定的对称密码算法、非对称密码算法和杂凑算法(SM1和SM7),同时支持DES、RSA等国际通用密码算法;模块自带SM7、PSAM 安全模块,密钥运算由SM7及PSAM安全模块独立完成。该系列芯片集成度高、安全性强、接口丰富、加解密速度快、功耗低,具有极高的性价比。针对该模块提供完整的密钥管理系统解决方案,支持各种密钥的生成机制和加密算法,并将生成的密钥存储在具有密钥导出功能的CPU智能卡,即PSAM卡中,可应用于对安全性能高的场合,如公共安全、金融安全、电子政务等安全领域。我们具备一流的研发团队,提供全系列产品的定制合作开发。 典型案例:如今RFID门禁系统在我们日常生活中随处可见,而近年来国家重要部门、金融机构、军事单位等高级别重要门禁系统应用需求呈现不断增长的态势。由于目前所广泛应用的RFID门禁系统存在着严重的安全漏洞,国家密码管理局根据国家1998年第273文件精神以及国家安全需要,向中央与国家机关印发了《关于请协助做好IC卡系统密码管理工作的函》,向各省(区、市)密码管理部门印发了《关于加强IC卡系统密码管理工作的通知》等文件。2009年4月《重要门禁系统密码应用指南》对已建重要RFID电子门禁系统改造和升级,及新建重要RFID门禁系统安全提出了具体要求,并为达到该安全要求给出了相关的密码应用方式、方法指南。因此,将SM7国密算法纳入到门禁系统中,无疑又为门禁应用的安全提供了重要保障。 融合高科在国家密码管理局的指导下,提出了具体的整体解决方案,并能符合国家密码管理要求的重要RFID电子门禁系统SM7密码安全方案。 方案中的关键产品是支持SM7分组密码算法的非接触逻辑加密卡芯片和门禁读头中的安全模块CHT100-MG。 本方案适用于以下两种情况: 1) 新建重要门禁系统的设计与实现; 2) 密码系统未经过国家密码管理局审批的重要门禁系统的改造升级。 1. 系统构成 本方案采用基于SM7算法的非接触逻辑加密卡作为门禁卡。系统构成如图1所示。 图1 采用基于SM7算法的非接触逻辑加密卡的重大门禁系统示意图 2. 密码系统概述 基于我国SM7密码算法的重要RFID门禁系统涉及应用子系统、密钥管理及发卡子系统,如图2所示。 图2 基于SM7密码算法的密码系统 本方案采用国家密码管理局指定的SM7分组加密算法进行密钥分散,实现一卡一密;采用国家密码管理局指定的SM7分组加密算法进行门禁卡与门禁读卡器之间的身份鉴别。 3. 应用子系统 应用子系统中由门禁卡、门禁读卡器和后台管理系统构成,通过各设备内的密码模块对系统提供密码安全保护。其原理框图如图3所示。 图3 基于SM7的非接式触逻辑加密卡门禁系统原理框图 4.1 安全需求和对应算法:
数据安全设计处理方案
数据安全处理设计方案 一、说明: 为保证税务数据的存储安全,保障数据的访问安全,对数据库的用户采取监控机制,分布式处理各种应用类型的数据,特采取三层式数据库连接机制。 二、作用机理: 1、对于整个系统而言,均采用统一的用户名称、用户密码进行登陆。 这个阶段的登陆主要用于获取数据库的对应访问用户、密码及苴对应访问权 限。 2、登陆成功后,读取用户本地机的注册信息、密码校验信息,然后 到通用用户对应的数据表中去读取对应的记录。该记录主要为新的用户名和 密码。 3、获取对应权限、用户和密码后,断开数据库连接,然后按新的数 据库用户和密码进行连接。 4、连接成功后,开始个人用户的登陆。 三、核心内容: 该安全方案的核心内容为:三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容: 第一层:通用用户方式登陆。对于通用用户而言,所有用户均只有一个表的访问权限,并且对该表只能读取和修改。 第二层:本地注册(或安装)信息的读取和专用数据库用户密码的对应获取。根据安装类型,获取对应的(数拯库)用户和密码,此用户一般有多个表的操作权限。 第三层:断开通用连接,以新的用户和密码进行登陆。登陆成功后,再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当前较为流行的基数数据加密机制,主要方式为:采用数据基数数组方式进行加密与解密。变动加解密机制时,只需修改对应的基数位置或基数值即可。实现方式简单方便,而解密则极为困难。 四、数据库设计: 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表
数据内容类似,主要保存类用户信息。 其主要结构为: 五、程序流程设汁:
数据加密解决方案(例).docx
****有限公司 数据加密解决方案 武汉风奥软件技术有限公司
需求分析 保密范围:挄照保密要求,可灵活添加涉密策略。原则上,windows平台上所有文件都可以加密; 1)保密效果。敏感数据,强制加密,于内无碍,对外受控;做到即使硬盘 机箱被带走的情况下,文件依然是密态,有效防止泄密; 2)解密控制。提供本地密文操作不多样化的解密审批流程,根据实际需要 能够灵活授权,支持多级审批; 3)控制外发文件的打印,编辑,截屏,有效时间及加水印; 4)离线授权。携带笔记本申脑出差,可离线授权,正常办公的同时,密文依 然为受控保密状态; 5)USB 口和光驱。可禁止,可不禁止,灵活选择; 6)通过指定邮箱发送的密文自动解密,方便快捷; 7)出现新类型文件,程序,可兼容; 8)不协同应用软件的高效集成,PLM、ERP、OA 等管理系统里导出的数 据落地加密; 9)密文审计日志、文件备份; 10)使用移动端模块后,可以直接查看手机或者平板中的加密文件。提高工 作效率,有效解决出差在外的浏览审批问题。 11)密文安全性说明: 加密算法 2
EDS 采用的是 5 种业内公认的,经过长期检验的加密算法来进行加密,密钥长度长达 128 位,用户也可以自定义,加密算法随机采用,包含 AES 算法,枀大提高了被加密文件的安全性。 暴力破解 拿AES-256 位加密算法来说, AES 加密是美国国家标准技术研究院制定的面向全球的加密算法,是现在最先进的加密算法。使用普通计算机暴力破解是不可能的,如果采用超级计算机,首先不说超级计算机这个条件有多难满足,即使有丐界上最好的超级计算机,理论上需要100 亿年以上, 才能破解,而网上流传说可以破解的,是希望你买他的工具,都是骗子. EDS 厂商能否打开密文 答案是不能,考虑到用户想知道厂商是否有打开密文的能力,在此做个说明,EDS 每次在企业上线前,双方都会签署带有保密协议的合同,以约束双方的行为,EDS 厂商在没有得到客户方乢面通知的对接人的允许下,是不会对客户方的密文进行仸何操作的,客户方如果有员工单独找 EDS 厂商要求解开密文, 一是EDS 厂商不会去解,事是EDS 厂商解不开,必须要客户方提供密钥才能解开密文,这就涉及到客户方密钥的管理了. 密钥的安全 密钥是存储在客户方EDS 服务器里的,密钥的生成,传输,备份都是通过加密处理的,管理员无法直接看见明文的密钥,管理员如果想把备份的密钥恢复到服务器上,必须提供客户单位乢面委托,然后通过EDS 厂商重新注册才能完成. 3