数据防泄漏——上海山丽防水墙

luking008

1.外设准入管理模块
        山丽防水墙外设管理模块可以实现对u盘、红外、蓝牙、1394、串口、并口、刻录等等外设的管控和认证，其中，对使用最为普遍的移动数据存储设备的认证和实际可以达到用户最关心的状况：对usb数据存储设备可以达到禁止、只读、读写三种设置，其中经过认证的usb数据存储设备只能在企业内部指定的机器上使用，拿到外边即无法使用，同时还可以设置是否允许未经过认证的usb存储设备是否可以公司内部的机器上使用。更重要的是可以设定对数据存储设备的数据存储、读取进行内容的审计，而不仅仅是log（日志）的审计。

2.透明加密解密模块
    系统主要采用透明加解密技术对机密文件进行保护，所有加解密行为都在后台由系统自动完成，无需用户参与，不改变用户使用习惯。
        山丽防水墙的透明加解密模块不同于一般市面上所见的加密技术。
        市场上所见的加密技术，或者是采用了个钩子（Hook）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加密，市场上许多硬盘如seagate硬盘已经自带硬盘加密，实际上互联网上已经有了这些加密软件的破解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。
        山丽防水墙完全和文件格式无关，山丽防水墙的透明加解密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。
        山丽防水墙的透明加解密和所有存储介质无关，密文在所有介质上均将已密文形式存储，除非设置了转成明文的策略。并且这种策略可以灵活配置，从而可以实现文件在服务器上是明文，而在客户端又自动变成密文的实施需求。
        山丽防水墙的透明加解密和公司已有的系统无关，可以和公司的各种pdm、plm、oa、erp等等系统完全兼容，不影响现有系统的运行。同时还可以实现对文件在这些系统上到底是以密文还是明文形式存在进行客户指定（设置），不管是以明文还是密文形式存在于应用服务器上，均可以限制不安装防水墙的客户端的机器对服务器上的明文资料进行盗窃！
        山丽防水墙透明加解密的技术具有应对未来文件格式的不断发展现实技术！
        山丽防水墙透明加解密模块里面有许多子模块：
透明加密：文档在存储时立即被自动加密，这一过程无须用户指定也不可由用户选择。在访问控制技术中，基于策略的强制访问控制（BLP模型）所制定的保密原则是：“不可向上读，不可往下写”。该保密原则在文档保护系统中的体现是：在授权环境中产生和写入的数据内容不能流入授权环境之外。换而言之，在非授权环境中不能访问到授权环境中写入的数据。

3.权限权限系统模块
        山丽防水墙对文档的权限控制可以实现全面的过程控制：
        1、作者权限控制
        作者产生的文件进行权限控制,如是否允许作者外带,作者文档多是职务发明
        2、同事权限控制
        可以看到别人文档的同事的权限控制,包括各种权限,对资料汇集者意义重大
        3、合作权限控制
        国际分工愈来愈烈,合作伙伴往往不仅仅是自己的,可能也是别人的合作伙伴
        4、客户权限控制
        客户的资料接受人员往往会将您的资料给其他供应商处理,不得不进行防范
        5、数据销毁控制
        硬盘使用各种恢复工具也无法将数据恢复，同时硬盘仍可再次使用
        山丽防水墙对文档的权限控制可以达到相当颗粒度细节的控制：
        只读、（不能进行任何形式的修改和引用）
        写入、（可以编辑）
        打印、（打印控制）
        重命名、（重命名控制）
        删除、（删除控制）
        下载、（只能在服务器上进行编辑或者阅览，拿到本地就无法打开）
        离线。（仅仅能在公司内部[包括虚拟的公司环境]使用，拿回家即使在合法授权的机器上也无法使用，防止离线的拍照或者录像窃取文件）
        从理论上来讲，权限的控制可以达到不受限制。
        对密文的只读、打印等权限进行控制，尤其是打印权限，目前市场上的产品普遍只能控制物理打印或者将物理打印和虚拟打印一并控制，而“山丽网安”首推物理打印和虚拟打印区分控制：对于物理打印，企业可根据需要设置客户端用户是否可以对机密文件进行物理打印；对于虚拟打印，打印出来的文件一样是密文。

4.绿色软件是否可以加密？
可以。
绿色软件的特点是程序本地直接运行，不会在本地建立程序目录，因此也无法提取本地特征。这样，一些和格式有关的软件将无法实现加密，这将是一个大问题。因此，提出了“不知道将来那些和格式有关的厂商如何解决加密的问题”的感叹。目前从技术上来讲，他们只有两条路，或者做成完全和系统无关的硬盘加密（比如dell等笔记本自带的功能），或者做做合格时无关的加密（比如山丽防水墙的透明加密）。

山丽防水墙的加密以程序为识别，同时增加了程序识别的多多种方法供用户自由选择，如dll、DNA提取、Hsan签名。其中DNA签名，是依赖山丽安铁诺防病毒软件中的病毒特征码自动技术。
5.对新安装客户端的机器是否有根据文件类型，批量加密的功能？
可以。
对新安装的客户端的处理有两种方法：
本地执行；
远程执行；
效果：
一次性对某一台或多台客户端机器进行全盘加解密
实现：
基于特殊需要，可以使用工作站端自动加密解密工具将工作站上的所有明文密文或某用户在该工作站上的明文密文进行加密解密。
同时支持解密操作。


正是因为山丽防水墙的透明加密和格式无关，因此可以从用户的适用面上产生最大化，包括需要保护数据库的公司。
6.如何实现软件代码的加密却不影响合法用户的编译？
在满足软件开发类公司上，山丽防水墙的透明加解密有着太大的优势。
代码的编辑、程序的编译本身就是公司程序员工作的必然顺序，山丽防水墙不会做出任何人为的隔断，更具有挑战的是软件开发工具的版本无数，限制版本的方法只会带来员工强烈的不满。
因此，对山丽防水墙和格式无关来说，这个就不会是问题
7.如何保证不破坏文件？
从人员管理角度来讲，透明加密并不会增加和减少人员主动破坏的可能性。但确实存在着用户离职的时候将文件全部删除破坏的严重情况，因此在山丽防水墙的文档权限中，有“防删除”的权限功能，可以防止人员在离职的删除本地或文件服务器上的文件。
从技术角度来讲，任何人员可以将文档改成一个原来程序不认识的格式保存，同时删除原来的格式文件，均会造成格式的不适用而产生文件破坏，这和加密解密本身技术无关。但山丽防水墙本身因为和文件格式无关，可以降低这种更改文件格式产生的破坏的风险。
从偶然性上来讲，数据加密后当打开的时候为乱码的时候如果用户不小心更改数据并原密文保存将增加偶发性的破坏，山丽防水墙在新的版本里面已经增加了在没有权限的情况下提示为打不开没有权限的处理，不再显示为乱码。
从更深层的角度来讲，如果需要，可以增加山丽防水墙数据备份模块。这个模块可以将数据自动备份在响应的服务器上。但在实施中，因为对带宽、空间等提出严重的挑战，因此真正实施中采用了此模块的只是小型用户为主。
从更专业的角度来讲，我们所有的大型用户基本都有自己的备份系统如磁带机等等，客户会将核心的数据备份在磁带机或者NAS上等等，这个时候，我们只要采用可信程序的功能，所有的备份数据均可以明文进行备份，当然也可以密文备份。
从核心的角度来讲，对最最核心的数据，我们采用“只读”权限，这样这些数据被用户引用的时候只能是“只读”权限，无法进行任何的破坏。如丰田去汽车对自己的标准化文档的保护就是这样做的。