文档透明加解密解决方案 1、保障文档安全,对生成重要文档的客户端启用文档透明加解密功能。 (1)、强制透明加密 通过在用户计算机上部署客户端,IP-guard能对需要保护的电子文档进行强制性的加密,合法用户使用时自动解密,整个过程完全自动并且不影响用户原有的使用习惯。 采用高强度加密技术,对文档进行强制透明加密,使得无论何时何地文档都以密文形式存在。 提供自定义密钥和选择加密算法。 在授信环境中,文档能自动解密,丝毫不影响用户原有的使用习惯;在非授信环境中,加密文档则无法正常打开和使用。 在加密文档的合法使用过程中默认禁止截屏、打印等操作,或者剪切、拖拽加密文档内容到QQ、Email等可能造成泄密的应用 (2)、内部权限控制 对于多部门多层级的组织,IP-guard引入了分部门分级别的权限控制机制,根据文档所属部门和重要程度贴上标签,用户对不同标签的文档的访问权限的集合组合成其特有的内部文档使用权限。 根据文档的重要程度不同,可将加密文档划归不同的安全区域和级别,以便让不同部门和职位的用户使用,建立分部门分级别的保密机制。 用户可灵活调整文档的区域和级别,对重要文档可采取提高其级别的方法来禁止普通用户的使用。 默认情况下,不允许离线使用加密文档。必要时可单独设置用户离线时能使用的加密软件和使用权限,如只读、禁止复制、编辑、打印等文档操作。 (3)、可靠的防灾机制 运用备用服务器机制,应对各种硬件及网络故障,保证系统持续不断的稳定运行。文档备用服务器和紧急模式的启用,保证文档在加密过程中的安全。 2、保证文档在服务器上的使用正常,对上传到(CVS、PLM、OA、FTP等)服务器的文件进行自动解密。 (CVS、PLM、OA、FTP等)系统需要对文档进行访问,以实现其全文检索等功能。因此,保存在服务器上的文档必须是明文的,否则(CVS、PLM、OA、FTP等)系统不能读取到文档的内容。由于(CVS、PLM、OA、FTP等)系统是一个B\S架构的系统,因此IP-guard文档加密客户端会对IE上传的文件进行自动解密,那么上传到服务器的文件会自动变成明文。对(CVS、PLM、OA、FTP等)系统读取文件不会造成任何影响。同时为了保护明文文件从服务器下载到客户端后还能进行保护,IP-guard会对IE下载的文件进行自动加密。 3、通过Server guard保障客户端和(CVS、PLM、OA、FTP等)服务器之间通信的安全性。 如果仅仅对客户端对上传下载的文档进行自动加解密,那么会存在以下问题:1)、客户端用户私建(CVS、PLM、OA、FTP等)服务器,把文件上传到非法服务器,获取明文;2)、用户在没有安装IP-guard客户端的计算机上访问(CVS、PLM、OA、FTP等)服务器,并下载明文件获得明文。 因此,IP-guard引入Server guard设备,对(CVS、PLM、OA、FTP等)的服务器进行保护。Server部署在交换机与服务器之间,与服务器串联。 IP-guard客户端会对IE的通讯进行加密,数据到达Server guard后,通讯会被解密,然后Server guard会把获取到的明文传到(CVS、PLM、OA、FTP等)的服务器上。同理,当(CVS、(CVS、PLM、OA、FTP等)、OA、FTP等)服务器要下发数据时,Server也会对通讯进行加密,只有IP-guard的客户端才能对通讯进行解密,客户端获取到明文以后,写入硬盘时,就会对文件进行自动加密。 这时,如果客户端用户私建(CVS、PLM、OA、FTP等)服务器,那么由于IE的发出的数据都是加密的,非法服务器不能对数据进行解密,通讯无法建立。如果是没有安装IP-guard客户端的机器对(CVS、PLM、OA、FTP等)服务器进行访问,由于不能对Server guard的发出的数据进行解密,因此也不能与服务器建立通讯。这样客户端和服务器都能得到很好的保护了。 对于某些特定的计算机,没有安装IP-guard客户端,而又有需要访问(CVS、PLM、OA、FTP等)服务器的,可以在Server guard上进行白名单配置。
4、对于没有启用加密的客户端,对加密文档进行只读控制。 步步高内部有很多用户,他们不需要对(CVS、PLM、OA、FTP等)上的文档进行编辑,但需要查看(CVS、PLM、OA、FTP等)上的文档;他们生成的文档大多不是非常重要的文档,如果启用了加密授权,生成的文档全部加密,会对这些用户的使用效率产生很大影响。为此,IP-guard能对此类不启用加密的客户端设置只读加密文件的权限。这些客户端能对加密的文档右键选择以只读方式打开,打开后,不能对文档进行复制粘贴,不能对文档进行截屏、打印以及另存,有效地阻止了没启用加密的客户端对加密文档的二次泄密。 5、文档外发控制 当需要与外界的合作伙伴或客户交流时,我们需要把文档进行外发。如果文档是加密的,那么合作伙伴将不能查看到这些文档。如果需要让合作伙伴能使用内部的文档,有以下的方法: (1)解密成明文外发 对于个别高级管理人员,能直接对文件进行解密; 对于普通员工,不能直接解密加密文档,如需解密文档,需得到部门经理进行审批; 对于某些需要频繁与固定合作伙伴通讯的计算机,可以设置邮件解密白名单,发给指定的收件人,文件自动解密。 (2)外发控制 为了适应不同情况的外发,IP-guard提供了两种的外发机制。 严格外发控制机制 通过获取合作伙伴的硬件信息,对能查看的机器进行绑定。具体方式如下:
灵活的exe外发 合作伙伴不需要安装软件,外发的文档可以打包成exe格式的程序,合作伙伴获取到exe后,双击就能打开外发的文档,这种方法比较灵活,但由于没有对计算机硬件进行绑定,所以不能限制文档只能在某一台计算机上运行 IP-guard的外发控制 IP-guard的外发控制能对一下行为进行控制 限制使用时间 限制使用次数 限制复制、截屏、打印 密码设定 是否允许修改 3.3方案优势、亮点: 总的来说,IP-guard文档加密、监控系统能帮助企业达到以下效果: 1、产生机密文档的部门(安装监控与加密模块),文档一旦生产做到强制性加密;这些加密文档如果没有公司授权情况下,以任何形式离开公司,都是密文无法打开 2、普通办公人员(只安装监控模块),对本机的生成的任何文档不做加密;但可以对公司加密文档在不安装其他任何查看器的情况下,拥有只读权限;最大程度的保留原来所有使用习惯 3、公司高层(老板、总经理等)只安装(VIP客户端),该客户端只有解密功能,没有加密和监控功能;即解决了公司高层人员的隐私顾虑,也保证能了能查看公司加密文件问题 4、企业合作伙伴,针对此类客户可以根据具体情况,采取直接解密码、邮件白名单等方式来阻止企业外部人员对文档进行二次泄密。 5、经过Server Guard安全网关后保存在(CVS、PLM、OA、FTP等)服务器的文件,自动解密成明文;最大程度保证了公司核心机密数据的安全,万一在用户电脑上的加密数据出现问题,服务器上还保留了一份明文档 以上解决方案既保证了企业数据安全,同时最小程度改变企业所有员工的工作习惯!! |
转载于:https://blog.51cto.com/xiaoluo2011/669651