Web虎-b/s源代码加密,软件防盗版保护系统

站内搜索:

热搜: asp.net加密 php加密  

Java加密 ...
  选择Web虎的20个理由   免费赠送Web虎机器码版-网站授权保护系统   免费试用打包加密版Web虎   50套可免费打激光logo
  首页 | php加密 | asp.net加密 | flash保护 | Web虎网站(课件)保护 | 成功案例 | 公司动态 | 业界关注 | 客服| 下载| 关于| 付款方式| 注册
当前位置:业界关注

数据泄露防护,分域安全简述


时间:2011年6月28日  来源:互联网转载  关联产品/方案:网站授权保护

目前,数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛,信息安全问题变得尤为
  
  突出。建立完善的数据泄露防护体系、保护核心资源,已迫在眉睫。鉴于目前内部局域网的现状,可以针对数据存储层和
  
  数据传输层进行加密,结合文档和数据生命周期,对内部网络分为终端、端口、磁盘、服务器、局域网四大区域,并针对
  
  数据库、移动存储设备、笔记本电脑等特例,统一架构,分别防护,实现分域安全。
  
  一、数据泄露的主要威胁
  
  电子文档多以明文方式存储在计算机硬盘中,分发出去的文档无法控制,极大的增加了管理的复杂程度。影响文档安
  
  全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,按照对电子信息的使用密级程度和传
  
  播方式的不同,我们将信息泄密的途径简单归纳为如下几方面:
  
  1.由电磁波辐射泄漏泄密(传导辐射、设备辐射等)
  
  这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场
  
  所等,由于这类机构具备非常严密的硬保密措施,只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护
  
  。
  
  2.网络化造成的泄密(网络拦截、黑客攻击、病毒木马等)
  
  网络化造成的泄密成为了目前企业重点关注的问题,常用的防护手段为严格的管理制度加访问控制技术,特殊的环境
  
  中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围,但是,当控制的
  
  安全性和业务的高效性发生冲突时,信息明文存放的安全隐患就会暴露出来,泄密在所难免。
  
  3.存储介质泄密(维修、报废、丢失等)
  
  便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企业带来极大的损失,在监管力量无法到达
  
  的场合,泄密无法避免。文盾安全优盘和文盾U+Key这两款产品是目前比较好的解决方案之一。内置的安全芯片和证书设
  
  置,保证了即使丢失也因为私钥的保护而无法探测到企业涉密信息。
  
  4.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等)
  
  目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上,内部人员的主动泄密是目前各企业普遍关注的问
  
  题,通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施,能很大程度的降低内部泄密风险,但是,
  
  对于终端由个人灵活掌控的今天,这种防护手段依然存在很大的缺陷,终端信息一旦脱离企业内部环境,泄密依然存在。
  
  5.外部窃密
  
  国家机密、军事机密往往被国外间谍觊觎,商业机密具备巨大的商业价值,往往被竞争对手关注。自古以来对机密信
  
  息的保护,都不可避免以防止竞争对手窃密作为首要目标。
  
  二、数据泄露防护的实现方式
  
  当前,数据泄露防护以动态加解密技术为核心,分为文档级动态加解密和磁盘级动态加解密两种方式。
  
  1. 文档级动态加解密技术
  
  在不同的操作系中(如WINDOWS、LINUX、UNIX等),应用程序在访问存储设备数据时,一般都通过操作系统提供的API
  
  调用文件系统,然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个
  
  路径中,均可对访问的数据实施加密/解密操作,可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文
  
  件的动态加解密,如Windows系统中的NTFS文件系统,其本身就提供了EFS(Encryption File System)支持,但作为一种通
  
  用的系统,难以做到满足各种用户个性化的要求,如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满
  
  足用户的个性化需求,第三方的动态加解密产品可以看作是文件系统的一个功能扩展,能够根据需要进行挂接或卸载,从
  
  而能够满足用户的各种需求。
  
  2.磁盘级动态加解密技术
  
  对于信息安全要求比较高的用户来说,基于磁盘级的动态加解密技术才能满足要求。在系统启动时,动态加解密系统
  
  实时解密硬盘的数据,系统读取什么数据,就直接在内存中解密数据,然后将解密后的数据提交给操作系统即可,对系统
  
  性能的影响仅与采用的加解密算法的速度有关,对系统性能的影响也非常有限,这类产品对系统性能总体的影响一般不超
  
  过10%(取目前市场上同类产品性能指标的最大值)。
  
  三、数据泄露防护分域控制方案
  
  在数据泄露防护方面,可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性,这种
  
  盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而,针对数据安全,我们采用分域控制
  
  方案,将整个网络分为终端、端口、磁盘、内部网络四种域,进而对各域的安全采取不同的技术措施。
  
  1.终端
  
  终端是指在接入内部网络的各个操作终端。为了保证安全,可以从四个方面采取措施:
  
  1. 针对研发类、技术类局域网终端,可以采用文档透明加密系统加以控制。
  
  2. 针对研发设计类之外的局域网终端,可以采用文档权限管理系统加以控制。
  
  3. 从局域网发往外部网路的文档,可以采用文档外发控制系统加以控制。
  
  4. 针对整个局域网内部文档和数据安全,可以采用文档安全管理系统加以控制。
  
  2.端口
  
  局域网和外部网络之间的网络端口,局域网各个终端的移动设备接入端口,以及各个终端的信息发送端口,可以采用
  
  两种方式加以控制:
  
  1) 端口控制
  
  对移动储存设备、软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、
  
  1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用/禁止手机同步等。
  
  应用端口控制技术,可以使所有从端口输出的文档和数据自动加密,防止明文出口。
  
  2) 移动设备接入控制
  
  通过对外部移动设备接入访问控制,防止非法接入。
  
  3.磁盘
  
  所有的文档和数据都必须保存在存储介质上。存储介质主要包括PC机硬盘、工作站硬盘、笔记本电脑硬盘,移动存储
  
  设备(主要是U盘和移动硬盘)。对这些存储设备的磁盘和扇区进行控制,主要可以采用磁盘全盘加密技术和磁盘分区加密(
  
  虚拟磁盘加密)技术。
  
  1) 磁盘全盘加密
  
  磁盘全盘加密技术(FDE)是目前已经非常成熟的一项技术,能对磁盘上所有数据(进行动态加解密。包括操作系统、应
  
  用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证,一个没有授权的用户,如果不提
  
  供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。
  
  2) 磁盘分区加密
  
  磁盘分区加密,顾名思义,就是对磁盘的某一个分区(扇区)进行加密。目前比较流行的虚拟磁盘加密就是对分区进行
  
  磁盘级加密的技术。这种技术在国内比较多,一般用于个人级的免费产品。
  
  相应的产品有文盾文档保险柜。
  
  4.服务器
  
  同样是应用文档级加密的数据泄露防护体系,针对服务器防护已有专门的产品。通常,用户的服务器有资源服务器(
  
  文档服务器等)和应用服务器(PDM、OA、ERP等服务器),对这些服务器,可以采用网关级产品来进行保护。部署实施文档
  
  级安全网关之后,所有上传到服务器上的文档和数据都自动解密为明文,所有从服务器上下载的文档和数据都自动加密为
  
  密文。
  长沙文盾信息技术有限公司的文档安全管理系统就是通过服务器对内部文档进行安全可控管理。
  5.内部网络
  
  内部网络主要由各个终端和连接各个终端的网络组成。通过对各个终端硬盘和终端端口的加密管控,足以对内部网络
  
  进行全面控制,形成有效的内部网络防护体系。这种解决方案,其实是把磁盘全盘加密技术与网络端口防护技术相结合,
  
  形成整体一致的防护系统。相应的产品有磁盘全盘加密防护系统(TerminalSec)。
  
  四、数据泄露防护分域控制方案特例
  
  基于动态加解密技术的数据泄露防护体系用途非常广泛,并可以针对各个网络域定制开发出相对应的产品。以下是数
  
  据泄露防护分域控制方案针对网络域的几种典型例子。
  
  1.移动存储设备
  
  目前应用得最多的的移动存储设备是U盘和移动硬盘。针对这两种移动存储设备,目前通常采用的是磁盘分区加密技
  
  术,对磁盘分区或者扇区进行加密控制,所有从内部网络流转到移动存储设备的文档和数据都会自动加密保护。市面上有
  
  成熟的产品如安全U盘(UDiskSec)和安全移动硬盘(EDiskSec)可以选择。目前市场上比较好的有:亿赛通的产品,飞天、
  
  以及文盾的安全优盘。
  
  2.数据库
  
  使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过三种加密方式来实现:1.系统中加密
  
  ,在系统中无法辨认数据库文件中的数据关系,将数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入
  
  到数据库文件中去,读入时再逆方面进行解密,2.DBMS内核层(服务器端)加密:在DBMS内核层实现加密需要对数据库管理
  
  系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。3.DBMS外层(客户端)加密:在DBMS外层实现加密
  
  的好处是不会加重数据库服务器的负载,并且可实现网上的传输,加密比较实际的做法是将数据库加密系统做成DBMS的一
  
  个外层工具,根据加密要求自动完成对数据库数据的加解密处理。
  
  针对以上三种数据加密方式的不足,目前已经有全新的数据库加密保护技术。通过磁盘全盘加密技术和端口防护技术
  
  ,对数据库的载体(磁盘)进行全盘加密和数据流转途径(端口)进行控制,从而实现数据库加密保护。这种方式还能解决数
  
  据库加密方案最常见的问题——无法对数据库管理员进行管控。通过端口防护,即使数据库管理员能得到明文,但是因为
  
  端口已经被管控,所以数据依然不被外泄。
  
   
  3.笔记本电脑
  
  笔记本电脑在运输途中,比如在出租汽车、地铁、飞机上,经常会被遗失;在停放的汽车、办公桌、会议室甚至是家
  
  里,也常发生笔记本电脑被外贼或者家贼盗取;在笔记本电脑故障送修时,硬盘上的数据就完全裸露在维修人员面前。针
  
  对笔记本电脑数据保护,国际上通用的防护手段就是磁盘全盘加密技术。
  
  硬盘生产厂商例如希捷、西部数据和富士通等都支持全盘加密技术,将全盘加密技术直接集成到硬盘的相关芯片当中
  
  ,并且与可信计算机组(TCG)发布的加密标准相兼容。在软件系统方面,赛门铁克推出的Endpoint Encryption 6.0全盘版
  
  ,以及McAfee的Total Protection for Data、PGP全盘加密和北京亿赛通公司的DiskSec,都是不错的选择。
  
  五、总结
  
  信息系统安全需要从多方面加以考虑,需要研究整个内部网络的安全策略,并在安全策略的指导下进行整体的安全建
  
  设。本文所介绍的是一个典型的分域安全控制方案,针对不同的网络区域采用不同的技术手段进行实现加密防护。

相关业界关注:
数据泄露防护,分域安全简述(2011-6-28)

深圳易用信息公司,一切以用户为中心

jar加密狗,php加密狗,ASP.NET加密狗,java加密狗,bs加密狗,asp加密狗,课件加密狗,flash加密狗,swf加密狗


地址:深圳市福田区深华科技园1栋6楼 | 邮编:518008 | 电话:0755-88865755,(0)138-2326-5258 | 传真:0755-83273525 | 电邮:leo-euse.cn
华东办:(0)186-5858-6527| 电邮:jacky-euse.cn | 关注咱们:
北京代理:中科神州(北京)信息技术有限公司|电话:(0)137-0124-0303|电邮:yubin_sinotech

  本网站版权归深圳市易用信息技术有限公司所有   |   粤ICP备09056668号-2  始自2003年


合作伙伴招募中:

上海,广州,杭州,宁波,南京,无锡,佛山,苏州,天津,成都,大连,济南,青岛,烟台,泉州,常州,东莞,武汉,沈阳,金华,南通,重庆,郑州,福州,温州,长沙,厦门,绍兴,西安,哈尔滨,合肥,珠海,包头,昆明,太原,湖州,汕头,惠州,广东,山东,江苏,浙江,河南,河北,辽宁,上海,四川,湖北,湖南,福建,北京,安徽,内蒙古,黑龙江,广西,陕西,吉林,天津,山西,江西,云南,重庆,新疆,贵州


友情连接: flash加密防盗版保护 seo工具 铁卷防泄密 纵横网络 软件项目交易网 深圳工作流系统 局域网管理软件 YCanPDF