文檔透明加解密解決方案
1、保障文檔安全,對生成重要文檔的客戶端啓用文檔透明加解密功能。
(1)、強制透明加密
通過在用戶計算機上部署客戶端,IP-guard能對需要保護的電子文檔進行強制性的加密,合法用戶使用時自動解密,整個過程完全自動並且不影響用戶原有的使用習慣。
採用高強度加密技術,對文檔進行強制透明加密,使得無論何時何地文檔都以密文形式存在。
提供自定義密鑰和選擇加密算法。
在授信環境中,文檔能自動解密,絲毫不影響用戶原有的使用習慣;在非授信環境中,加密文檔則無法正常打開和使用。
在加密文檔的合法使用過程中默認禁止截屏、打印等操作,或者剪切、拖拽加密文檔內容到QQ、Email等可能造成泄密的應用
(2)、內部權限控制
對於多部門多層級的組織,IP-guard引入了分部門分級別的權限控制機制,根據文檔所屬部門和重要程度貼上標籤,用戶對不同標籤的文檔的訪問權限的集合組合成其特有的內部文檔使用權限。
根據文檔的重要程度不同,可將加密文檔劃歸不同的安全區域和級別,以便讓不同部門和職位的用戶使用,建立分部門分級別的保密機制。
用戶可靈活調整文檔的區域和級別,對重要文檔可採取提高其級別的方法來禁止普通用戶的使用。
默認情況下,不允許離線使用加密文檔。必要時可單獨設置用戶離線時能使用的加密軟件和使用權限,如只讀、禁止複製、編輯、打印等文檔操作。
(3)、可靠的防災機制
運用備用服務器機制,應對各種硬件及網絡故障,保證系統持續不斷的穩定運行。文檔備用服務器和緊急模式的啓用,保證文檔在加密過程中的安全。
2、保證文檔在服務器上的使用正常,對上傳到(CVS、PLM、OA、FTP等)服務器的文件進行自動解密。
(CVS、PLM、OA、FTP等)系統需要對文檔進行訪問,以實現其全文檢索等功能。因此,保存在服務器上的文檔必須是明文的,否則(CVS、PLM、OA、FTP等)系統不能讀取到文檔的內容。由於(CVS、PLM、OA、FTP等)系統是一個B\S架構的系統,因此IP-guard文檔加密客戶端會對IE上傳的文件進行自動解密,那麼上傳到服務器的文件會自動變成明文。對(CVS、PLM、OA、FTP等)系統讀取文件不會造成任何影響。同時爲了保護明文文件從服務器下載到客戶端後還能進行保護,IP-guard會對IE下載的文件進行自動加密。
3、通過Server guard保障客戶端和(CVS、PLM、OA、FTP等)服務器之間通信的安全性。
如果僅僅對客戶端對上傳下載的文檔進行自動加解密,那麼會存在以下問題:1)、客戶端用戶私建(CVS、PLM、OA、FTP等)服務器,把文件上傳到非法服務器,獲取明文;2)、用戶在沒有安裝IP-guard客戶端的計算機上訪問(CVS、PLM、OA、FTP等)服務器,並下載明文件獲得明文。
因此,IP-guard引入Server guard設備,對(CVS、PLM、OA、FTP等)的服務器進行保護。Server部署在交換機與服務器之間,與服務器串聯。 IP-guard客戶端會對IE的通訊進行加密,數據到達Server guard後,通訊會被解密,然後Server guard會把獲取到的明文傳到(CVS、PLM、OA、FTP等)的服務器上。同理,當(CVS、(CVS、PLM、OA、FTP等)、OA、FTP等)服務器要下發數據時,Server也會對通訊進行加密,只有IP-guard的客戶端才能對通訊進行解密,客戶端獲取到明文以後,寫入硬盤時,就會對文件進行自動加密。
這時,如果客戶端用戶私建(CVS、PLM、OA、FTP等)服務器,那麼由於IE的發出的數據都是加密的,非法服務器不能對數據進行解密,通訊無法建立。如果是沒有安裝IP-guard客戶端的機器對(CVS、PLM、OA、FTP等)服務器進行訪問,由於不能對Server guard的發出的數據進行解密,因此也不能與服務器建立通訊。這樣客戶端和服務器都能得到很好的保護了。
對於某些特定的計算機,沒有安裝IP-guard客戶端,而又有需要訪問(CVS、PLM、OA、FTP等)服務器的,可以在Server guard上進行白名單配置。
4、對於沒有啓用加密的客戶端,對加密文檔進行只讀控制。
步步高內部有很多用戶,他們不需要對(CVS、PLM、OA、FTP等)上的文檔進行編輯,但需要查看(CVS、PLM、OA、FTP等)上的文檔;他們生成的文檔大多不是非常重要的文檔,如果啓用了加密授權,生成的文檔全部加密,會對這些用戶的使用效率產生很大影響。爲此,IP-guard能對此類不啓用加密的客戶端設置只讀加密文件的權限。這些客戶端能對加密的文檔右鍵選擇以只讀方式打開,打開後,不能對文檔進行復制粘貼,不能對文檔進行截屏、打印以及另存,有效地阻止了沒啓用加密的客戶端對加密文檔的二次泄密。
5、文檔外發控制
當需要與外界的合作伙伴或客戶交流時,我們需要把文檔進行外發。如果文檔是加密的,那麼合作伙伴將不能查看到這些文檔。如果需要讓合作伙伴能使用內部的文檔,有以下的方法:
(1)解密成明文外發
對於個別高級管理人員,能直接對文件進行解密;
對於普通員工,不能直接解密加密文檔,如需解密文檔,需得到部門經理進行審批;
對於某些需要頻繁與固定合作伙伴通訊的計算機,可以設置郵件解密白名單,發給指定的收件人,文件自動解密。
(2)外發控制
爲了適應不同情況的外發,IP-guard提供了兩種的外發機制。
嚴格外發控制機制
通過獲取合作伙伴的硬件信息,對能查看的機器進行綁定。具體方式如下:
靈活的exe外發
合作伙伴不需要安裝軟件,外發的文檔可以打包成exe格式的程序,合作伙伴獲取到exe後,雙擊就能打開外發的文檔,這種方法比較靈活,但由於沒有對計算機硬件進行綁定,所以不能限制文檔只能在某一臺計算機上運行
IP-guard的外發控制
IP-guard的外發控制能對一下行爲進行控制
限制使用時間
限制使用次數
限制複製、截屏、打印
密碼設定
是否允許修改
3.3方案優勢、亮點:
總的來說,IP-guard文檔加密、監控系統能幫助企業達到以下效果:
1、產生機密文檔的部門(安裝監控與加密模塊),文檔一旦生產做到強制性加密;這些加密文檔如果沒有公司授權情況下,以任何形式離開公司,都是密文無法打開
2、普通辦公人員(只安裝監控模塊),對本機的生成的任何文檔不做加密;但可以對公司加密文檔在不安裝其他任何查看器的情況下,擁有隻讀權限;最大程度的保留原來所有使用習慣
3、公司高層(老闆、總經理等)只安裝(VIP客戶端),該客戶端只有解密功能,沒有加密和監控功能;即解決了公司高層人員的隱私顧慮,也保證能了能查看公司加密文件問題
4、企業合作伙伴,針對此類客戶可以根據具體情況,採取直接解密碼、郵件白名單等方式來阻止企業外部人員對文檔進行二次泄密。
5、經過Server Guard安全網關後保存在(CVS、PLM、OA、FTP等)服務器的文件,自動解密成明文;最大程度保證了公司核心機密數據的安全,萬一在用戶電腦上的加密數據出現問題,服務器上還保留了一份明文檔
以上解決方案既保證了企業數據安全,同時最小程度改變企業所有員工的工作習慣!!
