防水牆
防水牆
雙徠重含義:
廣泛意義上的防水牆:防水牆,與防火牆相對,是一種防止內部信息泄漏的安全產品。網路、外設介面、存儲介質和印表機構成信息泄漏的全部途徑。防水牆針對這四種泄密途徑,在事前、事中、事後進行全面防護。其與防病毒產品、外部安全產品一起構成完整的網路安全體系。
最簡單的防水牆由客戶端和管理中心、伺服器三層結構組成:高層的用戶介面層,以實時更新的內網拓撲結構為基礎,提供系統配置、策略配置、實時監控、審計報告、安全告警等功能;低層的功能模塊層,由分佈在各個主機上的探針組成;中層的安全服務層,從低層收集實時信息,向高層彙報或告警,並記錄整個系統的審計信息,以備查詢或生成報表。
各個廠家的防水牆的功能類似,但並不盡相同,一般內網監控系統具有以下六大功能:
信息泄漏防範,防止在內部網主機上,通過網路、存儲介質、印表機等媒介,有意或無意的擴散本地機密信息;系統用戶管理,記錄用戶登錄系統的信息,為日後的安全審計提供依據;
系統資源安全管理,限制系統軟硬體的安裝、卸載,控制特定程序的運行,限制系統進入安全模式,控制文件的重命名和刪除等操作;
系統實時運行狀況監控,通過實時抓取並記錄內部網主機的屏幕,來監視內部人員的安全狀況,威懾懷有惡意的內部人員,並在安全問題發生后,提供分析其來源的依據,在必要時,也可直接控制涉及安全問題的主機的I/O設備,如鍵盤、滑鼠等;
信息安全審計,記錄內網安全審計信息,並提供內網主機使用狀況、安全事件分析等報告。
綜上所述,防水牆是對防火牆、虛擬專用網、入侵檢測系統等多種安全設備,所提供安全服務的有效補充。對整體安全系統來說,它也是不可或缺的一部分。
防水牆數據防泄漏系統為了確保企業的數據、信息放泄密效果,而配備了多種功能模塊,根據企業規模、需求不同可以任意組合。其中比較核心的模塊有多模加密、審批管理、文檔許可權、安全網關&TPM防護等。
“數據生命周期”定義:所謂數據在生命周期里,是指的數據在管理者、使用者的控制之中,當數據已經不在自己的控制中,即意味著自己喪失了對這些數據的生命。數據在自己的控制中和數據是否在自己的手中無關。
效果舉例(1)
效果:
公司部門有很多,財務部(或者其他部門)不希望其它部門隔離隨意打開本部門文件,在部門隔離之後,財務部(或者其他部門)主管希望有權利打開其它部門的文件
實現:
防水牆強大的文檔許可權管理模塊可以充分實現分公司之間、部門之間、組之間、用戶之間極其豐富的許可權管控,以實現部門隔離,達到“安全域”管理的概念。所謂“安全域”,在防水牆裡面就是具有相同安全級別的一切用戶構成的跨越物理和網路限制的一個虛擬域。
在部門隔離的許可權的顆粒度方面,山麗防水牆可以達到如下:
1、拒絕
對過期用戶的拒絕
對過期產品的拒絕
2、只讀/執行
次數(times),時間(onoff),時長(long),列印,運行,讀取,廣告
3、製作
相鄰關係
共享關係
二次分發(一個組多個用戶)
4、輔助控制
截屏、環境指紋
防水牆效果舉例(2)
效果:
工作中有很多合作夥伴,文件發給合作夥伴之後又擔心合作夥伴泄密,保證僅合作夥伴能打開我們的文件,而其他人不能打開。
實現:
工作站對自己創建的密文可申請密文明送,經控制台、安全管理員兩級審批通過後,新生成的密文明送文件可以在沒有安裝防水牆工作站的計算機上使用。
密文明送文件不可列印,打開后不可另存為,不可編輯,並有剪貼板限制效果,密文不可往明文複製。申請時對密文明送文件還能設置5項許可權,可同時設置,同時設置時其中有一個許可權失效文件就無法打開。
文檔口令:打開密文明送文件時需要輸入的口令,輸入正確才可使用文件。
使用次數:可打開此密文明送文件的次數,超過次數限制后無法打開。
累計時間:密文明送文件可使用的總時間,從文件被打開后開始計算直到文件關閉,使用總時間大於累計時間後文件立即不可使用。
使用時間段:一個日期時間段,在此時間段內文件才可使用。
環境指紋:在準備使用此密文明送文件的計算機上提取指紋,在申請時載入指紋,申請后的密文明送文件只可在提取環境指紋的那台計算機上使用,可一次添加多個不同的環境指紋。
防水牆效果舉例(3)
對徠特權用戶,如公司領導,則可以設置本地“加密文件夾”的方式,將文件拖到“加密文件夾”則加密,拖到“加密文件夾”之外則解密,以方便公司領導的工作。
實現:
為了更高的效率,總有用戶需要給與特權,如企業的所有人。防水牆應對客戶需求,提供了模板定義:全盤加密,目錄加密,格式加密,格式不加密,解密等幾種模式。
為了數據防泄漏,可在控制台端對工作站設置全盤加密,工作站內創建、修改的所有文件都會被加密,不經授權的密文拿到防水牆環境外不可使用。
如果您想對工作站的某些文件不加密,可在控制台端對工作站設置全盤加密模式下指定目錄不加密,在此目錄內創建或複製到此目錄內的文件都是明文。
如果您想只對部分文件加密,可使用指定加密模式,然後在控制台端對工作站設置指定目錄加密,把需要加密的文件放在指定加密目錄內即可。
如果您不想對工作站本地文件加密但又擔心數據外泄,可在控制台端對工作站設置指定加密模式,移動設備加密、網路加密,此時工作站本地文件不加密,但通過網上鄰居和外接存儲設備傳出的文件會自動加密。
綠色軟體是否可以加密
可以。綠色軟體的特點是程序本地直接運行,不會在本地建立程序目錄,因此也無法提取本地特徵。這樣,一些和格式有關的軟體將無法實現加密,這將是一個大問題。因此,提出了“不知道將來那些和格式有關的廠商如何解決加密的問題”的感嘆。目前從技術上來講,他們只有兩條路,或者做成完全和系統無關的硬碟加密(比如dell等筆記本自帶的功能),或者做做合格時無關的加密。
是否有根據文件類型,批量加密的功能
可以。對新安裝的客戶端的處理有兩種方法:
本地執行;
遠程執行;
效果:一次性對某一台或多台客戶端機器進行全盤加解密
實現:基於特殊需要,可以使用工作站端自動加密解密工具將工作站上的所有明文密文或某用戶在該工作站上的明文密文進行加密解密。
軟體代碼加密不影響合法用戶編譯
如何保證不破壞文件
從人員管理角度來講,透明加密並不會增加和減少人員主動破壞的可能性。但確實存在著用戶離職的時候將文件全部刪除破壞的嚴重情況,因此在防水牆的文檔許可權中,有“防刪除”的許可權功能,可以防止人員在離職的刪除本地或文件伺服器上的文件。
從技術角度來講,任何人員可以將文檔改成一個原來程序不認識的格式保存,同時刪除原來的格式文件,均會造成格式的不適用而產生文件破壞,這和加密解密本身技術無關。但防水牆本身因為和文件格式無關,可以降低這種更改文件格式產生的破壞的風險。
從偶然性上來講,數據加密后當打開的時候為亂碼的時候如果用戶不小心更改數據並原密文保存將增加偶發性的破壞,防水牆在新的版本裡面已經增加了在沒有許可權的情況下提示為打不開沒有許可權的處理,不再顯示為亂碼。
從更深層的角度來講,如果需要,可以增加防水牆數據備份模塊。這個模塊可以將數據自動備份在響應的伺服器上。但在實施中,因為對帶寬、空間等提出嚴重的挑戰,因此真正實施中採用了此模塊的只是小型用戶為主。
從更專業的角度來講,我們所有的大型用戶基本都有自己的備份系統如磁帶機等等,客戶會將核心的數據備份在磁帶機或者NAS上等等,這個時候,我們只要採用可信程序的功能,所有的備份數據均可以明文進行備份,當然也可以密文備份。
從核心的角度來講,對最最核心的數據,我們採用“只讀”許可權,這樣這些數據被用戶引用的時候只能是“只讀”許可權,無法進行任何的破壞。如豐田汽車對自己的標準化文檔的保護就是這樣做的。