|
您作为企业的管理者,是否担心花重金研发的产品源代码,以及图纸,设计文档,被员工复制带走造成泄密呢?下面这些泄密途径,您考虑到了吗?
- 内部人员将机密电子文件通过U盘等移动存储设备从电脑中拷出带走;
- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;
- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送出去;
- 内部人员将机密电子文件打印、复印后带出公司;
- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;
- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;
- 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中。
- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密。
深信达SDC沙盒机密数据保密系统是以研发机构的防泄密需求为原型,结合游戏公司,ERP开发公司,研究设计院,工控企业,通讯研发等数据保密需求的特点而设计,采用世界上最先进的第三代透明加密技术---内核级纵深立体加密技术,吸收云和无盘工作站的优点,是目前最优秀的源代码,图纸,文档等机密数据保密系统。
SDC沙盒机密数据保密系统示意图
SDC沙盒的特点:
--研发应用软件安装在本地,机密数据在服务器上。服务器上的机密数据在使用过程中不落地,或落地即加密。
--员工电脑上的所有开发的成果只能存放到服务器上,或者本地的加密盘中。
--沙盘是和外界隔绝的,所以不会泄密。本地列为百名单的软件如QQ,MSN,IE浏览器等可以正常上网,但不会泄密。
--SDC沙盒是个容器,什么都能装,和进程无关,和文件格式无关,什么软件都可以跑。和文件也大小无关,不会去破坏文件。也不像其他的加密软件一样,修改文件自身内容。可靠性高。
--任何涉密资料拿出涉密环境,都必须经过审核流程。
--外来PC接入网络,无法使用网内任何机密资源,不能访问服务器,成为孤岛。
应用例:
某游戏开发公司
需求:开发团队开发的游戏源代码为公司核心机密信息,不能被员工带回家。
设计文档的使用范围也需要控制。该公司主要使用C/C++/java开发,开发工具使用VC和Ecipse,
代码管理使用CVS。
解决方案:构建深信达SDC机密数据保护系统,所有源代码及相关文档,编译结果都加密保护起来,达到了数据防扩散目的。
这种模型,同类单位,如软件设计院等,都适用。
为什么SDC沙盒加密稳定?
透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明,是指对使用者来说是透明的,感觉不到加密存在,当使用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让使用者看到的是明文。保存数据的时候,系统自动对数据进行加密,保存的是密文。而没有权限的人,无法读取保密数据,从而达到数据保密的效果。
自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。自上而下,
应用软件,应用层APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网络过滤驱动,各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3),从文件过滤驱动开始,属于内核层(R0).数据透明加密技术,目前为止,发展了3代,分别为
第一代APIHOOK应用层透明加密技术;
第二代文件过滤驱动层(内核)加密技术;
第三代内核级纵深加密技术;
第一代:APIHOOK应用层透明加密技术
技术及设计思路:应用层透明加密技术俗称钩子透明加密技术。这种技术就是将上述两种技术(应用层API和Hook)组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。应用层APIHOOK加密技术,特点是实现简单,缺点是可靠性差,速度超级慢,因为需要临时文件,也容易破解。但由于直接对文件加密直观感觉非常好,对于当初空白的市场来讲,这一旗号确实打动了不少企业。
第二代:文件过滤驱动加密技术
驱动加密技术是基于windows的文件系统(过滤)驱动技术,工作在windows的内核层,处于应用层APIHook的下面,卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联,当用户操作某种后缀文件时对该文件进行加密解密操作,从而达到加密的效果。
内核层文件过滤驱动技术,分IFS和Minifilter2类。IFS出现较早,Minfilter出现在xp以后。两者的区别可以理解为VC++和MFC的区别,IFS很多事情需要自己处理,而Minifilter是微软提供了很多成熟库,直接用。由于windows文件保存的时候,存在缓存,并不是立即写入文件,所以根据是否处理了双缓bug,后来做了些细分,但本质还是一样,都是问题的修正版本而已。但由于工作在受windows保护的内核层,运行速度比APIHOOK加密速度快,解决了很多问题和风险。
文件过滤驱动技术实现相对简单,但稳定性一直不太理想。
第三代:内核级纵深沙盒加密技术
之所以叫内核级纵深沙盒加密技术,主要原因是使用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防御加密。沙盒加密,是当使用者操作涉密数据的时候,对其过程进行控制,对其结果进行加密保存,每个模块只做自己最擅长的那块,所以非常稳定。加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。而这个容器是透明的,使用者感觉不到它的存在。,
第三代透明加密技术的特点是,涉密数据使用前,先初始化涉密沙盒,沙盒加密一旦成功,之后所有的数据都是数据实体,不针对文件个体,所以无数据破损等问题。特点是速度快,稳定,但技术相当复杂。
第一代,第二代本质都是采用的针对单个文件实体进行加密,如a.txt内容为1234, 加密后变成@#$%% +标记。@#$%%是把原文1234进行加密之后的密文。而标记的用途是用来区分一个a.txt文件是否是已经被加密。当系统遇到一个文件的时候,首先判断这个标记是否存在,如果存在,表明时被系统加密过的,则走解密读取流程,如果不是加密的,就无需解密,直接显示给使用者,只是当保存的时候,再进行加密,使其成文密文+标记。
这就带来一个巨大的风险:如果是一个较大文件,加密过程中发生异常,标记没加上,那么下次读这个文件的时候,因为没有读到表记,而采用原文读取,然后再加密,那么这个文件就彻底毁坏了。这个现象在第一代APIHOOK透明加密技术的产品中特别明显,在第二代文件过滤驱动产品中,因为速度变快了,使文件破损发生概率减低了很多,但并没有本质解决这个问题。
另外,由于是进程和文件后缀名进行关联,也造成了一个缺陷:很多编程类软件,复杂制图软件的编译,晒图等操作,都是很多进程同时操作某个文件,这个时候进行进程和文件关联显然太牵强了,因为进程太多了。即使进行关联,多个进程交替访问文件,加密解密混在一起,极容易造成异常。所以才会出现VC等环境下如不能编译,调试等。
其他方面,版本管理无法对比,服务器上存放的是密文(服务器存密文,是个极大的风险,目前没有哪家大企业敢这么做,毕竟太依赖加密软件,持续性没有了),大文件速度慢等,一系列问题,无法解决。
而第三代内核纵深加密技术是在前者2个基础之上发展而来的,每个过滤层都只做自己最擅长的事情,所以特别稳定,速度快,性能可靠,不存在第一代和第二代的问题。由于内核级纵深透明加密技术要求高,涉及技术领域广,极其复杂,开发周期长,所以国内的能做开发的厂商不多。目前,深信达公司推出的SDC机密数据保密系统,给人一眼前一亮的感觉,其产品是第三代透明加密保密技术的典型产品,其产品主要特点是:
1)采用了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列纵深内核加密技术,采用沙盒加密,和文件类型和软件无关,沙盒是个容器。
2)在操作涉密数据的同时,不影响上外网,QQ,MSN等。
3)保密彻底,包括网络上传,邮件发送,另存,复制粘贴,屏幕截取等,特别是屏幕保密,做得非常炫。
4)服务上存放的是明文,客户端存放的是密文,文件上传服务器自动解密,到达客户端自动加密。服务器上明文,减少了业务连续性对加密软件的依赖。
5)不但可以针对普通文档图纸数据进行保密需求,同时更是研发性质的软件公司(游戏,通讯,嵌入式,各种BS/CS应用系统)源代码保密首选。 |
|