雙重含義:
廣泛意義上的防水墻:防水墻,與防火墻相對,是一種防止內部信息泄漏的安全產品。網絡、外設接口、存儲介質和打印機構成信息泄漏的全部途徑。防水墻針對這四種泄密途徑,在事前、事中、事后進行全面防護。其與防病毒產品、外部安全產品一起構成完整的網絡安全體系。
組成與結構
最簡單的防水墻由客戶端和管理中心、服務器三層結構組成:高層的用戶接口層,以實時更新的內網拓撲結構為基礎,提供系統配置、策略配置、實時監控、審計報告、安全告警等功能;低層的功能模塊層,由分布在各個主機上的探針組成;中層的安全服務層,從低層收集實時信息,向高層匯報或告警,并記錄整個系統的審計信息,以備查詢或生成報表。
基本功能
各個廠家的防水墻的功能類似,但并不盡相同,一般內網監控系統具有以下六大功能:
信息泄漏防范,防止在內部網主機上,通過網絡、存儲介質、打印機等媒介,有意或無意的擴散本地機密信息;系統用戶管理,記錄用戶登錄系統的信息,為日后的安全審計提供依據;
系統資源安全管理,限制系統軟硬件的安裝、卸載,控制特定程序的運行,限制系統進入安全模式,控制文件的重命名和刪除等操作;
系統實時運行狀況監控,通過實時抓取并記錄內部網主機的屏幕,來監視內部人員的安全狀況,威懾懷有惡意的內部人員,并在安全問題發生后,提供分析其來源的依據,在必要時,也可直接控制涉及安全問題的主機的I/O設備,如鍵盤、鼠標等;
信息安全審計,記錄內網安全審計信息,并提供內網主機使用狀況、安全事件分析等報告。
綜上所述,防水墻是對防火墻、虛擬專用網、入侵檢測系統等多種安全設備,所提供安全服務的有效補充。對整體安全系統來說,它也是不可或缺的一部分。
模塊概述
防水墻數據防泄漏系統為了確保企業的數據、信息放泄密效果,而配備了多種功能模塊,根據企業規模、需求不同可以任意組合。其中比較核心的模塊有多模加密、審批管理、文檔權限、安全網關&TPM防護等。
數據生命周期
“數據生命周期”定義:所謂數據在生命周期里,是指的數據在管理者、使用者的控制之中,當數據已經不在自己的控制中,即意味著自己喪失了對這些數據的生命。數據在自己的控制中和數據是否在自己的手中無關。
效果舉例(1)
效果:
公司部門有很多,財務部(或者其他部門)不希望其它部門隔離隨意打開本部門文件,在部門隔離之后,財務部(或者其他部門)主管希望有權利打開其它部門的文件
實現:
防水墻強大的文檔權限管理模塊可以充分實現分公司之間、部門之間、組之間、用戶之間極其豐富的權限管控,以實現部門隔離,達到“安全域”管理的概念。所謂“安全域”,在防水墻里面就是具有相同安全級別的一切用戶構成的跨越物理和網絡限制的一個虛擬域。
在部門隔離的權限的顆粒度方面,山麗防水墻可以達到如下:
1、拒絕
對過期用戶的拒絕
對過期產品的拒絕
2、只讀/執行
次數(times),時間(onoff),時長(long),打印,運行,讀取,廣告
3、制作
相鄰關系
共享關系
二次分發(一個組多個用戶)
4、輔助控制
截屏、環境指紋
防水墻效果舉例(2)
效果:
工作中有很多合作伙伴,文件發給合作伙伴之后又擔心合作伙伴泄密,保證僅合作伙伴能打開我們的文件,而其他人不能打開。
實現:
工作站對自己創建的密文可申請密文明送,經控制臺、安全管理員兩級審批通過后,新生成的密文明送文件可以在沒有安裝防水墻工作站的計算機上使用。
密文明送文件不可打印,打開后不可另存為,不可編輯,并有剪貼板限制效果,密文不可往明文復制。申請時對密文明送文件還能設置5項權限,可同時設置,同時設置時其中有一個權限失效文件就無法打開。
文檔口令:打開密文明送文件時需要輸入的口令,輸入正確才可使用文件。
使用次數:可打開此密文明送文件的次數,超過次數限制后無法打開。
累計時間:密文明送文件可使用的總時間,從文件被打開后開始計算直到文件關閉,使用總時間大于累計時間后文件立即不可使用。
使用時間段:一個日期時間段,在此時間段內文件才可使用。
環境指紋:在準備使用此密文明送文件的計算機上提取指紋,在申請時加載指紋,申請后的密文明送文件只可在提取環境指紋的那臺計算機上使用,可一次添加多個不同的環境指紋。
防水墻效果舉例(3)
對特權用戶,如公司領導,則可以設置本地“加密文件夾”的方式,將文件拖到“加密文件夾”則加密,拖到“加密文件夾”之外則解密,以方便公司領導的工作。
實現:
為了更高的效率,總有用戶需要給與特權,如企業的所有人。防水墻應對客戶需求,提供了模板定義:全盤加密,目錄加密,格式加密,格式不加密,解密等幾種模式。
為了數據防泄漏,可在控制臺端對工作站設置全盤加密,工作站內創建、修改的所有文件都會被加密,不經授權的密文拿到防水墻環境外不可使用。
如果您想對工作站的某些文件不加密,可在控制臺端對工作站設置全盤加密模式下指定目錄不加密,在此目錄內創建或復制到此目錄內的文件都是明文。
如果您想只對部分文件加密,可使用指定加密模式,然后在控制臺端對工作站設置指定目錄加密,把需要加密的文件放在指定加密目錄內即可。
如果您不想對工作站本地文件加密但又擔心數據外泄,可在控制臺端對工作站設置指定加密模式,移動設備加密、網絡加密,此時工作站本地文件不加密,但通過網上鄰居和外接存儲設備傳出的文件會自動加密。
綠色軟件是否可以加密
可以。綠色軟件的特點是程序本地直接運行,不會在本地建立程序目錄,因此也無法提取本地特征。這樣,一些和格式有關的軟件將無法實現加密,這將是一個大問題。因此,提出了“不知道將來那些和格式有關的廠商如何解決加密的問題”的感嘆。目前從技術上來講,他們只有兩條路,或者做成完全和系統無關的硬盤加密(比如戴爾股份有限公司等筆記本自帶的功能),或者做做合格時無關的加密。
是否有根據文件類型,批量加密的功能
可以。對新安裝的客戶端的處理有兩種方法:
本地執行;
遠程執行;
效果:一次性對某一臺或多臺客戶端機器進行全盤加解密
實現:基于特殊需要,可以使用工作站端自動加密解密工具將工作站上的所有明文密文或某用戶在該工作站上的明文密文進行加密解密。
軟件代碼加密不影響合法用戶編譯
如何保證不破壞文件
從人員管理角度來講,透明加密并不會增加和減少人員主動破壞的可能性。但確實存在著用戶離職的時候將文件全部刪除破壞的嚴重情況,因此在防水墻的文檔權限中,有“防刪除”的權限功能,可以防止人員在離職的刪除本地或文件服務器上的文件。
從技術角度來講,任何人員可以將文檔改成一個原來程序不認識的格式保存,同時刪除原來的格式文件,均會造成格式的不適用而產生文件破壞,這和加密解密本身技術無關。但防水墻本身因為和文件格式無關,可以降低這種更改文件格式產生的破壞的風險。
從偶然性上來講,數據加密后當打開的時候為亂碼的時候如果用戶不小心更改數據并原密文保存將增加偶發性的破壞,防水墻在新的版本里面已經增加了在沒有權限的情況下提示為打不開沒有權限的處理,不再顯示為亂碼。
從更深層的角度來講,如果需要,可以增加防水墻數據備份模塊。這個模塊可以將數據自動備份在響應的服務器上。但在實施中,因為對帶寬、空間等提出嚴重的挑戰,因此真正實施中采用了此模塊的只是小型用戶為主。
從更專業的角度來講,我們所有的大型用戶基本都有自己的備份系統如磁帶機等等,客戶會將核心的數據備份在磁帶機或者NAS上等等,這個時候,我們只要采用可信程序的功能,所有的備份數據均可以明文進行備份,當然也可以密文備份。
從核心的角度來講,對最最核心的數據,我們采用“只讀”權限,這樣這些數據被用戶引用的時候只能是“只讀”權限,無法進行任何的破壞。如豐田汽車對自己的標準化文檔的保護就是這樣做的。
參考資料 >