鸿智数据安全管理软件简介.doc
《鸿智数据安全管理软件简介.doc》由会员分享,可在线阅读,更多相关《鸿智数据安全管理软件简介.doc(16页珍藏版)》请在三一文库上搜索。
1、鸿智数据安全管理系统 鸿智数据安全管理软件系统组成鸿智数据安全管理系统 V7.0由管理中心、控制台和客户端三部分组成。其中管理中心主要存储系统运行的所有数据及处理客户端身份认证;控制台是管理员对系统进行管理的管理工具(例如创建客户端用户帐户、分配客户端用户安全策略等);客户端主要根据已分配的安全策略对机密文件进行安全保护。其实施架构如图3.2-1所示: 图 3.2-1企业内部实施架构图由上述架构图可以看出:1)系统管理中心、控制台和客户端一般在企业内部实施,保持三者之间网络连通状态。当然,只要网络畅通,即使在广域网范围内,系统照样可正常实施与工作,例如利用VPN,即使在不同地域的企业分支机构也
2、可共用企业总部的管理中心进行控制台、客户端的安装与使用;2) 系统可配置双管理中心(即主管理中心和备份管理中心)热备份来保障系统的可靠性。备份管理中心与主管理中心通过心跳帧自动同步所有数据,一旦主管理中心发生故障,备份管理中心将自动切换为主管理中心,保证数据安全管理系统的正常运行;3) 管理员通过控制台对系统进行管理,例如为客户端创建帐户、分配安全策略、审计备份文件、打印文件、解密文件和外发文件等;4)每个需要保护机密文件的主机都配备一个客户端,以便根据管理员分配的策略对机密文件进行强制保护。管理体系 图 3.2-2 系统管理体系 在探究系统的具体功能之前,我们先来审视下系统的管理体系(其架构
3、如图3.2-2):系统采取分级分权的管理体系。在出厂时,我们会为客户提供一个根管理员eKey,这个eKey可以用来为管理中心导入合法的授权文件(只有导入合法的授权文件,系统才能正常运作),持有根管理员eKey的管理员称为根管理员。根管理员称为一级管理员,它可以利用分配eKey的方式授权系统管理员、日志审计员、文件管理员等二级管理员(二级管理员又分为系统级别和组级别,系统级别可以在系统范围内履行其管理权限,而组级别只能在其所在的组履行其管理权限)。需要说明的是,任何管理员eKey都是可以复制的,复制生成的eKey与原eKey有等同的作用,但是出厂时由我们提供的根管理员eKey只能复制其分配eKe
4、y的功能,无法复制其导入授权文件的功能,即,只有我们提供的出厂根管理员eKey才能用来导入授权文件。各管理员所承担的职责如下:(1)根管理员职能:配置管理中心、在管理中心导入授权文件(出厂根管理员eKey),在控制台创建二级管理员,对系统密钥进行管理; (2)系统管理员职能:配置管理中心,在控制台设置全局选项配置,进行用户及策略管理,查看软、硬件资产信息等;(3)文件管理员职能:在控制台手动加、解密文件,处理客户端用户在线提请的解密、外发请求,审计客户端用户的远程备份文件、解密文件和外发文件等;(4)日志审计员职能:在控制台对系统日志进行审计和管理,追踪用户行为。主要功能系统主要功能如图3.2
5、-1所示。下面我们将具体介绍各个模块的主要功能。管理中心功能在管理中心存放了系统的全部数据,包括用户帐户、安全策略、系统密钥表、日志信息、客户端解密或者外发的文件、备份文件、打印文件等等。为了保障系统的健壮性,管理中心可以部署成双机热备份模式:可同时设置主服务器和备份服务器。备份服务器通过心跳数据包自动同步主服务器上的所有数据。当主服务器发生故障时,备份服务器会自动切换成主服务器,接管整个系统的工作,从而保证了系统的正常运行。控制台功能密钥管理密钥管理必须由根管理员进行。主要包括:1) 密钥表生成;2) 密钥表备份;3) 密钥表恢复。管理授权 必须由根管理员进行。主要功能是通过eKey对二级管
6、理员进行授权管理(包括二级管理员的创建、撤销、以及权限编辑)。帐户管理帐户管理主要维护客户端帐户(包括帐户的生成、改名、删除、导出、导入)。该操作必须由系统管理员进行。客户端帐户可以通过两种方式生成:1) 手动添加客户端帐户;2) 通过搜索域服务器,自动导入现有域用户作为客户端帐户。策略管理该操作必须由系统管理员进行。策略管理主要包括:1) 策略制定制定客户端的文件透明加解密、文件访问权限、文件解密、文件外发、计算机外设端口使用、打印监控、在线请求以及在线审核流程等策略。2) 策略管理策略编辑、备份和恢复,员工外出授权该操作必须由系统管理员进行。主要是通过eKey对外带电脑进行离线使用授权。授
7、权包括安全策略、使用期限。手动解密该操作必须由文件管理员进行。手动解密文件提供了一种最原始的文件(文件夹)解密方式。在本方案中,仅仅作为一种补充功能。我们推荐使用在线工作流中的在线解密方式。在线请求审核该操作可以由工作流设置中指定的管理员进行。在线工作流处理一个客户端请求的流程并且提示经办人审核并且处理客户端请求。安全审计包括文件审计和日志审计。文件审计需由文件管理员完成,包括对备份文件、打印文件、解密文件和外发文件的审计。日志审计,该操作必须由日志管理员进行。系统日志信息分为系统、网络、文件、操作四种类型,每一个类型分为危险、错误、警告、信息四种级别。日志管理员可以根据不同的条件组合对系统日
8、志进行审计。客户端功能身份认证客户端启动时必须和管理中心进行身份认证(如果是外出用户电脑,必须拥有有效外出授权eKey,此时客户端将和eKey进行身份验证,此外,还可采用离线使用模式)只有客户端正常启动以后才能对下载的加密文件进行透明解密处理,并且实时保护正在使用的加密文件。透明加解密客户端根据策略对机密文件进行透明加解密保护,所有加、解密行为都由系统在后台完成,无需用户参与,不改变用户使用习惯。并且对机密文件的写磁盘操作全程监控,对该文件无论进行“另存”或者“导出”或其它存盘操作,生成的文件都将被自动加密。内存监控全程监控机密文件的使用过程,保护机密文件在使用过程中的内存数据。任何妄图通过复
9、制粘贴、拖动或插入等手段将密文内容导入到明文的行为都将被及时阻止,并将留下违规日志,上传到管理中心日志数据库中。待日志审计员追查责任人。权限控制在密文使用模式下,对加密密文的只读、打印等权限进行控制。打印监控无论是物理打印机还是虚拟打印机所打印出的文件,都将上传到管理中心,文件管理员可通过控制台对已打印的文件进行审计。文件备份加密文件修改存盘后可自动进行备份。客户端提供远程和本地两种备份方式,明文和密文两种备份格式,1-5份备份副本。用户可随时选择最适合的版本进行恢复。在线工作流客户端用户可以在线提交文件解密、文件外发请求。该请求将交给工作流程中指定的经办人。如果经办人批准以后,那么系统将自动
10、执行客户端提交的请求,并将处理的结果返回给客户端用户。整个流程信息度会记录在案,以备查询。客户端自身防护客户端实现了防杀功能,用户无法随意终止客户端程序。此外,用户如果要卸载客户端程序,必须经过系统管理员授权,否则,用户无法卸载客户端。日志模块日志模块记录客户端日志并且上传管理中心。对于外出主机客户端。日志信息将被保存到磁盘隐藏分区中,一旦该电脑联接到管理中心,那么日志信息将会自动上传到管理中心。系统工作流程系统安装和初始化1) 安装管理中心,如果需要部署管理中心双机热备功能,可将管理中心配置成一个主服务器、一个为备份服务器。2) 根管理员导入授权文件,并且生成密钥表;3) 安装控制台,根管理
11、员通过控制台对二级管理员授权。帐户创建和策略分配1) 系统管理员登录控制台,创建组和客户端用户账户;2) 为客户端分配安全策略,可设置组策略和用户策略。安装客户端和实施保护1) 根据控制台分配的账号安装客户端;2) 客户端自动从管理中心下载对应的策略,并根据策略对机密文件进行保护。保护过程1) 客户端调用相应的程序打开加密文件时,透明加密模块将自动将密文文件解密到内存,同时对该文件的整个使用过程进行监控。通过导出、另存方式生成的所有文件都被强制加密。2) 在密文被打开的过程中,监控内存中的明文数据。防止用户通过复制、粘贴、OLE对像插入等方式将密文文件数据导出到明文文件中。并且记录违规操作,上
12、传到管理中心。内存监控的主要作用是防止加密文件内容被复制到其他程序或者文件而导致泄密。因此在打开的密文文件内部进行复制粘贴是允许的,同样被允许的操作是将一个明文文件内容复制到加密文件中以及两个密文文件之间复制数据。3) 由于明文文件只是存在与受控的内存中,在磁盘上的文件是加密的,因此不过通过何种方式(网页上传、刻录、U盘拷贝、网络传输)泄漏的文件都是密文格式。在企业外部是无法被打开的。3) 一旦设置打印监控策略,凡是被打印的文件都将被上传到管理中心,留待审计;4) 一旦设置备份策略,加密文件被修改存盘后,都将根据策略自完成自动备份;5) 客户端软件不能被终止。除非管理员授权,客户端也无法被卸载
13、。5文件解密文件解密有两种方式:1) 手动解密文件:将文件拷贝到文件管理员处,由文件管理员登录控制台对文件解密。2) 在线解密文件:客户端用户在线提交文件解密请求,提交需解密的文件和请求信息。系统自动提示相应的经办人进行审核,审核的权限有拒绝、同意、查看、以及执行。在最后执行以后,系统将会执行用户的请求信息,并且将结果反馈给客户端用户。外发文件和在线解密的流程一致。实施效果 在了解系统工作流程和主要功能后,我们可以结合前文提到的用户需求,全面的评估下系统部署后,将会达到一个怎样的实施效果:基本效果(1)需求:产品稳定性好,保证在各种突发情况下,产品都能正常运行,进而保证企业日常工作不受影响;此
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 管理软件 简介
链接地址:https://www.31doc.com/p-2559749.html