分类: 网络与安全
2011-09-21 15:38:06
2、保证文档在服务器上的使用正常,对上传到(CVS、PLM、OA、FTP等)服务器的文件进行自动解密。
(CVS、PLM、OA、FTP等)系统需要对文档进行访问,以实现其全文检索等功能。因此,保存在服务器上的文档必须是明文的,否则(CVS、PLM、OA、FTP等)系统不能读取到文档的内容。由于(CVS、PLM、OA、FTP等)系统是一个B\S架构的系统,因此IP-guard文档加密客户端会对IE上传的文件进行自动解密,那么上传到服务器的文件会自动变成明文。对(CVS、PLM、OA、FTP等)系统读取文件不会造成任何影响。同时为了保护明文文件从服务器下载到客户端后还能进行保护,IP-guard会对IE下载的文件进行自动加密。
3、通过Server guard保障客户端和(CVS、PLM、OA、FTP等)服务器之间通信的安全性。
如果仅仅对客户端对上传下载的文档进行自动加解密,那么会存在以下问题:1)、客户端用户私建(CVS、PLM、OA、FTP等)服务器,把文件上传到非法服务器,获取明文;2)、用户在没有安装IP-guard客户端的计算机上访问(CVS、PLM、OA、FTP等)服务器,并下载明文件获得明文。
因此,IP-guard引入Server guard设备,对(CVS、PLM、OA、FTP等)的服务器进行保护。Server部署在交换机与服务器之间,与服务器串联。 IP-guard客户端会对IE的通讯进行加密,数据到达Server guard后,通讯会被解密,然后Server guard会把获取到的明文传到(CVS、PLM、OA、FTP等)的服务器上。同理,当(CVS、(CVS、PLM、OA、FTP等)、OA、FTP等)服务器要下发数据时,Server也会对通讯进行加密,只有IP-guard的客户端才能对通讯进行解密,客户端获取到明文以后,写入硬盘时,就会对文件进行自动加密。
这时,如果客户端用户私建(CVS、PLM、OA、FTP等)服务器,那么由于IE的发出的数据都是加密的,非法服务器不能对数据进行解密,通讯无法建立。如果是没有安装IP-guard客户端的机器对(CVS、PLM、OA、FTP等)服务器进行访问,由于不能对Server guard的发出的数据进行解密,因此也不能与服务器建立通讯。这样客户端和服务器都能得到很好的保护了。
对于某些特定的计算机,没有安装IP-guard客户端,而又有需要访问(CVS、PLM、OA、FTP等)服务器的,可以在Server guard上进行白名单配置。
4、对于没有启用加密的客户端,对加密文档进行只读控制。
步步高内部有很多用户,他们不需要对(CVS、PLM、OA、FTP等)上的文档进行编辑,但需要查看(CVS、PLM、OA、FTP等)上的文档;他们生成的文档大多不是非常重要的文档,如果启用了加密授权,生成的文档全部加密,会对这些用户的使用效率产生很大影响。为此,IP-guard能对此类不启用加密的客户端设置只读加密文件的权限。这些客户端能对加密的文档右键选择以只读方式打开,打开后,不能对文档进行复制粘贴,不能对文档进行截屏、打印以及另存,有效地阻止了没启用加密的客户端对加密文档的二次泄密。
5、文档外发控制
当需要与外界的合作伙伴或客户交流时,我们需要把文档进行外发。如果文档是加密的,那么合作伙伴将不能查看到这些文档。如果需要让合作伙伴能使用内部的文档,有以下的方法:
(1)解密成明文外发
对于个别高级管理人员,能直接对文件进行解密;
对于普通员工,不能直接解密加密文档,如需解密文档,需得到部门经理进行审批;
对于某些需要频繁与固定合作伙伴通讯的计算机,可以设置邮件解密白名单,发给指定的收件人,文件自动解密。
(2)外发控制
为了适应不同情况的外发,IP-guard提供了两种的外发机制。
严格外发控制机制
通过获取合作伙伴的硬件信息,对能查看的机器进行绑定。具体方式如下:
灵活的exe外发
合作伙伴不需要安装软件,外发的文档可以打包成exe格式的程序,合作伙伴获取到exe后,双击就能打开外发的文档,这种方法比较灵活,但由于没有对计算机硬件进行绑定,所以不能限制文档只能在某一台计算机上运行
IP-guard的外发控制
IP-guard的外发控制能对一下行为进行控制
限制使用时间
限制使用次数
限制复制、截屏、打印
密码设定
是否允许修改
3.3方案优势、亮点:
总的来说,IP-guard文档加密、监控系统能帮助企业达到以下效果:
1、产生机密文档的部门(安装监控与加密模块),文档一旦生产做到强制性加密;这些加密文档如果没有公司授权情况下,以任何形式离开公司,都是密文无法打开
2、普通办公人员(只安装监控模块),对本机的生成的任何文档不做加密;但可以对公司加密文档在不安装其他任何查看器的情况下,拥有只读权限;最大程度的保留原来所有使用习惯
3、公司高层(老板、总经理等)只安装(VIP客户端),该客户端只有解密功能,没有加密和监控功能;即解决了公司高层人员的隐私顾虑,也保证能了能查看公司加密文件问题
4、企业合作伙伴,针对此类客户可以根据具体情况,采取直接解密码、邮件白名单等方式来阻止企业外部人员对文档进行二次泄密。
5、经过Server Guard安全网关后保存在(CVS、PLM、OA、FTP等)服务器的文件,自动解密成明文;最大程度保证了公司核心机密数据的安全,万一在用户电脑上的加密数据出现问题,服务器上还保留了一份明文档
以上解决方案既保证了企业数据安全,同时最小程度改变企业所有员工的工作习惯!!