介质管理与防泄密系统

数据加密

系统概述
移动介质的管理是内部信息防泄密的重中之重，通常需要解决如下常见问题: 

非本单位的移动存储设备不经允许不可以在单位使用；
   本单位的移动存储设备不经允许不可以带出去使用；
   涉密移动存储设备不允许上互联网，上互联网的介质不允许接入涉密计算机；
   移动存储设备遗失或被窃时数据的保密；
   单位的移动存储设备使用的可审计性；
   防止移动存储设备作为病毒传播媒介。  

移动介质的管理是内部信息保密的起点但不是终点，仅仅做到移动介质的安全是不完善的。一般而言，内部涉密数据有四种状态：存储、传输、使用、销毁，它们在内部网络中传输；在终端和服务器上被处理使用；在硬盘和移动存储介质上存储；直至最终的删除销毁，如图所示。整个生命周期中导致内部信息泄露的源头很多，必须围绕信息数据的全生命周期在各个环节予以控制，完整的、统一的考虑信息的保密性，才能做到疏而不漏，这正是“亿仕介质管理与防泄密系统的目标之所在。

基于内部涉密信息全生命周期的安全风险分析以及对用户需求的挖掘，安纵科技提出了一套科学的、专业的安全模型，针对涉密信息的全生命周期建立统一的防护与管理体系。 

涉密信息整个生命周期涉及的主要环节包括：存储、使用、传输、销毁，数据安全防护必须贯穿了每一个环节。制作过程需要标定密级、标定期限、编排序号；存储需要安全可靠保密的环境和备份恢复措施；使用需要有认证、授权访问控制以及审计；传输需要有安全的途经、收发登记并且防止扩散；销毁需要对残留的信息进行彻底的清除做到不留痕迹。数据安全系统针对涉密数据的存储环节的安全防护采用加密保护和访问控制双重手段，保障涉密数据一定以加密的方式存储在介质中，不论是硬盘还是U盘，访问控制的机制解决加密盘在使用过程中涉密数据非法输出的安全隐患，如通过打印机、蓝牙、串口等外设端口。 数据安全系统针对涉密数据的传输环节的安全防护采用网络通信加密和网络共享加密的方式。网络通信加密可以在内部形成多套点对点的虚拟网络，防止网络嗅探和中间人攻击；网络共享是对网络通信加密的一种补充，其通过文件透明加密机制解决了Windows网络共享文件这种最为常见的数据交换应用的安全问题。 数据安全系统针对涉密数据的使用环节的安全防护采用可信应用软件和电子文档分级权限控制的方式。可信应用软件限制了只有可信的（经过签名验证）的应用软件才可以运行；电子文档分级权限控制可以进一步对文档的权限进行细分，电子文档被分为多个级别，只有具有权限的用户才可以访问。 数据安全系统针对涉密数据的销毁环节的安全防护采用了软擦除技术，用随机数按照规定标准对硬盘的空白空间进行填充，以达到无法恢复文件内容目的。 

系统特点

基于涉密信息全生命周期建立完整的防泄密体系 
　　 针对涉密信息的存储、传输、使用、销毁沈阳软件定制

每个环节都有相应的技术措施与之对应，能够制定统一的安全策略，成体系的保护涉密信息的安全比单一的机制更有效果。 

采用特殊专用硬件的安全U盘 
　　 亿仕安全优盘的两类特性分别针对内、外不同的需求安全而设计。 
　　 防摆渡安全优盘：防止病毒、木马、间谍软件等恶意程序以优盘作为传播媒介进入内网，提供安全的数据交换载体。 
　　 防扩散安全优盘：为内部涉密文档提供安全的外带移动存储介质，防止非授权的访问和复制输出，以及文件外发控制。 

可信应用软件管理提供可靠的保密软环境 
　　可信计算环境中的一个重要环节是计算机上可信应用软件环境的保证，具体来说就是只有可信的软件才能够安装，只有可信的软件才能够运行，只有可信的软件才能够具有访问资源的权限。涉密信息运行态的可靠保密必须依赖可信的应用软件，可信是保密的根本。 

 1/2    1 2 下一页 尾页