一、公司文档安全防护的背景
在信息安全领域,文档防护一直是研究的重点,特别是文档透明加密技术,它意旨在不改变用户操作习惯的前提下自动完成对文档的加解密。实现稳定、高效、安全的文档防护系统是一个困难的问题,但它在网络安全、信息保护领域有着广泛应用。该项技术难点不仅仅是透明防护,更重要的是防止文档泄密。
目前国内外针对文档透明防护的方法主要有两种,一种是基于API拦截的HOOK技术,另一种是基于IRP拦截的驱动技术。HOOK技术由于在应用层实现,导致效率低下,并且以文件重入的方式容易使明文文件复制带出;驱动技术也可分为清缓存和双缓冲技术,清缓存技术在效率上低于双缓冲技术,目前双缓冲技术只存在于理论研究当中,稳定性和实用性难以保证,例如基于分层文件系统(Layer FSD)的双缓冲技术存在文件清理和缓存同步难的问题,相比之下清缓存技术更加稳定可靠,国内很多商业应用也是采用该方案。
但是仅仅对文件的透明防护是不够的,这样会使得透明防护失去意义且会影响系统效率,安全、稳定的防泄密系统应该综合考虑在驱动层和应用层可能产生的泄密情况并堵住泄密出口,将文件安全性放在首位,尽可能的防止重要数据泄漏,无论是对企业还是个人而言,机密信息泄漏造成的后果都是非常严重的。
国内外目前的研究成果主要针对Windows文件系统实现,即使是一些号称采用双缓冲技术实现的价格也比较昂贵,只能算是理论研究系统,稳定性和实用性难以保证。基于Linux环境实现透明加密的方案,该方案需要较多的修改Linux文件系统内核源代码并重新编译,而且不适合主流操作系统。
大多采用Windows文件过滤驱动方式实现的方案都降低了文档保护力度,更侧重于透明防护并且未能更准确实际的考虑泄密问题,比如透明防护时修改进程名、明文文件不加密、后缀另存为或是数据复制的情况。一些方案或多或少堵住了其中一些途径,但很难做到全面并且万无一失。目前为止还没有一种高效经济、安全稳定、适于目前主流操作系统的文档透明防泄密研究方案。
二、大势至企业文档防泄密解决方案
虽然国内目前主流的电脑文件防泄密系统纷纷采用基于IRP拦截的驱动级防护技术,但是基于API拦截的HOOK技术依然也不可或缺,尤其是针对用户不可预知的电脑文件操作行为,这种情况下基于窗口拦截、进程拦截和文档描述拦截的HOOK技术就可以发挥重要作用。
大势至企业文档防泄密系统(下载地址:
http://www.grabsun.com/monitorusb.html)基于IRP拦截的驱动技术和API拦截的HOOK技术相结合,在核心功能基于驱动防护的基础上,配合API拦截的HOOK技术,可以为用户进行个性化的电脑文件防泄密功能进行灵活扩展,从而实现了更为全面的电脑文件防泄密管理。
图:大势至公司数据防泄密软件
大势至电脑文件防泄密系统具体功能如下:
1、 全面禁止U盘、禁用USB存储设备的使用;
2、 只让从U盘向电脑拷贝文件而禁止从电脑向U盘拷贝文件;
3、 只让使用指定的U盘,只让使用特定的USB存储设备;
4、 禁止网盘、邮件、FTP文件上传、禁止QQ发送文件、禁止微信发送文件、禁止skype文件上传等;
5、 禁止电脑随意安装软件、禁止随意运行软件;
6、 只让电脑访问特定网址,禁止电脑访问某些网站等;
7、 禁止开机按F8进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑等;
8、 禁止修改注册表、禁止修改组策略、禁止打开设备管理器、禁止打开计算机管理等;
同时,大势至电脑文件防泄密系统还可以禁用无线网卡、禁用随身wifi、禁止电脑共享文件、禁止网线直连拷贝电脑文件的行为等,可以严防通过各种途径泄密电脑文件,全面保护电脑文件安全。
此外,大势至公司数据防泄密系统集成了全面的个性化设置接口,可以让网络管理员人员随时进行个性化的电脑文件安全保护功能设置,从而可以实现动态的、实时的和个性化的电脑文件防泄密管理功能,真正帮助企业实现电脑文件安全管理、防止商业机密泄露的较终目的。
