Posts for: #Security

离职员工泄密多发 企业需提升应对策略

原文链接:http://soft.yesky.com/info/174/30114174.shtml

根据今年4月份相关媒体的报道,某知名外企离职员工涉嫌在离职前窃取涉及该企业家电部门核心技术的信息,事件暴露后警方迅速进行了介入,但是由于核心技术 泄密给企业造成的重大损失已经无法挽回。据了解该离职员工可能是为了给自己的下一份工作提供一些竞争优势,他利用自己在离职前尚未被完全收回的权限,访问 了存储有机密信息的服务器,获取并打印了相关的核心技术信息。事实上随着近几年“前雇员”泄密事件的频发,许多技术密集型企业不得不花上大量的时间和精力 来应对其自身核心知识产权的有效保护。

  在建设创新型国家的国家战略框架下,企业先人一步的产品设计、早人一步的发展规划、快人一步的市场部署等创新成果都是市场上最难能可贵的核心竞 争力,企业也只有有了属于自己的知识产权以及核心竞争力,也才有进一步发展的基础,相应地,一旦承载企业核心竞争力的技术文档泄密,企业立足于市场的根基 就会在瞬间土崩瓦解。然而对于企业来说,越是有能力的离职员工,有的甚至是企业科研人员和企业高管,他们越是容易将企业的核心机密文档窃取出公司,因为他 们本身就最容易和最方便接触到企业的核心机密;对于离职员工来说,拿到企业的核心机密,既可以直接卖钱,也可以到对手公司谋求一份更好的职位,毕竟自己手 上有新公司急需的市场核心竞争力!

  其实从企业的操作实践看,单靠对员工的保密教育、职业道德教育及对违规员工的经济处罚是远远不够的,因为离职员工一旦对机密技术文档窃取成功, 就可能会获得巨额的经济利益或在新公司谋求更高的职位,进而提升自己的社会地位,这是企业离职员工泄密事件频发的诱因;从另一方面看,企业缺乏对核心机密 的技术防范大大降低了内部员工窃取核心机密技术文档的成本,像本文开头的那个“前雇员”泄密事件,当事人利用其自有权限轻而易举的就对机密技术文档进行了 打印,并且将文档的电子版拷贝到私人笔记本上带出公司,这个过程没有安全监管,更没有为防范泄密而设置的任何技术“障碍”,这想想应该是多么可怕的一件事 啊!

  那么对于目前国内众多的技术密集型企业来说,如何通过最少的经济投入而在企业内部筑造起一座坚不可摧的信息安全“防火墙”呢?接下来我们一起来探讨一番。

  在企业内部建立机密电子文档的防泄密系统,要同时兼顾以下几方面的要素:一是国产,国产的产品无论是操作方式、跟踪服务还是市场价格、后期深度 功能开发等,都具有非常强的本土优势;二是要针对企业整个内部网络,只对某些或某台计算机、服务器进行防泄密是不可取的,通过对企业整个内网的安全监管, 一旦出现泄密事件,可以通过完整的操作日志进行瞬间“追根溯源”;三是要有全面的整合访问控制,将机密电子文档保护和应用权限细分式应用直接集成到所有需 要保护的电子文档中,也就是说其在访问保护和使用控制策略时能够将机密电子文档的应用权限准确细分给不同的用户,从而彻底避免机密电子文档被泄密、窃取或 恶意修改。

  基于以上三点,国内的众多安全专家和企业管理层会格外推崇“铁卷”产品,这里还是以上面反复提到的那个离职员工泄密事件为例:企业内部的所有电 脑被“铁卷”防护和监管后,如果没有特别的细分式授权,离职员工的打印和拷贝行为是无法实施的,即便是被赋于了对机密电子文档离线使用的拷贝授权,也是要 受到严格使用时间限制的,并且离职员工的打印和拷贝行为也都会被“铁卷”日志一一记录在案,企业和司法部门可以随时调阅以及稽查。

  “铁卷”由深圳大成天下独家开发和发布,是一款社会化普及和应用程度较高的专业级电子文档保护工具,这款安全产品的最大特色就是可以阻断机密电 子文档所有的泄密途径和传播路径,进而从根本上防止泄密。深圳大成天下是国内终端与数据安全产品的领先企业和第一品牌,拥有卓越的技术品质和良好行业口 碑,并且已经成为国内终端与数据安全产品行业的核心领导团队。“铁卷”的专业级优势功能包括:

  第一,“铁卷”是目前国内功能最全和最先进的全透明化电子文档专业保护工具,能够对机密电子文档的保护贯穿其存储、使用和传输的整个生命周期, 通过全面整合访问控制,可以精确定位哪些人可以访问机密文档、哪些人可以在特定时段访问机密文档、机密文档能够被访问所应达到的条件及对应严格的访问权限 等,从另一方面看,“铁卷”采用的是透明化的机制,不改变用户任何原有操作习惯。

  第二,“铁卷”能够从源头保护关键部门和企业的核心机密,企业内部员工的泄密行为主要集中在电子文档存储、使用和传输等三大生命周期内,比如电 子文档在存储时的电脑硬盘、移动硬盘、U盘丢失或遭到恶意数据恢复;在使用时的复制、另存、打印;在传输时的E-mail、QQ、MSN发送等,而“铁 卷”能够依托内网来对机密电子文档进行无形加密和保护,机密电子文档一旦脱离特定的内网环境且没有相应的“离线”使用授权,都将无法读取和使用。

  第三,“铁卷”分级审核机制趋于完美,关键部门和企业用户除了可以主动对经过加密保护的电子文档有选择的限制其浏览、打印输出、复制、屏幕拷 贝、可查阅的有效期限范围和打开密码等多项控制权限外,通过严格的审批机制还能够实现电子文档的“离线解密”,这对于企业员工在合法情况下出差使用电子文 档的情况非常方便。

  第四,“铁卷”具有最广泛的电子文档兼容性,目前新版“铁卷”可以提供70多种应用程序及Office、PDF、wps、AutoCAD、Pro/E、SolidWork等上百种主流电子文档格式支持。

  第五,“铁卷”前沿技术大量应用,深圳大成天下主动顺应64位操作系统被广泛商用的主流趋势,率先在整个行业领域集成了国际上最先进的64位操 作系统文档透明加密技术,同时填补了国内在这一行业领域的多项技术空白。从关键部门和企业的实际应用看,“铁卷”从64位操作系统底层实现对机密电子文档 的动态加解密操作,既不影响用户对文档的正常使用,又能够在内存中就通过快速的动态加解密运算来最“透明”的加解密电子文档,前沿技术也从一个侧面彰显着 深圳大成天下及“铁卷”产品的出众品质。

  铁卷团队官网:http://www.unnoo.com/

经济数据泄密震动大 政府信息安全亟待加强

股市历来是经济发展的“晴雨表”,任意一个与经济领域相关的货币信息或金融数据都有可能引发股市的波动,进而影响到社会层面方方 面面的利益,但是近一个时期据相关权威媒体的报料:国内的部分券商和研究机构于今年的3月至5月分别在国家统计局正式公布宏观经济数据之前,成功“预测” 了当月的中国居民消费价格指数(CPI),并且这个“预测”数据与国家统计局随后正式公布的宏观经济数据几乎是分毫不差!其实还不光是今年部分月份的重要 宏观经济数据,早在去年6月和2008年7月,也都出现了券商对即将公布的宏观经济数据“未卜先知”的乌龙事件。据最新的报道,有关部门已经在着手调查此 次重要经济数据泄密的相关细节和责任人。

    我们注意到,部分券商和研究机构一旦能提前获取国家宏观经济数据,他们就会立即推动其即有利益链条的加速运转,其形式可以是直接操纵股指, 也可以是其它任何一种可以控制资本流向,能够给自身或联盟机构带来实质性利益的方式,或许也正因为如此,许多券商也非常乐于聘请政府宏观部门的官员在券商 公司和研究机构担任职务,不少券商公司的首席经济学家也多有政府背景。这里比较有说服力的例子是在去年6月份的一场券商策略报告会上,一位宏观经济部门的 专家以个人观点的方式,“预测”了一组5月份数据,包括市场敏感度较高的CPI、信贷以及出口数据,而这组数据与2天后国家统计局公布的5月份数据高度相 似,其中CPI更是一模一样!但是正是由于敏感经济数据泄密,在当天沪指就上涨了2.78%。

  事实上宏观经济数据与社会中处于运行状态的方方面面都有直接的利害关系,任何泄露还在保密期的宏观经济数据都可能危害国家和经济安全,简单说宏 观经济数据的泄密在给一部分机构和个人带来短期利益的同时,也必将会严重损害另一部分机构和个人的利益,既抹杀社会公平,又公然挑战政府权威部门的公信 力,所以此类可能会造成极大社会杀害的宏观经济数据泄密事件应该要引起政府部门的高度重视,解决政府关键领域的信息安全已经刻不容缓。

  作为社会公信力最权威的政府部门而言,如何才能确保政府关键领域的信息安全呢?行业安全专家认为应该运用行政、技术和监察等综合化的手段进行防控,最根本的是要确保还在保密期的宏观经济数据防泄密万无一失。

  所谓行政手段,就是通过行政管理的方式禁止政府宏观部门的官员在券商公司和研究机构担任职务或进行兼职,规范经济部门官员的职务行为,加大官员利用职务便利进行政府关键信息泄密交易的查处和打击力度,从而从泄密源头切断宏观经济数据泄密的利益链条。

  所谓技术手段,就是在政府关键部门和宏观经济数据内部流通的每一个信息点部署专业级的电子信息防泄密系统,大家知道宏观经济数据的统计和分析需 要涉及到多个政府部门以及众多工作人员的协同工作,每一个环节都有可能造成宏观经济数据的泄密,每一次泄密过程又都有可能使用不同的泄密方式,工作人员即 便不是主观故意泄密,有时候木马程序、病毒或一个误操作也都有可能造成宏观经济数据的被截取,所以简单的加密、禁止工作人员离开办公室或禁止宏观经济数据 的流通等都是不可取的。

  但是专业级的电子信息防泄密系统就可以很好的防堵可能造成电子信息泄密的所有环节,这里以目前在国内几乎家喻户晓的“铁卷”为例:“铁卷”是一 套已经部署于哈尔滨市政办公厅、中国保险监督管理委员会、沈阳海关、招商银行、中国移动通信等重点政府和金融行业部门且是非常成熟的专业级电子信息防泄密 系统,由国内终端与数据安全产品的领先企业深圳大成天下自主研发,集成了包括驱动级核心加密、透明加密、细分化分级审核等在内的多项目前全球最先进的电子 文档加密技术,可以针对政府关键部门的宏观经济数据所有流通环节进行全方位的电子信息加密和实时保护。

  对于政府部门的核心经济数据,“铁卷”可以提供如下的加密和保护类型:一是可以让所有的宏观经济数据处于“铁卷”系统的保护和监控之下,对于所 有已经脱离了政府内部网络的核心经济数据,都将会自动无法使用,也就是说即便是黑客攻击或政府部门“内鬼”通过多种手段窃取了核心经济数据,但是由于脱离 了政府内网且没有被赋于离线使用授权,所以承载有经济数据的电子文档根本打不开或者打开的就是一堆杂乱无章的乱码字符;二是“铁卷”对机密电子信息的保护 能够贯穿其存储、使用和传输的整个生命周期,通过全面整合访问控制,将承载有经济数据的电子文档保护和应用权限细分式应用直接集成到所有需要保护的电子文 档中,也就是说其在访问保护和使用控制策略时能够将机密电子文档的应用权限准确细分给不同的用户,从而彻底避免机密电子文档被泄密、窃取或恶意修改;三是 “铁卷”分级审核机制非常健全,政府关键部门和涉及宏观经济数据的工作人员除了可以主动对经过加密保护的电子文档有选择的限制其浏览、打印输出、复制、屏 幕拷贝、可查阅的有效期限范围和打开密码等多项控制权限外,通过严格的审批机制还能够实现电子文档的“离线解密”,比如宏观经济数据的电子文档需要流通和 传阅时,他们只要向软件的“管理中心”提出一个“解密申请”或“离线申请”即可,既安全又在使用上非常方便。

  最后所谓监察手段,就是对一切泄密行为和泄密途径进行追根溯源,这个借助“铁卷”当然也是最快捷、最有效和最专业的办法。在“铁卷”平台的操作 日志中,通过技术监察手段可以精确定位哪些人访问了机密电子信息、哪些人在什么特定时段对机密电子文档进行了什么样的操作,以及哪些人在权限内或权限外进 行了什么样的违规操作等,这样任何的泄密操作都能够瞬间被监察甚至被锁定证据。

  在《经济参考报》上有消息称,这次被查处的宏观经济数据泄密的政府工作人员虽然都是职位不高的处级干部,但都是位于能提早接触到数据的核心部 门,所以笔者觉得对于政府部门核心经济数据防泄密,首先也要树立“人人平等”的意识,也就是在铁卷平台下,人人接受铁卷保护、人人服从铁卷管控,宏观经济 数据防泄密,既是对自己负责,更是对国家忠诚。

企业电子文档防泄密系统选购应遵循的六原则

随着我国经济的快速发展和国际化进程的加速推进,企业在面对越来越复杂的市场环境以及同行间几乎白热化的激烈竞争的同时,也越来 越重视对企业自身包括核心知识产权、关键技术、重点策划和企业经营财务状况等领域机密电子信息的有效保护,这些机密电子信息各个事关企业的核心竞争力,既 关乎企业的发展空间又关乎企业的生死存亡。其实从企业管理的角度讲,加强对企业核心机密电子信息的保护是任何一个成熟企业所必须要首先面对的问题,在这一 点上有不少发生过泄密事件的企业是有着惨痛教训的,企业的核心机密一旦被泄露,任何的追悔莫及也都是与事无补的。

  企业保护机密电子信息,防泄密系统的选购当然非常关键,不过有许多时候企业高管和负责软件采购的工作人员在实际市场操作的过程中又会面临重重困 惑:比如防泄密系统究竟是防病毒、防黑客重要还是防人为恶意泄密重要?病毒黑客可以窃取核心机密,企业员工可以直接带走核心机密;又比如防泄密系统采购是 选择贵的好还是选择便宜的好?选择贵的会担心过高的采购成本凸显不了产品的性价比,选择便宜的还真怕便宜没好货!

  其实防泄密系统虽然对企业发展至关重要,但是只要企业用户能够遵循以下六方面的采购原则,就一定可以选择并采购到最适合自己企业的企业级电子文档防泄密系统。

  原则一:所有可能造成泄密途径整体防御

  在当前出现的各类企业泄密事件中,通过病毒、木马、黑客攻击、内部员工夹带、企业高管贩卖以及电脑存储介质在维修、移动过程中的恶意窃取等都有可能成 为企业核心机密电子信息的泄密途径,所以企业防泄密系统如果只能对某个或某几个泄密途径进行防御应该是远远不够的。现在许多企业都会选择一款叫做“铁卷” 的专业级防泄密系统,它能够针对企业整个内部网络提供机密电子信息的实时保护,能够让脱离企业内网环境的所有机密电子文档自动无法使用或在未经合法授权打 开时呈现出一堆无法阅读的乱码。事实上对于企业中产品研发报告、设计文档、图纸、配方、源代码等数字化知识产权文档及客户资料、项目资料、招投标方案等商 业机密信息文档一般会分散于企业内部多台电脑终端,员工对电脑的滥用和对重要数据的泄密途径越来越多,企业内部核心数据被泄密的风险越来越大,“铁卷”基 于企业内网的防泄密系统保护,可以说既治标又治本。

  原则二:防泄密系统防自身破解等级要高

  一款好的企业级防泄密系统既要能够防堵企业中所有可能造成泄密的途径和环节,又要防范自身的加解密机制和技术被第三方破解,因为一旦防泄密系统被强行 破解,企业的“防泄密”也就等于形同虚设了,所以企业在采购防泄密系统时,产品研发机构的技术实力是非常关键的。这里同样可以以目前国内性价比十分出众的 “铁卷”为例:“铁卷”由国内终端与数据安全产品的领先企业深圳大成天下自主研发,进入行业市场六年多以来与国内上百家知名龙头企业、众多政府以及金融行 业机构建立了长期而稳定的战略合作,所有合作方的政企机构并没有发生一起有恶劣影响的泄密事件,“铁卷”自身从技术上说也没有任何被强制破解的可能。

  原则三:要有自身核心加密技术彰显实力

  对于一套相对成熟的防泄密系统来说,具有完全自主知识产权的核心加密技术自然非常关键。“铁卷”产品不仅集成了包括驱动级核心加密、透明加密、细分化 分级审核等多项全球最先进的电子文档加密技术,而且“铁卷”还主动顺应64位操作系统被广泛商用的主流趋势,率先在整个行业领域集成了国际上最先进的64 位操作系统文档透明加密技术,同时填补了国内在这一行业领域的多项技术空白。从企业实际应用看,“铁卷”从64位操作系统底层实现对机密电子文档的动态加 解密操作,既不影响用户对文档的正常使用,又能够在内存中就通过快速的动态加解密运算来最“透明”的加解密电子文档,前沿技术也从一个侧面彰显着深圳大成 天下及“铁卷”产品的出众品质。

  原则四:要有权限分配和灵活加解密机制

  在企业整个内部网络部署防泄密系统,并不是要将所有机密电子信息“锁”起来,而是在不影响电子文档正常使用的这个前提下,实现防御关键电子信息外泄。 “铁卷”分级审核机制趋于完美,企业用户除了可以主动对经过加密保护的电子文档有选择的限制其浏览、打印输出、复制、屏幕拷贝、可查阅的有效期限范围和打 开密码等多项控制权限外,通过严格的审批机制还能够实现电子文档的“离线解密”,比如企业员工出差需要外带电子文档时,或是某位企业高管在外地需要临时调 阅电子文档,则他们只要向软件的“管理中心”提出一个“解密申请”或“离线申请”即可,宽严相济,最终实现对机密电子文档安全保护和使用的最佳结合。

  原则五:防泄密系统自身稳定性重点考查

  这其实也是非常重要但又比较容易被忽视的一个防泄密系统采购原则,由于专业的防泄密系统一般都是基于操作系统最底层技术来开发的,所以。这种产品做起 来不容易,开发出稳定的产品难度极高,通常需要行业内顶尖的技术开发团队来共同研发和开发。通常情况下对防泄密系统产品稳定性的判断,一看产品有多少用 户,二看用户有多大规模,三看企业的同行业是否有该产品的典型用户,以及防泄密系统应用的效果如何等。“铁卷”产品已经在广泛服务于国内上百家知名龙头企 业、众多政府以及重点金融行业机构,有的还是全球500强的国有大中型企业,其安全性和稳定性都非常出众。

  原则六:专业化的服务能力同样至关重要

  其实像企业级的防泄密系统,在国内外都是众多极具竞争力的同类产品,不过目前国内许多精明的企业高管和负责采购软件的工作人员会把目光集中于国内的一 线品牌,其中最重要的原因之一就是企业用户更看中于国内一线品牌的本土化服务。国外产品高昂的价格、本土化服务的先天欠缺及受制于政府对相关信息安全产品 的部分准入政策等,不少企业用户并不考虑,但是对于像“铁卷”这样的行业龙头品牌,更多用户对其专业化的服务能力还是表示非常认可的,这一点从“铁卷”产 品现有庞大的企业级用户规模和多达数页的企业战略合作名录中就能找到最好的印证。

IDC预测:防泄密产品将会消失

3月中旬的时候,sowhat给我发了一段IDC的预测:

Data loss prevention (DLP) will disappear into messaging, Web, and identity management security suites. It will only remain an independent product for large enterprise customers. In this area, DLP will consolidate enterprise oversight for all communications and content. Logically, enterprise DLP will move away from point product solutions. Because customers complain about expensive, labor-intensive deployments, wizards will increasingly automate policy creation to make deployment easier and avoid false positives and negatives. Over time, DLP will incorporate enterprise rights management (ERM) and encryption for data at rest, data in motion, and data in use management of mobile devices, as well as PCs.

[阅读全文]

铁卷电子文档安全系统 FAQ

更新历史

  • 2013-11-06,v1.0,创建文档
  • 2013-11-08,v1.1,添加智能加密、多密钥、策略组等内容

说明

铁卷电子文档安全系统FAQ主要面对文件加密(透明加解密、驱动加解密、内核加解密)用户群。涉及的产品包括铁卷、铁卷加解密网关、密信及配套的小工具。


铁卷技术原理

铁卷的运行原理是什么?

简单来说,铁卷采用的原理是内核文件实时透明加解密。

稍详细一些,可以这么理解:

1、铁卷在操作系统底层对文件进行加解密操作,不影响人员的原有使用习惯; 2、安装铁卷的用户在使用文件时,运行于驱动层的用户终端自动将文件实时加解密; 3、文件的接收者必须经过管理中心端的认证,才能够根据许可权限对文件进行操作; 4、所有的文档在用户创建、修改、保存时自动加密,完全无需用户手动操作。


铁卷采用的加密方式安全吗?

铁卷默认采用的是业界最先进的AES 256加密算法,该算法获得过多项国际认证,并且运算速度快、资源消耗低,已经成为包括金融、电信、政府等各行各业公认具备高安全强度的加密算法。

同时铁卷还内置了多种算法,如RC4、RC6等供用户自行选择。

另外,铁卷的允许用户采用自定义算法对数据进行加密,也就是说,部份对安全有特殊要求的行业,可以使用中国自主研发的算法,甚至采用自己的算法来保护文档。

因此:

1、铁卷的加密方式是安全的; 2、如果担心算法有问题,企业/单位可以使用自己信任的算法,铁卷产品提供了相关的接口。


试用铁卷过程中的问题

铁卷“体验版”与“正式版”有什么区别?

铁卷“体验版”与“正式版”在功能和加密算法方面都完全一样。主要区别是:

  1. 体验版使用默认的固定密钥加密,可以用我们公开的通用解密工具批量解密。正式版使用USBKEY产生的唯一密钥,被加密的文档无法使用通用工具解密。
  2. 体验版不需要USBKEY即可使用,正式版必须插USBKEY;
  3. 体验版通常限制了5用户,1个月的使用时间,正式版根据采购合同确定用户数。

问题:试用过铁卷后卸载,可是文件都打不开了,该怎么办?

由于铁卷的保护机制极其完善,在安装完软件后,所有操作过的文档均会被透明加密,这可以确保文档不会因为意外情况导致泄露。所以我们建议您在测试前应该考虑:

1、不要在生产机(或任何重要机器)上直接对软件进行测试; 2、测试前将可能测试过程中可能使用到的文档先进行备份; 3、可以考虑使用虚拟机(Vmware、Virtual box等)进行测试。

无论如何,如果您测试铁卷过程中遇到任何问题,都可以:

1、直接联系给您提供试用软件的经销商; 2、拨打大成天下的400电话:400-1122-918。


未安装铁卷用户终端的计算机是否无法正常打开铁卷文档?

是的,在使用未安装铁卷的计算机上打开已经加密文档的时候,会出现乱码的情况,无法正常查阅文件内容。

但需要提醒的是:在安装铁卷用户端的计算机打开加密文件如word文档时,可能将文档中的某些乱码符号当作换行符处理。此时请不要将此文档保存,否则可能导致文档永久损坏。


铁卷最新版的服务器支不支持server 2008

支持的,目前铁卷已经发布的正式版本,服务端建议部署在windows 2003或windows 2008 server,32位与64位的服务器均能支持。


铁卷的服务器可以装在虚拟机上吗?加密狗在虚拟机里能认吗?

1、虚拟机在Windows实体机上,将加密狗插在实体机上,虚拟机可以认出加密狗; 2、可以使用anywhere usb硬件设备,远程映射加密狗到虚拟机,这种方式适合加密狗集中管理的架构中。


多人共用一台电脑的情况下,铁卷的加密和审计是否能区分不同人?

可以按照不同用户审计,前提是需要建立多个windows账户,每个使用电脑的是用自己的windows账户登录系统 这时候就会记录为不同用户的日志。每个用户还可以设置不同策略。


铁卷mysql的mysql-bin.xxxx文件是否可以删除?

MySQL数据库中,mysql-bin.000001、mysql-bin.000002等文件是数据库的操作日志,例如UPDATE一个表,或者DELETE一些数据,即使该语句没有匹配的数据,这个命令也会存储到日志文件中,还包括每个语句执行的时间,也都会记录。

因此数据库运行时间稍长,binlog就会占据非常大的空间。

对未配置负载均衡的铁卷服务器,处理方式很简单:

1、删除日志

mysql -u root -p Enter password: (输入密码) Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 264001 Server version: 5.1.35-log Source distribution

[阅读全文]