遥感和地理信息系统行业信息安全解决方案

1项目背景

       在国家安全部门，政府部门，国家社科院校，国家科研单位，以及注重核心信息资产的企业普遍存在内外网的区分，内网一般称作涉密网，外网一般称作办公网，或者内网称作办公网，外网即称作外网。

       在日常的工作中，涉密网或者办公网主要处理涉及国家秘密或者企业秘密的数据，外网处理非涉密数据；但在实际工作环境中，因为互联网愈发变得普及，外网也成为了政府部门或者科研院校或者企业单位对外工作的主要途径；而且，在内外网使用中，不可避免的存在着内外网数据交互的问题。

       如何确保涉密网（办公网）数据的安全，如何确保外网数据的安全，以及如何确保内外网数据交互时候的安全成为了摆在IT系统安全管理人员面前一道棘手的问题。

       本方案目的在于对遥感勘测和地理信息系统网络进行场景再现，以寻求解决内网数据安全，外网数据安全，以及内外网数据交互安全。

2网络场景

图表 1内网外网网络结构图

       遥感勘测和地理信息系统网络一般来说，主要分为如下的网络结构：

       内网工作站区域、内网服务器区域、数据摆渡区域、外网工作站区域、外网移动办公区域。

2.1 内网工作站区域信息安全防护

       采用山丽防水墙的数据门卫防护模块和多模透明加密模块实现对内网信息的防护。

       1、系统内核透明加密功能：可以应企业现有任何软件产生之文件的加密需求；加密模式为实时进行，并对用户透明，不需要用户的任何干预；企业现有软件的加密，包括常用office类软件、可能的设计类软件如CAD等、可能的编程类软件如c++、java等、可能的烧录类软件，如PLC类软件等。加密软件满足对绿色软件的加密，满足对RAR等压缩软件的加密。这些加密均不通过二次开发即可满足。

       2、加密模式的多样选择功能：山丽防水墙系统采用加密3.0技术—多模透明加密技术，领先于加密1.0环境加密技术，加密2.0文件格式加密技术，技术处于业界领导地位。在多模加密模式中，用户创建密文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户空加密模式（但可以修改和查看别人的密文的高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文的阅读者模式）、U盘外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。

       3、一文一密钥透明加密功能：采用对称加密和非对称加密技术，实现任何文件的加密密钥均不一样，防止被破解，安全性能大大优先于单密钥或者多密钥产品。

       4、文件格式无关透明加密技术：山丽网安承诺，因为用户新使用的应用软件产生的数据不能加密的，终生免费开发，绝不再次收费。

       5、通讯加密：该功能可以实现防水墙客户端和服务器端间流转的账号、密码、策略等内容无法被监听到或者监听到的均是加密的；

       6、U盘加密：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将自动执行，并对用户的加密数据执行对应的加密和管控策略；

       7、密文图标：通过控制台的设置，可以让客户端的密文显示、或者不显示、或者不同级别密文显示不同的图标

       8、文件格式无关的加密功能的二次开发保障：在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费用（即不受合同时间的约束）；

       外设管理功能：

       移动数据存储设备权限管理：对移动硬盘、U盘等数据存储设备可以支持禁止使用、只读使用、读写使用几种模式；

       移动数据存储设备数据管理：对移动存储设备拷贝进入客户端电脑的数据、拷贝出客户端电脑的数据可以设置将拷贝的内容进行记录并上传到审计系统的服务器上，实现对拷贝数据行为和内容全面法规遵从式审计。

       移动数据存储设备注册管理：可以将移动存储设备在加密系统中进行“注册”，注册后的外设按照设置的策略在企业内部内部绑定的机器上或者组内机器上使用，注册移动存储设备可以在企业以外地方使用。

       移动数据存储设备认证管理：可以将移动存储设备在加密系统中进行“认证”，认证后的外设按照设置的策略在企业内部内部绑定的机器上或者组内机器上使用，认证移动存储设备不能在企业以外地方使用。认证后设备里面数据以密文形式存在。

其他外设管理（红外、蓝牙、1394、串口、并口、刻录等）：对这些外设进行管控策略设置。同时实现管理功能，包括了认证、注册、一般、标准、非标准等。

2.2 内网服务器区域信息安全防护

       采用山丽防水墙的可信程序管理模块，实现数据在内网服务器上是密文，用户从服务器上下载下来数据时候自动变成密文。

       用户希望上传到服务器上的数据是明文的，但希望从服务器上下载下来的数据会被自动加密，而且包括了中间产生的临时文件。山丽防水墙系统在满足这种需求上有两种实现方案：策略设置的TPM防护方案，和硬件安全网关方案。

       1、TPM的实现：启用了山丽防水墙的客户端可以自由的访问应用系统服务器，实现在服务器上打开文件、下载文件均会被加密保护，即使是临时文件也一样会被加密防护。未启用防水墙的客户端的用户将无法访问应用系统服务器。这种严密的服务器安全防护，可以最大限度避免终端与服务器之间数据传输的泄密问题。TPM方式的实现，可以完全不需要更改网络结构，仅仅通过山丽防水墙控制台设置即可实现；

       2、TPM的实现场景：特别适合对OA服务器、CRM服务器、VSS服务器、CVS服务器、SVN服务器、PDM服务器、PLM服务器等。由于企业可能存在着基于不同信息系统和部门的服务器，为了能在各个场景下都实现最好的安全服务，山丽的TPM实现了多场景的支持，免去了企业二次开发的烦恼。

       3、安全网关：通过在应用服务器前面部署安全网关，采用网络过滤技术，对通过该服务器的数据进行加密、解密等操作，实现对应用服务器数据的安全防范。具体功能如下：

       （1）通过调整网络结构，在用户需要保护的应用服务器前面，部署硬件网关，实现用户下载数据的时候，数据被安全网关加密，上传数据的时候，数据被安全网关解密；

       （2）没有安装加密系统客户端的电脑，虽然可以通过网关浏览网页或者可以浏览文件目录，但数据下载到本地是密文，无法进行数据的阅读；

       （3）安装加密系统客户端的电脑，可以通过网关浏览网页或者可以浏览文件目录，数据下载到本地也是密文，但可以进行数据的阅读编辑等操作，在将数据上传到应用服务器的时候，又将通过网关被解密；

       （4）通过安全网关存储在应用服务器上的文件均是明文；

       （5）部署一台安全网关，可以在网关网络流量允许的情况下，对后台多台应用服务器进行安全防护；

2.3数据摆渡区域信息安全防护

       当将数据从内网外移动到外网的时候，可以通过摆渡的方式来实现。

       场景满足方案：

内外网数据摆渡图

（特别说明：在外网的电脑上，也可以搭建离线即可。即：无须在外网再搭建服务器。）

2.4外网工作站区域信息安全防护

       多数企业，往往还专门有一套外网办公系统，这个外网系统仅仅是不能和内网系统连接而已，它也是一个独立的系统，是一个和内网系统完全物理隔绝的系统；

       对这个系统，一样是可以像对内网系统一样，执行外设管理功能和多模透明加密。

2.5外网移动办公区域信息安全防护

       对移动工作站，我们可以执行离线管理：

       离线登陆管理：当用户在离网时候需要使用加密系统的时候，可以通过离线登陆来实现。离线登陆支持智能卡和离线证书两种方式，智能卡表现为电子钥匙式样，用户离开硬件电子钥匙将无法使用加密系统；使用离线证书方式将采用软证书方式登陆，同样，用户不使用软证书将无法使用加密系统。处于信息安全策略控制需要，离线证书和智能卡均只能在特定电脑上使用，并且只能在管理人员设置的时间范围内使用。在使用的时候，具有证书体系和用户PIN码双层保护。

       离线策略管理：在离线登陆模式下，用户所有的控制策略均和在线时候一样，即：在离线登陆成功模式下，对用户的加密策略控制等各种策略如同在网。离线模式可以实现即满足对用户安全管控又可以方便用户移动办公。

3数据防泄密的发展历史

       数据防泄密，有多种解决方案，信息行业共识的方案为：以裁剪后的信息安全标准为规范，结合行政、管理制度，采用数据透明加密是目前最彻底的防护方案。

       在数据透明加密方面，以加密3.0多模透明加密技术，一文一密钥加密效果，对称加密和非对称加密相结合加密密钥机制成为目前透明加密技术的主流。

本解决方案推荐采用山丽防水墙数据防泄密系统5.0来实现数据防护。

3.1加密1.0环境加密和其生存现状

       环境加密的本质是硬盘引导区的加密，数据本身不加密；全公司采用一个密钥；可以采用引导区重建工具等破解；

       目前国内还剩一家公司在执行这种技术，已经被大多数公司抛弃。

3.2加密2.0格式加密和其生存现状

       格式加密的本质是采用驱动级别或者应用程序级别的hook技术，监控具体程序的操作，将该程序特定进程和后缀的文件进行加密；

       目前国内大部分公司采用的是这个技术。因为这种技术需要用户频繁升级，频繁设置，虽有一定应用但诟病严重，采用单个或者人工干预的多个密钥，无法实现一文一密钥；

3.3加密3.0多模加密和其生存现状

       多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合，可以实现一文一密钥；

       目前的代表产品：Windows的EFS、win7的BitLock、Adobe的PDF、山丽网安的防水墙数据防泄漏系统；

       多模加密的多场景：全盘、格式、目录、空加密、外设加密、网络加密。

       目前，山丽网安公司研发的防水墙数据防泄漏系统是多模加密技术的代表，产品具有多项国际国家发明专利等自主知识产权。

       山丽防水墙数据防泄漏系统技术根源于数据防泄密产品国内第一个专利，也是一个奠基性的发明专利。（专利号：ZL 2004 1 0017241.3）专利名称：具有指纹限制的机密文件访问授权系统，专利持有人为山丽网安。

       山丽防水墙数据防泄漏系统技术根源于数据防泄密产品国际专利，也是一个奠基性的发明专利。（专利号：US 7，890，993 B2）专利名称：Secret file access authorization system with fingerprint limitation。专利持有人为山丽网安。

       山丽防水墙数据防泄漏系统于2011年8月1日本获得计算机软件著作权，软件名称：山丽防水墙数据防泄漏软件（简称：山丽防水墙）V5.0，登记号：2011SR053635。著作权持有人为山丽网安。

       山丽防水墙数据防泄漏系统所采用之名字“防水墙”于2008年8月28日获为中华人民共和国境内之注册商标，注册号：第3875196号。商标持有人为山丽网安。

4加密算法

技术原理：

       山丽动态加密(也称实时加密，透明加密等，其英文名为encrypt on-the-fly)，是指数据在使用过程中自动对数据进行加密或解密操作，无需用户的干预，合法用户在使用加密的文件前，也不需要进行解密操作即可使用，表面看来，访问加密的文件和访问未加密的文件基本相同。

       对合法用户来说，这些加密文件是“透明的”，即好像没有加密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加密的，因此也无法使用。

由于动态加密技术不仅不改变用户的使用习惯，而且无需用户太多的干预操作即可实现文档的安全，近年来得到了广泛的应用。

       在透明加密软件的历史发展中，到目前为止经历了三个发展阶段，从最初的加密1.0环境加密（引导区加密）到加密2.0文件格式加密直至今日的加密3.0多模透明加密，这是一个人们不断认识事物、发现事物的科学过程。

       目前社会上兴起的加密软件核心技术的升级就是指的从1.0的环境加密技术、2.0的文件格式加密技术升级到多模透明加密技术。加密1.0环境加密技术因为采取的是引导区加密，对存储在硬盘上的数据本身并不进行加密，因此存在天然的硬伤，加密2.0文件格式加密因为不能满足对绿色软件、压缩软件加密以及因为应用程序本身需要升级而带来的加密技术不断升级的又一个“病毒库”式升级的怪圈而被人们所诟病。加密3.0多模透明加密技术因为能够提供文件格式加密、全盘加密、目录加密、反格式加密、网络加密而逐渐进入人们的视野并成为现在企业机构选择加密软件的首选。

       从加密1.0技术、加密2.0技术升级到加密3.0技术也是目前企业用户的首选。

运作方式：

       山丽防水墙透明加解密技术通过在文件上打上加密标签，以保护文件的安全。在这个过程中，使用密钥或者专用加密硬件作为内容变化的依据。山丽防水墙的透明加密有别于传统的加解密技术：它直接运行在操作系统内核中，动态地、自动地加密文件,将安全性和方便性完美地结合在一起。

       加密策略中含有加密算法、密钥，规定了文件加密过程采用什么的方式改变文件的内容以达到保护文件的目的。加密策略具有不唯一性，即对不同的文件可以采用不同的加密策略，山丽防水墙同时实现了同一个文件在不同时间的备份采用不同的动态变化的加密策略。

总之，文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，加密策略（算法、密钥和加密文件的指定）是内置在透明加密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。

有关密钥：

       目前市场上的加密软件大多采用单一的对称算法，虽然这种加密方式方便简捷，但是所有文件采用一个密钥容易被破解是事实，而且，现在有很多厂商的都是代发密钥的，也就是用户使用的密钥都是由厂商提供的，而厂商同样可以把此密钥告诉其它用户，如此一来，文档数据的安全性又少了一层保障。

       单一的密钥加密方式已经没法满足企业日趋增长的数据防泄漏的需要，而“一文一密钥”最大的优势就是密钥形式是动态的，每个文件的密钥都是不一样的。所以被破解的可能性相当低甚至可以说是零。可以说这样的加密方式才能给企业带来文件安全和数据防泄漏的坚固保障。所以说“一文一密钥”才能顺应加密市场不断变化的要求，是加密软件发展的必然趋势。

技术区别：

       山丽防水墙采用基于操作系统内核的处理技术,并不使用Hook技术,满足对不同的软件加密的需求。目前可以设置成支持所有格式的加密（全盘加密，包括绿色软件的加密，随意压缩格式文件的加密，所有数据库格式文件的加密），可以设置成支持特定格式的加密，可以设置成支持具体目录的加密等等。一般公司的加密软件无法支持所有格式的加密，无法支持绿色软件的加密，甚至都不能支持特定目录的加密。

       防水墙支持Windows 2000到win7 64位全部操作系统。

       根本上来讲，防水墙数据加密系统（数据防泄漏系统）具有以下重要特点：

       1、加密方式和文件格式无关

       山丽防水墙可以支持对所有文件的加解密，并提供有客户端8种加密方式，满足现在和将来文件加密解密的需求；

       因此，山丽防水墙系统可以支持未来的格式加密。

       基于此，山丽信息安全有限公司承诺：

       因为文档格式发生变化需要的二次开发才能加密的，不收取任何费用（该条不受合同时间的约束）。

       2、加密系统和用户的应用系统无关

       山丽防水墙系统，可以通过控制台自由设置用户（组）上传到各种应用系统（包括内部网络的mail系统）文件的密文和明文之间的变化。

       这种方式，大大提供了用户操作的便捷性，带来的好处就是一个分局和总部之间的交流可以自动变成明文，而不需要再进行任何的申请了。

       同时，这种部署，还不会对对网络结构做任何的变更。不会增加用户的实施难度。

       3、唯一支持一文一密钥的数据加密产品

       单一的密钥加密方式已经没法满足企业日趋增长的数据防泄漏的需要，而“一文一密钥”最大的优势就是密钥形式是动态的，每个文件的密钥都是不一样的。所以被破解的可能性相当低甚至可以说是零。

       4、加密系统全方位支持windows操作系统

       山丽防水墙支持win2000到win7的所有系统，支持winxp到win7的所有64位系统，支持win2003到win2008的所有服务端系统。

       全方位操作系统的支持，保证了用户的适用和不留死角的部署。

       5、加密系统和域控等第三方系统完美融合

       山丽防水墙系统客户端登陆方式支持多种类型，尤其支持和域控的动态结合，用户仅仅需要输入域控账号即可自由的进入系统，大大降低了培训和用户操作的复杂度。

尤其是，降低了管理人员的重复劳动，降低了管理平台的切换复杂度。

       其他略。

所用算法：

       山丽防水墙按照加密算法来区分，分为两个版本。商密算法版本、普密算法版本。

       商密算法目前采用SM1算法，适用于非国家秘密的用户，SM1(SCB2) 密钥长度128 。

       普密版本采用普密算法，适用于保护国家秘密的用户。

       在密码保护方面采用RSA非对称算法：密钥长度1024位。

表现形式：

       所有产品的密码算法均可替代为符合企业管理需要的。客户端支持IC卡、USBKey等多种硬件设备保存用户证书，为了增加用户使用的便捷，也可以采用证书透明的处理方法：客户端不用硬件。

技术特色：

       山丽防水墙的透明加解密模块不同于一般市面上所见的加密技术。

       市场上所见的加密技术，或者是采用了个钩子（Hook）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加密，市场上许多硬盘如seagate硬盘已经自带硬盘加密，实际上互联网上已经有了这些加密软件的破解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。山丽防水墙完全和文件格式无关，山丽防水墙的透明加解密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。

       最大的区别是山丽防水墙可加密的格式和文档格式无关。管理人员可以自由定义用户（组）的加密模式或策略：全盘加密、目录加密、特定格式加密、特定格式不加密、自主加密等。

5产品优势

       根本上来讲，防水墙数据加密系统（数据防泄漏系统）具有以下重要特点：

       1、采用第三代技术：多模加密技术，加密方式和文件格式无关

       山丽防水墙可以支持对所有文件的加解密，并提供有客户端8种加密方式，满足现在和将来文件加密解密的需求；

       因此，山丽防水墙系统可以支持未来的格式加密。

       基于此，山丽信息安全有限公司承诺：

       因为文档格式发生变化需要的二次开发才能加密的，不收取任何费用（该条不受合同时间的约束）。

       2、采用第三代技术：一文一密钥加密技术，加密密钥动态变化，防止被破解

山丽防水墙可以支持对文件采用一文一密钥技术，采用对称加密和非对称加密技术，文件安全可以得到保证。

       3、加密系统和用户的应用系统无关

       山丽防水墙系统，可以通过控制台自由设置用户（组）上传到各种应用系统（包括内部网络的mail系统）文件的密文和明文之间的变化。

       这种方式，大大提供了用户操作的便捷性，带来的好处就是一个分局和总部之间的交流可以自动变成明文，而不需要再进行任何的申请了。

       同时，这种部署，还不会对对网络结构做任何的变更。不会增加用户的实施难度。

更重要的是，这种部署方式，不会增加单点故障。有的厂商是依赖增加一台硬件设备来实现，一旦硬件设备出现故障，将会给组织带来不能挽回的损失。

       4、加密系统全方位支持windows操作系统

       山丽防水墙支持win2000到win7的所有系统，支持winxp到win7的所有64位系统，支持win2003到win2008的所有服务端系统。

       全方位操作系统的支持，保证了用户的适用和不留死角的部署。

       5、加密系统和域控等第三方系统完美融合

       山丽防水墙系统客户端登陆方式支持多种类型，尤其支持和域控的动态结合，用户仅仅需要输入域控账号即可自由的进入系统，大大降低了培训和用户操作的复杂度。

尤其是，降低了管理人员的重复劳动，降低了管理平台的切换复杂度。

       6、加密系统不受合同时间约束的三个方面：

       有关应用软件升级、更换的问题

       在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费用（即不受合同时间的约束）；

       有关烧录软件升级、更换的问题

       在用户使用的烧录软件发生变化时候不需要任何二次开发或者需要的二次开发才能实现烧录管理的，乙方承诺终生不收取任何费用（即不受合同时间的约束）；

       有关外发控制文件对应的应用软件升级、更换的问题

       在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能实现外发控制的，山丽网安承诺终生不收取任何费用（即不受合同时间的约束）@@并且不需要接收用户安装任何插件；

       7、加密系统和应用系统集成方案多案可选、方式灵活、操作简单

       有关和应用系统的集成

       效果：

       1）、上传解密、下载加密；

       2）、没有启动加密软件无法登陆使用应用系统；

       山丽网安提供两解决方案：

       1）、TPM解决方案； [无需更改网络结构]

       2）、安全网关解决方案； [需要更改网络结构]

       3）、开放系统接口，实现融合时二次开发；[无需更改网络结构]

       8、加密系统使用场景全覆盖，使用面广泛，满足全局面信息安全监管

       场景1：

       总公司或分公司使用的BS信息系统、非BS系统，用IE访问或者用客户端程序访问，上面一些excel、pdf、word文件等下载时需要加密，上传的时候需要解密；

       解决方案：

       使用山丽防水墙网络可信程序模块满足

       场景2：

       应用系统服务器的登录保护：企业具有的应用系统服务器均存有大量核心数据，加密系统需要提供客户端机器不进入加密系统即却无法进入服务器的TPM式保护方式，以防止没有加载加密策略的用户进入系统获取数据；同时，对特殊用户还需要有放行功能；

       解决方案：

       使用山丽防水墙网络可信环境模块满足

       场景3：

       设计人员需要将设计文稿带到用户现场进行交流、评审，并带回公司修正，周而复始；

       解决方案：

       使用山丽防水墙离线登陆管理模块满足

       场景4：

       电气/电器开发人员需要使用串口、并口、USB协议设备、网口将代码烧录到PLC等自动化设备中，但又不可能进行频繁的解密操作；

       解决方案：

       使用山丽防水墙烧录程序管理模块满足

       场景5：

       电气/电器开发人员需要使用串口、并口、USB协议设备、网口将代码烧录到PLC等自动化设备中，但又不可能进行频繁的解密操作；并且可能是在无网络情况下

       解决方案：

       使用山丽防水墙烧录程序管理模块+离线登陆管理模块满足

       场景6：

       工程师加工产生的文件别的部门人员无法直接查看，需审批授权后查看；

       解决方案：

       使用山丽防水墙权限管理模块满足

       场景7：

       设计程序升级后或者使用新的软件，文件如何加密；

       解决方案：

       使用山丽防水墙透明加密模块满足（一文一密钥、和文件格式无关）

       9、山丽防水墙加密系统功能模块完善，管理平台简易，适合全方位信息安全管理

山丽防水墙具有多达40余种模块，可以满足多途径信息安全管理，是目前国内最全面的信息安全管理平台。

关键字：数据安全 信息安全 加密软件