咨询热线:0510 - 8229 3900
 
               
   
保密技术     保密技术 首页 > 保密技术 >安全区域

实时加解密技术
涉密行为鉴别
主动加密技术
涉密访问控制
安全区域
涉密隔离技术
多通道加密技术
反截屏技术
移动存储控制
电子邮件加密
闪存(U盘)加密
编码技术
身份认证技术
账户保护技术
 
安全区域

安全区域的逻辑概念

  在实际应用中,企业的数据实际上是机密数据和非机密数据同时并存的。这样企业的信息数据在逻辑上就分成了两部分,一部分是机密数据,另一部分是非机密数据。防泄密系统一般将机密数据加密存放,而非机密数据则和未使用防泄密系统之前一样以明文形式存在。

机密数据逻辑分区

  企业用户的机密数据在实际存储时有时候并不希望是这种简单的逻辑分区关系。机密数据有时候会出现这种存储需求:

  • 机密的文件在员工的电脑上是加密的,但如果这个文件上传到公司服务器就不要加密。

  这是一种典型的需求。有些企业的服务器是锁在机房里的,闲人不能随便进入。因此数据存放在服务器上就如同放进了保险库被认为是安全的,因此没有必要加密。

  • 从公司服务器上获取的文件,不管是不是加密文件,到达员工的电脑必须是加密的。

  这种需求实际上是上面一种需求的延伸。因为服务器上的机密数据没有加密,因此这些数据离开服务器时安全性就没有保障了。因此必须确保数据离开服务器后是加密的。

  secWall充分考虑到这种实际存储需求,从而在企业版中引入了安全区域的概念。

  所谓安全区域,就是数据放在这些位置即使不加密也是安全的。这样企业的数据存放形式就变成下图所示的样子。

安全区域示意图

  从上面的需求分析中看到,安全区域必须解决下面两个问题:
  1)加密数据进入安全区域时自动解密;
  2)数据从安全区域流出时必须落地加密。
 

secWall企业版中的安全区域

 安全区域的定义方式

  • 网络节点方式

  以IP地址和端口号定义。这样在同一台服务器上可以为不同的服务分别定义。这种方式对于客户机/服务器(C/S或B/S)结构的应用特别有用。如各种SQL Server的数据库应用、采用VSS、CVS、或SVN的版本控制系统、各种OA、ERP、PDM等,只要服务器是以TCP/IP服务端口形式工作的,基本上都可以使用这种定义方式。

  • 特定文件系统目标路径方式

  这种形式可以指定一个文件系统存储位置作为安全区域。比如:\\MyServer\Shared。加密文件在复制到\\MyServer\Shared下时就自动解密了。当然,如果从\\MyServer\Shared复制文件到客户机,复制到客户机的文件会自动加密。

 安全区域的访问控制策略

  安全区域中的数据虽然没有加密,但整个安全区域具有机密属性,因此secWall系统中访问安全区域和访问加密文件一样必须具有企业通行证。

  安全区域所在的服务器对客户机的连接请求进行身份验证,只有通过身份验证的客户机才能与服务器连接。从而保障服务器上安全区域的非加密数据不会被仿冒的客户机获得。

 

 

分享到:

   

  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2024 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号