8、安全管理系統(tǒng)bd-fsp技術(shù)特點(diǎn)

BD-FSP技術(shù)特點(diǎn)BD-FSP高級(jí)企業(yè)版是天海威公司針對(duì)集團(tuán)化企業(yè)的復(fù)雜權(quán)限要求，耗時(shí)8個(gè)月開發(fā)的第二代驅(qū)動(dòng)加密產(chǎn)品。在第一代產(chǎn)品（BD-FSP標(biāo)準(zhǔn)企業(yè)版）的基礎(chǔ)上，大膽地對(duì)整個(gè)加密文件結(jié)構(gòu)，驅(qū)動(dòng)實(shí)現(xiàn)方式上做了全面的重構(gòu)，使得高級(jí)企業(yè)版的安全性更高、穩(wěn)定性更好、功能更加強(qiáng)大，在總體上已經(jīng)接近國(guó)外同類驅(qū)動(dòng)加密產(chǎn)品，并在管理模式上更加符合中國(guó)企業(yè)的加密需求。藍(lán)盾企業(yè)文件加密系統(tǒng)BD-FSP，無論從底層技術(shù)的運(yùn)用上，還是軟件的擴(kuò)展性和柔韌性上，都已經(jīng)走在了中國(guó)企業(yè)文件加密軟件的最前面。并在對(duì)中國(guó)企業(yè)管理的符合度上，優(yōu)于國(guó)外同類產(chǎn)品。與國(guó)內(nèi)同類產(chǎn)品相比，BD-FSP具有以下明顯的特色和優(yōu)勢(shì)：基于windows內(nèi)核驅(qū)動(dòng)的高效加解密技術(shù)BD-FSP對(duì)系統(tǒng)緩存進(jìn)行了大量的優(yōu)化，同時(shí)采用獨(dú)有的3層過濾判斷的技術(shù)，將系統(tǒng)的資源進(jìn)行了最優(yōu)化，使加密文件的打開和保存速度大幅度提高。實(shí)際測(cè)試結(jié)果證明，使用BD-FSP透明打開或保存大于100M的加密文件，時(shí)間延遲不超過2秒。更高的安全性多密鑰技術(shù)：BD-FSP為每個(gè)組、每個(gè)用戶都分配一個(gè)獨(dú)立的密鑰，對(duì)每個(gè)文件的加密都生成一個(gè)隨機(jī)密鑰，因此加密文件被批量破解的幾率幾乎為零。全程加密技術(shù)：BD-FSP采用“新建與覆蓋加密”方式，保證文件從創(chuàng)建即被加密，不會(huì)在保存文件的過程中，在硬盤上遺留任何未加密文件。內(nèi)存保護(hù)技術(shù)：保證內(nèi)存讀取軟件無法從緩存中獲取任何明文內(nèi)容。程序指紋技術(shù)：采集需要受控的程序的指紋作為唯一識(shí)別碼，即使將受控的進(jìn)程名進(jìn)行修改（如將winword,exe改為1.exe），保存出來的文件仍然被強(qiáng)制加密。同樣的，將其他程序名冒充為合法程序的方式也會(huì)被禁止（如將QQ.exe改名為winword.exe）。特有的分組分級(jí)授權(quán)管理分組權(quán)限為不同的分支機(jī)構(gòu)或部門（以下成為“組”）分配不同的密鑰，可以實(shí)現(xiàn)不同組的相對(duì)獨(dú)立，加密文件不可交換。也可以在同一個(gè)部門下設(shè)立多個(gè)繼承組，繼承組之間可以實(shí)現(xiàn)加密文件的共享。一個(gè)用戶可以屬于多個(gè)組，如設(shè)計(jì)部和項(xiàng)目部，兩個(gè)組之間采用不同的密鑰，通過組身份的切換來工作，以滿足項(xiàng)目管理的文件安全需要?！安患用芙M”：允許特權(quán)用戶在不加密狀態(tài)下進(jìn)行工作，只有查看加密文件時(shí)，才切換身份到響應(yīng)的組。“特權(quán)組”：允許特權(quán)用戶的存在，可以通過郵件外發(fā)解密、QQ外發(fā)解密、U盤讀寫解密、保存到指定文件夾解密等特殊權(quán)限?！半x職員工組”：限制離職員工對(duì)文件的讀寫操作，防止惡意修改和刪除。分級(jí)權(quán)限領(lǐng)導(dǎo)可以查看所有下級(jí)員工的文件，但是下級(jí)員工不能查看領(lǐng)導(dǎo)的文件。處于高級(jí)別的解密員，可以解密所有低級(jí)組別的加密文件。完全開放的策略庫(kù)，且功能強(qiáng)大的策略自定義功能開放的策略庫(kù)用戶可以根據(jù)需要，自行添加擴(kuò)展需要加密監(jiān)控的應(yīng)用程序和文件類型，無需二次開發(fā)即可對(duì)所有程序和文件類型進(jìn)行加密?？梢詫?duì)文件的加解密時(shí)機(jī)進(jìn)行選擇控制（如創(chuàng)建、打開、修改、覆蓋、重命名、關(guān)閉文件等加密時(shí)機(jī)）。可以對(duì)文件的拒絕操作時(shí)機(jī)進(jìn)行選擇控制（如拒絕打開、拒絕修改、拒絕覆蓋、拒絕重命名、拒絕刪除等）可以針對(duì)原文件為明文或密文時(shí)，分別進(jìn)行控制可以對(duì)單個(gè)的應(yīng)用程序的截屏、打印等操作進(jìn)行單獨(dú)控制，也可以對(duì)所有應(yīng)用程序進(jìn)行統(tǒng)一控制?？梢詫?duì)本地磁盤、網(wǎng)絡(luò)磁盤、移動(dòng)存儲(chǔ)介質(zhì)、光盤存儲(chǔ)、文件夾等分別進(jìn)行策略控制可以對(duì)策略執(zhí)行的優(yōu)先級(jí)（執(zhí)行順序）進(jìn)行設(shè)定更復(fù)雜的策略需求，可以通過腳本來進(jìn)行更細(xì)化的設(shè)置。圖13腳本方式詳細(xì)設(shè)置加密權(quán)限獨(dú)有的管理策略通過加解密及拒絕時(shí)機(jī)的設(shè)置，可以配置出更多的管理策略，如：離職策略：禁止離職員工對(duì)已加密文件或指定類型的文件進(jìn)行閱讀、修改或刪除領(lǐng)導(dǎo)策略：允許領(lǐng)導(dǎo)打開加密的文件，并保存為不加密文件允許領(lǐng)導(dǎo)將加密的文件拷貝到U盤時(shí)自動(dòng)解密允許領(lǐng)導(dǎo)通過QQ或Outlook等工具外發(fā)加密文件時(shí)自動(dòng)解密允許領(lǐng)導(dǎo)將加密文件刻錄到CD時(shí)自動(dòng)解密允許拷貝到領(lǐng)導(dǎo)計(jì)算機(jī)的文件自動(dòng)解密允許領(lǐng)導(dǎo)進(jìn)行文件解密等等。集中管理策略：設(shè)定文件只能保存到指定計(jì)算機(jī)，而不允許保存在本地磁盤。機(jī)密文件保護(hù)策略設(shè)定指定文件夾或指定計(jì)算機(jī)的文件只能閱讀，不能修改、重命名和刪除。非法程序禁止策略設(shè)定禁止運(yùn)行指定的應(yīng)用程序（如QQ等）U盤控制策略設(shè)定禁止U盤的使用，或者只能從U盤拷貝文件，禁止拷貝到U盤OA集成策略所有從OA上下載的文件均會(huì)自動(dòng)被加密禁止從OA中復(fù)制內(nèi)容到非法程序中加密控制強(qiáng)度策略較嚴(yán)格加密模式：無論任何軟件保存產(chǎn)生的指定類型的文件（如：*.doc），都會(huì)被強(qiáng)制加密。最嚴(yán)格加密模式：除了“較嚴(yán)格加密模式”中提到的要求外，還要求文件在被閱讀一次后，就能被自動(dòng)加密。文件控制策略：指定用戶通過QQ外發(fā)時(shí)，接收者可以接收到明文內(nèi)容指定用戶通過郵件外發(fā)時(shí)，接收這可以接收到明文內(nèi)容指定用戶通過外發(fā)打包工具進(jìn)行外發(fā)時(shí)，可以進(jìn)行文件讀寫權(quán)限的控制。真正對(duì)互聯(lián)網(wǎng)認(rèn)證機(jī)制的支持BD-FSP的加密客戶端不但可以支持遠(yuǎn)程連接加密認(rèn)證服務(wù)器，而且可以通過互聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)一個(gè)分部的同一IP、不同用戶的分別獨(dú)立的加密管理。圖14基于互聯(lián)網(wǎng)的遠(yuǎn)程安全認(rèn)證專有的文件防損毀機(jī)制為了防止文件的破壞（損毀），BD-FSP采用了專有的文件鏡像保護(hù)機(jī)制，原理類似于微軟的文件保護(hù)機(jī)制，只有確認(rèn)被正確加密成功后，才會(huì)將原文件進(jìn)行刪除，從而確保文件不會(huì)在外界干擾下保存時(shí)可能導(dǎo)致的損壞。文件解密審批流程文件外發(fā)時(shí)，需要向解密審批人提出申請(qǐng)并發(fā)送需要外發(fā)的加密文件，審批者在確認(rèn)文件可以外發(fā)后，發(fā)送解密文件給申請(qǐng)人，自動(dòng)