檢視数据保护的原始碼

数据安全保护系统是依据国家重要信息系统安全等级保护标准和法规，以及企业数字知识产权保护需求，自主研发的产品。它以全面数据文件安全策略、加解密技术与[[强制访问控制]]有机结合为设计思想，对信息媒介上的各种数据资产，实施不同安全等级的控制，有效杜绝机密信息泄漏和窃取事件。

数据保护应当以[[零信任]]架构为指导，从[[资产]]、[[入侵]]、[[风险]]三个视角出发，实现覆盖数据全生命周期的数据安全体系建设，包括数据发现与分类分级，数据使用安全、数据流动安全、外部入侵安全，数据存储安全、态势感知等安全能力输出，构建全方位的数据安全保护体系。

*中文名:[[数据保护]]

*外文名:data protection

*全    称:数据安全保护系统

*保护对象:政府及企业的各种敏感数据文档

==数据安全保护系统==
数据安全保护系统的保护对象主要是政府及企业的各种敏感数据文档，包括设计文档、设计图纸源代码、[[营销方案]]、财务报表及其他各种涉及国家机密和企业[[商业秘密]]的文档，可以广泛应用于政府研发、设计、制造等行业。

==产品特点==
1. [[透明加解密]]技术：提供对涉密或敏感文档的加密保护，达到机密数据资产防盗窃、防丢失的效果，同时不影响用户正常使用。

2. 泄密保护：通过对文档进行读写控制、打印控制、[[剪切板]]控制、[[拖拽]]、拷屏/截屏控制、和内存窃取控制等技术，防止泄漏机密数据。

3. [[强制访问控制]]：根据用户的身份和权限以及文档的[[密级]]，可对机密文档实施多种访问权限控制，如共享交流、带出或解密等。

4. 双因子认证：系统中所有的用户都使用USB-KEY进行身份认证，保证了业务域内用户身份的安全性和可信性。

5. 文档审计：能够有效地审计出，用户对加密文档的常规操作事件。

6. 三权分立：系统借鉴了企业和机关的实际工作流程，采用了分权的管理策略，在管理方法上采用了职权分离模式，审批，执行和监督机制。

7. 安全协议：确保密钥操作和存储的安全，密钥存放和主机分离。

==产品功能==
1. 密指定程序生成的文档

强制加密指定程序编辑的文档。用户访问加密文档时，需要连接服务器（在线，非[[脱机状态]]），并且具有合适的访问权限。该加密过程完全透明，不影响现有应用和用户习惯。通过共享、离线和外发管理可以实行更多的[[访问控制]]。

2. 泄密控制

对打开加密文档的应用程序进行如下控制：打印、内存窃取、拖拽和剪贴板等，用户不能主动或被动地泄漏机密数据。

3. 审批管理

支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。

4. 离线文档管理

客户端需要连接服务器才能访问加密文档。通过本功能制作离线文档，即使客户端未连接服务器，用户也可以阅读这些离线的文档。根据管理员权限许可，离线文档可能需要经过审批管理员审批离线时，可以控制客户端的离线时间和离线时是否允许打印。

5. 外发文档管理

外部人员不能阅读加密文档的内容。本功能制作外发文档，即使在未安装客户端的机器上，也可以阅读这些外发的文档。根据管理员权限许可，外发文档可能需要经过审批管理员审批外发的文档，和内部使用一样，受到加密保护和泄密控制，不会造成文档泄露，同时增加口令和[[机器码]]验证，增强外发文档的安全性。

6. 用户/[[鉴权]]

集成了统一的用户/鉴权管理，用户统一使用USB-KEY 进行身份认证，客户端支持双因子认证。

7. [[审计管理]]

对加密文档的常规操作，进行详细且有效的审计。[[控制台]]提供了基于WEB的管理方式。审计管理员可以方便地通过浏览器进行系统的审计管理。

8. 自我保护

通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

==应用效果==
1. 数据资产保护

只有通过身份认证，并在服务器管理下，才能访问这些文档。因此，无论是因为计算机失窃，还是由于内部员工通过移动存储设备、电子邮件或即时通讯工具把加密文档外传，都能够保证加密文档无法阅读。

2. 防止泄密

有效防止用户主动或被动泄漏机密数据，用户无法通过拷贝、打印、内存窃取、外传等方式外泄这些加密文档的内容，即使是通过黑客工具也无法窃取加密文档的内容。

3. 文档访问管理

用户只能访问属于本人的加密文档，根据管理员配置，对加密文档的指定操作需要管理员审批才能进行，例如共享和解密文档。

4. 灵活、容易操作

不改变用户使用习惯和业务操作流程，根据实际应用需求，可进行[[系统配置]]，支持加密文档的共享、解密以及带出功能，同时允许设置管理员进行审批，规范了文档的管理,降低了[[管理成本]]。

5. 事件追踪

全面的系统管理，及数据文档操作事件审计，系统详细记录了管理员管理系统的事件，用户操作加密文档的事件，做到系统发生的事件均可追溯相关责任人。

6. 无需值守，管理成本低

提供基于WEB的管理方法，管理员可以通过浏览器进行系统管理。用户与计算机设备绑定，同时使用USB-KEY身份认证技术，每个用户依据配置的策略进行操作，即使“管理员不在场”也不会发生违规操作和窃、泄密事故。

==云计算与数据保护==

云计算和数据保护是非常棘手的一项工作。当企业把服务迁移至云计算时，由于失去了对其敏感数据的控制而只能依赖于云计算服务供应商来确保数据的安全性，他们往往会为此担惊受怕。本云计算数据保护教程选自
SearchCloudSecurity以及专家技术文章。它对如何在云计算中保护数据提出了建议，并可作为云计算加密技术的使用指南。在教程中，我们讨论了云计算加密的意义、介绍了实施云计算加密的挑战以及若干使用案例。

'''云计算加密与IaaS'''

实施数据加密可能会有很多种常见的原因，但是当你在与[[云计算服务]]供应商打交道时，实施数据加密的一些原因可能就不是那么明显了。在本文中，信息安全专家Rich Mogull将介绍在云计算中进行数据加密的最重要原因、用于实现IaaS安全性的云计算加密技术以及实现IaaS安全性的两种IaaS存储数据加密方式。

'''云与数据保护：云中使用DLP工具'''

决定实施云计算可能会引起企业对安全性问题越来越多的关注，尤其是关注数据保护。因此，对于每个企业来说，彻底审视和理解云计算与数据保护方法都是很重要的。防数据丢失（DLP）工具不仅可以帮助控制迁移至云计算的数据，而且可以发现云计算中发生暴露的敏感数据。在Rich Mogull的这篇文章中，安全专家将了解有关如何使用DLP工具来保护基于云计算的数据，以及在云计算中运行防数据丢失技术局限性的更多信息。

'''云数据安全性：管理未授权的云用例'''

你有可能会认为你完全了解了所有企业云计算活动（例如云计算中数据或应用程序部署）时，但是这往往是你的一厢情愿。开发人员或销售人员可能会在你毫不知情的情况下把数据迁至云计算。这里，Rich Mogull解释了如何检测和管理未经授权的云计算使用，并介绍了三种能够帮助企业用户管理未授权云计算使用的工具。

'''云计算加密用例和架构'''

云计算加密是较为复杂的，但是如果能够实施得当，它在[[私有云计算]]<ref>[https://baike.baidu.com/reference/2497100/f4fcTCj77BuQDK9g9HNoz64Xfe8kNEujUVD6hZgXHS9U9JRbw_LNwbgMSrNcWOfKE_MYUBJT2pJBSoPQ8eCPzB77gk1z715wuRr1kP1tZWwK54foCgA9Bwoy6US_cbU6d0CrUla_  MBA智库百科,引用日期2013-01-01] </ref> 和公共云计算中还都是极具优势的，它可以让企业在共享设施中保护好具有不同敏感等级的数据。在本文中，安全专家将看到云计算加密的三个主要用例，以及在常见[[云计算架构]]中是如何处理加密三个主要组成部分的，即数据、引擎和[[密钥管理]]。

'''在云中确保数据安全性与云计算加密'''

每一种数据保护策略都应考虑传输中的数据和存储中的数据。不幸的是，虽然大多数云计算服务供应商支持对传输中数据的加密，但是很少有供应商支持对存储中数据的加密。因此，为了确保云计算环境中数据安全性，企业必须了解云计算加密的替代解决方案。这里，安全专家Joseph Granneman介绍了云计算加密与合规性，并探讨了云计算加密的关键考虑因素与方法以及如何在云计算中实现数据安全性。

==主数据保护==
主数据指的是在线运行的数据。主数据能够采用单一技术，或者结合多种技术进行保护。一些常用的方法包括：RAID保护、多份拷贝、远程复制、快照、和持续数据保护。

在市场上大多数云计算平台里，主数据保护的问题常常留给用户。很少发现上述的方法在大众云计算平台中使用，因为技术的复杂性和成本。有一些大众云存储方案通过维护数据的多份拷贝来保护主数据，整个系统运行没有RAID保护的存储里，以此降低成本。

企业级云的主数据保护应该基于内部企业级方案。当方案的业务影响分析(BIA)需要时，例如快照和容灾等可靠的技术应该就绪。

内部企业方案和企业云存储的主要差别在于，主数据保护在方案中是如何绑定的。为了延续根据需要部署云环境的经验，各种选项必须打包，这样服务能自动部署。其结果是，将一系列绑定的选项打包，能够应对大量需求。也许不存在可以利用快照、远程复制等与客户需求相匹配的技术。无论如何，多数用户将意识到，常常需要牺牲灵活性去获取在企业云中其它的管理好处。

==数据保护解决方案==
能进行基于Hyper-V和VMware虚拟机的备份， 使用基于虚拟层的备份应用接口实现

备份实现快照功能，并能将备份数据复制到其它备份介质上

包含重复数据删除，提供源端消重、备份服务器消重和存储阵列消重的选项

集成私有云或者软件定义数据中心管理能力和虚拟层用户管理能力

==参考文献==
{{Reflist}}

[[Category:312 電腦科學]]