全盘加密

SophosSafeGuardEnterprise

2

目录

1前言3

2SAFEGUARDENTERPRISE主要功能和模块4

SafeGuardEnterprise功能4

SafeGuardEnterpriseDeviceEncryption设备加密模块功能说明4

SafeGuardEnterpriseDataExchange数据交换模块功能说明4

SafeGuardEnterpriseConfigurationProtection设备保护和控制模块功能说明5

3系统架构6

系統架构和要求6

设备控制与管理(PortControl-SGNCP)9

移动存储加密11

全硬盘加密12

中央集中管理15

附件A:部署计划18

附件B:支持智能卡和令牌列表20

3

1前言

随着信息化的高速发展，内网安全得到越来越多来自社会各界人士的关注和重视。

在计算机广泛使用的今天，计算机的丢失会给用户带来很大的麻烦，除物质损失外，电

脑中存储的涉密资料或个人隐私的泄密会成为另一个潜在的威胁，有可能给用户带来无

可挽回的损失。

如何能够保证在电脑丢失的情况下，电脑中存储的资料不被泄密。

如何能够保证在使用者使用移动存储能够安全的使用，移动存储不会因为丢失而造

成数据外泄。

Utimaco提供了一个完整与有效的的解决方案。Utimaco是数据保护的领先厂家，连续

三年为Gartner推荐领先产品。UtimacoSafeGuard同时也获得多种国际上的认证，

如：FIPS，CommonCriteriacertified。

本方案书说明了UtimacoSafeGuardEnterprise的方案、核心、集中管理等功能.

UtimacoSafeGuard有以下几个模块：

▪SafeGuardManagementCenter:管理中心

实施和强制策略管理，中央控管各种不同的策略与混合的IT网络环境.

▪SafeGuardDeviceEncryption:设备加密

透明的加密在笔记本、台式机、移动存储，保护使用者的设备因移失或失窃所造

成的安全问题.

▪SafeGuardDataExchange:数据交换模块

确保安全数据交换介由移动存储，即便客户端没有安装Safeugard安全软件还

是可以读取加密的数据.

▪SafeGuardConfigurationProtection:设备保护和控制

管理和控制外设设备，限制某一些品牌或是某一些序号的移动存储才能在局网的

计算机使用，因为外设设备移失所造成的安全问题。外设设备管理包含了，

USB、光驱、无线、红外、串口等多种外设设备

UtimacoSafeGuardEnterprise是一个模块化的解决方案，可依照你的安全需求进行

打造。

4

2SafeGuardEnterprise主要功能和模块

SafeGuardEnterprise功能

策略实施和平台

细微策略(users,OUsordevicetypes)

支持ActiveDirectory整合

集中管理密钥和证书管理

建立、交换和备份密钥

集中智能卡和令牌管理.

在混合环境管理

WindowsXP,Vista

外设加密解决方案

多角色管理

日志和稽核

SafeGuardEnterpriseDeviceEncryption设备加密模块功能说明

全硬盘加密保护所有数据

强制策略实施

遵照公司安全法规

完整日志记录

透明加密与使用

开机启动认证PoweronAuthentication(POA)

-单一认证到操作系统Singlesign-ontoOS

-支持多动智能卡(smartcards)

不会造成生产力降低

使用者忘记密码时，提供安全和简单的紧急救援方案(Challenge/Response)。

SafeGuardEnterpriseDataExchange数据交换模块功能说明

加密所有外设储存设备(USBdrives,externalHDDs,memorycards,rewritable

CDs/DVDs)

对内网人员是完全透明的

可以在没有Safeguard客户端上读取加密的数据。

5

弹性的工作流

-混合加密和未加密的数据在同一个移动储存上

密码忘记保护措施。(challenge/response)

SafeGuardEnterpriseConfigurationProtection设备保护和控制模块功

能说明

防止企业数据泄密

端口控制(PortControl)

设备控制DeviceControl

无线、蓝芽、红外控制

支持白名单

限制特定序号的设备才能传输设备

阻止…

键盘记录,HybridNetworking

结合DataExchange

整合外设加密策略

6

3系统架构

系統架构和要求

组成组件和系统基本要求

SafeGuardEnterprise架构包含了下面几个组件：

▪SafeGuardEnterpriseServers(与MicrosoftIIS整合)

▪MicrosoftSQLServer(可以企业原有SQLServer整合)

▪客户端(PCs/laptops)

所需要求硬件、软件、操作系统、其它软件

SafeGuardEnterprise需要以下硬件与软件的支持.

网络架构

网络服务与使用者管理:

▪MicrosoftWindows2003ServerwithActiveDirectory

▪MicrosoftWindows2000ServerwithActiveDirectory

数据库:

▪MicrosoftSQLServer2000SP4

▪MicrosoftSQLServer2005SP1

▪MicrosoftSQLServer2005ExpressSP1

▪MicrosoftSQLServer2005SP2

▪MicrosoftSQLServer2005ExpressSP2

网络连接:

客户端必需要能够连接到

▪SGNServeronPort80/TCP

SafeGuardEnterpriseConsole必需要能连接到：

▪SQLdatabase(Port1433/TCPPort&1434/TCPforSQL2000&2005(Express)

dynamicport;Port1148/TCPforSQL2005)

▪ActiveDirectory(Port389/TCP,Port636SLDAP).

SafeGuardManagementCenter管理平台

硬件:

▪IntelorAMDX86CPU(32bit)

▪1GBMBRAM

▪1GBfreeharddiskmemory(recommended)

软件:

操作系统

▪MicrosoftWindowsXPSP2

7

▪MicrosoftWindows2003ServerSP1

▪MicrosoftWindows2003ServerR2SP1

▪MicrosoftWindows2003ServerSP2

▪MicrosoftWindows2003ServerR2SP2

▪.NETFrameworkRedistributional3.0withServicePack1

▪WindowsNTauthentication

▪SQLdatabaseauthentication

TestedX.509certificates

▪MicrosoftPKI(length384to4096bit)

▪MSBaseCryptographicProvider1.0

▪MSStrongCryptographicProvider

▪OpenSSL

SafeGuardEnterprise服务器(SGN)

硬件:

▪IntelorAMDX86CPU(32bit)

▪1GBMBRAM

▪1GBfreeharddiskmemory(recommended)

软件:

OperatingSystems(otherOSlanguageswerenottestedbutshouldwork)

▪MicrosoftWindowsXPSP2

▪MicrosoftWindows2003ServerSP1

▪MicrosoftWindows2003ServerR2SP1

▪MicrosoftWindows2003ServerSP2

▪MicrosoftWindows2003ServerR2SP2

▪.NETFrameworkRedistributional3.0withServicePack1

MicrosoftInternetInformationServer

▪Version5.1onWindowsXP

▪Version6.0onWindows2003

▪IISUpdateaccordingtoMicrosoftKB934903articlerecommended

TheWindowsusermusthaveR/Waccesstothedatabaseusingoneofthe

followingauthenticationmethods:

▪WindowsNTauthentication

▪SQLdatabaseauthentication(recommended)

8

▪

SafeGuardEnterprise客户端

硬件:

▪IntelorAMDX86CPU(32bit)

▪512MBRAM(minimum),1024MB(recommendedforWindowsVista)and

5GBfreeharddiskmemory(minimum)

操作系统要求:

▪MicrosoftWindowsXPSP2

▪MicrosoftWindowsVistaEnterprise,UltimateorBusinessSP1

(TheBitLockerClientfeatureissupportedforWindowsVistaEnterprise

andWindowsVistaUltimateeditionsonly)

▪MicrosoftWindows2000SP4

软件要求:

▪InternetExplorerVersion5.5orhigher

▪TheConfigurationProtectionModule(notsupportedonWindows2000)

meworkRedistributional2.0

9

设备控制与管理(PortControl-SGNCP)

PortandDeviceLevelControl

SGNCP控制可以针对计算机所有外设设备进行管理与控制。它是一个实时的控制与管

理。可以控制的项目包含：:

▪实体Interfaces

➢USB

➢FireWire

➢PCMCIA

➢SecureDigital(SD)

➢Parallel

➢Serial

➢Modem

➢InternalPorts

▪无线

➢WiFi

➢Bluetooth

➢InfraRed(IrDA)

▪存储设备

➢RemovableStorageDevices

➢ExternalHardDrives

➢CD/DVDDrives

➢FloppyDrives

➢TapeDrives

10

SGNCP可以基于设备的型号、序号，侦测、允许限制外设的使用。储存设备管理人员可

以定义是否允许使用或是只能读、是否加密等措施。无线的控制可以基于MAC地址或是

SSID来进行管理。

多样化的策略可以基于原有的ActiveDirectory里的OU,电脑，使用者来进行策略的

应用。

▪SGNCP预防:

➢数据丢失与遭窃

➢企业遭渗透

➢病毒与恶意代码的入侵

设备白名单

SGNCP允许管理人员定义设备白名单。管理人员可以限制基于设备的型号与序号。

附件管理(结合SGPP模块或是/SGNCP5.4版以上)

管理人员可以定义何种附件类型可以写或读到移动存储。分门别类为14种大类，.所

支持的附件类型超过180种附件类型，

镜像(结合SGPP)

管理人员开放让客户端可以写入特定的附件格式后，当使用者写入这个格式的附件到移

动存储后会，客户端会自行将该附件实施一份镜像放入到所指定的服务器中。

11

移动存储加密

为了防止移动存储数据的丢失，所造成的安全问题。移动存储的加密就变的非常的重要

了。我们经由SafeGuardDataExchange的解决方案来实施防护。

SafeGuardDataExchange对使用者来说是一个透明的加密工具，不会对使用者造成何

生产力降低的问题，同部门同一群组的读取移动存储设备经由”Keyring”快速安全的

读取所有数据。对于没有安装加密的客户端软件的使用者可以经由密码的方式来开始被

被加密的移动存储。

SafeGuardDataExchange是基于SafeGuardEnterprise的其中一个模块

安全特色

▪快速和透明加密在所有存储设备

▪保护FAT,FAT32和NTFS文件系统

▪使用最高等级的AESalgorithm256-bitkeys加密技术

▪SecurekeyderivationbasedonPKCS#5

▪防范未被授权的存储设备

▪SafeGuardManagementCenter备份管理密钥

Figure1:SafeGuard可携带软件(Portable)

12

全硬盘加密

开机前认证Pre-boot/Power-onAuthentication(PBA/POA)

SafeGuardEnterprise实施开机前认证，有一个32-bit的内核32-bitSafeGuard

Enterprise，这个内核会隐藏在硬盘中防止一切强行要在开机前所进行的行为。使用者

必需要经由它认证才能到达操作系统，进到加密的硬盘。这个行为可以结合Windows认

证。如果客户端进行了休眠模式(SuspendtoDisk)后启动也要进行这样的认证。

开机前认证Power-on-Authentication提供的好处：

▪图型的认证界面

▪开机前认证的Logo是可以定义与修改的。包含背景。

▪支持多种智能卡。

▪支持Windows使用者帐号和密码一次登入，不需要登入二次。

▪支持Unicode

Figure2:SafeGuardEnterpriseUserLogin(Power-on-Authentication)

13

全硬盘加密

SafeGuard设备加密(DeviceEncryption)模块提供了设备加密的功能。其中包含了硬

盘、USB盘、CF卡、DVD/C等外设。加密的行为是完全透明的。如果加密的设备移失

了，获取到的人是完全没有办法读取该内容的。

SafeGuardDeviceEncryption是目前行业中唯一提供扇面(Sector)和文档(File)同时

的解决方案。使用者可以将加密和未加密的档案放置在任何存储介质中。.

有弹性的企业加密解决方案

SafeGuardDeviceEncryptionSafeGuardEnterprise中其中一个模块

当数据被加密后，不论是读取式是修改，都不需要人为的介入或是其它软件的干预，对

使用者来说都是透明的。有以下的选项。

▪不加密

▪全盘加密(Volume-basedencryption确保所有数据都是加密的包含开机档和

交换档(swapfile)等所有系统文换。不需要使用者参与修改任何设置。

▪文档加密

14

多因素认证:令牌和智能卡

SafeGuardEnterprise支持双因素认证加强了使用者计算机的安全.

移动存储加密

以下是所支持的加密外设。

▪CFC,SDC,MMC,SMC,etc.

▪USBmemorysticksandharddrives

▪FireWireharddrives

▪CD/DVD-RW

▪Floppy,ZIP,Jazdrives

▪AllotherdevicesrecognizedbytheOSasstoragemedia

15

中央集中管理

企业中央集中管理

SafeGuardManagementCenter提供针对所有连接上的设备与使用者实施策略管理.

SafeGuardEnterprise与SafeGuardDeviceEncryptionSafeGuardDataExchange

等模块协同运作。

SafeGuardManagementCenteryouenforceyoursecuritypolicythroughoutthe

tions,implementation,andcontrolarecentralized:

多角色管理，你可以定义多管理人员进行不同组织与不同群组和人员的管理.

Figure3:SafeGuardManagementCenter(screenshot:‘Users&Computers’)

16

.

Figure4:SafeGuardManagementCenter(screenshot:‘SecurityOfficers’)

Figure5:SafeGuardEnterpriseindividualcomponentsandtypicalscenario

ondatatransfer

Network

AD,PKIorother

externalsource

Keyring

Policy

Status

Keyring

Policy

Status

SafeGuardEnterprise

DataStorage

Management

Center

Services

SafeGuardEnterprise

ManagementCenter

SafeGuardEnterprise

Services(primary)

Transport

Services

Feature

Services

Transport

Services

LocalData

Storage

Client

Services

Transport

Services

LocalData

Storage

Client

Services

Transport

Services

LocalData

Storage

Client

Services

SafeGuardEnterprise

Services(secondary)

Transport

Services

Feature

Services

17

18

附件A:部署计划

部署计划

No.

Stage

Description

Required

Time

Time

Flow

1现场检查查看现在环境1hourDay1

2检查软件后版本目前版本5.350.1hourDay1

3查看系统最低配制

1.查看客户端计算机是否兼容最低要求(seeSGN

InstallationGuide).

2.查看服务器是否达到最低要求seehardware

requirementsdocument)

0.5hourDay1

4数据库设置数据库的整合，数据库的调整1hourDay1

5

安装SGNconsole

和Server

2hoursDay1

6生成客户端从managementconsole生成安装保给客户端.3hoursDay1

7客户端部署安装客户端在数个客户端进行基本测试.2hoursDay1

8日志日志查看是右正常.0.5hourDay1

9强制测略实施硬件加密策略0.5dayDay2

10

大量部署(1000SGNClients)

No.

Stage

DescriptionRequired

Time

Time

Flow

1Clientsdeployment

Afteralltheprecedingtestsendedsuccessfully,the

ll

stageshouldlast5days.

5days

Day1–

25

2

Loggingonly

policyenforcement

Aftereachrollout,

eachrollout,themanagementconsolelogsshouldbe

examined.

0.5hour

Day1–

25

3

Finalpolicy

enforcement

Enforcetheproperpolicyoneachsegmentofthe

organizationaccordingtotheorganizationsecurity

icyshouldbeenforcedinstages

thebehavioroftheclientswiththenewdefined

policy.

0.5hour

Day1–

25

19

使用者测试计划

No.

ItemtoCheck

CheckingProcedureandExpectedResult

Result

ConnectivityTest

1

IIS和数据楼连

接测试。

使用系统连接测试WebServer和数据库连接是否正常

Yes/No/

NA

2

5.30SGN客户端

连接测试

确定客户端可以连接到服务器

Yes/No/

NA

3策略建立建立新的策略并测试在某一个OU或群组。

Yes/No/

NA

功能测试

4

开机认证(POA)支

持单一认证

(singlesign

on)

使用AD帐号登入POA(Power-On-Authentication)

Yes/No/

NA

5部署加密策略针对某一OU或群组进行硬盘加密

Yes/No/

NA

6

Challengeand

response支持

使用challengeandresponsesystem所提供密码认证

Yes/No/

NA

20

附件B:支持智能卡和令牌列表

智能卡读卡器(SmartCardReader)支持开机起动认证(Power-on-Authentication)产品

列表

ManufacturerCardReaderInterfaceComment

ACSACR38U-CCIDUSBCCID;firmwareversion

v1.12corhigher

required!

ActivIdentityUSBReader3.0USBCCID

CherryST-1044UUSBCCID

ST-2000USBCCID;PINpadforsecure

PINentryisnot

supported

ST-4044PC-CardCardMan4040OEM

G83-6644USBCCID,keyboard

G83-6733USBCCID,keyboard

G83-6744USBCCID,keyboard

DellRT7D60USBCCID,keyboard

SK-3105USBCCID,keyboard

GemaltoGemPCExpressExpressCardCCID

GemPCTwinUSBCCID

GemPCKeyUSBCCID,SIMsize

ReflexUSBv3USBCCID

HPSCTerminal

(KUS0133)

USBCCID,keyboard

KobilKAANBaseUSBCCID

KAANAdvancedUSBCCID;PINpadforsecure

PINentryisnot

supported

o2microOz776integratedCCID

OmnikeyCardMan3121USBCCID

CardMan4040PC-Card

CardMan4321ExpressCardCCID

CardMan5125USBCCID;contactless

interfaceisnot

supported

CardMan5321USBCCID;contactless

interfaceisnot

supported

CardMan6121USBCCID,SIMsize

21

ManufacturerCardReaderInterfaceComment

SCMSCR331USBCCID;firmwareversion

5.18orhigherrequired!

SCR335USBCCID

SCR3310USBCCID

SCR3311USBCCID

SCR3320USBCCID,SIMsize

SCR3340ExpressCardCCID

SDI010USBCCID;contactless

interfaceisnot

supported

22

令牌(Token)支持开机起动认证(Power-on-Authentication)产品列表

VendorUSBTokenMiddlewareSupplier

ActivIdentityActivKeySIM

ActivKeyDisplay

ActivIdentity

Aladdin(CardOS)eTokenPro

eTokenNG-Flash

eTokenNG-OTP

Aladdin

CharismathicsOTPSign

plug’n’cryptID

Charismathics

EutronCryptoIdentityAET

Charismathics

VascoDigiPass860Charismathics

智能卡(SmartCard)支持开机起动认证(Power-on-Authentication)产品列表

VendorCardVersionsCardTypeDataFormat

ActivIdentitySmartCard64Kv2(Oberthur)

v2c(Axalto)

GND(G&D)

JavaCardActivIdentity

AETAspectsOS7552.8JavaCardPKCS#15

AxaltoeGateJavaCardPKCS#15

AxaltoCyberflexDeveloper

64Kv1

64Kv2

Palmera

JavaCardPKCS#15

G&DSm@rtCafeExpert2.0

Expert3.0

64K

JavaCardPKCS#15

G&DSTARCOSSPK2.3

2.4

2.5DI

3.0

ISO7816PKCS#15

GemplusGemXpresso211PK

ProR3

JavaCardPKCS#15

IBMJCOP20

21id

30

31

31bio

4172K

JavaCardPKCS#15

KeyCorpMultOSV4.248K

V4.264K

MultOSPKCS#15

MartSoftJavaCardJavaCardPKCS#15

OberthurCosmopolICV4JavaCardPKCS#15

OberthurIDoneCosmo64v5.3JavaCardPKCS#15

ORGAJCOP20

30

JavaCardPKCS#15

CharismathicsSiemensCardOSM4.3bISO7816CSSID

SiemensSiemensCardOSM4.3bISO7816PKCS#15

SOPHOS