secWall

secWall是萬華數據科技有限公司出品的一款文件加密系統。

應用到secWall的情況：

我們公司剛剛設計出來的新產品，怎麼對手公司也推出了同樣的產品呢？

技術人員王工去了對手的公司，會不會帶走我們的最新設計成果呢？

我們花了幾百萬買來的圖紙，怎麼對手公司的新產品設計和我們的如此相似？

我們的光驅、軟驅、USB接口都封掉了，怎麼還是阻止不了圖紙外泄呢？

……

我們已經想了很多辦法：出入公司要檢查、禁止使用U盤等移動存儲設備、禁止向外發送郵件、斷開公司內外網絡、安裝防火牆等安全系統……

但是，泄密事件還是發生了。

現在，secWall 企業版（數據圍牆）從源頭上解決問題！

secWall企業版（數據圍牆）致力於解決企業的內部數據防泄密問題。該系統一改傳統安全系統“防、堵”的模式，採用創新的文件全生命週期保護安全策略，實現電子化文檔數據的實時保護。secWall數據圍牆安全策略的出發點不是通過防止文件被帶出，而是所有企業機密數據都以加密形態存放和使用，與外部處於虛擬隔離狀態。加密的企業數據只有在企業內部才能被正常識別，企業環境是實時加解密引擎解碼數據的必要條件。同樣的數據通過複製、網絡傳送，甚至拆走存放數據的硬盤，一旦離開企業環境，這些數據就是毫無意義的亂碼一堆。如同為企業的計算機環境加了一道無形的圍牆，技術圖紙、商務機密、客户資料、財務數據等在牆內沒有任何變化，同樣是這些數據一旦被帶出企業，因為失去了secWall構築的企業安全環境的支持，這些數據因為無法解碼而變得毫無價值。

⑴ 保存企業機密的電子文件在全生命週期（包括在新建、瀏覽、編輯、更改等操作文件的時候）始終都是加密的。

⑵ 受保護的電子文件只在secWall數據圍牆內部的計算機上可用，在其他計算機上不可用。

⑶ secWall安全環境下，以實時加解密引擎為核心。所有應用程序（如Word、各種CAD軟件等）不需要解密就直接讀寫、編輯、更改文件；如果把文件複製到secWall安全環境外，沒有secWall安全環境的支持，應用程序就無法處理文件。

⑷ 在企業secWall安全環境中，任何文件只要引用了機密文件的內容，都將自動加密。保證機密數據/文件的引用和重組安全性。

⑸ 在secWall安全環境中，普通用户能正常使用機密文件，但不能通過拷貝粘貼片斷機密數據內容經由QQ、MSN等聊天工具將機密內容傳遞給互聯網上的其他人。

secWall系統安全和易用兼備，徹底改變了傳統信息安全產品安全性和易用性總是背道而馳的尷尬局面。secWall不需要使用者具有信息安全理念和技術背景，用户甚至不需要知道自己使用的數據是不是加密數據，因為secWall安全系統保密的數據或文檔不改變原來存放的位置，也不改變用户原來的操作方式和使用習慣，授權用户可以直接使用。所有與數據安全相關的工作都由secWall系統在後台自動完成和保障。

secWall系統體系結構採用軟件和硬件結合的方式，硬件稱為secWall IC（本手冊中或簡稱為“IC”），採用標準USB接口，類似常見的U盤外形。secWall IC集智能卡、讀卡器和微型安全操作系統功能於一體。可以這樣理解secWall單用户版的體系結構：

Ø 沒有安全系統的計算機處於全開放狀態，任何人都可以從計算機上拿走他想要的數據。

Ø secWall軟件平台為計算機系統加了鎖，機密數據對其他人是不可見的，即使鎖被別人砸壞了。

Ø secWall IC是加了鎖的計算機的鑰匙。授權使用者只需要插上鑰匙使用計算機，操作和感覺與沒有安裝secWall系統前沒有任何不同。

secWall企業版（數據圍牆）主要技術特徵：

Ø 實時主動強制加密技術

secWall企業版採用智能數據流向追蹤技術主動強制加密涉密數據，企業環境中任何設定為涉密數據的文件內容在被複制、引用、轉移時都將保持加密狀態。加密的數據只能在企業環境中才能被正確解讀。

Ø 即插即用的保密文檔

secWall IC使用USB接口，secWall系統把USB接口的即插即用特性擴展到保密文檔上。用户只需要插上IC，保密的文檔無須解密就可以正常使用；拔掉IC，保密的文檔就地消失。這一特性源於secWall系統採用了業界領先的實時加解密技術。實時加解密技術加密時不需要搬動文件的位置，使用時也不需要事先解密。由於這種先進技術的引入，secWall系統具有很多一般加密系統無法做到的新特徵。

ü 可以加密其他應用程序的程序或數據文件

如可以加密文檔資料、即時聊天記錄、上網歷史記錄、通訊錄、證券交易軟件、網上銀行客户端軟件等，這種加密其他應用軟件程序和數據的特性使secWall系統成為真正的安全平台，用户可以與自己的實際應用環境組合出千變萬化的安全解決方案。

ü 可以以文件、文件夾或邏輯盤符（驅動器）為單位進行加密

secWall加密對象的最小單位是單個文件，最大可以是驅動器。在secWall環境下，未授權的用户不能進入加密的驅動器和文件夾，也不能存取加密文件。在secWall安全環境失效（如：自主卸載secWall系統、拆卸數據硬盤進行暴力性攻擊）時，加密文件以密文形式存在，攻擊者無法獲得加密文件的內容。

ü 自動加密操作員新建和保存的文件

secWall加密的文件夾或驅動器具有保密繼承屬性，任何在加密文件夾或驅動器下生成的文件或文件夾都會保持加密狀態。管理員只需要進行一次加密，以後操作員新生成的文件都會自動加密。這一特性使保密可靠性與實際操作員無關，不會因為操作員的操作失誤或操作員的保密能力意識欠缺等原因導致機密數據的流失。

ü 加密文件使用過程中不會在磁盤上留下機密資料明文文件

由於secWall加密的文件不需要解密就可以直接使用，不象傳統保密軟件在使用加密數據前必須先解密成明文文件，因此不存在傳統保密系統機密數據使用時的風險。

Ø 高強度分組加密技術

secWall採用了符合AES標準的高強度分組加密技術，採用128分組和256位密鑰對數據進行全程編碼加密。

Ø 隨身攜帶的密鑰

secWall 系統將加密使用的關鍵密鑰放在可隨身攜帶的secWall IC硬件上(集控服務器版密鑰在企業服務器上動態分發)，與密文的存儲位置在物理上分離，具有極高的安全性。secWall IC自身採用PIN技術識別主人身份，防止他人盜用和消除IC遺失後可能的安全隱患。

Ø 可選的IC自動登錄和拔離自動鎖定功能

用户在登錄計算機時無需輸入用户名與密碼，只需插入IC，便可登錄到計算機。拔掉IC，計算機立即鎖定，插回IC，立刻恢復到原來的工作畫面。

Ø 增強的硬件身份認證功能

登錄系統和解鎖計算機時可選擇使用強制IC硬件身份認證功能以阻止其他用户通過輸入用户名/密碼進入計算機。

Ø 加密文件自動隱藏

用户對文件設置保密後，拔掉IC，加密文件自動隱藏；插入IC，加密文件則自動顯現並可以正常使用。

某研究所技術成果保護方案

這是secWall 企業版保護單個重要部門數據的典型應用，適合企業用於單一的保護知識產權目的。

在這個案例中，技術部原有的文件服務器同時兼做secWall服務器，為其所管轄的客户機（圖1中黃褐色的工作站）提供存取企業機密資源所必須的解碼條件。secWall硬件IC、secWall服務器和加入到secWall服務器中的所有企業計算機節點共同構成企業的安全環境，企業和機密資源只能在這個安全範圍內使用。不管以什麼手段把企業的機密資源帶離這個安全環境，這些機密資源都因為得不到secWall服務器和secWall硬件IC的支持而無法解碼。

圖1中工作站11和工作站13雖然同處於內網，但因為沒有加入到企業安全環境，因而不能存取企業的機密資源。企業可以通過secWall服務器靈活地控制安全環境的組成計算機。

Ø 自動隱藏

自動隱藏打開時，如果當前用户不具備操作加密文檔的權限，用户將看不到這些加密文檔。

例如：文檔A採用證書1加密，文檔B採用證書2加密。如果當前用户IC沒有插在計算機上，文檔A和文檔B都不顯示；如果用户的IC插在計算機上，IC上有證書1，則文檔A會顯示，如果IC是有證書2，則文檔B會顯示。

如果自動隱藏關閉，系統顯示所有加密文件的名稱。但用户不能存取沒有加密證書的加密文件或文件夾。

Ø 加密圖標可以給加密文檔圖標選擇添加一個加密標誌以區分加密文件。你可以選擇這個標誌的樣式，也可以不使用加密標誌。

提示：改變這個設置須重新登錄才能生效。

Ø 高級：

反黑功能是從源頭切斷黑客盜取數據的網絡資源，任何計算機程序（包括黑客工具、後門程序、木馬程序）在涉密後立刻與外網虛擬隔離（類似於物理隔斷），從而將機密數據的存在範圍嚴格限制在用户的計算機內。

啓用加密文件反黑功能：勾選此項，則插上IC，與外網斷開，無法訪問外部網絡，QQ、MSN等即時聊天工具也無法進行通訊；拔掉IC，則網絡恢復正常。

信任來自內網的連接：勾選此項，則在局域網內的通訊不會受到反黑功能的阻斷，可正常進行內部交流。提示：若要取消反黑功能，去掉“啓用加密文件反黑功能”複選框內的勾，點擊“確定”按鈕後，需要驗證PIN碼，此時必須要通過PIN身份驗證才能成功關閉反黑功能。否則將視為無效，反黑功能不關閉。

secWall數據圍牆系統中使用的密碼，出廠默認值在包裝盒的密碼封中。用户在使用本套系統時應該設置相應的密碼以保障系統的安全性。

Ø IC持有者身份驗證（PIN）碼

每次IC插上計算機時提示用户輸入的密碼，用於驗證IC持有者的身份，防止其他人獲得IC後冒充原IC持有者的身份獲得授權。

遺忘處理辦法：請IC管理員清除PIN碼。

Ø IC管理器密碼

IC管理員啓動“secWall IC管理器”的密碼，也是IC管理員發行歷史記錄密碼。

遺忘處理辦法：刪除發行歷史記錄文件。

歷史記錄文件位於< COMMON_APPDATA>\Mawadata\secWall\ICManCls文件夾下。< COMMON_APPDATA>和你的系統所在盤符有關，如果你的系統安裝在C：盤，那麼< COMMON_APPDATA>一般為C:\Document and Settings\All Users\Application Data。

Ø IC密碼

IC密碼是IC管理員操作IC的密碼。這個密碼一般和IC管理器密碼同步，在IC管理器每次寫入IC時更新IC密碼。IC密碼會在IC管理員發行歷史記錄中存儲，因此，除非丟失了發行歷史記錄，IC管理員在通過IC管理器密碼驗證後一般不需要再次輸入IC密碼。

遺忘處理辦法：必須回原廠才能清除。

Ø IC集控服務器密碼

集控服務器密碼實際是集控服務器專用IC的密碼。

遺忘處理辦法：必須回原廠才能清除。

Ø 日誌審計密碼

日誌審計密碼是“secWall日誌審計”的密碼，也是日誌文件的密碼。

遺忘處理辦法：刪除日誌文件。

日誌文件位於\System32\Mawadata\secWall文件夾下。