迅软数据安全专家 DSE V6售前常见问题与解答

2018-11-09 16:03:36


1、系统支持

1.1迅软DSE支持什么操作系统?

答:支持windows2003、windows XP、windows vista、windows 7、windows 2008、windows10, 32或64位操作系统;与ERP、OA、UG、PDM、PLM等应用系统兼容。除了Windows,DSE也可以安装在Linux、MacOS、安卓、IOS上。

 

1.2 迅软DSE支持域吗?

答:支持。安装时可以使用域分发安装客户端;迅软DSE在域环境下可以正常运行,可以把域用户同步到DSE系统中,使用时用域用户认证。

 

2、系统配置

2.1 迅软DSE对服务器端计算机性能有什么要求吗? 

答:普通的服务器电脑即可,可以是虚拟机软件,参考以下配置:

类别

操作系统

最低配置

最佳配置

服务器端

(50用户内)

Windows10/8/8.1/7/

Vista/XP/2003

内存1G

硬盘600M

内存4G

硬盘500G以上

控制台

Windows10/8/8.1/7/

Vista/XP/2003

内存1G

硬盘300M

内存1G

硬盘64G以上

客户端

Windows10/8/8.1/7/

Vista/XP/2003

内存512M

硬盘128M

内存2G

硬盘30G以上

* 备注:用户数50以上,服务器端的最佳配置相应提高,其他不变

 

2.2 驱动层加密与应用层加密的区别

答:所有Windows应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用windows的Create FileOpen FileRead FileWindows API函数;而在向磁盘写文件时要调用Write File函数。同时windows提供了一种叫钩子(Hook)的消息处理机制,允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。

 

驱动层加密:驱动层加密是从计算机最底层开始过滤文件,这样对于文件的加密做到了最全面,不会出现漏洞,同时会缓冲所用文件,所以当运行加密文件时,调用速度快,从而使加密文件运行速度快,占用资源小。

 

应用层加密:而应用层加密技术由于不是从最底层加密,文件过滤的不完整,文件只有在调用的时候缓冲,即打开一次就要调用一下,导致运行速度慢,而且安全性降低。

 

3、网络要求

3.1 无线网络能否安装终端和监控?

答:可以。和有限网络是一样的,各台无线计算机之间的通信是通过无线网卡和无线路由器解决的,只需要在终端计算机上安装迅软DSE终端即可,同样可以保护文件和终端。

 

3.2 支持多网段(多VLAN)和VPN的网络环境吗?

答:支持。和普通的网络是一样的,如果是多网段的情况要保证所有网段都能和迅软DSE服务管理器计算机通信。(DSE使用TCP/IP协议)

 

4、软件版本

4.1 试用版和正式版有什么差别?

答:正式版和试用版在功能上无任何差异。

 

试用版只是对使用时间和使用用户数量有限制(试用版默认授权试用30天,授权5个用户使用)。

 

4.2 软件购买是终身使用吗?

答:迅软DSE是一次购买终身可用,并提供一年的免费技术支持,终身免费提供电话邮件技术支持及补丁升级(如没有漏洞软件不需要补丁升级)。

 

5、文件加密相关

5.1采用DSE加密的文件,是否容易被破解?

答:DSE 加密的文件被破译的几率非常低,几乎为零。原因如下:DSE系统采用国际公认的最权威的AES256加密算法对文件和密钥进行加密。(银行系统也采用该加密算法)。

 

5.2 如果加密软件被卸载或者客户端进程被非法强制结束或者强制删除客户端安装程序,加密的文件是否就不加密了?

答:不会。

 

a.客户端卸载需要密码;

 

b.进程会自我保护;万一客户端被强制卸载或者结束时,加密的文件也不会受任何影响,因为加密后的文件始终处于加密的状态。文件是否处于加密状态,和是否安装加密软件没有任何关系。文件一旦被加

 

密,则拷贝到任何地方,在任何环境下都是加密的,不依赖于加密软件。

 

c.系统还原、Ghost、系统重装等情况下都是一样的,或者加密进程被关闭,是无法打开加密文件的。必须再次正常安装加密客户端,然后正常登陆,才能再次打开电脑上加密的文件。

 

5.3 企业可否自行增加需要加密控制的应用程序和文件类型的种类?

答:可以。

 

DSE自主研发了国际上先进的驱动加密技术,因此从技术平台本身是具有应用程序无关性的,可以对任意的软件和文件类型进行加密控制。同时,DSE也是国内最先一个完全开发策略库,允许用户自定义策略的加密软件。用户可以自己填写需要控制的应用程序、文件类型。

 

5.4 安装加密软件是否会拖慢计算机的运行速度?

答:不会。

 

 DSE 对操作系统的缓存做了大量的优化工作,因此不但不会系统拖慢速度,在部分计算机上还会有加速的作用。

 

同时,DSE 采用先进的驱动加密技术,从操作系统的最底层进行监控,所以对系统的运行效率影响很小。DSE加密软件产生的进程数量只有2个,而同行业其他软件进程为4-5个;DSE加密软件DLL文件只有一个,而同行业其他软件产生的DLL文件为几十个。软件性能远远超越其他同类加密软件。

 

DSE对操作系统的缓存做了大量的优化工作,因此不但不会系统拖慢速度,在部分计算机上还会有加速的作用。同时,DSE采用先进的驱动加密技术,从操作系统的最底层进行监控,所以对系统的运行效率影响很小。经测试打开 100M 的 office 文件,延时不到 1 秒钟。

 

5.5 能否保证不同部门的用户不能相互查看加密的文件。

答:可以做到。

 

DSE企业版提供分组权限使用部门隔离策略,可以保证部门之间加密文件的相对独立性。即时生效,即使之前已经分发过未修改的文档也会被隔离。

 

5.6 能否为企业领导提供一定的加解密特权?

答:可以。手动加解密和半透明加密功能即可满足领导特权的需求。

 

手动加解密:可以在控制台中对领导客户端进行单独权限设置,设置允许手动加解密,并同时设置加解密密码,防止他人使用电脑。

 

半透明加密:通过设置半透明加密策略,领导可以打开加密的文件,但是修改或者新建的文件不加密。

 

5.7 DSE对移动存储设备(如u盘、sd卡、移动硬盘等)有哪些控制手段?

答:针对端口:可以对端口进行限制(阻止、放行、只读、只写)

 

针对公司认可的移动存储设备:可以进行注册授权使用,已授权的存储设备可以接入,未经授权的不允许接入,或者指定的存储设备给指定的用户部门使用等。

 

5.8 企业经常会在晚上加班,并且需要对外发送文件,但解密员可能并不上班,该如何处理呢? 

答:可以通过自动审批和手机端审批。

 

自动审批:设置自动审批策略,对某一密级的文件设置成一定时间内可以自动审批。

 

手机端审批:通过手机APP对外发文件申请进行审批。

 

5.9 DSE是否可以对任意的应用程序和文件类型都进行加密监控,该如何添加一个加密策略?

答:可以的。DSE采用真正的底层驱动技术(miniFilter),因此可以对任意的应用程序和文件类型都进行加密监控。关于如何添加加密程序具体操作详见《DSE企业版使用手册》。

 

6、软件安装

6.1 如何获取迅软DSE试用版。

答:(1)登录官网:http://www.e-dlp.com从申请试用界面申请试用;2)通过400电话4008-298-0213)通过企业QQ4008298021

 

6.2 我公司是一个集团化的公司,在不同地区有分公司,但是没有部署 VPN ,该如何统一进行加密管理呢?

答:DSE 支持通过互联网进行认证和管理。

 

所有的分支机构通过互联网连接到一台拥有固定IP地址的计算机(将该计算机作为加密服务器),则可以达到统一管理的目的。DSE目前已经有不少此类用户采用这种方式进行管理。

 

7、软件安全

7.1 如何保证安装了加密客户端的离线用户仍然可以正常工作?(改成客户端离线后是否可以正常使用)

答:导入离线策略。通过对离线客户端导入离线策略,可以使该用户获得相应的离线时间,在允许的离线时间内,可以正常使用加密文件。

 

 

7.2 数据安全性

加密算法,AES256硬件加密密钥是业界公认不可能暴力破解的技术。数据加密时以主机随机产生的128位密钥为AES算法加密密钥,密钥字典为0~0xFFH的所有ASCII码,具有密钥离散性好,随机性高,密钥长等多种特性,即使使用世界上最快的千万亿次级超级计算来暴力破解加密密钥,也需要耗费约1亿亿年的时间。因此,暴力破解的可能性为零。

 

加密进程的校验方法,防冒充。加密进程的校验方法采用以数字签名校验为主,以标识、进程名为辅。做到了同行业最好的防冒充技术。

 

网络访问控制,同时监控本地硬盘和网络驱动器的读写加密。对任何应用程序生成的任何文件进行加密控制。同时,透明加解密的过程中,不产生临时文件。

 

内容拖放,加密后的文件始终处于加密状态,打开其他文件也无法进行拖放,同行业中很多没有做到这点的。

 

内存拷贝,加密后的文件始终处于加密状态,拷贝到任何地方,在任何环境下都是加密的,不依赖于加密软件。

 

ole插入控制、剪贴板拷贝、截屏控制、水印防拍照。

 

7.3 杀毒软件与安全卫士推荐

建议使用360杀毒;安全卫士建议使用百度卫士、金山安全卫士。不建议使用:小红伞。

 

7.4 服务器如果瘫痪,以前加密的文件是否能够正常使用?

答:能。

 

微型企业:不影响加密文件,即使服务器瘫痪,客户端会按照最后一次加 密的策略来执行加密任务。

 

大中型企业:采用备服务器,主服务器瘫痪可以自动链接到备用服务器。系统安装授权完毕,对数据库进行备份。即使服务器瘫痪,客户端会按照最后一次加密的策略来执行加密任务。重新安装服务器端后,可以恢复原来系统的密钥策略,就能够跟以前一样正常运行。

 

8、其他问题:

8.1采用DSE加密的文件,是否容易被破解?

答:DSE 加密的文件被破译的几率非常低。

 

原因如下:

a.DSE采用国际公认的AES加密算法对文件和密钥进行加密。

b.DSE为每个客户都单独分配一个独立的密钥。

c.对每个文件加密时采用随机密钥也就是说同一个文件,分别加密两次,两次加密的密钥都是不同的,这为破解增加了很大的难度。假定可以花50年破解一个文件,那么在破解下一个加密文件时,还需要50年。因此企业完全不用担心文件会被破解。

d.还有,国际上一个文档的时效性也就是两三年,所以即是文档被暴力破解了,也早就过了时效期了。

 

8.2 如果加密软件被卸载,加密的文件是否就不加密了?

答:不会。

 

加密后的文件始终处于加密的状态。文件是否处于加密状态,和是否安装加密软件没有任何关系。文件一旦被加密,则拷贝到任何地方,在任何环境下都是加密的,不依赖于加密软件。

 

系统还原、Ghost、系统重装等情况下都是一样的,或者加密进程被关闭,是无法打开加密文件的。必须再次正常安装加密客户端,然后正常登陆,才能再次打开电脑上加密的文件。

 

8.3 安装加密软件是否会拖慢计算机的运行速度?

答:不会。

 

DSE对操作系统的缓存做了大量的优化工作,因此不但不会系统拖慢速度,在部分计算机上还会有加速的作用。同时,DSE采用先进的驱动加密技术,从操作系统的最底层进行监控,所以对系统的运行效率影响很小。经测试打开100M的office文件,延时不到1秒钟。

 

8.4 能否保证不同部门的用户不能相互查看加密的文件。

答:可以做到。DSE高级企业版提供分组权限,为不同的部门(即安全组)分配不同的密钥,因此可以保证部门之间加密文件的相对独立性。

 

8.5 如何实施DSE企业文件加密系统?

答:DSE的实施非常容易,大体分为三个步骤:

 

a.安装加密服务Server),并向软件DSE厂商申请授权码。

b.安装服务管理控制台(Server_Manager),连接到服务,进行人员分组设置、策略下发和权限设定。如果企业已经采用域管理了,则不需要再手工建立用户,可以直接从域中自动刷新用户信息到加密用户组中。

c.安装加密客户端,连接到服务即可。安装了加密软件的客户机在开机后会自动连接加密服务,并受到加解密策略和权限的控制。

 

8.6 能否为企业领导提供一定的加解密特权?

答:可以。不但可以设置严格的加密权限,也可以为特殊用户(如受信任的企业领导)设置自动解密权限:

a.通过邮件白名单功能,发送到领导的文件自动解密。

b.通过设置半透明加密策略,领导可以打开加密的文件,但是修改或者新建的文件不加密

c.允许手工解密已加密的文件;

d.允许进行解密审批操作;

以上解密方式可任意搭配使用,以适应不同的权限场合。

 

解密方式总结:1手动解密2策略自动解密3解密审批4邮件解密

 

8.7 安全管理员的权限是否无限大?能否被监督?

答:不是的。

 

安全管理员、解密员、日志管理员三者的权限是独立的。安全管理员所做的任何授权操作都会有日志记录,但安全管理员只能查看日志却不能删除日志。而日志管理员则不能做任何授权操作,但是可以管理日志信息,监督安全管理员的所有操作。

 

8.8 员工可能会同时从事部门内部的日常工作和机密项目工作的需要,这就要求一个员工可能会有多个身份,DSE能否支持?如何实现?

答:支持。

 

DSE一个用户(或者一个组)一个策略。如果需要支持多个策略,可以创建多个用户,使用的时候可以通过切换DSE用户的方式进行实现。

8.9 DSE对U盘或者移动硬盘有哪些控制手段?

答:DSE对U盘的控制手段包括以下几种:

 

a.禁止读写U盘

b.U盘只读限制。

c.强制加密U盘(磁盘加密,安全性最可靠)

d.对优盘放行

 

8.10 企业经常会在晚上加班,并且需要对外发送文件,但解密员可能并不上班,该如何处理呢?

答:可以设置自动审批策略,在一定时间一定数量范围内可以自动审批解密申请。

 

8.11 我司是集团化的公司,在不同地区有分公司,但是没有部署VPN,该如何统一进行加密管理呢?

答:DSE支持通过互联网进行认证和管理。所有的分支机构通过互联网连接到一台拥有固定IP地址的计算机(将该计算机作为加密服务器),则可以达到统一管理的目的。DSE目前已经有不少此类用户采用这种方式进行管理。如果没有固定IP,也可以通过动态域名的方式进行支持,客户端支持通过域名方式连接服务器。

 

8.12 DSE是否可以对任意的应用程序和文件类型都进行加密监控,该如何添加一个加密策略?

答:DSE采用真正的底层驱动技术miniFilter),因此可以对任意的应用程序和文件类型都进行加密监控。

 

8.13 如何授予用户的手工解密权限呢?

答:在策略管理里面勾选“手动解密”即可。

 

8.14 可否设置通过QQ发送文件时自动解密?

答:可以。设置加密受控程序“QQ.exe”读取文件时为自动透明解密即可。

 

注意,对于邮件发送自动解密的处理方式与此相同。这样设置有一定风险,所有QQ发送出去的文件都是解密的文件。

 

8.15 如何保证安装了加密客户端的离线用户仍然可以正常工作?

答:修改用户有效属性。

打开DSE管理工具端,在用户信息中,有“离线控制”选项,可以修改该值,使该用户获得相应的离线时间。

 

8.16 驱动层加密与应用层加密的区别

驱动层加密是通过内核层进行加密, 应用层是通过HOOK(钩子)应用程序的读写进行加密。

 

驱动层加密主要特点:开发困难、稳定性高、加密性能高、兼容性好。

 

应用层加密主要特点:开发简单、容易脱钩造成文件损坏、兼容性不够、性能不高。

 

8.17 安全性:具体见《DSE文件安全方案》

1.全新的驱动加密技术,直接在缓存中进行加解密,写硬盘的速度更快,加解密效率更高,几乎不改变windows运行速度。在windows缓存中保存的是密文,可以防止别有用心的人从windows缓冲中窃取明文数据,导致泄密。不但可以实现强制加密功能,而且也可以根据需要轻松的实现强制解密功能,更加符合企业的实际加密管理需求;

 

2.同时监控本地硬盘和网络驱动器的读写加密。对任何应用程序生成的任何文件进行加密控制。同时,透明加解密的过程中,不产生临时文件;

 

 

3.加密后的文件始终处于加密状态,拷贝到任何地方,在任何环境下都是加密的,不依赖于加密软件。

 

8.18 256AES加密破解无门

AES256硬件加密密钥是业界公认不可能暴力破解的技术。数据加密时以主机随机产生的128位密钥为AES算法加密密钥,密钥字典为0~0xFFH的所有ASCII码,具有密钥离散性好,随机性高,密钥长等多种特性,即使使用世界上最快的千万亿次级超级计算来暴力破解加密密钥,也需要耗费约1亿年的时间。因此,暴力破解的可能性为零。

 

DSEV6的加密强度除了使用AES256,同时应用密码学的高级应用,例如每个文件一个密钥,文件不同位置的密钥也不相同,所以想通过已知密文与明文方式进行破解,难度无穷大。比起使用RC4以及密码学用法不规范的加密来说,强度不是一个级别的。

 

8.19 不能打开加密文件时(打开显示是乱码),如果强制打开保存会对文件有什么影响?

当客户端由于断线超过设定的时间,或者文件拷贝到没有安装客户端的计算机,或者你没有打开这个文件的权限,这个时候强制打开这个文件,显示的将是一些看不明白的“乱码”。

 

如果这个时候修改里面的内容并且保存,由于文件存放的是密文,增加了一些不可识别的文字,文件将会因为密钥对损坏而从此无法解密。当打开一个文件是乱码的时候,请不要往里面写入数据保存。

 

8.20 杀毒软件与安全卫士推荐

DSEV6目前支持国内的主流杀毒软件以及安全卫士,可以放心使用,不会对加密文件造成损坏。国外的杀毒软件也支持,只要不误杀DSE客户端就没有问题。

 

8.21 服务器如果瘫痪,以前加密的文件是否能够正常使用?

系统安装授权完毕,对数据库进行备份。即使服务器瘫痪,重新安装服务器端后,可以恢复原来系统的密钥策略,就能够跟以前一样正常运行。请按照服务器安装手册进行必要的备份。

 

8.22 服务器硬盘或者加密狗坏了怎么办?

硬盘授权的,不能更改和更换硬盘,如果实在需要,请向我司申请。加密狗授权的,不能更改和更换加密狗。