企业电子文档防扩散系统产品白皮书.docx

《企业电子文档防扩散系统产品白皮书.docx》由会员分享，可在线阅读，更多相关《企业电子文档防扩散系统产品白皮书.docx（39页珍藏版）》请在第一文库网上搜索。

1、企业电子文档防扩散系统产品白皮书目录L产品设计理念52产品总体简介73产品技术架构104产品技术特色114.1 软硬一体114.2 多维度权限控制114.3 精细化权限控制124.4 灵活的防扩散策略124.5 机密文件外发控制124.6 适用范围广134.7 全面堵截漏洞134.8 零感觉客户端134.9 永驻系统135产品功能设计155.1 文档力口密155.1.1 系统自动力口密155.1.2 人工手动力口密165.1.3 扫寸苗加密175.2 文档解密175.2.1 组织内机密文件使用时自动解密185.2.2 外发的机密文件使用时自动解密185.2.3 力口密文件解密成普通文件185.

2、3 防止泄密195.3.1 防系统泄密195.3.2 防止其它泄密途径205.4 权限控制205.4.1 文件共享权限控制205.4.2 再授权215.4.3 密级控制215.4.4 用户授权机器组225.4.5 组内流转225.4.6 权限回收225.5 机密文件外发235.6.2离线申请255.7 申请审批流程255.8 安全存储265.8.1 集中管理265.8.2 自主重构的LinUX系统275.8.3 CAS存&者架构275.8.4 冗余存储285.8.5 磁盘安全策略285.8.6 数据备份285.8.7 监控中心295.9 客户端295.9.1 客户端部署295.9.2 客户端兼

3、容性305.9.3 客户端安全接入305.9.4 客户端安全登录305.9.5 客户端防破解315.9.6 客户端资源占用315.10 特殊功能315.10.1 OffiCe系列多进程运行模式315.10.2 文件上传下载速度优化325.10.5 终端进程屏蔽335.11 统一身份认证335.12 分布式授权345.13 系统扩容345.14 日志审计346产品部署方案366.1 单点单设备366.2 多点单设备366.3 多点多设备377产品应用收益38L产品设计理念随着科技的发展，人类的进步，信息对个人的发展、组织间的竞争都会产生 巨大的影响，有时甚至是决定性的因素；以前人们常说资产信息化

4、，现在都在说 “信息资产化”。信息安全是个耳熟能详的概念，基本上每个计算机系统都有信息安全系统， 很多组织都已采用防火墙、杀毒软件、身份认证系统等进行信息安全系统建设。 信息安全的内容很多，我们可以抽象的将信息安全的内容理解为“外防”和“内 控”，前面说的防火强、杀毒软件、身份认证系统等，很大程度上都是防止外部 因素对组织信息的窃取和破坏。然而，正如我国信息安全专家沈昌祥院士所说，我国目前信息安全建设的最 大问题是花重金购买老三样防外而忽略了防内；据FBI调查有83%的安全事故为 “内部人员或内外勾结”所为。因此，今后一段时间内信息安全系统的建设应该 转向“内控为主、内外兼防”的模式。信息资产

5、安全内控需要全方位考虑，根据我们的理解，信息资产安全内控整 体解决方案至少需要考虑以下四个要素：集中管理：将各终端的电子文件进行集中管理，避免因终端电脑故障、病毒、 位错、员工离职等原因造成重要文件的丢失、损毁或者外泄；让信息资产真 正成为“组织信息资产”，而不是“个人信息资产”；用时可用：集中管理的文件安全储存、用时可用。文件因磁盘故障、磁盘位 错或者病毒等因素造成损坏，这类情况是一定会存在的，甚至损坏了也无人 察觉，在真正需要使用的时候才发现，造成的损失无法弥补；在这个方面需 要做到文件最好不损坏，即使损坏了也要马上知道，能尽快弥补，不要等到 要用了才发现问题，真正做到“用即可用”；受控下

6、使用：在组织内机密文件的流转范围受控，文件使用时有精细化的权 限控制，机密文件不能被非法外泄，非法外泄的机密文件不能使用更不能获 取文件的内容信息；外发的机密文件能进行有效的控制，使用时间段、打开 次数、使用终端、是否允许打印；文件的访问及操作要有详细的日志记录可 供事后审计。易用：上面三点主要都是解决信息资产的保护问题，但是保护信息资产的目 的是为了让这些信息资产给组织带来更大的价值，所以要充分高效的利用这 些信息资产，只有易用才能让信息资产发挥更大的价值！企业电子文档防扩散解决方案就是全面考虑了以上四个要素，推出的信息资 产安全内控整体解决方案，主要特点如下：令 软硬一体能将分散在各部门各

7、终端上的文件进行集中管理；令 底层采用CAS存储架构，实现对文件由于磁盘故障、磁盘位错和病毒可 能损坏的情况下最大限度的保护，如果万一文件不幸损坏，可进行系统 自动修复或通知相关人员，尽快采取补救措施。这个方面即使有备份系 统也是于事无补的，因为如果文件坏了你不知道的话，备份系统里的备 份也是“坏”了的文件！企业文档防扩散系统能够真正做到“用时可用”;令 采用驱动级透明加解密技术进行有效的防扩散，通过多维的、精细化的 权限控制使机密文件在组织内的流转范围受控。软硬一体的系统架构屏 蔽所有底层实现细节和数据，即使系统管理员也无法对任何文件超出其 权限进行任何操作，有效规避“系统管理员黑洞”；令

8、客户端采用和资源管理器整合的操作模式，驱动级透明加解密不改变用 户的使用习惯，“易用性”处处得以体现。企业文档防扩散系统信息资产安全内控系统是一个全方位的解决方案，从集 中管理、即时可用、安全防扩散和易用四个角度全面保护和高效利用组织的信息 资产。2产品总体简介企业文档防扩散系统采用软硬一体的设计架构，能将分散在各部门各员工个 人手中的电子文件进行集中管理、安全的保存，并让这些文件（包括集中管理的 和各终端电脑上的）在可控状态下使用、不会被外泄、进行有效的防扩散，即使 被非法外带也不能打开获取其中的内容。软硬一体的解决方案给客户提供了一套完整的解决方案。在组织的信息管理 中，对于管理员的管理往

9、往是最大的漏洞。管理员通常拥有最高的权限，可以通 过种种手段对企业的信息系统进行泄露和破坏，而其对于机密文件的涉密级别往 往又是非常低的，企业文档防扩散系统软硬一体的解决方案，从最大程度上规避 了管理员的黑洞问题：传统文档安全的软件解决方案企业文档防扩散系统软硬一体的架构文档安全管理员拥有服务器最高权限，可以任意 复制、删除服务器操作系统中的机密文 档。甚至重置用户密码从而获得相应权 限。管理员无法访问服务端文 件,系统可以限制管理员重 置用户密码。底层数据管理员可以查看其他任何人的信息，即 使安全系统对管理员的权限做了限制， 管理员也可以绕开系统直接查看底层数 据库来访问组织的关键信息。软硬

10、一体的解决方案,屏蔽 所有底层实现细节和数据， 安全可靠。克隆镜像管理员可以通过Ghost等工具将组织的 文档安全系统或文件系统带到外部，再 进行暴力破解或泄密。屏蔽底层操作系统,无法被 镜像工具克隆或复制。反编译管理员可以通过DbgView、SOftiCe等工 具对公司的安全系统进行反编译破解。软硬一体的架构只提供了 Web管理界面，彻底堵死了 这种漏洞权限管理管理员往往可以任意分配权限，具有巨通过硬件狗管理权限分配大的安全漏洞。等敏感操作，限制了管理员 的权限。灵活的安全策略用户可以选择全局主动加密和局部被动加密的配置方案；加密进程可以根据 不同的部门和机器组进行设置；既根据不同的部门或机

11、器可以设定文件是由程序 自动进行强制加密还是由用户自行判断当前文件是否需要加密，这样在一个组织 内部可以同时存在不同安全级别的应用环境，在安全性及可用性上实现了最大的 平衡。易用性客户端针对同一种文件格式（如：Word文档），可以同时存在加密的文件和 非加密的文件。客户端可以同时打开机密文件和非机密文件，此时数据可以方便 的从非机密文件流转到机密文件，但不能从机密文件外泄到非机密文件。细致的文件授权通过精细化的权限设置，文档可以在不同的用户、角色、部门之间共享，还 可以与特定机器绑定，策略设置灵活，共享范围可控。采用驱动级透明加解密技术采用微软最新MiniFiIter驱动架构,和操作系统、杀毒

12、软件、应用程序等具有 广泛的兼容性，和微软操作系统后续版本的兼容性上将更具优势。组织内正常工作使用文件不受任何影响，不改变用户使用习惯，一旦脱离组 织环境，文件被非法带出后将不能使用，更不能打开获取文件的内容。机密文档集中管理在组织内机密文件往往包含着至关重要的机密信息，这些内容是组织信息资 产的一部分，对于组织业务拓展、保持业务可持续发展都有着关键性的作用，因 此不应任由这些关键性的组织资产留存于员工的个人电脑中，将其统一集中的保 存起来变得尤为关键。产品通过软硬一体的整体解决方案实现了对非结构化数据的全生命周期管理对组织内部文件的共享、归档、流转、数据备份等方面实现了整体有效控制企业文档防

13、扩散系统信息资产安全内控系统采用软硬一体的架构，使用自主 重构的操作系统，底层采用更适合海量的非结构化数据存储的CAS存储架构； 终端客户机可通过IE或客户端两种方式访问服务器。服务器端架构图客户端防扩散架构图4.1 软硬一体采用软硬一体的架构，可将分散在各终端上的文件进行集中管理，安全存储。 有效规避位错问题、管理员黑洞问题。系统易实施、易维护、易扩容。因受周围磁场变化、温差等因素影响，磁盘会产生位错，进而会损坏文件， 系统在空闲时可通过比对指纹码找出因位错原因造成损坏的文件并进行系统自 动修复或通知相关人员。一些纯软件的解决方案，系统管理员通过一些手段可查看、拷贝甚至破坏整 个组织的信息资

14、产。在企业安全内控系统中，系统管理员对文件的操作也必须要 得到文件所有者的授权许可，无法通过系统镜像等手段非法镜像克隆系统，有效 控制“系统管理员安全漏洞”。系统易实施、接入网络做好初始设置就可使用；系统易维护、通过管理监控界面可直观的查看系统内存、CPU及磁盘空间的 状态和使用情况。磁盘异常时系统可通过邮件等方式进行告警并调整自己的工作 状态；系统易扩容、多台设备级联就可实现扩容，统一单个管理监控界面，每台设 备具有单独运算能力，扩容不影响系统整体性能。4.2 多维度权限控制文件所有者可“主动进行授权”又受到“授权许可范围”和“密级”的被动 限制，从而保证相关人员可正常使用相关文件又使机密文

15、件的知情范围处于受控 状态。文件所有者是文件的创建者或是文件创建者授予其为文件所有者的人，文件 所有者拥有文件的所有权限并可将文件权限授予其他人。为防止文件所有者在组织内随意授权，可从组织层面限制文件所有者的授权 范围，即被授权的人员必须在系统对其许可的授权范围内授权才有效。被授权人 必须要具有和文件相同或更高的密级权限才可使用相应的机密文件。文件所有者在进行文件共享时可进行精细化权限控制，可控制查看、下载、:WH=iHe R JvI*业 5E41*7M尸QPWW F .2!修改、覆盖、打印、截屏、再授权、删除以及权限截止时间。 ： OTK 户IMMIve 9jrwa0 c“尸 ji业/m /北 l V Eo 痴文尸WMiaXZ/产G尸“如/，内m尸V MaW/4MT 9v 1tMM