【正文】 貝粘貼、拷屏、另存等操作。億賽通文檔安全管理系統(tǒng)為ClientServer結(jié)構(gòu)與BrowerServer結(jié)構(gòu)相結(jié)合。另外，可開放離網(wǎng)加密文件的打印權(quán)限，同時支持打印水印。支持權(quán)限模板，并支持批量的文檔集中制作離網(wǎng)加密文檔。使用完成關(guān)閉文檔，文檔再次變?yōu)榧用軤顟B(tài)封裝在exe文件中。同時將臨時文件中的文檔釋放到虛擬卷中。SmartSec是針對內(nèi)部信息、文檔和數(shù)據(jù)進行強制加密的內(nèi)容保護方式，這種方式在不改變用戶使用習慣、文件格式和應用程序的情況下，采用“驅(qū)動層智能動態(tài)加解密技術(shù)”對指定類型的文件進行實時、強制、透明的加解密處理，就是說在正常使用時，計算機內(nèi)存中的文件是以受保護的明文方式存在，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)，如果沒有合法的使用身份、訪問權(quán)限和正確的安全通道，則不能訪問加密后的文件，所有通過非法途徑獲得的數(shù)據(jù)都以亂碼形式表現(xiàn)。加密的安全性主要取決為加密算法和密鑰強度，目前SmartSec采用的加密算法為AES等國際流行的加密算法，密鑰長度最大可達256位，完全可以滿足用戶的安全需求。3) 從忠誠度上n 內(nèi)部人員違反保密規(guī)定主動泄漏核心信息引起的泄密隱患。 企業(yè)大量機密數(shù)據(jù)以文檔的形式存在，其傳播的方式多樣，如何才能確保信息的私密性、控制能力和完整性? 特別是在開放網(wǎng)絡(luò)環(huán)境下，員工通過網(wǎng)絡(luò)泄密重要文件，以及黑客入侵竊取機密數(shù)據(jù)等，造成客戶數(shù)據(jù)、財務記錄、產(chǎn)品規(guī)格以及其他敏感文檔被非法查看和分發(fā)，給企業(yè)業(yè)務及聲譽帶來災難性的損失。 2011 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accordance with applicable agreements.Due to update and improvement of ESAFENET products and technologies， information of the document is subjected to change without notice.目錄第一章 項目概述 5第二章 項目需求分析 6第三章 建設(shè)目標 8第四章 技術(shù)解決方案 10 10（一期） 14 管理分級 15 15第五章 其他技術(shù)要點 19 加密支持格式 19 強制加密控制 19 用戶認證管理 19 移動設(shè)備管理 20 數(shù)據(jù)外發(fā)控制 20 郵件外發(fā)控制 20 客戶端離線控制 21 數(shù)據(jù)完整性保護 21 數(shù)據(jù)外發(fā)控制 21 自我防護功能 22 自動升級功能 22 靈活拓展性 22 雙機熱備功能 23 日志審計 23第六章 實現(xiàn)效果 24 24 24 24第八章 方案優(yōu)點 26第九章 典型案例 27附錄1 億賽通文檔透明加密系統(tǒng)功能特點 29第一章 項目概述當前，如何保障企業(yè)核心競爭力和知識產(chǎn)權(quán)已經(jīng)成為企業(yè)信息安全建設(shè)的首要工作。根據(jù)Ponemon Institute 的一項最新研究調(diào)查顯示，在美國發(fā)生的數(shù)據(jù)外泄事件當中，有75% 是來自企業(yè)內(nèi)部人士，外來黑客造成的事故僅占1%，內(nèi)部泄密成為企業(yè)數(shù)據(jù)外泄的頭號原因；國家計算機應急響應中心數(shù)據(jù)也顯示，在所有的計算機安全事件中，約有52%是人為因素造成的，技術(shù)錯誤和組織內(nèi)部人員作案各占10%，僅有3%左右是由外部不法人員的攻擊造成。第二章 項目需求分析 網(wǎng)絡(luò)架構(gòu) 目前網(wǎng)絡(luò)拓撲 需求分析針對?？乒緝?nèi)部的電子文檔的應用方式進行分析，得出目前在電子文檔內(nèi)容安全管理方面存在以下問題：1. 如何防止公司內(nèi)部員工直接造成或者參與的非法信息外泄事件？2．如何防止終端離線安全，并且保證合法的離線用戶在正常使用離線文檔的同時防止泄密？，能夠保證文件離開公司網(wǎng)絡(luò)環(huán)境后不被更改和非法使用？，在辦公終端、業(yè)務系統(tǒng)之間流轉(zhuǎn)的安全？5. 如何控制公司內(nèi)部員工移動辦公使用機密文件的安全？6. 如何防止公司內(nèi)部人員通過網(wǎng)絡(luò)、移動介質(zhì)或其它途徑泄密？7. 怎樣確保公司內(nèi)部與外部之間重要電子文檔的暢通、安全的交流？第三章 建設(shè)目標基于上述對睿科公司公司項目需求的簡要分析，結(jié)合北京億賽通科技發(fā)展有限責任公司（以下簡稱“北京億賽通”）在數(shù)據(jù)泄露防護領(lǐng)域多年信息安全項目建設(shè)經(jīng)驗，針對?？乒疚臋n安全體系提出以下方案建議：1) 統(tǒng)一身份認證n 引入技術(shù)管控平臺需與公司AD域或其他基于Ldap/OpenLdap協(xié)議的認證系統(tǒng)集成，實現(xiàn)統(tǒng)一身份認證及管理；2) 集中管理n 對機密級數(shù)據(jù)進行管理，通過有效的技術(shù)管控，實現(xiàn)核心數(shù)據(jù)權(quán)限集中控制；3) 數(shù)據(jù)使用安全n 通過數(shù)據(jù)加密技術(shù)防止主動或無意識泄密，防止用戶通過端口、網(wǎng)絡(luò)等途徑泄密；n 防止內(nèi)部員工通過剪切板拷貝、拖拽、打印、拷屏等應用行為泄密；n 防止內(nèi)部員工越權(quán)訪問受控數(shù)據(jù)；n 對內(nèi)部電子文檔可進行隔離管理；n 防止電子文檔密文傳播；4) 郵件外發(fā)安全n 根據(jù)黑白名單，對發(fā)送接收郵件的電子文檔進行加密解密，保證白名單用戶使用不受影響，黑名單用戶權(quán)限受控。其主要優(yōu)點是文件加密、解密透明，不改變使用者的任何操作習慣，也不改變原有信息的格式和狀態(tài)，同時，部署和內(nèi)部使用非常方便。 離網(wǎng)文檔管理離網(wǎng)文檔管理（ODM）首先將需要發(fā)布的文檔壓縮加密、設(shè)定使用權(quán)限，然后制作成exe格式的離網(wǎng)文件。虛擬卷在用戶的磁盤分區(qū)中是隱藏的，使用者通過磁盤管理工具也不會發(fā)現(xiàn)創(chuàng)建的虛擬空間。離網(wǎng)文件業(yè)務控制流程示意如下圖： ODM應用示意離網(wǎng)文件內(nèi)容安全的關(guān)鍵控制點包括：l 離網(wǎng)加密文檔全面控制：離網(wǎng)文件加密管理員在制作離網(wǎng)加密文檔的同時，能夠?qū)ξ募龅礁鼮榫_的全面控制，具體包括以下幾點：使用期限設(shè)定，根據(jù)客戶的不同需求可自由選擇授權(quán)規(guī)則來制作可控的離網(wǎng)加密文件，可以自定義文件的打開次數(shù)和使用時間等；操作權(quán)限控制：系統(tǒng)可自定義文檔的修改、打印、另存為等權(quán)限，并且能夠自動屏蔽如復制粘貼、內(nèi)容拖拽、拷屏截屏等可能造成數(shù)據(jù)泄露的風險操作；文檔過期自動銷毀：臨時加密文檔具備自動銷毀功能，只要打開次數(shù)或者使用時間達到系統(tǒng)設(shè)定的標準，文檔便會自動刪除，從而減少信息泄露的風險。l 文檔內(nèi)容保護：文檔通過系統(tǒng)制作成離網(wǎng)加密文件之后，會變成一個附帶各種控制信息的exe可執(zhí)行文件，并且控制信息始終包含在文檔之內(nèi)。l 全方位日志審計：針對離網(wǎng)文檔制作者提供操作日志，包括制作者的登錄、注銷、制作臨時加密文檔、權(quán)限設(shè)定等所有操作都會有詳盡的日志記錄。C/S結(jié)構(gòu)是由客戶端軟件CDGClient和CDGServer構(gòu)成，而B/S結(jié)構(gòu)則是指客戶端及服務器端上通過瀏覽器（Browser）操作、維護保密系統(tǒng)，兼顧兩種結(jié)構(gòu)的優(yōu)點又方便用戶操作。在內(nèi)部環(huán)境中，文件以密文存儲或流轉(zhuǎn)。系統(tǒng)所有功能均通過模塊體現(xiàn)，模塊組合為角色，通過對角色的合理分配和管理，角色用戶能通過直觀的模塊功能體系快速實現(xiàn)對系統(tǒng)的使用和管理，無需投入過多培訓及學習資源。億賽通文檔安全管理系統(tǒng)支持對授權(quán)電子文檔進行細?；瘷?quán)限控制，如只讀、打印、修改、復制等權(quán)限控制，同時也為用戶提供了靈活的協(xié)同管理功能，比如可以允許用戶是否能添加只讀、取消只讀、添加打印、取消打印、添加修改、取消修改等功能，結(jié)合對文檔的使用次數(shù)、使用時間、文檔生命周期、打印自定義水印等功能，為用戶提供了細?；臋?quán)限控制需求?？刹捎脙|賽通安全網(wǎng)關(guān)設(shè)備對上傳和下載的數(shù)據(jù)進行網(wǎng)絡(luò)驅(qū)動過濾，任意終端實現(xiàn)密文下載、明文上傳的安全策略，減少了加密系統(tǒng)和應用系統(tǒng)的耦合度，使系統(tǒng)管理和維護更高效、方便。其特點如下：n 應用系統(tǒng)的用戶從服務器下載的涉密文檔自動加密并以相應的權(quán)限體現(xiàn)(如只讀、打印、修改等)，合法用戶均可閱讀和使用；n 文檔權(quán)限繼承，與應用系統(tǒng)通過外圍拓展開發(fā)，為系統(tǒng)完成權(quán)限繼承接口，實現(xiàn)服務器下載時權(quán)限有效繼承；n 文檔權(quán)限認證，為應用系統(tǒng)完成權(quán)限認證接口，服務器中涉密文檔，無論是在線還是離線狀態(tài)使用，均由億