【正文】 軟件及國外諾頓、賽門鐵克、McAfee等 14 種殺毒軟件完全兼容(個別防病毒軟件可能提示風險動作或信息，需進行信任或例外設置)。發(fā)送控制(標準功能)能夠有效防止用戶通過郵件、MSN、等即時通訊工具泄密。剪切板控制技術(標準功能)根據(jù)安全策略，對被保護文檔內容的復制粘貼進行安全控制，禁止將保護內容粘貼至其他非受控文檔或粘貼為亂碼。安全的密鑰備份及導入導出機制(標準功能)支持對密鑰硬件USBKEY備份和還原。脫機策略管理(標準功能)可以設置脫機時長，并提供補時機制，方便用戶出差并在超出預定期限后通過補時策略來支持出差使用。離線脫機審批流程(標準功能)離線審批管理人員可以在線對待審批申請進行處理，系統(tǒng)將自動反饋相應處理結果，并對通過審批的用戶自動完成離線設定，無需手動參與。實時狀態(tài)顯示(標準功能)可以實時顯示用戶連接狀態(tài)，如在線、脫機、未注冊等狀態(tài)，并支持對用戶狀態(tài)掃描和報表導出，并記錄用戶最后登陸時間。(20100129標準版)系統(tǒng)功能簡表功能模塊功能說明備注基本信息版本SmartSec (20100129標準版)管理方式C/S+B/S架構支持語言客戶端可提供中/英文UI，服務器端提供中文UI。能與各種應用平臺集成，支持通用文件格式如：office系列、PDF、CAD等。從安全管理視角分析，有如下特點：n 通過對集中存儲的資料進行加密授權處理，對脫離辦公平臺的所有涉密文檔進行權限加密，保證涉密文檔安全。 靈活拓展性億賽通文檔安全管理系統(tǒng)采用通用化設計路線，其技術特點為不過多依賴上層應用，也就是說和上層應用無關，這樣的技術理念為企業(yè)后續(xù)的安全新需求和新應用打開了方便之門，企業(yè)應用的升級和拓展基本無需改動文檔安全管理系統(tǒng)的任何環(huán)節(jié)，只需要在服務器上推放一組或多組安全策略，就可以實現(xiàn)企業(yè)全部應用需要；同時文檔安全管理系統(tǒng)的靈活策略組合技術和簡單明了的操作步驟，為企業(yè)的安全個性需求提供了有力保障。 數(shù)據(jù)完整性保護通過文檔安全管理系統(tǒng)能夠對終端的核心數(shù)據(jù)加密，任何受控數(shù)據(jù)一旦加密，原則上會改變該數(shù)據(jù)的原有結構，即使在前端對用戶完全透明；數(shù)據(jù)內部結構一旦發(fā)生改變，就會帶來數(shù)據(jù)使用的安全性問題，即數(shù)據(jù)完整性如何保障。 用戶認證管理文檔加密系統(tǒng)能夠和其他認證系統(tǒng)進行整合，可根據(jù)實際情況靈活配置認證模式，認證方式可采用如下方式：n 采用用戶名、密碼認證方式；n 可采用證書認證方式；n 可采用用戶名、密碼、證書同時并存的認證方式；n 可采用硬件KEY等認證方式； 移動設備管理對公司內的存有重要資料的筆記本電腦，采用磁盤全盤加密系統(tǒng)。其特點如下：n 應用系統(tǒng)的用戶從服務器下載的涉密文檔自動加密并以相應的權限體現(xiàn)(如只讀、打印、修改等)，合法用戶均可閱讀和使用；n 文檔權限繼承，與應用系統(tǒng)通過外圍拓展開發(fā)，為系統(tǒng)完成權限繼承接口，實現(xiàn)服務器下載時權限有效繼承；n 文檔權限認證，為應用系統(tǒng)完成權限認證接口，服務器中涉密文檔，無論是在線還是離線狀態(tài)使用，均由億賽通客戶端完成一體化認證；n 應用系統(tǒng)的用戶從服務器下載電子文檔的數(shù)據(jù)流在安全網(wǎng)關，均自動賦予操作權限，億賽通加密客戶端能夠自動識別并進行身份認證、權限認證、安全解密、日志記錄等操作；n 通過IE瀏覽器向應用系統(tǒng)上傳電子文檔時透明化解密，下載電子文檔時自動授權加密。億賽通文檔安全管理系統(tǒng)支持對授權電子文檔進行細?；瘷嘞蘅刂?，如只讀、打印、修改、復制等權限控制，同時也為用戶提供了靈活的協(xié)同管理功能，比如可以允許用戶是否能添加只讀、取消只讀、添加打印、取消打印、添加修改、取消修改等功能，結合對文檔的使用次數(shù)、使用時間、文檔生命周期、打印自定義水印等功能，為用戶提供了細粒化的權限控制需求。在內部環(huán)境中，文件以密文存儲或流轉。l 全方位日志審計：針對離網(wǎng)文檔制作者提供操作日志，包括制作者的登錄、注銷、制作臨時加密文檔、權限設定等所有操作都會有詳盡的日志記錄。離網(wǎng)文件業(yè)務控制流程示意如下圖： ODM應用示意離網(wǎng)文件內容安全的關鍵控制點包括：l 離網(wǎng)加密文檔全面控制：離網(wǎng)文件加密管理員在制作離網(wǎng)加密文檔的同時，能夠對文件做到更為精確的全面控制，具體包括以下幾點：使用期限設定，根據(jù)客戶的不同需求可自由選擇授權規(guī)則來制作可控的離網(wǎng)加密文件，可以自定義文件的打開次數(shù)和使用時間等；操作權限控制：系統(tǒng)可自定義文檔的修改、打印、另存為等權限，并且能夠自動屏蔽如復制粘貼、內容拖拽、拷屏截屏等可能造成數(shù)據(jù)泄露的風險操作；文檔過期自動銷毀：臨時加密文檔具備自動銷毀功能，只要打開次數(shù)或者使用時間達到系統(tǒng)設定的標準，文檔便會自動刪除，從而減少信息泄露的風險。 離網(wǎng)文檔管理離網(wǎng)文檔管理（ODM）首先將需要發(fā)布的文檔壓縮加密、設定使用權限，然后制作成exe格式的離網(wǎng)文件。 需求分析針對?？乒緝炔康碾娮游臋n的應用方式進行分析，得出目前在電子文檔內容安全管理方面存在以下問題：1. 如何防止公司內部員工直接造成或者參與的非法信息外泄事件？2．如何防止終端離線安全，并且保證合法的離線用戶在正常使用離線文檔的同時防止泄密？，能夠保證文件離開公司網(wǎng)絡環(huán)境后不被更改和非法使用？，在辦公終端、業(yè)務系統(tǒng)之間流轉的安全？5. 如何控制公司內部員工移動辦公使用機密文件的安全？6. 如何防止公司內部人員通過網(wǎng)絡、移動介質或其它途徑泄密？7. 怎樣確保公司內部與外部之間重要電子文檔的暢通、安全的交流？第三章 建設目標基于上述對?？乒竟卷椖啃枨蟮暮喴治?，結合北京億賽通科技發(fā)展有限責任公司（以下簡稱“北京億賽通”）在數(shù)據(jù)泄露防護領域多年信息安全項目建設經(jīng)驗，針對?？乒疚臋n安全體系提出以下方案建議：1) 統(tǒng)一身份認證n 引入技術管控平臺需與公司AD域或其他基于Ldap/OpenLdap協(xié)議的認證系統(tǒng)集成，實現(xiàn)統(tǒng)一身份認證及管理；2) 集中管理n 對機密級數(shù)據(jù)進行管理，通過有效的技術管控，實現(xiàn)核心數(shù)據(jù)權限集中控制；3) 數(shù)據(jù)使用安全n 通過數(shù)據(jù)加密技術防止主動或無意識泄密，防止用戶通過端口、網(wǎng)絡等途徑泄密；n 防止內部員工通過剪切板拷貝、拖拽、打印、拷屏等應用行為泄密；n 防止內部員工越權訪問受控數(shù)據(jù)；n 對內部電子文檔可進行隔離管理；n 防止電子文檔密文傳播；4) 郵件外發(fā)安全n 根據(jù)黑白名單，對發(fā)送接收郵件的電子文檔進行加密解密，保證白名單用戶使用不受影響，黑名單用戶權限受控。根據(jù)Ponemon Institute 的一項最新研究調查顯示，在美國發(fā)生的數(shù)據(jù)外泄事件當中，有75% 是來自企業(yè)內部人士，外來黑客造成的事故僅占1%，內部泄密成為企業(yè)數(shù)據(jù)外泄的頭號原因；國家計算機應急響應中心數(shù)據(jù)也顯示，在所有的計算機安全事件中，約有52%是人為因素造成的，技術錯誤和組織內部人員作案各占10%，僅有3%左右是由外部不法人員的攻擊造成。 企業(yè)大量機密數(shù)據(jù)以文檔的形式存在，其傳播的方式多樣，如何才能確保信息的私密性、控制能力和完整性? 特別是在開放網(wǎng)絡環(huán)境下，員工通過網(wǎng)絡泄密重要文件，以及黑客入侵竊取機密數(shù)據(jù)等，造成客戶數(shù)據(jù)、財務記錄、產(chǎn)品規(guī)格以及其他敏感文檔被非法查看和分發(fā)，給企業(yè)業(yè)務及聲譽帶來災難性的損失。加密的安全性主要取決為加密算法和密鑰強度，目前SmartSec采用的加密算法為AES等國際流行的加密算法，密鑰長度最大可達256位，完全可以滿足用戶的安全需求。同時將臨時文件中的文檔釋放到虛擬卷中。支持權限模板，并支持批量的文檔集中制作離網(wǎng)加密文檔。億賽通文檔安全管理系統(tǒng)為ClientServer結構與BrowerServer結構相結合。 管理分級文檔安全系統(tǒng)所有管理及審批環(huán)節(jié)均提供分級管理及審批功能，靈活的分級設置，給企業(yè)提供靈活的管理支撐。 部署架構（二期） 文檔安全網(wǎng)關應用效果圖隨著?？乒巨k公網(wǎng)絡環(huán)境不斷擴大，將在網(wǎng)絡中構建多種服務應用，如OA系統(tǒng)、PDM系統(tǒng)、PLM應用等，為確保后臺應用服務系統(tǒng)中所有內容安全使用，需實現(xiàn)前臺終端加密數(shù)據(jù)上傳到后臺業(yè)務系統(tǒng)時自動解密，終端從應用系統(tǒng)下載文件時自動加密。用戶申請使用文件并通過身份驗證后，呈現(xiàn)在用戶眼前的是已按照此用戶權限屏蔽部分功能的文件。 數(shù)據(jù)外發(fā)控制與外界進