【正文】 保?？乒竞诵膽孟到y(tǒng)信息數(shù)據(jù)在線訪問安全，通過億賽通核心技術安全網(wǎng)關實現(xiàn)終端和應用系統(tǒng)數(shù)據(jù)的安全交互。n 億賽通文檔安全管理系統(tǒng)客戶端在脫機超過規(guī)定時限后還需要繼續(xù)使用時，管理員可通過服務器生成補時碼發(fā)送給該用戶完成離線補時。對于電子文檔分發(fā)、打印、復制受到權限控制以及脫離了企業(yè)的文檔有效的控制，杜絕涉密信息二次泄露、非法修改。第九章 典型案例政府部門n 中華人民共和國外交部n 國務院辦公廳部隊n 中國人民解放軍第二炮兵n 中國人民解放軍總參某部n 中國人民解放軍海軍總裝備部某部n 酒泉衛(wèi)星發(fā)射中心企業(yè)集團n 中國移動集團n 一汽集團n 比亞迪集團n ABB低壓電氣有限公司n 飛利浦（中國）投資有限公司陜西部分案例n 神木富油能源科技有限公司n 西安博遠自動化貿(mào)易有限公司n 施耐德（陜西）寶光電器有限公司n 西安煤礦機械有限責任公司n 陜西騰飛石油機電n 陜西卓越電力設備有限公司n 寶雞市賽孚石油機械有限公司n 西安市威盛石油設備公司n 西安澳華電氣公司n 西安桃園冶金設備工程公司n 陜西金源自動化公司n 西安光遠電氣公司n 西安華訊微電子有限公司n 西安建設機械股份有限公司n 西航集團機械石化有限公司n 陜西建設機械股份有限公司n 西安能訊微電子有限公司n 深圳奧特迅電子（西安）公司n 西安遠征科技有限公司n 西安創(chuàng)興商貿(mào)有限公司設計院所n 二炮裝備研究總院n 工業(yè)和信息化部第五研究所n 上海核工業(yè)設計研究院n 內(nèi)蒙電力設計院n 深圳浪尖工業(yè)設計公司n 山西水利水電勘查設計院n 太原市城市規(guī)劃設計研究院通信n 德信無線技術有限公司n 上海晨訊集團n 深圳國人通信有限公司n 凱明信息技術有限公司n 上海華勤通訊技術有限公司n 深圳鼎智通訊有限公司n 上海聞泰電子科技有限公司醫(yī)療、醫(yī)療器械n 以嶺藥業(yè)股份公司n 廣州醫(yī)藥集團有限公司電子電器n 正泰電器集團n 京東方科技集團n 江西變壓器科技股份公司n 常州東芝變壓器有限公司汽車n 天馬汽車有限公司機械制造n 長安汽車有限公司n 深圳大族激光科技股份有限公司n 哈爾濱汽輪機廠有限責任公司n 北京動力源科技股份有限公司n 威海廣泰空港設備股份有限公司n 廈工集團電力能源環(huán)保n 大唐電力n 廣州環(huán)保投資有限公司附錄1 億賽通文檔透明加密系統(tǒng)功能特點億賽通文檔透明加密系統(tǒng)(DLPSmartSec)是針對企業(yè)內(nèi)部信息、文檔和數(shù)據(jù)進行強制加密的內(nèi)容保護方式，這種方式在不改變用戶使用習慣、文件格式和應用程序的情況下，采用“驅動層加解密技術”對指定類型的文件進行實時、強制、透明的加解密處理。流程審批自動解密審批流程(標準功能)解密審批管理人員可以在線對待審批申請進行處理,系統(tǒng)將自動反饋相應處理結果，并對通過審批的信息自動完成解密，無需手動參與。多密鑰支持機制(標準功能)系統(tǒng)支持多密鑰，不同的部門、不同的策略可以采用不同的密鑰管控。用戶安全策略更新(標準功能)終端自動獲取安全策略。拖拽控制技術(標準功能)根據(jù)安全策略，對被保護文檔內(nèi)容的拖拽進行安全控制，禁止將保護內(nèi)容拖拽至其他非受控文檔或拖拽為亂碼。文件自動備份策略(標準功能)為了保證核心數(shù)據(jù)的安全存儲，可以對核心信息提供自動備份功能，科學的滾動備份機制，在不占用過多存儲空間的同時，規(guī)避由于病毒破壞、誤刪除、終端故障等帶來的數(shù)據(jù)丟失、損壞的風險。角色管理模塊化的角色功能(標準功能)系統(tǒng)所有管理功能均由獨立模塊組成，每一個獨立模塊均可完成特定的功能，用戶可以根據(jù)所分配的管理模塊的不同定制出不同權限的角色。具備大用戶數(shù)管理模式支持，能滿足10萬點以上大規(guī)模端點控制需求，可以實現(xiàn)負載均衡、熱備和多級管理模式等；6. 具有高度的模塊化和擴展性，可以根據(jù)不同企業(yè)信息系統(tǒng)發(fā)展的需要，擴展其他功能，比如：電子郵件加密，輸出內(nèi)容監(jiān)控等模塊?？梢詮凝嫶蟮挠涗洈?shù)據(jù)中抽取有用的信息，對用戶的某些操作進行分類整理，通過操作記錄，回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。 數(shù)據(jù)外發(fā)控制與外界進行頻繁的信息溝通已成為公司必要的一種業(yè)務模式，這些交互的信息可能會涉及企業(yè)核心信息，而這些信息一旦流出企業(yè)就面臨著失控的風險。 部署架構（二期） 文檔安全網(wǎng)關應用效果圖隨著?？乒巨k公網(wǎng)絡環(huán)境不斷擴大，將在網(wǎng)絡中構建多種服務應用，如OA系統(tǒng)、PDM系統(tǒng)、PLM應用等，為確保后臺應用服務系統(tǒng)中所有內(nèi)容安全使用，需實現(xiàn)前臺終端加密數(shù)據(jù)上傳到后臺業(yè)務系統(tǒng)時自動解密，終端從應用系統(tǒng)下載文件時自動加密。億賽通文檔安全管理系統(tǒng)為ClientServer結構與BrowerServer結構相結合。同時將臨時文件中的文檔釋放到虛擬卷中。 企業(yè)大量機密數(shù)據(jù)以文檔的形式存在，其傳播的方式多樣，如何才能確保信息的私密性、控制能力和完整性? 特別是在開放網(wǎng)絡環(huán)境下，員工通過網(wǎng)絡泄密重要文件，以及黑客入侵竊取機密數(shù)據(jù)等，造成客戶數(shù)據(jù)、財務記錄、產(chǎn)品規(guī)格以及其他敏感文檔被非法查看和分發(fā)，給企業(yè)業(yè)務及聲譽帶來災難性的損失。 需求分析針對?？乒緝?nèi)部的電子文檔的應用方式進行分析，得出目前在電子文檔內(nèi)容安全管理方面存在以下問題：1. 如何防止公司內(nèi)部員工直接造成或者參與的非法信息外泄事件？2．如何防止終端離線安全，并且保證合法的離線用戶在正常使用離線文檔的同時防止泄密？，能夠保證文件離開公司網(wǎng)絡環(huán)境后不被更改和非法使用？，在辦公終端、業(yè)務系統(tǒng)之間流轉的安全？5. 如何控制公司內(nèi)部員工移動辦公使用機密文件的安全？6. 如何防止公司內(nèi)部人員通過網(wǎng)絡、移動介質或其它途徑泄密？7. 怎樣確保公司內(nèi)部與外部之間重要電子文檔的暢通、安全的交流？第三章 建設目標基于上述對睿科公司公司項目需求的簡要分析，結合北京億賽通科技發(fā)展有限責任公司（以下簡稱“北京億賽通”）在數(shù)據(jù)泄露防護領域多年信息安全項目建設經(jīng)驗，針對睿科公司文檔安全體系提出以下方案建議：1) 統(tǒng)一身份認證n 引入技術管控平臺需與公司AD域或其他基于Ldap/OpenLdap協(xié)議的認證系統(tǒng)集成，實現(xiàn)統(tǒng)一身份認證及管理；2) 集中管理n 對機密級數(shù)據(jù)進行管理，通過有效的技術管控，實現(xiàn)核心數(shù)據(jù)權限集中控制；3) 數(shù)據(jù)使用安全n 通過數(shù)據(jù)加密技術防止主動或無意識泄密，防止用戶通過端口、網(wǎng)絡等途徑泄密；n 防止內(nèi)部員工通過剪切板拷貝、拖拽、打印、拷屏等應用行為泄密；n 防止內(nèi)部員工越權訪問受控數(shù)據(jù)；n 對內(nèi)部電子文檔可進行隔離管理；n 防止電子文檔密文傳播；4) 郵件外發(fā)安全n 根據(jù)黑白名單，對發(fā)送接收郵件的電子文檔進行加密解密，保證白名單用戶使用不受影響，黑名單用戶權限受控。離網(wǎng)文件業(yè)務控制流程示意如下圖： ODM應用示意離網(wǎng)文件內(nèi)容安全的關鍵控制點包括：l 離網(wǎng)加密文檔全面控制：離網(wǎng)文件加密管理員在制作離網(wǎng)加密文檔的同時，能夠對文件做到更為精確的全面控制，具體包括以下幾點：使用期限設定，根據(jù)客戶的不同需求可自由選擇授權規(guī)則來制作可控的離網(wǎng)加密文件，可以自定義文件的打開次數(shù)和使用時間等；操作權限控制：系統(tǒng)可自定義文檔的修改、打印、另存為等權限，并且能夠自動屏蔽如復制粘貼、內(nèi)容拖拽、拷屏截屏等可能造成數(shù)據(jù)泄露的風險操作；文檔過期自動銷毀：臨時加密文檔具備自動銷毀功能，只要打開次數(shù)或者使用時間達到系統(tǒng)設定的標準，文檔便會自動刪除，從而減少信息泄露的風險。在內(nèi)部環(huán)境中，文件以密文存儲或流轉。其特點如下：n 應用系統(tǒng)的用戶從服務器下載的涉密文檔自動加密并以相應的權限體現(xiàn)(如只讀、打印、修改等)，合法用戶均可閱讀和使用；n 文檔權限繼承，與應用系統(tǒng)通過外圍拓展開發(fā)，為系統(tǒng)完成權限繼承接口，實現(xiàn)服務器下載時權限有效繼承；n 文檔權限認證，為應用系統(tǒng)完成權限認證接口，服務器中涉密文檔，無論是在線還是離線狀態(tài)使用，均由億賽通客戶端完成一體化認證；n 應用系統(tǒng)的用戶從服務器下載電子文檔的數(shù)據(jù)流在安全網(wǎng)關，均自動賦予操作權限，億賽通加密客戶端能夠自動識別并進行身份認證、權限