【正文】 ；8) 兼容穩(wěn)定性n 引入技術(shù)管控平臺需與公司現(xiàn)有的終端防病毒產(chǎn)品必須完全兼容；n 引入技術(shù)管控平臺能夠?qū)粳F(xiàn)有系統(tǒng)環(huán)境兼容，后續(xù)環(huán)境升級、變更時無需投入太多成本；n 不改變員工工作習(xí)慣、不影響現(xiàn)有業(yè)務(wù)運作；9) 操作權(quán)限、密鑰與密文分離，操作權(quán)限、密鑰集中統(tǒng)一管理等。加密的安全性主要取決為加密算法和密鑰強(qiáng)度，目前SmartSec采用的加密算法為AES等國際流行的加密算法，密鑰長度最大可達(dá)256位，完全可以滿足用戶的安全需求。其技術(shù)實現(xiàn)如下圖所示： SmartSec技術(shù)實現(xiàn)SmartSec的顯著特征為：加密強(qiáng)制性、使用透明性、保密徹底性、應(yīng)用無關(guān)性、無限拓展性。SmartSec是針對內(nèi)部信息、文檔和數(shù)據(jù)進(jìn)行強(qiáng)制加密的內(nèi)容保護(hù)方式，這種方式在不改變用戶使用習(xí)慣、文件格式和應(yīng)用程序的情況下，采用“驅(qū)動層智能動態(tài)加解密技術(shù)”對指定類型的文件進(jìn)行實時、強(qiáng)制、透明的加解密處理，就是說在正常使用時，計算機(jī)內(nèi)存中的文件是以受保護(hù)的明文方式存在，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)，如果沒有合法的使用身份、訪問權(quán)限和正確的安全通道，則不能訪問加密后的文件，所有通過非法途徑獲得的數(shù)據(jù)都以亂碼形式表現(xiàn)。發(fā)送到文檔接收者后，運行離網(wǎng)文件會提示身份認(rèn)證，文檔接收者使用文檔發(fā)送者制作時設(shè)定的認(rèn)證方式（直接瀏覽、密碼、硬件KEY或終端標(biāo)識）校驗身份合法性。同時將臨時文件中的文檔釋放到虛擬卷中。最后掛載應(yīng)用層的權(quán)限控制，解密后使用默認(rèn)打開程序打開虛擬卷中的文件。使用完成關(guān)閉文檔，文檔再次變?yōu)榧用軤顟B(tài)封裝在exe文件中。l 文檔使用者身份認(rèn)證：通過以下方式，可以限制只有指定使用者才能使用離網(wǎng)加密文件：直接瀏覽：直接瀏覽方式制作的離網(wǎng)加密文檔，不需要通過任何認(rèn)證即可打開；密碼認(rèn)證：密碼驗證方式制作的離網(wǎng)加密文檔，打開時需要經(jīng)過密碼驗證才能打開；USBKey認(rèn)證：USBKEY認(rèn)證方式制作的離網(wǎng)加密文檔，在打開時必須插入相應(yīng)的USBKEY；電腦標(biāo)識：系統(tǒng)會根據(jù)用戶電腦標(biāo)識碼計算出一組唯一的認(rèn)證碼，只有在此電腦上通過密碼驗證后才能正常打開離網(wǎng)文件。支持權(quán)限模板，并支持批量的文檔集中制作離網(wǎng)加密文檔。用戶在閱讀時無需安裝任何的客戶端或插件，雙擊即可正常打開，不會增加用戶的任何額外操作。另外，可開放離網(wǎng)加密文件的打印權(quán)限，同時支持打印水印。日志管理員可以隨時查看系統(tǒng)運行情況，能夠及時發(fā)現(xiàn)一些異常操作，從根本上降低數(shù)據(jù)泄露的風(fēng)險。億賽通文檔安全管理系統(tǒng)為ClientServer結(jié)構(gòu)與BrowerServer結(jié)構(gòu)相結(jié)合。億賽通文檔安全管理服務(wù)器負(fù)責(zé)系統(tǒng)的維護(hù)和管理，系統(tǒng)劃分系統(tǒng)管理員、終端管理員、日志管理員等多種角色，系統(tǒng)管理員負(fù)責(zé)終端的管理、用戶和組織結(jié)構(gòu)的劃分和維護(hù)、日志的查看、安全策略的制定，日志管理員負(fù)責(zé)日志的維護(hù)和報表輸出，終端管理員是二級管理員，負(fù)責(zé)部門的終端維護(hù)和加解密策略的分發(fā)。對加密文檔內(nèi)容可控制拷貝粘貼、拷屏、另存等操作。對用戶完全透明，不改變用戶操作習(xí)慣。 管理分級文檔安全系統(tǒng)所有管理及審批環(huán)節(jié)均提供分級管理及審批功能，靈活的分級設(shè)置，給企業(yè)提供靈活的管理支撐。系統(tǒng)能夠?qū)Σ煌瑱C(jī)構(gòu)、人員應(yīng)用不同的加密策略，使用不同策略的機(jī)構(gòu)或用戶之間，可設(shè)置是否能夠互相正常打開加密文檔。億賽通文檔安全管理系統(tǒng)能夠?qū)λ斜患用芪募M(jìn)行安全保護(hù)，加密電子文檔一旦打開，億賽通文檔安全管理系統(tǒng)安全保護(hù)模塊將對電子文檔進(jìn)行嚴(yán)格保護(hù)，用戶無法通過另存為、拷貝等常用手段進(jìn)行泄密，同時也無法通過宏輸出、內(nèi)存竊取等手段進(jìn)行泄密；用戶在打開加密涉密文檔的同時，即使使用進(jìn)程專殺、HOOK移除等專業(yè)工具也無法進(jìn)行泄密。同時，采用安全的訪問控制技術(shù)，對授權(quán)涉密文檔進(jìn)行安全保護(hù)，防止用戶通過復(fù)制、另存為、拖拽等方式泄密，但允許用戶在授權(quán)加密電子文檔間進(jìn)行內(nèi)容的轉(zhuǎn)移。 部署架構(gòu)（二期） 文檔安全網(wǎng)關(guān)應(yīng)用效果圖隨著?？乒巨k公網(wǎng)絡(luò)環(huán)境不斷擴(kuò)大，將在網(wǎng)絡(luò)中構(gòu)建多種服務(wù)應(yīng)用，如OA系統(tǒng)、PDM系統(tǒng)、PLM應(yīng)用等，為確保后臺應(yīng)用服務(wù)系統(tǒng)中所有內(nèi)容安全使用，需實現(xiàn)前臺終端加密數(shù)據(jù)上傳到后臺業(yè)務(wù)系統(tǒng)時自動解密，終端從應(yīng)用系統(tǒng)下載文件時自動加密。億賽通安全網(wǎng)關(guān)架設(shè)于終端與后臺業(yè)務(wù)系統(tǒng)之間，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的核心交換機(jī)（路由器等）之前或之后，以實現(xiàn)終端與服務(wù)器的數(shù)據(jù)交流必須經(jīng)過安全網(wǎng)關(guān)，通過安全網(wǎng)關(guān)實現(xiàn)各種業(yè)務(wù)需求的處理。為確保睿科公司核心應(yīng)用系統(tǒng)信息數(shù)據(jù)在線訪問安全，通過億賽通核心技術(shù)安全網(wǎng)關(guān)實現(xiàn)終端和應(yīng)用系統(tǒng)數(shù)據(jù)的安全交互。n 通過安全網(wǎng)關(guān)設(shè)備的后臺無關(guān)特性，不改變后臺業(yè)務(wù)服務(wù)系統(tǒng)結(jié)構(gòu)和流程，后續(xù)信息化系統(tǒng)升級或改造也無需投入新的成本。用戶申請使用文件并通過身份驗證后，呈現(xiàn)在用戶眼前的是已按照此用戶權(quán)限屏蔽部分功能的文件。億賽通文檔安全管理系統(tǒng)可以通過服務(wù)器自定義安全策略，通過簡單的策略配置即可實現(xiàn)任意文件的強(qiáng)制加密，用戶應(yīng)用系統(tǒng)的升級無需定制開發(fā)。用戶對加密的文件無論怎樣修改生成的擴(kuò)展名文檔內(nèi)容始終是加密的。DiskSec是一款防止筆記本電腦丟失、維修和報廢后導(dǎo)致數(shù)據(jù)泄露的透明加密軟件。 數(shù)據(jù)外發(fā)控制與外界進(jìn)行頻繁的信息溝通已成為公司必要的一種業(yè)務(wù)模式，這些交互的信息可能會涉及企業(yè)核心信息，而這些信息一旦流出企業(yè)就面臨著失控的風(fēng)險。 郵件外發(fā)控制億賽通文檔安全管理系統(tǒng)的郵件外發(fā)功能，用戶根據(jù)黑白名單，對接收郵件的文檔進(jìn)行加密解密，保證白名單用戶使用不受影響，黑名單用戶權(quán)限受控；對于用郵件外發(fā)的文件，通過控制臺認(rèn)證過的收件人白名單EMail地址，外發(fā)過去的郵件中含有加密狀態(tài)的附件時（不能是壓縮狀態(tài)的），一律會自動解密；而對于沒有經(jīng)過控制臺認(rèn)證過的收件人EMail地址，外發(fā)過去的郵件中所含有的加密狀態(tài)的附件一律不會自動解密，還是保持加密狀態(tài)。n 億賽通文檔安全管理系統(tǒng)客戶端在脫機(jī)超過規(guī)定時限后還需要繼續(xù)使用時，管理員可通過服務(wù)器生成補時碼發(fā)送給該用戶完成離線補時。數(shù)據(jù)完整性風(fēng)險主要有：病毒破壞、意外斷電、保存死機(jī)、人為破壞等。當(dāng)由于不可抗拒因素導(dǎo)致數(shù)據(jù)出現(xiàn)異常時，安全終端可立即給用戶提供備份數(shù)據(jù)，將風(fēng)險降到最低。為了解決對外業(yè)務(wù)交互的后顧之憂，在企業(yè)文檔安全體系中，我們提供信息對外發(fā)布技術(shù)方案，其特點如下：n 通過外發(fā)系統(tǒng)發(fā)布的信息，用戶可以自定義信息訪問密級，使外界嚴(yán)格按照預(yù)設(shè)密級權(quán)限使用信息，在加密的同時，對信息進(jìn)行安全控制，防止信息擴(kuò)散；n 外界用戶無需安裝任何插件就可直接閱讀外發(fā)信息；n 能夠嚴(yán)格控制外發(fā)信息的使用權(quán)限，如讀取次數(shù)、時間、打印控制等；n 可審計，所有外發(fā)信息的發(fā)布日志和外界使用信息，內(nèi)部服務(wù)器可實時審計，確保外發(fā)流程的運行安全。 自動升級功能億賽通文檔安全管理系統(tǒng)的安全終端隨著應(yīng)用的深入和用戶的建議將日益完善和安全，為了能降低維護(hù)成本和提高安全性，通過服務(wù)器補丁的派發(fā)，終端將自動完成升級，大大降低了企業(yè)的維護(hù)成本，同時也可提高企業(yè)的安全收益。 雙機(jī)熱備功能如果一臺設(shè)備因故障停止運行，則備份服務(wù)器能立即接管，以保證用戶業(yè)務(wù)不致因故障而影響正常運行，大大提高了系統(tǒng)的穩(wěn)定性。可以從龐大的記錄數(shù)據(jù)中抽取有用的信息，對用戶的某些操作進(jìn)行分類整理，通過操作記錄，回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。一旦泄密事件發(fā)生，通過用戶操作記錄, 可以第一時間拿出最有力的證據(jù)。對于電子文檔分發(fā)、打印、復(fù)制受到權(quán)限控制以及脫離了企業(yè)的文檔有效的控制，杜絕涉密信息二次泄露、非法修改。n 結(jié)合文檔安全客戶端，可有效防止電子文檔被非法訪問、非法拷貝復(fù)制，杜絕二次泄露。n 配合多樣化的日志審計，詳細(xì)記載服務(wù)器端和客戶端對文檔的操作記錄，所有操作日志報表在線審計并可自動導(dǎo)出。 系統(tǒng)維護(hù)視角n 易用性：使用簡單，不需要培訓(xùn)就可以使用；n 使用方便：操作方便，是以圖像界面方式顯示；n 可延展性：能夠輕松實現(xiàn)對所有文件類型的支持，完全滿足企業(yè)發(fā)展的需要；第八章 方案優(yōu)點1. 億賽通數(shù)據(jù)泄露防護(hù)（DLP）的所有功能基于一套完整、協(xié)調(diào)的體系，可以實現(xiàn)的統(tǒng)一管理和策略聯(lián)動，在實施、管理、維護(hù)、升級等一系列活動中，方便靈活，極大地降低了成本；2. DLP體系以數(shù)據(jù)加密和權(quán)限管理為核心，結(jié)合了身份認(rèn)證、日志審計、文檔備份、郵件外發(fā)管理等功能，系統(tǒng)本身具備容災(zāi)管理功能，在基于用戶需求的基礎(chǔ)上，配合各