文件盾SecureDOCR白皮书Word文档格式.docx
《文件盾SecureDOCR白皮书Word文档格式.docx》由会员分享,可在线阅读,更多相关《文件盾SecureDOCR白皮书Word文档格式.docx(22页珍藏版)》请在冰点文库上搜索。
负责系统参数配置、用户帐户管理、细粒度权限控制策略配置、用户日志审计。
b)文档管理员:
为用户设定密级、文档权限修改。
c)系统审计员:
审计系统管理员操作日志、审计文档管理员操作日志。
文档安全客户端:
包含文件加解密驱动、权限控制、文档授权、离线控制、文档外发、用户平台等组件。
主要完成文档透明加解密、权限控制、文件离线、文件外发、日志记录等功能。
1.3产品优势
对比其他同类产品,SecureDOC-R产品拥有下列优势:
✧驱动级透明加解密技术,没有文件格式限制;
✧与常见安全软件(杀毒软件、防火墙、防木马工具等)具有良好兼容性;
✧除控制阅读、编辑、复制、打印、截屏等基本权限外,还可控制分发、离线、外发、解密及硬件绑定、使用时间等延伸权限;
✧提供文件安全交换功能,即文档作者可以选择文件的发送对象并设置其细粒度使用权限,从而保证文档可以在小范围内的安全共享与交换;
✧提供企业共享文档库功能,以类似资源管理器的形式呈现和管理企业内部集中存储的电子文件,并确保不同用户对文件的访问权限和使用权限;
✧提供文件离线情况下的细粒度权限控制和离线天数控制功能;
✧提供文件外发功能,可控制外部用户的使用权限和使用天数。
2.
产品功能特点
2.1提供整体安全解决方案
文件盾系列产品是北京时代亿信科技有限公司为企业用户提供的文档安全整体解决方案。
本方案专注于对各类文档的全面保护,针对传统文档保密方式的缺点,文件盾系列产品将驱动级透明加解密技术应用于文档的创建、编辑和使用的过程,利用透明加解密实现对文件的内容保护。
通过透明加解密技术与主动/自动授权,可让任何位置上的保密文档都处于严格的管控当中,经过加密授权的文档,可以保存在文件服务器、文档库中,也可以通过应用系统进行流转或共享传递。
加密保护和多达10种细粒度权限控制可以确保每个加密文档只能在适当的范围被适当的人执行适当的操作。
基于进程的控制方式,可以让用户在终端打开编辑器时就对编辑器进程进行过滤驱动保护。
通过进程保护、透明加解密等技术,结合应用系统与编辑控件的深度集成,对文档在创建、编辑、存储、流转、分发、外发等各个环节进行加密保护,全程保持密文状态。
图2-1系统整体运行图
2.2技术成熟稳定
文件盾系列产品拥有先进的用户身份认证服务、强大的透明加解密能力,完善的第三方应用接口,配合丰富实用的细粒度的权限控制以及友好的用户体验,在通信、金融等行业内,都拥有10万用户级的成功案例。
文件盾系列产品早在2008年就进入运营商、金融行业,这些客户对于系统的性能、稳定性有着较为严格的要求。
经过多年的积累,产品已经形成了如下优势:
✧系统支持10万级以上用户量
✧整合主流OA厂商产品与主流Office插件,提高用户使用体验
✧拥有完善的身份认证体系
✧10余种细粒度文档访问控制策略
✧可信进程保护技术从编辑器开始保护文档信息安全
✧主/被动结合的授权方式,简化用户使用流程
对于最终用户,在对文档进行正常操作时,无需过多关注产品本身,透明的加解密方式可以让用户毫无感觉的访问或保存加密文档。
通过鼠标右键集成菜单,用户可以方便的对文档进行各种操作。
图2-2右键菜单集成常用功能
经过加密授权后的文档,会自动在其原有图标上增加一个小锁图标,方便用户区别加密文档与明文文档。
图2-3加密后的文档图标
2.3文件加解密
2.3.1透明加解密
SecureDOC-R产品采用先进的驱动级文档加解密技术,默认采用128位AES对称加解密算法,可以根据应用需要替换算法和密钥长度。
同时,密文和密钥分离,密钥在服务端加密存储,客户端通过加密通道从服务端获取文档密钥和权限。
图2-4透明加解密示意
2.3.2支持的文件格式
SecureDOC-R产品支持多种常见的办公文档格式和媒体文件格式,满足企业日常办公的需要。
支持但不限于下列格式的文件:
Ø
金山WPS2007/2009/2012办公软件文件扩展名wps、et;
MicrosoftOfficeWord2003/2007/2010文件扩展名doc、docx;
MicrosoftOfficeExcel2003/2007/2010文件扩展名xls、xlsx;
MicrosoftOfficePowerPoint2003/2007/2010文件扩展名ppt、pptx;
MicrosoftOfficeVisio2003/2007/2010文件扩展名vsd;
AdobePortableDocumentFormat5.0/6.0/7.0/8.0/9.0/10.0文件扩展名pdf;
记事本、写字板文件扩展名:
txt;
流媒体格式:
wmv、asf、rm;
Photoshop系列文件扩展名psd;
CorelDraw系列文件扩展名cdr;
AutoCAD系列文件扩展名dwg;
ACDSee、Windows画图(Mspaint)文件扩展名:
jpg、bmp、gif、png。
2.4细粒度权限控制
SecureDOC-R产品对文件操作提供细粒度权限控制,具体如下:
阅读:
控制文档阅读
编辑:
控制文档不允许被编辑
复制:
控制剪切板,防止文档内容通过剪切板复制
打印:
控制文档打印
打印水印:
控制文档打印时是否加入水印
截屏:
对常用的截屏软件和屏幕录像软件进行控制
在文件操作权限的基础上,还提供了如下用户延伸权限:
分发:
控制用户是否可以对文件授权
离线:
控制用户是否可以在脱离企业安全环境下使用加密文档
外发:
控制用户是否可以发送文件到企业外部机构、客户、合作伙伴
解密:
控制用户是否可以解密加密文件
通过上述细粒度授权策略,既保证文档在流转过程中的安全使用,又可以控制文档的使用权限,有效防止电子文件的非法传播。
2.5多类水印配置
SecureDOC-R产品支持对加密文档添加水印信息,支持的水印类型有阅读水印、打印水印、外发阅读水印和外发打印水印。
每类水印可配置的显示内容有:
用户名、部门、用户密级、文档密级、IP地址、计算机名称、时间等,同时支持对显示内容进行字体类别、字体大小、字体颜色、旋转角度、透明度、排列方式等方式进行动态设定。
2.6文件安全交换
SecureDOC-R产品提供了文档中转站功能,用户登录到文档安全客户端后,即可在文件上使用右键菜单功能,选择文件接收对象并设置其使用权限,从而安全地在小范围共享和交换文件。
图2-5文档安全客户端中的文档中转站功能
图2-6文件右键菜单的授权并发送功能
图2-7设置接收对象及其使用权限
文档安全客户端在接收到文件后,会在右下角弹出消息提醒,用户点击消息就可以在文档中转站中查看已收到的文档,并按照被授予的权限使用。
2.7权限申请审批
在文档的实际使用和权限控制过程中,经常会出现权限不满足使用的情况,为此,SecureDOC-R产品提供了权限申请审批机制,用户在使用文档过程中如果权限不够,可以向文档作者申请额外的使用权限,作者审批通过后,用户即可按照新权限来使用文档。
图2-8用户提交权限申请
图2-9文档作者审批权限申请
2.8企业共享文档库
SecureDOC-R产品具有企业共享文档库功能,以类似资源管理器的界面方式呈现和管理企业内部集中存储的电子文件,还可控制不同部门或不同用户对文档库中文件的访问权限和使用权限。
图2-10企业共享文档库
2.9密文离线管理
SecureDOC-R产品不仅为企业内网提供了全面的文档安全保护,对员工出差、领导在家办公的实际情况,提供了专门的加密文档离线控制功能,做到既防止企业文档内容泄露,又可以满足加密文档脱离安全环境使用的实际需求。
SecureDOC-R产品采用离线权限组的方式为用户添加离线权限,处于离线权限组的用户才可以在离线状态下使用具有离线授权的加密文档。
管理员可以为不同部门或用户设置不同的离线权限,满足不同部门、不同工作职责的用户使用需求。
管理员还可以设置用户对离线文档的操作权限,或审批用户对离线文档的权限申请,并可设置允许的离线时间。
2.10文件外发管理
SecureDOC-R产品对需要向合作伙伴、外部客户、上级单位发送内部文档的需求,提供了制作文档外发包功能。
制作外发文档时自动判断用户是否有外发权限,如果没有外发权限,需要用户申请后才能进行外发操作。
文档外发包接收方无需安装任何客户端,即可受控操作文档。
外发包可控制外部用户对包内文档的阅读、阅读次数、复制、打印等权限,可设置外部用户使用凭证为口令,还可设置与外部用户的硬件信息(IP地址、MAC地址、机器码)进行绑定,提高外发文档安全性。
图2-11外发文档的权限控制及外部用户硬件信息绑定
外发文档包可设置口令保护,外部用户必须输入正确的口令才能使用文档。
外发包还可设置使用天数,在允许使用时间段过后,外发文档将不能再使用。
图2-12外发文档的口令保护及允许使用时间段设置
2.11良好的环境兼容性
SecureDOC-R产品能在以下环境中正常运行:
(1)操作系统支持:
32位和64位WINDOWSXPSP2/SP3、WINDOWSVISTA、WINDOWS7;
(2)能够与目前常用的杀毒软件兼容:
360、SymantecEndpointProtection、金山毒霸、卡巴斯基、瑞星、江民、NODE32、McAfee等;
2.12密钥备份机制
SecureDOC-R产品提供了完善的密钥备份机制,可以保证在系统遇到意外情况时,恢复用户文件密钥,确保所有密文都能正常打开。
2.13文档备份机制
SecureDOC-R产品提供了客户端、服务端文档全面的备份机制。
客户端文档可自行设定自动备份的“备份数量”,即可设定历史备份数量为无限,这样既可选择任意历史备份数据进行恢复,也将确保用户资料不会损坏丢失。
同时在服务端实现了文档双机热备份,数据库自动备份还原。
2.14良好的操作体验
SecureDOC-R产品为了提高客户操作体验,实现了文档拖曳上传、发送,且可对文档设置快捷键,使客户在操作上更接近资源管理器模式,贴近客户操作习惯。
2.15移动终端支持
随着移动智能终端的逐渐普及,信息交换快速化的空间限制逐渐被打破,使得移动办公成为了工作的有机组成。
为了提高SecureDOC-R产品适用性,本产品结合虚拟化技术实现了加密文档在移动智能终端下的正常使用。
2.16系统管理
SecureDOC-R产品提供了基于Web方式的管理平台,并提供基于三员分立的管理员管理体系,还具有管理员分级管理功能。
系统管理员:
图2-13系统管理员
文档管理员:
图2-14文档管理员
系统审计员:
图2-15审计管理员
2.17全面的日志审计
1)用户日志审计
SecureDOC-R产品全面记录用户的各项日志,系统所有的日志记录信息不可修改、不可手动删除。
图2-16用户日志
2)管理员日志审计
系统主要记录各类管理员登录管理系统后执行的关键操作,如用户管理、用户密级设置、进程加密策略、授权策略等操作。
图2-17管理员操作日志
3.
产品规格
功能模块
实现能力
透明加解密功能
驱动级透明加解密
不改变文件格式、应用关联方式
密钥与密文分离存储
加密算法可替换,支持国密算法
不生成任何磁盘临时文件
防内存窃取
本地文件批量加密
细粒度权限控制功能
控制文档的阅读、复制、编辑、打印、打印到文件、截屏权限
控制文档的分发、离线、外发、解密权限
文件复制、改名不影响文件的加密状态和对文件的权限控制
提供使用时间、使用次数、硬件绑定等高级控制策略
密文离线控制功能
未授权的加密文档,离线不能使用
管理员可设置离线用户组,并设置该组用户的文档使用权限
可记录用户的离线使用日志,并在联机后自动上传服务器
提供使用时间、使用次数、硬件绑定等高级离线权限控制策略
文件外发控制功能
提供将加密文档制作为外发包的功能
外部用户无需安装客户端即可使用外发包
外发包可设置使用口令
外发包可与外部用户的硬件信息绑定
外发包可与USB智能卡绑定
可控制外发包的阅读、复制、打印等权限
提供使用时间、使用次数、硬件绑定等高级外发权限控制策略
密文打印控制功能
可控制文档是否允许打印
可控制文档是否允许打印到文件(虚拟打印)
可在打印时强制添加水印
水印内容可定制
打印到文件时,打印出的文件仍为密文
权限审批功能
用户可申请文件的额外使用权限
具有权限审批机制
授权管理功能
文档作者可对文件进行授权
文档管理员可对密文追加或撤销授权
管理员可按照组织机构、用户组进行批量授权
具有分发权限的用户可以转授自己的权限
用户管理功能
支持文件(.txt、.xls、.cvs等格式)批量方式导入/导出用户
支持通过WebService接口方式同步组织机构和用户信息
提供组织机构和用户的统一管理
支持用户分组管理
认证方式
提供用户名密码认证方式
提供CA数字证书认证方式
系统管理功能
提供系统管理员、文档管理员、审计管理员三员分立管理功能
提供管理员分级管理功能
提供系统备份恢复功能
提供文档密钥备份恢复功能
日志审计
能够记录管理员的所有配置管理操作
能够记录用户的访问日志,日志信息包括用户名、访问时间、访问IP、访问结果等
能够记录用户的文件操作日志,包括用户名、操作时间、操作IP、操作内容、操作结果等
不允许对日志进行删除或修改操作
提供日志的备份恢复功能
4.
公司成功案例
政府
中共中央办公厅
全国人大
国家保密局
外交部
文化部
国家体育总局
北京体彩管理局
南京市政府
山东政法委
承德国土资源局
中央团工委
贵州省安监局
贵州省教育局
麻江市政府
仁怀市政府
宁波市建委
通信
中国电信集团公司
中国移动集团公司
中国联通集团公司
上海电信
湖南电信
重庆电信
海南电信
贵州电信
河北电信
山东电信
天津电信
新疆电信
西藏电信
甘肃电信
安徽电信
江西电信
信元公众
黑龙江移动
军队与军工
海军某总部
某海军基地
武警某部
空军某研究所
中国船舶工业集团
中国船舶重工集团
中国航空工业集团
中国核工业集团
中航工业雷达与电子设备研究院
中国兵器内蒙古第一机械集团
中国兵器豫西工业集团
船舶重工第七一二研究所
船舶重工第七二六研究所
江西中船航海仪器有限公司
上海航海仪器有限责任公司
海鹰集团
广州船舶及海洋工程设计研究院
江南造船厂
黄埔造船厂
金融
民生银行
中国再保险集团公司
中国银行
中国免税品集团公司
航空结算中心
中央国债登记结算公司
联动优势
电力
南方电网
东北电力
其他行业
联想集团
中冶钢联工贸有限责任公司
北京广播电台
赛迪集团
首创股份有限公司
开滦集团
首创集团
中科院数字图书馆
连云港港口集团
浙江省女子监狱
中国经济网
龙湖地产
北京市测绘设计研究院
升级会员 