《企业文档加密管理系统产品解决方案.docx》由会员分享,可在线阅读,更多相关《企业文档加密管理系统产品解决方案.docx(28页珍藏版)》请在第一文库网上搜索。
1、企业文档加密管理系统产品解决方案目录1 .削理念12 .系统简介23 .系统架构34 .系统特色45 .系)能削65.1 文档加密65.1.1 实时加密65.1.2 扫描加密75.1.3 端加密75.2 防止泄密85.2.1 防系统泄密85.2.2 财丁印泄密95.2.3 防邮件泄密95.2.4 防U盘泄密105.3 贩件删除105.4 文档解密115.4.1 系统管理端解密115.4.2 客户端权限解密125.4.3 安全邮箱解密135.5 权限等级设置135.6 文档备份155.7 离网策略165.7.1 雌权设置165.7.2 硬授权设置175.8 文件外发185.9 远程部署225.1
2、0 开关客户端功能235.11 特殊功能245.11.1 大文件支持245.11.2 穿透压缩包加密245.11.3 打印快照245.11.4 监控指定目录245.11.5 禁止程序运彳亍245.12 文件配置255.13 客户端配置265.14 日志审计功能271 .设计理念好的软件让企业从中受益,不好的软件让企业失去信心。大多数加密软件在设计时考虑更多的可能是如何去实现加密,如何防止泄密,但俗语说世上没有不透风的墙,我们从另一角度出发,帮助企业在文件管理上实现集中化,在流动控制上实现有案可杳。对加密文件进行有效管理和做到有备无患,才是企业加密软件设计的最终目的。企业加密软件ED。CenCM
3、an(以下简称EDOCenCMan)采用的是不改变使用者原来的操作习惯和计算机操作方式,使文档于无形中被加密,同时对所有加密文档进行密级重组,使企业内部文档的流通是始终处于受控状态。同时ED。CenCMan对于文件的打印和U盘的拷贝采用多种控制方式,企业完全可以根据自己的需要来实现文档外流的方式,实时的日志记录能有效的追溯所有解密、打印等敏感操作。针对企业控制力较弱的环节,如设计人员外出或者招标文件的保密,甚至于对外发文件的控制,ED。CenCMan均提供一套完整的解决方案。EDocencMan的目标是实现企业“管理先行,文档保密,事发追溯。2 .系统简介EDocencMan采用C/S架构。所
4、有的客户端安装盘均在服务端按企业需求进行定制。EDocencMan采用等级管理模式,系统管理员可以设定不同的子管理员(如:超级管理员、文件管理员、等级管理员等),客户端登录时,直接使用Windows当前登录的域用户帐号或者本机帐号作为EDOCenCMan加密系统的帐号进行校验。可以针对对公司内部域管理模式设置系统的权限。也可以根据公司架构设定多个子管理员进行管理。EDocencMan采用128位高强度加密算法实时加密文件,在企业特定的环境内,所有的文档操作一切正常,但是文档一旦离开企业,文档就无法打开,可以帮助企业有效防止用户通过电子邮件、移动硬盘、优盘、USB接口等途径泄密企业图纸,财务数据
5、,招投标文件等重要文档,力保企业知识财产的安全。EDocencMan不会改变用户原来的任何习惯。软件对于用户而言是透明的,是不存在的,但实际上为企业修建了一道严密的防御体系,时时刻刻守护着企业宝贵的知识财产。3 .系统架构EDocencMan由系统管理工具、运行客户端、加密硬件锁三部分组成,支持备份服务器功能。适用于任何基于TCP/IP协议的网络体系(局域网或广域网I以下是系统结构图:4 .系统特色零感觉客户端EDocencMan系统客户端可在不知不觉中完成文件的加密工作,不会影响涉密客户机应用程序的工作界面,也不会改变操作者的操作习惯。适用范围广EDOCenCMan支持所有应用程序控制,如设
6、计类的SoIidWorksxProExUG、CATIAnAUTOCAD等,办公类OffiCe系列等,汇编类VCxVB系列等自动加密控制ED。CenCMan系统客户端在涉密客户机启动后自动运行,无需人工干预。ED。CenCMan系统运行后将自动对控制列表中的受控软件系统进行控制。永驻系统EDOCenCMan系统客户端属于内嵌式软件系统,系统一旦安装,将永驻在涉密客户机的操作系统之中。EDocencMan系统安装后,在操作系统的安装/卸载界面中将不出现该系统的安装条目。EDOCenCMan系统卸载需要专供的卸载工具而于有多进程保护,系统运行后,其运行进程也不能终止。可靠安全性EDocencMan系
7、统采用数字版权保护(Digita1RightManagement,DRM)理论技术,采用国家保密局指定的SSF33加密算法,以128位密钥结合硬件环境,针对不同的操作系统和应用软件进行加密控制,同时允许企业自定义密钥。EDoCenCMan系统所控制的文件在保存(和自动保存)过程中,自动给文件注入密钥信息而形成加密文件。该种加密方式符合国际密匙原则,破解级别达到3级(说明:1级最高,5级最低,3级为民用级)。高效系统部署EDocencMan系统支持远程安装、远程卸载、客户端远程强制更新、客户端开机自动更新等多种灵活的系统部署方式。可大大减轻企业管理人员对该系统的维护工作量。离线控制灵活EDoce
8、ncMan系统可远程制作、发放、安装、更新与卸载离网许可,设定涉密客户机离线策略,包括离网使用时效、次数等。同时,EDocencMan系统提供文件离线外发功能,允许使用者将加密文件(无需解密)发送到企业外部,外部使用者可按规定的时间和次数来使用该加密文件而不能进行二次传播。自动初始化扫描对涉密客户机上的历史文件,EDocencMan系统提供文件初始化加密功能。自动对其上的指定格式文件进行自动扫描并加密,无需要人工干预。全面堵截漏洞EDocencMan系统针对以下安全漏洞进行了全面堵截:系统操作漏洞(内容复制、屏幕截取与录制、O1E插入、内容拖拽等)打印控制漏洞(物理打印机、虚拟打印机文件转化等
9、)邮件发送漏洞(SMTP-maikWEB-mai1x程序内邮件等)一存储控制漏洞(软/硬盘、U盘、刻录设备、1394/红外/蓝牙设备等) 文件传输漏洞(FTP传输、HTTP传输、P2P传输、IM传输等) 程序控制漏洞(受控程序改名、阻止进程加载、终止进程、卸载客户端等) 数据删除漏洞(删除、彻底删除等)文档密级控制企业在EDocencMan中可以根据文件管理需要定义文档密级,控制内部文件的打开权限、打印权限、文件解密权限以及文件删除权限。全面日志审计EDOCenCMan提供完备的日志管理,可记录文件日志、管理日志、打印日志、授权日志等详细日志,并提供日志查询、导入、导出功能。确保文件与操作的可
10、追溯性。广泛兼容性EDocencMan完全兼容现有网络、硬件系统,如路由器、网关及防火墙;完全兼容已知的安全软件,如杀毒软件、防火墙软件;也兼容最新的Windows系统平台,如WindowsVista3264o可维护性EDocencMan采用集中管理方式,客户端的策略变化、权限变化等操作均可在管理控制台完成;当有新版本发布时,只需将新版本程序放入服务器,客户端即可自动更新,无须人工每个客户端更新,系统维护工作量已小到不能再小。5.系统功能设计5.1 文档加密5.1.1 实时加密通过系统管理端的应用配置”选项可以选择需要受控制的程序,其程序产生的任何文5.1.2 件将会自动加密5.1.3 扫描加
11、密通过系统管理端的初始化扫描选项实现在计算机第一次安装加密客户端时对计算机上的磁盘进行扫描加密,加密的文档类型在空格框内添加。如需要扫描加密Word文件和AutoCAD文件则添加*.doc;*.dwg初始化扫描,格式机dwg;*.txt照分号分隔,支持通配符)I*.doc;*,dwg;注:此功能有两个版本,一个是对所有文件类型扫描加密;二是对非只读文件类型扫描加密。5.1.4 管理端加密通过系统的加解密”模块可以对服务器本机或者网络内共享的文件进行远程解密。同时可以过滤文件类型,设置文件内的文档加解密对象。另外也可以通过服务器对网络内的文件进行加密等级修改。如下图:5.2 防止泄密5.2.1
12、防系统泄密系统运行后针对系统的一些漏洞进行堵截,具体如下:文件复制把文件从受控制的程序中复制到不控制的程序中去。屏幕截屏系统受控后防止个别人员采用键盘上的PrtScr键或是Ctr1+PrtSCr组合键,或者是采用一些抓屏软件将企业的重要文件通过图片的方式保存起来传出去。O1E对象插入系统受控后防止个别人员使用一些软件中的O1E对象插入功能将加密的文件通过此功能插入到还没有加密的文件中保存起来传出去。对象拖放系统受控后防止个别人员在打开加密文档的时候,抓住一些重要内容直接拖出程序放到面-to客户党权限允许截屏17允许O1E插入Q允许拖敢开关容户端允许运行禁用不控制典允许册除忽略接收者忽略发送者厂
13、发送安全邮件外发文件笈Pft客户端创建时限文件修改时限文件不允许修改密码包腱文档授权修改文档授权上传快照5.2.2 防打印泄密为有效控制企业文件打印节约企业耗材成本,防止企业人员将重要资料通过打印方式以纸质方式带出去。EDocencMan系统对系统使用用户进行了打印控制,需要打印的人员允许打印,对不需要打印的人员禁止打印,并且对所有能够打印的计算机和人员进行实时监控。17打即支怦i允许叙屏允许O1丽入允许施放开关客尸流允许运行禁用不控制陷允许删除忽略接收者忽略发送者发送安全邮件外发文件卸载名尸端创连时限文件修改时限文件不允许修改密码创建文档授权修改文档授权P上传快照5.23防邮件泄密为有效控制
14、企业解密文件采用邮件的方式发送出去,EDocencMan系统通过对用户进行允许邮件设置实现是否允许发送邮件。另外对于企业认为可靠的接收邮箱采用安全邮箱的方式使企业内部发送过去的邮件附件自动解密。并且对所有未发送成功或者已经发送成功的邮件进行自动抄送备份该邮件副本到指定的服务器邮箱上保存,确保企业发现邮件泄密后可以进行历史追踪,查看发送时间和发送的邮件内容及附件。DoCGarder管理工国I当仃登录用户sa安装定制I用尸管理I远程安装I加好窘ISWiSSI配置文件I点此按钮设置邮箱全选献II邮件控制I安装盘生成船务署设置版务器计算机名F服务器端口号B更新JR务题地址更新服务蹄口号测试I蜘|55.
15、2.4 防U盘泄密为防止企业重要文档资料通过U盘拷贝的方式泄露出去通过对用户进行不控制U盘设置实现是否允许U盘操作。对U盘的控制方式分为三类:第一类直接禁止运行USB功能;第二类对USB端口进行监控,企业内部所有重要资料一旦通过USB端口进行拷贝等操作,系统将视其为泄密,所有文件都将被加密;第三类对所有插入USB端口的外设进行磁盘扫描处理,盘内所有文件都将被加密。勾选该权限后,系统不对U盘的操作作任何处理。移动存储控制梗式G写入时加密C全盘加笠C禁用客户瞌权限打印文件F允许复制允许徵屏允许O1E插入允许施放开关客尸荒允许运行禁用B不谶灌允许期除“忽略接收者忽略发送者厂发送安全邮件外发文件卸栽客户端创建时限文件修改时限文件不允许修改密码厂包犍文档授权修改文档授权上传快照客户