时代亿信-文件盾-SecureDOC电子文档安全管理产品
亿赛通文档安全管理系统解决方案介绍
通用文档管理系统与亿赛通CDG文档安全管理系统比较(一) 通常电子文档使用管理现状
具有权限的人取出文件
使用亿赛通文档安全管理系统
不能使用文件
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
通用文档管理系统与亿赛通CDG文档安全管理系统比较(二) 通常加密类电子文档使用现状
加密
解密密钥 公司重要文档.doc@ 解密后的文档
可以自由使用保存 重要文档.doc
使用亿赛通文档安全管理系统
根据不同权限的密钥 用户解密后对文件有不同 具有权限设定的密钥 解密后的文档
的使用权限,比如:只能 “阅读,复制”不能“保存,打印”
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
•成立实施团队 •依据实施范围 •依据实施风险 •培训计划
•现场硬件/软件 环境复杂度 •工作模式复杂 度 •其他因素(项 目)
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
项目实施团队
项目指导委员会
主 任:(客户方项目总负责) 副主任:(原厂方项目总负责、 易聆科项目总负责)
实施规模、范围及策略
实施周期
制度保障
All Rights Reserved, Copyright E-SAFENET CORPORATION 2005
典型案例 --- 晨讯集团
服务器 (CC/VSS/SubVersion)
Check Out 提交前
ห้องสมุดไป่ตู้
信息安全解决方案数据安全系列
数据防泄密系统——日志审计
离线申请日志
文件外发记录
密级转换日志
管理员审批 解密日志
信任但不放任,授权非放权
数据防泄密系统——系统兼容
1
Windows版本: 2000/XP/2003/Vista/7/2008/8/2012 (支持32位和64位)
网络环境: AD域 异地部署
4
ቤተ መጻሕፍቲ ባይዱ
强大的兼容性
管理系统:
数据防泄密系统——功能介绍
数据防泄密系统—— 7大模块
系统兼容模块 文件管理控制模块
07 06
文件透明加密模块
01 02
文件外发控制模块
05
服务器白名单模块
04
03 离线管理模块
密级管理模块
数据防泄密系统——文件透明加密
遭受木马和病毒窃取 违规拷贝
网络发送扩散
非法出口
合法出口
企事业单位内部
通过windows驱动级动态加解密技术,对文件 强制、自动、透明加密。对办公人员操作习惯没有 任何影响。在企事业单位内部形成类似一个“用户 无感知的涉密网”。当文件未经授权流到企事业单 位外,打开时会出现乱码或无法打开,并且始终处 于加密状态。
授权离线 授权打印 授权外发
数据防泄密系统——文件透明加密
拖放保护 OLE插入保护
复制粘贴保护 加密文档
虚拟打印保护 防截屏保护
加密文档之间内容可互通,非加密文档之间内容也可互通; 非加密文档可向加密文档复制,加密文档内部不可向非加密文档复制。
数据防泄密系统——离线管理
离线策略
短期离线 针对所有员工笔记本办公,
白
名
的邮件地址,文件自动解密;
单
SecureOne_文档安全管理_低_产品简介
智能卡/软卡 授权
智能卡和软卡均包含数字证书,用于离线模式下鉴别用 户身份和权限查询。 智能卡一般用于出差的笔记本电脑用户,功能与在线模 式很接近。 软卡一般用于合作伙伴(协助单位)的用户,可以方便 地浏览和打印经过授权的加密文件。 智能卡和软卡均支持有效期、卡密码及计算机绑定。
透明加解密
边 界 拷 贝 控 制
防 拷 屏 控 制
外 接 设 备 访 问 控 制
存 储 介 质 注 册 管 理
客 户 端 升 级 代 理
密钥管理 人员组织 日志服务
安全策略 权限服务 数据库服务
身份认证 证书服务 安全审计 安全管理 控制台
安全管理控制台
安全管理控制台是系统的控制中心。
安全管理人员通过它可以对整套安全系统 进行集中配置、监控和维护。 安全管理控制基于Web技术,无需单独安装。
使用SecureOne系统后可以真正做到:事先 防御、事中控制、事后追溯 管理人员通过管理控制台WEB页面对整套 系统进行集中管理,方便快捷
可以按部门组织结构进行分权管理,减轻 信息管理部门的工作量
产品执行标准
SecureOne从1.0开始就严格遵从国际和国内权威的内网 安全及涉密信息系统设计标准:
软件著作权登记证书
2009年度中国计算机信息防护 优秀解决方案奖
软件产品登记证书
产品资质证书
国家保密局 涉密信息系统产品检测证书
国家公安部 信息安全产品销售许可证
国家技术创新 基金项目立项证书
系统主要功能模块
自 动 加 解 密
本 地 密 文 权 限 管 理
手 动 加 解 密
时代亿信证书管理系统功能简介
时代亿信证书管理系统功能简介1.1 认证中心(CAServer)CAServer是ETCA数字证书管理系统的核心,负责所有证书的签发、注销以及证书注销列表的签发等管理功能。
证书管理在CAServer系统中,只有拥有证书管理角色的管理员才能进行证书管理的操作。
证书管理主要包括证书的申请、下载、发布、申请并下载、更新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询及证书撤销列表的发布等操作。
✓证书申请系统提供基于WEB的申请方式,简单易用,帮助用户方便、安全、快捷的进行证书申请。
用户可以根据自己的需要选择相应的证书模板进行证书申请操作,如果申请成功,系统将返回下载证书所需的凭证。
✓证书签发对于通过审核的证书申请,CA Server可以为其签发证书。
签发的证书符合相关标准,并且支持扩展。
签发时使用的系统密钥得到高强度的安全保护,系统支持硬件主机加密服务器及PKCS#11接口。
✓证书发布对于签发好的证书,系统进行自动发布,发布方式可以为文件方式或者目录服务方式。
系统支持所有符合LDAP V3标准的目录服务,支持主/从目录服务器机制。
✓证书下载证书申请通过审核之后,用户可以通过下载凭证安全的下载证书。
系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能卡、USB-KEY等多种存储介质。
✓证书申请并下载申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一步完成的功能。
✓证书更新系统提供证书更新功能,用户可以根据需要对正在使用中的证书进行有效期的更改,更新成功后,用户可以下载新的证书。
✓证书更新并下载证书更新并下载是为了方便用户,将证书更新和下载更新后的证书两项操作一步完成的功能。
✓证书查询系统提供证书查询功能,用户可以通过查询条件查询出符合条件的证书信息,支持精确查询。
✓证书下载凭证更新对一些申请成功但是没有下载的证书,CA Server可以为用户重新生成下载凭证,用户使用新的下载凭证进行证书下载。
时代亿信文件盾系列产品
文件盾产品体系
文件盾系列产品——文件保险箱
文件保险箱单机版 主 要 应 用 场 景 提供用户计算机的虚拟磁 盘服务,实现本机文件的 加密隐藏存储; 提供用户本机文件/文件夹 的加密保护服务; 提供文件粉碎服务; 文件保险箱企业版 在单机版的基础上,与企业CA和 组织机构/用户目录集成,实现 基于PKI的端到端的文件加密交换 和操作审计。
文件盾产品功能特点
(五)便捷的文件授权方式
授权对象定义 • 对用户授权 • 对组织机构授权 • 对用户组/角色授权 批量授权方式 • 权限模板 • 批量设置
文件盾产品功能特点
(六)详细的文件操作审计
日志数据 • 记录用户的在线文档操作日志 离线文档操作日志 在线文档操作日志和离线文档操作日志 在线文档操作日志 • 日志类型包括:登录认证日志、文档授权日志、文档操作日志等 • 日志内容包括:操作人、IP/MAC地址、操作及操作对象/内容、 操作时间等 审计监控 将管理员、用户、主机客户端均纳入审计监控范围
文件盾如何解决问题
时代亿信文件盾系列产品,秉承 “事前加密保护、 事前加密保护、 事前加密保护 事中权限控制、事后跟踪审计” 事中权限控制、事后跟踪审计 的计算机安全系统 设计理念,专注于电子文件的安全存储、加密传输、 可控流转、权限控制、跟踪审计,在保持用户使用习 惯的同时,最大限度地保护企业电子文件资源和知识 产权。
时代亿信文件盾系列产品介绍
介绍内容 介绍内容
电子文档安全现状 文件盾如何解决问题 文件盾产品体系 文件盾产品功能特点 文件盾产品应用案例
介绍内容 介绍内容
电子文档安全现状 文件盾如何解决问题 文件盾产品体系 文件盾产品功能特点 文件盾产品应用案例
电子文档安全现状
文件盾SecureDOC-A产品介绍彩页
文件盾SecureDOC-A产品1. 第一页1.1 产品简介时代亿信文件盾系列产品面向企事业单位及个人用户提供电子文件的加密保护、可控流转、权限控制和使用审计,为电子文件防泄密提供整体解决方案。
文件盾SecureDOC-A产品(文档自动加密系统)从文档源头进行管理,对任意指定类型文档实现强制自动加密和权限控制,不影响企事业单位内部文档正常使用,严格限制文档外带、离线等脱离企事业单位许可环境时的使用,有效防止电子文件的主动或被动外泄。
1.2 工作机制SecureDOC-A产品由服务器和客户端组成,通过服务器设置下发策略、客户端自动强制加密文件、客户端文件操作防控等机制实现企业电子文件防泄密。
●管理员通过服务器端设置策略,指定自动加密的应用程序和文件类型●客户端接收下发的策略,按策略对文件进行自动强制加密●加密文件在企业内部或部门内部正常使用,部门之间授权使用●加密文件未经许可脱离企业安全环境无法使用;经许可才能离线或外发,按限定权限受控使用加密文件2. 第二页2.1 电子文件防泄密SecureDOC-A产品提供文件自动强制加密功能和多重防泄密措施,保证内部用户正常使用,而在企业外部无法使用,有效防止文件内容的泄露隐患。
多重防泄密措施:●防控文件内容的复制操作,禁止复制出明文内容●防控文件内容的打印和虚拟打印操作,打印时可强制添加水印信息●防控文件内容的屏幕截屏和屏幕录像操作●内存防护,禁止从内存中直接读取文件内容●未经许可,离线的文件无法操作●未经许可,发送或外带至外部的文件无法操作●客户端自我防护:禁止退出或非法结束客户端程序;禁止卸载或非法删除客户端程序;操作系统安全模式下,客户端仍然保持正常运行2.2 加密文件组内共享及组间授权SecureDOC-A产品可以满足企业内部部门或用户组内用户共享加密文件的需求,即本部门或本用户组内的任意用户创建的文件,本部门或本用户组内的所有用户都可以正常使用,而其他部门或用户组则需要经过文档的授权转换才能打开和使用。
电子文档安全管理系统介绍PPT
一、
概述
电子文件是企业信息存储的主要方式,是企业内部、外 部之间信息交换的主要载体。电子文件在传输、流转、存储 等过程中,极易受到黑客、木马、竞争对手的窃取,以及内 部员工有意无意的泄密,这些不受控的活动严重威胁着企业 各类信息资源、企业知识产权、用户个人隐私的安全。 电子文档安全管理系统专注于电子文件的安全存储、加密传 输、可控流转、权限控制、跟踪审计,在保持用户使用习惯 的同时,最大限度地保护电子文件资源。
四、 电子文档安全管理特点
可支持多种文件类型 电子文档安全管理系统支持多种常见的办公文档格式和图片文件格 式,满足OA系统添加附件的需要。 系统支持但不限于下列格式的文件: Microsoft Office Word 2000/2003/2007文件扩展名doc; Microsoft Office Excel 2000/2003/2007文件扩展名xls; Microsoft Office PowerPoint 2000/2003/2007文件扩展名ppt; Microsoft Office Visio 2000/2003/2007文件扩展名vsd; Adobe Portable Document Format 5.0/6.0/7.0/8.0/9.0文件扩展名 pdf 文本文件 Bitmap图像 Graphic Interchange Format图像 JPEG图像 PNG图像
三、 电子文档安全管理系统介绍--设计理念
突破环境保护的概念,直接保护受控数据,使数据和控 制信息结为一体,不可分离
属于自己的只有自己能用 属于部门的只有部门能用 属于小组的只有小组能用 属于特定人群的只有特定人员能用
跨出安全域需要授权!
四、 电子文档安全管理特点
时代亿信文档安全文件盾技术白皮书
时代亿信文件盾产品系列EETRUST® Wise FileShield Series——技术白皮书文件盾产品系列概述电子文件是企业信息存储的主要方式,是企业内部、外部之间信息交换的主要载体。
电子文件在传输、流转、存储等过程中,极易受到黑客、木马、竞争对手的窃取,以及内部员工有意无意的泄密,这些不受控的活动严重威胁着企业各类信息资源、企业知识产权、用户个人隐私的安全。
文件盾系列产品(EETRUST® Wise FileShield Series)专注于电子文件的安全存储、加密传输、可控流转、权限控制、跟踪审计,在保持用户使用习惯的同时,最大限度地保护电子文件资源。
图文件盾系列产品全方位的电子文件保护文件盾系列产品可集成CA智能卡身份认证、终端计算机安全登录等扩展功能,并同时可与企业OA公文流转等应用系统无缝集成,全面提升企业主机和信息系统访问的安全保护等级,有效保护企业电子文件等信息资源。
1. 文件盾产品系列分类文件盾产品系列根据产品形态、应用场景不同,划分为以下版本:1.1 文件保险箱单机版文件保险箱单机版(WFS-SFB1000)为用户计算机提供虚拟磁盘、文件/文件夹透明加解密,设置加密文件夹等本机电子文件的安全存储功能,拒绝非法用户和非法进程访问,有效防止木马和黑客的侵袭。
1.2 文件保险箱企业版文件保险箱企业版(WFS-SFB2000)在文件保险箱单机版的基础上,结合企业目录、CA数字证书认证和数字信封加密,为企业内部的涉密文件提供本机安全存储、端到端的安全交换、文件操作审计功能。
1.3 网络文件保险箱网络文件保险箱(WFS-SFB3000):用户的文件保险箱加密并集中存储在服务器端,用户以本地磁盘方式使用网络文件保险箱,客户端与服务器端采用加密通道通讯,同时提供企业共享文件夹功能,并可对用户访问进行授权,满足企业电子文件集中存储、安全交换的需求。
1.4 SecureDOC企业文档安全保护系统SecureDOC企业文档安全保护系统(WFS-SD-EE)采用驱动级文件透明加解密技术,与企业应用无缝结合,控制应用流程中的电子文件权限,对文件的阅读、编辑、复制、打印、截屏、分发等进行细粒度授权和控制,文件操作权限可实时追加和收回,同时支持离线权限控制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
时代亿信文件盾-SecureDOC电子文档安全管理产品
1.1 产品简介
SecureDOC电子文档安全管理产品面向企业机构的电子文件防泄密需求,实现电子文件内容的加密保护、文件权限的管理和控制,文件操作的跟踪审计,既保持合法用户对电子文件的合理使用和使用习惯,又有效防止黑客、木马、竞争对手的窃取,以及内部用户有意无意的泄密,从而最大限度地保护企业机构的电子文件资源和知识产权。
SecureDOC电子文档安全管理产品主要包括:文档安全管理服务平台(SDMS)、文档安全用户服务平台(SDSC)、文档安全客户端(SDClient)、文档安全控件(SDCOM)等组件。
1.2 产品功能介绍
SecureDOC电子文档安全管理产品基于驱动级透明加解密技术,对文档内容进行加密保护,并对文档的阅读、编辑、内容复制、打印、截屏、分发等权限进行实时控制和跟踪审计,实现对文档传输、存储、流转、使用过程的全方位保护,防止主动和被动泄密。
1.2.1 高强度的文件透明加解密
在用户计算机操作系统的文件过滤驱动层,采用AES 128位的对称加密(算法可替换),加密密钥随机产生,并且每个文件的加密密钥均不相同。
在用户计算机操作系统的文件过滤驱动层,自动对文件的读写数据进行加解密处理,与具体的文件格式无关,不改变文件的扩展名、不改变文件的关联应用程序、不改变用户的文件操作方式,即文件的加解密对用户透明。
对于文件的加密,既可以由作者根据文件的密级属性手动加密,也可以根据需求设定某类应用程序产生的文件均自动加密。
对于文件的解密,在内存中进行并防止内存拷贝,不在用户计算机磁盘上产生明文文件。
1.2.2 精确的可信进程管理
产品对访问密文文件的应用程序进程进行管理,只有被添加为可信进程,才能访问相应类型的密文文件。
产品对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式,从而阻止木马等未受信进程对文件的非法访问。
1.2.3 细粒度的文件权限控制
产品在用户计算机操作系统级API层面对密文文件的操作进行
细粒度控制,阻止任何未授权的操作行为,而不依赖具体的应用程序。
产品有效控制文件的阅读、编辑、内容复制、打印(包括虚拟打印)、带水印打印、截屏、屏幕录像、脱密等操作。
合法用户只有在指定的环境中,才能获取被授予的文件操作权限,并在授予的权限范围内操作文件。
产品提供文件的离线权限控制,以满足特定用户在无法连接授权环境时对文件的合理使用需求。
产品提供文件的外发权限控制,以满足企业外部用户、合作伙伴对文件的使用需求。
对制作的外发文件,可以设定相应的操作权限、时间期限,并可以绑定智能卡或外部主机的硬件信息。
1.2.4 动态的文件权限管理
产品提供文件的权限管理,文件作者在客户端、文档管理员在管理端,均可以随时对用户的文件操作进行授权、权限追加、权限撤销,而无需对文件本身进行回收、修改和重发。
同时,文件作者和文档管理员也可以向特定用户授予文件分发权限,并指定其可以分发哪些具体的权限,从而有效控制文件的流转权限和流转范围。
1.2.5 便捷的文件授权方式
产品提供便捷的文件授权方式,既可以对用户、用户组、组织机构、职务/角色等进行授权,也可以通过权限模板对批量用户进行授权。
同时,用户也可以通过客户端进行文件权限申请。
1.2.6 详细的文件操作审计
产品提供详细的文件授权日志和文件操作日志,以方便对用户的文件操作行为进行审计。
用户在线对密文文件的各类操作信息,将由客户端实时记录到服务器进行存储。
用户离线时对密文文件的各类操作信息,将由客户端加密保存在用户计算机上,当用户在线时,离线日志将自动上传至服务器进行存储。
文件操作日志记录的信息包括:用户、用户客户端主机IP地址、MAC地址、操作时间、操作的文件和具体的操作行为。
1.2.7 完善的产品安全机制
产品支持USB智能卡数字证书认证,充分结合挑战-响应机制和数字证书加密、数字签名机制,增强认证信息的随机性、保密性、真实性,有效地防止认证过程中的机密信息泄露、窃听和重放攻击,保证了身份认证的高度安全性和可靠性。
产品客户端与服务器端之间采用SSL加密通信方式,保证了文件加密密钥和用户文件权限信息获取的安全性。
产品采用AES 128位对称密钥对文件进行加密,文件过滤驱动只在内存中进行解密操作,不在磁盘上产生明文文件,并且对内存中的解密数据进行保护,阻止对内存数据的非法拷贝。
产品采用三权分立的管理机制,分为系统管理员、文档管理员、审计管理员,三者自成体系并相互制约,分别完成系统管理维护、文档权限管理、管理行为审计。
1.3 产品规格与功能
SecureDOC-A(独立应用型):该产品独立部署和应用,为企业机构提供电子文件的发布上传、加密、集中存储、接收下载、权限管理、权限控制和审计服务。
SecureDOC-B(集成应用型):该产品提供文档安全管理集成服务,与企业OA、知识管理(KM)、文件管理、档案管理等系统集成应用,实现企业文件流转、存储和访问过程中的加密、权限管理、权限控制和审计,支持企业组织机构和用户数据的同步。
该产品同时可根据企业文档安全管理的特定需求提供定制开发服务。
文件授权√√细粒度文件操作权限控制
√√
(阅读、编辑、内容复制、打印、
水印打印、截屏、屏幕录像、脱密)
文件分发权限控制√√
文件离线权限控制√√
文件外发权限控制√√文件权限模板√√
文件操作审计√√
文件集中存储√
文件发布上传/接收下载√
文件权限的申请/审批√
文件及权限相关消息通知√
可信进程管理√√客户端主机信息管理√√管理员分级管理和三权分立√√用户名/口令认证√√
外部数据源认证√√USB智能卡数字证书认证√第三方认证集成√
单点登录集成√组织机构和用户同步服务√文件加密/解密服务√文件授权服务√文件权限查询服务√OA、KM等第三方应用集成√支持手机移动办公√支持特定需求的定制开发√
符号说明:
表示选择文档安全用户服务平台(SDSC)时具有的可选功能
表示不具备该功能
1.4 成功案例
金融行业:
民生银行文档安全项目
中国民生银行于1996年1月12日在北京正式成立,是中国首家主要由非公有制企业入股的全国性股份制商业银行,同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。
时代亿信采用SecureDOC电子文档安全管理产品构建民生银行
文档安全系统,对民生银行所产生的电子文档进行加密授权处理,所有文档以密件形式保存在服务器上,同时支持用户对计算机终端上的文件进行加密授权。
SecureDOC电子文档安全管理产品与民生银行OA、KM等应用系统无缝集成,不改变用户使用应用系统的操作系统,全部加密授权操作在后台自动完成。
用户可以通过文档安全用户服务平台接收和处理加密后的公文,具备离线授权使用、文档外发、文档彻底销毁功能。
民生银行文档安全系统解决方案帮助用户建立了完善的文档安
全管理体系,实现了对文档本身的安全保护及对文档传输途径的有效管理,满足国家机要文件及民生银行内部的商业保密文档在传输、保存、利用方面的保密需求。
电信行业:
时代亿信SecureDOC电子文档安全管理产品目前已经成功应用
于中国电信集团公司、海南、山东、湖南、天津省公司,针对各公司的具体需要实现了不同方式的数据安全加密保护,集团公司与OA系统无缝集成,可对公文正文和附件进行细粒度加密授权,并对用户提供个人终端安全保密存储区,存储保护所有密文文档;海南、山东、
湖南、天津省公司也实现了与OA系统的无缝集成,但分别根据自身需要选择了显式授权和静默授权
方式,显式授权由部门文员手工指定公文的授权用户及权限,静默授权按照事先制定好的授权规则进行授权;湖南电信更进一步与邮件系统集成,对用户指定的邮件内容进行加密保护,提升了邮件系统的数据安全性。
SecureDOC电子文档安全管理产品的驱动级透明加解密、应用系统无缝集成的特性获得了中国电信用户的普遍好评,已经成为企业应用系统的安全基础设施之一,在今后必将继续对中国电信企业发展发挥重大作用。
.。