文件加密管理系统

1、 文档加密管理系统解决方案文档加密管理系统解决方案 文档加密管理系统解决方案目 录第第一一章章前前言言.51.电子文档安全概述电子文档安全概述.52.常见解决方法解析常见解决方法解析.62.1.外网安全系统外网安全系统.62.2.主动型文件或文件夹加密系统主动型文件或文件夹加密系统.62.3.网络监控与审计系统网络监控与审计系统.72.4.文件权限集中管理系统文件权限集中管理系统.82.5.实时透明文件加解密系统实时透明文件加解密系统.93.电子文档保密应有的效果电子文档保密应有的效果.10第第二二章章文档安全管理系统的设计思想文档安全管理系统的设计思想 .111.目标目标.112.系统逻辑拓

2、扑图系统逻辑拓扑图.12第三章第三章文档安全管理系统的组成和功能效果文档安全管理系统的组成和功能效果.131.客户端客户端.132.控制台控制台.143.解密端解密端.164.服务端服务端.17第四章第四章文档安全管理系统的策略制定与使用文档安全管理系统的策略制定与使用.191.文件加密策略组文件加密策略组.192.控制策略组控制策略组.213.剪贴板控制策略剪贴板控制策略.214.部门互访控制策略部门互访控制策略.225.通讯策略组通讯策略组.22第五章第五章文档安全管理系统的特点文档安全管理系统的特点.241.灵活的四重架构模式灵活的四重架构模式.242.密钥服务器快速移植功能密钥服务器快

3、速移植功能.243.密钥轮询功能密钥轮询功能.244.双密钥设计双密钥设计.255.部门分级部门分级.256.远程卸载（程序或者策略）远程卸载（程序或者策略）.267.离线授权离线授权.268.历史文件批量加、解密功能历史文件批量加、解密功能.279.加密文档分级查看权限加密文档分级查看权限.2710.客户端自动修复客户端自动修复.2811.客户端程序自动更新客户端程序自动更新.2912.自动解密申请自动解密申请.2913.离线策略离线策略.3014.解密端分级认证解密端分级认证.31 文档加密管理系统解决方案15.外发文件控制外发文件控制.3216.易用的邮件策略易用的邮件策略.3217.策

4、略灵活策略灵活.3418.集成方便集成方便.3519.通讯可靠通讯可靠.3620.单机版网络版灵活转换单机版网络版灵活转换.3721.智能识别技术智能识别技术.3722.详尽日志分析详尽日志分析.38第第一一章章前前言言1.电子文档安全概述电子文档安全概述一般来讲，大型企业在信息化过程中面临的安全问题包括网络系统安全和电子文档数据安全两方面。针对网络系统安全方面，企业需要防止网络系统遭到没有授权的存取、破坏以及非法 文档加密管理系统解决方案入侵。在电子文档数据安全方面，通常的理解又包括两个不同的问题：数据存储介质的可数据存储介质的可靠性问题和数据内容的本身的保密性问题靠性问题和数据内容的本身的

5、保密性问题。数据存储介质的可靠性，主要就是指数据存储介质一旦发生机械、电磁、物理等方面的冲击事件之后，数据是否依然保持完整，或者计算机用户是否可以从有效地备份中恢复完整的数据，当然这些取决于硬件设备的性能和使用环境，发生的概率相对较少。电子文档本身的保密性电子文档本身的保密性问题主要有来自三个个方面的威胁，即外网威胁、内网未经授权的二次拷贝和内部人员的越权访问威胁。外网威胁主要就是上面所说的网络系统安全问题；内网未经授权的二次拷贝就是指由企业内部人员通过 usb 闪存驱动器、wifi 调整解调器、智能电话、蓝牙适配器、数码音乐播放器、红外线传输、电子邮件、FTP 等各种方式将企业中的数据未经授

6、权二次扩散和传播出去；内部人员的越权访问威胁主要是指公司内部人员通过某种途径去访问不属于自己权限内应该知晓的公司机密信息，造成公司内部的一些机密信息在公司内部泄密。内部人员的越权访问在企业内网安全中属于另外一个范畴，不在本文讨论范围之内，本文主要讨论的是如何防止公司内部人员未经授权将公司机密信息二次拷贝出去的问题。此目前主要解决内网未经授权的二次拷贝的问题，而内部人员的越权访问问题将在此中得到很好的解决。根据国内外从事信息安全的专业人士的调查数据可知：媒体炒得火热的外部入侵事件，充其量占到所有安全事件的 20%-30%，而 70%-80%的安全事件来自于内部。从不同渠道来的统计数据略有差别，但

7、就目前我们中国国内的情况来说，内部人员犯罪（或于内部人员有关的犯罪）一般占到了计算机犯罪总量的 70%以上。目前随着内部人员威胁的加剧，内部人员犯罪已经体现出了危害大、难抵御、难发现的特点，主要原因如下：1)内部人员最容易接触敏感信息，并且他们的行动非常具有针对性，危害的往往是机构最核心的数据、资源等。2)一般说来，各机构的信息安全保护措施都“防外不防内” ，比如很多公司赖以保障其安全的防火墙对内部人员攻击毫无作用，形同虚设。3)内部人员对一个机构的运作、结构、文化等情况非常熟悉，导致他们行动时不易被发觉，事后难以被发现。2.常见解决方法解析常见解决方法解析在企业大部分信息数据都是以电子文档形

8、式存在的今天，如何才能既保证这些信息数 文档加密管理系统解决方案据的全面共享，又能提高工作效率，保证其安全，防止泄密呢？针对这种需求，目前市场上出现了一些解决方案，归纳起来，大致有如下五类。2.1.外网安全系统外网安全系统在计算机安全产品中，杀毒软件、防火墙、入侵检测等系统是最早出现的，最近出现的反木马软件也属此类。这类系统的一个共同目标是：防止来自互联网上窃密者（即“黑客” ）通过网络，在数据所有者和数据使用者不知情的情况下，将数据内容偷盗出去。很显然，这些系统都是基于外部安全模型的。尽管它们在数据安全体系中也扮演了重要的角色，但是并没有将最核心、最棘手的问题解决好。就像前面提到的那样，外部

9、入侵只占到企业整个安全事件的 20%-30%左右。优缺点分析：优缺点分析：可以有效的防止外部黑客入侵带来的电子文档泄密分险，但无法阻止内部人员的泄密。当有新的病毒、攻击手段、漏洞等出现时，企业必须及时升级，软硬件的升级费用，常常也是一笔不小的开支。2.2.主动型文件或文件夹加密系统主动型文件或文件夹加密系统这是目前最常见的一种电子文档数据保密办法。计算机使用者意识到数据的重要性和私密性，主动在保存文件时设置密码（如在 Office、Autocad 等软件保存时可以设置该文件的打开密码） ，或者在文件保存完毕之后，用第三方软件予以加密（常见的如 Winrar 压缩加密、文件夹加密大师等） 。优缺

10、点分析：优缺点分析：这样的方法仅仅可以解决内部人员因过失而将电子文件传播到不可信任的范围的问题，但是还是防不住内部人员主动泄密，理由如下：1.电子文档数据使用者要使用这些加密后的文件的话，必须要知道密码。一方面，因工作需要而使用该文件的人可能会越来越多，这些人便会都知道密码。而对文件使用者来说，一旦得到了密码，这些文件对他来说就无秘密可言了。另外一方面窃贼可以在买通企业内部人员时，将密码连同文件一起“买”到手。2.电子文档数据的创建者（即文件作者）在对文件进行加密处理之前，完全可以给自己留一份明文拷贝。甚至在有些系统中，文件的任何一个读者都可以去掉密码再行保存，从而也可以得到一份明文拷贝。 文

11、档加密管理系统解决方案2.3.网络监控与审计系统网络监控与审计系统这是解决企业内网电子文档数据安全的另一种思路，认为只要将电脑上所有能流出数据的端口渠道控制好或封堵住，就能彻底解决电子文档数据的安全问题。在这样的思想下，网络监控与审计系统便孕育而生。这样的系统，最近两年在市场上出现了很多品牌。它们虽然在局部上互有优劣，但是其原理是一致的，基本上都是以内网监控、邮件监控和封堵各种外设端口（USB、1394、COM 口、火线、蓝牙等等） 。这类系统的工作方式如下：在各个涉密计算机上安装客户端程序，企业中计算机管理人员通过管理端控制台能监控到安装了客户端的每一台涉密计算机用户进行的各种操作，并可根据

12、这些操作制定不同的策略。如果这些操作是事先被允许的，那么操作可以进行下去；否则通过策略的设定客户端程序会予以阻止并报警。所有的操作尝试，无论是否被允许，都会被客户端记录下来形成日志，以备日后追查。这种系统的核心便是“监视” 、 “控制” 、 “审计” ，而其基本思想在于“堵漏洞” 。优缺点分析：优缺点分析：这种系统在一定程度上可以规范计算机用户的网络行为，降低了内部人员对企业网络发起攻击（无意的误操作或有意的恶操作）的风险，也可以降低内部人员通过 USB 等各种外设端口或电子邮件等网络手段将涉密文件传播出去的可能性。同时该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，能帮助企业查到泄

13、密者和具体泄密的内容。缺点是：缺点是：当今的计算机技术发展非常迅猛，并且各大软硬件厂商都强调信息，所以所谓“漏洞”几乎是层出不穷且日新月异，新的通讯协议和技术在不断的冒出，要想完全地将所有漏洞全部堵死，从现在的眼光来看已经实属不易；从发展的眼光来看，更将防不胜防。所以这种系统具有一个非常明显的缺点，它将用户带到了一个两难的境地：用户要么为了必要的、正常的工作交流而留一些“口子” ，从而大大降低系统的可靠性；要么就堵死所有的“漏洞” ，以牺牲方便性为代价来换取严格的安全性。更为严重的是该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，但是无法保证泄密事件发生后不造成损失。尤其是当泄密人员

14、觉得他泄密本公司的电子文档后带来的收益比公司开除他带来的收益更大时，该系统变得毫无用处。2.4.文件权限集中管理系统文件权限集中管理系统目前用户在市场上见到的文件权限集中管理系统其实都是属于一种文件格式转换系统。 文档加密管理系统解决方案该系统管理的直接是电子文档数据的本身，可在一定程度上从源头上保证了电子文档的安全。这种系统的原理是：文件创建者（即所谓的作者）在创建文件 A 的同时，通过加密操作（其实就是格式转换操作，或者说封装成另外一种格式）将文件 A 加密成另外一种格式的文件 B（开发商自定义的一种文件格式） ，当然此时在电脑上还能保留原文件 A。在加密操作时，作者可以指定哪些人（即所谓

15、的读者）可以分别以哪些权限（能否看、能否打印、能否编辑、能否复制等）打开 B 文件，以及能够打开几次或者有效期，此时文件 B 的权限被统一保存在用户自己的权限服务器上。为了保密的需要，作者一般都是将文件 B 发放出去，因为得到这些文件的读者如果要打开文件，则需要连线到权限服务器上验证他的权限，这样可以在一定程度上保证电子文档 B 的安全。优缺点分析：优缺点分析：文件权限集中管理系统在文件的权限控制上做的是比较完善的，特别是丰富的离线控制策略，在泄密事件发生后评估其造成损失的大小和范围有一定的积极意义。同时该系统保护的直接是电子文档数据的本身，一定程度上从源头上阻止了泄密现象的发生。不同的读者对

16、于文件的权限是受控制的，作者可以随时更改，比较灵活。但是这种系统的漏洞是显而易见的，其缺点如下：1.无法真正防止内部人员的主动泄密，在生成加密文件 B 时，明文文件 A 已经在电脑硬盘上产生，依然有被泄密的风险。该系统的出现也仅仅是防住了读者，防不住作者。要知道，文件作者也是有可能泄密的，作者完全可以将电脑硬盘上存在的明文文件 A 带出公司。2.由于文件 B 是被转换或者说封装成了开发商自定义的一种格式，故每个读者需安装特定的浏览器才能阅读这个文件。很多时候，本企业中的图纸需要发给外协或者客户，为了要对这些外发的文件也有一个权限控制功能，还得给你的外协或者客户也购买这种特定的浏览器，无形中又增

17、加了一份投资。3.由于权限服务器既需要向内网用户提供验证服务，也要向外网用户提供验证服务，所以它自身的安全需要严密保护。为此，用户需要更多地投资于该服务器及其周边安全子系统（例如防火墙、入侵检测、身份认证） 。4.由于需要一个数据库来记录每一个人针对每一个文件的权限，所以这种系统通常都需要一个庞大的数据库作后台支持。这不仅增加了用户的软件投资，也增加了系统的维护难度。5.所有的用户必须要能够和权限服务器通讯，否则无论是谁都无法使用涉密文件。这给这种系统带来了很大的局限性。 文档加密管理系统解决方案6.通常来说，这种系统可以保护的文件类型有限。这种系统虽然可以保护常见类型的文件（例如 Word

18、的 doc 文件、AutoCAD 的 dwg 文件） ，但是不是所有的文件都能够保护。2.5.实时透明文件加解密系统实时透明文件加解密系统实时透明文件加解密系统在国内最早产生于 2004 年底，是应客户要求开发的。由于其独特的加密方式，对电脑使用任务基本上无任何影响的操作方式，很快获得了广大用户的认同。 这种系统的工作原理是：在特定的涉密电脑上安装实时透明加解密系统后，只要该电脑硬盘上生成的文件符合用户涉密文件的特征，系统一概自动地、不受人工干预地予以强制加密，并且可以保证涉密文件在安装该系统的电脑硬盘上一律以密文的形式存在。而这种加密文件（简称密文）在企业内部涉密计算机上无需输入密码即可双击

19、直接打开，而在本企业涉密计算机以外的的计算机上却无法正常打开。优缺点分析：优缺点分析：这种系统的出现，解决了计算机数据保密安全领域的一个重要而实际的问题：防范内贼。这种系统的优点非常鲜明：1.具有非常可靠的严密性。一旦数据从内存到达硬盘成为有可能被复制的文件，系统就自动地、不受人工干预地予以强制加密。这一特性导致用户计算机硬盘上的文件（当然是指定类型的文件）都始终以密文形式存在，没有给任何人（包括“自己人”留下所谓的“机会” ） 。2.具有很高的方便性。密文在被应用软件调用的时候，系统可以自动地、无需人工干预地进行解密（并非解密到硬盘，而是解密到内存，而内存中的数据是足够安全的） 。由于这一特

20、性，用户在保存、打开、编辑这些涉密文件的时候，无需任何多余的操作，也无需记忆密码（或称“口令” ） 。3.具有足够的可靠性。这种系统由于客户端程序采取的是特殊的软件技术，使得普通用户无法进行卸载或删除，同时加解密所需的密匙也不保存在任何硬盘之上。这些特性使得系统的安全可靠性大大提升。4.具有广泛地适用性。由于这种系统采用了底层的 Windows 技术，所以至少从原理上说可以保护任何类型的文件。缺点：当采用全文加密技术时，在大文件的打开或保存时会有一定的延迟现象。 文档加密管理系统解决方案虽然客户能自定义决大多数软件，但是对于一些大的系统（PDM、ERP 等）还需要开发商做一定的集成工作，对开发

21、商有一定的依赖性。3.电子文档保密应有的效果电子文档保密应有的效果安全和自由永远是一对矛盾，如何尽可能的协调两者的关系，是一款优秀的电子文档保密系统应具备的。电子文档安全的终极目标就是在严格保证企业数据安全的前提下，不影响企业内员工原本的日常操作习惯，不增加他们任何额外的操作。企业内部正常的数据交流是必须的，优秀的电子文档保密系统不应该阻断这种正常的交流或者给这些交流造成任何麻烦。当企业中有图纸需要通过邮件或者其它方式二次拷贝流出本企业时，必须要有一个特定的审批流程，并予以记录备案，方便管理员在需要的时候进行核查。企业内部人员如果未经授权私自将企业内部的涉密文档带出企业的话，将无法打开带出的任

22、何资料。也就是说就算泄密现象发生，也不会给企业造成任何损失。第第二二章章文档安全管理系统的设计思想文档安全管理系统的设计思想1. 目标目标文档安全管理系统总的目标是：确保电脑硬盘上的每一份涉密资料均为密文状态，从源头上解决一切通过其它方式泄密的可能。同时为企业中各用户搭建一个互相之间可以自由流通，无缝集成的数据交流平台。在这个前提下，保证不对用户产生任何额外的操作，不对他们原本的日常操作行为有什么影响。 具体地可以细化为以下几条：a)特定的文件（并非所有的文件）在生成（或保存）之时，就应该被加密，且加密要由计算机自动地进行，不能依靠人工执行；b)文件的加密和解密，不能依赖人工设定的密码或口令；

23、c)被加密的文件在涉密计算机打开之时，就应该被解密（解密到内存以便读取） ，且解密要由计算机自动地进行，无需人工干预，文件的使用者也无需知道“密码” ；d)在未授权情况下，被加密的文件无法被非涉密计算机打开，就算电脑主机或硬盘被偷出公司，得到者也无法打开电脑主机或者硬盘上的资料；e)如果企业需要外发图纸，必须要有特定的审批流程，经过审批允许外发后，有专 文档加密管理系统解决方案人解密，将密文状态的图纸转换成明文状态的图纸后带出，并有详细的日志方便日后追查。2. 系统系统逻辑拓扑图逻辑拓扑图图 2.3.1 文档安全管理系统逻辑拓扑图第三章第三章文档安全管理系统的组成和功能效果文档安全管理系统的组

24、成和功能效果文档安全管理系统分为客户端、控制台、解密端和密钥服务端四部分。其系统架构图如下图 3.0.1 所示： 文档加密管理系统解决方案图 3.0.1四部分各个部分的详细功能说明如下1. 客户端客户端客户端程序安装于每一台涉密计算机上，并以后台方式运行。由于采用了特殊的技术，客户端程序并无任何操作界面，用户也无法停止其进程。其功能包括：a.当用户保存一个特定的文件时，自动地在内存中对数据进行加密处理，并在存储介质（例如磁盘）上直接写密文；b.当用户打开一个特定的文件时，将数据读入内存之后自动地对数据进行解密处理，但不对存储介质上的密文文件作解密；c.当剪贴板中的内容来自一个涉密文件时，阻止用

25、户将这些内容粘贴（或拖拽）到一个不会被自动加密的文件中去；d.接收控制台下发的策略，包括不同部门和密钥信息。e.接收控制台下发的密级设置命令，确定客户端电脑以哪种密级（或 VIP 客户端的方式）进行加密；f.接收控制台下发的命令确定是否需要执行“批量加密”或者“批量解密”功能；g.接收控制台下发的策略确定是否控制用户的打印功能和截屏功能（包括键盘上的PrtSc sysRq 键） ； 文档加密管理系统解决方案h.截获本地客户端电脑以 SMTP 协议（在 TCP 的 25 端口）发送的电子邮件中的收、发件人的 E-Mail 地址；i.根据收、发件人的 E-mail 地址的匹配规则对外发电子邮件中所

26、含的加密状态的附件进行自动解密；j.导入控制台设定的离线策略信息后，自动启用离线授权，按设定的时间段继续为客户端电脑提供透明加解密服务；k.接收控制台下发过来的策略卸载命令，自动清除客户端程序的文件加密策略和密钥信息；l.接收控制台下发的卸载客户端命令m.检查涉密计算机与服务器的连接状态，并依据策略来判断是否继续为用户提供上述服务。n.接收服务器下发的自动更新及修复命令并执行；o.向指定解密端发送“在线解密”申请；p.接收解密端返回的允许（或拒绝）解密指令，对本地电脑硬盘上的文件进行自动解密（或不解密）动作；q.将“在线解密”申请日志及解密过的文件自动上传至服务器电脑中；2. 控制台控制台控制

27、台程序安装于企业内计算机部门的管理员电脑上，具体对客户端实现不同策略的下发功能，控制台拥有一个企业中的最高权限。双击桌面上控制台的快捷方式，控制台开始运行并自动搜索服务器。 文档加密管理系统解决方案管理员在通过身份认证之后，就可以进入控制台程序（如图 3.2-1 所示） 。图 3.2-1在控制台界面中，左侧为目录结构树，具体显示企业内按工作要求划分的各个不同的部门及该部门所属的不同计算机用户信息。右侧根据控制台上不同的菜单显示不同菜单中的设置界面。控制台具有如下功能：a.整个公司设定一个密钥或者建立不同的部门并分配不同的密钥（密钥管理员可自定义） ；b.备份各部门的密钥信息；c.编辑策略库，用

28、户可以自行集成原本不支持的软件；d.编辑文件加密策略、控制策略、通讯策略和离线使用策略；e.设定每个部门或者每个具体的客户端的文件加密策略、控制策略和通讯策略；f.设定客户端电脑剪贴板控制策略和部门互访策略；g.设定某个部门或某台具体的客户端电脑以“内部级、秘密级、机密级、绝密级或者是 VIP 客户端”的方式进行加解密操作的命令；h.对特定的部门或者特定的客户端下发对历史文件的“批量加密”或者“批量解密”动作的执行命令；i.对部门级或者企业级的解密端进行认证并进行解密密级设定，经过认证的解密端可以解密本部门或者企业内任意一个部门的不同密级的图纸； 文档加密管理系统解决方案j.设定外发邮件黑白名

29、单的匹配规则；k.密钥服务器数据库备份设置；l.控制台登陆日志、所有解密端日志、申请解密日志的搜集与审计；m.下发卸载、修复客户端程序命令；n.生成客户端安装程序（exe 可执行程序或者脚本文件） ；o.设定具有“自动审批” （自动解密）功能的客户端电脑；3. 解密端解密端解密端程序安装于部门负责人或者公司负责人计算机上，具体负责对企业中一些通过正常途径或手续需要外发出企业的图纸进行解密操作。对于那些开启了“允许在线解密审核”的解密端，则通过消息模式解密相关被加密的电子文档。解密端只有经过服务端的认证后，管理员才能凭正确的用户名和密码登陆解密端。登陆解密端后界面显示如下图 3.3-1 所示：图

30、 3.3-1在这个界面中，左侧为目录结构树，右侧为当前目录中的文件，并以“加密”或“普通”状态来表明该文件是否为密文；以“内部级、秘密级、机密级、绝密级”来表示文件不同的密级状态。通过上方的工具栏，解密端用户（即管理员）可以实现：a.对一个目录下所有的文件进行手动批量加密；b.对一个目录下的所有文件进行手动批量解密；c.对选定的一个或多个文件进行手动加密； 文档加密管理系统解决方案d.对选定的一个或多个文件进行手动解密。e.按指定 IP 地址对客户端电脑的涉密文件进行加解密；f.对指定的文件进行密级的降级或者升级处理；g.生成解密端日志信息；h.审批客户端提交过来的“在线申请解密”请求；i.转

31、换需要外发的涉密文件，并为其设置打开的时效性和次数；j.生成外发文件查看客户端程序及该客户端安装时的授权号；解密端在完成这些操作的同时，会将这些操作记录下来上传给服务端的日志管理程序，以备日后审计。4. 服务端服务端服务端程序安装于公司内特定的服务器上，仅控制台管理员才能有权限读取服务器上的数据。服务端程序随服务器系统启动时启动，正常启动后，在电脑屏幕右下角有服务器图标“” ，右键该服务器图标，跳出如图 3.4-1 所示的服务器界面框图 3.4-1服务器除了认证控制台程序外，基本上只是起一个中转数据、存储策略信息和日志的功能。服务端的功能包括：a.读取授权文件信息；b.保存不同部门的分级信息和

32、密钥信息；c.负责与各客户端的通讯和密钥发放，并检测客户端在线情况；d.保存和下发各客户端的策略信息；e.认证控制台；f.认证解密端；g.接收解密端上传的手动加解密文件的日志信息；h.显示本服务器电脑的硬件号； 文档加密管理系统解决方案i.记录“在线申请解密”日志；j.设定“在线申请解密”文件的备份目录；第四章第四章文档安全管理系统的策略制定与文档安全管理系统的策略制定与使用使用文档安全管理系统可以对大到每个部门，小到每一台涉密计算机实现不同的管理。这些管理都是靠分发下去的策略来做到的。这里的“策略” ，就是由系统管理员针对每一个部门或每个客户端进行的设置，这些设置用来解决如下问题：a.客户端

33、电脑中哪些应用软件所产生的文件需要自动加/解密；b.是否要控制客户端电脑的打印和截屏功能；c.是否需要控制客户端电脑的剪贴板程序；d.是否需要控制客户端电脑所在的不同部门间的文件互访策略；e.设定客户端电脑和密钥服务器的通讯方式和时间；这些问题我们可以分成四种“策略组” ，分别是“文件加密策略组” 、 “剪贴板控制策略”、 “部门互访控制策略”和“通讯策略组” 。一套完整的策略，是由这四种策略组所构成的。1. 文件加密策略组文件加密策略组由于对不同类型的客户，一般其要求保护的电子文档数据类型是不一样的。例如对于一个工程设计单位来说，需要被保密的是各种 CAD 图纸；而对于一个广告公司来说，需要

34、被保密的可能就是用 Photoshop、CorelDRAW、3dMax 等图形设计软件制作的效果图。就算在同一个公司内，不同部门需要保密的数据也有可能是不同的，如设计部门需要保密各种cad 软件生成的图纸，而管理部需要保密的却常常是一些 office 文档。文档安全管理系统的“文件加密策略组”就是可以允许管理员为不同的部门甚至不同的客户端设置需要保密什么样类型的电子数据。管理员在控制台做下发策略设置时，只需要简单的在需要支持的软件名称前面的方框内进行钩选就行了。如下图 4.1-1，图 4.1-2所示： 文档加密管理系统解决方案图 4.1-1图 4.1-2该策略表示是客户端电脑对“Autocad

35、 软件及其二次开发插件、开目 cad、CAXA 二维电子图板、Solidworks、UG、CATIA”等设计软件产生的任何后缀的电子文件会被自动加密。同理，这些被指定的软件在打开任何加密状态的文件时，这些文件都会被自动解密（前提是该应用软件能识别这种后缀） 。注：同一个公司在对不同的部门或客户端设置不同的加密策略时一定要慎重，因为不同的“文件加密策略”可能会造成某些客户端电脑上无法打开某一类型的文件。列如有 文档加密管理系统解决方案A、B 两个部门，A 部门需要加密 Office 文档和 Autocad 图纸；B 部门仅需要加密 Office 文档，那么会导致 A 部门的 Autocad 图纸

36、在 B 部门会无法打开。2. 控制策略组控制策略组“控制策略组”相对来说操作很简单，它规定了客户端程序的一些控制策略，管理员只需要简单的在各项控制策略前面的圆圈上选中就行了。如下图 4.2-1 所示，下面的控制策略为：可以打印文件，打印文件袋水印，可以截屏（即不控制截屏软件） 。图 4.2-13. 剪贴板控制策略剪贴板控制策略在控制台中，管理员可以自行设定安装客户端电脑的剪贴板控制情况。如图 4.3-1 中所示，在“剪贴板控制”一栏下面，当钩选“控制客户端剪贴板”时，表示该安装客户端软件的电脑中，涉密软件之间可以互相复制内容，或者可以从非涉密软件向涉密软件中复制内容，但无法从涉密软件向非涉密软

37、件中复制任何内容；当不钩选“控制客户端剪贴板”时，则不限制涉密软件和非涉密软件之间剪贴板内容的互相复制。图 4.3-14. 部门互访控制策略部门互访控制策略 文档加密管理系统解决方案在文档安全管理系统 V4.0 中，除对不同部门设定不同的密钥，使不同部门之间的涉密资料不能互相打开外，还支持即使不同部门采用了相同的密钥，也可以使不同部门之间的涉密资料不能互相打开。图 4.4-1如图 4.4-1 所示，当不钩选“不允许打开其它部门文件”时，在一个公司共用一个密钥的情况下，只要策略相同，不同部门之间被加密的文档是可以互相打开的。当钩选“不允许打开其它部门文件”时，此时即使不同部门是否用同一个密钥和相

38、同的文件加密策略，加密的文档在不同部门之间都无法彼此打开。因为当进行这种设置时，在新建不同的部门时，系统自动为不同部门分配不同的部门 ID，此时在该部门下面的客户端电脑文件自动加密时，文件中会自动包含该部门的 ID 信息，当此文件被拿到另外一个部门中去的是时候，将无法被正常打开。5. 通讯策略组通讯策略组控制台下发给客户端程序的通讯策略组中有两种密钥验证方式：仅仅在客户端电脑的 Windows 启动之后必须要向密钥服务器检查一次，之后再也无需检查。每隔一定时间（用户可以自行设定，最小单位为分钟）便检查与服务端的连接状态。如果用户客户端电脑数量众多，那么当这些客户端电脑在同一时间内去访问密钥服务

39、器的话，势必会造成网络较大的负担。所以，对于是台式机电脑的客户端来说，建议选择第一种“电脑重启时”验证方式；对于笔记本这类便携式电脑而言，第一种方式具有很大风险，由于这些计算机在第一次联网启动之后，可以断网不断电地离开办公场所，它依然是可以打开密文的，这是很不安全的。所以对于这些便携式计算机而言，我们强烈建议管理员对其设置“指定时间”验证密钥的策略。如下图所示为同时具备“电脑重启时”和“指定时间”两种密钥验证方式。 文档加密管理系统解决方案图 4.5-1对于一些网络环境比较稳定，通讯比较好的企业，选择文档安全管理系统无论从数据的安全性还是从管理的方便性来说，都是比较不错的选择。对于网络环境不是

40、很稳定，网络经常会出现断线或者 ping 不通的企业来说，可以直接将网络版转换成单机版，即客户端不需要和密钥服务器通讯的。具体设置如下图 4.5-2 所示：在密钥验证方式中“电脑重启时” ， “指定时间”两项都不勾选。图 4.5-2所以，根据不同的网络环境，软件可以自由的在网络版或单机版中进行切换，以满足不同的需求。第五章第五章文档安全管理系统的特点文档安全管理系统的特点文档安全管理系统最为国内第一代“实时透明加解密系统” ，从推向市场至今，获得了很大的成功，得到了很多有自主研发能力，有保密需求的各制造业行业企业、设计院的追捧和好评，至今已完成超过 40000 套的装机量，实施的成功客户已超过

41、 500 家。为了保持文档安全管理系统在行业内的竞争优势，上海每年在文档安全管理系统上投入大量的人力进行开发和升级，在此期间，我们也积极采纳用户的各种建议和想法，以使我们研发出来的产品能更好的满足客户的需求。目前，文档系统具有的主要功能特点如下：1. 灵活的四重架构模式灵活的四重架构模式 文档加密管理系统解决方案四重架构模式，更有利于维持密钥服务器的安全和稳定。说明：客户端，解密端，控制台和服务器 4 重架构方式，不像常见的采用的 3 重架构方式（该方式是控制台和服务器重合在一起） ，更有利于大企业的部署，并能很好的提高服务器电脑的安全性。2. 密钥服务器快速移植功能密钥服务器快速移植功能文档

42、安全管理系统部署完毕之后，只要及时备份服务器程序安装目录中的“jjmdb.mdb”数据库文件，当原服务器电脑系统崩溃或破坏时，直接将备份的数据库文件覆盖到新的服务器程序安装目录中，即可实现服务器的快速移植。说明：简单的 1 分钟，结合硬件 key 的配合，就可以实现服务器的快速移植功能，完全不用担心服务器硬盘坏掉后造成客户端涉密电脑无法正常工作而影响生产。3. 密钥轮询功能密钥轮询功能灵活的密钥轮询功能，彻底免除台式机主机被偷或者电脑硬盘被偷造成文件泄密的风险。在软件中，我们可以设定“永不轮询（相当于单机版工作模式） ” 、 “电脑重启时轮询” 、“指定时间轮询”三种密钥轮询模式。说明：通过密

43、钥验证策略的下发，使客户端电脑在打开涉密文档时需要定期向密钥服务器去下载验证密钥，下载不到，就无法打开硬盘上的涉密文档。该功能可以很好的防止电脑主机被偷或者硬盘被偷带来的泄密。4. 双密钥设计双密钥设计文档安全管理系统采用双密钥设计，出厂时公司会预先设定一个，不同的客户公司会刻意设定不同的出厂密钥，以使不同的客户哪怕就算都购买了文档安全管理系统并且在连公司密钥设定都一样的情况下，彼此加密的图纸也不能互相打开。另外一个密钥用户可自定义，只要用户不泄露密钥，连软件开发商也无法解开其加密过的文件。 文档加密管理系统解决方案图 4-1双密钥的设计，大大增强了文档安全管理系统所加密文档的安全性。5. 部

44、门分级部门分级大的企业中，往往分布着很多不同的部门：如总经办、市场部、财务部、技术部、生产部等。为了尽量缩小涉密资料的扩散范围，很多公司要求一些涉密资料只能在某个部门内流通，而不能扩散到本公司内其它部门内。根据这一保密的要求，就相当于需要各部门之间的图纸或文件不能互相打开，比如说技术部不能访问市场部的文件，市场部不能访问技术部的图纸。图 5-1如上图所示，在给技术部和市场部进行策略设置时，在权限策略中钩选“不允许打开其他部门文件”，此时这两个部门内所有安装客户端软件的电脑中的文件能互相正常交流，而市场部和技术部之间的涉密文件则不能互相打开。 注：部门分级的时候，主要是根据客户端电脑的 MAC

45、地址来进行区别，而不是根据 IP 地址，所以用户无需担心客户端电脑 IP 地址变更后导致部门信息、策略信息等出错。6. 远程卸载（程序或者策略）远程卸载（程序或者策略）由于采用多重保护机制，客户端使用者除了重新安装电脑操作系统方式外，无法直接卸载客户端软件。要正常卸载软件，必须在软件控制台上启用远程卸载命令。当然我们也可以单单只卸载客户端软件的各项策略，使其返回到默认部门中去，等待重新部门分配。 文档加密管理系统解决方案7. 离线授权离线授权文档安全管理系统提供了离线策略功能，可对出差时需要使用涉密文档但又需要控制使用时间的用户提供了便利。在离线策略生效期内，外带出去的笔记本电脑能打开电脑上原

46、本加密状态的文档资料，但是同时新建的涉密类型的文档资料也将被加密。当该笔记本电脑在离线策略授权的时间过后没有及时连接到公司内部网络的话，该笔记本电脑上处于加密状态的涉密类型文档将无法被打开，但同时新建的文件也将不被自动加密。图 7-1使用离线策略必须注意以下几个细节：1 离线策略仅适用于需要在特定时间段内控制电脑中涉密文件使用的时候；2 在使用离线策略前必须要保证该电脑中的客户端软件处于正常工作状态之中；3 导入离线策略并离开公司局域网环境之后不能禁用网卡，不能修改时间，否则软件会认为用户恶意修改离线策略使用时间，从而禁止用户打开加密文件。如果用户无意中修改了系统时间，那么重新导入授权文件也是

47、没有用的，只有重新连接上服务器之后才能重新使用离线策略。4 为了防止用户通过修改时间的方法重复使用离线策略，本软件采用了一个授权号只能使用一次的机制，系统会自动记录用户所使用过的授权号，如果导入的授权号已经使用过，那么就禁止再次使用此授权。8. 历史文件批量加、解密功能历史文件批量加、解密功能针对于客户端电脑上存在的历史明文数据，文档安全管理系统中推出了“自动批量加密”功能，在部署完软件后，通过控制台给客户端电脑远程下发“批量加密”命令，即可在客户端电脑后台自动完成对历史数据的批量加密工作。 文档加密管理系统解决方案具体使用时注意点如下：1 只有在部署完客户端软件后（即客户端电脑接收到文件加密

48、策略和密钥策略后），“批量加密”功能才生效；2 客户端电脑在进行批量加密时，会自动扫描本身接收到的文件加密策略中的相关软件的常见格式进行自动加密（如该客户端电脑设定的文件加密策略为Word、Excel、Autocad 等软件，则当运行批量加密功能时，后台的批量加密程序会自动扫描本地硬盘上的“.doc”、“.xls”、“.dwg”、“.dxf”等后缀格式的文件进行自动加密）；“批量解密”的功能可以利用后台程序将客户端电脑上的涉密类型文件全部自动解密，使用方法同“批量加密”功能。9. 加密文档分级查看权限加密文档分级查看权限考虑到公司内不同职位的人员需要对不同的涉密文档有不同的访问权限，并简单的解

49、决一些越权访问的问题，软件特增加了 4 层密级控制。通过控制台中的设定，我们可以将客户端电脑设定成“内部级、秘密级、机密级、绝密级（包括 VIP 客户端） ”4 层密级效果。图 9-1各密级的含义如下： 文档加密管理系统解决方案内部级：内部级：客户端部署后默认密级即为内部级，处于内部级的涉密文档只能在公司内安装客户端软件的电脑上打开，无法在公司内没有安装客户端软件的电脑上打开，或者是在其它公司（哪怕是同样购买了软件）的电脑上打开；秘密级：秘密级：处于秘密级的电脑能直接打开内部级的文档，反向则不行；机密级：机密级：处于机密级的电脑能直接打开内部级或秘密级的文档，反向则不行；绝密级：绝密级：处于绝

50、密级的电脑能直接打开内部级、秘密级或机密级的文档，反向则不行；VIP 客户端：客户端：VIP 客户端电脑可以打开以上所有密级的文档，并在打开的瞬间将硬盘上原本处于密文状态的文档转换成明文。注意：当在高密级的客户端电脑上打开低密级的文档时，并不会改变低密级文档的密级属性；但是当在高密级的客户端电脑上编辑低密级的文档时，会改变该低密级文档的密级属性，使之变成与该客户端电脑相同的密级属性。10.客户端自动修复客户端自动修复由于当客户端电脑受到病毒/木马侵害时，注册表关键键值容易受到感染而导致软件不能正常工作，从而导致客户端的加解密软件不能正常工作，而影响客户正常工作。客户端程序会在启动期间定期的去检

51、查相关模块是否正常完整，若发现不正常会尝试自动修复，而在控制台同时也能监测到相关模块的状态，从而最新的掌握客户端动态。如果自动修复后客户端还存在问题，控制台还可以手动下发修复命令给客户端，客户端收到命令后会尝试修复。此功能大大减少了相关管理人员的宝贵时间。 文档加密管理系统解决方案图 10-111.自动解密申请自动解密申请对于平时日常文件外发比较频繁的客户，软件中提供了自动解密申请功能。通过在控制台上做相应设定（设定要需要用到自动解密申请功能的客户端电脑和来进行审批的解密端电脑），我们可以设定如下 2 种外发文件解密模式：1 某台客户端电脑可以向本部门所属的解密端使用者（本部门所属的解密端不在

52、线时直接向公司级解密端申请）在线提交文件解密申请，当获得解密端使用者批准时，程序会在后台将需要解密的某个文件自动解密；2 当将某台客户端电脑设定为“允许自动审批”时，此时客户端提交的所有文件解密申请会被默认自动通过（不需要解密端使用者审批），程序会在后台这些需要解密的文件自动解密并将其备份到服务器程序安装电脑中预先设定的目录中；12.离线策略离线策略在实际软件部署过程中，会碰到一些客户同时拥有几个异地办公地点，这些不同的办公地点都拥有一定数量的电脑。这些电脑和公司总部未能组成一个有效的局域网，但它们的策略却需要和公司总部某个部门设置的策略一样，故软件中提供了“离线策略”导入功能，可将总部某个部

53、门中的策略文件直接导出，导入到这些单机上，使这些异地的电脑都能沿用和总部某些客户端电脑一样的策略信息，彼此加密的文件也能互相打开交流。图 13-1 文档加密管理系统解决方案采用离线策略的好处如下：1 避免单机版程序安装时策略变更不灵活的弊端；2 满足一个公司网络版客户端和单机版客户端混合部署的要求；3 即使客户没有建立起内部局域网，也可以进行文档安全管理系统网络版的部署；4 减少客户和软件供应商的沟通环节，大大缩短软件的部署时间；图 13-2 离线策略总体界面13.解密端分级认证解密端分级认证解密权限分级设置：根据单位中不同的密级要求，可以分别设定解密端拥有者具有不同的解密权限。某些部门领导只

54、能解密本部门的文档，而公司老板或其它高层可以解密整个公司内的文档。说明：该项功能配合不同部门不同的密钥设置，可以使涉密文档的流通控制在更合理的范围之内，不同解密权限的分配，可以使公司内各领导权限得到很好的平衡，并不是拥有解密端，就能解密本公司内所有的文档。这种功能可以使就算公司内某个解密端出现泄密隐患，影响的也只是公司内某一块的数据安全，而不是整个公司的数据安全。对于虽然处于同一部门内的解密端，还可以设定解密端有不同的密级解密权限，即有些解密端只能解密内部级的文档，有些解密端能解密内部级和秘密级的文档，有些解密端能解密绝密级、秘密级和内部级的文档，而有些解密端能解密所有密级的文档。另外，对于不

55、同密级认证的解密端，除可以解密不同密级的文件外，还可以将低密级的文档提升成高密级的文档。具体功能如下：基于秘密级认证的解密端可以将本部门内内部级的加密文档提升成秘密级； 文档加密管理系统解决方案基于机密级认证的解密端可以将本部门内内部级或者秘密级的文档提升成机密级；基于绝密级认证的解密端可以将本部门内内部级、秘密级、机密级的文档提升成绝密级；14.外发文件控制外发文件控制某些时候需要将单位内的涉密电子文档临时发给客户或者合作伙伴查看，但是又希望能控制这些临时外发的涉密电子文档的安全（比如说能控制其打开时间、打开次数、不能被编辑、不能被打印等），此时可用到软件中的“外发文件控制”功能。外发文件控

56、制在解密控制台中设置，具体设置如下：点击 Winmanager 解密端界面菜单栏“外发文件控制外发文件设置”，即可进入“外发文件设置”设置。 文档加密管理系统解决方案图 15-1选择需要外发的文件，设置外发加密文件的打开时间段、次数、权限。 文档加密管理系统解决方案图 15-2 外发文件权限设定设置完成以后点击“确认”，设置文件密钥以及外发文件阅读器相关设置，如图： 文档加密管理系统解决方案图 15-3 外发文件密钥以及外发文件阅读器控制方式设置在进行外发文件制作时，注意以下几点：1 被制作的文件本身可以是已经加密过的文件也可以是未加密过的文件；2 可以选择对单个文件进行外发，也可以选择对单个

57、文件夹进行外发控制；3 对于外发文件必须设置密钥，否则外发出去的文件无效（密钥可以随意设置）；4 控制外发文件的打开次数、生效时间、文件只读、打印控制、剪切板控制等策略；5 可以对外发文件阅读器进行控制，可以设置密码或者绑定硬件；6 注：外发文件的加密算法和单位中正常被客户端软件加密的算法是不同的，客户不用担心因为外发文件而泄露本公司客户端的加密算法。 文档加密管理系统解决方案注：外发文件的加密算法和单位中正常被客户端软件加密的算法是不同的，客户不用担心因为外发文件而泄露本公司客户端的加密算法。15.易用的邮件策略易用的邮件策略对于常常需要通过电子邮件外发涉密文档出去，但又不想频繁通过解密端手

58、动解密的单位，文档安全管理系统中提供了外发邮件时，对满足要求的邮件中的附件自动解密的功能。具体实现技术原理如下：客户端软件截获本地计算机以 SMTP 协议（在 TCP 的 25 端口）发送的邮件信息，采用特定的技术扫描邮件数据，提取出收件人 E-Mail 地址和发件人 E-Mail 地址，以及附件数据和本地数据库（可以是一个文件）中的规则比较，看是否需要解密。如果需要解密就调用客户端中的解密程序对附件解密，然后把被处理后的附件代替原来的附件，再把邮件发送到原来的目的地址。如果不需要解密则原样发送到收件人邮箱（即客户端程序主要是根据收件人和发件人的 EMail 地址和列表中的规则匹配情况。如果满

59、足某种规则的话就解密附件并转发，反之不进行解密附件直接转发） 。图 16-1要点如下：1 以邮件中含有的收件人 E-Mail 地址和发件人 E-Mail 地址为过滤条件，根据该过滤条件的匹配规则触发对邮件附件的解密动作；详细规则设置如下：a)开关功能开关功能 文档加密管理系统解决方案开关 1： 全部不解密开关 2： 全部解密开关 3： 按照规则解密b)按照规则设置解密的具体规则如下：按照规则设置解密的具体规则如下：规则规则 1 1：一对一的规则设置：发件人：ABC收件人：FOO规则：允许发送此时进行附件解密，并转发所截获的电子邮件。规则规则 2 2：一对多的规则设置即：发件人：ABC收件人：FOO; FOO; FOO;规则：允许发送此时进行附件解密，并转发所截获的电子邮件。规则规则 3 3：一对全体的规则设置即：发件人：ABC收件人：ALL规则：允许发送此时进行附件解密，并转发所截获的电子邮件。规则规则 4 4：如果规则 1、规则 2、规则 3 均不符合则附件不解密，直接转发所截获的电子邮件。邮件策略使用时的注意点：5 当收件人中即有白名单邮件地址（许可的）和黑名单地址（未许可的收件人）时，邮件附件将不被解密；6 邮件附件必须为原文件格式，不能是压缩格式或其它；16.策略灵活