docguarder技术方案复习进程

1、DocGuarder系统简介文档加密系统DocGuarder系统简介杭州华途软件有限公司目录1. 设计理念 12. 系统简介 13. 系统特色 24. 系统组成 25. 系统功能 45.1 文档加密 45.1.1 实时加密 45.1.2 扫描加密 45.1.3 管理端加密 45.2 防止泄密 55.2.1 防系统泄密 55.2.2 防打印泄密 65.2.3 防邮件泄密 75.2.4 防 U 盘泄密 85.3 文件安全 95.4 文档解密 95.4.1 系统管理端解密 95.4.2 客户端权限解密 105.4.3 安全邮箱解密 115.4.4 审批流程解密 115.5 权限等级设置 135.6

2、文档备份 165.7 离网策略 175.7.1 软授权设置 175.7.2 硬授权设置 185.8 文件外发 195.9 文件配置 245.10 特殊功能 26大文件支持 265.10.2 穿透压缩包加密 26DocGuarder 系统简介1. 设计理念好的软件让企业从中受益，不好的软件让企业失去信心。 大多数加密软件在设计时考虑更多的可能是如何去实现加密，如何防止泄密，但俗语说世上没有不透 风的墙，华途从另一角度出发，帮助企业在文件管理上实现集中化，在流动控制上实现有案可查。对加密 文件进行有效管理和做到有备无患，才是华途加密软件设计的最终目的。华途加密软件 DocGuarder（ 以下简称

3、 DocGuarder） 采用的是不改变使用者原来的操作习惯和计算机操 作方式，使文档于无形中被加密，同时对所有加密文档进行密级重组，使企业内部文档的流通是始终处于 受控状态。同时 DocGuarder 对于文件的打印和 U 盘的拷贝采用多种控制方式，企业完全可以根据自己的需要来 实现文档外流的方式，实时的日志记录能有效的追溯所有解密、打印等敏感操作。针对企业控制力较弱的环节，如设计人员外出或者招标文件的保密，甚至于对外发文件的控制，DocGuarder 均提供一套完整的解决方案。DocGuarder 的目标是实现企业“管理先行，文档保密，事发追溯” 。2. 系统简介DocGuarder 采用

4、 C/S 架构。所有的客户端安装盘均在服务端按企业需求进行定制。DocGuarder 采用等级管理模式，系统管理员可以设定不同的子管理员（如：超级管理员、文件管理 员、等级管理员等） ，客户端登录时，直接使用 Windows 当前登录的域用户帐号或者本机帐号作为 DocGuarder 加密系统的帐号进行校验。可以针对对公司内部域管理模式设置系统的权限。也可以根据公 司架构设定多个子管理员进行管理。DocGuarder 采用 128 位高强度加密算法实时加密文件，在企业特定的环境内，所有的文档操作一切 正常，但是文档一旦离开企业，文档就无法打开，可以帮助企业有效防止用户通过电子邮件、移动硬盘、

5、优盘、 USB 接口等途径泄密企业图纸，财务数据，招投标文件等重要文档，力保企业知识财产的安全。DocGuarder 不会改变用户原来的任何习惯。软件对于用户而言是透明的，是不存在的，但实际上为 企业修建了一道严密的防御体系，时时刻刻守护着企业宝贵的知识财产。精品文档3. 系统特色适用范围广DocGuarder 支持所有应用程序控制，如设计类的 Solid Works 、Pro/E、UG、CATIA、AUTOCAD 等， 办公类Ofice系列等，汇编类 VC、VB系列等可靠的安全性DocGuarder 采用 128 位高强度加密算法，企业可自定义密钥，所有密钥都保存在硬件锁中。客户端 采取先进

6、的运行保护措施。零感觉的客户端DocGuarder 支持无感觉安装，在不改变用户任何操作的前提下对企业重要文件实行加密，可按照用 户需求区分加密文档和非加密文档图标类型。便捷的管理方式DocGuarder 支持远程自动部署，集成域管理模式，统一的网络加解密处理，完善的离线授权策略。 文档密级管理企业在 DocGuarder 中可以根据文件管理需要定义文档密级，控制内部文件的打开权限、打印权限、 文件解密权限以及文件删除权限。广泛兼容性DocGuarder 完全兼容现有硬件系统，如路由器、网关及防火墙；也完全兼容已知的安全软件。速度更快DocGuarder 经测试对计算机运行速度无影响，在保证加

7、密安全的基础上大力优化系统速度，避免对 用户的正常使用有任何影响。用户权限分级控制企业在 DocGuarder 中可以定义用户或组的权限级别，定义相应的使用权限，如打印、解密、离线等， 实现不同密级文件之间的受控管理。全面的日志监控DocGuarder 提供完备的监控管理和日志管理，详细的日志查询功能。确保文件操作可追溯性。4. 系统组成DocGuarder 由系统管理工具、运行客户端、加密硬件锁三部分组成，支持备份服务器功能，5. 系统功能5.1文档加密实时加密通过系统管理端的“应用配置”选项可以选择需要受控制的程序，其程序产生的任何文件将会自动加密应用配置配置程岳类型MLIZMIE 口凰网

8、ProtelJsy*linUGPICADCWIAMicrosoft OfficeScli dtforksInvertorSolidldgapro/E11U全选清除邮件控制扫描加密通过系统管理端的“初始化扫描”选项实现在计算机第一次安装加密客户端时对计算机上的磁盘进行扫描加密，加密的文档类型在空格框内添加。如需要扫描加密WORD文件和AUTOCAD 文件则添加 *doc ; *dwg初始化扫描格式虬dwg; *. txt湘分号分隔'支持il配符）*. doc；*.注：此功能有两个版本，一个是对所有文件类型扫描加密；二是对非只读文件类型扫描加密。管理端加密通过系统的“加解密”模块可以对服务

9、器本机或者网络内共享的文件进行远程解密。同 时可以过滤文件类型，设置文件内的文档加解密对象。另外也可以通过服务器对网络内的文 精品文档精品文档件进行加密等级修改。如下图:5.2防止泄密521防系统泄密系统运行后针对系统的一些漏洞进行封堵，具体如下：?文件复制把文件从受控制的程序中复制到不控制的程序中去。?屏幕截屏系统受控后防止个别人员采用键盘上的“ PRINTSCRN'键或是“ CTRL+PRINTSCRN”组 合键，或者是采用一些抓屏软件将企业的重要文件通过图片的方式保存起来传出去。? OLE对象插入系统受控后防止个别人员使用一些软件中的OLE对象插入功能将加密的文件通过此功能插入到

10、还没有加密的文件中保存起来传出去。?对象拖放系统受控后防止个别人员在打开加密文档的时候，抓住一些重要内容直接拖出程序放到桌面上。客户嚴机限邑打E卩立件 刚允许复制 邑允许葱屏V允许OLE插入 邑允许拖放 电开关客尸谛V允许运行禁用VJ不控制囉允许删除允许邮件管理权限M文件加解整网络故障保持连接0小时522防打印泄密为有效控制企业文件打印节约企业耗材成本，防止企业人员将重要资料通过打印方式以 纸质方式带出去。Docguarder系统对系统使用用户进行了打印控制，需要打印的人员允许打 印，对不需要打印的人员禁止打印，并且对所有能够打印的计算机和人员进行实时监控，详 细记录了打印的用户名、计算机名、

11、打印的文档名、IP地址及打印时间。对于打印的内容我们也采用抓图的方法将打印的文档内容通过图片的格式上传到服务器上，所采用的图片格式为最小的JPG格式523防邮件泄密为有效控制企业解密文件采用邮件的方式发送出去，Docguarder系统通过对用户进行“允 许邮件”设置实现是否允许发送邮件。另外对于企业认为可靠的接收邮箱采用安全邮箱的方 式使企业内部发送过去的邮件附件自动解密。并且对所有未发送成功或者已经发送成功的邮 件进行自动抄送备份该邮件副本到指定的服务器邮箱上保存，确保企业发现邮件泄密后可以 进行历史追踪，查看发送时间和发送的邮件内容及附件。524防U盘泄密为防止企业重要文档资料通过 U盘拷

12、贝的方式泄露出去，通过对用户进行“不控制U盘” 设置实现是否允许 U盘操作。华途软件对 U盘的控制方式分为三类：第一类直接禁止运行 USB功能；第二类对USB端口进行监控，企业内部所有重要资料一旦通过 USB端口进行拷贝 等操作，系统将视其为泄密，所有文件都将被加密；第三类对所有插入USB端口的外设进行磁盘扫描处理，盘内所有文件都将被加密。勾选该权限后，系统不对U盘的操作作任何处理。厂打印丈件厂允许宜制IjtiTOLEfflA厂比许拖砂r开关客户请 厂允许运厅禁用 P不揑帯fu盘 r疆晒接收看 厂劇曙垸送若 厂件厂外携文辟5.3文件安全为防止员工在离职前或其他特定场合恶意删除企业文档，Docg

13、uarder系统提供了防止删除文件功能。只有具有删除文件权限的用户才能删除客户端上的本地文件。系统管理端的“用户管理”模块中设置了“允许删除“按钮，没有选择该功能的用户， 不能对操作系统内的任何文件进行删除操作。客户端权限 厂打印文件 厂允许复制 厂光许葩屏 厂允许。LE插入 厂允许拖战 厂开关客户请 厂允许运行禁用 厂不控1!1嗨 ¥附砾 r忽昭接收者 厂忽昭发送若 厂 Outlook®件 厂外戦件 厂卸蠡客户埔5.4文档解密系统管理端解密通过系统的“加解密”模块可以对服务器本机或者网络内共享的文件进行远程解密。同 时可以过滤文件类型，设置文件内的文档加解密对象。另外也可

14、以通过服务器对网络内的文 件进行加密等级修改。此等级修改具体能修改那些文件等级需要通过对当前登陆系统用户如“sa”的等级调整权限来设置。文件过滤举例说明：如对文件夹进行加解密时只需要对 WORD文件和AUTOCAD文件进行加解密则在空格框 内填入*doc ； *dwg勾上“启用过滤设置”即可。542客户端权限解密计算机安装系统客户端后会在右键中出现如下选项:Docguarder文件处理DocGuarder解密审批选择文件处理，弹出如下对话框:输入具有文件加解密权限的用户如“ sa”，点击确定后弹出如下对话框:点击进入设置口令选择解密选项点击确定完成解密。注：为了保护文档安全解密人员可设置解密口

15、令以防止自己帐号密码泄露后被人利用进行文档解密。543安全邮箱解密通过受信任的安全邮箱发送邮件时， 系统自动对邮件所附文件进行解密。 详情参阅防邮件泄密。544审批流程解密提示：首先要确保企业bigant系统已安装。计算机安装系统客户端后会在右键中出现如下选项:Docguarder文件处理DocGuarder解密审批选择解密审批，弹出如下对话框：选择解密人员，再点击确定，弹出如下对话框:填入解密审批理由，点击“发送”：则申请解密者的操作完成，下面讲述解密者的操作步骤：申请解密者点击“发送”后，在解密者右下会弹出如下对话框:BigAnt Messenger接收到1家梢息消息来自吴达永 申请原因：

16、点击此对话框，弹出如下对话框:需要查看一下相关文件内容则点击“查看文件”，认为可以解密则点击“同意”成解密操注：如果系统安装完成后点击“解密审批”没有反应则查看右键功能中是否具有bigant快发项 目，则需要注册注册方法：regsvr32 +AntSend.dll文件 的安装 目录和 BigAnt.exe 文件安装目录+(-regsererver)。5.5权限等级设置点击桌面“系统管理工具”图标，启动加密管理端输入帐号level_sa密码level_sa登录后出现如下设置界面:勾选“进入修改状态”后方可对企业文件等级进行设置，具体设置可根据企业的实 际需求或根据企业的组织结构或根据企业的用户角

17、色进行，以下就以企业的部门结构进 行设置说明。新建点击“新建”出现如下所示界面:新建等圾输入等级名“海之帆”和等级号“ 1 ”（每个等级的等级号都为唯一）点击“确定” 完成一个等级新建，其他组织添加也如此。删除如需删除相应等级，只要选择该等级再点击“删除”即可打开权限打开权限主要是为了设置该等级能打开的文件等级，如技术副总可以打开企业组织 内那几个部门的文件，贝U选择相应的等级权限，具体设置如下图：打开文件等级设置P当前策略等幅所y认之邑同口勾上的等级为可打开的等级取消调整权限调整权限功能适用于调整默认状态下无权限，但临时需要某些权限授予的情况。如 某一部门对某些文件原本不可以看但现在却需要能

18、够查看，即可由对这些文件拥有相应 权限的人员，使用该功能对这些文件的权限进行调整修改，贝U该部门对这些文件即能行 使被授予的相应权限。打印权限为确保企业内部文件打印的部门限制，系统通过对等级策略中的打印权限进行设置, 使得有打印权限的人只能打印本部门文件，或者是打印系统允许的文件等级。解密权限为某一设定的等级赋予解密权限。通过该功能，可为每部门的领导均设定解密权限, 但只能解密本部门或本职责范围内的文件。保存等级设置完成后保存。5.6文档备份为防止企业文档丢失，备份企业内的重要文件资料，Docguarder系统通过“实时监控”模块可以对已经安装了客户端的计算机进行远程备份。具体操作如下一一选择

19、备份客户机，点击“文件备份”弹出如下对话框：皱定制 用户管理I远程安谁 加埔密 实吋监控.日志管理 配置文件机器名IP地址192. 169. 1. 19 WJJT匚輛.I网云号虽新访问吋间超時2001-11-15 10.28节点总数已迄搖冇点一| 关闭时间为24小时，超过24小时则显示通讯失败，无法打开受控程序。I关壬输入需要备份文件类型，如图对 AUTOCAD文件进行远程备份，点击确定完成文件备份5.7离网策略系统对离网策略采用两种方式：软授权和硬件授权。软授权设置选择授权用户如下“ sa”用户，再设置离网时间24小时，则该用户离网累积可以使用的离网策略主成离网用户小时离岡时闻使用时钟功能生

20、成笃述文件查看use锁信息为了保护企业安全我们对离网用户可以进行 2次等级授权，防止离开网络后打开文件太 多，把重要资料泄露。具体操作为：点击上图中的“离网策略”按钮，出现如下对话框:打开文件等级设置全选 两口 默认等级 董事长 总经理 常务副总 技术副总 生产副总 财务副总 技术经理 技术一部 技术二部 车间主任 一车间 二车间 财务部 总经办涪除取消设置打开的文档等级权限。硬授权设置华途软件除了一个服务器狗以外还有一种时钟狗，它具有时间校对功能，可限制狗在某 一时间范围内使用。具体设置如下：插入硬件时钟狗，通过服务器设置使用时间，则外带的笔记本在设置的时间段内可以打 开允许的文件等级。锁生

21、威文件VSE損硬件:D:修改记录序吕：0毎次改写皿嗨L序号応级递増诃使用功龍时锂锁生成时的来航时间200T-11-15 v10 49:L3新使用结束时1间以系统时间芮堆）200T-11-15 玉10:49:13LxJI ¥ |新启用时间（:必统时间気准）20QfT-ll-15 v10:49:13为防止多狗之间串插，系统可进行硬件绑定，如下图对网卡、硬盘绑定此外为了防止硬件被盗或是丢失了，我们还可以事先设置密码绑定，使别人在打开加密 文件的同时需要输入加密口令。5.8文件外发文件外发功能的具体操作步骤如下：1. 选择外发对象外发选择对象为企业内部的加密文件，以下以 word文件为例说明

22、：选择单个或者多个 word文件点击鼠标右键，在右键选项卡上选择"Docguarder文件外发”；Docguarder文件处理DocGuarder文件外发DocGuard&r解密审批2. 登录在“步骤2”中选择了文件外发后会出现如下图登录框：输入有文件外发权限的用户，点击“确定”3. 设置控制方式完成“步骤3”操作后，出现如下图对话框:根据企业的实际需要设置外发文件的打开次数或者是打开天数，以及是否允许该外发文件进行打印操作，点击“确定”；4. 打包外发文件完成“步骤4 ”操作后，出现如下图编辑框:单个选择文件，点击下方的“生成文件”按钮，出现如下图对话框:外发设置选择外发授

23、权方式，可以使用密码方式或者是激活方式打开。（说明：1.采用密码方式打开，不限制外发打开的计算机2.采用激活方式打开，限制外发文件打开的计算机）选择相关授权方式后，点击“确定”，出现如下图对话框：输入保存的文件名，点击“保存”完成文件外发操作，最后得到文件如下图:5. 外发文件登录方式一、采用密码方式打开如果我们前面选择口令授权方式，打开外发的文件后出现如图对话框:密码验证诸输入登录密码:输入授权密码，点击“确定”，即可打开该外发文件。方式二、采用激活方式打开如果我们前面选择激活授权方式，打开外发的文件后出现如图对话框:输入授权激活码，点击“确定”，即可打开该外发文件。注：激活码获取方法确定外发文件打开的计算机（注意：一旦对方确定了运行计算机后外发文件只能在该计算机上运行，如需在其他计算机上运行需要从新获取激活码）；获取特征码和请求码，在确定的计算机上打开外发文件后会出现如上图登录框