企业防水墙内外网数据安全解决方案

1、企业防水墙内外网数据安全解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc55918437 1产品功能模块 PAGEREF _Toc55918437 h 3 HYPERLINK l _Toc55918438 1.1产品功能之多模加密技术 PAGEREF _Toc55918438 h 4 HYPERLINK l _Toc55918439 1.2产品功能之剪贴板控制技术 PAGEREF _Toc55918439 h 5 HYPERLINK l _Toc55918440 1.3产品功能之文件密级技术 PAGEREF _Toc55918440 h 6 HYPERLINK

2、l _Toc55918441 1.4产品功能之文档权限技术 PAGEREF _Toc55918441 h 7 HYPERLINK l _Toc55918442 1.5产品功能之离线管理技术 PAGEREF _Toc55918442 h 8 HYPERLINK l _Toc55918443 1.6产品功能之审批管理技术 PAGEREF _Toc55918443 h 9 HYPERLINK l _Toc55918444 1.7产品功能之审批流定制技术 PAGEREF _Toc55918444 h 12 HYPERLINK l _Toc55918445 1.8产品功能之外设管理技术 PAGEREF

3、_Toc55918445 h 14 HYPERLINK l _Toc55918446 1.9产品功能之安全网关&TPM防护技术 PAGEREF _Toc55918446 h 15 HYPERLINK l _Toc55918447 1.10产品功能之密文明送技术 PAGEREF _Toc55918447 h 17 HYPERLINK l _Toc55918448 1.11产品功能之打印管理技术 PAGEREF _Toc55918448 h 19 HYPERLINK l _Toc55918449 1.12产品功能之屏幕水印&文档水印技术 PAGEREF _Toc55918449 h 20 HYPE

4、RLINK l _Toc55918450 1.13产品功能之烧录管理技术 PAGEREF _Toc55918450 h 21 HYPERLINK l _Toc55918451 1.14产品功能之U盘防水墙技术 PAGEREF _Toc55918451 h 22 HYPERLINK l _Toc55918452 1.15产品功能之上网行为管理技术 PAGEREF _Toc55918452 h 22 HYPERLINK l _Toc55918453 1.16产品功能之自主分发安装技术 PAGEREF _Toc55918453 h 24 HYPERLINK l _Toc55918454 1.17产品

5、功能之服务器容灾管理技术 PAGEREF _Toc55918454 h 24 HYPERLINK l _Toc55918455 1.18产品功能之文件备份和删除管理技术 PAGEREF _Toc55918455 h 25 HYPERLINK l _Toc55918456 1.19产品功能之IT资产管理技术 PAGEREF _Toc55918456 h 25 HYPERLINK l _Toc55918457 1.20产品功能之日志管理技术 PAGEREF _Toc55918457 h 261产品功能模块产品功能多维阐述模块序号功能模块通俗解释专业解释效果模拟1多模透明加密模块实现客户端加密方式多

6、样化如全盘加密、目录加密、程序加密等功能的模块支持防水墙客户端采用多种加密模式而不仅仅是加密程序变化的管理模块控制台可以按照用户组、用户的方式对具体的用户（组）设置不同的加密策略，该用户登陆防水墙加密系统将按照对应的策略被约束；2密文明送管理模块对发送到用户客户的明文文件进行阅读次数、阅读时间等进行控制的模块对用户外发到客户处的特殊明文进行权限控制的管理模块，又称作外发控制；用户客户对需要密文明送的文件进行审批，在审批同意之后，该文件将发送出去之后即具有预先设置的控制属性；3多级审批管理模块对用户申请解密的审核者先后次序可以进行自定义设置的模块实现对解密流程按照用户管理结构、管理需要进行设置的

7、管理模块；管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以支持并行；5可信程序管理模块实现本地密文上传到OA等应用系统上自动加密、下载自动加密的模块通过一系列参数的设置，实现密文上传到应用系统自动解密、下载自动加密的管理模块通过控制台对可信程序管理模块的设置，实现密文上传到应用系统自动解密、下载自动加密1.1产品功能之多模加密技术系统内核透明加密功能：可以应企业现有任何软件产生之文件的加密需求；加密模式为实时进行，并对用户透明，不需要用户的任何干预；企业现有软件的加密，包括常用office类软件、可能的

8、设计类软件如CAD等、可能的编程类软件如c+、java等、可能的烧录类软件，如PLC类软件等。加密软件满足对绿色软件的加密，满足对RAR等压缩软件的加密。这些加密均不通过二次开发即可满足。加密模式的多样选择功能：山丽防水墙系统采用加密3.0技术多模透明加密技术，领先于加密1.0环境加密技术，加密2.0文件格式加密技术，技术处于业界领导地位。在多模加密模式中，用户创建密文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户空加密模式（但可以修改和查看别人的密文的高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文的阅读者模式

9、）、U盘外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。一文一密钥透明加密功能：采用对称加密和非对称加密技术，实现任何文件的加密密钥均不一样，防止被破解，安全性能大大优先于单密钥或者多密钥产品。文件格式无关透明加密技术：山丽网安承诺，因为用户新使用的应用软件产生的数据不能加密的，终生免费开发，绝不再次收费。通讯加密：该功能可以实现防水墙客户端和服务器端间流转的账号、密码、策略等内容无法被监听到或者监听到的均是加密的；U盘加密：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将自动执行，并对用户的加密数据执行

10、对应的加密和管控策略；7、密文图标：通过控制台的设置，可以让客户端的密文显示、或者不显示、或者不同级别密文显示不同的图标8、文件格式无关的加密功能的二次开发保障：在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费用（即不受合同时间的约束）；1.2产品功能之剪贴板控制技术剪贴流程的控制技术：加密数据以明文形式存在于内存中显示给用户阅读，存在被用户采用复制黏贴方式泄密可能，山丽防水墙剪贴板控制技术可以保证复制黏贴的数据无法被保存在非受信区域，在受信区域中，被黏贴的数据也将以密文形式存在。剪贴流程的控制技术：管理人员也可以设置可信的程序，让剪贴、复制的

11、行为仅仅发生在信任的程序之内，这样，在防止剪切泄密的前提下，又可以有效的保证了工作人员的效率；剪贴流程的控制技术：可以对剪贴行为进行控制，以复制粘贴方式将无法复制到QQ、Webmail、BBS中。对于行为的控制可以在源头上避免一些员工的泄密行为，同时这种禁止操作的行为也会实时的提醒员工哪些行为可以做，哪些行为不可以做，从而在潜意识层面对员工的信息安全意识进行了有效的培养。剪贴流程的控制技术：使得用户通过QQ截屏发送，发送出去是黑屏、通过QQ远程，将看到是的是白屏；随着远程办公的日益发展，越来越多的云服务、远程协助出现在日常生活中，远程连接的方式将成为一条严重的数据泄密途径。1.3产品功能之文件

12、密级技术文件密级的分类：企业可以根据泄露会使企业的经济利益遭受损害的程度，确定核心商业秘密、普通商业秘密两级或者更多商业密级级别标准，或者其他类型如国家秘密级别的标准，文档可以按照管理人员设置自动强制将密级标注统一为“核心商密”、“普通商密”等密级标志，文档还可按照使用者设置，将密级标注为用户认为合适的密级级别。文件密级的期限：用户可以自行设定商业秘密的保密期限。可以预见时限的以年、月、日计,不可以预见时限的应当定为“长期”或者“公布前”。文件密级期限也可以按照管理人员设置自动强制统一标注为“长期”或者“公布前”。文件密级的标志：企业商业秘密的密级和保密期限经管理人员或者用户设定后,在秘密载体

13、文件上就会出现明显标志。标志由权属（单位规范简称或者标识等）、密级、保密期限三部分组成。文件密级的知悉范围：企业可以根据工作需要严格确定商业秘密知悉范围。知悉范围可以限定到具体岗位或者人员,并按照涉密程度实行分类管理。防水墙系统会按照BLP模型的基本安全策略“下读上写”进行干预，能杜绝高密级的文件分发给低密级的用户，从而禁止“上读下写”的发生。文件密级的变更流程：商业秘密需变更密级、保密期限、知悉范围或者在保密期限内解密的,可以由用户提出申请,由主管领导审批,得到审批后系统将其变更，审批结果会在系统中有详细的记录，以备保密办公室或者保密委员会查验。对不同密级的文档，防水墙系统支持审批过程自动执

14、行预设的不同审批流程。文件密级的变更标志：当商业秘密的密级、保密期限变更后, 原标志将自动更新为新标志。保密期限内解密的,保密文件就会自动以解密或者脱密的形态体现。密级文件的安全生命周期：对商业秘密载体的制作、收发、传递、使用、保存、销毁等过程均可实施控制,可确保秘密载体安全。密级文件的存储设备、存储系统防护：商业秘密数据在计算机信息系统、通讯及办公自动化等信息设施、设备的流转时候，均可进行保密控制,保障商业秘密信息安全。1.4产品功能之文档权限技术权限颗粒度：只读、编辑控制、复制控制、打印控制、截屏控制、下载控制、离线控制、时间控制、次数控制。相邻关系：设置发布权限（设置作者的加密文档发布给

15、其他用户后他们所拥有的权限。）、上级权限（设置作者作为上级对其他用户的加密文档的权限。）、作者权限（设置作者对自己的加密文档的权限）等功能。用户为角色进行管理：山丽防水墙的文档权限控制，可以基于脚色进行相互之间的关系设置，一旦设置之后，各个脚色新产生、原来的秘文均按照这种相邻关系进行约束；这些脚色可以是一个用户、一个用户组、一个部门、一个分公司等等。基于脚色控制，完全不需要将这些文档预先上传到服务器上去追加权限，权限和文档处于的位置不需要预设限制条件。文档为角色进行管理：在基于脚色之外，山丽防水墙的文档权限还可以设置给特定用户自行改变文档权限的能力，即自行设置权限文件夹，设置该文件夹的访问权限

16、，当用户访问这些文件夹中文件的时候，将按照用户新设置的权限进行控制。1.5产品功能之离线管理技术离线登陆管理：当用户在离网时候需要使用加密系统的时候，可以通过离线登陆来实现。离线登陆支持智能卡和离线证书两种方式，智能卡表现为电子钥匙式样，用户离开硬件电子钥匙将无法使用加密系统；使用离线证书方式将采用软证书方式登陆，同样，用户不使用软证书将无法使用加密系统。处于信息安全策略控制需要，离线证书和智能卡均只能在特定电脑上使用，并且只能在管理人员设置的时间范围内使用。在使用的时候，具有证书体系和用户PIN码双层保护。离线策略管理：在离线登陆模式下，用户所有的控制策略均和在线时候一样，即：在离线登陆成功

17、模式下，对用户的加密策略控制等各种策略如同在网。离线模式可以实现即满足对用户安全管控又可以方便用户移动办公。1.6产品功能之审批管理技术邮件外发：用户可以使用山丽防水墙系统的邮件发送工具对数据进行发送前审核，在得到审核同意之后，用户即会得到系统气泡提醒，而后被审核密文就会自动变成明文被发送至审核同意的邮件地址。此过程中，用户手中的文件永远是密文，但审核同意的特定邮件地址将得到明文文件。明文导出：用户也可以通过防水墙对数据进行申请解密的操作，同样，在得到审核同意之后，用户即会得到系统气泡提醒，这个时候，用户将审核同意的文件下载到本地即自动变成明文，用户可以根据需要对该明文进行任何处理。邮件白名单

18、：用户也可以对一批的邮件地址进行申请，以希望享受到“邮件白名单”的功能，即提出申请后，在得到审核同意之后，用户即会得到系统气泡提醒，这个时候，用户将任何密文发送到这些邮件地址，数据都将自动解密。邮件白名单方式适合给固定用户发送明文文件。密文明送：用户可以使用山丽防水墙系统的密文明送模块进行文件外发控制申请，在得到审核同意之后，用户即会得到系统气泡提醒，而后用户即可得到一份系统制作成功的密文明送式外发控制文件。此过程中，用户手中的文件永远是密文，用户外发的将是使用次数、使用时间等属性得到限制的文件。外设使用：在外设禁止使用的情况下，用户可以对外设申请使用，在申请得到审核同意后，用户即可在约束时间

19、内，使用外设进行数据的拷进拷出，时间过后，用户将无法使用此功能，除非重新申请；外设发送：在外设禁止使用的情况下，用户可以对密文文件进行外设发送使用，在申请得到审核同意后，用户即可在约束时间内，和约定次数内，将密文数据拷进外设中，则数据将自动变成明文，时间或者次数过后，用户将无法使用此功能，除非重新申请；外设信任：在用户可以使用外设的情况下，用户将数据拷贝至外设中均为密文（外设加密策略约束），外设信任功能即为在此种情况下，用户申请外设信任，在申请得到审核同意后，用户即可在约束时间内，使用外设进行数据的拷进拷出，此时，拷出的密文数据均将变成明文，时间过后，用户将无法使用此功能，除非重新申请；审批提

20、醒：采取流程解密、手工解密等多种方式灵活组合运用，满足不同单位的业务需求。并且实现审批流选择、自定义审批流设置、管理层审批流设置、审批提醒等功能。尤其是提供了多种方式的审批提醒：审批流程图示：申请审核者可清晰看到具体流程的节点，并清楚目前待审核文件流转的进度；以了解之后和审核者进行线下沟通和督促；审批气泡提醒：在申请人提出申请后，按照流程设置的审核人将收到气泡提醒，用户按照气泡引导即可进行审核，审核后即可进入审批的下一节点，但审核完成后，原申请者即可得到审核结果的气泡提醒，如此种种，可确保第一时间得到审批讯息；审批邮件提醒：在申请人提出申请后，按照流程设置的审核人将收到邮件提醒，用户登陆系统进

21、行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者邮件提醒，如此种种，可确保第一时间得到审批讯息；审批短信提醒：在申请人提出申请后，按照流程设置的审核人将收到短信提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者短信提醒，如此种种，可确保第一时间得到审批讯息；1.7产品功能之审批流定制技术1、标准审批：对加密后的密文进行审批解密的标准流程，按照国家检测部门要求，审批需要通过两级审批进行：控制台进行形式审批、安全管理员进行实质审批。实现密文解密为明文需要经过的审批流程，该流程是系统初始化定义的流程，即标准流程

22、。2、（2）自定义审批：管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以支持并行。（3）自动审批流程选择：管理人员可以以关键字、文档信息正则表达式、文档类型、文档密级为准则设置不同的审批流，当申请人提交对应的密文进行审批的时候，系统即会自动或者强制采取对应的审批流程提交审批，以大大节省审批流程中的时间，或者对特殊的文件类型、对应的文档密级执行严格的审批流程。9、审批提醒：采取流程解密、手工解密等多种方式灵活组合运用，满足不同单位的业务需求。并且实现审批流选择、自定义审批流设置、管理层审批流设置、审批提醒

23、等功能。尤其是提供了多种方式的审批提醒：审批流程图示：申请审核者可清晰看到具体流程的节点，并清楚目前待审核文件流转的进度；以了解之后和审核者进行线下沟通和督促；审批气泡提醒：在申请人提出申请后，按照流程设置的审核人将收到气泡提醒，用户按照气泡引导即可进行审核，审核后即可进入审批的下一节点，但审核完成后，原申请者即可得到审核结果的气泡提醒，如此种种，可确保第一时间得到审批讯息；审批邮件提醒：在申请人提出申请后，按照流程设置的审核人将收到邮件提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者邮件提醒，如此种种，可确保第一时间得到审批讯息；审批短

24、信提醒：在申请人提出申请后，按照流程设置的审核人将收到短信提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者短信提醒，如此种种，可确保第一时间得到审批讯息；形式审批：对用户审批的时候是否查看浏览附件作为一个选项即在审批流程中，用户审批时候可以查看附件进行审批但如果不给该用户审批时候看文件的权限的时候，仅仅给形式审批权限，则该用户只能进行形式审批并在点击附件时候提示“仅具有形式审批权限”。闭环审批和开环审批：闭环审批模式流程是谁申请谁解密解密动作不假借他人之手在现实中对明文导出（仅限于明文导出一项解密流程）还可以提供一种开环式审批流程即申请解

25、密的人和下载下来解密的人不是一个用户而是最后审批者的那个角色即其他用户提请明文导出申请中间经过了若干用户审批进入到最后一个用户他审批同意，然后就可以将审批完成的文档下载下来自动解密从而就实现了开环式的审批考虑到其他审批模式均需要申请者本人在得到申请同意后进行有关操作因此并不适合开环式申请。1.8产品功能之外设管理技术移动数据存储设备权限管理：对移动硬盘、U盘等数据存储设备可以支持禁止使用、只读使用、读写使用几种模式；移动数据存储设备数据管理：对移动存储设备拷贝进入客户端电脑的数据、拷贝出客户端电脑的数据可以设置将拷贝的内容进行记录并上传到审计系统的服务器上，实现对拷贝数据行为和内容全面法规遵从

26、式审计。移动数据存储设备注册管理：可以将移动存储设备在加密系统中进行“注册”，注册后的外设按照设置的策略在企业内部内部绑定的机器上或者组内机器上使用，注册移动存储设备可以在企业以外地方使用。移动数据存储设备认证管理：可以将移动存储设备在加密系统中进行“认证”，认证后的外设按照设置的策略在企业内部内部绑定的机器上或者组内机器上使用，认证移动存储设备不能在企业以外地方使用。认证后设备里面数据以密文形式存在。其他外设管理（红外、蓝牙、1394、串口、并口、刻录等）：对这些外设进行管控策略设置。同时实现管理功能，包括了认证、注册、一般、标准、非标准等。1.9产品功能之安全网关&TPM防护技术有一种需求

27、场景：用户希望上传到服务器上的数据是明文的，但希望从服务器上下载下来的数据会被自动加密，而且包括了中间产生的临时文件。山丽防水墙系统在满足这种需求上有两种实现方案：策略设置的TPM防护方案，和硬件安全网关方案。1、TPM的实现：启用了山丽防水墙的客户端可以自由的访问应用系统服务器，实现在服务器上打开文件、下载文件均会被加密保护，即使是临时文件也一样会被加密防护。未启用防水墙的客户端的用户将无法访问应用系统服务器。这种严密的服务器安全防护，可以最大限度避免终端与服务器之间数据传输的泄密问题。TPM方式的实现，可以完全不需要更改网络结构，仅仅通过山丽防水墙控制台设置即可实现；2、TPM的实现场景：

28、特别适合对OA服务器、CRM服务器、VSS服务器、CVS服务器、SVN服务器、PDM服务器、PLM服务器等。由于企业可能存在着基于不同信息系统和部门的服务器，为了能在各个场景下都实现最好的安全服务，山丽的TPM实现了多场景的支持，免去了企业二次开发的烦恼。3、安全网关：通过在应用服务器前面部署安全网关，采用网络过滤技术，对通过该服务器的数据进行加密、解密等操作，实现对应用服务器数据的安全防范。具体功能如下：（1）通过调整网络结构，在用户需要保护的应用服务器前面，部署硬件网关，实现用户下载数据的时候，数据被安全网关加密，上传数据的时候，数据被安全网关解密；（2）没有安装加密系统客户端的电脑，虽然

29、可以通过网关浏览网页或者可以浏览文件目录，但数据下载到本地是密文，无法进行数据的阅读；（3）安装加密系统客户端的电脑，可以通过网关浏览网页或者可以浏览文件目录，数据下载到本地也是密文，但可以进行数据的阅读编辑等操作，在将数据上传到应用服务器的时候，又将通过网关被解密；（4）通过安全网关存储在应用服务器上的文件均是明文；（5）部署一台安全网关，可以在网关网络流量允许的情况下，对后台多台应用服务器进行安全防护；1.10产品功能之密文明送技术密文明送（文档外发控制）：当用户需要外发文件时，用户可以采用山丽防水墙密文明送技术实现给文档设置口令、打开次数、累计时间、打印权限、环境设置、复制、截屏等使用限

30、制功能。密文明送（文档外发控制）：目前国内外唯一一款可以精确限制时间的文件外发控制软件，即用户不管如何修改系统时间、不管将收到的密文明送文件复制为多少版本，一旦到截至时间，则所有的版本均将失效。密文明送（文档外发控制）：完全和格式无关的文件外发控制软件，即任何应用软件产生的数据、包括可执行程序均可被设置为密文明送文件。和其他只能支持特定格式文件外发控制的软件大有区别。山丽网安再次郑重承诺：任何应用程序产生的数据无法制作密文明送文件的，都将终生免费开发，绝不二次收费。密文明送（文档外发控制）：可以同时支持对多个文件、多层目录设置为一个总包的密文明送文件，尤其适合提供设计总装图的使用场景，使用时绝

31、不破坏总装图内部数据相互之间的调用关系。密文明送（文档外发控制）：密文明送文件因为是将“类”明文外发用户，虽有控制，但数据仍可为使用者阅读，因此一般制作密文明送文件需得到审核同意。对企业高管，可自行定制而无须进行审批。6、密文明送（文档外发控制）：当采用文件夹密文明送外发控制模块时候，就可以对特定文件夹里面的所有文件实现全面的外发控制，而无需一个一个设置和制作；1.11产品功能之打印管理技术作为对所有文档进行管理的打印控制管理模块，可以实现对密文的打印管理，也可以实现对明文的打印管理。用户打印放行：对特殊的用户，打印管理模块的执行效果如同不存在，既不控制也不审计，更不需要申请打印，用户打印行为

32、不受任何的限制；用户打印审计：对另外的用户，其打印行为受系统的审计管理，其打印的文档也会被作为审计记录存在于山丽防水墙系统中。此项功能可以全面的记录打印痕迹，让管理层可以轻松地查询被打印文档，同时安全管理也可以根据这些日志和痕迹分析安全隐患，从而预警一些潜在的安全威胁。用户打印审批：对需要更严格监管的岗位或者人员，打印任何文档均需要经过审核同意后才能选择对应的打印机进行打印；这种审核式的打印管理可以让用户在打印效率完全不受影响的同时，为打印工作提供打印前的安全保障和打印后的日志记录，为打印安全管理提供条件。山丽防水墙打印审批系统，可以支持用户在提交不同密级文档的打印申请的时候，自动启用预设的对

33、应密级的审批流程。用户打印水印：可以为指定的打印文档提供强制或特定呈现方式的水印安全服务。水印的强制添加让打印的文档标记企业属性，从而提高了文档的安全性和独有性；打印的时候可以增加打印时候的用户名（防水墙系统中的用户信息）、IP地址、MAC地址、打印时间、密级。1.12产品功能之屏幕水印&文档水印技术强制水印：通过控制台的设置，可以强制用户打印的密文出现特定的水印。这种强制水印的效果，大大提高了企业文档机密性，并且减少员工利用打印或者其他输出形式的漏洞来窃取公司的机密资料。同时，作用于文档上的强制水印，让文档即使落入他人之手，由于水印的存在也无法使用。并且让企业在牵涉到泄密问题司法诉讼过程中有

34、了铁一般的证据。用户特定水印：赋予特定用户指定水印为特定文件的权限；对于某些特权的用户，或者特殊的文件，山丽还提供了用户自决定水印加载服务。这种定向制定的水印安全服务，可以让企业用户更好区分文档安全等级，从而更好的区分防护等级，做到安全资源的有效防护。用户打印水印：可以为指定的打印文档提供强制或特定呈现方式的水印安全服务。水印的强制添加让打印的文档标记企业属性，从而提高了文档的安全性和独有性；打印的时候可以增加打印时候的用户名（防水墙系统中的用户信息）、IP地址、MAC地址、打印时间、密级。用户屏幕水印：屏幕水印，可以出现在屏幕的特定位置，从而防止通过照相造成数据泄密；管理员可定义；大小，位置

35、，管理员可定义，透明程度管理员可定义屏幕水印的显示应该不会对进行的工作产生明显的影响； 1.13产品功能之烧录管理技术烧录管理：对使用烧录软件进行烧录情况管理；自动化设备中的代码烧录行为对于信息安全把控尤为关键，对于烧录的监控可以有效的确保代码数据灵活而有把控和监管，并安全地烧录进某些特定自动化设备中，在频繁有数据解密烧录的同时大大提高了数据的安全性。离线烧录：将烧录软件管理策略定制在离线电子钥匙里面即可支持离线情况下的烧录管理；在一些现场维保代码烧录情况中，离线功能的支持可以确保代码烧录的有序执行，从而摆脱烧录环境的束缚，在确保代码烧录的效率同时，由于安全设置和策略仍然存在，烧录过程中的安全

36、同样可以得到保障。联机烧录：在联机的情况下，不用使用离线电子钥匙也可以满足如上的效果。在联机场合，山丽防水墙的烧录管理支持开发、测试、调试环境代码烧录的安全管理。在频繁有数据解密烧录的同时大大提高了数据的安全性。烧录功能二次免费开发保障：企业使用的烧录软件是不断变化，但代码烧录需求始终不变，山丽网安承诺：在用户使用的烧录软件发生变化时候不需要任何二次开发或者需要的二次开发才能实现烧录管理的，乙方承诺终生不收取任何费用（即不受合同时间的约束）。1.14产品功能之U盘防水墙技术使用场景：在实际工作使用中，有的用户需要临时将机密数据带回家加班，而家中的电脑又是不确认的，也就是说用户可能需要将加密数据

37、在不同的不确认电脑上使用。使用效果：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将自动执行，并对用户的加密数据执行对应的加密和管控策略。策略管理：山丽防水墙中U盘客户端可由购买产品的用户自行制作；并且可以完全和正常客户端一样执行完全一样的控制策略。1.15产品功能之上网行为管理技术1、上网记录管理：实现对用户所有上网行为的审计；这种全面的审计功能，可以大量的记录用户的上网行为，从而在企业内部范围大大提高用户在上网时的安全监控，为企业作出安全预警和发现安全隐患提供有力的支持。2、聊天记录管理：记录员工的聊天记录并进行管理；聊天记录往往是最容易被人忽视的安全隐

38、患，不仅是那些缺乏安全意识的员工，就是对于安全意识很有把控的员工也有可能在聊天中不小心泄露公司机密。所以实时而全面的记录是聊天安全防护的关键。邮件记录管理：记录员工的邮件收发记录并进行管理；邮件作为企业间最常用的交流手段，它的安全防护尤为关键，同时由于现在企业间的交流越来越频繁，黑客技术也越来越狡猾，邮件安全急待全面且有针对性的安全防护。而有效的记录和管理正是这针对性的最好体现。软件限制管理：限制特定软件的安装与使用；由于企业存在着大量的IT设备和系统，对于规模巨大的大型企业来说更是如此，所以面临的软件也是更为复杂和多样，所以对于一些业内不安全的软件进行有效的限制安全和管理，是提高企业数据安全

39、防护的基础。5、对于上网时间的控制：通过上网行为管理模块，实现对员工上网时间的控制。由于大型企业，不同员工的上班时间往往都不尽相同，而在非上班时间开放上网行为会大大提高企业的泄密风险，所以对于员工上网时间有效控制和区分能大大提高企业在上网安全行为管理上面的防护效果。1.16产品功能之自主分发安装技术自主分发：通过防水墙的功能分发安装包到各个客户端；这种自主分发的功能可以大大提高防水墙的实施效率，在防水墙客户端没有被部署之前，一般预先通过域控或者其他工具实现对防水墙客户端的部署。客户端升级：利用防水墙自主分发功能对远程客户端实现自主或者指定升级；这种远程服务功能的实现不仅提高了用户在安装防水墙产品时对可能出现的情况作出反应的速度，也为软件远程调试提供了有效的辅助支持，为更快速更有效的实现防水墙客户端用户远程服务提供了条件。1.17产品功能之服务器容灾管理技术实时备份：通过控制台预先对服务器数据中的类型进行时间实时设置，系统将会在主机有任何更改后即时