企业信息安全加密系统项目需求分析

1、企业信息安全加密系统项目需求分析服务器管理与部署：操作系统：Windows Server2003/2008/或以上；支持32/64位操作系统。客户端标准平台：XP、win7、Win8、Win10；支持32/64位; Linux 32/64系统。数据库：MS SQL Server 2005/2008/2012程序架构：C/S架构(Client/Server)，B/S管理（Browser/Server）杀毒软件：支持360杀毒、360安全卫士、瑞星杀毒、金山毒霸、趋势杀毒、赛门铁克SEP、卡巴斯基语言：服务器端、客户端提供中文、英文语言包。系统加解密应用模式：按照系统配置策略，在用户操作过程中，系

2、统终端启动时会将从服务器获取对应的安全策略和密钥，安全策略保护范围之内的文件被存储时，客户端将自动对其进行加密（而不论其打开时是明文还是密文），被合法进程读取时，客户端将自动对其解密，因而用户使用过程中无感知，不改变用户的原有的使用习惯和模式。如果加密文件通过 MSN、QQ、电子邮件、移动存储设备等方式传输到企业授权范围以外（企业外部或企业内没有安装加解密终端的电脑），那么将无法正常打开使用，显示乱码，并且文件始终保持加密状态。文档加密模式：系统针对用户电子文档的加密模式：强制加密模式：通过策略设置，对受控格式文件（即通过策略配置的文件类型文档），会在写入的时候自动进行加密。主动加密模式：对于

3、外部流转的加密文件可以正常解密使用，并且保证使用过程中不能以复制、另存、打印等方式泄密；同时个人电脑上的非加密电子文档不会被强制加密，但是提供使用者手动选择非加密文件进行加密，加密文件边框要求高亮显示，用以区别非加密文件。全盘扫描加密支持对指定文件类型，进行文件全盘扫描加密。移动存储介质落地加密支持任意格式文档存储到移动存储设备时自动加密指定共享目录落地加密支持任意格式文档存储到网络指定共享目录自动加密终端指定目录落地加密支持任意格式文档存储到电脑指定目录自动加密最低加密只要受控文件中有字符即可保存加密，无论字符数多少。文件解密模式文件审批解密支持解密审批流程管控范围，即定义此审批流程的用户范

4、围，范围内用户如需解密文件，只能够走此审批流程，如将此文件拿到其他解密审批流程中，则无法解密；在解密审批流程管控范围内，可以继续设置审批流程可审批文件密级；例如：研发部机密文件审批流程；研发部绝密文件审批流程。解密审批流程可以设置根据用户需要，设置无限级的多级审批；并且：每层审批可以设置“与”“或”“选”三种方式。为防止提交人终端留取明文，以及提交人提交解密理由与实际用途不符，还有提交人与审批人串通获取明文，文件解密审批流程最终审批结果，可以设置提交审批人接收；流程模板指定；审批人指定；提交人指定，来进行监管。右键特权解密可以通过右键，对指定文件或文件夹或磁盘解密，并且要求必须支持如下版本穿透

5、压缩包解密，（压缩包范围：RAR、ZIP、7Z,RAR5.0）穿透解密。全盘扫描解密根据安全策略对全盘文档进行扫描解密，策略支持文件类型、必须支持如下压缩包版本（RAR、ZIP、7Z,RAR5.0）穿透加密移动存储设备落地解密支持指定格式文档存储到移动存储设备自动解密。指定共享目录落地解密支持指定格式文档存储到网络指定共享目录自动解密。终端指定目录落地解密支持指定格式文档存储到电脑指定目录自动解密邮件（白名单）解密可以设置哪种密级类型文件发送到对方地址上自动解密。支持邮件客户端：OUTLOOK（支持SMTP、Exchange协议）、Foxmail（支持SMTP协议）加解密文档类型：主要针对办公

6、类文档类型，包含但不限于：微软office word、excel、powerpoint以及WPS相关和PDF文档。b）针对压缩包，可进行压缩包内部的文件的加解密。支持穿透压缩包加密，要求必须支持RAR、ZIP、7Z,RAR5.0版本。加密终端类型： 根据业务需要可设定多种加密方式加密终端必须含有两种形态:安装在个人电脑上，通过用户名和密码验证登陆使用；安装在移动U盘上，通过U盘客户端进行使用。加密U盘客户端：要求加密产品提供加密U盘，可以实现加密U盘通过认证才能使用，对于写入U盘的数据强制进行加密。加密U盘可以实现U盘客户端的功能，即对于外来人员，配发加密U盘，可以有效的使用加密数据，并保证数

7、据的安全性。除了提供正常的数据防泄漏功能，U盘客户端还需要实现：防“丢失”：通过身份认证，捡到U盘也无法使用；防“盗版”：通过硬件绑定，即使复制U盘程序，也无法正常运行；防“抵赖”：通过离线时间控制，加密U盘可以配置使用有效期，过期后，不能使用加密文档。使用专用安全优盘，将U盘客户端程序写到引导分区，实现防删除，防破坏，提高U盘的可用性。用户认证方式：提供多种用户认证方式，满足不同应用需求：用户名和密码登录绑定电脑自动登录USBKEY绑定登录域结合登录文件密级管理： 公司内部文件可通过不同密级来划分，对应密级的人可查看当前密级和比当前密级低的文件；部门之间可以通过阅读权限控制来限制不同部门之间

8、加密文件的流通；根据用户岗位级别，可以自定义（公开、普通、秘密、机密、绝密）等密级但不限上述密级。可以根据岗位级别，设置用户可以操作的文件密级及密级权限。例如：总经理定义为绝密、副总经理为机密、研发经理为秘密、研发工程师为普通。文件加密总经理副总经理研发经理研发工程师绝密机密秘密普通机密权限总经理副总经理研发经理研发工程师打开打印加/解密密级调整用户右键点击文件属性，可以查看到文件密级和文件权限。用户可根据自己的岗位权限，向下兼容密级；同时，高密级用户操作低密级用户文件，密级未经审批或自定义调整的前提下，密级保持原密级不动。手机客户端：支持IOS和安卓两种手机的客户端，在手机上可以直接阅读加密

9、文档，并且相关的审批流程也可以在手机上进行审批。外发管控：可以设置终端用户自主外发权限，即不经审批，便可以拥有的外发权限；例如：设置用户A，未经审批外发最大权限为1天，3次。接收外发文件使用方，无需安装外发插件或特定浏览器。外发审批管理支持外发审批流程管控范围，即定义此审批流程的用户范围，范围内用户如需外发文件，只能够走此外发审批流程，如将此文件拿到其他解密审批流程中，则无法解密；在外发审批流程管控范围内，可以继续设置外发审批流程可制作外发文件密级；例如：研发部机密文件外发审批流程；研发部绝密文件外发审批流程。外发审批流程可以设置根据用户需要，设置无限级的多级审批；并且：每层审批可以设置“与”

10、“或”“选”三种方式。为防止提交人提交外发申请理由与实际用途不符，还有提交人与审批人串通获取外发受控文件，可以设置提交审批人接收；流程模板指定；审批人指定；提交人指定，来进行监管。特权外发：赋予某用户可以不经审批，自主制作外发文件。外发安全管控设置密码检验：设置打开外发文件时是否使用的密码。硬件绑定：设置外发文件制作时做硬件绑定，文件打开时需要绑定硬件做校验。打开次数：设置外发文件充许打开次数，在设定的次数内可以打开，用完次数后外发文件无法打开。 打开天数：设置外发文件允许打开天数，在设定的时间内可以打开，超时后外发文件将无法打开。打印控制：设置外发文件是否可打印。等级限制：控制员工充许外发指

11、定的文件等级。编辑控制：设置外发文件是否可修改编辑。邮件白名单功能：支持装有客户端的电脑，发送给指定邮箱的文档自动进行解密，支持outlook和foxmail两种邮件客户端，不改变原有邮件首发习惯。实用、灵活的审批流程流程审批即时消息提醒，提高了流程审批效率；审批人员审批时需要输入合法口令，提高审批安全性；审批可以在线查看或者下载文件内容；支持Web审批方式，提高流程审批便捷性；支持移动终端（如：iPad、iPhone、手机）流程审批；支持审批人在线、离线、全部状态时自动审批；可查询所有发起审批、待审批、已审批等信息。水印控制针对所有文件类型，即*.*格式，均可以设置窗口浮水印，即水印始终在窗

12、口范围内显示。水印内容可以设置计算机名、时间、公司名称、用户名称。水印内容可以设置字体、颜色，并且可以进行预览。水印的显示方式可以设置为平铺或斜式。终端的离线管理：为满足员工出差或回家办公，系统支持对终端离线管理，对于电脑终端，可以设置离线时长，时长范围内，可以正常使用，超过离线时长，不可以使用加密文件，但系统具有离线补时申请审批功能。截屏管控：能够控制住目前所有截屏工具(360浏览器、QQ截屏、红蜻蜓等等)。截屏管控不能影响到远程协助，必须要求窗口管控，非窗口部分正常截屏。文件打印管控：打印权限：控制用户是否可以打印文件的权限。打印水印：控制打印是否显示水印信息，水印信息支持自定义。打印快照

13、上传：控制客户端在加密文件打印时是否上传快照日志，提高审计的可溯性。打印机黑白名单：根据打印机型号设置打印机是能否正常打印涉密文档。打印内容记录：打印受控文件时，系统可以将所打印文件以高密度压缩（如：压缩高清图片）的形式备份在服务器端，以便于后期查询审计。支持分布式部署模式： 鉴于公司多地分布的特点，未来可能需要在当地设立加密服务器。因此，要求系统支持“分布式”部署方式，采用一个引擎服务器管理多个数据采集服务器的方式，理论上可以实现无数终端用户数统一平台化管理。审计管理：可以呈现完整的安全审计管理内容。各种类型的应用日志，可以对系统操作、打印、加解密、外发、客户端故障、客户端卸载等业务操作进行

14、记录，为业务管理和日后审计提供支撑。系统性能和兼容性：对于加密和解密较高的单独文档（如：1G），要求系统应用达到无感知。安装加密客户端的电脑，不出现卡顿、慢、延迟、死机等问题支持Liunx环境下文件加密：除了支持windows全系列系统外，为了保障未来应用，要求还支持Liunx环境下的信息安全防护。系统分级安全管理：基于“三员分立”原则，系统要求体现出不同环境条件下的多层级分级管理，保障系统应用安全。流程管控流程类型解密审批流程提供解密对流程审批要求的支持，实现文档解密过程的风险控制。外发审批流程提供外发对流程审批要求的支持，实现文档外发过程的风险控制。离网审批流程提供加密客户端（终端设备）出

15、差离网对流程审批要求的支持，实现设备外出的风险可控。邮件审批流程提供对邮件方式发起流程申请、审批的支持。文件等级审批流程提供加密文件等级调整对流程审批要求的支持，以提高等级调整的风险控制。串码补时审批流程提供出差离网终端PC超出申请时限时，实现以串码补时审批流程方式的支持，方便追加补时时间。权限申请审批流程提供对DRM权限文档的在线申请发起以及流程审批的支持。流程定义流程步骤自定义提供流程步骤设置自定义，以应对各种与加密系统相关的审批应用要求。文件接收人自定义灵活应对企业对文件接收人的管理要求。审批工作模式自定义针对多人审批，提供“与”、“或”、“选择”多种审批方式。 注：“与”为添加的所有用

16、户全部通过审批流程才为该审批通过，“或”为添加的某个用户通过审批流程即为步审批通过，“选择”为添加的用户由申请人选择某个用户进行审批即该流程通过审批。流程使用者自定义提供每个流程使用者范围的设置，避免流程误用。流程监控在办查询提供对当前正在进行中（未结束）的流程查询。已办查询提供对已经结束的流程情况的查询。流程监控提供对流程审批超时状态的监控与查询。异常流程提供对流程的异常状态监控与查询。系统管理审批角色管理提供用户角色组设置，便于指定流程的作用范围。分级权限管理提供按功能模块、按组织架构的部门实现分级授权。监控管理监控统计提供对部署加密客户端的计算机终端进行监控与统计，监控授权使用情况以及客户端运行状态。客户端准入提供客户端是否启用客户准入功能；如果不允许准入，客户端将不能运行所有受控程序。应用系统保护准入控制链路加