企业信息安全加密项目方案

1、工作因协同而美好 组织因协同而高效 商业因协同而文明 世界因协同而精彩企业信息安全加密项目方案4234文件随意查看：员工缺乏有效管理，公司重要文件被随意查看造成泄密。外发文件扩散：将重要文件外发给客户或合作企业，对防扩散造成泄密。商业间谍窃密：商业间谍通过各种手段窃取企业机密造成泄密。移动设备丢失：U盘、笔记本等移动办公设备丢失造成企业信息泄密。员工出差泄密：员工出差带走大量企业数据，无有效监督容易造成泄密。员工离职泄密：掌握企业重要信息的员工离职，带走企业数据造成泄密。5671时刻隐藏在日常生活中的泄密风险员工上网泄密：员工利用QQ、MSM、Email等网络传输工具随意将公司内部重要文件数据

2、外发。员工打印泄密：员工随意打印公司重要文件或未及时打印文件造成泄密。项目需求理解Page 3文档PDF图片表格内部员工泄密黑客窃密存储介质遗失Figure1 企业面临的TOP10安全威胁信息泄密成为组织面临的TOP10安全威胁之一在Fortune排名1000的公司中，每次电子文档泄密造成的损失平均为$50 Million最严重和亟待应对的：电子文档信息泄密风险向外分发信息1、信息保护用户加密文件文件权限信息交互12、安全验证 用户操作认证 证书和权限信息交互23、信息分发通过Internet, 邮件附件，ftp下载，其他存储设备34、信息访问接收用户认证获取证书和权限 授权离线操作，可缓存密

3、钥4身份验证失败无法下载权限信息禁止外部用户访问无访问身份及访问权限防水墙服务器防水墙客户端防水墙客户端外部用户防水墙数据防泄漏系统的工作流程防水墙 商业秘密保护根本解决方案基础：具有指纹限制的机密文件访问授权系统，专利号：ZL 2004 1 0017241.3透明加密解密子系统：透明、动态、实时，可全盘，可目录，可程序，可反程序介质准入管理子系统：控制、认证、内容审计（不仅仅是log）文档权限管理子系统：基于使用者身份、基于时间、基于内容，细颗粒度权限管理文档密级管理子系统：绝密、机密、秘密、核心商密、普通商密、解密商密.自定义密文图标管理子系统：可显示各种图标文档水印管理子系统：可自定义需

4、要的各种文字、logo用户登陆管理子系统：各种方式登陆-在线、离线、LDAP、域结合、智能卡用户解密管理子系统：自主解密、审批解密、批量解密、外设发送、邮件发送密文明送管理子系统：和文件格式无关。密码、时间、次数、打印、截屏多层审批流转子系统：基于脚色的多层审批流程，有气泡提醒，有自动审批设置全员操作日志子系统：日志的收集、管理、分析，各种格式的支持操作审计预警子系统：短信、mail、邮件预警U盘终端管理子系统：U盘客户端。可在任何电脑上操作密文，适合临时在家办公商业秘密保护的方法概述1、行政管理方法-规章制度、劳动合同、竞业限制；2、桌面管理方法；3、外设管理方法；4、数据加密方法；本质是保

5、护信息安全信息安全的基础是加密，是数据加密商密保护的方法：以规范为指导，以数据加密为基础，集合行政、人事、竞业限制的综合型保护方式。规范：等级保护、分级保护、大型企业商业秘密保护等电子文档透明加密单位内部透明使用合法出口密文外发明文外发合法离网脱机非法出口竞争对手窃密员工离职拷贝内部不当行为系统漏洞失密设备丢失非法脱机合法离网正常使用非法离网表现为乱码乱 码Page 8磁盘文件（密文）文件过滤驱动功能详解：一文一密钥、格式无关、透明加密和文件格式无关的加密，支持绿色软件加密高安全性保护企业商业信息动态加解密技术密钥本身也是密文，密钥是随机的客户端与服务器，及服务器间的通讯报文经过加密处理高效率

6、快速加密文档手动加密：只须单击加密按钮并设置权限，避免复杂的人工密钥管理自动加密：按照设置的策略，处理的文件自动被透明加密透明自动加解密，对使用者完全透明加解密过程透明，不改变文档使用习惯高安全性高效率透明+密文密文证书自动加解密，对用户透明应用程序（明文）读/写数据请求读/写数据请求读/写数据响应读/写数据响应电子文档分级授权授权授权授权授权授权授权授权授权授权授权A部门员工1只读授权B部门员工2只读/打印授权C部门员工3只读/打印/修改授权D部门员工4只读/打印/修改/再授权员工1只读员工2只读/打印员工3只读/打印/修改员工4只读/打印/修改/再授权机密机密机密授权信息已授权用户其它用户

7、机密作者机密文档服务器权限集中式管理 文档管理员授权授权文档权限机密授权文档操作控制及审计第三方内容接触者内容传播、使用者内容生产者内容接触者内容接触者透明加密细粒化分级授权外发文档管理信息加密模式信息加密模式管理控制模式管理控制模式数据生命周期管理确保内容可销毁数据操作跟踪数据使用流程保证安全审计应用控制模式应用控制模式剪贴板控制防止内容脱离安全范围打印、传真控制防止内容转换介质打印管理 外设管理文件外发控制文件交付第三方时可控制属性：密码绑定PC绑定U盘禁止截屏打开次数控制累计时间控制时间段控制禁止内容复制禁止篡改禁止打印。形态：文件或者文件夹P.S 对于长期合作的第三方,可使用U盘客户端

8、离线管理-离线登陆72小时本地登录机制；软证书离线登录机制；Usb-key离线登录机制VPN远程链接登录机制；分公司二级服务器链接登录机制；离线管理-U盘客户端：自定义审批流Page 17三种角色、操作审计、操作预警数据备份-删除备份、修改备份、手动备份删除管理：当用户有意或者无意对数据进行删除处理的时候，山丽防水墙系统可以对删除的数据进行安全防护，让被删除的数据可以被重新恢复。删除管理可以支持在企业内部联网时候的数据恢复，也可以支持用户将电脑带离环境后的数据恢复。键盘鼠标删除：对用户通过键盘、鼠标、直接彻底删除操作行为均可以进行管理并恢复。命令行删除：对用户通过命令行方式直接彻底删除操作行为

9、均可以进行管理并恢复。自主备份：用户可以选择对本地密文或者明文进行文件或者文件夹的备份，从而在本地文件失灭的时候，可以从山丽防水墙系统中再次获取得到。自动备份：管理人员也可以设置用户在本地需要监控备份的目录或者盘符，当本地文件发生变化的时候，文件就将按照版本管理的时间顺序自动备份，以让用户可以随时查询到被备份的文件。Page 19防水墙 用户管理账号、部门管理账号管理部门管理第三方账号同步用户漫游跨系统授权用户管理支持添加、删除、修改、查询和浏览账号信息支持查询、创建、修改和删除部门信息支持用户角色管理支持本地账号口令修改;强密码口令强度AD/ED部门和账号信息同步，和AD域结合支持动态和静态

10、两种模式系统管理员配置操作也将会被审计账号、部门管理角色管理Page 20防水墙 用户管理用户漫游 满足漫游用户文档安全保护需求，持续防止信息泄密A区WVSB区WVSInternet漫游用户加密文档上传权限信息1转发文档权限信息23保存文档权限信息A区B区防水墙 集团模式流程Page 21一级管理服务器分部1分部2分部N二级管理服务器二级管理服务器分部信息上报策略下达总部管理中心终端安全管理Page 22防水墙 系统高可靠、可扩展、高性能高可靠 - 数据库双机热备 - 服务器双机热备 - 证书加密存储 - 系统灾难恢复可扩展 - 满足企业其它应用系统文档加密和授权需求，为企业提供统一文档安全管

11、理平台高性能 - 支持最大用户并发数40000个防水墙系统应用系统N公文系统Lotus Notes统一文档安全管理平台Page 23防水墙 灵活部署集中部署集中部署WVS: 防水墙服务器 WVC: 防水墙客户端WVSWVC1Core networkWVC2WVC nPage 24防水墙 技术指标最大工作站节点数：62500最大域服务器节点数：250最大并发认证数：62500最大并发文件连接：20000加密位数：128位/256位加密算法：3DES-X/RSA/SM1支持网络类型：局域网/广域网/互联网文件访问支持协议：NetBIOS/HTTP/FTP支持平台：Microsoft Windows

12、 Server 2000/2003/2008/2012、Xp/vistra/windows7/8/10、Linux等32/64位 内核网络协议：TCP/IP加密算法： 3DES-X/RSA/SM1每秒加密字节数: 30Mb每秒解密字节数： 50Mb加密延迟： 200ms解密延迟： 100ms系统负荷： 3% 最长生存期： 不受约束最短生存期： 不受约束时间合成算法： 不可逆主要技术及性能指标：达到计算机信息系统安全保护等级划分准则 GB 17859-1999第四级：结构化保护级，第五级：访问验证保护级，执行的质量标准是：中华人民共和国国家标准 计算机信息系统安全保护等级划分准则 GB 1785

13、9-1999。 唯一支持任意类型应用系统零耦合的加密系统 支持包含OA、ERP、数据库、邮件系统等所有B/S、C/S类型的业务系统，对浏览器以及客户端程序没有任何要求唯一支持任意格式文件加密的系统 不仅对Office格式文件支持，所有文档、图档、音频、视频等格式文件均能做到在线编辑及下载/导出加密保护唯一实时不更改网络结构的业务数据加密 业务系统上的数据下载/导出到本地，落地即加密，不存在明文缓存状态，有效保障数据安全性唯一完全不更改用户使用习惯 用户数据操作以及数据自身流转100%保持习惯惯性，如文件的打开通过双击、右键、应用软件导出，拖入等方式均可唯一支持对称加密非对称加密的系统 数据安全

14、产品第一个也是当前唯一采用对称加密，非对称加密技术相结合的系统。优势之唯一优势之领先业内唯一基于多模加密模式的框架设计：可以同时提供全盘，目录，格式，空加密，外设加密，网络加密等各种方式，方便对不同人员管理；业内唯一实现了一文一密钥的商业产品：文件内容级别的加密，采用对称加密和非对称加密相结合技术，实现每个加密文件密钥均不一样；防止一个文件密钥被破解造成的全公司破解；国际范围内第一个提出环境指纹技术并获得国际专利授权防止IT管理人员将加密服务器上的服务器数据Copy走从而造成的公司整体数据泄密；业内最先实现三权分立设计的系统三权分立设计：用户，控制台，安全管理员分立设置，用户被管理，控制台仅仅

15、负责设置策略和维护系统，安全管理员负责审计前二者的日志；业内唯一全程文件密钥透明的系统密钥透明：不管是用户还是管理人员，均无法接触到密钥，更不会存在导出密钥这种操作；Page 27项目实施以及售后服务管理制度项目实施1、管理制度cmmi3+pmp在项目实施中遵循项目管理（PMP）和软件能力成熟度管理（企业通过CMMI3评估）相结合的管理制度。2、人员组成实施团队组建遵循以下的特点：、由山丽信息与合作伙伴共同合理组织架构的实施团队，实施团队的人员构成具有较强的合理性。是项目实施的基础。、项目经理具有多年的实施经验，能够帮助企业在实施加密项目的过程中优化业务流程，提升管理水平简化操作。、项目实施团

16、队在实施期间，具有吃苦耐劳的精神，为确保项目进度，能够加班加点。、项目实施人员的队伍相对稳定，软件公司对项目实施人员可能出现的人员流动现象具有预见性，如遇到这种情况，能快速反应，不会对项目的实施造成影响。、项目组成员沟通能力比较强，同时能从客户的角度出发，为用户提出更符合实际情况的建议和意见。Page 28项目实施以及售后服务管理制度对本次项目，中标后我们实施和售后服务的计划是：1、采用厂家驻场方式，确保项目实施到位和售后服务到位。2、目前山丽公司在北京、广州、重庆、天津、深圳、广州、厦门、杭州、南京、济南、青岛、大连、沈阳、西安等地利用本公司当地分支机构统一安排进行可以覆盖全国。3、在全行范

17、围内公布企业售后服务电话，提供7*24小时候服务，服务电话为：800 820 1863；400 920 9099；Page 29项目实施以及售后服务管理制度售后服务山丽网安关于培训和售后服务的完整性阐述：1、技术支持；技术支持指的是实施安装软件后解决软件bug的特定行为。本项目提供三年支持服务和软件新版本升级服务，免费服务期过后，提供有偿现场服务和有偿软件升级。2、软件升级；本项目的服务包含软件升级，软件升级包括：因为操作系统升级而产生必须要进行的升级；因为客户应用类软件升级、变更产生的必须要进行的升级；本软件因为技术功能发展产生的升级。本项目软件升级提供验收后三年免费升级。Page 30项目

18、实施以及售后服务管理制度3、二次开发；提供一年免费二次开发服务，二次开发内容限制为：目的在于完善原来产品的功能或者满对用户优化性的需求。但用户提出全新的功能二次开发则另行收费。有关应用软件升级、更换的问题 在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费用（即不受合同时间的约束）； 有关外发控制文件对应的应用软件升级、更换的问题 在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能实现外发控制的，山丽网安承诺终生不收取任何费用（即不受合同时间的约束）实施团队组成实施团队组建遵循以下的特点：合理组织架构的实施团队，实施团队的人员构成具有较强的合理性。是项目实施的基础。项目经理具有多年的实施经验，能够帮助企业在实施加密项目的过程中优化业务流程，提升管理水平简化操作。项目实施团队