机械院非全文件项目背景

防软件检 邮件加管 文件控 外件权限设 外件管 超时处理（仅支持员工 逐级选择员（仅支持角色 跨部门选择员（仅支持角色 业务数据加 业务数据控 业务数据控 技术支持及方 实时技术支 44 化工公 。据多家银行员工向其他人客户个人信息导致银行客户之。加密是针对一些特定部门的特 进行保护通过这类产品可以将对应的基于类型进行保护的产品，通过它可以对这些办公文件进行权限的设定，只有那些有权限的人员才可以打开这些过的文件，并且进行修改。限管理、加密等防泄密功能，根据涉密程度的不同（如部门和普通部门，部署力，用户在日常办公的过程中着来自内部、外部的数据风险，其中有窃取、泄密，但绝大多数是来自内部员工无意的泄密行为。，1235、支持 进行加密、6、支持进行本地磁盘文件扫描加密7910、可对用户通过邮件行为发送敏感文件到特定邮箱时、收取附件加密1112、需提供批量、加密工具，防止在终端时进行文件恢复13、支持对文件、人员、终端进行级别设定，防止造成高密低流，并提供文件14、支持将文件制作成针对不同人员、不同权限的文件，使不同用户使用同一15、支持对组织（部门）进行文件16、支持对批量文件进行17、支持将文件制作成特殊（外发）格式，使文件对外使用时及保障安全性又18、支持对批量文件 进行外件的制作19、需提供管理供员工进行文件、权限设置、外件制作20、需提供制作外件的工具工离线情况下制作外件的制作21、需支持基于用户或用户角色的流程并可进行流程文件实体的审计22、需提供灵活的流程供日常办公的各种场景进行配置23、支持对应用系统进行文件加密、上传的设置24、支持对主流移动设（iOSAndroid及平板进行文件安全阅读功能，整个网络环境中实现集中的安全能力系统设计充分考虑原则不破坏现据不被截获或修改。围的扩展能力。从容量以及架构的扩展能力，适应中国南航超大型企业的规模，并中国南航终端安全及文档安全管理项目刚刚起步业务系统将会发生内容和种环境和系统扩展要求。不仅具有适应中国南航各个行业业务特点特殊要求的能力，并且也适应各个地区下级单位各自本地业务特点对管理系统所特殊要求。央企商业保护是国资委根据企业信息化特点及业务实际针对企业领域的建设要求因此央企商业保护具有明确的针对性和保护重点保护企业商业不被窃取破坏是保护的重点所以在设计数据文件管控应先对需要保护的信息资产对象进行分析明确信息资产的商业密级及有重点有针对性的进行安全防护在实现对商业进行有效保护的同时还可产组成和网络架构比较固定只需按照常规的方式部署和安全措施即可实现随着业务流转，必然会经历创建、、使用、共享、外发、归档、销毁等若干环节，文件管控平台在对商业信息进行安全保护时必须根据数据在不同流转环节应满足“控制是保护的内容应在整个信息网络内构建统一的控制机制有安全统一制定和下发安全策略通过安全策略对关键的行为进行控制当整个信息网络中的行为都是经过认证和都符合安全策略的约束时，就能够保证整系的安全可控。，终端不安全问题的根源也是导致信息的主要终端安全是信息系会从终端出去、木马等也无法终端，内部用户更是无法从网内信息系统安全，防范内部用户的问题迎刃而解。，针对近年来频发的公司被窃取的案例发生对于公司内部资源的需要而防范内部被窃取。对于带有属性的文件进行保护及控制这一类文件在不受控的情况下，从而去报企业内部的安全提高企业内部计算机的整体安全基准线，将受到的降至最低对于不可信的进行和控制不允许企业内员工不可信列表中的站络、边界、内部”不同的网络位置。在进行建设时，应根据网络位置的不同、防护体系在保证满足本单位要求的前提下尽量降低的建信息系统所能够达到的安全强度遵循“木桶原理，即整系所能够达到的安全实名、核实：桌面计算机客户端实名，单位、部门、、 IP、MAC等，管理员可以核实修正信息，并可强制重新。按自定义字段查询客户端：服务器端提供实名、IP地址、MAC地址、防软件、安装软件数量、硬件配置等字段的组合查询能力，并与实名信息关联显示。审计查询：提供客户端日志行为的查询，并与实名信息关联显示防软件安装率统计按管理区域和全局自动生成当前的防软件安装率统计装防软件计算机与实名数据库关联定位未安装防软件的客户端与实名数据库关联定位，并显示未安装防软件计算机的用户信息。按照商业数据所处的位置和形式进行分类划分对不同位置和形式的数据实行避免安全的发生或降低安全发生的概率事中应做到减少安全造成的影响，事后审计应做到在安全发生后可追溯。 对以非结构化数据形式的数据，如保存于文件服务器上的文档，应采取技术保护措施，无法将数据导出对于因故障需要到外部机构维修的介质应通过数据擦除工具／设备擦除对其中的信息进行加密。应对包含商业数据的文档的打印进行控制并对打印行为进行控制和应对商业数据文档的外为和在内部终端间的流转进行审计审计记录须上加密数据文件拷贝到普通移动设备（不可信设备。无透明加时的操作无差别数据时，合法用户毋须事先对数据进行，而是由系统根据策略自动判断当前进程是否是进程若进程已则自动对数据进行。图4-1驱动层透明加对企业内部涉及加密信息的应用程序进行签名管理保证合法进程拥有加密文件的权限当用户或系统通过修改进程名来应用加密文件时应用的访问，防止用户或系统使用加密文件，进而避免加密文件明文泄漏的可能性。图4-2、在企业内部加密文件一旦生成通过加密直接完成对文件修改及打印权限的控制确保文件从创建开始即收回文件修改及打印权限确保加密文件或业务部门的文件不会被个人或系统篡改打印。从而确保加密文件在传输、使用中、图4-3、在企业内部有相当数量的非可编辑类文件需要加密保（如音频PDF等OpenWrite、图4-5 12通过客户端对指定控制等不影响用户的正常工作。对扫描工作有日志审计做到加密文件保护图4-6免私人及非文件的过量加密适度的使用加密系统避免过量加密带来的效率降低及操作，给管理员减少不必要的工作量，提高工作效率图4-7图4-8屏软件控制，确保录屏软件无法使用或者显示为黑屏、用；当加密文件最大化或展开时截屏。图4-9单配置即发往指定邮箱或指定邮箱的邮件附件自动避免员工重复提交申为防止内部员工通过此途径内部加密文（通过发邮件然后再把邮件发回来的方式，系统还支持对指定邮箱或邮箱的邮件附件自动加密。图4-10邮件附件设图4-11当客户端离线，在指定周期内（固定时间：45不能修改，另存、打印）当用户需要延长加密文件使用时间通 或 文件修改离线时长及策略图4-12自控制：通过策略控制允许某些用户（如高级）在本地自普通加密文件，生成非加密文件。过程会产生日志记录，以便审计。控制：通过配置多级流程，用户可提交加密文件请求，审批通过后文件在本地自动。过程会有日志记录，以便审计。图4-13通过本系统用户可以主动制作主动文件可以设置文件的使用时间使用范围、是否允许再、是否记录使用日志等各种细粒度的使用权限。在企业内部不同部门之间存在密级差异有的可以加密有的仅可普通图4-15当用户设置文件权限时可配置该文件是否需要使用并可设置是否对该图4-16申请制作权限文图4-17利用部门可快速轻量级的实现A部门生成的文件B部门无法打开满足不同部图4-18部门管成用户，即可透明两个及以上部门或组织的文件。图4-19图4-20文件场被的文件夹以共享的方式向外提供服务文件夹的权限设置细粒度如文件密图4-21文件服务器批量设印水印、是否允许重新、是否记录日志等。式，QQ、邮件、移动介质均可。图4-22权限文件管，系统自动对于主动文件的使用过程作者可设置记录使用日志以便于以，文档外发管理实现对所有类型的电子文档外发前的严格流程对外发的文件及权限进行制度化、规范化的，从上控制信息的扩散；对带出的外件进行加密以及防泄密控制杜绝篡改或窃取数据的问题对文件外发后的使USBKey份认证，使得外件的使用过程得到全程的控制和管理，从而防止他人使用、修改、扩散；通过多方位的日志记录对外件的带出及使用进行审计和追踪。外件权限设部使用依然受控防止加密文件被篡改及扩散有效保护企业内部加密文件安全及自主知识。图4-23外件权限设外件管，建立Web平台流程根据企业内部组织结构或工作业务流程自定义不用密级的文件执行不同层级的流程。且可根据实际情况自定义者可以是一个或多个。，者可以查看文件内容及权限设定等内容且员的操作自动记录到服务器传统外 仅能支持小规模文件当企业内部需要对大文 时中软文档，发管理对外件大小过程及外发之后的操作不受文件本身大小限制打，通过外件自带浏览器可以完成企业内部对多文件夹多文件的当授权文件多于一个且互相之间有依赖关系外发后依然保持这种依赖关系确保文件图4-25通过流程管理，可对文件、权限文件（包括制作、变更、制作外发文件、邮件、离线策略进行流程设置。类型可分为员工与角色员工中每一节点为固定的人员而角色的节点是对应的“角色，角色可包含多个人员，在时更为灵活。员工员工适用于流程简单且人员相对固定的场景流程中的每一环节为固定的员工每个环节都可以设置多名员并可图4-28流程（员工角色角色适用于流程复杂或员工调岗相对频繁的场景角色须应以员工的角色每个节点不是固定的员而是符合特定角色图4-29流程（角色超时处理（仅支持员工超时处理可自动通过或可配置立即执行或达到时间阈值后处理时间范图4-30选项（超时处理上图所示策略为：2天后 即视 单级结束赋予员更大的权利以下图流程为例当部门认为单可以不必经过更时可以直接以部门的意见为最终意（若部门该请求时即便不使用单级结束，该单也会被。图4-31流程（角色图4-32选项（单级结束逐级选择员（仅支持角色，启用逐级选择员后当下一环节有多个员时员交办下一环节时必须选择下一个员。，图4-33选项（逐级选择员跨部门选择员（仅支持角色，默认情况下员必须与申请者所属同一部门，启用跨部门选择员后，角色 ，图4-34选项（跨部门委托为应对员外出等场景可对无法的时间段进行权限委托可设定委托时间段与委托人员，在当前时间到截止日期的时间段，单会自动由被委托人图4-35委托、通过应用系统文件加密智能识别，当用户从OA、ERP、PDM等业务服务器加密文件时系统自动对数据文件进行加密保护当用户从本地上传加密文档到 、财务等业务服务器时，系统会自动判断上传的哪台服务器，当用户向OA、服务器发送文件时，如OA、服务器可以处理密文文件，加密系统将上传密文至服务器；上传到服务器，实现基于应用系统的文件上传智能加。统一配置可实现客户端传输同一份文件至不同服务器时自动判断是否需要智能图4-36业务数据加当用户从业务系统上文件可根据不同来源的服务器和文件类型判断是否要落身，但是将数据到安全域中，对数据进行控制。这样，通过选择合适的防护方法，不涉及信息的文档，在使用时不会被加密，也不会被保护，用户可以随意使用、流转这些不涉密的文档本系统在对企业资产实施保护的过程中不会中断业务系统涉及信息的数据的使用。统一配置可实现客户端传输同一份文件至不同服务器时自动判断是否需要智能软防水坝业务数据防泄漏模块策略配置使受控客户端在业务系统时自动上建立起业务系统和客户端之间的安全通道摆脱了传统模式要在业务系统和图4-42的涉密信息将自动加密保证终端用户在本地的是密文加密过自动完成，图4-43根据安全规则对涉密数据进行实时当终端用户将本地涉密信息提交到业务系数据安全防护重点面向非结构化数据主要分为编辑操作和文件的导出。当工程技术人员利用OA等系统协同工作时，文件无须到本地，直接操作通过虚拟沙箱技术把文件重新定向到安全逻辑区域用户在此区域通过的进

图4-44编辑保当用户从业务系统和导出文件时策略允许的可以完成动（指定类型允许，指定类型，到系统指定安全区域，文件明文，文件、件本地的安全性，上传到业务系统时又客户端完成。图4-45文件导出保当终端用户业务系统数据时，接受以下三种方式的控制：1、限制其只能数据，将数据到本地；2、限制其只能将数据保存到安全箱；3、允许到本地任意设备（加密或不加密。图4-46业务数据安全系统的保护如文件无法到本地或文件到本地加密时系统都会对用户以右下图4-47户通过拍照等行为窃取数据时屏幕水印也会同时被摄取这样被窃取的数据在传图4-48图4-49图4-50窃取该企业文件第二道认证作用是将该企业的人员与普通人员区分开只人员可该企业加密文件，避免加密文件在企业内部公开化的现象文件需要在加密模式下进行，编辑普通文件时在普通模式下进行，两种模式互不，印加密文件行为被，只能通过实现文件打印。加密文件必须走打印所有加密文件打印均带有中国南航等动态水印字 ，机械院的接听，并转本项目管理小组负责技术支持。提供7×24免费支持，解答长春机械院用户在系统使用中遇到的问题，及时提出解决问题的建议和操作方法中软公司所提供的软硬件系统发生故障后长春机械院应该立即通知中软公司，2448，期内，在平常系统的正常运行中定期或不定期地安排例行巡检，对用，支持、E-mail客户服务中心E- 于不能通过沟通协调解决的问题将根据具体情况协调相关部门的技术人员共同研进行相关系统检查、系统升级、故障、分析及故障排除工作。8.1中国范围为、广西、云南、和海南五省区，全网用户约为30万终端。保护单位内和带离单位使用的工作文档全南网终端采用手动加密模式采用点对点方式全管理系统可以与企业CA集成，也实现使用KEY登录，完成合份认证。前沿文档安全管理软件完美的与企业CA集成整合，将CA中的用户全部同步到前沿文另外在的OA系统中存在大量的带有密级需要保护的文档，这样就要求前沿文档加密的文件是明文，使用没有任何限制。如果带有密级信息，那么系统会先做加理，将当前要的文件加密成此文件定义的密级后，在供用户。用户后使用此文件时前沿文档加密软件会时向人提交。文件借阅，离线的需求。当公司需要与客户进行文档交流时，通过离线绑定工具，将需要外发给客户的文档绑定到客户方的接收电脑上或者U盘上。这样客户只能在这台电脑上（U盘上）使用这个文档，并且中国公司总部成功实施前沿文档安全管理软件后，很好的保护了经过的用户可以以原有的方式使用这些文档，并且在使用过程中限制可能引起泄密的各去，由于不能从中心服务器到策略和密钥而无法使用，从而不会引起泄密。这一软件主动与泄密，帮助企业建立管理体系。8.2化工公化工公司（英文缩SinopecGroup）19987月国家在原化工总公司基础上重组成立的特大型石油企业，是国家独资设立的国有公司、国家化公司资本1820亿元总部设在。公司业务范围包括：实业、、中国公司在《》2011年全球500强企业中第5化工公司文档安全项目通过多方文档安全产品全方面比较，选用了前沿科技解决中国各业务系统及终端中非结构化数据性、完整性、可控性的安全管理业务需求。同化工总部机关用户为3000余人，有160余个下属企业。员工总数超过130余万人。文档安全系统服务器部署在总部，其作用一方面为各业务系统提供安全防护国办公自动化（OA）系统、中国制度管理系统、中国管理系统、中国重点业务公开系统、中国油气资源管理系统。这些业务系统基本覆盖了中国总部及下属各企事3文档安全系统为下属企业提供了DSM-Branch版分支服务器，下属企业可独立配置本地安全策略来防护企业内部终端的文档数据及业务系统非结构化数据，DSM-Branch版具备自动加密、手动加密、扫描加密等多种技术提供文档安全防护，经过加密的数据 境以外后将无法打开。同时用户通过集中的认证和本地的来使用本地的加密文档；文档安全管理系统中，进行用户认证并获得相应权限，减少用户使用步骤，增加应用性。同时文档安全系统与AD进行集成，集成后客户端采用单点登陆方式，自动获取域用户信息，并自动登陆到前沿文档安全管理系统中，进行用户认证并获得相应权限，减少用户使用步骤，增加易用性。在组织结构管理方面，在域中完成统一管理，定时同步，这样在管理上大大减少设定涉密类型（包括（Word、Excel、PPT、PDF、Sep、Gw、Autocad、等类型业务有对应的文件标识及对应（阅读、编辑、打印、拷贝、时间控制等，密文文件行向部门相关人申请，经过审核成功的文件则可自动带离。整个管理体系的审计信息将自动记载并上传至中国审计系统中综合审计。采用了前沿文档安全管理软件后，化工出现涉密数据外泄得到了有效控制，生命周期控制的功能。员工对外公司内重要数据的现象也不再出现，化工的涉密信息得以有效安全保护与此同时前沿科技为下属企业提供了更灵活的加密技术和方式，中国审计系统的集成实现了审计信息统一汇总综合分析的业务需要使得审计信息从事前、事中、事后得到了全方位的日志记录。因此，该系统充分满足了化工的实际数据安全海信拥有国家级的企业技术中心，建有国家一流的博士后科研工作站，是高新技术企业、技术创新。科