中软材料原版

中软防水坝TM让数据更安全中软防水坝TM让数据更安全业内唯一微软源码查看权业内最高CMMI5级开发流程认证业内部署量最多，500万终端稳定运行中软防水坝™中软防水坝™数据加密防泄漏系统中软防水坝™中央企业商业秘密安全防护解决方案中软防水坝™涉密终端综合安全防护解决方案一个产品两套方案中软防水坝™是中国软件面向中小企业、涉密企业及大型央企的信息安全产品品牌名。中软防水坝核心理念—让数据更安全中软防水坝™介绍中软防水坝™数据加密防泄漏系统中软防水坝™涉密终端综合安全防护解决方案中软防水坝™中央企业商业秘密安全防护解决方案中软防水坝™客户担心企业核心信息资产的泄漏和非法窃取。如制造业、勘察设计、代码编写等行业客户担心涉密信息的泄漏，关注分级保护的测评和认证。如军工、政府、涉密研究所等单位担心企业商业秘密的泄漏，关注商业秘密和等级保护的测评和认证。如116家央企及其下属单位数据加密防泄漏系统目

录123中软防水坝™中软防水坝™涉密终端综合安全防护解决方案中软防水坝™央企商业秘密安全防护解决方案中软防水坝™数据加密防泄漏系统新一代防水墙防止信息泄漏保护核心资产企业面临的安全问题上午开会的决议文件，下午就出现在竞争对手的桌前员工离职，核心信息资产随之流失业主索要电子版文档，给还是不给设计人员通过网络查资料，也通过网络泄机密设计、生产、管理数据交叉存放，人人掌握企业机密企业数据安全状况堪忧1防护产品应用问题严重2不停的蓝屏死机，办公室怨声载道

打开保存慢慢慢，工期节点一拖再拖辛辛苦苦画的图，打开又是乱码，@#￥%……&*私有文档也加密，层层审批工作量大中软防水坝™，多维加固防泄漏同样的开始，不一样的结局中软防水坝™数据加密防泄漏系统系统概述本系统以驱动层透明加解密技术为基础，从文件的存储、传输、使用以及基础环境的安全四个方面，采用五项核心技术，通过六个模块构建文件全生命周期的安全防护体系，确保在各种复杂业务场景下企业核心信息资产不被主动泄漏、非法窃取。本系统从多个维度摆脱了传统加密产品部署复杂、过量加密、可靠性低下的弊端，使安全性，业务持续性，易用性达到统一，更安全、更稳定、更智能！中软防水坝™数据加密防泄漏系统实施效果通过部署中软防水坝™数据加密防泄漏系统，实现对文档的

透明加密保护、权限安全管理、安全外发与外带、传输途径管理等功能，确保在各种复杂业务场景下企业核心信息资产不被主动泄漏、非法窃取。中软防水坝™数据加密防泄漏系统技术优势虚拟文件系统技术在Windows源码基础上构建双层的文件系统，提升文件操作的稳定性、安全性，确保文件不会意外损坏、丢失微端口过滤技术基于微软稳定高效的Minifilter框架开发，最大程度避免系统蓝屏死机，大幅度提高加密效率敏感内容感知技术自动识别敏感内容，快速扫描企业海量数据，精确定义核心文件，自动标识密级并加以保护，大幅减少人工识别工作量应用智能识别技术智能识别从业务服务器下载的核心数据并加密保护，对非核心数据自动放开，解决过量加密问题安全虚拟沙箱技术利用虚拟化重定向加密技术，把在线浏览生成的临时文件定向到特定磁盘区域加以保护，防止数据二次扩散文档安全管理文档安全管理利用驱动层透明加解密技术对文档全生命周期防护，确保文档从创建到销毁的各个环节全过程安全，有效降低用户核心信息泄漏风险，保护用户核心资产投资，同时不影响用户使用习惯，让用户不知不觉地享受安全。适用场景秘密文件集中存储于业务服务器业务的开展严重依赖业务的数据流转安全隐患业务服务器上完全是明文存储，且信息量巨大一旦被窃取造成的损失不可估量功能效果当客户端从远端把数据拉到本地，保护本地打开文件的环境确保文件无法存储到本地也无法恶意破解获得明文业务数据保护管理业务数据保护管理利用驱动层透明加解密、智能业务识别、安全虚拟沙箱等技术，对业务系统中核心数据进行定向保护。业务系统数据受限下载或下载加密，访问过程全程跟踪、审计，同时保证本地私有数据不加密，防止过量加密，提高工作效率。适用场景不同部门或者人员对同一文件操作权限需要划分，保障文件均能打开但权限不同安全隐患所有人均能高权限打开文件，文件被篡改的可能性大大增加（如红头文件）功能效果在内部对文件操作权限做收缩，文件的使用时间、是否有修改权限、是否有打印权限、打印是否带水印以及文件能被打开并操作的范围。文档权限管理针对企业内部的电子文件进行细粒度的授权管理，在不影响用户正常工作流程的基础上，保证敏感信息在内部不同用户间交流使用过程中的安全性和可控性。经过授权的文件，受到系统严格的立体化安全防护，防止敏感内容被恶意窃取、篡改或破坏。文档权限管理安全隐患文件服务器上集中存储大量明文文件，如无防护客户端直接拿到明文，存在泄漏风险功能效果当文件通过安全网关时，文件自动加密之后存储到本地，保障本地不留明文当文件上传服务器时，文件自动解密保障服务正常对文件处理和数据流转数据安全网关数据安全网关通过对流经设备的数据文件进行智能分析，根据设定的策略自动进行访问控制和文件加/解密处理，并详细记录访问日志。该产品将终端加解密系统与现有OA、PDM、PLM、ERP等业务系统完美结合，有效地保障了业务系统的连续性和服务器数据的安全性。文档外发管理文档外发管理是针对客户重要信息或核心资料外发安全需求而设计的功能模块，当客户需要将涉密文档外发给合作伙伴时，通过文档外发管理授权生成外发文件可以限定使用者的阅读次数、使用时间、打印与否等细颗粒度权限，从而有效防止客户重要信息被非法扩散、恶意篡改、越权访问等。适用场景文档发给第三方用户文档提交给上游或下游合作伙伴安全隐患外发文件被恶意扩散导致核心机密流式核心文件被恶意篡改，丧失知识产权功能效果文件操作权限被收缩，只能在合法条件下有限制的打开和操作文件终端合规策略管理合规策略管理对用户行为及信息传输的途

径全面监控、审计。与文件加密功能结合，真正做到从文件创建到销毁的全过程安全，达到事前有预防、事中有监控、事后有审

计的安全目标。目

录数据加密防泄漏系统123中软防水坝™中软防水坝™涉密终端综合安全防护解决方案中软防水坝™央企商业秘密安全防护解决方案中软防水坝™中央企业商业秘密安全防护解决方案一个安全方案商保全面达标等保基础合规商业秘密建设背景与问题分析信息安全保障能力成为制约中央企业信息化发展的重要瓶颈，以信息化发展与信息安全相结合为原则，着力提高信息安全保障能力成为十二五期间中央企业信息安全工作的重点任务之一。2012年5月，随着《中央企业商业秘

密信息系统安全技术指引》正式发布，宣

布针对中央企业具有行政强制力的“央企

商密保护”制度正式开始推行。同时，

“等级保护”作为我国的一项基本安全制

度，对国家重要经济组成的中央企业也具

有强制性要求。根据国家有关主管部门要

求，中央企业需建设满足“央企商密保护”和“等级保护”的信息安全保障体系。中软防水坝™，一个方案两个合规同样的建设投入，不一样的安全收益中软防水坝™中央企业商业秘密安全防护解决方案中软防水坝™中央企业商业秘密安全防护解决方案以商密保护指引、等级保护标准为准绳，针对数据、网络、服务器、应用、终端、移动存储介质等核心安全诉求，打造商保、等保二合一的层次化立体化商业秘密安全解决方案。通过实施本方案，能够全面满足央企商业秘密保护测评要求，有效支撑等级保护合规，整体提升企业IT安全性和可用性，有效保护企业核心信息资产安全，提升企业IT管理效率，降低企业IT管理成本。中软防水坝™中央企业商业秘密安全防护解决方案实施效果以一个中心三重防护为架构，以分区分域为安全举措，依托中软系列安全产品，重点打造可信安全的计算环境，利用防火墙、VPN等常规安全产品，确保区域边界和通信网络安全，全面打造企业商密全生命周期的安全防护体系，形成业内第一款“商保达标，等保合规“的二合一解决方案中软防水坝™中央企业商业秘密安全防护解决方案特点优势一个方案两个达标商保、等保两个安全体系融合考虑，一次安全建设，商保达标、等保合规，避免重复投资、过度保护、减少工期、减少投入科学、合规、有效、可操作方案通过国资委及专家组评审，经过实际项目建设验证，可操作，满足商保等保安全要求数据安全为核心方案以企业商业秘密的安全为核心目标，实现重要信息的全生命周期保护，能够满足个性化场景、业务流程的特殊要求易部署、高稳定、低成本方案中使用安全产品均为业界领先且高度整合，一个终端安全代理，即可实现终端保护、文档

防泄密等众多安全功能；无客户端部署即可实

现准入控制广泛的适用性及可扩展性方案能够满足用户个性化业务特点与流程的需要，插件式功能扩展体系，快速满足新的安全需求中软防水坝™中央企业商业秘密安全防护产品组成中软防水坝™中央企业商业秘密安全防护解决方案数据交换审计出差模式带出审批禁止使用文件操作审计设定密级使用次数只读控制使用时间违规报警使用范围防病毒模式技术领先三项国家创新专利驱动级加密，防欺骗，防破解独有的磁盘结构格式和加密体系灵活高效支持全域、部门、个人、出差、跨服务器使用等多种场景，方便灵活支持管理员集中授权管理和终端用户分布式授权两种方式，管理高效支持2TB大容量移动硬盘产品特性安全可靠磁盘级全盘加密、采取数字信封技术加密存储数据时间、范围、次数、密码、身份等多重防护，违规使用后可锁定/自毁全方位日志审计，涵盖U盘全生命周期多工作场景支持出差模式支持无密码模式支持跨服务器模式支持可信移动存储介质管理系统从防、管、控三个维度，管

理移动存储介质购买、使用到销毁等全生命周期，通过

加密存储、身份认证、范围管理、访问限制、在线审批、防护策略、内容审计等多种安全防护手段，保证了移动存储介质“进不来、拿不走、读不懂、改不了、走不脱”，满足对移动存储介质的安全管理要求。产品特性一键式安全管理体验产品支持一键式快速部署，简化安装流程产品支持一键式安全策略合规，快速满足保密检查要求产品支持一键式安全报表合规，支持报表个性化订阅全面的安全监控全部实现保密新标准增强型产品的功能要求第一家通过新标准保密测评的主机监控与审计产品强大的级联管理多层级的级联部署，满足集团化集中管控的要求安全策略的级联应用，保障安全保密制度的落地违规警报的级联上传，实现安全威胁全局可见安全日志的级联审计，让整体安全状况一目了然统一终端安全管理系统从主机状态监控、用户行为监控、违规行为审计和异常行为分析等多个层面保障重要终端的安全，同时针对商保、等保对终端提出的安全要求进行了严格的合规性对照和开发，确保终端基础安全完全合规。无客户端，快捷准入真正无客户端的准入系统，能和现有的硬件、软件做到最大程度的兼容实施工作量小，最大程度的为组织节约资金、时间上的成本不依赖于操作系统平台的限制，可以支持Linux系统、PDA、手机等平台的认证身份认证安全检查授权访问入网请求合法用户合规用户隔离、修复你是谁不合法不合规拒绝接入企业网络资源正常访问审计员合规否能做什么网络接入控制系统采用第三代NAC（基于设备）技术，无客户端，不改变网络，快速部署，明确网络边界，可以控制网络中的所有设备、终端、用户以及访客，可以最大程度保护关键的网络资源和敏感数据，达到“违规不入网，入网必合规”的等保、商保要求。产品特性第三代准入技术，适应性强支持多种强制准入技术，包括EOU、Portal、Portal+、DHCP支持多种接入方式，包括虚拟网关、策略路由等技术，不用对网络做架构级的变动高可靠性，可信赖的准入电信级的系统架构，故障率低；支持双机热备技术，系统配置数据可备份具有周全的应急机制，即使设备宕机也能保证正常的业务流程精准的上网行为管理千万级的URL库，分类管理上网地址，可屏蔽高风险、与工作无关的网站应用级行为管控，对即时聊天、网络下载、在线游戏等应用行为精细管控精细的流量管理采用自主研发的流量整形引擎，实时监控网络流量，呈现网络使用情况采用底层数据挖掘、数据捕获、协议还原、内容过滤技术等技术控制带宽强大的行为审计对用户全方位行为进行细粒度审计，行为记录详实、完整可对海量日志进行整理分析，并根据不同的条件生成不同的柱形图、饼形图或走势图报告，直观呈现网络使用情况对海量日志提供统计排名及深度查询，可对统计数据深入查询到最详细的记录上网行为管理系统利用底层数据挖掘、数据报文捕获、协议解码还原、内容过滤等先进技术，优化带宽管理、保障核心业务、过滤不良信息、规避网络攻击、提升上网安全度、管控网络应用、提高员工工作效率。产品特性数据加密防泄漏系统目

录123中软防水坝™中软防水坝™涉密终端综合安全防护解决方案中软防水坝™央企商业秘密安全防护解决方案中软防水坝™涉密终端综合安全解决方案新一代防水墙单一终端代理全面安全防护涉密终端安全问题分析数据失窃无防护涉密文件无有效隔离涉密文件无密级标识服务器资源随意访问数据外带无有效控制终端安全不合规系统补丁更新不及时不安装杀毒软件外设接口无控制身份认证强度低系统核心配置文件无防护终端运维难度大核心资产核查困难软件资产难于部署用户任意安装软件用户随意更换硬盘等关键设备边界安全无控制

移动终端违规接入访问权限不受控制网络身份无法识别移动介质违规接入非法外联无控制用户行为不可控用户非法打印涉密文件用户非法刻录涉密文件用户非法访问涉密文件用户非法共享涉密文件用户非法访问核心服务器资源产品叠加问题多多安全产品之间兼容性差多安全产品之间资源争夺严重多安全产品之间无联动多安全产品部署成本巨大中软防水坝™，单一代理保安全同样的涉密合规，不一样的用户体验中软防水坝™涉密终端综合安全防护解决方案本方案以分级保护标准为准

绳，网络身份鉴别与准入控制为

基础，主机加固与介质管控为核

心，数据防护为补充，为涉密企

业建立完整的基于单一终端代理、单一管控中心的涉密终端安全管

理体系。通过部署本方案，可以有效支撑用户的分级保护测评；降低信息泄密、恶意代码传播、网络或业务中断、合规性、资产遗失，文档泄密等风险；提升终端、网络、应用等IT性能；降低资产管理和运维等IT成本。中软防水坝™涉密终端综合安全防护部属效果一个管控中心，实现一体化的终端安全合规管理；单一终端代理，提供六款安全合规产品，全面覆盖分级保护终端管控技术规范；分级式部署管控，适应集团化大规模应用场景；集网络身份鉴别、准入控制、终端加固、数据防护、安全审计于一体的业内最完善的涉密终端综合安全防护解决方案。中软防水坝™涉密终端综合安全防护优势特点易管理，易维护，显著降低企业运维成本支持分阶段部署，根据实际情况灵活掌控部署进度提供客户端下载页面推送，实现客户端快速部署提供一键式策略合规、一键式报表合规展示，实现全面合规一体化的终端安全管理，全面分级保护技术覆盖一个代理，部署快捷，高效稳定一个中心，维护方便，省时省力

安全联动，1+1>2的最佳安全实践产品覆盖分保对涉密终端管控的各种要求可视化的全局安全管控实时的安全预警，做到安全威胁早知尽在掌控可成长的安全防护体验遵循PDR安全防护模型，构筑螺旋式上升的

道；量化的安全风险，全网安全状况动态安全防护插件式功能扩展体系，快速满足新的安全需求中软防水坝™涉密终端综合安全防护解决方案中软防水坝™涉密终端综合安全防护产品组成强大的级联管理任意层级的级联部署，满足集团化集中管控的要求安全策略的级联应用，

保障安全保密制度的落地违规警报的级联上传，实现安全威胁全局可见安全日志的级联审计，让整体安全状况一目了然全面的安全监控全部实现保密新标准增强型产品的功能要求第一家通过新标准保密测评的主机监控与审计产品遵循国家保密局BMB15-2011主机监控与审计最新标准，全部实现了保密新标准规定的12条基本型功能要求和3条增强型功能要求，系统从主机状态监控、用户行为监控、违规行为审计和异常行为分析等多个层面来保障涉密终端的安全合规，适合政府机关、军队、军工、科研、金融、企事业单位的办公网、业务网终端主机的保密管理。产品特性一键式安全管理体验产品支持一键式快速部署，简化安装流程产品支持一键式安全策略合规，快速满足保密检查要求产品支持一键式安全报表合规，支持报表个性化订阅产品特性丰富的平台支持支持从Windows2000、XP、2003、VISTA、Windows7和Windows8操作系统硬件级的身份鉴别采用硬件级USB

KEY+口令的双因子认证方式支持登录权限控制拔KEY智能保护，自动锁屏、自动注销等便捷的文件保险箱用户操作零影响可保护任意类型的文件全面的登录日志审计全面记录计算机从开机、登录、锁定、注销到关机的整个操作流程实现身份认证KEY从授权、使用到回收的闭环跟踪支持用户登录权限的审计遵循国家保密局《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》标准，采用USBKEY和PIN码双因子结合的身份认证方式实现安全登录与帐户管理，利用文件过滤驱动、虚拟磁盘等核心技术实现对计算机涉密文件的保护。产品特性第三代准入技术，适应性强支持多种强制准入技术，包括EOU、Portal、Portal+、DHCP支持多种接入方式，包括虚拟网关、策略路由等技术，不用对网络做架构级的变动高可靠性，可信赖的准入电信级的系统架构，故障率低；支持双机热备技术，系统配置数据可备份具有周全的应急机制，即使设备宕机也能保证正常的业务流程无客户端，快捷准入真正无客户端的准入系统，能和现有的硬件、软件做到最大程度的兼容实施工作量小，最大程度的为组织节约资金、时间上的成本不依赖于操作系统平台的限制，可以支持Linux系统、PDA、手机等平台的认证身份认证入网请求合法用户合规用户隔离、修复你是谁不合法不合规拒绝接入企业网络资源正常访问审计员合规否安全检查 授权访问能做什么遵循国家保密局《涉及国家秘密的信息系统网络访问控制产品技术要求》标准，采用第三代NAC（Appliance-Based

NAC）技术，无客户端，不改变网络，快速部署，建立明确网络边界，可以控制网络中的所有设备、终端、用户以及访客，可以最大程度保护关键的网络资源和敏感数据，达到“违规不入网，入网必合规”的管理要求，实现身份认证、健康检查、安全修复、访问控制一体化安全防护。产品特性符合国家标准和要求产品设计、研制、生产和检测均严格遵守国家保密局相关标准和技术要求，

并首批通过国家保密主管部门测评。驱动级设备接口控制，不可旁路采用驱动级设备过滤技术，有效控制光驱读写、USB、1394、Modem、串口、并口、红外、蓝牙、无线网卡等多种外设接口。用户A普通U盘设备控制普通U盘禁用光驱刻录禁用无线网卡ModemIDSLADSL...涉密专用U盘用户B移动介质管理

终端安全管理违规外联控制违规外联阻断外部网络物理硬件技术，更安全可靠多功能导入装置采用自主研发的光单向传输技术，实现物理级的数据单向导入，更安全。灵活多样的U