文件加密管理系统

文档加密管理系统解决方案目录第一章 前言 51. 电子文档平安概述 52. 常见解决方法解析 62.1. 外网平安系统 62.2. 主动型文件或文件夹加密系统 62.3. 网络监控与审计系统 72.4. 文件权限集中管理系统 82.5. 实时透明文件加解密系统 93. 电子文档保密应有的效果 10第二章 文档平安管理系统的设计思想 111. 目标 112. 系统逻辑拓扑图 12第三章 文档平安管理系统的组成和功能效果 131. 客户端 132. 控制台 143. 解密端 164. 效劳端 17第四章 文档平安管理系统的策略制定与使用 191. 文件加密策略组 192. 控制策略组 213. 剪贴板控制策略 214. 部门互访控制策略 225. 通讯策略组 22第五章 文档平安管理系统的特点 241. 灵活的四重架构模式 242. 密钥效劳器快速移植功能 243. 密钥轮询功能 244. 双密钥设计 255. 部门分级 256. 远程卸载〔程序或者策略〕 267. 离线授权 268. 历史文件批量加、解密功能 279. 加密文档分级查看权限 2710. 客户端自动修复 2811. 客户端程序自动更新 2912. 自动解密申请 2913. 离线策略 3014. 解密端分级认证 3115. 外发文件控制 3216. 易用的邮件策略 3217. 策略灵活 3418. 集成方便 3519. 通讯可靠 3620. 单机版网络版灵活转换 3721. 智能识别技术 3722. 详尽日志分析 38前言电子文档平安概述一般来讲，大型企业在信息化过程中面临的平安问题包括网络系统平安和电子文档数据平安两方面。针对网络系统平安方面，企业需要防止网络系统遭到没有授权的存取、破坏以及非法入侵。在电子文档数据平安方面，通常的理解又包括两个不同的问题：数据存储介质的可靠性问题和数据内容的本身的保密性问题。数据存储介质的可靠性，主要就是指数据存储介质一旦发生机械、电磁、物理等方面的冲击事件之后，数据是否依然保持完整，或者计算机用户是否可以从有效地备份中恢复完整的数据，当然这些取决于硬件设备的性能和使用环境，发生的概率相对较少。电子文档本身的保密性问题主要有来自三个个方面的威胁，即外网威胁、内网未经授权的二次拷贝和内部人员的越权访问威胁。外网威胁主要就是上面所说的网络系统平安问题；内网未经授权的二次拷贝就是指由企业内部人员通过usb闪存驱动器、wifi调整解调器、智能、蓝牙适配器、数码音乐播放器、红外线传输、电子邮件、FTP等各种方式将企业中的数据未经授权二次扩散和传播出去；内部人员的越权访问威胁主要是指公司内部人员通过某种途径去访问不属于自己权限内应该知晓的公司机密信息，造成公司内部的一些机密信息在公司内部泄密。内部人员的越权访问在企业内网平安中属于另外一个范畴，不在本文讨论范围之内，本文主要讨论的是如何防止公司内部人员未经授权将公司机密信息二次拷贝出去的问题。此目前主要解决内网未经授权的二次拷贝的问题，而内部人员的越权访问问题将在此中得到很好的解决。根据国内外从事信息平安的专业人士的调查数据可知：媒体炒得炽热的外部入侵事件，充其量占到所有平安事件的20%-30%，而70%-80%的平安事件来自于内部。从不同渠道来的统计数据略有差异，但就目前我们中国国内的情况来说，内部人员犯罪〔或于内部人员有关的犯罪〕一般占到了计算机犯罪总量的70%以上。目前随着内部人员威胁的加剧，内部人员犯罪已经表达出了"危害大、难抵御、难发现"的特点，主要原因如下：内部人员最容易接触敏感信息，并且他们的行动非常具有针对性，危害的往往是机构最核心的数据、资源等。一般说来，各机构的信息平安保护措施都“防外不防内”，比方很多公司赖以保障其平安的防火墙对内部人员攻击毫无作用，形同虚设。内部人员对一个机构的运作、结构、文化等情况非常熟悉，导致他们行动时不易被觉察，事后难以被发现。常见解决方法解析在企业大局部信息数据都是以电子文档形式存在的今天，如何才能既保证这些信息数据的全面共享，又能提高工作效率，保证其平安，防止泄密呢？针对这种需求，目前市场上出现了一些解决方案，归纳起来，大致有如下五类。外网平安系统在计算机平安产品中，杀毒软件、防火墙、入侵检测等系统是最早出现的，最近出现的反木马软件也属此类。这类系统的一个共同目标是：防止来自互联网上窃密者〔即“黑客”〕通过网络，在数据所有者和数据使用者不知情的情况下，将数据内容偷盗出去。很显然，这些系统都是基于外部平安模型的。尽管它们在数据平安体系中也扮演了重要的角色，但是并没有将最核心、最棘手的问题解决好。就像前面提到的那样，外部入侵只占到企业整个平安事件的20%-30%左右。优缺点分析：可以有效的防止外部黑客入侵带来的电子文档泄密分险，但无法阻止内部人员的泄密。当有新的病毒、攻击手段、漏洞等出现时，企业必须及时升级，软硬件的升级费用，常常也是一笔不小的开支。主动型文件或文件夹加密系统这是目前最常见的一种电子文档数据保密方法。计算机使用者意识到数据的重要性和私密性，主动在保存文件时设置密码〔如在Office、Autocad等软件保存时可以设置该文件的翻开密码〕，或者在文件保存完毕之后，用第三方软件予以加密〔常见的如Winrar压缩加密、文件夹加密大师等〕。优缺点分析：这样的方法仅仅可以解决内部人员因过失而将电子文件传播到不可信任的范围的问题，但是还是防不住内部人员主动泄密，理由如下：电子文档数据使用者要使用这些加密后的文件的话，必须要知道密码。一方面，因工作需要而使用该文件的人可能会越来越多，这些人便会都知道密码。而对文件使用者来说，一旦得到了密码，这些文件对他来说就无秘密可言了。另外一方面窃贼可以在买通企业内部人员时，将密码连同文件一起“买”到手。电子文档数据的创立者〔即文件作者〕在对文件进行加密处理之前，完全可以给自己留一份明文拷贝。甚至在有些系统中，文件的任何一个读者都可以去掉密码再行保存，从而也可以得到一份明文拷贝。网络监控与审计系统这是解决企业内网电子文档数据平安的另一种思路，认为只要将电脑上所有能流出数据的端口渠道控制好或封堵住，就能彻底解决电子文档数据的平安问题。在这样的思想下，网络监控与审计系统便孕育而生。这样的系统，最近两年在市场上出现了很多品牌。它们虽然在局部上互有优劣，但是其原理是一致的，根本上都是以内网监控、邮件监控和封堵各种外设端口〔USB、1394、COM口、火线、蓝牙等等〕。这类系统的工作方式如下：在各个涉密计算机上安装客户端程序，企业中计算机管理人员通过管理端控制台能监控到安装了客户端的每一台涉密计算机用户进行的各种操作，并可根据这些操作制定不同的策略。如果这些操作是事先被允许的，那么操作可以进行下去；否那么通过策略的设定客户端程序会予以阻止并报警。所有的操作尝试，无论是否被允许，都会被客户端记录下来形成日志，以备日后追查。这种系统的核心便是“监视”、“控制”、“审计”，而其根本思想在于“堵漏洞”。优缺点分析：这种系统在一定程度上可以标准计算机用户的网络行为，降低了内部人员对企业网络发起攻击〔无意的误操作或有意的恶操作〕的风险，也可以降低内部人员通过USB等各种外设端口或电子邮件等网络手段将涉密文件传播出去的可能性。同时该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，能帮助企业查到泄密者和具体泄密的内容。缺点是：当今的计算机技术开展非常迅猛，并且各大软硬件厂商都强调信息，所以所谓“漏洞”几乎是层出不穷且日新月异，新的通讯协议和技术在不断的冒出，要想完全地将所有漏洞全部堵死，从现在的眼光来看已经实属不易；从开展的眼光来看，更将防不胜防。所以这种系统具有一个非常明显的缺点，它将用户带到了一个两难的境地：用户要么为了必要的、正常的工作交流而留一些“口子”，从而大大降低系统的可靠性；要么就堵死所有的“漏洞”，以牺牲方便性为代价来换取严格的平安性。更为严重的是该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，但是无法保证泄密事件发生后不造成损失。尤其是当泄密人员觉得他泄密本公司的电子文档后带来的收益比公司开除他带来的收益更大时，该系统变得毫无用处。文件权限集中管理系统目前用户在市场上见到的文件权限集中管理系统其实都是属于一种文件格式转换系统。该系统管理的直接是电子文档数据的本身，可在一定程度上从源头上保证了电子文档的平安。这种系统的原理是：文件创立者〔即所谓的作者〕在创立文件A的同时，通过加密操作〔其实就是格式转换操作，或者说封装成另外一种格式〕将文件A加密成另外一种格式的文件B〔开发商自定义的一种文件格式〕，当然此时在电脑上还能保存原文件A。在加密操作时，作者可以指定哪些人〔即所谓的读者〕可以分别以哪些权限〔能否看、能否打印、能否编辑、能否复制等〕翻开B文件，以及能够翻开几次或者有效期，此时文件B的权限被统一保存在用户自己的权限效劳器上。为了保密的需要，作者一般都是将文件B发放出去，因为得到这些文件的读者如果要翻开文件，那么需要连线到权限效劳器上验证他的权限，这样可以在一定程度上保证电子文档B的平安。优缺点分析：文件权限集中管理系统在文件的权限控制上做的是比拟完善的，特别是丰富的离线控制策略，在泄密事件发生后评估其造成损失的大小和范围有一定的积极意义。同时该系统保护的直接是电子文档数据的本身，一定程度上从源头上阻止了泄密现象的发生。不同的读者对于文件的权限是受控制的，作者可以随时更改，比拟灵活。但是这种系统的漏洞是显而易见的，其缺点如下：无法真正防止内部人员的主动泄密，在生成加密文件B时，明文文件A已经在电脑硬盘上产生，依然有被泄密的风险。该系统的出现也仅仅是防住了读者，防不住作者。要知道，文件作者也是有可能泄密的，作者完全可以将电脑硬盘上存在的明文文件A带出公司。由于文件B是被转换或者说封装成了开发商自定义的一种格式，故每个读者需安装特定的浏览器才能阅读这个文件。很多时候，本企业中的图纸需要发给外协或者客户，为了要对这些外发的文件也有一个权限控制功能，还得给你的外协或者客户也购置这种特定的浏览器，无形中又增加了一份投资。由于权限效劳器既需要向内网用户提供验证效劳，也要向外网用户提供验证效劳，所以它自身的平安需要严密保护。为此，用户需要更多地投资于该效劳器及其周边平安子系统〔例如防火墙、入侵检测、身份认证〕。由于需要一个数据库来记录每一个人针对每一个文件的权限，所以这种系统通常都需要一个庞大的数据库作后台支持。这不仅增加了用户的软件投资，也增加了系统的维护难度。所有的用户必须要能够和权限效劳器通讯，否那么无论是谁都无法使用涉密文件。这给这种系统带来了很大的局限性。通常来说，这种系统可以保护的文件类型有限。这种系统虽然可以保护常见类型的文件〔例如Word的doc文件、AutoCAD的dwg文件〕，但是不是所有的文件都能够保护。实时透明文件加解密系统实时透明文件加解密系统在国内最早产生于2004年底，是应客户要求开发的。由于其独特的加密方式，对电脑使用任务根本上无任何影响的操作方式，很快获得了广阔用户的认同。这种系统的工作原理是：在特定的涉密电脑上安装实时透明加解密系统后，只要该电脑硬盘上生成的文件符合用户涉密文件的特征，系统一概自动地、不受人工干预地予以强制加密，并且可以保证涉密文件在安装该系统的电脑硬盘上一律以密文的形式存在。而这种加密文件〔简称密文〕在企业内部涉密计算机上无需输入密码即可双击直接翻开，而在本企业涉密计算机以外的的计算机上却无法正常翻开。优缺点分析：这种系统的出现，解决了计算机数据保密平安领域的一个重要而实际的问题：防范内贼。这种系统的优点非常鲜明：具有非常可靠的严密性。一旦数据从内存到达硬盘成为有可能被复制的文件，系统就自动地、不受人工干预地予以强制加密。这一特性导致用户计算机硬盘上的文件〔当然是指定类型的文件〕都始终以密文形式存在，没有给任何人〔包括“自己人”留下所谓的“时机”〕。具有很高的方便性。密文在被应用软件调用的时候，系统可以自动地、无需人工干预地进行解密〔并非解密到硬盘，而是解密到内存，而内存中的数据是足够平安的〕。由于这一特性，用户在保存、翻开、编辑这些涉密文件的时候，无需任何多余的操作，也无需记忆密码〔或称“口令”〕。具有足够的可靠性。这种系统由于客户端程序采取的是特殊的软件技术，使得普通用户无法进行卸载或删除，同时加解密所需的密匙也不保存在任何硬盘之上。这些特性使得系统的平安可靠性大大提升。具有广泛地适用性。由于这种系统采用了底层的Windows技术，所以至少从原理上说可以保护任何类型的文件。缺点：当采用全文加密技术时，在大文件的翻开或保存时会有一定的延迟现象。虽然客户能自定义决大多数软件，但是对于一些大的系统〔PDM、ERP等〕还需要开发商做一定的集成工作，对开发商有一定的依赖性。电子文档保密应有的效果平安和自由永远是一对矛盾，如何尽可能的协调两者的关系，是一款优秀的电子文档保密系统应具备的。电子文档平安的终极目标就是在严格保证企业数据平安的前提下，不影响企业内员工原本的日常操作习惯，不增加他们任何额外的操作。企业内部正常的数据交流是必须的，优秀的电子文档保密系统不应该阻断这种正常的交流或者给这些交流造成任何麻烦。当企业中有图纸需要通过邮件或者其它方式二次拷贝流出本企业时，必须要有一个特定的审批流程，并予以记录备案，方便管理员在需要的时候进行核查。企业内部人员如果未经授权私自将企业内部的涉密文档带出企业的话，将无法翻开带出的任何资料。也就是说就算泄密现象发生，也不会给企业造成任何损失。文档平安管理系统的设计思想目标文档平安管理系统总的目标是：确保电脑硬盘上的每一份涉密资料均为密文状态，从源头上解决一切通过其它方式泄密的可能。同时为企业中各用户搭建一个互相之间可以自由流通，无缝集成的数据交流平台。在这个前提下，保证不对用户产生任何额外的操作，不对他们原本的日常操作行为有什么影响。具体地可以细化为以下几条：特定的文件〔并非所有的文件〕在生成〔或保存〕之时，就应该被加密，且加密要由计算机自动地进行，不能依靠人工执行；文件的加密和解密，不能依赖人工设定的密码或口令；被加密的文件在涉密计算机翻开之时，就应该被解密〔解密到内存以便读取〕，且解密要由计算机自动地进行，无需人工干预，文件的使用者也无需知道“密码”；在未授权情况下，被加密的文件无法被非涉密计算机翻开，就算电脑主机或硬盘被偷出公司，得到者也无法翻开电脑主机或者硬盘上的资料；如果企业需要外发图纸，必须要有特定的审批流程，经过审批允许外发后，有专人解密，将密文状态的图纸转换成明文状态的图纸后带出，并有详细的日志方便日后追查。系统逻辑拓扑图图2.3.1文档平安管理系统逻辑拓扑图文档平安管理系统的组成和功能效果文档平安管理系统分为客户端、控制台、解密端和密钥效劳端四局部。其系统架构图如下列图所示：图四局部各个局部的详细功能说明如下客户端客户端程序安装于每一台涉密计算机上，并以后台方式运行。由于采用了特殊的技术，客户端程序并无任何操作界面，用户也无法停止其进程。其功能包括：当用户保存一个特定的文件时，自动地在内存中对数据进行加密处理，并在存储介质〔例如磁盘〕上直接写密文；当用户翻开一个特定的文件时，将数据读入内存之后自动地对数据进行解密处理，但不对存储介质上的密文文件作解密；当剪贴板中的内容来自一个涉密文件时，阻止用户将这些内容粘贴〔或拖拽〕到一个不会被自动加密的文件中去；接收控制台下发的策略，包括不同部门和密钥信息。接收控制台下发的密级设置命令，确定客户端电脑以哪种密级〔或VIP客户端的方式〕进行加密；接收控制台下发的命令确定是否需要执行“批量加密”或者“批量解密”功能；接收控制台下发的策略确定是否控制用户的打印功能和截屏功能〔包括键盘上的PrtScsysRq键〕；截获本地客户端电脑以SMTP协议〔在TCP的25端口〕发送的电子邮件中的收、发件人的E-Mail地址；根据收、发件人的E-mail地址的匹配规那么对外发电子邮件中所含的加密状态的附件进行自动解密；导入控制台设定的离线策略信息后，自动启用离线授权，按设定的时间段继续为客户端电脑提供透明加解密效劳；接收控制台下发过来的策略卸载命令，自动去除客户端程序的文件加密策略和密钥信息；接收控制台下发的卸载客户端命令检查涉密计算机与效劳器的连接状态，并依据策略来判断是否继续为用户提供上述效劳。接收效劳器下发的自动更新及修复命令并执行；向指定解密端发送“在线解密”申请；接收解密端返回的允许〔或拒绝〕解密指令，对本地电脑硬盘上的文件进行自动解密〔或不解密〕动作；将“在线解密”申请日志及解密过的文件自动上传至效劳器电脑中；HYPERLINK控制台控制台程序安装于企业内计算机部门的管理员电脑上，具体对客户端实现不同策略的下发功能，控制台拥有一个企业中的最高权限。双击桌面上控制台的快捷方式，控制台开始运行并自动搜索效劳器。管理员在通过身份认证之后，就可以进入控制台程序〔如图3.2-1所示〕。图3.2-1在控制台界面中，左侧为目录结构树，具体显示企业内按工作要求划分的各个不同的部门及该部门所属的不同计算机用户信息。右侧根据控制台上不同的菜单显示不同菜单中的设置界面。控制台具有如下功能：整个公司设定一个密钥或者建立不同的部门并分配不同的密钥〔密钥管理员可自定义〕；备份各部门的密钥信息；编辑策略库，用户可以自行集成原本不支持的软件；编辑文件加密策略、控制策略、通讯策略和离线使用策略；设定每个部门或者每个具体的客户端的文件加密策略、控制策略和通讯策略；设定客户端电脑剪贴板控制策略和部门互访策略；设定某个部门或某台具体的客户端电脑以“内部级、秘密级、机密级、绝密级或者是VIP客户端”的方式进行加解密操作的命令；对特定的部门或者特定的客户端下发对历史文件的“批量加密”或者“批量解密”动作的执行命令；对部门级或者企业级的解密端进行认证并进行解密密级设定，经过认证的解密端可以解密本部门或者企业内任意一个部门的不同密级的图纸；设定外发邮件黑白名单的匹配规那么；密钥效劳器数据库备份设置；控制台登陆日志、所有解密端日志、申请解密日志的搜集与审计；下发卸载、修复客户端程序命令；生成客户端安装程序〔exe可执行程序或者脚本文件〕；设定具有“自动审批”〔自动解密〕功能的客户端电脑；解密端解密端程序安装于部门负责人或者公司负责人计算机上，具体负责对企业中一些通过正常途径或手续需要外发出企业的图纸进行解密操作。对于那些开启了“允许在线解密审核”的解密端，那么通过消息模式解密相关被加密的电子文档。解密端只有经过效劳端的认证后，管理员才能凭正确的用户名和密码登陆解密端。登陆解密端后界面显示如下列图3.3-1所示：图3.3-1在这个界面中，左侧为目录结构树，右侧为当前目录中的文件，并以“加密”或“普通”状态来说明该文件是否为密文；以“内部级、秘密级、机密级、绝密级”来表示文件不同的密级状态。通过上方的工具栏，解密端用户〔即管理员〕可以实现：对一个目录下所有的文件进行手动批量加密；对一个目录下的所有文件进行手动批量解密；对选定的一个或多个文件进行手动加密；对选定的一个或多个文件进行手动解密。按指定IP地址对客户端电脑的涉密文件进行加解密；对指定的文件进行密级的降级或者升级处理；生成解密端日志信息；审批客户端提交过来的“在线申请解密”请求；转换需要外发的涉密文件，并为其设置翻开的时效性和次数；生成外发文件查看客户端程序及该客户端安装时的授权号；解密端在完成这些操作的同时，会将这些操作记录下来上传给效劳端的日志管理程序，以备日后审计。效劳端效劳端程序安装于公司内特定的效劳器上，仅控制台管理员才能有权限读取效劳器上的数据。效劳端程序随效劳器系统启动时启动，正常启动后，在电脑屏幕右下角有效劳器图标“”，右键该效劳器图标，跳出如图3.4-1所示的效劳器界面框图3.4-1效劳器除了认证控制台程序外，根本上只是起一个中转数据、存储策略信息和日志的功能。效劳端的功能包括：读取授权文件信息；保存不同部门的分级信息和密钥信息；负责与各客户端的通讯和密钥发放，并检测客户端在线情况；保存和下发各客户端的策略信息；认证控制台；认证解密端；接收解密端上传的手动加解密文件的日志信息；显示本效劳器电脑的硬件号；记录“在线申请解密”日志；设定“在线申请解密”文件的备份目录；文档平安管理系统的策略制定与使用文档平安管理系统可以对大到每个部门，小到每一台涉密计算机实现不同的管理。这些管理都是靠分发下去的策略来做到的。这里的“策略”，就是由系统管理员针对每一个部门或每个客户端进行的设置，这些设置用来解决如下问题：客户端电脑中哪些应用软件所产生的文件需要自动加/解密；是否要控制客户端电脑的打印和截屏功能；是否需要控制客户端电脑的剪贴板程序；是否需要控制客户端电脑所在的不同部门间的文件互访策略；设定客户端电脑和密钥效劳器的通讯方式和时间；这些问题我们可以分成四种“策略组”，分别是“文件加密策略组”、“剪贴板控制策略”、“部门互访控制策略”和“通讯策略组”。一套完整的策略，是由这四种策略组所构成的。文件加密策略组由于对不同类型的客户，一般其要求保护的电子文档数据类型是不一样的。例如对于一个工程设计单位来说，需要被保密的是各种CAD图纸；而对于一个广告公司来说，需要被保密的可能就是用Photoshop、CorelDRAW、3dMax等图形设计软件制作的效果图。就算在同一个公司内，不同部门需要保密的数据也有可能是不同的，如设计部门需要保密各种cad软件生成的图纸，而管理部需要保密的却常常是一些office文档。文档平安管理系统的“文件加密策略组”就是可以允许管理员为不同的部门甚至不同的客户端设置需要保密什么样类型的电子数据。管理员在控制台做下发策略设置时，只需要简单的在需要支持的软件名称前面的方框内进行钩选就行了。如下列图4.1-1，图4.1-2所示：图4.1-1图4.1-2该策略表示是客户端电脑对“Autocad软件及其二次开发插件、开目cad、CAXA二维电子图板、Solidworks、UG、CATIA”等设计软件产生的任何后缀的电子文件会被自动加密。同理，这些被指定的软件在翻开任何加密状态的文件时，这些文件都会被自动解密〔前提是该应用软件能识别这种后缀〕。注：同一个公司在对不同的部门或客户端设置不同的加密策略时一定要慎重，因为不同的“文件加密策略”可能会造成某些客户端电脑上无法翻开某一类型的文件。列如有A、B两个部门，A部门需要加密Office文档和Autocad图纸；B部门仅需要加密Office文档，那么会导致A部门的Autocad图纸在B部门会无法翻开。控制策略组“控制策略组”相对来说操作很简单，它规定了客户端程序的一些控制策略，管理员只需要简单的在各项控制策略前面的圆圈上选中就行了。如下列图4.2-1所示，下面的控制策略为：可以打印文件，打印文件袋水印，可以截屏〔即不控制截屏软件〕。图4.2-1剪贴板控制策略在控制台中，管理员可以自行设定安装客户端电脑的剪贴板控制情况。如图4.3-1中所示，在“剪贴板控制”一栏下面，当钩选“控制客户端剪贴板”时，表示该安装客户端软件的电脑中，涉密软件之间可以互相复制内容，或者可以从非涉密软件向涉密软件中复制内容，但无法从涉密软件向非涉密软件中复制任何内容；当不钩选“控制客户端剪贴板”时，那么不限制涉密软件和非涉密软件之间剪贴板内容的互相复制。图4.3-1部门互访控制策略在文档平安管理系统V4.0中，除对不同部门设定不同的密钥，使不同部门之间的涉密资料不能互相翻开外，还支持即使不同部门采用了相同的密钥，也可以使不同部门之间的涉密资料不能互相翻开。图4.4-1如图4.4-1所示，当不钩选“不允许翻开其它部门文件”时，在一个公司共用一个密钥的情况下，只要策略相同，不同部门之间被加密的文档是可以互相翻开的。当钩选““不允许翻开其它部门文件”时，此时即使不同部门是否用同一个密钥和相同的文件加密策略，加密的文档在不同部门之间都无法彼此翻开。因为当进行这种设置时，在新建不同的部门时，系统自动为不同部门分配不同的部门ID，此时在该部门下面的客户端电脑文件自动加密时，文件中会自动包含该部门的ID信息，当此文件被拿到另外一个部门中去的是时候，将无法被正常翻开。通讯策略组控制台下发给客户端程序的通讯策略组中有两种密钥验证方式：①仅仅在客户端电脑的Windows启动之后必须要向密钥效劳器检查一次，之后再也无需检查。②每隔一定时间〔用户可以自行设定，最小单位为分钟〕便检查与效劳端的连接状态。如果用户客户端电脑数量众多，那么当这些客户端电脑在同一时间内去访问密钥效劳器的话，势必会造成网络较大的负担。所以，对于是台式机电脑的客户端来说，建议选择第一种“电脑重启时”验证方式；对于笔记本这类便携式电脑而言，第一种方式具有很大风险，由于这些计算机在第一次联网启动之后，可以断网不断电地离开办公场所，它依然是可以翻开密文的，这是很不平安的。所以对于这些便携式计算机而言，我们强烈建议管理员对其设置“指定时间”验证密钥的策略。如下列图所示为同时具备“电脑重启时”和“指定时间”两种密钥验证方式。图4.5-1对于一些网络环境比拟稳定，通讯比拟好的企业，选择文档平安管理系统无论从数据的平安性还是从管理的方便性来说，都是比拟不错的选择。对于网络环境不是很稳定，网络经常会出现断线或者ping不通的企业来说，可以直接将网络版转换成单机版，即客户端不需要和密钥效劳器通讯的。具体设置如下列图4.5-2所示：在密钥验证方式中“电脑重启时”，“指定时间”两项都不勾选。图4.5-2所以，根据不同的网络环境，软件可以自由的在网络版或单机版中进行切换，以满足不同的需求。文档平安管理系统的特点文档平安管理系统最为国内第一代“实时透明加解密系统”，从推向市场至今，获得了很大的成功，得到了很多有自主研发能力，有保密需求的各制造业行业企业、设计院的追捧和好评，至今已完成超过40000套的装机量，实施的成功客户已超过500家。为了保持文档平安管理系统在行业内的竞争优势，上海每年在文档平安管理系统上投入大量的人力进行开发和升级，在此期间，我们也积极采纳用户的各种建议和想法，以使我们研发出来的产品能更好的满足客户的需求。目前，文档系统具有的主要功能特点如下：灵活的四重架构模式四重架构模式，更有利于维持密钥效劳器的平安和稳定。说明：客户端，解密端，控制台和效劳器4重架构方式，不像常见的采用的3重架构方式〔该方式是控制台和效劳器重合在一起〕，更有利于大企业的部署，并能很好的提高效劳器电脑的平安性。密钥效劳器快速移植功能文档平安管理系统部署完毕之后，只要及时备份效劳器程序安装目录中的“jjmdb.mdb”数据库文件，当原效劳器电脑系统崩溃或破坏时，直接将备份的数据库文件覆盖到新的效劳器程序安装目录中，即可实现效劳器的快速移植。说明：简单的1分钟，结合硬件key的配合，就可以实现效劳器的快速移植功能，完全不用担忧效劳器硬盘坏掉后造成客户端涉密电脑无法正常工作而影响生产。密钥轮询功能灵活的密钥轮询功能，彻底免除台式机主机被偷或者电脑硬盘被偷造成文件泄密的风险。在软件中，我们可以设定“永不轮询〔相当于单机版工作模式〕”、“电脑重启时轮询”、“指定时间轮询”三种密钥轮询模式。

说明：通过密钥验证策略的下发，使客户端电脑在翻开涉密文档时需要定期向密钥效劳器去下载验证密钥，下载不到，就无法翻开硬盘上的涉密文档。该功能可以很好的防止电脑主机被偷或者硬盘被偷带来的泄密。双密钥设计文档平安管理系统采用双密钥设计，出厂时公司会预先设定一个，不同的客户公司会刻意设定不同的出厂密钥，以使不同的客户哪怕就算都购置了文档平安管理系统并且在连公司密钥设定都一样的情况下，彼此加密的图纸也不能互相翻开。另外一个密钥用户可自定义，只要用户不泄露密钥，连软件开发商也无法解开其加密过的文件。图4-1双密钥的设计，大大增强了文档平安管理系统所加密文档的平安性。部门分级大的企业中，往往分布着很多不同的部门：如总经办、市场部、财务部、技术部、生产部等。为了尽量缩小涉密资料的扩散范围，很多公司要求一些涉密资料只能在某个部门内流通，而不能扩散到本公司内其它部门内。根据这一保密的要求，就相当于需要各部门之间的图纸或文件不能互相翻开，比方说技术部不能访问市场部的文件，市场部不能访问技术部的图纸。图5-1如上图所示，在给技术部和市场部进行策略设置时，在权限策略中钩选“不允许翻开其他部门文件”，此时这两个部门内所有安装客户端软件的电脑中的文件能互相正常交流，而市场部和技术部之间的涉密文件那么不能互相翻开。注：部门分级的时候，主要是根据客户端电脑的MAC地址来进行区别，而不是根据IP地址，所以用户无需担忧客户端电脑IP地址变更后导致部门信息、策略信息等出错。远程卸载〔程序或者策略〕由于采用多重保护机制，客户端使用者除了重新安装电脑操作系统方式外，无法直接卸载客户端软件。要正常卸载软件，必须在软件控制台上启用远程卸载命令。当然我们也可以单单只卸载客户端软件的各项策略，使其返回到默认部门中去，等待重新部门分配。离线授权文档平安管理系统提供了离线策略功能，可对出差时需要使用涉密文档但又需要控制使用时间的用户提供了便利。在离线策略生效期内，外带出去的笔记本电脑能翻开电脑上原本加密状态的文档资料，但是同时新建的涉密类型的文档资料也将被加密。当该笔记本电脑在离线策略授权的时间过后没有及时连接到公司内部网络的话，该笔记本电脑上处于加密状态的涉密类型文档将无法被翻开，但同时新建的文件也将不被自动加密。图7-1使用离线策略必须注意以下几个细节：离线策略仅适用于需要在特定时间段内控制电脑中涉密文件使用的时候；在使用离线策略前必须要保证该电脑中的客户端软件处于正常工作状态之中；导入离线策略并离开公司局域网环境之后不能禁用网卡，不能修改时间，否那么软件会认为用户恶意修改离线策略使用时间，从而禁止用户翻开加密文件。如果用户无意中修改了系统时间，那么重新导入授权文件也是没有用的，只有重新连接上效劳器之后才能重新使用离线策略。为了防止用户通过修改时间的方法重复使用离线策略，本软件采用了一个授权号只能使用一次的机制，系统会自动记录用户所使用过的授权号，如果导入的授权号已经使用过，那么就禁止再次使用此授权。历史文件批量加、解密功能针对于客户端电脑上存在的历史明文数据，文档平安管理系统中推出了“自动批量加密”功能，在部署完软件后，通过控制台给客户端电脑远程下发“批量加密”命令，即可在客户端电脑后台自动完成对历史数据的批量加密工作。具体使用时注意点如下：只有在部署完客户端软件后〔即客户端电脑接收到文件加密策略和密钥策略后〕，“批量加密”功能才生效；客户端电脑在进行批量加密时，会自动扫描本身接收到的文件加密策略中的相关软件的常见格式进行自动加密〔如该客户端电脑设定的文件加密策略为Word、Excel、Autocad等软件，那么当运行批量加密功能时，后台的批量加密程序会自动扫描本地硬盘上的“.doc”、“.xls”、“.dwg”、“.dxf”等后缀格式的文件进行自动加密〕；“批量解密”的功能可以利用后台程序将客户端电脑上的涉密类型文件全部自动解密，使用方法同“批量加密”功能。加密文档分级查看权限考虑到公司内不同职位的人员需要对不同的涉密文档有不同的访问权限，并简单的解决一些越权访问的问题，软件特增加了4层密级控制。通过控制台中的设定，我们可以将客户端电脑设定成“内部级、秘密级、机密级、绝密级〔包括VIP客户端〕”4层密级效果。图9-1各密级的含义如下：内部级：客户端部署后默认密级即为内部级，处于内部级的涉密文档只能在公司内安装客户端软件的电脑上翻开，无法在公司内没有安装客户端软件的电脑上翻开，或者是在其它公司〔哪怕是同样购置了软件〕的电脑上翻开；秘密级：处于秘密级的电脑能直接翻开内部级的文档，反向那么不行；机密级：处于机密级的电脑能直接翻开内部级或秘密级的文档，反向那么不行；绝密级：处于绝密级的电脑能直接翻开内部级、秘密级或机密级的文档，反向那么不行；VIP客户端：VIP客户端电脑可以翻开以上所有密级的文档，并在翻开的瞬间将硬盘上原本处于密文状态的文档转换成明文。注意：当在高密级的客户端电脑上翻开低密级的文档时，并不会改变低密级文档的密级属性；但是当在高密级的客户端电脑上编辑低密级的文档时，会改变该低密级文档的密级属性，使之变成与该客户端电脑相同的密级属性。客户端自动修复由于当客户端电脑受到病毒/木马侵害时，注册表关键键值容易受到感染而导致软件不能正常工作，从而导致客户端的加解密软件不能正常工作，而影响客户正常工作。客户端程序会在启动期间定期的去检查相关模块是否正常完整，假设发现不正常会尝试自动修复，而在控制台同时也能监测到相关模块的状态，从而最新的掌握客户端动态。如果自动修复后客户端还存在问题，控制台还可以手动下发修复命令给客户端，客户端收到命令后会尝试修复。此功能大大减少了相关管理人员的珍贵时间。图10-1自动解密申请对于平时日常文件外发比拟频繁的客户，软件中提供了自动解密申请功能。通过在控制台上做相应设定〔设定要需要用到自动解密申请功能的客户端电脑和来进行审批的解密端电脑〕，我们可以设定如下2种外发文件解密模式：某台客户端电脑可以向本部门所属的解密端使用者〔本部门所属的解密端不在线时直接向公司级解密端申请〕在线提交文件解密申请，当获得解密端使用者批准时，程序会在后台将需要解密的某个文件自动解密；当将某台客户端电脑设定为“允许自动审批”时，此时客户端提交的所有文件解密申请会被默认自动通过〔不需要解密端使用者审批〕，程序会在后台这些需要解密的文件自动解密并将其备份到效劳器程序安装电脑中预先设定的目录中；离线策略在实际软件部署过程中，会碰到一些客户同时拥有几个异地办公地点，这些不同的办公地点都拥有一定数量的电脑。这些电脑和公司总部未能组成一个有效的局域网，但它们的策略却需要和公司总部某个部门设置的策略一样，故软件中提供了“离线策略”导入功能，可将总部某个部门中的策略文件直接导出，导入到这些单机上，使这些异地的电脑都能沿用和总部某些客户端电脑一样的策略信息，彼此加密的文件也能互相翻开交流。图13-1采用离线策略的好处如下：防止单机版程序安装时策略变更不灵活的弊端；满足一个公司网络版客户端和单机版客户端混合部署的要求；即使客户没有建立起内部局域网，也可以进行文档平安管理系统网络版的部署；减少客户和软件供给商的沟通环节，大大缩短软件的部署时间；图13-2离线策略总体界面解密端分级认证解密权限分级设置：根据单位中不同的密级要求，可以分别设定解密端拥有者具有不同的解密权限。某些部门领导只能解密本部门的文档，而公司老板或其它高层可以解密整个公司内的文档。说明：该项功能配合不同部门不同的密钥设置，可以使涉密文档的流通控制在更合理的范围之内，不同解密权限的分配，可以使公司内各领导权限得到很好的平衡，并不是拥有解密端，就能解密本公司内所有的文档。这种功能可以使就算公司内某个解密端出现泄密隐患，影响的也只是公司内某一块的数据平安，而不是整个公司的数据平安。对于虽然处于同一部门内的解密端，还可以设定解密端有不同的密级解密权限，即有些解密端只能解密内部级的文档，有些解密端能解密内部级和秘密级的文档，有些解密端能解密绝密级、秘密级和内部级的文档，而有些解密端能解密所有密级的文档。另外，对于不同密级认证的解密端，除可以解密不同密级的文件外，还可以将低密级的文档提升成高密级的文档。具体功能如下：基于秘密级认证的解密端可以将本部门内内部级的加密文档提升成秘密级；基于机密级认证的解密端可以将本部门内内部级或者秘密级的文档提升成机密级；基于绝密级认证的解密端可以将本部门内内部级、秘密级、机密级的文档提升成绝密级；外发文件控制某些时候需要将单位内的涉密电子文档临时发给客户或者合作伙伴查看，但是又希望能控制这些临时外发的涉密电子文档的平安〔比方说能控制其翻开时间、翻开次数、不能被编辑、不能被打印等〕，此时可用到软件中的“外发文件控制”功能。外发文件控制在解密控制台中设置，具体设置如下：点击Winmanager解密端界面菜单栏“外发文件控制－外发文件设置”，即可进入“外发文件设置”设置。图15-1选择需要外发的文件，设置外发加密文件的翻开时间段、次数、权限。图15-2外发文件权限设定设置完成以后点击“确认”，设置文件密钥以及外发文件阅读器相关设置，如图：图15-3外发文件密钥以及外发文件阅读器控制方式设置在进行外发文件制作时，注意以下几点：被制作的文件本身可以是已经加密过的文件也可以是未加密过的文件；可以选择对单个文件进行外发，也可以选择对单个文件夹进行外发控制；对于外发文件必须设置密钥，否那么外发出去的文件无效〔密钥可以随意设置〕；控制外发文件的翻开次数、生效时间、文件只读、打印控制、剪切板控制等策略；可以对外发文件阅读器进行控制，可以设置密码或者绑定硬件；注：外发文件的加密算法和单位中正常被客户端软件加密的算法是不同的，客户不用担忧因为外发文件而泄露本公司客户端的加密算法。注：外发文件的加密算法和单位中正常被客户端软件加密的算法是不同的，客户不用担忧因为外发文件而泄露本公司客户端的加密算法。易用的邮件策略对于常常需要通过电子邮件外发涉密文档出去，但又不想频繁通过解密端手动解密的单位，文档平安管理系统中提供了外发邮件时，对满足要求的邮件中的附件自动解密的功能。具体实现技术原理如下：客户端软件截获本地计算机以SMTP协议〔在TCP的25端口〕发送的邮件信息，采用特定的技术扫描邮件数据，提取出收件人E-Mail地址和发件人E-Mail地址，以及附件数据和本地数据库〔可以是一个文件〕中的规那么比拟，看是否需要解密。如果需要解密就调用客户端中的解密程序对附件解密，然后把被处理后的附件代替原来的附件，再把邮件发送到原来的目的地址。如果不需要解密那么原样发送到收件人邮箱〔即客户端程序主要是根据收件人和发件人的E—Mail地址和列表中的规那么匹配情况。如果满足某种规那么的话就解密附件并转发，反之不进行解密附件直接转发〕。图16-1要点如下：以邮件中含有的收件人E-Mail地址和发件人E-Mail地址为过滤条件，根据该过滤条件的匹配规那么触发对邮件附件的解密动作；详细规那么设置如下：开关功能开关1：全部不解密开关2：全部解密开关3：按照规那么解密按照规那么设置解密的具体规那么如下：规那么1： 一对一的规那么设置： 发件人： 收件人： 规那么： 允许发送此时进行附件解密，并转发所截获的电子邮件。规那么2： 一对多的规那么设置即： 发件人： 收件人：;;; 规那么： 允许发送此时进行附件解密，并转发所截获的电子邮件。规那么3： 一对全体的规那么设置即： 发件人： 收件人：ALL 规那么： 允许发送此时进行附件解密，并转发所截获的电子邮件。规那么4：如果规那么1、规那么2、规那么3均不符合那么附件不解密，直接转发所截获的电子邮件。邮件策略使用时的注意点：当收件人中即有白名单邮件地址〔许可的〕和黑名单地址〔未许可的收件人〕时，邮件附件将不被解密；邮件附件必须为原文件格式，不能是压缩格式或其它；策略灵活现有策略库中集成了制造业行中常用的近100种