國泰信安電子文檔安全管理系統(tǒng)(CPSec GEFS

1、電子文檔安全管理系統(tǒng)(CPSec GEFS)隨著電腦和Internet的普及與發(fā)展，社會各個方面逐漸將越來越多的文件和信息以電子文檔的方式保留在計算機上，由此而產(chǎn)生的信息安全隱患以及信息泄密也逐漸受到越來越多的人的重視。目前，在我國的企業(yè)和政府部門中，對于電子文檔的保密措施也剛剛處于起步階段。由于單位內(nèi)部大家使用的都是通用的文字處理軟件、制圖軟件，這樣通用格式的文件，一方面使信息的廣泛容易溝通得到可能，但是同時也擔(dān)心內(nèi)部的機密電子文文檔利用網(wǎng)絡(luò)、U盤、電子郵件、電腦外修的時候，非法外泄。 在日常的企業(yè)工作中，黑客的攻擊或者企業(yè)計算機所中的木馬病毒都有可能會在不知情的情況下將企業(yè)的機密文件進(jìn)行泄

2、露，而企業(yè)內(nèi)部員工的或有意或無意的行為也有肯能將企業(yè)機密文件外泄。甚至企業(yè)計算機或U盤的丟失都有可能造成企業(yè)機密文件的泄露。為此，不少企業(yè)都進(jìn)行了一定的硬件防護(hù)措施，諸如限制上網(wǎng)，封閉USB端口等措施，不過這樣在除了造成了企業(yè)員工的部分工作困難外，并不能從根本上解決文檔安全的問題。因此在企業(yè)的計算機系統(tǒng)中配備一種能夠根本解決文檔安全的防護(hù)軟件也就成了目前越來越多的企業(yè)面臨的唯一選擇。北京國泰信安科技有限公司依托專業(yè)的信息安全人才、技術(shù)、資源優(yōu)勢，針對當(dāng)前電子文檔的非法復(fù)制與擴散的安全威脅，自主研發(fā)了電子文檔安全管理系統(tǒng)。該系統(tǒng)包括內(nèi)網(wǎng)數(shù)據(jù)透明加解密系統(tǒng)、移動外攜安全辦公系統(tǒng)、安全文件外發(fā)系統(tǒng)和

3、個人數(shù)據(jù)處理系統(tǒng)等，全方位保護(hù)企業(yè)自主知識產(chǎn)權(quán)（文檔、圖紙、代碼等）的安全和個人數(shù)據(jù)的安全。1 技術(shù)架構(gòu)CPSec GEFS系統(tǒng)的目標(biāo)是實現(xiàn)對于一個企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)之中所有的終端計算機中受保護(hù)的文件格式的自動加密，而不對已有操作過程進(jìn)行影響。這樣，系統(tǒng)對所有受到保護(hù)的計算機中的文件都自動做到了加密；系統(tǒng)網(wǎng)絡(luò)之中得到服務(wù)器端認(rèn)證的終端計算機將對文件進(jìn)行自動解密，從而能使文件能夠正常使用。而任何未經(jīng)服務(wù)器端授權(quán)的文件默認(rèn)將保持在加密狀態(tài)無法通過正常手段打來，從而做到對于文件的保護(hù)作用，防止由于文件泄露而導(dǎo)致的公司保密信息的泄露。CPSec GEFS系統(tǒng)以Client/Server模式提供基于數(shù)

4、據(jù)加密、數(shù)字簽名的身份認(rèn)證、數(shù)據(jù)完整性保護(hù)和不可否認(rèn)性業(yè)務(wù)，實現(xiàn)策略服務(wù)器控制之下的認(rèn)證和授權(quán)管理，實現(xiàn)對各個GEFS客戶端數(shù)據(jù)的安全管理和控制。GEFS采用基于中間件的分層結(jié)構(gòu)設(shè)計，分為如下四個層次:l 表示層：提供安全業(yè)務(wù)接口，提供圖形用戶界面實現(xiàn)人機交互。l 邏輯層：控制業(yè)務(wù)請求/調(diào)用事務(wù)邏輯，并將相關(guān)請求交由下層應(yīng)用服務(wù)處理。l 應(yīng)用層：接收由邏輯層轉(zhuǎn)來的業(yè)務(wù)請求，執(zhí)行相應(yīng)的安全操作。l 系統(tǒng)層：作為硬件的擴展層，提供基礎(chǔ)平臺支持。2 系統(tǒng)功能u 數(shù)據(jù)透明加解密系統(tǒng)v 數(shù)據(jù)自動加密CPSec GEFS系統(tǒng)無需用戶輸入口令即可實現(xiàn)由系統(tǒng)自動對文件進(jìn)行透明加密、解密，這樣既方便用戶存取、傳

5、輸，又能實現(xiàn)用戶對屬于企業(yè)知識產(chǎn)權(quán)的文件的強制保護(hù)。用戶端對指定類型的文件（由服務(wù)端管理）的加解密是由后臺自動完成的。用戶在新建、打開、拷貝、移動涉密文件時文件自動加密，在環(huán)境中打開密文時自動解密。系統(tǒng)不改變用戶原有的操作習(xí)慣，同一加密環(huán)境內(nèi)部的文件交流不受影響。數(shù)據(jù)加密功能包括：l 透明加/解密：無需用戶輸入口令，由系統(tǒng)自動強制加/解密。l 加/解密文件：加/解密同一目錄下單張或多張電子文件。l 批量加/解密：批量加解密電子文件。l 校驗文件：校驗電子文件文件是否損壞。l 文件歸檔：將申請歸檔的文件進(jìn)行歸檔。v 數(shù)據(jù)泄密控制CPSec GEFS系統(tǒng)支持受保護(hù)的文件被合法的應(yīng)用軟件訪問，支持任

6、意形態(tài)的存儲加密，無需控制USB接口和移動設(shè)備介質(zhì)使用，有效控制了本地、網(wǎng)絡(luò)、移動存儲設(shè)備環(huán)境下的泄密控制。系統(tǒng)支持在線和離線模式下各種潛在的泄密風(fēng)險，主要功能包括：l On-Line情況下的數(shù)據(jù)泄密控制SMTP-Mail, Web-Mail, Web-HDD控制FTP, Messenger, QQ, BQQ, POPO, MAZE, BT控制l Off-Line情況下的數(shù)據(jù)泄密控制HDD, FD, MO, ZIP, JAZZ, Flash DeviceCD-R , CD-RWUSB/1394 Storage Devicev 數(shù)據(jù)條件訪問CPSec GEFS系統(tǒng)訪問控制功能使得在企業(yè)業(yè)內(nèi)部能夠

7、實現(xiàn)系統(tǒng)授權(quán)下的數(shù)據(jù)共享和交換，為企業(yè)協(xié)同設(shè)計開發(fā)提供便利，同時確保在企業(yè)內(nèi)部的數(shù)據(jù)安全。文檔訪問控制功能確保在企業(yè)授權(quán)環(huán)境下的設(shè)計與開發(fā)，方便企業(yè)內(nèi)部數(shù)據(jù)安全使用，對不同權(quán)限層次的用戶主體分配不同的操作權(quán)限?？梢愿鶕?jù)需要靈活定制用戶、對象和權(quán)限關(guān)系，動態(tài)管理用戶對文檔資源的相應(yīng)訪問權(quán)限，實現(xiàn)層次化安全訪問管理。文檔訪問控制功能主要包括：l 文檔訪問控制：不同級別的用戶對不同文檔資源擁有不同的權(quán)限，包括讀、寫、預(yù)覽、執(zhí)行、共享、刪除等訪問控制。l 權(quán)限分離：實現(xiàn)設(shè)計人員與非設(shè)計人員的權(quán)限分離。l 文檔控制：網(wǎng)絡(luò)存儲外出控制流程、歸檔控制流程。l 遠(yuǎn)程文檔管理：打開、自動下載、共享、申請外帶、歸

8、檔。v 部門管理部門管理主要是指對系統(tǒng)的部門進(jìn)行管理，以及在對應(yīng)項目的相應(yīng)權(quán)限，主要功能如下：l 設(shè)置部門：添加、修改、刪除部門。l 組織結(jié)構(gòu)：添加、修改、刪除組織機構(gòu)。l 設(shè)置項目：添加、修改項目。l 設(shè)置權(quán)限：設(shè)置部門的權(quán)限。v 用戶管理用戶管理主要是指對系統(tǒng)用戶指派所在項目組，以及在對應(yīng)項目的相應(yīng)權(quán)限，主要功能如下：l 設(shè)置用戶：添加、修改、刪除、禁用、恢復(fù)用戶帳號。l 組織結(jié)構(gòu)：添加、修改、刪除組織機構(gòu)。l 設(shè)置項目：添加、修改項目。l 設(shè)置權(quán)限：設(shè)置用戶的權(quán)限。v 系統(tǒng)統(tǒng)計CPSec GEFS系統(tǒng)提供強大的實時審計功能，可以詳細(xì)審計到何種用戶在何時何地對何種文件實施了何種操作?？梢园?/p>

9、離線或者在線方式有效審計用戶對文件的新建、修改、拷貝、共享、打印等操作，為系統(tǒng)管理員或者部門主管提供風(fēng)險管理依據(jù)。系統(tǒng)審計功能包括：l 動態(tài)可編輯安全策略：與安全實施模塊相分離，提供動態(tài)可編輯安全審計策略，從而實現(xiàn)安全水平可配置的安全審計。l 實時日志：實時記錄用戶活動，對敏感資源的實施蹤跡跟蹤。l 實時報警：根據(jù)安全策略實時違規(guī)報警。l 可視化分析：提供可視化安全審計分析工具。u 移動外攜安全辦公系統(tǒng)l 系統(tǒng)提供移動辦公的商務(wù)授權(quán)功能。l 當(dāng)筆記本用戶需要外出辦公時，可通過服務(wù)端進(jìn)行商務(wù)授權(quán)，讓移動用戶在指定時間內(nèi)可以脫離服務(wù)端使用。l 涉密文件仍然為加密狀態(tài)，授權(quán)時甚至可以限止密文打印（當(dāng)

10、前為自動限止打?。５峭獬鲛k公人員完全擁有對于辦公文檔的打開、編輯以及一定條件下的打印許可權(quán)限。l 外出辦公人員對于所使用的辦公文檔所作出的操作均會被外攜辦公系統(tǒng)自動進(jìn)行記錄，并在計算機接入系統(tǒng)服務(wù)器時自動對操作記錄進(jìn)行上傳。u 安全文件外發(fā)系統(tǒng)l 系統(tǒng)提供對外文檔發(fā)送的功能。l 當(dāng)系統(tǒng)用戶需要將文檔發(fā)送給系統(tǒng)外的相關(guān)業(yè)務(wù)對象時，可通過本地客戶端進(jìn)行解密操作，讓用戶將指定文檔進(jìn)行解密操作。l 解密文檔可以通過郵件、U盤等方式發(fā)送給需要的系統(tǒng)外人員。但是，所有對于涉密文檔的解密以及外發(fā)操作都會通過系統(tǒng)本地客戶端進(jìn)行自動記錄。防止用戶通過解密外發(fā)功能隨意將涉密文檔進(jìn)行泄密。l 外出辦公人員需要對

11、所使用的辦公文檔進(jìn)行外發(fā)操作時，也可通過客戶端進(jìn)行解密，并不需要服務(wù)器端的認(rèn)證，但是客戶端的自動記錄功能依然會自動進(jìn)行。當(dāng)外出計算機重新接入本地內(nèi)網(wǎng)時會自動向服務(wù)器端上傳外發(fā)過程資料，做到對于外發(fā)資料的同意管理。u 個人數(shù)據(jù)安全處理系統(tǒng)l 系統(tǒng)提供個人隱私數(shù)據(jù)授權(quán)解密功能。l 當(dāng)用戶需要使用個人隱私數(shù)據(jù)時，可通過服務(wù)端進(jìn)行授權(quán)解密，讓用戶在指定時間和空間內(nèi)解密數(shù)據(jù)使用。l 個人隱私數(shù)據(jù)只限定一般的權(quán)限處理，比如郵件發(fā)送等。3 應(yīng)用模式CPSec GEFS系統(tǒng)實施目標(biāo)就是為企業(yè)構(gòu)建企業(yè)內(nèi)部可信環(huán)境，建設(shè)企業(yè)內(nèi)部應(yīng)用數(shù)據(jù)安全設(shè)計平臺，實現(xiàn)企業(yè)內(nèi)部靈活的數(shù)據(jù)交換和外部的增強型安全保護(hù)能力，為企業(yè)提供

12、有效的保護(hù)知識產(chǎn)權(quán)保護(hù)，全面提升企業(yè)競爭力。國泰信安電子文檔安全管理系統(tǒng)應(yīng)用模式如下圖所示。集團總部系統(tǒng)子公司系統(tǒng)公司部門公司部門公司部門4 系統(tǒng)特色v 系統(tǒng)具有實時加密，透明加密的特點，在加密的過程中，并不影響使用者的正常使用，加密時不會產(chǎn)生其他文件，做到加密時的安全保障。v 加密時時對文件采用實時加密，因此，在加密完成后對于文件存儲介質(zhì)沒有要求，可以保證文檔在轉(zhuǎn)移或拷貝等情況下的文檔安全。v 加密算法穩(wěn)定可靠，采用了目前公認(rèn)的比較成熟的加密算法，基于MD5、AES以及RSA等加密算法，可以確保系統(tǒng)加密過程的安全與穩(wěn)定。v 功能結(jié)構(gòu)相對簡單，能夠適用于各種不同的公司網(wǎng)絡(luò)，對于不同的公司網(wǎng)絡(luò)結(jié)

13、構(gòu)都能夠做到很好的包容。5 支持的系統(tǒng)環(huán)境（1）支持的操作系統(tǒng)l Windows 7l Windows Server 2008l Windows Vista with Service Pack 1 (SP1)l Windows Vistal Windows Server 2003 with Service Pack 2 (SP2)l Windows Server 2003 with Service Pack 1 (SP1)l Windows Server 2003l Windows XP with Service Pack 3 (SP3)l Windows XP with Service Pack 2 (SP2)l Windows XP with Service Pack 1 (SP1)l Windows XPl Windows 2000 with Service Pack 4（SP4）+ RUP（僅此版本安裝后需要重啟機器，其他均無需重啟）（2）支持的文件系統(tǒng)l NTFSl FAT12l