數(shù)據(jù)泄露防護(hù)解決方案

1、數(shù)據(jù)泄露防護(hù)（DLRDLR）解決方案以數(shù)據(jù)資產(chǎn)為焦點、數(shù)據(jù)泄露風(fēng)險為驅(qū)動，依據(jù)用戶數(shù)據(jù)特點（源代碼、設(shè)計圖紙、OfficeOffice文檔等）與具體應(yīng)用場景（數(shù)據(jù)庫、文件服務(wù)器、電子郵件、應(yīng)用系統(tǒng)、PCPC 終端、筆記本終端、智能終端等），在 DLPDLP 平臺上靈活采取數(shù)據(jù)加密、隔離、內(nèi)容識別等多種技術(shù)手段， 為用戶提供針對性數(shù)據(jù)泄露防護(hù)整體解決方案，保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露。其中包括：數(shù)據(jù)安全網(wǎng)關(guān)數(shù)據(jù)安全隔離桌面電子郵件數(shù)據(jù)安全防護(hù)U U 盤外設(shè)數(shù)據(jù)安全防護(hù)筆記本涉密數(shù)據(jù)隔離安全保護(hù)系統(tǒng)筆記本電腦及移動辦公安全文檔數(shù)據(jù)外發(fā)控制安全1 1、數(shù)據(jù)安全網(wǎng)關(guān)背景：如今，企業(yè)正越來越多地使用ERR

2、ERR OAOA PLMPLM 等多種應(yīng)用系統(tǒng)提升自身競爭力。與此同時，應(yīng)用系統(tǒng)中的數(shù)據(jù)資產(chǎn)正受到前所未有的安全挑戰(zhàn)。如何防止核心數(shù)據(jù)資產(chǎn)泄露，已成為信息安全建設(shè)的重點與難點。概述：數(shù)據(jù)安全網(wǎng)關(guān)是一款部署于應(yīng)用系統(tǒng)與終端計算機之間的數(shù)據(jù)安全防護(hù)硬件設(shè)備。瞬間部署、無縫集成，全面實現(xiàn) ERRERR、OAOA、RLMRLM 等應(yīng)用系統(tǒng)數(shù)據(jù)資產(chǎn)安全，保障應(yīng)用系統(tǒng)中數(shù)據(jù) 資產(chǎn)只能被合法用戶合規(guī)使用，防止其泄露。瞬間部署無縫集成全面實現(xiàn) ERP、OA、PLM等應(yīng)用系統(tǒng)中數(shù)據(jù)資產(chǎn)安全具體可實現(xiàn)如下效果：應(yīng)用安全準(zhǔn)入采用雙向認(rèn)證機制，保障終端以及服務(wù)器的真實性與合規(guī)性，防止數(shù)據(jù)資產(chǎn)泄露。非法終端用戶禁止接入

3、應(yīng)用服務(wù)器，同時保障合法終端用戶不會鏈接至仿冒的應(yīng)用服務(wù)器。合法用戶可正常接入應(yīng)用服務(wù)器，訪問應(yīng)用系統(tǒng)資源，不受限制； 統(tǒng)一身份認(rèn)證數(shù)據(jù)安全網(wǎng)關(guān)可與 LDAP#LDAP#議等用戶認(rèn)證系統(tǒng)無縫集成，對用戶進(jìn)行統(tǒng)一身份認(rèn)證，并可進(jìn)一步實現(xiàn)用戶組織架構(gòu)分級管理、角色管理等；下載加密上傳解密下載時，對經(jīng)過網(wǎng)關(guān)的文件自動透明加密，下載的文檔將以密文保存在本地，防止其泄露；上傳時對經(jīng)過網(wǎng)關(guān)的文件自動透明解密，保障應(yīng)用系統(tǒng)對文件的正常操作；提供黑白名單機制可依據(jù)實際管理需要，對用戶使用權(quán)限做出具體規(guī)則限定，并以此為基礎(chǔ)，提供白名單、黑名單等例外處理機制。如：對某些用戶下載文檔可不執(zhí)行加密操作； 提供豐富日志

4、審計詳細(xì)記錄所有通過網(wǎng)關(guān)的用戶訪問應(yīng)用系統(tǒng)的操作日志。包括：時間、服務(wù)器、客戶端、傳輸文件名、傳輸方式等信息，并支持查詢查看、導(dǎo)出、備份等操作；支持雙機熱備、負(fù)載均衡，并可與虹安 DLPDLP 客戶端協(xié)同使用，更大范圍保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)安 全；2 2、數(shù)據(jù)安全隔離桌面背景：保護(hù)敏感數(shù)據(jù)的重要性已不言而喻，但如何避免安全保護(hù)的“一刀切”模式（要么全保護(hù)、要么全不保護(hù)）？如何在安全保護(hù)的同時不影響外部網(wǎng)絡(luò)與資源的正常訪問？如何在安全保 護(hù)的同時不損壞寶貴數(shù)據(jù)？概述：在終端中隔離出安全區(qū)用于保護(hù)敏感數(shù)據(jù)，并在保障安全區(qū)內(nèi)敏感數(shù)據(jù)不被泄露的前提下， 創(chuàng)建安全桌面用于安全訪問外部網(wǎng)絡(luò)與資源。在保障敏感數(shù)據(jù)

5、安全的同時，提升工作效率。具體可實現(xiàn)效果：1 1）只保護(hù)安全區(qū)內(nèi)敏感數(shù)據(jù)安全，其它數(shù)據(jù)不做處理；2 2）通過身份認(rèn)證后，方可進(jìn)入安全區(qū)；3 3）安全區(qū)內(nèi)可直接通過安全桌面訪問外部網(wǎng)絡(luò)與資源；4 4）安全區(qū)內(nèi)敏感數(shù)據(jù)外發(fā)必須通過審核，數(shù)據(jù)不會通過網(wǎng)絡(luò)、外設(shè)等途徑外泄;5 5）敏感數(shù)據(jù)不出安全區(qū)不受限制，數(shù)據(jù)進(jìn)入安全區(qū)是否受限，由用戶自定義；特色優(yōu)勢：1 1）避免安全保護(hù)“一刀切”，可只保護(hù)敏感數(shù)據(jù)；2 2）敏感數(shù)據(jù)保護(hù)與自由上網(wǎng)，互不影響；3 3） 不會損壞敏感數(shù)據(jù)，適合保護(hù)各類敏感數(shù)據(jù)，包括源代碼、設(shè)計圖紙等動則上G G 的大文件；3 3、電子郵件數(shù)據(jù)安全防護(hù)背景：電子郵件已經(jīng)成為日常工作中最

6、常用的通信工具之一。然而，電子郵件在網(wǎng)絡(luò)中是以明文形式傳輸和存儲，就猶如在信息高速公路上 “裸奔” 一樣，企業(yè)敏感信息隨時存在被截獲和瀏 覽的風(fēng)險。端到端電子郵件加密服務(wù)已成為電子郵件市場的迫切需求。電子郵件加密客戶端概述：電子郵件加密客戶端是在實現(xiàn)普通郵件系統(tǒng)功能之上，綜合運用身份認(rèn)證、數(shù)字簽名、郵件正文及附件加密等安全技術(shù)手段，為用戶提供安全、可控、便捷的電子郵件服務(wù)合法用戶正常瀏覽郵件正文與使用附件電子郵件加密客戶端主要實現(xiàn)效果：1 1）身份認(rèn)證：保障電子郵件使用者身份的真實性；2 2）數(shù)字簽名與摘要：保障電子郵件內(nèi)容的不可否認(rèn)性與完整性；3 3）正文及附件加密：可對電子郵件的正文以及附

7、件進(jìn)行加密，未通過身份認(rèn)證無法使用，保障電子郵件內(nèi)容的安全性；4 4）權(quán)限控制：細(xì)粒度管控用戶對電子郵件的使用權(quán)限，并對下載至本地終端的郵件附件仍 可進(jìn)行安全管控，保障合法用戶在授權(quán)范圍內(nèi)使用電子郵件；5 5）日志審計：詳細(xì)記錄對電子郵件的操作記錄，泄露行為可追溯; 電子郵件加密主要特色優(yōu)勢：1 1）郵件正文與附件均可加密保護(hù)且不改變正常操作習(xí)慣；2 2）可與其它安全模塊協(xié)同使用，更大范圍保障用戶數(shù)據(jù)安全；4 4、U U 盤外設(shè)數(shù)據(jù)安全防護(hù)部署結(jié)構(gòu)圖圖 2 2 策略實現(xiàn)結(jié)構(gòu)圖針對移動存儲設(shè)備的信息防泄露的安全需求，通過部署外設(shè)控制管理產(chǎn)品，可以有效解決前述的各種問題和矛盾。首先，通過數(shù)據(jù)加密機

8、制和外設(shè)端口管理，包括無線網(wǎng)卡、藍(lán)牙、紅外、打印機、光驅(qū)（或 只禁止刻錄）、軟驅(qū)、13941394、調(diào)制解調(diào)器等外設(shè)接口，對移存儲設(shè)備中的工作文件進(jìn)行安全 防護(hù)，防止各種方式的泄露以及意外丟失所帶來的安全風(fēng)險。其次，通過分組注冊機制，專用 U U 盤（內(nèi)部使用），通用 U U 盤（內(nèi)外均可正常使用），對策略進(jìn) 行細(xì)分，詳細(xì)控制使用者的使用范圍和使用權(quán)限，實現(xiàn)移動存儲設(shè)備的統(tǒng)一管理和策略授權(quán)。再次，通過離線時間控制策略，根據(jù)在線和離線不同場景，防止外出人員出差時候移動電腦失控，隨意使用 U U 盤拷貝文件。配合網(wǎng)絡(luò)防火墻控制和訪問權(quán)限控制功能，防止外網(wǎng)連接帶來的木馬和病毒傳播擴散風(fēng)險。最后，對

9、U U 盤拷貝數(shù)據(jù)的流量進(jìn)行限制，給出報警信息，并生成違規(guī)日志上報到后臺?？蛻舳嗽陔x線和在線的情況下都會進(jìn)行USBUSB 交換數(shù)據(jù)的記錄，并在連線時自動連接服務(wù)器上傳日志文件。USBUSB 交換數(shù)據(jù)的記錄能夠?qū)С龅?ExcelExcel , ,方便進(jìn)一步的流轉(zhuǎn)和分析。弊設(shè)控制,好出人打印幃羌法聯(lián)網(wǎng).公置W策略實現(xiàn)外設(shè)控制管理系統(tǒng)已經(jīng)在被多家大型企業(yè)長期運行，結(jié)合信息在不同企業(yè)不同的流轉(zhuǎn)過程, 基于全面的數(shù)據(jù)安全防護(hù)理念， 建立主動的內(nèi)網(wǎng)信息防泄露平臺， 有效管控了 U U 盤等移動存 儲設(shè)備泄密的風(fēng)險，運行穩(wěn)定，與操作系統(tǒng)和各類應(yīng)用軟件完全兼容， 絲毫不影響員工的工 作習(xí)慣。使用外設(shè)控制管理系

10、統(tǒng)可以有效保護(hù)知識產(chǎn)權(quán)，防止企業(yè)核心數(shù)據(jù)通過移動存儲設(shè)備泄密，系統(tǒng)簡便、易操作，不改變現(xiàn)有使用習(xí)慣。外設(shè)控制管理系統(tǒng)與虹安數(shù)據(jù)泄露防護(hù)系統(tǒng)結(jié)合， 可進(jìn)一步提升安全管理水平。彈性的外部設(shè)備使用管理，無需完全禁用 USUS 眼備，安全享受移動存儲設(shè)備為辦公帶來的便 攜性。建立移動存儲設(shè)備使用規(guī)范，加強使用權(quán)限管理，規(guī)范信息轉(zhuǎn)移，保證完整審計。通過透明加密文檔信息， 保證移動存儲設(shè)備中的敏感信息安全。限制新接入移動存儲設(shè)備的使用，有效預(yù)防 U U 盤病毒泛濫。5 5、筆記本涉密數(shù)據(jù)隔離安全保護(hù)系統(tǒng)在筆記本終端上對涉密數(shù)據(jù)進(jìn)行安全隔離保護(hù)，全方位防止涉密數(shù)據(jù)泄密，具體實現(xiàn)如下效果：1 1、在筆記本終端

11、構(gòu)建涉密數(shù)據(jù)隔離保護(hù)模式與正常工作模式在筆記本終端構(gòu)建涉密數(shù)據(jù)隔離模式與正常工作模式。隔離保護(hù)模式下保護(hù)涉密數(shù)據(jù)，正常工作模式下不做處理，給予用戶自由空間，最大限度消除用戶抵觸情緒，提升工作效率；2 2、 需要進(jìn)入筆記本涉密數(shù)據(jù)隔離保護(hù)模式時插入硬件KEYKEY 即可在需要進(jìn)入筆記本終端涉密數(shù)據(jù)隔離保護(hù)模式時，僅須插入硬件KEYKEY 通過身份認(rèn)證即可進(jìn)入隔離保護(hù)模式。涉密數(shù)據(jù)安全保護(hù)方便快捷；3.3. 保護(hù)模式下多重隔離保護(hù)體系全方位防止涉密數(shù)據(jù)泄密在涉密數(shù)據(jù)隔離保護(hù)模式下，多重隔離防護(hù)體系，可全方位防止涉密數(shù)據(jù)泄密：同一臺筆記本隔高出兩種模式涉密救據(jù) 隔離保臚模式3.13.1 防止通過偽造

12、身份途徑泄密；通過硬件 KEYKEY 加強用戶身份認(rèn)證，且 KEYKEY 與用戶終端綁定，進(jìn)一步增強安全性；3.23.2 防止通過卸解磁盤途徑泄密；通過內(nèi)核級磁盤加密技術(shù)，即使筆記本磁盤被卸載也不會導(dǎo)致涉密數(shù)據(jù)泄密；3.33.3 防止通過拷貝、粘貼復(fù)制、另存為途徑泄密；通過還原技術(shù)，防止涉密數(shù)據(jù)通過拷貝、粘貼復(fù)制、另存為等途徑泄密；3.43.4 防止通過網(wǎng)絡(luò)、U U 盤外設(shè)途徑泄密；通過網(wǎng)絡(luò)、U U 盤外設(shè)隔離，防止涉密數(shù)據(jù)通過郵件、QQQQ MSNMSN 飛信、移動存儲設(shè)備、打印機、紅外、藍(lán)牙、無形網(wǎng)卡等各種途徑泄密；3.53.5 涉密數(shù)據(jù)泄密行為可追溯；全面記錄涉密數(shù)據(jù)的操作行為，據(jù)此可對

13、泄密行為進(jìn)行追溯。并可通過安全審計， 檢查系統(tǒng)所實施的安全策略是否恰當(dāng)，尋求安全的持續(xù)改善；3.63.6 只允許合法授權(quán)用戶外發(fā)涉密數(shù)據(jù)；通過基于人員角色的權(quán)限控制，保障涉密數(shù)據(jù)外發(fā)必須通過合法授權(quán)且對外發(fā)行為進(jìn)行記 錄；既不影響工作正常開展，也解決了涉密數(shù)據(jù)外發(fā)安全問題；4 4、支持筆記本移動辦公場景，提升工作效率；通過離線策略，支持合法授權(quán)用戶攜帶筆記本外出辦公，既不影響工作正常開展， 也解決了攜帶筆記本外出的數(shù)據(jù)安全問題；5 5、系統(tǒng)損耗低且不會損壞數(shù)據(jù)，穩(wěn)定性好；通過隔離構(gòu)建安全環(huán)境， 而非對海量數(shù)據(jù)自身進(jìn)行處理，來實現(xiàn)涉密數(shù)據(jù)安全保護(hù)目的。系統(tǒng)性能損耗低且不會損壞涉密數(shù)據(jù)，穩(wěn)定性好；

14、6 6、筆記本電腦及移動辦公安全如今，在企業(yè)或用戶組織中， 經(jīng)常使用筆記本電腦或需要移動辦公的人員，往往在組織中處在比較重要的地位。對于企業(yè)而言，最典型的筆記本或移動辦公用戶是企業(yè)管理層、核心員工、銷售或支持人員。這些成員處理的信息往往具備較大的流動性和重要性，有些甚至是公司的核心機密。由于這些人員的業(yè)務(wù)特征， 其流動性和靈活性是必不可少的要求，因此，信息所面臨的風(fēng)險也就更加突出。筆記本或移動辦公的信息安全問題也就成為大部分企業(yè)或 組織的焦點問題。筆記本或移動辦公的安全問題從管理角度來看，一般存在下列突出的矛盾：? ? 出差人員時常處理一些核心機密，而出差在外，信息面臨的風(fēng)險更大，需要更加嚴(yán)格

15、的 安全保護(hù)。事實上，筆記本丟失，硬盤丟失，出差人員使用外網(wǎng)發(fā)送機密信息，出差人員違涉密數(shù)據(jù)隔離保護(hù)模式正常工作模式涉密數(shù)據(jù)其它數(shù)據(jù)網(wǎng)絡(luò)牖高不做處理外設(shè)隔離區(qū)1皇不做處理存儲隔離sg不做處理過價證可入密據(jù)離護(hù)式通身認(rèn)方進(jìn)涉數(shù)隔保模規(guī)將信息發(fā)送給不恰當(dāng)?shù)膶ο蟮鹊?。這些無一不成為企業(yè)信息安全主管，甚至是企業(yè)領(lǐng)導(dǎo)擔(dān)心的焦點。? ? 在出差或移動辦公過程中，公司業(yè)務(wù)的連續(xù)性和及時性需要得到更強的保障。而一般的安全解決方案，比如常見的離線策略、解密審批策略等往往缺乏時效性，安全是有了保障， 業(yè)務(wù)卻受到極大的干擾。? ? 筆記本或移動辦公用戶往往會在處理公司正常業(yè)務(wù)的同時，需要處理一些個人私事，甚至一些商

16、務(wù)工作也必須要在公共網(wǎng)絡(luò)和平臺上開展。安全方案的實施，應(yīng)該在不影響個人事務(wù)的開展前提下進(jìn)行。? ? 使用筆記本出差或移動辦公情況下，外發(fā)的文檔和信息需要得到有效的監(jiān)控和審計。概括上述問題，許多客戶都陷入到一個困境之中： 溝通要順暢，安全要保障，二者似乎不可 兼得。魚和熊掌可以兼得，基于虹安 IsolatorIsolator 信息安全隔離系統(tǒng)，虹安提出一個全新的筆 記本和移動辦公安全解決方案。安全方案隔離產(chǎn)品要求從存儲隔離、運行隔離和網(wǎng)絡(luò)隔離三個層次為用戶信息建立完備的安全保障體系。首先，將用戶電腦上的數(shù)據(jù)存儲分為普通區(qū)和數(shù)據(jù)保護(hù)區(qū)，數(shù)據(jù)保護(hù)區(qū)進(jìn)行數(shù)據(jù)加密處理。然后，針對兩個存儲區(qū)域數(shù)據(jù)的使用，

17、分別形成普通模式和數(shù)據(jù)保護(hù)模式，二者隔離共存，切換自如。最后，保證用戶在數(shù)據(jù)保護(hù)模式中只能夠訪問辦公網(wǎng)絡(luò)，數(shù)據(jù)保護(hù)區(qū)的信息在外發(fā)時受到安全策略控制。在普通模式中可以任意訪問外部網(wǎng)絡(luò)，不受約束。策略部署結(jié)構(gòu)圖隔離產(chǎn)品須具有 5 5 大功能: ? ? 網(wǎng)絡(luò)資源隔離? ? 應(yīng)用環(huán)境隔離? ? 數(shù)據(jù)存儲隔離? ? 文件日志審計? ? 磁盤分區(qū)加密針對網(wǎng)絡(luò)隔離的需要，通過部署，可以有效解決前述的各種問題和矛盾。首先，通過在員工電腦終端上安裝管理軟件，電腦磁盤被劃分為兩個區(qū)域一一普通區(qū)和數(shù)據(jù)保護(hù)區(qū)，數(shù)據(jù)保護(hù)區(qū)進(jìn)行數(shù)據(jù)加密處理。即使硬盤被盜，也不會導(dǎo)致由磁盤引起數(shù)據(jù)泄密。其次，員工在數(shù)據(jù)保護(hù)模式開展工作，在

18、普通模式下查閱資料，處理商務(wù)或個人事務(wù)。普通模式中的各種信息可以通過簡單的復(fù)制、粘貼或拖拽動作就很方便的拷貝到數(shù)據(jù)保護(hù)區(qū)中。在普通模式下，各種外設(shè)端口都可以正常使用；而在數(shù)據(jù)保護(hù)模式下， 除了外發(fā)文件受到監(jiān)控之外，所有外設(shè)端口都是禁用的。最后，員工在普通模式中可以隨意上外部網(wǎng)絡(luò)、使用即時通訊軟件， 但不能登錄公司內(nèi)部辦公網(wǎng)絡(luò)和使用公司內(nèi)部即時通訊軟件。相反，員工只能夠在數(shù)據(jù)保護(hù)模式中訪問公司內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)上獲得的信息也只會保存在數(shù)據(jù)保護(hù)區(qū)中。從數(shù)據(jù)保護(hù)模式向普通模式傳遞的任何信息都會受到安全策略的管理。根據(jù)權(quán)限，可能是禁止，也可能是申請審批或者事后審計。策略部署網(wǎng)絡(luò)隔離信息安全解決方案

19、，可以有效的解決網(wǎng)絡(luò)隔離的安全性與便利性之間的矛盾，使安全方案真正的被用戶所接受，提高工作效率，工作舒適度，確保工作思路不被隨意 打斷，安全策略得到理解和尊重。網(wǎng)絡(luò)隔離信息安全解決方案在一個終端上實現(xiàn)了網(wǎng)絡(luò)、應(yīng)用環(huán)境和存儲的隔離，極大的降低企業(yè)的管理、運維和 ITIT 成本。網(wǎng)絡(luò)隔離方案在網(wǎng)絡(luò)隔離的基礎(chǔ)上，將信息外發(fā)簡化為從數(shù)據(jù)保護(hù)模式到普通模式的唯一通道，管理策略簡單一致， 員工容易理解和遵守，也極大的提高了安全策略的可維護(hù)性，降低管理難度，提高了管理效率。最后，最新的隔離產(chǎn)品一般都具有三重隔離手段，使網(wǎng)絡(luò)隔離從存儲加密開始，又在存儲加密上落地，杜絕了一切特例和私自拷貝或外發(fā)的可能，提高了隔

20、離的實效。7 7、文檔數(shù)據(jù)外發(fā)控制安全信息化高速發(fā)展的今天， 企業(yè)的各種數(shù)據(jù)均以電子文檔的形式存儲和使用，而現(xiàn)代企業(yè)的運作建立在分工協(xié)作的基礎(chǔ)上。由此，工作中我們的文件資料經(jīng)常需要在內(nèi)部或者外部人員之間流通使用，電子文檔易于傳播和擴散的特點造成企業(yè)核心數(shù)據(jù)容易泄露給競爭對手， 導(dǎo)致企業(yè)的核心利益的損失。鑒于此，我們以企業(yè)日常交流、 協(xié)作過程中遇到的問題為例，說明文件外發(fā)所面臨的信息泄露以及安全保護(hù)問題。1.1. 企業(yè)將內(nèi)部重要數(shù)據(jù)發(fā)給客戶后，客戶會將這些核心資料傳遞給其他用戶或者競爭對手使用，這些用戶又會將資料傳遞給另外的人員使用。如此循環(huán)，企業(yè)商業(yè)文件將大范圍不受控制地任意擴散、傳播，會使企

21、業(yè)機密遭受惡意曝露；由此引起的商業(yè)糾紛，即使通過法律手段解決，也不好界定或者為時已晚。2.2. 現(xiàn)行的操作系統(tǒng)，對企業(yè)外發(fā)文件沒有使用權(quán)限的管理機制。致使企業(yè)外發(fā)文件具 備被任意操作的權(quán)限，例如復(fù)制、剪切、編輯、另存等，方便企業(yè)人員在使用外發(fā)文件過程 中有意或者無意將數(shù)據(jù)泄露。3.3. 企業(yè)的外發(fā)文件即使采取身份認(rèn)證、使用范圍限制和使用權(quán)限的控制等手段來保護(hù)外發(fā)文檔的安全，但出差、外出辦公等造成筆記本丟失等情況的發(fā)生，也會出現(xiàn)文件容易被非法破解而導(dǎo)致數(shù)據(jù)的泄露。4.4. 文件在整個外發(fā)使用過程中，不同的人員會參與其中，如果不對外發(fā)文件的生命周 期內(nèi)進(jìn)行記錄，則很難保證外發(fā)文件被安全使用。5.5

22、. 早期的一些外發(fā)文件控制系統(tǒng)，采用格式轉(zhuǎn)換的方式，配以專用的瀏覽閱讀工具，使用權(quán)限控制強度不夠，外發(fā)文件制作效率低下，用戶使用起來很不方便。這類系統(tǒng)能夠控 制的文件類型也非常有限，導(dǎo)致這些產(chǎn)品不能很好地滿足用戶的需求?；谝陨蠈ζ髽I(yè)外發(fā)文件的使用問題分析，一個良好的文件外發(fā)控制管理系統(tǒng)所需要滿足用戶的需求可以概括為：1.1. 企業(yè)外發(fā)文件的使用需要驗證使用者身份以及使用范圍，從這兩個方面入手，可以 確保外發(fā)文件的傳播擴散的速度和范圍。2.2. 驗證外發(fā)文件使用者身份和使用范圍可以在一定程度上確保外發(fā)文件不為非授權(quán)用戶非法使用；但對外發(fā)文件的使用進(jìn)行相應(yīng)的如打印、編輯、復(fù)制等權(quán)限授權(quán)控制，更杜

23、絕了授權(quán)用戶在使用過程中有意或無意將內(nèi)容泄露的途徑。3.3. 為了保證外發(fā)文件的機密性和減少文件丟失所帶來的安全威脅，需要對外發(fā)文件進(jìn) 行加密保護(hù)處理，確保文件不因意外情況導(dǎo)致數(shù)據(jù)泄露。4.4. 需要監(jiān)控外發(fā)文件整個操作過程，詳細(xì)記錄外發(fā)文件的使用，并形成相應(yīng)的日志記 錄，保證企業(yè)能清楚地知道外發(fā)出去的文檔的受控情況。5.5. 需要滿足用戶對外發(fā)文件制作流程復(fù)雜度、文件格式支持以及外發(fā)控制安全性方面 的要求，符合行業(yè)相關(guān)安全規(guī)范。安全系統(tǒng)設(shè)計方案 系統(tǒng)要求文件外發(fā)控制管理系統(tǒng)，結(jié)合企業(yè)在協(xié)同工作過程中對外發(fā)文件的控制和管理要求，制定了針對性強的外發(fā)控制管理策略。該方案采用目前成熟的加密機制，對

24、外發(fā)文件的機密性進(jìn)行保護(hù)；同時考慮到市場對大文件外發(fā)控制的需求，增加了可對大文件的外發(fā)制作進(jìn)行特殊的加密壓縮處理策略，極大節(jié)省了存儲空間和網(wǎng)絡(luò)帶寬的占用。文件外發(fā)控制管理系統(tǒng)需要具有的核心功能如下：? ? 豐富的授權(quán)認(rèn)證? ? 細(xì)粒度權(quán)限控制? ? 嚴(yán)格的版權(quán)標(biāo)記? ? 統(tǒng)一的授權(quán)管理? ? 靈活的制作方式? ? 詳細(xì)的日志記錄 系統(tǒng)實施企業(yè)針對文件外發(fā)制作對于防止信息泄露的安全需求，通過文件外發(fā)控制管理系統(tǒng)的部署，可以有效解決前述的各種問題和安全威脅。首先，通過數(shù)據(jù)加密和壓縮機制對需要外發(fā)的文件進(jìn)行機密性防護(hù)處理，防止各種方式的泄露以及意外丟失所帶來的安全風(fēng)險。其次，通過外發(fā)文件的身份認(rèn)證以及