trustarmour數(shù)據(jù)資產(chǎn)內(nèi)容安全管理系統(tǒng)產(chǎn)品解決方案

第1章適用行 第2章應(yīng)用概 第3章需求分 應(yīng)用系統(tǒng)文檔安全控制需 終端電子文檔內(nèi)部安全需 第4章系統(tǒng)設(shè)計(jì)原 第5章解決方 用戶認(rèn) 流程 策略控制功 產(chǎn)品性 應(yīng)用系統(tǒng)文檔安全控制管 終端電子文檔內(nèi)部安全管 電子文件外發(fā)控制安全管 敏感信息應(yīng)用控制審計(jì)管 移動(dòng)終端數(shù)據(jù)安全控制管 第6章產(chǎn)品規(guī) 第7章相關(guān)資 第8章產(chǎn)品支 1章適用行業(yè)本方案適用于金融、、銀行、運(yùn)行商等非研發(fā)類行業(yè)2章應(yīng)用概述2011年底，工信部下發(fā)了《產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃》和《軟件和服務(wù)業(yè)金融、電力等各個(gè)重要行業(yè)和領(lǐng)域的數(shù)據(jù)安全建設(shè)問(wèn)題尤為重要。如何響應(yīng)息發(fā)“rustArmour機(jī)構(gòu)中電子化數(shù)據(jù)內(nèi)容應(yīng)用過(guò)程安全控制的軟硬件平臺(tái)系統(tǒng)。理控制和事后追溯審計(jì)，并在此基礎(chǔ)上重點(diǎn)考慮盡量降低安全系統(tǒng)對(duì)實(shí)際業(yè)務(wù)制約的影響，出不同的管理目標(biāo)，TrustArmour33842127562-11、業(yè)務(wù)操作者：亦即信息內(nèi)容接觸者，作為數(shù)據(jù)資產(chǎn)的根源主體必須在體系中被數(shù)據(jù)資產(chǎn)接觸者標(biāo)識(shí)、認(rèn)證，同時(shí)結(jié)合數(shù)據(jù)及衍生管理體系完成及操作能制”，主要完成對(duì)數(shù)據(jù)目標(biāo)的標(biāo)識(shí)、加，同時(shí)結(jié)合成員認(rèn)證子系統(tǒng)及衍生管理3、應(yīng)用系統(tǒng)：在信息化發(fā)展進(jìn)程中，眾多的企業(yè)都已經(jīng)或即將擁有不同形式及規(guī)模的4、數(shù)據(jù)通信：企業(yè)為了實(shí)現(xiàn)信息交互會(huì)引入各種數(shù)據(jù)通訊體系，例如郵件系統(tǒng)、及時(shí)制”作為這個(gè)方向的管理支持，將企業(yè)通過(guò)網(wǎng)絡(luò)途徑向外界輸送數(shù)據(jù)的關(guān)鍵點(diǎn)5、移動(dòng)式終端：移動(dòng)式終端包括：可以便捷離開(kāi)企業(yè)網(wǎng)絡(luò)的新型平板類數(shù)據(jù)終端和職能類終端等。移動(dòng)式終端的最大特點(diǎn)是為了提高業(yè)務(wù)效率，隨時(shí)需要應(yīng)用企業(yè)6、介質(zhì)：TrustArmour中的介質(zhì)是泛指目前已經(jīng)通行的磁（硬盤，軟盤，磁帶）、電（U盤，卡，固態(tài)硬盤內(nèi)存條）和光（光盤），并未涵蓋未來(lái)可能出現(xiàn)的生物智能介質(zhì)。介質(zhì)是數(shù)據(jù)資產(chǎn)的物理承載體，它們是信息化體系運(yùn)營(yíng)的基本支撐體，也是數(shù)據(jù)資產(chǎn)泄密的主要應(yīng)用單體。TrustArmour數(shù)據(jù)實(shí)體的加密控制，使得數(shù)據(jù)在任何介質(zhì)上都不能夠任意獲取數(shù)據(jù)內(nèi)容指：紙張、膠片、噴繪、立體打印塑模、激光雕刻胚體等）的基本。盡管感數(shù)據(jù)內(nèi)容的傳統(tǒng)輸出，主要針對(duì)、登記、附加標(biāo)識(shí)來(lái)防止傳統(tǒng)輸出應(yīng)用造成8、可視效果：可視效果是指在信息系統(tǒng)應(yīng)用、專項(xiàng)軟件應(yīng)用等信息化體系運(yùn)作過(guò)程中3章需求分析應(yīng)用系統(tǒng)的數(shù)據(jù)均為集中，有完善的數(shù)據(jù)控制機(jī)制，主要通過(guò)用戶名、口令字控制者的及權(quán)限。但隨著信息化的發(fā)展，以信息為目的的行為日益猖獗。然而，目在數(shù)據(jù)通通過(guò)方式截取報(bào)文竊取數(shù)據(jù)資源無(wú)法有效管理不同用戶對(duì)不同應(yīng)用系統(tǒng)的控制應(yīng)用系統(tǒng)均有較為完善的權(quán)限管理機(jī)制，可控制用戶對(duì)數(shù)據(jù)的使用和操作權(quán)限，但是當(dāng)一些數(shù)據(jù)以電子文檔形態(tài)從應(yīng)用系統(tǒng)被到用戶終端時(shí)由于被文（以下簡(jiǎn)稱離線文檔）已經(jīng)脫離了應(yīng)用系統(tǒng)的安全管控范圍，其內(nèi)容的、擴(kuò)散將會(huì)變得十分容易且無(wú)從管理。突出文檔是明文，可被任意和打開(kāi)，內(nèi)容可被任意并隨意打印文檔被外發(fā)到組織機(jī)構(gòu)以外，完全脫離內(nèi)部管控，內(nèi)容安全極大文檔后被傳遞的全過(guò)程無(wú)法記錄，當(dāng)泄密發(fā)生后無(wú)法追溯相關(guān)責(zé)任人文件放到共享服務(wù)器上供的時(shí)候，竊取通過(guò)技術(shù)獲得電子文件數(shù)據(jù)題企業(yè)需要與外界進(jìn)行數(shù)據(jù)交互，這些交互的信息可能會(huì)涉及企業(yè)內(nèi)部信息，可是與外部沒(méi)有對(duì)外發(fā)送的文件防止被篡改和對(duì)于有價(jià)值的電子文件，必須能夠做到能夠監(jiān)督、、記錄所有用戶的全部操作，實(shí)時(shí)查用戶的某些操作進(jìn)行分類整理，通過(guò)操作記錄，回溯歷史活動(dòng)，從而發(fā)現(xiàn)泄密。也需要做到通過(guò)用戶操作，發(fā)現(xiàn)用戶的操作，在泄密發(fā)現(xiàn)前就獲得警報(bào)，制止泄密的發(fā)生。一旦泄密發(fā)生，通過(guò)用戶操作記錄,可以第一時(shí)間拿出最有力的。隨著信息化建設(shè)的深入，越來(lái)越多的系統(tǒng)支持移動(dòng)終端的，移動(dòng)終端過(guò)程中主要通過(guò)用戶名、口令字控制者的及權(quán)限，然移動(dòng)終端本身的特性卻加大了數(shù)據(jù)擴(kuò)散的風(fēng)險(xiǎn),主移動(dòng)數(shù)據(jù)終端數(shù)據(jù)系統(tǒng)多數(shù)使用公網(wǎng)，通訊鏈路存在安全移動(dòng)終端可以隨意應(yīng)用系統(tǒng)，整個(gè)過(guò)程中的數(shù)據(jù)安全難于控制移動(dòng)終端可以從應(yīng)用系統(tǒng)數(shù)據(jù)，所的數(shù)據(jù)在移動(dòng)終端上缺乏保護(hù)，如果終端的4章系統(tǒng)設(shè)計(jì)原則的影響，并且在系統(tǒng)功能實(shí)現(xiàn)上和企業(yè)管理的科學(xué)規(guī)律相吻合，具體制約原則如下：作為數(shù)據(jù)資產(chǎn)保護(hù)的體系，應(yīng)當(dāng)盡量保持內(nèi)容合法接觸者對(duì)內(nèi)容正常使用的合理便制保證數(shù)據(jù)資產(chǎn)敏感內(nèi)容不被泄密，另一方面還要最大可能性的保持使用用戶應(yīng)用信息技術(shù)是，不是結(jié)果，數(shù)據(jù)資產(chǎn)保護(hù)過(guò)程中不能沒(méi)有合適的技術(shù)支撐，但是這些技術(shù)所實(shí)現(xiàn)的業(yè)務(wù)邏輯，必須與管理制度相配合；同時(shí)技術(shù)是有一定的局限性，不管哪全管控產(chǎn)生的業(yè)務(wù)操作習(xí)慣甚至業(yè)務(wù)操作流程、規(guī)范的，造成使用者在應(yīng)用行為過(guò)程執(zhí)5章解決方案加密）HTTA、FTA層協(xié)議，對(duì)于基于標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的常見(jiàn)應(yīng)用系統(tǒng)都能提供完美支持，能夠?qū)崿F(xiàn)終端前臺(tái)密文使用、服務(wù)器明文流轉(zhuǎn)，消除文件從應(yīng)用系統(tǒng)離線后的安全隱患。5-1TrustArmour基于終端安全準(zhǔn)入、網(wǎng)絡(luò)智能動(dòng)態(tài)加技術(shù)，以硬件實(shí)體存在，文檔權(quán)限管理為，防止數(shù)據(jù)資產(chǎn)擴(kuò)散為目的而設(shè)計(jì)的一款企業(yè)級(jí)應(yīng)用系統(tǒng)安全防護(hù)類產(chǎn)品。實(shí)現(xiàn)文件數(shù)據(jù)體下行加密、上行對(duì)終端文件進(jìn)行控制，可按照密級(jí)、群組等方式實(shí)現(xiàn)對(duì)終端應(yīng)用系統(tǒng)的準(zhǔn)入控制，對(duì)企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)資源到終端（包括智能終端，PAD終端使用者識(shí)別、和控制加密文件數(shù)據(jù)體進(jìn)行讀和寫加密控制完成離線文檔二次再獲得數(shù)據(jù)操作能力，而應(yīng)用系統(tǒng)并不校驗(yàn)用戶名、口令字是否有真正的持有者在使用，許多應(yīng)用系統(tǒng)準(zhǔn)入，就是針對(duì)制定的應(yīng)用系統(tǒng)進(jìn)行通路數(shù)據(jù)加密，是任何用戶系統(tǒng)時(shí)獲得數(shù)據(jù)都是加密，只有在PC終端上安裝了強(qiáng)化認(rèn)證的軟件，才能正常閱讀應(yīng)用系統(tǒng)中的數(shù)據(jù)；這種情況下即便是者通過(guò)獲取了合法的用戶名口令字，由于沒(méi)有終端軟件也無(wú)、終端受控應(yīng)用系統(tǒng)采用協(xié)議數(shù)據(jù)加密防護(hù)，保障應(yīng)用系統(tǒng)的數(shù)據(jù)安全，防止、、TCPRC4經(jīng)國(guó)家局認(rèn)證的國(guó)際標(biāo)準(zhǔn)算文件有兩種情況：一種是數(shù)據(jù)本身就是以文件的形式在應(yīng)用系統(tǒng)中，過(guò)程是直接獲得文件數(shù)據(jù)實(shí)體，另一種是在請(qǐng)求時(shí)應(yīng)用系統(tǒng)把內(nèi)部數(shù)據(jù)組合稱為文件以供（一般稱為旦被到了終端PC上，文件的使用就脫離了應(yīng)用系統(tǒng)制約（這種情況也稱為：離線文檔，文實(shí)現(xiàn)文件的加密，加密的文件在合法的TrustArmour用戶中間可以正常使用，但是對(duì)于非件的，這樣可以保證應(yīng)用系統(tǒng)中保持著明文狀態(tài)。不需要關(guān)心文件的變化。加密的文件格式都會(huì)在過(guò)程中被加密，用戶不能加密而且加密的結(jié)果文件也不能進(jìn)行有移動(dòng)終端安全準(zhǔn)入控制服務(wù)器時(shí)進(jìn)行終端的強(qiáng)制驗(yàn)證合法通過(guò)阻斷移動(dòng)終端數(shù)據(jù)加密控制：移動(dòng)終端采用底層動(dòng)態(tài)加技術(shù)，保障落地?cái)?shù)據(jù)安全移動(dòng)終端的個(gè)人隱私保護(hù)：加密保護(hù)用戶隱私數(shù)據(jù)，包括：、、、..等"人員"可集成多種認(rèn)證體系，支持基于Ldap和OpenLdap協(xié)議的統(tǒng)一認(rèn)證平臺(tái)(如AD、ED、TDS等)進(jìn)行無(wú)縫集成。系統(tǒng)支持對(duì)文檔的多版本管理，根據(jù)需要用戶可以和使用同一個(gè)文檔的不同版本。權(quán)限模版：對(duì)于加密文檔的是以第一文檔作為目標(biāo)單元的，本身的頻度和工作強(qiáng)度文件分級(jí)：順應(yīng)文件分級(jí)管理而設(shè)計(jì)的，在文件進(jìn)行時(shí)者只需要選擇文件別進(jìn)行，文件被閱讀的過(guò)程中，系統(tǒng)會(huì)識(shí)別閱讀者的級(jí)別是否與所使用的文件相匹配，如果不匹配系統(tǒng)中打開(kāi)文件。ABCD級(jí)A可B可可C可ABCD級(jí)A可B可可C可可可D可可可可圖5-2分級(jí)模文件按照級(jí)別進(jìn)行在許多個(gè)企業(yè)中和有實(shí)際的應(yīng)用，特別是一些國(guó)有大中型企業(yè)，種情況下TrustArmour支持將主管們家里一個(gè)邏輯安全組，財(cái)務(wù)部門可以將文件給邏輯在群組的邏輯中“借閱”同樣存在，其模式類似于文件分級(jí)自由：文件擁有者可以按照實(shí)際業(yè)務(wù)的需要對(duì)指定的用戶進(jìn)行文件使用文檔的使用者的情況下不能將密文中的內(nèi)容通過(guò)剪貼板移植到非加密文檔中；但是并為流程各級(jí)節(jié)點(diǎn)提供業(yè)務(wù)提醒及審核結(jié)果通報(bào)等支持，如客戶端消息、E-Mail通知等。暫時(shí)容災(zāi)服務(wù)器或網(wǎng)絡(luò)出現(xiàn)意外情況不能工作終端仍可在容災(zāi)時(shí)間內(nèi)保持正常工作當(dāng)需要進(jìn)行外發(fā)時(shí)，外發(fā)發(fā)起人需要進(jìn)行外發(fā)的文件上傳給TrustArmour同時(shí)系統(tǒng)會(huì)在服務(wù)器端制作外件，且將外件和使用說(shuō)明書文件共同形成一個(gè)ZIP壓縮包；該壓縮包可以通過(guò)用服務(wù)器明文：TrustArmour對(duì)上傳的文件，的文件加密。對(duì)終端的應(yīng)用準(zhǔn)入、用戶的認(rèn)證、客戶端文檔操作等進(jìn)行審計(jì)風(fēng)險(xiǎn)功能，在管理過(guò)程中及時(shí)發(fā)現(xiàn)和修正錯(cuò)誤行為系統(tǒng)整個(gè)的邏輯架構(gòu)劃分為用戶層、接入層、應(yīng)用層、數(shù)據(jù)層和應(yīng)用層5-3從使用方式上可以分為通過(guò)瀏覽器OA、KM等系統(tǒng)，內(nèi)容和通過(guò)億賽通TA系統(tǒng)進(jìn)行文從網(wǎng)絡(luò)途徑上可以分為，內(nèi)網(wǎng)用戶和用戶。用戶通過(guò) 有同等的權(quán)限。億賽通TA網(wǎng)關(guān)可以對(duì)Web服務(wù)器發(fā)起的請(qǐng)求，分析出其中的文件信息，并對(duì)上行（用戶層到應(yīng)用層的請(qǐng)求）的文件，對(duì)下行（應(yīng)用層到用戶層的請(qǐng)求）的文件加密，是KM系統(tǒng)和OA系統(tǒng)實(shí)現(xiàn)文件安全的重要方式。WebKMOA系統(tǒng)應(yīng)用做軟件方式的負(fù)載均衡，并提高用戶對(duì)靜態(tài)內(nèi)容的LDAPHRTALDAP數(shù)據(jù)庫(kù)中導(dǎo)入。知識(shí)管理應(yīng)用數(shù)據(jù)庫(kù)主要存放知識(shí)的基礎(chǔ)信息和使用信息、項(xiàng)目日歷、白等信息。流程數(shù)據(jù)庫(kù)是應(yīng)用系統(tǒng)流程引擎的數(shù)據(jù)庫(kù)。內(nèi)容數(shù)據(jù)庫(kù)是應(yīng)用系統(tǒng)內(nèi)容引擎的數(shù)據(jù)庫(kù)內(nèi)容是知識(shí)管理應(yīng)用用于存放文檔等非結(jié)構(gòu)化信息的地方，基于應(yīng)用系統(tǒng)內(nèi)容引擎LDAPLDAP5-4TrustArmourTrustArmour的文件進(jìn)行，受保護(hù)的文件進(jìn)行加理。TrustArmour客戶端軟件主要對(duì)的加密文件進(jìn)行動(dòng)態(tài)的加支撐同時(shí)對(duì)打開(kāi)的文件進(jìn)300000的安全文檔進(jìn)行有效的控制盒管理，保障應(yīng)用數(shù)據(jù)的安全。TrustArmour系統(tǒng)客戶端和服務(wù)器使用連接過(guò)程加密提供多種用戶認(rèn)證模（用戶LDAPTrustArmour系統(tǒng)參數(shù)備份與恢復(fù)功能；CPU、內(nèi)存等資源消耗的及策略管理功能；各種簡(jiǎn)化IT資源運(yùn)維根據(jù)業(yè)務(wù)策略靈活按需交付應(yīng)用可讓終端用戶可以安全便捷、極大程度的保護(hù)應(yīng)用系統(tǒng)的數(shù)據(jù)交互安全性，防止隨意或泄密對(duì)智能終端進(jìn)行安全防護(hù)，在高效便捷的同時(shí)保護(hù)數(shù)據(jù)的安全3.5.5.35-5TA系統(tǒng)針對(duì)應(yīng)用系統(tǒng)的安全采用了安全準(zhǔn)入的控制機(jī)制。對(duì)終端應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)安全控制，確保受控應(yīng)用系統(tǒng)的終端以及數(shù)據(jù)傳輸過(guò)程的安全性。是者通過(guò)獲取了合法的用戶名口令字，由于沒(méi)有終端軟件也無(wú)法正常獲得系統(tǒng)圖5-6應(yīng)用系統(tǒng)文檔控系統(tǒng)對(duì)文檔采用了加密控制機(jī)制，通過(guò)安全網(wǎng)關(guān)實(shí)現(xiàn)文檔的加控制，用戶從應(yīng)用系統(tǒng)文檔自動(dòng)加密，TA客戶端能夠自動(dòng)識(shí)別并進(jìn)行認(rèn)證、權(quán)限認(rèn)證、安全、日志圖5-7終端文檔模本方案采用多種模式，控制電子文檔內(nèi)部過(guò)程的安全自主模式控制敏感內(nèi)容文件在公司內(nèi)部的過(guò)程不同的人只能按照自己所獲得授分級(jí)模式控制文檔的職級(jí)范圍，在內(nèi)部應(yīng)用過(guò)程中可形象的比喻為：看的文件，群眾看群眾的文件，能看群眾的文件，群眾不能看的文件。也就是說(shuō)高密級(jí)的用戶可看低密級(jí)用戶的文件，反之則不可以。高密級(jí)的文件可通過(guò)借閱的方式由高密級(jí)的用戶借閱給低密級(jí)的用戶使用，但有時(shí)間和次數(shù)的限制。設(shè)置成一個(gè)用戶組或項(xiàng)目組，當(dāng)需要時(shí)可實(shí)現(xiàn)一次。極大方便用戶的操作過(guò)程，提高工U-U-35-8內(nèi)部加密文件生周期可管理文件在過(guò)程中主要依靠系統(tǒng)的安全策略和權(quán)限進(jìn)行生命周期控制，對(duì)于文件