北京XX數(shù)據(jù)防泄露技術解決方案

某某公司文檔透明加密系統(tǒng)解決方案二〇〇九年十月目錄1 需求概述 52 業(yè)務解決方案 132.1文檔安全保護體系在企業(yè)活動中的作用 132.2文檔安全保護體系管理架構 142.3體系及文檔處理流程 152.4文檔管控流程 152.5技術支撐流程 163 技術解決方案 173.1文檔加密保護技術綜述 173.2技術平臺解決方案 233.2.1動態(tài)加解密解決方案 233.2.2移動辦公解決方案 273.2.3對外業(yè)務支持解決方案 283.2.4網(wǎng)絡單點故障解決方案 284 產(chǎn)品要求 294.1產(chǎn)品主要功能要求 294.1.1系統(tǒng)加密功能 294.1.2該系統(tǒng)對文檔的保護應涵蓋所有介質 294.1.4完善的日志審計功能 294.1.5客戶端管理 294.1.6完善的離線管理功能 304.1.7系統(tǒng)災難應急措施 304.2產(chǎn)品詳細功能要求描述 304.2.1動態(tài)加解密 344.2.2文件格式支持要求 364.2.3禁止屏幕打印功能 364.2.4不受限制的文件存儲方式 374.2.5PC綁定及USB鎖綁定實現(xiàn)離線瀏覽 384.2.6系統(tǒng)審計日志管理 394.2.7更多文件保護功能 404.3方案基本運行環(huán)境 41需求概述Internet是一個開放的網(wǎng)絡，當用戶享受其高速發(fā)展所帶來的大量的信息流通和前所未有的工作效率，可曾注意過伴隨網(wǎng)絡所產(chǎn)生的嚴重的網(wǎng)絡安全問題。目前，各企業(yè)都擁有自己的品牌或各自的業(yè)務范圍，都利用信息化手段進行高效管理。隨著計算機、互聯(lián)網(wǎng)的廣泛應用，信息的交流和共享已經(jīng)成為各企業(yè)自身發(fā)展必要的手段。企業(yè)內(nèi)部競爭性情報信息也就自然成為廣受關注、為企業(yè)所青睞的重要活動，成為企業(yè)進行無形資產(chǎn)管理的重要部分。俗話說“知己知彼，百戰(zhàn)不殆”，如何保護企業(yè)自身重要情報不被競爭對手竊取，使企業(yè)在使用網(wǎng)絡來提高工作效率的同時避免企業(yè)重要的知識產(chǎn)權遭受侵害，將是文檔安全管理的一個重要課題。企業(yè)內(nèi)部競爭性情報類型主要有：企業(yè)的機密技術文件、產(chǎn)品研發(fā)資料設計圖稿會計賬目、財務報表資料戰(zhàn)略計劃書外購競標信息和供應鏈合作伙伴信息重要研究成果研究論文市場營銷策劃資料其他：如董事會、投融資等方面管理類資料，客戶資料大中型企業(yè)一般有著完善的書面文檔涉密管理制度，并且由單獨的文控中心負責制訂、監(jiān)督、審計企業(yè)內(nèi)部重要情報信息使用狀況，亦達到了很好的效果。但是這些電子文檔存儲的方式為明文方式存儲在計算機硬盤中，電子格式存儲的重要情報信息卻由于傳播的便利性和快捷性，對分發(fā)出去的文檔無法控制，極大的增加了管理的負責程度，這部分的資產(chǎn)極易于受到損害。隱藏的安全漏洞主要有文檔明文存放、粗放的權限控制、無限期的文件權限、不可靠的身份認證和無法追蹤文件的使用情況等五類，下面一一闡述。1．明文保存目前，多數(shù)企業(yè)內(nèi)部的文件都是以明文保存，僅限制瀏覽文件的用戶。如果不加密，則進行再多的防范都是不可靠的，同樣會泄密。現(xiàn)在有很多手段防止文檔非法拷貝，如堵塞電腦的USB接口，檢查電子郵件發(fā)送，但是，只要是明文的文檔，泄密的途徑就防不勝防，變換明文為密文后通過郵件傳輸、手機紅外線傳輸、拷屏、錄屏、拆開計算機直接掛上硬盤拷貝等。表1.1泄密方式泄密的方式對明文情報的危害黑客侵入不法分子通過各種途徑獲取商業(yè)機密。如侵入內(nèi)部網(wǎng)絡，電子郵件截獲等；防不勝防，特別終端由個人掌控。互聯(lián)網(wǎng)泄密通過EMail，F(xiàn)TP，BBS等方式傳遞情報；內(nèi)部局域網(wǎng)泄密自帶筆記本電腦接入網(wǎng)絡，從而拷貝數(shù)據(jù)；移動終端泄密將工作用筆記本電腦帶到外界，通過筆記本電腦的相關通訊設備（軟驅、光驅、刻錄機、磁帶驅動器、USB存儲設備）、存儲設備（串口、并口、調制解調器、USB、SCSI、1394總線、紅外通訊設備、以及筆記本電腦使用的PCMCIA卡接口）將信息泄漏到外界。固定終端泄密通過臺式電腦的相關通訊設備（軟驅、光驅、刻錄機、磁帶驅動器、USB存儲設備）、存儲設備（串口、并口、調制解調器、USB、SCSI、1394總線、紅外通訊設備、以及筆記本電腦使用的PCMCIA卡接口）將信息泄漏到外界。2．粗放的權限控制在現(xiàn)在的情況下，企業(yè)內(nèi)部信息的權限管理是粗放的，一旦將這些重要資料交給他人，就完全失去了對資料的控制，一般的資料（電子文檔格式）權限有以下分類：表1.2權限類型及在不受控情況下產(chǎn)生的危害編號權限控制危害1根據(jù)公司保密制度傳遞情報有情報交給對方就完全控制不了他如何使用，包括是否交給非設密的第三方；2打印，打印次數(shù)無接受方可不受限制的打印情報；3保存和另存無接受方可保留情報的副本；4復制和拷貝無接受方可保留情報的副本或某部分；5屏幕拷貝無接受方可通過計算機提供的屏幕拷貝按鍵和截屏軟件獲取情報內(nèi)容；6閱覽次數(shù)無接受方可無限次的讀取情報；7控制閱讀的條件——指定機器、指定USB鎖、指定IP區(qū)域無對于絕密情報，不能控制接受方閱讀地點——有可能他正在和競爭對手一起觀看！只要交給對方后就再也不能控制信息資料的使用方式，這是非常危險的，“一傳十、十傳百”，只要擁有資料的人多了，泄密就不可避免。3.擁有時間無期限擁有時間無期限指的是資料遞交給接授方后，接授方就永遠擁有此資料的所有權，隨時可以使用資料。擁有資料的時間無期限，會產(chǎn)生如下危害：當員工離職，就可能帶走公司的很多重要資料，可以永遠重復的使用；與合作伙伴協(xié)同工作完成后，合作伙伴利用原有的資料用于其他項目。4.不可靠的身份認證機制身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機和計算機網(wǎng)絡組成了一個虛擬的數(shù)字世界。在數(shù)字世界中，一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示，計算機只能識別用戶的數(shù)字身份，給用戶的授權也是針對用戶數(shù)字身份進行的。在網(wǎng)絡環(huán)境中，辨認網(wǎng)絡另一端的身份就是一個復雜的問題。身份認證有三個層次：一種為證明你知道什么——即現(xiàn)在廣泛的用戶名/密碼方式；其二為證明你擁有什么——即給你一個獨一無二的設備，如印章，每次需要出示才能確定你的身份；最后一種為證明你是什么——即通過生物技術，如指紋、面貌等確定。目前，身份認證手段主要有密碼認證、PKI認證、指紋認證、USB硬件認證等幾種方法。用戶名/密碼方式:簡單易行,保護非關鍵性的系統(tǒng)，通常用容易被猜測的字符串作為密碼，容易造成密碼泄漏；由于密碼是靜態(tài)的數(shù)據(jù)，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。是極不安全的身份認證方式；IC卡認證:簡單易行,很容易被內(nèi)存掃描或網(wǎng)絡監(jiān)聽等黑客技術竊取；動態(tài)口令：一次一密，安全性較高，但使用煩瑣，有可能造成新的安全漏洞；生物特征認證：安全性最高，但技術不成熟，準確性和穩(wěn)定性有待提高；USBKey認證：安全可靠，成本低廉但依賴硬件的安全性。5.使用追蹤無保障如果出現(xiàn)了泄密事故，那么我們關心的就是損失有多大，有哪些人參與，由于哪些操作導致泄密，需要追查事故責任人。而現(xiàn)在，由于沒有采用有效的手段，只能通過人工方式調查取證，使得追查周期過長，損失加大，追查到真相的幾率極低。我們也不知道哪些人關注過哪些信息，某些信息被哪些人關注過，不能及時查出泄密的渠道，不能在第一時間估算出泄密所帶來的損失。業(yè)務解決方案2.1文檔安全保護體系在企業(yè)活動中的作用行政辦公文檔、經(jīng)營文檔、技術文檔三類文檔在企業(yè)運作活動中密不可分又相對獨立。如：研發(fā)類的技術文檔希望在技術體系內(nèi)部使用，不能輕易流轉到行政管理部門，而企業(yè)經(jīng)營文檔，特別是一些敏感的經(jīng)營信息，只能在受控的少數(shù)經(jīng)營部門，如：財務、總辦等部門使用。文檔如何在本體系內(nèi)充分共享，支撐業(yè)務活動，同時又受控地流轉到其它部門，是文檔安全保護需要重點解決的問題。另外，任何企業(yè)和外部有千絲萬縷的聯(lián)系，如：行政監(jiān)管部門、客戶、供應商等，如何能將相關地文檔和外部合作伙伴交換，同時保證其安全性，也是文檔安全管理要解決的問題。在行政辦公文檔、經(jīng)營文檔、技術文檔相關的體系內(nèi)部，文檔的安全保護也必須考慮文檔的日常使用和流轉、文檔管理規(guī)范的遵守和落實、文檔保護相關的技術手段等方面的統(tǒng)一協(xié)調，達到安全和效率的平衡，即對文檔進行適當?shù)谋Ｗo又不影響企業(yè)正常的業(yè)務運作。達到這一定，必須充分考慮文檔操作流程、文檔管控措施、文檔保護技術手段的要求，使三者有機地融合在一起。下圖為文檔安全保護體系在企業(yè)活動中的作用和地位示意圖：2.2文檔安全保護體系管理架構文檔安全保護體系要根據(jù)行政辦公文檔、經(jīng)營文檔、技術文檔三大類文檔的業(yè)務運作特點、以及其中企業(yè)運作中的重要程度，設計自身保護的體系架構。同時，也要充分考慮這三類文檔之間的交互和保護，以及企業(yè)各類文檔和外部的交互和保護。這樣才能達到文檔保護體系與企業(yè)業(yè)務運作相統(tǒng)一，為企業(yè)運作保駕護航的目標。下圖為企業(yè)內(nèi)部三類文檔之間交互和保護及企業(yè)內(nèi)外文檔交互和保護示意圖：文檔安全保護體系的架構以每個系統(tǒng)的文件流轉和保護為核心，同時考慮三類文檔的互通與保護，以及三類文檔對外的互通與保護。下圖為每類文檔保護都需要考慮的管理架構。2.3體系及文檔處理流程體系及文檔處理流程是文檔日常處理和操作的相關流程，保證文檔在加密保護的基礎上有效運作，達到安全與效率平衡的目標。主要有文檔建立、文檔使用、文檔管理、體系維護、特殊業(yè)務、緊急響應等主流程，每個主要流程有下級的子流程支撐、如下圖：2.4文檔管控流程文檔管控流程主要是審計和考核方面的流程，保證文檔安全管理體系能有效地落實。文檔管控流程主要有考核流程、配置審計流程、授權審計、異常審計等主流程，每個主流程下有相應的子流程支撐。如下圖：2.5技術支撐流程技術支撐流程是文檔安全保護工具的日常管理、維護方面的流程，是文檔安全管理體系的基礎。技術支撐流程主要有系統(tǒng)平臺維護、技術平臺維護、配置管理、客戶端維護等流程。如下圖：技術解決方案3.1文檔加密保護技術綜述智能動態(tài)加解密技術動態(tài)加解密技術是在文件存取時截獲磁盤I/O請求，對文檔進行加密、解密處理，這樣的技術靠判斷文件類別來決定是否加密，要么對某種類別的文檔都加密，要么都不加密。其主要優(yōu)點是文件加密、解密透明，使用者不需做額外的操作，同時，部署和內(nèi)部使用也靈活方便。目前該加密技術采用對稱式RC4算法實現(xiàn)?；旌霞用芗夹g混合加密技術是同時具備動態(tài)加解密和權限控制的加密技術，通過策略的控制實現(xiàn)動態(tài)加解密或權限控制的目的，它同時具備了動態(tài)加解密和權限控制兩類加密的優(yōu)點。 3.3.2技術平臺解決方案公司的行政辦公文檔、經(jīng)營文檔、技術文檔需根據(jù)文檔的敏感程度、使用及發(fā)布范圍等因素綜合考慮，設計成動態(tài)加解密模式加授權管理模式，特殊的終端還可采用磁盤加密模式。不同的職能部門側重不同的加密模式，不同的模式達到的安全保護效果不同，文檔加密保護后的流轉方式也不同，對業(yè)務文檔使用效率的影響也不同。深入調研和咨詢公司的文檔管理需求，制定符合各職能部門運作的加密模式是文檔安全管理的重要環(huán)節(jié)。下面將描述動態(tài)加解密解決方案和權限管理解決方案的效果和使用情況。動態(tài)加解密解決方案動態(tài)加解密解決方案適合文檔較敏感，需要全生命周期保護，對外交互相對較少的文檔的加密保護。其業(yè)務流程如下圖：動態(tài)加解密的區(qū)域劃分原則按照人員分組和文件種類兩個原則處理，先根據(jù)業(yè)務人員所從事的業(yè)務的敏感程度和文檔對外交互的頻度，確定是否劃分到動態(tài)加解密區(qū)域，然后根據(jù)其所處理的文檔類型確定哪些文檔需要啟用動態(tài)加解密策略。動態(tài)加解密區(qū)域中文件類型的加密保護過程如下：文件保存時自動加密，同時支持文檔自動全盤初始化加密加密的文件在同一動態(tài)加解密區(qū)域內(nèi)可以不受限制使用，文件流轉到此動態(tài)加解密區(qū)域外，將無法使用加密的文件如果要給區(qū)域外部人員使用，必須通過有解密權限的人員專崗解密或文件加密外發(fā)動態(tài)加解密區(qū)域的人員也可對加密的文檔進行主動授權給權限區(qū)用戶使用，這些操作將被系統(tǒng)記錄和審計動態(tài)加解密區(qū)域員工出差時，將通過終端脫機管理控制進行離線辦公移動辦公解決方案對于移動辦公用戶或者小的分支機構人員，使用加密文檔時可以通過外網(wǎng)經(jīng)過適當?shù)恼J證和授權訪問文檔加密服務器，保證移動辦公人員可以正常使用加密文件。移動辦公人員使用加密文檔的情況如下： 移動辦公人員使用加密文檔的情況如下：如果筆記本電腦在內(nèi)網(wǎng)中，使用加密文檔的情況和臺式機一樣如果移動辦公人員離開公司，可以根據(jù)其使用網(wǎng)絡的情況選擇適當?shù)奶幚砑用芪臋n的方式。如果有VPN帳號，可以通過VPN進行認證，然后訪問內(nèi)網(wǎng)加密文檔服務器，并正常使用加密文件如果沒有VPN權限，可以通過文檔安全服務器開放的認證端口認證并使用加密文檔如果沒有網(wǎng)絡條件，可以通過授權外帶的操作使用加密文檔對外業(yè)務支持解決方案文檔安全管理系統(tǒng)不僅考慮文檔信息在公司內(nèi)部的使用安全，還需要考慮文檔信息對外使用安全。對于敏感信息外發(fā)時，應該做到可控，因此通過文檔安全系統(tǒng)的對外發(fā)布控制，可以確保信息外發(fā)的安全，外發(fā)流程如下：具備有外發(fā)權限的用戶，可以將內(nèi)核區(qū)域加密文檔轉換成外發(fā)文檔，將文檔加密狀態(tài)下對外發(fā)布，做到文檔使用可控，比如使用次數(shù)、時間、是否可打印、水印等具備有外發(fā)權限的用戶，可以將擁有還原權限的權限區(qū)域加密文檔轉換成外發(fā)文檔，將文檔加密狀態(tài)下對外發(fā)布，做到文檔使用可控，比如使用次數(shù)、時間、是否可打印、水印等所有外發(fā)處理信息均可審計外發(fā)文檔可分為四種密級等級，包括：直接使用級、用戶名口令驗證級、機器碼驗證級、聯(lián)網(wǎng)認證級網(wǎng)絡單點故障解決方案文檔安全系統(tǒng)是一個基于C/S架構的應用平臺，客戶端與服務器日常都會有一些網(wǎng)絡連接的要求。為了避免專線中斷造成客戶端與服務器連接失敗造成業(yè)務中斷，設計客戶端默認允許離線的方案。具體分為兩部分：一是動態(tài)加解密客戶端，默認設置允許離線一定時間段，在斷網(wǎng)的情況下，可以正常使用加解密文檔；二是權限加密區(qū)域客戶端，可以設計權限緩沖機制，權限文檔只要在本機使用過，自動將相關權限信息在本地緩存，一旦網(wǎng)絡中斷，權限文檔可以在不連接服務器的情況下繼續(xù)使用。產(chǎn)品要求4.1產(chǎn)品主要功能要求文檔安全系統(tǒng)對加密軟件的主要功能要求如下：系統(tǒng)加密功能客戶端動態(tài)加解密區(qū)域文件復制或保存時自動強制加密。文件打開時自動解密。對用戶來說，該過程是完全透明的，不改變用戶的使用習慣。無論是另存為其他文件格式，還是使用進程名欺騙的的方式都能對文檔有效加密。該系統(tǒng)對文檔的保護應涵蓋所有介質無論通過存儲（USB、光盤、軟驅、ZIP盤等）或網(wǎng)絡（Email、FTP、Windows共享等）或是其它傳輸介質與方法（紅外、藍牙等），均在保護范疇內(nèi)。文檔的控制及權限管理1．拷貝粘貼及拖拽控制：允許從外部復制進受控文檔，但不允許從受控文檔向外復制粘貼（包括郵件或者即時通訊工具），用戶在受控文檔間的拷貝粘貼、拖拽均可正常使用。2．文檔權限管理：文檔具有閱讀、編輯、打印的權限控制。對外發(fā)文檔除了上述功能外還需加上時間限制以及次數(shù)限制功能，該文檔超過一定時間或打開次數(shù)就無法再使用，而且對于作者可實行再授權功能。完善的日志審計功能用戶端對文檔的任何操作都有詳細的操作日志，其檢索功能對文檔的非法操作能快速定位?？蛻舳斯芾碛脩艚K端的自我防護、客戶端程序及加解密模塊不能輕易的在非認證或授權的情況下被終止或激活。系統(tǒng)能控制客戶端的打印、截屏、錄屏等功能，但此功能僅限于對受保護的文檔進行控制，而非受保護的文件使用還是靈活的。完善的離線管理功能員工因工需要挾帶筆記本出差或在出差過程中需要對一些密文解密外發(fā)時系統(tǒng)應提供一套完整的離線管理和解決方法。系統(tǒng)災難應急措施系統(tǒng)服務器出現(xiàn)硬件故障或系統(tǒng)崩潰時如何確保在故障恢復期間客戶端的正常使用，故障期間如遇到緊急情況需要對文檔解密時的應急措施。4.2產(chǎn)品詳細功能要求描述動態(tài)加解密動態(tài)加解密即作者制作文檔時，一旦發(fā)出寫硬盤的操作，文檔會被自動加密存放在硬盤上，若發(fā)出讀硬盤的操作，文檔將被自動解密以明文的形式打開。由于加解密是動態(tài)的，由讀、寫硬盤的操作驅動的，保證了文件作者在制作文檔過程中的安全性，防止作者故意或由于疏忽而造成泄密或對文件惡意破壞，同時文檔的動態(tài)加解密節(jié)省了用戶手工加密的操作。文件格式支持要求文檔安全管理系統(tǒng)解決方案支持加密目前廣泛應用的多種文件類型，如：doc,xls,ppt,txt,pdf,bmp,gif,jpg,dwg等文件格式，部分無法通過右鍵直接加密的文件格式，可以通過客戶端B—S界面直接上傳加密文件，實現(xiàn)文檔無損加、解密。用戶申請使用文件并通過身份驗證后，呈現(xiàn)在用戶眼前的是已按照此用戶權限屏蔽部分功能的文件。本系統(tǒng)支持目前主流的應用軟件系統(tǒng)，使用者無需使用新的文檔操作平臺，即可實現(xiàn)對MS-Office、PDF、AutoCAD、圖片文件等各種文檔的保護，從而滿足了使用者的辦公要求，為其帶來了極大的方便。禁止屏幕打印功能億賽通CDG文檔安全管理系統(tǒng)解決方案不僅支持屏蔽通過鍵盤或鼠標發(fā)出的屏幕拷貝、打印命令，而且也支持自動檢測并屏蔽各種屏幕拷貝、屏幕錄像軟件、打印軟件，更加全面地保護文件安全，實現(xiàn)真正意義上的“限瀏覽”功能，有效防止?jié)撛诘?、破壞性的屏幕打印。CDG文檔安全管理系統(tǒng)還禁止遠程控制類軟件對加密內(nèi)容的截取，比如：WindowsTerminal服務，VNC，PCAnywhere等。同時，CDG文檔安全管理系統(tǒng)同時還禁止虛擬主機對加密內(nèi)容的截取，比如：VMWare。不受限制的文件存儲方式億賽通文檔安全管理系統(tǒng)適用各種傳輸及存儲方式，包括服務器上傳下載、局域網(wǎng)下載、Email、Ftp下載、U盤、光盤、軟盤存儲等。針對當今網(wǎng)絡這一開放式信息傳遞主體，用限制文件的傳播來達到保護文件的目的，是不可能實現(xiàn)的。億賽通文檔安全管理系統(tǒng)所倡導的理念是不限制文件的傳播形式和渠道，而只是限制文件的使用，億賽通公司在此系統(tǒng)的設計中，貫徹了人性化理念，一改文檔安全管理“僅依賴于制度約束或更多地關注對設備和人員的監(jiān)控”的傳統(tǒng)思路，將“文件和文件內(nèi)容本身的明文存放”作為對文檔信息安全威脅的根源，從根本上解決了保護了文件，防止了重要電子信息泄密的問題。在用戶使用文件時，如果不通過服務器的身份驗證，即使他得到文件，也只是被加密的滿紙的亂碼。圖5.8加密文件存儲方式PC綁定及USB鎖綁定實現(xiàn)離線瀏覽在某些情況下，用戶無法與服務器通信，如網(wǎng)絡中斷，或者用戶出差無法連接到服務器，用戶將無法打開加密文檔。針對這一情況，CDG文檔安全管理系統(tǒng)為用戶提供了PC綁定和USB鎖綁定功能。USB鎖綁定：USB加密鎖首先要初始化才能使用，初始化是系統(tǒng)管理員在服務器端進行的，初始化后并配置相應的用戶ID，這樣就把該USB鎖的使用權限賦予給某一特定用戶。將所需要離線使用的加密文件綁定到這個鎖上，同時設定離線時限和閱讀次數(shù)，這樣，該用戶可以在離線時間內(nèi)使用，而不需要聯(lián)網(wǎng)，不受服務器的限制，完全和在線時的查看一樣。比如一個典型的使用場景：一名用戶出差在外地，無法通過連接到服務器，當他要閱讀已經(jīng)與USB加密鎖綁定的加密文檔時，只需要將加密鎖插在計算機上，不需要通過服務器身份認證，仍然可以使用該文檔。圖5.9離線瀏覽PC綁定：與加密鎖類似，系統(tǒng)管理員將加密文件、用戶ID和某一客戶端計算機綁定。當處于離線狀態(tài)時，此用戶只能在在這臺計算機上打開已綁定的文檔，無需通過服務器身份認證。比如一個典型的使用場景：用戶出于離線狀態(tài)，無法連接到服務器，當他要閱讀已經(jīng)與PC綁定的加密文檔時，只需要在此計算機上直接打開該文檔。離線使用文檔潛在很多危險，用戶在進行綁定時，同時要求用戶設置離線時，用戶有效性認證、有效時間、閱讀次數(shù)和硬件綁定。圖5.10離線瀏覽控制允許離線時間：保存到用戶電腦中的已綁定的加密文件，其有效時間受加密文件綁定生成時有效時間設定的限制，該時間限制不會因為用戶修改電腦時間而改變。文檔閱讀次數(shù)：文檔綁定生成時所規(guī)定的閱讀次數(shù)，該閱讀次數(shù)優(yōu)先于允許離線時間。離線文檔必須經(jīng)管理員的授權，管理員在其管理界面中有PC綁定和USB綁定設置選項，管理設定好文檔的綁定功能后，預先綁定的用戶對此綁定文檔具備離線使用功能。該功能是一個安全系數(shù)極高的策略，USB加密鎖是一特定用戶、加密文檔和一個USB鎖的綁定，PC綁定是設定權限用戶、加密文檔和一臺PC機綁定。當用戶離線后，無論是否打開文檔一旦超出設置時限，此文檔綁定回收，文檔不能打開。用戶在離線狀態(tài)下對文檔的操作權限與在線情況下相同。系統(tǒng)審計日志管理日志管理是一系列的日志條目，記錄了一些系統(tǒng)事件、用戶IP地址、用戶操作、時間、異常等信息。根據(jù)BS7799安全規(guī)范，一個系統(tǒng)最重要的部分是其審計跟蹤能力，這是系統(tǒng)安全性的一部分。通過審計功能，管理員可以監(jiān)督、跟蹤所有用戶的全部操作，查看系統(tǒng)的使用情況，實現(xiàn)最高的系統(tǒng)安全。根據(jù)日志信息的具體設置，可以設定不同的日志內(nèi)容。從龐大的日志數(shù)據(jù)中抽取有用的信息，例如對用戶的某些操作進行分類整理，自動生成相應的審計報告。通過研究日志報告，能夠制止泄密事件的發(fā)生，對于已發(fā)生的泄密事件可以回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。圖5.11日志訪問記錄查詢更多文件保護功能億賽通文檔安全管理系統(tǒng)始終貫徹為用戶提供使用簡單、功能強大且穩(wěn)定的解決方案的思想，滿足大多數(shù)企業(yè)/公司，不同工作領域所面臨的如下文件安全需求。1．加密文件無論以何種方式發(fā)送至何地，無