文盾文档安全管理系统技术白皮书

文盾文档安全管理系统技术白皮书第1页共6页电话：0731-85567960长沙文盾信息技术有限公司文盾文档安全管理系统技术白皮书长沙文盾信息技术有限公司2010-02文盾文档安全管理系统技术白皮书第2页共6页电话：0731-85567960长沙文盾信息技术有限公司概述随着计算机应用的不断发展，电子文档逐步代替了传统的纸质文档，办公系统也逐步实现了数字化。这是人类文明进步的表现，极大地方便了人们的工作和生活。然而，电子文档的广泛使用也带来了许多安全隐患，各种信息资产时刻受到潜在的失窃风险。例如：军队的绝密涉密电子文档泄露，会给国家安全带来威胁；政府的重大决定、经济政策一旦泄露，会影响社会稳定；企业的商业策划书、客户档案、技术图纸、软件源代码一旦泄露，将给竞争对手以可乘之机；个人隐私信息泄露，将给个人和家庭带来严重伤害。与纸质文档不同，电子文档天生存在容易被复制和传播的特点。由于操作系统和各种文档阅读软件在设计之初没有充分考虑电子文档使用的安全问题，电子文档安全管理一直缺乏有效的技术手段和合理的解决方案。公司依托国防科学技术大学计算机学院，经过多年科研攻关，基于国际上流行的可信计算技术，综合使用数据透明加密、访问权限控制、环境可信认证、数据防泄漏控制等系列关键技术，研发了文盾文档安全管理系统。该系统可以对电子文档生命周期的全过程进行严格管理，实现了文档在创建、存储、访问、传输、使用和销毁等各个环节的安全，能够满足当前各单位电子文档安全管理的需要，杜绝由于电子文档及其内容泄露造成的各种问题。文档管理的典型安全问题调查显示：90%以上的单位目前还没有采取任何文档安全管理的特别措施。电子文档管理的安全隐患非常多，主要表现在如下几个方面：（一）对单位以外人员1.数据没有加密、直接存储在单位电脑的硬盘上，因为设备失窃造成数据丢失；2.单位具有对外服务器，外部人员通过漏洞控制了服务器，盗窃重要文档；3.单位连接了外网，重要文档被木马和病毒窃取；4.外来人员直接使用优盘等移动存储介质将单位电脑中重要资料拷贝走；（二）对单位内部人员1.员工直接使用优盘等移动存储介质将文档拷贝回家；2.单位部分电脑连接了外网，员工将文档通过网络发送出去；文盾文档安全管理系统技术白皮书第3页共6页电话：0731-85567960长沙文盾信息技术有限公司3.员工将电脑上的资料打印或刻录出来；4.员工将硬盘拆卸下来，带回家中，然后将文件拷走；5.员工采取文件另存、复制或拖动内容等手段，将加密文件的内容转移到非加密文件中，然后想其他办法把非加密文件拷走；6.员工通过截屏等方式，将文件内容保存下来；7.采取特殊工具或编写程序，将解密在内存中的数据内容保存到明文中；解决方案目前，文档安全管理的具体技术方可以归纳为三种：一种是通过加密和端口控制的方式；另一种为异地存储、远程使用方式；第三种是通过格式转换的方式。其中第一种方案的思路是：将数据进行全盘透明加密存储，并采用类似内网管理的技术手段禁止连接外部网络、打印机、USB盘、刻录机等，这样数据无法从电脑中转移出来，数据的解密需要连接公司的内部网络环境获取认证，员工无法把硬盘带回家中解密数据。这种方式管理简单但相对武断，员工的使用受到许多限制，一旦需要使用打印机等设备必须获得主管领导的批准；第二种方案的思路是：将保护的文件存放在另外一个具有物理保护的服务器上，员工通过客户端远程登陆到服务器上，借助服务器和客户端之间的屏幕传输，远程使用该电子文档。这种方式的主要缺点是性能受到服务器的影响，而且对设备的使用（如软件开发时调试硬件）不方便；第三种方案的思路是：采用包括加密在内的技术将文件数据存储格式进行转化，并为文件设计特殊的阅读和修改工具，根据文件的权限定义开放相应的功能菜单。文盾文档安全管理系统充分考虑了上述三种保护方式的优缺点，提出了文档自主防护的技术思路，即变文档传统被动防护为主动防护，一方面通过高强度的透明加解密技术实现数据的安全存储，另一方面增加细粒度的权限控制措施，明确受保护文件及其内容是否向相关进程、相关端口开放，以及开发后可进行的具体操作类型（如进程的读写、端口的发送等）。由于采用了文件自主防护技术，加密文件和非加密文件可以同时存放在磁盘上，计算机的设备可以正常使用，网络也可以照常接入，但保护的加密文件及其内容在正常使用的同时无法泄露出去。1.我们能为你做什么简单概括如下:文档加密：盗走了拿走了没法用文盾文档安全管理系统技术白皮书第4页共6页电话：0731-85567960长沙文盾信息技术有限公司权限控管：谁能看谁能印防篡改拷贝控制：防复制防拖拽防发送身份认证：你是谁怎确认要认证时间期限：过期了离职后不能用使用追踪：谁看过谁印过有记录2．我们如何做到的2.1国际标准的透明加密技术采用国家密码委指定的加密算法，随机产生密钥。通过密钥与加密文档分别隔离存储的手段,密钥的下放和解密由系统控制。在工作环境内，合法用户可以自动从服务器端获取密钥，为加密文档解密；而一旦脱离工作环境（离线），因为无法获取密钥，密文文档将不能使用。我们采用了双密钥，每个授权产品将有全球唯一的密钥，每个工作组（部门）有不同的密钥。这样既能够保证每个公司的文档具有唯一性，又能方便管理。2.2灵活的细粒度授权机制可以通过下面的方式全方位授权：1．用户授权，为各个使用者配置工作组（部门），从管理角度来定义其权限。2．通过使用时间来授权，使用者只能在指定的日期内有操作文档的权限。3．设备授权，包括光驱，软驱，USB设备，打印机，截屏的授权使用者是否能够使用这些设备，保证数据不能通过这些方式外漏。4．环境授权，只能在指定的终端上使用，以防数据在外部机器使用。5．文件授权，以权限证书的形式存储并配合文件阅读和流转发生作用。2.3简易的共享机制1.通过服务器共享；2.通过内部传输共享；3.通过选配的安全优盘共享。文盾文档安全管理系统技术白皮书第5页共6页电话：0731-85567960长沙文盾信息技术有限公司2.4完善的审计功能1．登陆日志审计。使用者每次登陆都有明确的登陆时间信息。2．操作日志审计。使用者每次操作管理控制台都有详细的操作记录，比如说加密解密文档，修改密钥，更改工作组（部门）等等。3．文件操作审计。使用者所有访问，修改，删除，重命名、打印文件都有详细的记录。2.5强大的加密文档格式支持系统提供了强大的内置文档格式，和自定义格式的支持，支持所有的文档格式。功能非常强大。不类似某些软件只提供固定的格式，解除了客户的后顾之忧。2.6周到的外部信息交流支持和移动办公的支持针对于内部资料要与外部交流存在的问题，我们也提供了两种解决方案，直接解密，或使用外发工具浏览。直接解密后的文档将不具备保护功能，使用外发工具时文档还处于加密状态，提供给外部的文档将具有保护功能，外部的资料只能在授权的机器浏览。这两种功能使用主要看具体的需求，采用不同的方案。针对于内部人员出差等外出行为，我们也提供了解决方案。外出人员可以向系统管理员申请，管理员可以分发一个离线包给外出人员，外出人员使用的使用还是类似与在公司内部网络工作。所有的数据将受到保护。针对于外部资料要进入内部网络，即把非保护资料转换成保护资料的情况，系统做了详细的考虑，用户可以直接拷贝或拖拽文件进入保护区域。3.系统独特的优点1．软件操作简单，软件按照用户的思维习惯来设计，只要有稍微熟悉计算机就能满足要求，而且系统只需要一个管理员就能满足。2．不影响使用者工作习惯，我们采用的是透明加密，所有的加密行为都是自动的，使用者将不会察觉到系统的存在。3．产品设计周全，真正实现了文件内容级防泄漏控制，既安全又方便。4．综合考虑了文件导入、文件外带等应用需求，可适应单位日常工作需要。文盾文档安全管理系统技术白皮书第6页共6页电话：0731-85567960长沙文盾信息技术有限公司5．系统适应单位联网和不联网两种情况。4我们的服务1）咨询方案支持售前，我们将派出售前技术服务工程师，上门为您进行一次详尽的演示，解答您提出的一些问题，并与您的网管人员就您的网络环境进行一次技术交流。之后，我们将成立专门的研究小组研究贵方的网络环境，制定一份昀适合您的网络，同时又昀能发挥本软件优势的解决方案。2）专业的客户培训安装完成后，我方技术服务工程师将负责对您的网管人员进行相关的培训，以保证您的网络管理人员能够很熟练的掌握本软件的各项功能。3）真诚的售后服务公司以满足广大客户的需求作为自己不断前进的动力，本着“用户至上”的理念，提供综合而全面的人性化服务提供给客户4）服务方式电话支持：提供的6×8小时/周的电话支持，为客户提供常规的产品咨询与服务，并通过电话解答一般性的系统维护、配置问题。电子邮件：客户可通过电子邮件、留言版等方式，在线向我们的技术支持工程师咨询系统安装、配置、使用、维护等问题。现场服务：当通过电话、传真、电子邮件、留言版等方式无法解决客户问题时，文盾信息可指派专业技术人员为客户提供现场支持服务5）服务承诺培训支持：提供产品培训和操作培训；技术资料：提供《用户手册（产品说明书）》等相关的技术资料；产品维护与技术支持：受理客户问题请求，提供故障排除的解决建议和技术服务；用户在使用产品时遇到任何问题，请及时与公司联系，我们将在3小时内响应客户技术需求，24小时内解决客户一般问题。固定技术支持：我们指定专门的技术服务工程师与客户保持联系，保证客户得到昀快、昀完善的服务，让沟通更快捷；产品升级：及时免费升级产品，并为客户提供昀新二次研发资料.