DocGuarder华途文档安全管理系统产品解决方案

DocGuarder华途文档安全管理系统产品解决方案计算机的应用对于普通人员来说已成为一种必备的工作技能，随着计算机硬件技术的完备，可进行存储数据文档的功能已经超过人们的想象，再加上网络技术的普及，使人们在任何地点、任何时间均能以快捷的方式获取自己想得到的东西。计算机系统以及计算机网络，在提高了数据和设备的共享性的同时，也为非法窃取国家机密或者企事业单位内部机密数据打开了绿灯。为了防止数据外泄，企事业单位往往不惜成本，购入防火墙，入侵检测，防病毒，漏洞扫描等被动式的网络安全产品。事实上信息的安全仅仅依靠上述的手段是远远不够的。目前现有企业电子文档的管理有如下的一些特性：1)文件密级无明确的规定和标识；2)分散保存，多人分散管理；3)明文方式，被获取后易泄密；4)无法确认每个文档的利用者；5)无法根据需要细分用户权限；6)文件使用无期限和次数控制。随之相对应带来的安全隐患如下：1)需保密管理的文件不明确；2)文件未经保密处理，易泄密；3)未对使用者进行严格的认证；4)文件使用权限无法分别控制；5)无法根据需要限时限次使用；6)文件使用无记录，缺乏审查。FBI（FederalBureauofInvestigation美国联邦调查局）和CSI（ComputerSecurityInstitute计算机安全学会）曾对484家企事业单位进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自企事业单位内部。在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。机密信息可以通过各种手段轻易的从企事业单位拿走，这些包括网络共享，光盘刻录，U盘复制，打印，传真，邮件发送等。对于企事业单位来说，这样的危险时刻随时存在。可见，如果文件本身没有经过任何的安全处理，要防范文件信息不被恶意的获取是非常困难的，因此只有对文件本身进行加密才能达到企事业单位的要求。虽然对计算机数据外泄途径已非常清楚，企事业单位可以采取相应的技术措施来防止数据的外泄，但这些技术措施和手段仅局限于在计算机操作系统、硬件和网络技术上，且这些技术措施并不能从根本上完全解决问题，而引起的一些后果却给企事业单位带来不良的影响，反而造成不必要的损失。针对上述情况，华途软件推出了基于网络技术的、通用的DocGuarder文档安全管理系统，协助企事业单位完善安全防范措施。I.需求分析1.泄密途径经调查统计，造成信息泄密的途径大致有以下几种：1)内部人员通过SMTP、POP3、WebMail、FTP、PSTN等方式使用网络，有意或者无意将企业内部敏感信息或涉密信息外传导致泄密；2)内部人员非法窃取公司技术资料或敏感信息；3)内部人员使用互联网传送秘密信息时被窃取；4)在互联网上，利用特洛伊木马技术，对网络进行控制，如BO、BO2000；5)外设接口：USB接口、串行总线、并行总线、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器等等；6)通过打印机打印文件造成的信息外泄；7)通过笔记本计算机联入现有网络环境进行访问复制，而造成泄密；8)大量机密文件和资料变为磁性介质、光学介质，存贮在无保护的介质里。2.预期目标对于企业或者政府机关来说，安装机密软件系统，需要实现信息资产得到有效保护的目标大致为：重要技术文档只能在授权许可范围之内使用，未经授权，无论以何种方式在授权范围之外都不可使用，即技术文件从产生开始直至完成的整个生命周期内始终处于安全加密状态。II.解决方案1.方案概述针对该类需求，DocGuarder华途文档安全管理系统能够全面解决该类信息资产安全问题。而需要说明的是，DocGuarder文档安全管理系统无须另外增添硬件设备的限制，同时也不会影响用户使用习惯，真正做到透明加密。DocGuarder华途文档安全管理系统（以下简称DocGuarder）采用256位高强度加密算法实时加密文件，综合集成了动态文档加密技术、身份认证技术、硬件绑定技术等多种技术来对企业内部机密文档进行全方位的保护。在安装DocGuarder的客户终端，使用者所生成的重要文件将自动加密保存。企业管理者可控制使用者对文档的读取、存储、复制、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。杜绝利用U盘、软盘、光盘、电子邮件等轻易地带走公司的技术文件、设计图稿、财务账目、战略计划、事业计划、研究论文等机密文件。DocGuarder加解密操作完全是动态的，无需用户手动操作。这样既节省了用户时间，同时也达到了保护文件的目的。整个加解密操作完全是后台透明实现的，不会改变用户原来的任何习惯。只要用户有改写磁盘的操作，则预先选定的文件类型就会被自动加密或是解密，用户感觉不到加解密过程的存在。这样不仅节省了用户手动加解密的操作，而且这种加密方式并不影响文件的固有属性（如只读，创建/修改/访问时间等）。DocGuarder采用等级管理模式，系统管理员可以设定不同的子管理员（如：超级管理员、文件管理员、等级管理员等）。客户端登录时，可直接使用Windows当前登录的域用户账号或者本机账号作为DocGuarder文档安全系统的账号进行校验。可以针对公司内部域管理模式设置系统的权限，也可以根据公司架构设定多个子管理员进行管理。2.预期效果DocGuarder华途文档安全管理系统的预期效果为：在客户内部构造一个安全的办公环境，即若干安装了DocGuarder文档安全管理系统的计算组成的网络系统，保证文件在全生命周期（包括在新建、浏览、编辑、更改等操作文件的时候）都处于DocGuarder系统的保护之下，在DocGuarder环境下文件能正常操作，如果被非法带出DocGuarder环境，文件都是不可用的，从而在源头上保证了文件的安全。运行效果如下：1)保存企业机密的电子文件在全生命周期始终都是受保护的。2)受保护的电子文件只在DocGuarder办公环境内部的计算机上可用，在其他计算机上不可用。3)在DocGuarder安全环境下，DocGuarder服务能够在后台监控和辅助应用程序（如Word、各种CAD软件等）不需要解除保护就直接操作文件；如果把文件拷贝到DocGuarder安全环境外，没有DocGuarder服务的帮助，应用程序就无法处理文件。4)DocGuarder能够全面监控和处理应用程序中的另存为、打印、拷贝粘贴、发送邮件等会引起泄密的操作。5)DocGuarder服务器管理员在服务器上能够实时监控作为部门服务器的控制台的工作状态和配置控制台的功能授权，并且汇总、审计控制台上的操作日志，及时发现系统安全隐患。6)DocGuarder控制台管理员在控制台上能够实时监控客户机上安全服务的工作状态和配置客户机的功能授权，及时发现文件安全隐患。7)DocGuarder系统提供分部门策略，可以设定不同部门之间的加密策略不一样，有效控制企业内部各部门之间文件的交互。8)DocGuarder提供完善的外发系统，企业内部的文件外发时，需要经过严格的内部审批流程。单位内部透明使用合法出口密文外发明文外发合法离线脱机非法出口竞争对手窃密员工离职拷贝内部有意无意泄密间谍、黑客窃密设备丢失非法脱机合法离网正常使用非法离网打开为乱码3.解决方案示意图企业内部网解决核心数据泄密风险解决文件扩散泄密风险解决与企业OA、ERP、PDM集成问题解决邮件外发控制问题灵活自定义符合业务的审批流华途DCG服务器邮件网关安全网关外出移动办公外出办公审批需求部门经理审批需求3D图源代码工程图研发图纸机密文档内部员工外出供应商客户合作伙伴公司文件文件外发解决文件外发控制问题潜在泄密者共享文件使用者共享服务器OA服务器PDM服务器ERP服务器文档加密服务器兼容性可靠性？ddd4.方案部署示意图5.方案优势1)用户体验零感觉DocGuarder客户端可在不知不觉中完成文件的加密工作，不会影响涉密客户机应用程序的工作界面，也不会改变使用者的操作习惯。同时DocGuarder加解密过程执行速度快，系统运行过程占用的系统资源少（CPU，内存），不会影响使用者原有的工作效率。2)良好的开放性DocGuarder可集成PDM系统、ERP系统、OA系统、CPC系统、设计分析系统等使用广泛的管理系统，对控制列表中不存在的管理系统，DocGuarder提供现场集成功能，能充分满足企业的复杂需求，可谓集成能力强，集成范围广。同时，DocGuarder支持所有应用程序控制，如设计类的Pro/E、UG、CATIA、AutoCAD等，办公类Office系列等，汇编类VC、VB系列等可以产生文件的程序……3)可靠的容灾机制DocGuarder允许在发生网络连接意外(如交换机故障、服务器硬件故障或网线连接故障等)时，利用故障保持功能保证客户机在故障期间的正常使用。同时，DocGuarder允许当主服务器发生硬件或系统故障时，所有客户机自动连接至备用服务器，从而保障工作的顺利进行。4)优异的兼容性DocGuarder完全兼容现有网络、硬件系统，如路由器、网关及防火墙；完全兼容已知的安全软件，如杀毒软件、防火墙软件，加密进程不会被安全软件误判为病毒或木马并被清除或终止；也兼容最新的Windows系统平台，如WindowsVista、Win7等。5)完善的加密文档管理系统操作漏洞（内容复制、屏幕截取与录制、OLE插入、内容拖拽等）；打印控制漏洞（物理打印机、虚拟打印机文件转化等）；邮件发送漏洞（SMTP-mail、WEB-mail、程序内邮件等）；存储控制漏洞（软/硬盘、U盘、刻录设备、1394/红外/蓝牙设备等）；文件传输漏洞（FTP传输、HTTP传输、P2P传输、IM（QQ、MSN）传输等）；程序控制漏洞（涉密程序改名、阻止进程加载、终止进程、卸载客户端等）；数据删除漏洞（删除、彻底删除等）。6)高效的部署方案DocGuarder支持域推送安装、远程卸载、客户端远程强制更新、客户端开机自动更新等多种灵活的系统部署方式，可大大减轻企业管理人员对该系统的维护工作量。DocGuarder支持服务器的多级分布部署。对拥有多个分支机构且分布在不同区域的大型企业而言，该功能可充分满足其使用需求。服务器分布后，所有子服务器的用户列表、用户权限、系统操作日志等均可与主服务器保持同步。6.典型应用上汽集团中远船务扬子江药业广电电气