公司DLP內部數據保護
第一部分文檔數據保護系統能為您解決
一、涉密文件強制加密
文檔數據保護系統首先秉承了文檔數據保護系統所倡導的強制加密技術。文檔數據保護系統采用先進的進程進程識別技術、強大的自身防護體系、操作系統內核驅動技術、更加安全可靠的加密算法,繼續保持了文檔數據保護系統在穩定性、安全性、運算性能等方面的絕對優勢地位。
一切操作都不變。文檔數據保護系統運行在操作系統的底層,整個加密、解密過程無需用戶介入,不改變用戶操作習慣。
自動強制加密。能夠智能識別計算機所運行的涉密數據,并自動強制對所有涉密數據進行加密操作,而不需要人的參與。體現了安全面前人人平等。
組織內部暢通交流。雖然組織內部的文件交流都是在密文狀態下進行,但是不會對您的內部交流造成任何障礙。因為我們為每一個組織提供一個全球唯一的密鑰。該密鑰放在我們提供的防破解加密狗里面。
非法獲得無法破解。如果您希望通過暴力破解的方式獲得明文,權威機構告訴我們,以現在的硬件技術,一個文件大概只要用300年左右的時間。
支持軟件種類多,且用戶可自定義。目前文檔數據保護系統已經應用在汽車、火車機車、航空、軍工、機械裝備、冶金、科研院所、化工、紡織、政府等多個行業,支持軟件種類達數百種,而且以每年近百種的速度在增加。而且文檔數據保護系統提供了良好的用戶自定義功能,允許用戶自行進行擴展。
安全策略豐富完善。文檔數據保護系統提供是否允許截屏、是否允許打印、是否允許拷貝、是否允許FTP傳輸、是否允許脫機、密級設置、外發權限設置、日志審計等等功能,滿足用戶的不同需求。
豐富的接口。文檔數據保護系統可以和PDM、OA、ERP等信息化系統緊密集成,目前文檔數據保護系統已經和數十種主流管理軟件進行了緊密集成。
二、外發文件權限控制
企業不可避免的會與外部進行文件交互,以往都是通過明文進行交互,將文件交給對方后就完全喪失了控制權,文件可能被無限制的分發、打印、使用。這種方式我們把它稱作明文外發。
文檔數據保護系統又為用戶提供了一個更加安全的信息交流方式,密文外發!在這樣一種交流方式中所有的文件交流都是在可控的狀態。
如上圖所示:
企業A外發文件給企業B和企業C都是密文狀態,企業B和企業C都可以打開企業A發送給他們的密文。但是他雙方不能打開對方的文件。
文檔數據保護系統還可以控制外發文件的使用權限,是否允許修改、是否允許打印、允許使用多少次、允許使用多少時間等等。
這樣我們就可以控制企業的所有外發文件,不會再次擴散。
三、組織內部密級控制
前面兩節我們看到了文檔數據保護系統把企業當作一個整體進行保護時所具備的優異表現。當然在一個真實的企業中對涉密文件擁有的權限是不一樣,如:設計部門的圖紙和財務部門的財務報表都是企業的涉密文件,但是設計部門沒有權限查看財務部門的財務報表,財務部門也無權瀏覽圖紙,公司總經理擁有查看公司的所有文件。
文檔數據保護系統系統可以設定多臺計算機的加密根密鑰相同(或一臺一個密鑰)。同時也可設定某臺機器具備瀏覽多個密鑰產生的文件。這樣我們就可以將企業的計算機按照需要的方式進行組織。文檔數據保護系統支持一下幾種權限控制模型:
企業內部不分密級
按照組織機構劃分
按照項目組方式組織
四、文件外發審批流程管理
作為企業的管理制度,文件不論是明文外發、密文外發,都是需要進行審批的,原來這些操作都需要手工拷貝文件到管理機,由具有相關權限的人員進行解密操作,然后再把明文文件拷貝給申請外發的人。在這種模式下不但操作復雜而且安全性低。
文檔數據保護系統增加了文件的外發審批流程管理功能,這樣不但簡化了文件外發過程,而且增強了系統的安全性,避免了更多人涉及到明文。
如下圖所示,為一個典型的文件外發審批流程:
審批流程
針對每個人的審批流程是不同的,可由用戶根據實際管理需要進行自行定制。
在這個流程中部門經理、分管副總都只是告訴文檔數據保護系統服務器同意或者拒絕,具體的解密動作部門經理、分管副總并不參與,而且申請時的密文與通過后的明文(或者外發密文),以及審批過程信息都在系統中進行了保存,可以隨時進行審計。
第二部分文檔數據保護系統功能概述
一、 文檔數據保護系統功能架構圖
文檔數據保護系統系統包含:文檔數據保護系統內核加密模塊、客戶端控制模塊、外發控制模塊、注冊服務器、策略管理服務器、行為監控服務器、自動升級服務器、備份服務器等功能模塊。
二、文檔數據保護系統功能簡介
1、文檔數據保護系統客戶端
文檔數據保護系統客戶端沒有界面即對用戶透明,不需要對終端用戶進行任何操作培訓。大大簡化了文件加密的過程。因為用戶不需要考慮:
n 哪些文件需要加密。每個文檔數據保護系統客戶端的加密策略由企業根據需要統一制定,客戶端沒有選擇的機會,只有被動的執行。
n 不需要記憶密碼。每個文檔數據保護系統客戶端的擁有哪些解密密鑰也是由服務器統一制定下發的。
n 不需要考慮網絡斷開對加密的影響。每個文檔數據保護系統客戶端都設置時間長短不同的脫機時間,在脫機時間內文檔數據保護系統客戶端正常工作不受任何影響。
n 不需要考慮性能影響。文檔數據保護系統客戶端的運行效率非常高,占用系統資源很少,經過大量測試文檔數據保護系統對應用軟件影響的范圍控制在3%~10%以內。
文檔數據保護系統對客戶端的安全控制策略中包括:
n 約300類常用軟件加密策略。
n 是否允許客戶機脫機使用及使用時間、使用次數(開機重啟動)。
n 是否允許客戶機進行打印操作。
n 是否允許客戶機進行拷屏操作。
n 是否允許客戶機進行涉密復制操作。
n 是否允許客戶機插入OLE對象操作。
n 是否記錄客戶機涉密行為??蛇x 創建、打開、保存、復制、刪除、打印、重命名、截屏等操作行為。
2、文檔數據保護系統服務器
文檔數據保護系統服務器主要是提供如下功能:
n 企業組織架構定義??蓪髽I組織架構模型,或者跟據需要定義。該架構會被用在設定策略、定義權限、定義流程等地方。
n 企業解密流程定義。系統提供按組織架構、統一流程、個性定義等多種方式滿足客戶關于解密流程的需求。
n 客戶機策略管理。文檔數據保護系統系統內置了如下策略,并且企業可根據自身情況進行自定義。
u 約300類常用軟件加密策略。
u 是否允許客戶機脫機使用及使用時間、使用次數(開機重啟動)。
u 是否允許客戶機進行打印操作。
u 是否允許客戶機進行拷屏操作。
u 是否允許客戶機進行涉密復制操作。
u 是否允許客戶機插入OLE對象操作。
u 是否記錄客戶機涉密行為??蛇x 創建、打開、保存、復制、刪除、打印、重命名、截屏等操作行為。
n 客戶機注冊服務。
n 備份服務器管理。文檔數據保護系統支持備份服務器管理機制,在主服務器宕機時可自動切換到備份服務器。增強了系統的安全性。
n 涉密文件庫。文檔數據保護系統所有外發涉密文件及解密過的文件都會集中統一存放在服務器上。以備審計使用。
n 密級管理。文檔數據保護系統可將企業內部根據需要劃分成不同部分,每個部分相互之間能否打開文件是可設定的,這樣可實現密級管理,如企業共劃分為三個密級:普通(密級1)、部門經理(密級2)、總經理(密級3)。密級高的可以打開密級低的,密級低的打不開密級高的。
3、文檔數據保護系統外發管理端
文檔數據保護系統外發管理端是管理從文件外發申請開始到外發申請結束整個過程的管理工具。它具備如下功能:
n 文件外發申請。有文件外發需求時,文件外發申請人填寫申請單,并附上需要外發的文件。如果是通過安全郵件外發的話需要填寫外發目的郵件地址。
n 待審批文檔通知。當文件外發申請人提交申請后,系統會根據規則確定是否需要審批,以及審批人是誰,系統會將申請通知發送到他的桌面上。審批人可根據文件內容確定是否通過并提交。
n 已審批文檔列表。已審批文檔列表是審批人所審批過的所有涉密文件外發審批清單??梢噪S時調出察看歷史。
n 審批完成通知。當外發文件審批完成后,系統會根據要求把文件解密成明文或者轉換為外發密文。并通知申請人已經審批完成。
5、文檔數據保護系統外發文件閱讀器
外發文件閱讀器是用來控制密文外發給企業客戶的,安裝控制形式有如下幾種方式:
n 放開安裝:這種安裝模式密級最低,只要拿到該安裝程序就可以在自己的機器上安裝,安裝過后,就可以瀏覽發給該企業的所有密文文件。
n 按密碼安裝:這種安裝模式密級較高,在安裝時必須輸入,授權密碼。安裝成功后,就可以瀏覽發給該企業的所有密文文件。
n 按照機器認證碼方式安裝:這種安裝模式密級最高,接受方企業安裝時,安裝程序提取計算機的硬件信息,該計算機在發出方系統作備案。以后文件外發時只要選擇相應的計算機,即可達到,只有這幾臺計算機能打開,其他計算機即使安裝也不能打開。
第三部分文檔數據保護系統運行環境
一、運行環境
·服務器
對軟件環境的要求
1、操作系統的要求
(1)windows 2000系列
(2)windows XP系列
(3)windows 2003系列
(4)windows Vista 系列
(5)windows 7系列
2、InternetExplorer的要求
(1)InternetExplorer 6.0以上版本
3、其他windows補丁的要求
(1) Windows Installer 3.1補丁版本
對硬件環境的要求(最低配置)
1、 C P U: PⅢ500以上處理器
2、 內 存:128MB 以上內存
3、 硬 盤:硬盤剩余空間大于300MB
4、 光 驅:CD-ROM 驅動器
5、 網 卡:10M以上網卡
6、 顯示器:VGA或者Super VGA顯示器
·客戶機
對軟件環境的要求
1、操作系統的要求
(1)windows 2000系列
(2)windows XP系列
(3)windows 2003系列
(4)windows Vista系列
(5)windows 7系列
2、InternetExplorer的要求
(1)InternetExplorer 6.0以上版本
3、其他windows補丁的要求
(2) Windows Installer 3.1補丁版本
對硬件環境的要求(最低配置)
1、 C P U: PⅢ500以上處理器
2、 內 存:128MB 以上內存
3、 硬 盤:硬盤剩余空間大于300MB
4、 光 驅:CD-ROM 驅動器
5、 網 卡:10M以上網卡
6、 顯示器:VGA或者Super VGA顯示器
第四部分實施及服務
咨詢實施和售后服務是文檔數據保護系統的重要組成部分,它從系統初始選型和運行支持兩個方面確保了系統的成功應用,為客戶提高工作效率節省成本。
一、咨詢實施指南
咨詢實施就是對企業進行的組織結構、業務流程等進行深入分析和研究,結合企業特點和管理需求、加密軟件的理念以及產品三方面因素,進行系統功能選型、功能合理整合,最終實現用戶順利應用協同辦公的全過程。
公司作為一個專業化的軟件開發、管理應用和服務公司,在應用系統集成與管理上有充分的經驗和先進的方法。在本項目上,公司將使用其成熟的管理方法,來指導組織和管理公司本身的產品和技術,以及與其他合作伙伴的產品和技術所構成的整個系統的集成開發、實施工作。公司將負責監控整個項目的實施進度,協調集成各個的資源,以及與用戶之間的協調關系,提供完善的支持服務。
二、售后服務
2.1、軟件升級和維護(ACSP)
ACSP 是年度客戶服務計劃(Annual Customer Support Plan)的縮寫,公司推出的年度客戶服務計劃,公司對所有具有有效年度客戶服務計劃(下稱ACSP)的客戶,提供以下所描述的服務:
21.2在線支持
當客戶具有有效的ACSP合約,該客戶就有一個有效的帳戶和口令來訪問我們因特網站上的客戶支持主頁Support On-line,該主頁是公司向客戶發布升級產品和程序補丁的最主要方法。同時該網頁向客戶提供了很多非常有用的最新的技術參考信息,使產品用戶之間能夠相互分享和交換產品的使用經驗。該網頁還提供了其它許多有用信息,因此我們鼓勵各產品用戶經常地瀏覽該網頁。
2.1.4 產品升級
會不斷地推出在計算機技術和數據安全管理方面更先進更有效的當前產品的增強版或新版本,不僅滿足市場的需求,同時保護現有產品用戶的投資和利益。當客戶具有有效的ACSP合約,該客戶就可以免費得到當前產品的增強版或新的升級版本,但該免費升級不包括操作系統等軟硬件環境變更和新版本的外加Add-on模塊。
如果客戶決定不再購買ACSP,但在今后某一時間有意取得產品的增強版或新版本,則該增強版或新版本只有在該客戶向我們繳付自前一ACSP時期結束以來所有的ACSP費用,并購買新年度的ACSP服務之后方可取得。
2.1.6 客戶關系管理
對于具有有效ACSP合約的客戶,我們將定期地進行客戶電話訪問??蛻綦娫捲L問的目的在于更好地建立和維護客戶和我們公司之間的溝通和合作關系,以保證雙方之間的理解和相互支持。通過客戶電話訪問,我們公司可以了解客戶的實施計劃和其它要求,客戶也可以了解我們公司的一些新的計劃和打算。
2.1.8 其它一些優惠
當客戶具有有效的ACSP合約時,該客戶將能享受其它一些優惠服務。例如,可以以最優惠的價格參加我們的用戶培訓課程等。
2.2、ACSP的延續
2.2.1 在上述維護服務期過后,甲方于上個維護服務年限的最后一個月份將下個年限的維護服務年費以支票(或電匯等)方式支付給乙方。甲方繳納維護服務年費后,乙方應免費提供如本附件條款1中所描述的服務。
2.2.2 除首次購買使用權時必須同時購買ACSP外,以后的年度甲方有權決定是否繼續交納維護服務年費。如不再繼續繳納,甲方不承擔任何違約責任。乙方作為另行標價和有償使用的新產品不在此列,不能作為“軟件”的更新和升級。