前沿檔安管理統(tǒng)產(chǎn)品紹

目錄述......................................................................................................................................3......................................................................................................................................................................................3............................................................................................................4....................................................................................................................4....................................................................................................................5........................................................................................................................................................................................................................................................................................................................................................7程............................................................................................................................................................................7序................................................................................................制貼放制...................................................................8........................................................................................................................................................................................9..............................................................................................................10..............................................................................................................10..............................................................................................................10..................................................................................................................10..........................................................................................................10理............................................................................................................................................................................................................11能............................................................................................................................................................................................................11自定型..........................................................................................自定......................................................................................................11身份......................................................................................................12/軟............................................................................................................................................................................................................................................................................................14..................................................................................................................14..................................................................................................................14..................................................................................................................14..................................................................................................................14..............................................................................................................15..................................................................................................................15......................................................................求..........................................................15制..........................................................................................................................................................16..........................................................................................................161

..................................................................................................17子..........................................................................................................................................................................19......................................................................................20........................................................................................................21..................................................................................................................21..............................................................................................21們............................................................................................................................212

1.概述隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)與網(wǎng)絡(luò)已經(jīng)成為企事業(yè)單位不可或缺的工具和載體。企業(yè)內(nèi)的大量重要信息如圖紙文檔、研發(fā)成果、技術(shù)資料、財(cái)務(wù)信息、項(xiàng)目方案、招投標(biāo)書(shū)、渠道與客戶檔案、人事檔案等都散布在員工的電腦或流轉(zhuǎn)于網(wǎng)絡(luò)之中，因此給企業(yè)的信息安全帶來(lái)了巨大的挑戰(zhàn)。我們從眾多泄密事件的統(tǒng)計(jì)數(shù)據(jù)上看，企業(yè)文檔信息的主要來(lái)自于：內(nèi)部員工故意或無(wú)意中泄露、競(jìng)爭(zhēng)對(duì)手通過(guò)各種手段惡意侵占或獵取、計(jì)算機(jī)被盜或遺失等事件其中又以內(nèi)部員工泄密方式最為嚴(yán)重超過(guò)70%的比例而典型案例則大多發(fā)生在有意或即將離職、對(duì)公司不忠或有不滿情緒的員工身上。200935日中央電視臺(tái)3晚會(huì)報(bào)道出來(lái)的泄密事件讓我們每個(gè)人非常震驚，而力拓泄密門、新國(guó)家保密法的修訂，讓我們每個(gè)企業(yè)在享受電腦網(wǎng)絡(luò)帶來(lái)便利的同時(shí)也讓我們深思，如何幫助我們企業(yè)如何在獲得計(jì)算機(jī)和網(wǎng)絡(luò)所提供的高效率和便利的同時(shí)，保護(hù)好企業(yè)的核心機(jī)密進(jìn)而維護(hù)企業(yè)的核心競(jìng)爭(zhēng)力？2.前沿文檔安全管理系統(tǒng)信息防泄漏解決方案

項(xiàng)目背景公司在不斷的發(fā)展過(guò)程中，發(fā)現(xiàn)有以下問(wèn)題發(fā)生：1內(nèi)部員工或外人員使用U移動(dòng)硬盤SD卡等存儲(chǔ)設(shè)備復(fù)制涉密信息；2通過(guò)刻錄、打印、P2P傳輸、即時(shí)通訊、電子郵件等方式傳送涉密信息；3保存有涉密信息的存儲(chǔ)設(shè)備（U盤、硬盤等）被帶出公司或不慎遺失；4內(nèi)部人員進(jìn)入非權(quán)限內(nèi)涉密部門的計(jì)算機(jī)系統(tǒng)，獲取涉密信息；5網(wǎng)絡(luò)黑客、商業(yè)間諜通過(guò)病毒、木馬等非法侵入公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，直接傳送或復(fù)制企業(yè)涉密信息，盜賣獲利；6在報(bào)廢電腦或硬盤時(shí)，未對(duì)其中的文件進(jìn)行銷毀處理，導(dǎo)致泄密；7公司員工攜帶涉密信息的電腦離職或涉密電腦外帶時(shí)不慎丟失。3

項(xiàng)目需求析現(xiàn)今各機(jī)關(guān)企事業(yè)單位已經(jīng)進(jìn)入了利用計(jì)算機(jī)辦公的時(shí)代員工們用計(jì)算機(jī)代替了傳統(tǒng)的筆和計(jì)事本，各種應(yīng)用格式的電子文檔也代替了傳統(tǒng)的紙制文件。目前機(jī)關(guān)單位的政務(wù)信息、設(shè)計(jì)機(jī)構(gòu)的工程圖紙、企業(yè)的企劃方案和財(cái)務(wù)報(bào)表都制作成了電子文檔。與紙制文件相比電子文檔的優(yōu)勢(shì)非常明顯：編輯功能強(qiáng)大、制作方便、易于修改、便于編目存儲(chǔ)與查閱。電子文檔給大家?guī)?lái)方便的同時(shí)也帶來(lái)了重大的安全隱患于電子文檔便于攜帶和傳播，一臺(tái)筆記本電腦、一張軟盤、一個(gè)盤、甚至一封電子郵件都有可能將絕密的電子文檔輕易的復(fù)制、非法帶離。XX公司需要建立一套合國(guó)家保密政策，可實(shí)現(xiàn)按文件密、人員涉密級(jí)進(jìn)行針對(duì)性保護(hù)的文檔安全系統(tǒng)，構(gòu)建起XX公司的文檔安全保護(hù)平臺(tái)。

項(xiàng)目目標(biāo)希望通過(guò)本次的文檔安全建設(shè)，建立XX公司的文檔安全體系，XX公司的涉密文檔在使用、保護(hù)、授權(quán)等方面符合國(guó)家保密政策，實(shí)現(xiàn)按部門、用戶的安全使用機(jī)制。一方面應(yīng)該建設(shè)出一套穩(wěn)定、高效的文檔安全系統(tǒng)，另一方面制訂出XX公司的文檔安全規(guī)章制度。將所有需加密的文檔采用自動(dòng)強(qiáng)制加密在文檔加密方面，通過(guò)自動(dòng)加密方式真正的做到精確定位所有涉密、重要的電子文檔，實(shí)現(xiàn)文檔安全與使用靈活的統(tǒng)一。既不放過(guò)任何需要加密的文檔，又不過(guò)分限制非涉密的文檔和員工個(gè)人文檔。同時(shí)保護(hù)XX公司和所有員工的權(quán)益，兼顧安全防護(hù)和以人為本。授權(quán)方面遵循國(guó)家保密政策，按文件密級(jí)、涉密人員的密級(jí)，建立一套完整的授權(quán)體系，為公司公開(kāi)文檔、各部門文檔、個(gè)人涉密文檔、特殊文檔等各種不同類型、不同內(nèi)容、不同閱讀人群的文檔有針對(duì)性的建立文檔授權(quán)使用策略。還應(yīng)實(shí)現(xiàn)，一旦文檔使用需求發(fā)生改變，系統(tǒng)可即時(shí)調(diào)整文檔授權(quán)策略。用戶管理、用戶組管理、管理員管理上實(shí)現(xiàn)多權(quán)限、日志跟蹤不受登錄4

地點(diǎn)、登錄計(jì)算機(jī)的限制，做到授權(quán)、監(jiān)督鎖定到人。同時(shí)提供多級(jí)管理員、多角色管理員的功能，將管理角色細(xì)化。在部署方面，系統(tǒng)要能夠適XX司現(xiàn)有的網(wǎng)絡(luò)環(huán)境與應(yīng)用系統(tǒng)環(huán)境。前沿科技在滿足用戶標(biāo)書(shū)中所提出的功能的基礎(chǔ)上將強(qiáng)調(diào)系統(tǒng)的安全性穩(wěn)定性、靈活性和擴(kuò)展性。全力為XX司建立適合其需要的文檔加密系統(tǒng)。

項(xiàng)目范圍待定前沿文檔全管理系統(tǒng)設(shè)計(jì)原理前沿文檔安全管理系統(tǒng)設(shè)計(jì)者們認(rèn)為件格式的通用性”問(wèn)題是計(jì)算機(jī)數(shù)據(jù)信息安全的關(guān)鍵因素。要從根本上解決計(jì)算機(jī)數(shù)據(jù)的保密問(wèn)題，就必須阻斷這種文件格式的通用性，但同時(shí)還要保證這種通用性在內(nèi)部的有效性、數(shù)據(jù)使用的方便性?！肚把匚臋n安全管理系統(tǒng)》的設(shè)計(jì)目標(biāo)具體地可以細(xì)化為以下幾點(diǎn)：(1)保證理想的防護(hù)效果，不能因?yàn)楦鞣N原因（內(nèi)部、外部、有意、無(wú)意）而導(dǎo)致資料泄露；(2)萬(wàn)一產(chǎn)生泄密事件，要能夠追查回溯，查出責(zé)任人，并保存相關(guān)證據(jù)；(3)不影響現(xiàn)有的工作模式和操作習(xí)慣；(4)不引起員工的強(qiáng)烈反對(duì)；(5)不影響員工的工作效率；(6)不提高管理成本。

前沿文檔全管理系統(tǒng)息防泄漏方案紹前沿文檔安全管理系統(tǒng)于2003年初開(kāi)始研發(fā)據(jù)多年來(lái)積累的眾多的市場(chǎng)反饋的經(jīng)驗(yàn)，包括功能性、安全性、可靠性等，特別是針對(duì)政府單位和大型企業(yè)的需求而研發(fā)，其內(nèi)部架構(gòu)有著相當(dāng)大的彈性“前沿文安全管理系統(tǒng)”以加密與鑒別技術(shù)為核心，不僅具有前沿文檔安全管理系統(tǒng)的自動(dòng)加密、盤管控、打印5

控制、程序控制、日志監(jiān)控、自動(dòng)備份、外發(fā)文件控制等功能，還將身份認(rèn)證與權(quán)限管理嵌入系統(tǒng)中，具有身份識(shí)別與權(quán)限控制等功能，可適用任何管理需求大型規(guī)模的企業(yè)和機(jī)構(gòu)，是國(guó)內(nèi)最先進(jìn)、最穩(wěn)定、最安全的反泄密解決方案。事前主防御:沿文檔安全管理系統(tǒng)反泄密軟件對(duì)已有的或正在生成的Office、CADPDF等各種格式的電子文檔及設(shè)計(jì)圖紙進(jìn)行加密保護(hù)，被加密的文檔只能被授權(quán)用戶在授權(quán)環(huán)境（如,企業(yè)內(nèi)部網(wǎng)絡(luò)）中應(yīng)用，文檔在創(chuàng)建、存儲(chǔ)、應(yīng)用、傳輸?shù)拳h(huán)節(jié)中均為加密狀態(tài)經(jīng)授權(quán)或脫離授權(quán)環(huán)境，加密信息均無(wú)法打開(kāi)使用。事中有控制:沿文檔安全管理系統(tǒng)反泄密軟件的加密過(guò)程不會(huì)因修改程序或進(jìn)程名，更改保存文件后綴等作弊手段而失效，同時(shí)加密文檔的復(fù)/剪切/拖放/粘貼等操作也受到限制,向加密文件中拖放/貝/粘貼的操作將被自動(dòng)禁止。除此以外，前沿文檔安全管理系統(tǒng)反泄密軟件對(duì)打印,U盤等存儲(chǔ)工具,記本電腦均有控制措施，并借助分組策略和身份權(quán)限的認(rèn)證管理等技術(shù)進(jìn)行更細(xì)化的設(shè)置和保護(hù)。事后溯補(bǔ)缺:沿文檔安全管理系統(tǒng)反泄密軟件提供日志記錄和自動(dòng)備份功能，前者可以將指定的操作過(guò)程詳細(xì)、完整地記錄下來(lái)，方便監(jiān)督檢查和問(wèn)題溯源;后者可以在文件被有意或無(wú)意刪除或損壞時(shí)，通過(guò)備份資料及時(shí)恢復(fù)。文件在備份的傳輸、存儲(chǔ)和恢復(fù)過(guò)程中均以加密形式存在。

前沿文檔全管理系統(tǒng)關(guān)鍵技術(shù)采指紋內(nèi)置方內(nèi)核級(jí)密技術(shù)，支任意格指紋內(nèi)置方案的內(nèi)核加密技術(shù)，是目前為止，在常見(jiàn)的五種內(nèi)核加密實(shí)現(xiàn)方式中最完善的加密技術(shù)。該方案將加密標(biāo)識(shí)內(nèi)置于文件內(nèi)，成為文件的一部分。當(dāng)要打開(kāi)文件時(shí)，會(huì)首先檢查此文件是否含有加密標(biāo)識(shí)。如果有，則對(duì)此文件進(jìn)行透明解密。當(dāng)要保存文件時(shí)，對(duì)內(nèi)存中的文件流進(jìn)行透明的加密，然后寫上加密標(biāo)識(shí)。指紋內(nèi)置方案，使得身份認(rèn)證技術(shù)成為可能。通過(guò)不對(duì)稱算法和對(duì)稱算法的結(jié)合然后在指紋中加入相應(yīng)的證書(shū)使得可以真正實(shí)現(xiàn)一份文檔某些（身份）可以打開(kāi)，而其他人（身份）則不可以。6

多加密模型前沿文檔安全管理系統(tǒng)根據(jù)實(shí)際需要，可以對(duì)不同的軟件分別實(shí)現(xiàn)打開(kāi)加密、保存加密、智能加密和不加密4種不同的加密模型。打開(kāi)加：加密文件一經(jīng)打開(kāi)便被軟件進(jìn)行加密。保存加：有對(duì)未加密的文件進(jìn)行修改保存后，軟件才會(huì)對(duì)其進(jìn)行加密。不加密：軟件不對(duì)電腦上的文件進(jìn)行任何加密操作但仍然可以打開(kāi)加密的文件智能加：選用此加密方式打開(kāi)加密的文件修改保存后文件為加密文件打開(kāi)未加密文件，修改保存后文件則為未加密文件，但是同時(shí)打開(kāi)已加密的文件與未加密的文件修改保存后，兩者將都為加密文件。

完透明的加密程當(dāng)用Word打開(kāi)一個(gè)DOC文檔，用打開(kāi)一個(gè)文件時(shí)。前沿文檔安全管理系統(tǒng)會(huì)自動(dòng)監(jiān)測(cè)到此操作，并進(jìn)行相關(guān)的解密工作，當(dāng)要保存此文件時(shí)，又會(huì)進(jìn)行相關(guān)的加密工作。所有的這些動(dòng)作都是前沿文檔安全管理系統(tǒng)在背后默默完成的，用戶根本無(wú)需也無(wú)法進(jìn)行干預(yù)。這些被加密過(guò)的文件無(wú)論采用何種方式——用U盤拷貝、用光盤刻錄、發(fā)郵件、Ftp上傳、QQP2P工具上傳——泄漏出去的文件均無(wú)法打開(kāi)。

內(nèi)識(shí)別，而非展名識(shí)根據(jù)文件內(nèi)容而不是文件擴(kuò)展名來(lái)識(shí)別文件是否要加密。如果采用擴(kuò)展名來(lái)決定文件是否要加密，則有可能導(dǎo)致泄密事件的發(fā)生。比如有些軟件安裝某些插件后，可以導(dǎo)出新的文件格式，比如安Acrobat后，可MS、中形成插件。直接導(dǎo)出PDF格式的文件。當(dāng)然我們也可以將以為擴(kuò)展名的文件也加密，但我們終究無(wú)法窮舉所有插件。另外還有一個(gè)更嚴(yán)重的問(wèn)題是：當(dāng)我們保存文件時(shí)，可以將文件的擴(kuò)展名強(qiáng)制用雙引號(hào)更改，比如當(dāng)出現(xiàn)保存對(duì)話框時(shí)，我們輸”c:\a.abc”，則此時(shí)將會(huì)在C盤根目錄下生成一個(gè)a.abc件，當(dāng)然如果用擴(kuò)展名識(shí)別技術(shù)，此文件將會(huì)逃過(guò)加密。7

精識(shí)別受控程前沿文檔安全管理系統(tǒng)并不依賴可執(zhí)行程序的名稱來(lái)確定是否是受控程序，也并不計(jì)算可執(zhí)行程序的MD5值。而是有一套專用智能識(shí)別算法。如果依賴進(jìn)程名來(lái)確定該程序是否是要受控的程序，則當(dāng)用戶手工修改程序名時(shí)，如將EXCEL.EXE改成abc.exe。就將會(huì)繞過(guò)加密軟件的控制。導(dǎo)致明文的產(chǎn)生。而如果采用MD5值的話，當(dāng)用UPX等壓縮軟件將可行程序壓縮后，其MD將會(huì)改變，同樣可以繞過(guò)加密軟件的控制。前沿文檔安全管理系統(tǒng)采用智能的識(shí)別技術(shù)，無(wú)論用戶做出如何修改，都能夠被正確的識(shí)別出來(lái)。

人化的復(fù)制/貼/拖放截屏控制若采用復(fù)制/貼可將加密的內(nèi)容拷貝至非加密內(nèi)容中可導(dǎo)致信息的泄密。但若限制復(fù)制粘貼等功能，則用戶的日常工作將會(huì)受到影響。前沿文檔安全管理系統(tǒng)設(shè)計(jì)的初衷是在提供信息保密的同時(shí)又不能影響用戶的使用習(xí)慣。對(duì)此前沿文檔安全管理系統(tǒng)采用的策略是：加密文件之間可以互相復(fù)制貼，非加密文件之間也可互相復(fù)制/貼，非加密文件的內(nèi)容可粘貼至加密文件，但加密文件的內(nèi)容不可粘貼至非加密文件中。對(duì)于拖放，前沿文檔安全管理系統(tǒng)也采用同樣的策略。對(duì)于拷屏的策略是，如果有加密的文件處在打開(kāi)狀態(tài)，則禁止拷屏，否則允許。1)基于PKI系的加密同常見(jiàn)的透明加密產(chǎn)品相比，前沿文檔安全管理系統(tǒng)采用體系。其加密不再依賴于一般透明加密產(chǎn)品所采用的密鑰而是依賴數(shù)字證書(shū)。依賴體系，前沿文檔安全管理系統(tǒng)可以實(shí)現(xiàn)各種復(fù)雜的應(yīng)用模型。2)兩種戶識(shí)別模式根據(jù)用戶實(shí)際情況前沿文檔安全管理系統(tǒng)同時(shí)支持兩種用戶識(shí)別模式分別為“硬件號(hào)”及“用戶名一個(gè)是與硬件號(hào)綁定通過(guò)識(shí)別電腦硬件來(lái)判定使用者所具有的權(quán)限這種識(shí)別模式適用于專門人員擁有自己的電腦或者沒(méi)有安裝域控制器的公司網(wǎng)絡(luò)使用。另一種則是通過(guò)域用戶進(jìn)行管理用這種模式的時(shí)候客戶端可以通過(guò)登錄的域帳號(hào)來(lái)判定該帳號(hào)所具有的權(quán)限。這種識(shí)別模式適用于大型企業(yè)內(nèi)部帶有域的8

網(wǎng)絡(luò)。3)靈活組策略結(jié)構(gòu)前沿文檔安全管理系統(tǒng)采用的組織結(jié)構(gòu)以Root根，可以無(wú)限級(jí)分組。對(duì)于每一個(gè)組、用戶均可進(jìn)行單獨(dú)的設(shè)置。同時(shí)根據(jù)需要，下層組可以選擇是否繼續(xù)上層的設(shè)置。當(dāng)之間的設(shè)置有沖突時(shí)，自動(dòng)以最嚴(yán)格的設(shè)置為準(zhǔn)。4)強(qiáng)大而靈權(quán)限控前沿文檔安全管理系統(tǒng)不是一個(gè)單純的加密軟件是將分級(jí)管理的思想納入其中。舉例來(lái)說(shuō)，有技術(shù)部、財(cái)務(wù)部、銷售部三個(gè)部門。這三個(gè)部門的文件需要相互隔離。但有的時(shí)候又需要交流，比如財(cái)務(wù)部要發(fā)一份《餐旅報(bào)銷注意事項(xiàng)》給所有的部門。銷售部要發(fā)一份客戶的要求給技術(shù)部，技術(shù)部要將設(shè)計(jì)方案回傳給銷售部。如果文件在之間流轉(zhuǎn)需要解密的話，將會(huì)帶來(lái)一定泄密風(fēng)險(xiǎn)。而利用前沿文檔安全管理系統(tǒng)基于系的權(quán)限控制，則可以很好的解決這個(gè)問(wèn)題。當(dāng)財(cái)務(wù)部需要向整個(gè)公司發(fā)一份文件時(shí)，可以設(shè)定其他部門對(duì)這份文件的權(quán)限為只讀。當(dāng)技術(shù)部需要將設(shè)計(jì)方案?jìng)鹘o銷售部時(shí)，可以設(shè)置銷售部或者銷售部某個(gè)人對(duì)這份文件權(quán)限為只讀、不可打印、同時(shí)限定使用時(shí)間。而所有這些，均不需要解密文件，而只需要調(diào)整指定文件的權(quán)限即可。

前沿文檔全管理系統(tǒng)主要功能加保護(hù)在用戶的涉密電腦上安裝客戶端動(dòng)強(qiáng)制地對(duì)需要保護(hù)的圖紙文檔進(jìn)行自動(dòng)加密。這些文檔只能在內(nèi)部使用，無(wú)論采取什么方式被帶離內(nèi)部環(huán)境以后，該文檔將無(wú)法打開(kāi)。這樣一種加密過(guò)程無(wú)需也無(wú)法干涉，基本不影響員工使用習(xí)慣，是一種完全透明的加密過(guò)程。同傳統(tǒng)透明加密產(chǎn)品相比前沿文檔安全管理系統(tǒng)采用體系其加密不再依賴密鑰而是依賴數(shù)字證書(shū)。依賴PKI體系，前沿文檔安全管理系統(tǒng)可以實(shí)現(xiàn)各種復(fù)雜的應(yīng)用模型?；谙?，透明的、強(qiáng)制的、自動(dòng)的加密涉密文檔。使這些文件，在特定的環(huán)境下可以使用。如公司內(nèi)部（私自帶離公司無(wú)法打開(kāi)門內(nèi)（私自拿到其他部門或公司外部無(wú)法打開(kāi)可以設(shè)定這些文檔的權(quán)限，規(guī)定哪些人可以查閱、哪些人可以打印、哪些人可以修改、哪些人又只能使用到9

什么時(shí)間。

設(shè)控制對(duì)一些可能產(chǎn)生泄密的設(shè)備進(jìn)行控制，如打印機(jī)和移動(dòng)存儲(chǔ)設(shè)備（U盤、、手機(jī)等對(duì)于打印機(jī)，可以設(shè)定某人某組是否可以打印涉密文檔。對(duì)于移動(dòng)存儲(chǔ)設(shè)備，則可以根據(jù)實(shí)際要求，設(shè)置出強(qiáng)大的使用規(guī)則。對(duì)于入和出（相對(duì)電腦而言）可以分別進(jìn)行控制，組合后可以實(shí)現(xiàn)9使用規(guī)則。實(shí)現(xiàn)如只讀、禁用、拷入加密、拷出加密、只出不入等諸多功能。

自備份為防止文件意外損壞或者惡意刪除沿文檔安全管理系統(tǒng)提供了自動(dòng)備份的功能。對(duì)于一些涉密的文件，當(dāng)其打開(kāi)時(shí)，即檢查備份庫(kù)中是否存在此文件，如不存在或者文件較舊，則自動(dòng)備份之。并且可以根據(jù)此備份文件，形成一條版本庫(kù)，查詢到每次更改的內(nèi)容。

日監(jiān)控對(duì)于可能導(dǎo)致泄密的操作進(jìn)行監(jiān)控，如打印、拷盤、解密文件等操作日志傳送至服務(wù)器，以備后期追查；同時(shí)詳細(xì)記錄管理端、解密端和服務(wù)器端的管理操作日志，方便追溯審計(jì)。

附加功能外文控制通過(guò)外發(fā)文件控制軟件，可以對(duì)需要向外發(fā)送的投標(biāo)書(shū)、財(cái)務(wù)資料、圖紙等重要文件的打開(kāi)、修改、打印及使用時(shí)間等權(quán)限進(jìn)行設(shè)置，超過(guò)該設(shè)置期限，將成為無(wú)效文件，從而有效防范所授權(quán)外發(fā)的重要文件在離開(kāi)公司管控范圍后而產(chǎn)生的泄密情況的發(fā)生。10

筆本電腦的管為防止筆記本電腦丟失對(duì)于需要攜帶外出的筆記本可以設(shè)置其有效使用時(shí)間或需要加密狗連線使用。當(dāng)時(shí)效已過(guò)或者與加密狗脫離時(shí)，其中已加密的電子文檔將無(wú)法打開(kāi)。注意：筆記本應(yīng)與加密狗分開(kāi)存放。

行控制可以禁止編輯注冊(cè)表、禁止使用電騾等下載工具，禁止使用QQ游戲等與工作無(wú)關(guān)的程序。當(dāng)發(fā)現(xiàn)用戶使用了某些不該使用的程序時(shí)，前沿文檔安全管理系統(tǒng)將可以自動(dòng)將其關(guān)閉，防止上班時(shí)間做一些與工作無(wú)關(guān)的事情。

解申請(qǐng)與管理能在客戶端可以安裝前沿文檔安全管理系統(tǒng)解密助手，當(dāng)有解密、打印、使用U盤、恢復(fù)復(fù)制粘貼功能等時(shí)，可以通過(guò)該工具向管理端發(fā)出相關(guān)申請(qǐng)，也可以發(fā)送即時(shí)消息，管理端的負(fù)責(zé)人可以根據(jù)申請(qǐng)的情況做出相應(yīng)的授權(quán)。同時(shí)將在服務(wù)器上形成相關(guān)日志。2.10獨(dú)特功能2.10.1

自定義控軟件類型自定義功能是判斷一個(gè)加密軟件產(chǎn)品是否是真正“內(nèi)核加密技術(shù)的基本方式之一。在前沿文檔安全管理系統(tǒng)軟件中，除了已經(jīng)設(shè)置好的可受控程序列表以外，由于采用的是最高級(jí)別的內(nèi)核加密技術(shù)，支持客戶自定義受控軟件類型。2.10.2

自定義名單與自定義軟件類型特點(diǎn)類似了前沿文檔安全管理系統(tǒng)已經(jīng)設(shè)置好的備選程序列表以外，客戶可以自定義受控程序黑名單，但前沿不承諾對(duì)任何程序都可以自定義為受控軟件。11

2.10.3

身份權(quán)管理前沿文檔安全管理系統(tǒng)的權(quán)限管理是以非對(duì)稱算法為基礎(chǔ)過(guò)身份證書(shū)來(lái)標(biāo)明不同的用戶，并將權(quán)限信息植于加密文件內(nèi)部來(lái)實(shí)現(xiàn)的，與傳統(tǒng)的通過(guò)密鑰來(lái)分割權(quán)限的方式相比具有明顯的優(yōu)勢(shì)。文件在門間流轉(zhuǎn)無(wú)解密比如：默認(rèn)情況下，技術(shù)部的文件只能由技術(shù)部打開(kāi)。當(dāng)銷售部需要某份技術(shù)文件時(shí)，由技術(shù)部負(fù)責(zé)人將該文件的權(quán)限屬性設(shè)定為允許銷售部或者銷售部某個(gè)人可以打開(kāi)即可。整個(gè)內(nèi)部過(guò)程無(wú)需解密，文件始終處于加密狀態(tài)。靈活方的設(shè)置可滿多種工模式既可以設(shè)置某一個(gè)人同時(shí)擁有多種身份以便打開(kāi)不同權(quán)限的文件可以設(shè)置允許一個(gè)文件可以被其它身份的人打開(kāi)。這種身份和權(quán)限還可以根據(jù)需要隨時(shí)調(diào)整。2.11前沿文檔安全管理系統(tǒng)軟件的適用程序/軟件范圍適用程序/軟件范圍舉例機(jī)械設(shè)類–中望CAD，支持中望CAD一切版本及二次開(kāi)發(fā)版；–AUTOCAD，支AUTOCAD142000200220042005200620072008、20092010英版及二次開(kāi)發(fā)版；支持MDT，Inventor三維設(shè)計(jì)軟件保存的所有格式；–支持SolidWorks20002009版本，能加密其保存或另存的所有格式；–支持2001及其以上版本和野火系列的中英文版能加密保存或另存的所有格式；–支持UGNX1.0、UGNX、NX4.0、NX5.0等版本，能加密UG保存或另存的所有格式；–支持CATIAV5、CATIAV5、V5等版本，能加密保存或另存的所有格式；–支持NXV11等版本，能加密保或另存的所有格式；–支持開(kāi)目CAD2005版本所存的所有格式文件；12

–支持CAXA電子圖版，CAXA2004CAXA2005CAXACAXACAXA2009等版本；

電器設(shè)類–99、、等。

辦公類–全面支持Office系列，能自動(dòng)加密Office系列所產(chǎn)生的任何文件格式，以及、全版本；–支持WPS系列，包括2000、WPS、WPS2005、wps2007、wps2009等版本；–

支持Adobe、5.0、reader9.0以及Acrobat所成的PDF文件的加密，包括支持、、AUTOCAD的PDF保存插件。–其它如Foxit、SPSS、JMP等。

圖象設(shè)類–支持Photoshop等圖像處理系統(tǒng)的所有格式文件；–支持CorelDraw9/10/11/12/13等圖像處理系統(tǒng)的所有格式文件；–支持ACDSee2各版本、各版本、、3dsMax、LightScape等。已上是部常用件的舉例，軟件范圍將不斷更新加。于不列表的應(yīng)程序用戶將相關(guān)信息提交至技術(shù)部，由本司完添加

支持的作系統(tǒng)–Windows2000Windows、windows2008、Windows、windows7系列操作系統(tǒng)含64位。2.12前沿文檔安全管理系統(tǒng)軟件的產(chǎn)品優(yōu)勢(shì)(1)加、解密速度快，不影響工作效率；(2)難以被追蹤破解，安全系數(shù)高；(3)應(yīng)用范圍不受限制，可以任意添加受控程序（應(yīng)用軟件(4)加解密過(guò)程幕后自動(dòng)完成，用戶無(wú)需也無(wú)法進(jìn)行干預(yù)，真正不影響用戶工作習(xí)慣；13

(5)由于采用微軟的原代碼技術(shù)，讓機(jī)密文件得到最周全的保護(hù)并無(wú)縫地嵌入操作系統(tǒng)，操作界面更加人性化，使用與維護(hù)方便、快捷；(6)可以與大多數(shù)軟件和硬件系統(tǒng)友好兼容與對(duì)接如公司統(tǒng)、PDM統(tǒng)、ERP統(tǒng)等；(7)強(qiáng)大的平臺(tái)功能，為各類用戶的定制開(kāi)發(fā)提供了方便之門，軟件的擴(kuò)展應(yīng)用空間廣闊；(8)為企業(yè)提供了一個(gè)幾近完美的低應(yīng)用成本、高可靠性的信息防泄漏解決方案。3.前沿文檔安全管理系統(tǒng)的實(shí)施流程與效果

系統(tǒng)的構(gòu)前沿文檔安全管理系統(tǒng)主要由以下模塊組成：

服端服務(wù)端主要用于所有客戶端、管理端以及解密端的集中配置和管理。

客端接收服務(wù)器的策略設(shè)置，對(duì)本機(jī)進(jìn)行自動(dòng)加密、軟硬件管理等操作。客戶端采用無(wú)界面設(shè)計(jì)，在安裝好客戶端后，員工不會(huì)感覺(jué)到有前沿文檔安全管理系統(tǒng)的存在。所有的加密等操作均是在背后由客戶端自動(dòng)完成，此過(guò)程無(wú)需也不可干預(yù)。

解端解密端主要分配給企業(yè)或部門的核心領(lǐng)導(dǎo)或相關(guān)人員需要外發(fā)的本機(jī)文件進(jìn)行解密。其解密動(dòng)作將會(huì)在服務(wù)器上產(chǎn)生日志記錄。建議謹(jǐn)慎分配。

管端管理端是為了方便日常工作中頻繁的解密需求為減輕服務(wù)器的工作量授權(quán)14

于工作組中的管理人員。讓其對(duì)其下屬提出的申請(qǐng)按實(shí)際需要給出批復(fù)。為了確保文件的安全，管理端還具備恢復(fù)加密的功能。此外，為了通訊方便，管理端具有發(fā)送消息的功能。

解助手員工需要解密文件時(shí)，可向管理員提出申請(qǐng)，待申請(qǐng)批準(zhǔn)后進(jìn)行操作。員工提出的申請(qǐng)，包括文件解密申請(qǐng)、打印申請(qǐng)、使用盤申請(qǐng)、復(fù)制粘帖功能申請(qǐng)。此外，解密助手還具備于管理員發(fā)送消息的功能，但員工與員工之間是不能通訊的。在方便工作的同時(shí)，又限制員工上班時(shí)期做與工作無(wú)關(guān)的事情。

實(shí)施效果前沿文檔安全管理系統(tǒng)可以基本解決文檔圖紙的保密和安全管理需求，基本阻斷各種泄密渠道。

有內(nèi)部文檔數(shù)庫(kù)的信保密對(duì)于存在于各個(gè)終端計(jì)算機(jī)的涉密文檔圖紙等，通過(guò)安裝客戶端進(jìn)行強(qiáng)制性加密保護(hù)。實(shí)施以后，在同一公司或同一部門內(nèi)部，文檔可以自由的流通，就如同沒(méi)有安裝前沿文檔安全管理系統(tǒng)一樣。但當(dāng)文件未經(jīng)授權(quán)流出公司，文件則變成亂碼。如果文件需要交給客戶或公司外面的人，則需要經(jīng)過(guò)管理人員的批準(zhǔn)解密。前沿文檔安全管理系統(tǒng)并能與OAPDM等多種內(nèi)部管理系統(tǒng)完美對(duì)接，不會(huì)影響原有的工作環(huán)境。

有信息傳遞與換過(guò)程的保密需求1由于采取了加密技術(shù)，各種網(wǎng)絡(luò)傳輸、郵件傳輸如果未經(jīng)解密操作，發(fā)出去的密文是無(wú)法打開(kāi)的；而對(duì)于像銷售部等與外界交流很頻繁的部門，則可以使用郵件服務(wù)器，設(shè)置信任郵箱地址，前沿文檔安全管理系統(tǒng)將自動(dòng)對(duì)發(fā)往信任郵箱的郵件進(jìn)行解密操作，同時(shí)自動(dòng)記錄郵件的收發(fā)操作日志。2前沿文檔安全管理系統(tǒng)對(duì)于密文將自動(dòng)限制其復(fù)制、粘貼、抓屏等行為，也可以對(duì)于打印設(shè)備進(jìn)行禁止使用、限時(shí)使用、記錄打印日志等加以控制；15

3前沿文檔安全管理系統(tǒng)可以設(shè)置對(duì)各種存儲(chǔ)設(shè)備的自動(dòng)識(shí)別與管理，有禁止使用、只讀、自動(dòng)加密和開(kāi)放使用等模式；4對(duì)于需要攜帶涉密文檔圖紙的手提電腦外出的情況，前沿文檔安全管理系統(tǒng)可以提供離線加密和限時(shí)使用兩種方式加以管理；5對(duì)于需要發(fā)送給客戶使用的涉密文檔圖紙，前沿文檔安全管理系統(tǒng)軟件可以增設(shè)限制功能，對(duì)文檔的修改、打印及使用時(shí)間進(jìn)行參數(shù)設(shè)置。

不崗位之間信瀏覽和理限制1對(duì)于不同部門或小組之間的信息壁壘，前沿文檔安全管理系統(tǒng)可以通過(guò)分組策略加以解決；2對(duì)于不同層級(jí)管理人員的文檔管理權(quán)限，前沿文檔安全管理系統(tǒng)可以通過(guò)分級(jí)策略實(shí)現(xiàn)上級(jí)對(duì)下級(jí)文檔管理的授權(quán)與審批。4.前沿文安全管理系統(tǒng)拓?fù)鋱D4.1

整體框架結(jié)典型的集團(tuán)組織結(jié)構(gòu)與前沿文檔安全管理系統(tǒng)部署框架如下圖所示：16

4.2

集團(tuán)管理總網(wǎng)絡(luò)集團(tuán)公司總部一般由各個(gè)相對(duì)獨(dú)立的職能部門組成，其中部分職能部門承擔(dān)著對(duì)下屬公司相關(guān)部門的條線管理工作。在管理流程上可能存在以下全部或部分要求：1、集團(tuán)公總裁享受最高權(quán)限，可以打開(kāi)公司內(nèi)部所有密文，并可以配置解密功能。2、集團(tuán)公副總裁可以打開(kāi)其下屬部門的所有密文，并可以配置解密功能。3、不同部之間的密文可以設(shè)置為互通互讀，也可以設(shè)置為不能互通互讀。如果需要將A部門的密文給不互通的B部門閱讀由A部門的管理者對(duì)此份文件的權(quán)限進(jìn)行調(diào)整設(shè)定門或者部門的某人可以打開(kāi)此份文件。其他未授權(quán)人員即使獲取文件也無(wú)法打開(kāi)。集團(tuán)總部的部署框架如下所示：4.3

集團(tuán)與下屬/分公司之間聯(lián)絡(luò)集團(tuán)與下屬公司之間一般存在投資管理、戰(zhàn)略管理和操作型管理等管理模式，無(wú)論哪種模式，都是以集團(tuán)公司的職能部門對(duì)下屬公司的對(duì)口部門的條線管理為17

主。集團(tuán)公司與下屬公司密文之間的聯(lián)絡(luò)主要存在以下幾種情況：1、當(dāng)集團(tuán)部門往其它部門、下屬分公司等發(fā)送某份已加密的文檔時(shí)，其負(fù)責(zé)人可以通過(guò)管理端程序設(shè)置該文檔的打開(kāi)權(quán)限，這種權(quán)限甚至可以設(shè)置到個(gè)人。當(dāng)其它部門或下屬機(jī)構(gòu)等需要類似傳送時(shí)，具有同樣的功能。2、具有條管理職能的部門，可以設(shè)置成上級(jí)管理部門無(wú)障礙瀏覽下屬企業(yè)被管理部門的加密文檔，而下屬企業(yè)在未經(jīng)授權(quán)的情況下不能打開(kāi)上一級(jí)管理部門的加密文檔。也可以設(shè)置成互相限制或者互相不限制狀態(tài)。3、在集團(tuán)部署時(shí)，可以只在集團(tuán)總部設(shè)置一臺(tái)服務(wù)器端，也可以設(shè)置多臺(tái)服務(wù)器端。如果采用唯一服務(wù)器的方式，需要VPN專線通訊以保證下屬企業(yè)或分支機(jī)構(gòu)與總部在一個(gè)局域網(wǎng)內(nèi)，其效果類似總部部門之間的文檔加密模式。如果采用在分公司設(shè)置分服務(wù)器方式，可以有多種模式：（1）分公司服務(wù)器與總部服務(wù)器基本密鑰設(shè)置一致，其效果類似于集團(tuán)公司部門之間的關(guān)系；（2）分公司服務(wù)器與總部服務(wù)器基本密鑰不一致，可以將分公司的密鑰信息放入總部服務(wù)器中，其效果是分公司類似總部的一個(gè)部門。18

4.4

與客戶之間交流由于外部交往頻繁，對(duì)于部分重要文件公司有時(shí)需要對(duì)外發(fā)文件進(jìn)行控制。根據(jù)控制的緊密程度，可以有多種選擇：1、解密助手：通過(guò)解密助手的申請(qǐng)解密功能，審核負(fù)責(zé)人在確認(rèn)文件安全性以后同意將文