F6DSM文檔平安管理系統(tǒng)介紹文檔全生命周期平安防護解決方案目錄背景分析1系統(tǒng)介紹2實現(xiàn)功能3企業(yè)文檔使用現(xiàn)狀明文保存企業(yè)內(nèi)部的文件以明文保存，僅限制瀏覽文件的用戶易造成泄密！粗放的權(quán)限控制權(quán)限管理粗放，易失去對外發(fā)文檔的控制而造成泄密！擁有時間無期限文檔外發(fā)后，接收方就永遠擁有此資料的所有權(quán)，易造成泄密！不可靠身份認證文檔無需身份認證，任何人都可以自由使用，造成泄密！使用追蹤若出現(xiàn)信息泄密事故，人工追查事故責(zé)任人的周期過長，加大企業(yè)損失！

平安隱患分析文檔生命周期的每一個環(huán)節(jié)都存在著平安的隱患！文檔創(chuàng)建文檔存儲文檔訪問文檔傳輸文檔使用文檔銷毀紙質(zhì)文件文件保險柜申請登記保管外攜復(fù)印打印文件銷毀電子文件PC存儲目錄打開端口外聯(lián)編輯/外發(fā)/打印文件粉碎①②③④⑤⑥⑦目錄背景分析1系統(tǒng)介紹2實現(xiàn)功能3系統(tǒng)設(shè)計系統(tǒng)基于內(nèi)核層的透明加解密技術(shù)，幫助企業(yè)核心數(shù)據(jù)資產(chǎn)平安管理解決相關(guān)應(yīng)用系統(tǒng)的數(shù)據(jù)平安防護要求，實現(xiàn)文檔內(nèi)容保護、權(quán)限控制、USB移動存儲介質(zhì)管理、日志管理等功能，解決文檔全生命周期的平安使用問題。非法出口合法出口合法離網(wǎng)脫機密文外發(fā)明文外發(fā)合法離網(wǎng)正常使用單位內(nèi)部透明使用非法離網(wǎng)無法使用非法人員竊取離職人員拷貝非法外聯(lián)泄密系統(tǒng)漏洞泄密內(nèi)容不當行為亂碼在涉密文檔開始創(chuàng)立時即被動態(tài)透明加密保護，內(nèi)部協(xié)同辦公可任意使用，脫離保護環(huán)境將密文呈現(xiàn)！系統(tǒng)架構(gòu)身份認證外部接口模塊系統(tǒng)根底功能策略配置組織賬號管理平安審計移動存儲管控審批管理出差控制流轉(zhuǎn)控制內(nèi)容保護通訊控制日志記錄移動存儲介質(zhì)進程分類控制權(quán)限控制內(nèi)核透明加解密接入層管理層控制層數(shù)據(jù)處理層部署方式核心技術(shù)—基于內(nèi)核層的透明加解密系統(tǒng)采用內(nèi)核層的透明加解密技術(shù)，工作于操作系統(tǒng)底層。透明化操作不改變用戶習(xí)慣，保證用戶感知；強制平安加解密，使用戶和應(yīng)用產(chǎn)生的文件自動被強制加密目錄背景分析1系統(tǒng)介紹2實現(xiàn)功能3實現(xiàn)功能實現(xiàn)功能用戶管理身份認證文檔內(nèi)容保護文檔流轉(zhuǎn)控制外設(shè)控制進程控制移動存儲管理日志審計3.1用戶管理系統(tǒng)支持與現(xiàn)有用戶管理系統(tǒng)等直接同步用戶信息，也可以支持手動和模板導(dǎo)入兩種方式創(chuàng)立組織機構(gòu)和用戶信息。3.2身份認證系統(tǒng)支持靜態(tài)口令認證、USBKEY、動態(tài)口令〔短信/郵件〕等多種認證方式，并且支持與用戶已有身份認證進行整合；登陸方式分為：在線、離線、出差登陸三種，離線登陸提供離線時間段限制，和出差登陸一樣，日志在本地緩存而不提交到日志效勞器。應(yīng)用系統(tǒng)1應(yīng)用系統(tǒng)N…F6文檔安全管理設(shè)備3.3文檔內(nèi)容保護〔1〕自動加解密基于進程和用戶身份對使用的文檔進行透明的加解密操作，并且提供對大文件的快速加密密文保護只允許從密文復(fù)制內(nèi)容至密文，非授權(quán)用戶無法訪問加密文檔，同時禁止OLE拖拉和DLL注入CBR先備份后再加解密，任務(wù)完成刪除備份，任務(wù)失敗恢復(fù)數(shù)據(jù)。水印控制支持屏幕、打印水印，支持自定義截屏錄像控制支持對截屏軟件的控制，避免因為截屏錄相軟件導(dǎo)致加密文件泄密。打印控制支持打印權(quán)限控制，提供打印審批功能3.4文檔流轉(zhuǎn)控制〔1〕密文外發(fā)信任郵件，自動解密外發(fā)密文附帶閱讀器可執(zhí)行加密文件密文外發(fā)時對文件的控制內(nèi)容：時間、讀取次數(shù)、打印、水印保護、內(nèi)容保護，截屏控制密文外發(fā)提供三種方式：郵件、密文附帶閱讀器和可執(zhí)行加密文件，支持對外發(fā)的密文進行時間、讀取次數(shù)、打印、水印保護等相關(guān)控制操作。3.4文檔流轉(zhuǎn)控制〔2〕明文外發(fā)

在文檔的全生命周期中，流轉(zhuǎn)控制是非常重要的一個環(huán)節(jié)，本方案針對明文外發(fā)有3種解密方式：手動解密：由具備手動解密權(quán)限的用戶解密解密申請、審批流程解密

通過郵件白名單發(fā)送進行自動解密密文解密當前用戶具備手動解密的權(quán)限嗎？密文被解密成明文文件解密審批流程申請解密環(huán)節(jié)審批人全部批準了嗎？YN等待、延遲密文被解密成明文YN發(fā)送帶有密文附件的郵件收件人E-mail地址是信任的地址嗎？直接發(fā)送解密附件后發(fā)送YN3.4文檔流轉(zhuǎn)控制〔3〕密鑰加密方式加密效果（可讀/寫人員）用戶密鑰加密用戶+部門領(lǐng)導(dǎo)+公司領(lǐng)導(dǎo)+超級管理員工作組密鑰加密部門全體成員+公司領(lǐng)導(dǎo)+超級管理員站點級密鑰加密公司全體成員內(nèi)局部發(fā)密文檔創(chuàng)立文檔創(chuàng)立者密內(nèi)部用戶用戶A只讀用戶B只讀/打印部門讀寫/打印內(nèi)局部發(fā)控制主要針對密文進行分級管理，對內(nèi)部重要文檔實現(xiàn)細?；臋?quán)限控制，以確保敏感信息只給有需要的人使用。3.5外設(shè)控制采用內(nèi)核層驅(qū)動方式對各種類型的外設(shè)進行，包括光驅(qū)、軟驅(qū)、紅外線、藍牙、USB總線連接的存儲設(shè)備、1394總線連接的存儲設(shè)備等。針對外部存儲設(shè)備，提供加密控制，以設(shè)備和身份為依據(jù)，為用戶使用設(shè)備執(zhí)行加密，只讀，只寫，讀寫等控制。！3.6進程控制進程控制針對用戶使用的軟件進行監(jiān)控管理，設(shè)置不同的進程類型，對于不同的部門，可以設(shè)置不同的模板，再對其進行模板綁定。明文進程：工作軟件，創(chuàng)立的數(shù)據(jù)自動加密，具備權(quán)限的用戶讀取加密文件自動解密。密文進程：通訊類工具設(shè)置為密文進程，可以訪問〔發(fā)送〕加密文件，但不予解密。禁止進程：轉(zhuǎn)移泄密類程序，如屏幕截圖、錄相等，禁止其啟動。信任進程：輔助類程序，允許其嵌入明文程序完成輔助功能。殺毒軟件：平安軟件，允許其掃描加密文件內(nèi)容并注入到涉及平安的關(guān)鍵進程。明文效勞進程：效勞類程序，只讀不寫的效勞程序。3.7移動存儲介質(zhì)管理〔1〕集中注冊分發(fā)使用審核賦權(quán)自助注冊管理員用戶管理臺移動存儲介質(zhì)的管理方式：集中管理：管理員登陸管理端界面對當前插入的USB介質(zhì)進行注冊、對已注冊介質(zhì)進行修改或刪除、對用戶提交注冊進行審批。自助管理：用戶可在客戶端自助進行注冊、對USB移動存儲介質(zhì)掛失或解除掛失管理。3.7移動存儲介質(zhì)管理〔2〕管理員可對移動存儲介質(zhì)進行透明加解密、私有磁盤格式、分區(qū)加密管理，可設(shè)置全局、離線和在線介質(zhì)策略。離線策略指介質(zhì)與效勞器無法正常連接時，在離線時間段以本地最后緩存的策略進行管控。介質(zhì)策略中介質(zhì)的存儲方式有：文件不加密文件加密讀寫控制磁盤加密(私有格式)磁盤分區(qū)加密操作記錄管理員策略導(dǎo)出已安裝客戶端主機非授權(quán)用戶授權(quán)用戶未安裝客戶端主機離線狀態(tài)注冊+授權(quán)USB介質(zhì)注冊+未授權(quán)USB介質(zhì)注冊+授權(quán)USB介質(zhì)注冊USB介質(zhì)F6文檔管理設(shè)備交換機不可讀/寫可讀/寫不可讀/寫可讀/寫3.8日志審計系統(tǒng)對文檔全生命周期進行跟蹤日志，并建立啟發(fā)式的日志挖掘分析系統(tǒng)，進行日志查詢、日志合并、日志分析、預(yù)警和警告，以及追蹤和問責(zé)。同時為平安審計管理員提供條件過濾搜尋，觸發(fā)條件告警，以郵件，短信息等方式通知平安審計員，做到主動平安管理。文檔創(chuàng)建文檔存儲文檔訪問文檔傳輸文檔使用文檔銷毀文檔