國泰信安電子文檔安全管理系統(tǒng)(CPSec GEFS

1、電子文檔安全管理系統(tǒng)(CPSec GEFS)隨著電腦和Internet的普及與發(fā)展，社會(huì)各個(gè)方面逐漸將越來越多的文件和信息以電子文檔的方式保留在計(jì)算機(jī)上，由此而產(chǎn)生的信息安全隱患以及信息泄密也逐漸受到越來越多的人的重視。目前，在我國的企業(yè)和政府部門中，對(duì)于電子文檔的保密措施也剛剛處于起步階段。由于單位內(nèi)部大家使用的都是通用的文字處理軟件、制圖軟件，這樣通用格式的文件，一方面使信息的廣泛容易溝通得到可能，但是同時(shí)也擔(dān)心內(nèi)部的機(jī)密電子文文檔利用網(wǎng)絡(luò)、U盤、電子郵件、電腦外修的時(shí)候，非法外泄。 在日常的企業(yè)工作中，黑客的攻擊或者企業(yè)計(jì)算機(jī)所中的木馬病毒都有可能會(huì)在不知情的情況下將企業(yè)的機(jī)密文件進(jìn)行泄

2、露，而企業(yè)內(nèi)部員工的或有意或無意的行為也有肯能將企業(yè)機(jī)密文件外泄。甚至企業(yè)計(jì)算機(jī)或U盤的丟失都有可能造成企業(yè)機(jī)密文件的泄露。為此，不少企業(yè)都進(jìn)行了一定的硬件防護(hù)措施，諸如限制上網(wǎng)，封閉USB端口等措施，不過這樣在除了造成了企業(yè)員工的部分工作困難外，并不能從根本上解決文檔安全的問題。因此在企業(yè)的計(jì)算機(jī)系統(tǒng)中配備一種能夠根本解決文檔安全的防護(hù)軟件也就成了目前越來越多的企業(yè)面臨的唯一選擇。北京國泰信安科技有限公司依托專業(yè)的信息安全人才、技術(shù)、資源優(yōu)勢(shì)，針對(duì)當(dāng)前電子文檔的非法復(fù)制與擴(kuò)散的安全威脅，自主研發(fā)了電子文檔安全管理系統(tǒng)。該系統(tǒng)包括內(nèi)網(wǎng)數(shù)據(jù)透明加解密系統(tǒng)、移動(dòng)外攜安全辦公系統(tǒng)、安全文件外發(fā)系統(tǒng)和

3、個(gè)人數(shù)據(jù)處理系統(tǒng)等，全方位保護(hù)企業(yè)自主知識(shí)產(chǎn)權(quán)（文檔、圖紙、代碼等）的安全和個(gè)人數(shù)據(jù)的安全。1 技術(shù)架構(gòu)CPSec GEFS系統(tǒng)的目標(biāo)是實(shí)現(xiàn)對(duì)于一個(gè)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中所有的終端計(jì)算機(jī)中受保護(hù)的文件格式的自動(dòng)加密，而不對(duì)已有操作過程進(jìn)行影響。這樣，系統(tǒng)對(duì)所有受到保護(hù)的計(jì)算機(jī)中的文件都自動(dòng)做到了加密；系統(tǒng)網(wǎng)絡(luò)之中得到服務(wù)器端認(rèn)證的終端計(jì)算機(jī)將對(duì)文件進(jìn)行自動(dòng)解密，從而能使文件能夠正常使用。而任何未經(jīng)服務(wù)器端授權(quán)的文件默認(rèn)將保持在加密狀態(tài)無法通過正常手段打來，從而做到對(duì)于文件的保護(hù)作用，防止由于文件泄露而導(dǎo)致的公司保密信息的泄露。CPSec GEFS系統(tǒng)以Client/Server模式提供基于數(shù)

4、據(jù)加密、數(shù)字簽名的身份認(rèn)證、數(shù)據(jù)完整性保護(hù)和不可否認(rèn)性業(yè)務(wù)，實(shí)現(xiàn)策略服務(wù)器控制之下的認(rèn)證和授權(quán)管理，實(shí)現(xiàn)對(duì)各個(gè)GEFS客戶端數(shù)據(jù)的安全管理和控制。GEFS采用基于中間件的分層結(jié)構(gòu)設(shè)計(jì)，分為如下四個(gè)層次:l 表示層：提供安全業(yè)務(wù)接口，提供圖形用戶界面實(shí)現(xiàn)人機(jī)交互。l 邏輯層：控制業(yè)務(wù)請(qǐng)求/調(diào)用事務(wù)邏輯，并將相關(guān)請(qǐng)求交由下層應(yīng)用服務(wù)處理。l 應(yīng)用層：接收由邏輯層轉(zhuǎn)來的業(yè)務(wù)請(qǐng)求，執(zhí)行相應(yīng)的安全操作。l 系統(tǒng)層：作為硬件的擴(kuò)展層，提供基礎(chǔ)平臺(tái)支持。2 系統(tǒng)功能u 數(shù)據(jù)透明加解密系統(tǒng)v 數(shù)據(jù)自動(dòng)加密CPSec GEFS系統(tǒng)無需用戶輸入口令即可實(shí)現(xiàn)由系統(tǒng)自動(dòng)對(duì)文件進(jìn)行透明加密、解密，這樣既方便用戶存取、傳

5、輸，又能實(shí)現(xiàn)用戶對(duì)屬于企業(yè)知識(shí)產(chǎn)權(quán)的文件的強(qiáng)制保護(hù)。用戶端對(duì)指定類型的文件（由服務(wù)端管理）的加解密是由后臺(tái)自動(dòng)完成的。用戶在新建、打開、拷貝、移動(dòng)涉密文件時(shí)文件自動(dòng)加密，在環(huán)境中打開密文時(shí)自動(dòng)解密。系統(tǒng)不改變用戶原有的操作習(xí)慣，同一加密環(huán)境內(nèi)部的文件交流不受影響。數(shù)據(jù)加密功能包括：l 透明加/解密：無需用戶輸入口令，由系統(tǒng)自動(dòng)強(qiáng)制加/解密。l 加/解密文件：加/解密同一目錄下單張或多張電子文件。l 批量加/解密：批量加解密電子文件。l 校驗(yàn)文件：校驗(yàn)電子文件文件是否損壞。l 文件歸檔：將申請(qǐng)歸檔的文件進(jìn)行歸檔。v 數(shù)據(jù)泄密控制CPSec GEFS系統(tǒng)支持受保護(hù)的文件被合法的應(yīng)用軟件訪問，支持任

6、意形態(tài)的存儲(chǔ)加密，無需控制USB接口和移動(dòng)設(shè)備介質(zhì)使用，有效控制了本地、網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備環(huán)境下的泄密控制。系統(tǒng)支持在線和離線模式下各種潛在的泄密風(fēng)險(xiǎn)，主要功能包括：l On-Line情況下的數(shù)據(jù)泄密控制SMTP-Mail, Web-Mail, Web-HDD控制FTP, Messenger, QQ, BQQ, POPO, MAZE, BT控制l Off-Line情況下的數(shù)據(jù)泄密控制HDD, FD, MO, ZIP, JAZZ, Flash DeviceCD-R , CD-RWUSB/1394 Storage Devicev 數(shù)據(jù)條件訪問CPSec GEFS系統(tǒng)訪問控制功能使得在企業(yè)業(yè)內(nèi)部能夠

7、實(shí)現(xiàn)系統(tǒng)授權(quán)下的數(shù)據(jù)共享和交換，為企業(yè)協(xié)同設(shè)計(jì)開發(fā)提供便利，同時(shí)確保在企業(yè)內(nèi)部的數(shù)據(jù)安全。文檔訪問控制功能確保在企業(yè)授權(quán)環(huán)境下的設(shè)計(jì)與開發(fā)，方便企業(yè)內(nèi)部數(shù)據(jù)安全使用，對(duì)不同權(quán)限層次的用戶主體分配不同的操作權(quán)限?？梢愿鶕?jù)需要靈活定制用戶、對(duì)象和權(quán)限關(guān)系，動(dòng)態(tài)管理用戶對(duì)文檔資源的相應(yīng)訪問權(quán)限，實(shí)現(xiàn)層次化安全訪問管理。文檔訪問控制功能主要包括：l 文檔訪問控制：不同級(jí)別的用戶對(duì)不同文檔資源擁有不同的權(quán)限，包括讀、寫、預(yù)覽、執(zhí)行、共享、刪除等訪問控制。l 權(quán)限分離：實(shí)現(xiàn)設(shè)計(jì)人員與非設(shè)計(jì)人員的權(quán)限分離。l 文檔控制：網(wǎng)絡(luò)存儲(chǔ)外出控制流程、歸檔控制流程。l 遠(yuǎn)程文檔管理：打開、自動(dòng)下載、共享、申請(qǐng)外帶、歸

8、檔。v 部門管理部門管理主要是指對(duì)系統(tǒng)的部門進(jìn)行管理，以及在對(duì)應(yīng)項(xiàng)目的相應(yīng)權(quán)限，主要功能如下：l 設(shè)置部門：添加、修改、刪除部門。l 組織結(jié)構(gòu)：添加、修改、刪除組織機(jī)構(gòu)。l 設(shè)置項(xiàng)目：添加、修改項(xiàng)目。l 設(shè)置權(quán)限：設(shè)置部門的權(quán)限。v 用戶管理用戶管理主要是指對(duì)系統(tǒng)用戶指派所在項(xiàng)目組，以及在對(duì)應(yīng)項(xiàng)目的相應(yīng)權(quán)限，主要功能如下：l 設(shè)置用戶：添加、修改、刪除、禁用、恢復(fù)用戶帳號(hào)。l 組織結(jié)構(gòu)：添加、修改、刪除組織機(jī)構(gòu)。l 設(shè)置項(xiàng)目：添加、修改項(xiàng)目。l 設(shè)置權(quán)限：設(shè)置用戶的權(quán)限。v 系統(tǒng)統(tǒng)計(jì)CPSec GEFS系統(tǒng)提供強(qiáng)大的實(shí)時(shí)審計(jì)功能，可以詳細(xì)審計(jì)到何種用戶在何時(shí)何地對(duì)何種文件實(shí)施了何種操作?？梢园?/p>

9、離線或者在線方式有效審計(jì)用戶對(duì)文件的新建、修改、拷貝、共享、打印等操作，為系統(tǒng)管理員或者部門主管提供風(fēng)險(xiǎn)管理依據(jù)。系統(tǒng)審計(jì)功能包括：l 動(dòng)態(tài)可編輯安全策略：與安全實(shí)施模塊相分離，提供動(dòng)態(tài)可編輯安全審計(jì)策略，從而實(shí)現(xiàn)安全水平可配置的安全審計(jì)。l 實(shí)時(shí)日志：實(shí)時(shí)記錄用戶活動(dòng)，對(duì)敏感資源的實(shí)施蹤跡跟蹤。l 實(shí)時(shí)報(bào)警：根據(jù)安全策略實(shí)時(shí)違規(guī)報(bào)警。l 可視化分析：提供可視化安全審計(jì)分析工具。u 移動(dòng)外攜安全辦公系統(tǒng)l 系統(tǒng)提供移動(dòng)辦公的商務(wù)授權(quán)功能。l 當(dāng)筆記本用戶需要外出辦公時(shí)，可通過服務(wù)端進(jìn)行商務(wù)授權(quán)，讓移動(dòng)用戶在指定時(shí)間內(nèi)可以脫離服務(wù)端使用。l 涉密文件仍然為加密狀態(tài)，授權(quán)時(shí)甚至可以限止密文打?。ó?dāng)

10、前為自動(dòng)限止打印）。但是外出辦公人員完全擁有對(duì)于辦公文檔的打開、編輯以及一定條件下的打印許可權(quán)限。l 外出辦公人員對(duì)于所使用的辦公文檔所作出的操作均會(huì)被外攜辦公系統(tǒng)自動(dòng)進(jìn)行記錄，并在計(jì)算機(jī)接入系統(tǒng)服務(wù)器時(shí)自動(dòng)對(duì)操作記錄進(jìn)行上傳。u 安全文件外發(fā)系統(tǒng)l 系統(tǒng)提供對(duì)外文檔發(fā)送的功能。l 當(dāng)系統(tǒng)用戶需要將文檔發(fā)送給系統(tǒng)外的相關(guān)業(yè)務(wù)對(duì)象時(shí)，可通過本地客戶端進(jìn)行解密操作，讓用戶將指定文檔進(jìn)行解密操作。l 解密文檔可以通過郵件、U盤等方式發(fā)送給需要的系統(tǒng)外人員。但是，所有對(duì)于涉密文檔的解密以及外發(fā)操作都會(huì)通過系統(tǒng)本地客戶端進(jìn)行自動(dòng)記錄。防止用戶通過解密外發(fā)功能隨意將涉密文檔進(jìn)行泄密。l 外出辦公人員需要對(duì)

11、所使用的辦公文檔進(jìn)行外發(fā)操作時(shí)，也可通過客戶端進(jìn)行解密，并不需要服務(wù)器端的認(rèn)證，但是客戶端的自動(dòng)記錄功能依然會(huì)自動(dòng)進(jìn)行。當(dāng)外出計(jì)算機(jī)重新接入本地內(nèi)網(wǎng)時(shí)會(huì)自動(dòng)向服務(wù)器端上傳外發(fā)過程資料，做到對(duì)于外發(fā)資料的同意管理。u 個(gè)人數(shù)據(jù)安全處理系統(tǒng)l 系統(tǒng)提供個(gè)人隱私數(shù)據(jù)授權(quán)解密功能。l 當(dāng)用戶需要使用個(gè)人隱私數(shù)據(jù)時(shí)，可通過服務(wù)端進(jìn)行授權(quán)解密，讓用戶在指定時(shí)間和空間內(nèi)解密數(shù)據(jù)使用。l 個(gè)人隱私數(shù)據(jù)只限定一般的權(quán)限處理，比如郵件發(fā)送等。3 應(yīng)用模式CPSec GEFS系統(tǒng)實(shí)施目標(biāo)就是為企業(yè)構(gòu)建企業(yè)內(nèi)部可信環(huán)境，建設(shè)企業(yè)內(nèi)部應(yīng)用數(shù)據(jù)安全設(shè)計(jì)平臺(tái)，實(shí)現(xiàn)企業(yè)內(nèi)部靈活的數(shù)據(jù)交換和外部的增強(qiáng)型安全保護(hù)能力，為企業(yè)提供

12、有效的保護(hù)知識(shí)產(chǎn)權(quán)保護(hù)，全面提升企業(yè)競(jìng)爭(zhēng)力。國泰信安電子文檔安全管理系統(tǒng)應(yīng)用模式如下圖所示。集團(tuán)總部系統(tǒng)子公司系統(tǒng)公司部門公司部門公司部門4 系統(tǒng)特色v 系統(tǒng)具有實(shí)時(shí)加密，透明加密的特點(diǎn)，在加密的過程中，并不影響使用者的正常使用，加密時(shí)不會(huì)產(chǎn)生其他文件，做到加密時(shí)的安全保障。v 加密時(shí)時(shí)對(duì)文件采用實(shí)時(shí)加密，因此，在加密完成后對(duì)于文件存儲(chǔ)介質(zhì)沒有要求，可以保證文檔在轉(zhuǎn)移或拷貝等情況下的文檔安全。v 加密算法穩(wěn)定可靠，采用了目前公認(rèn)的比較成熟的加密算法，基于MD5、AES以及RSA等加密算法，可以確保系統(tǒng)加密過程的安全與穩(wěn)定。v 功能結(jié)構(gòu)相對(duì)簡單，能夠適用于各種不同的公司網(wǎng)絡(luò)，對(duì)于不同的公司網(wǎng)絡(luò)結(jié)

13、構(gòu)都能夠做到很好的包容。5 支持的系統(tǒng)環(huán)境（1）支持的操作系統(tǒng)l Windows 7l Windows Server 2008l Windows Vista with Service Pack 1 (SP1)l Windows Vistal Windows Server 2003 with Service Pack 2 (SP2)l Windows Server 2003 with Service Pack 1 (SP1)l Windows Server 2003l Windows XP with Service Pack 3 (SP3)l Windows XP with Service Pack 2 (SP2)l Windows XP with Service Pack 1 (SP1)l Windows XPl Windows 2000 with Service Pack 4（SP4）+ RUP（僅此版本安裝后需要重啟機(jī)器，其他均無需重啟）（2）支持的文件系統(tǒng)l NTFSl FAT12l