技術(shù)文件防泄漏解決方案技術(shù)規(guī)格書(shū)

1、技術(shù)文件防泄漏解決方案技術(shù)規(guī)格書(shū)項(xiàng)目名稱(chēng)：技術(shù)文件防泄漏解決方案與實(shí)施招標(biāo)人：XXXXXXXXXXXXXXXXXXXX1、 投標(biāo)人資質(zhì)要求（1） 具有五年以上該類(lèi)軟件研發(fā)經(jīng)驗(yàn)；（2） 熟悉制造行業(yè)實(shí)施經(jīng)驗(yàn)，并具備制造行業(yè)類(lèi)似項(xiàng)目成功案例，提供近幾年制造行業(yè)應(yīng)用軟件研發(fā)業(yè)績(jī)；（3） 近五年無(wú)行賄等違法記錄；（4） 近3年財(cái)務(wù)報(bào)表；（5） 投標(biāo)廠商產(chǎn)品具有國(guó)家權(quán)威部門(mén)認(rèn)證，須提供以下資質(zhì)證明：a. 國(guó)家密碼管理局頒發(fā)的商用密碼產(chǎn)品銷(xiāo)售許可證；b. 國(guó)家版權(quán)局頒發(fā)的計(jì)算機(jī)軟件著作權(quán)登記證書(shū)；c. 公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證；d. 國(guó)家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)；2、建

2、設(shè)目標(biāo)描述通過(guò)加密軟件的建設(shè)實(shí)施，從技術(shù)上實(shí)現(xiàn)對(duì)設(shè)計(jì)所重要文檔的通用防護(hù)和分級(jí)防護(hù)，做到非法帶出的數(shù)據(jù)不可使用，盡量少改變使用習(xí)慣，做到安全性和易用性的合理平衡。達(dá)到“進(jìn)不來(lái)、授權(quán)用、帶不走、讀不懂、留痕跡”的總體目標(biāo)。進(jìn)不來(lái)，必須經(jīng)過(guò)身份認(rèn)證才能登錄使用重要文檔防泄漏系統(tǒng)或者通過(guò)身份認(rèn)證登錄計(jì)算機(jī)終端，使非授權(quán)者無(wú)法進(jìn)入防泄漏系統(tǒng)或計(jì)算機(jī)系統(tǒng)；授權(quán)用，只有合法授權(quán)人，經(jīng)過(guò)合法授權(quán)，才能使用文檔，包括閱讀、修改、拷貝、粘貼、打印等拿不走，未經(jīng)授權(quán)，任何人拿不走文檔，包括下載、拷貝、刻錄、打印等一切方式，都拿不走受保護(hù)的文檔?？床欢?，所有未經(jīng)授權(quán)拿走的受保護(hù)文檔均打不開(kāi)，看不懂。留痕跡，對(duì)保護(hù)文

3、檔的所有操作都留有記錄，由文檔操作審計(jì)系統(tǒng)追蹤泄露源。2.1系統(tǒng)的基本建設(shè)目標(biāo)通用防護(hù)：采用默認(rèn)的防護(hù)策略，對(duì)范圍內(nèi)的數(shù)據(jù)按策略進(jìn)行防護(hù)。采用通用防護(hù)保護(hù)的數(shù)據(jù)，應(yīng)符合原來(lái)的操作習(xí)慣，不影響原來(lái)的操作行為。是分級(jí)防護(hù)的最低級(jí)別之下的通用防護(hù)方法。通過(guò)通用防護(hù)系統(tǒng)的建設(shè)，提供一個(gè)基礎(chǔ)的透明的加密解密層，根據(jù)管控策略對(duì)一定格式的文檔和操作文檔的進(jìn)程進(jìn)行監(jiān)控，實(shí)現(xiàn)透明的加解密功能，在系統(tǒng)內(nèi)部，經(jīng)過(guò)身份驗(yàn)證的用戶，感覺(jué)不到文件是加密處理的，文件被非法復(fù)制出系統(tǒng)，將保持為加密狀態(tài)。通過(guò)透明加解密層的防護(hù)，可以有效的防止非人為的泄露發(fā)生，防止被擺渡攻擊而泄露的文件被打開(kāi)利用，授權(quán)外帶解密后的文檔，需要經(jīng)過(guò)

4、審批，系統(tǒng)將自動(dòng)記錄日志，以便跟蹤取證。分級(jí)防護(hù)：對(duì)圖文檔系通中的文檔可要重要程度進(jìn)行分級(jí)，可按照不同的防護(hù)策略控制文檔的離線防護(hù)，對(duì)重要文檔下載需要進(jìn)行加密控制，對(duì)應(yīng)用系統(tǒng)做邊界加固，防止非法用戶的接入和數(shù)據(jù)獲取。項(xiàng)目目標(biāo)是在使得數(shù)據(jù)信息順暢交流，不影響員工工作效率的基礎(chǔ)上，有效的控制內(nèi)部核心數(shù)據(jù)資產(chǎn)的安全與防護(hù)。具體實(shí)現(xiàn)：1. 與現(xiàn)有的AD系統(tǒng)實(shí)現(xiàn)用戶統(tǒng)一認(rèn)證集成或?qū)崿F(xiàn)終端單點(diǎn)登錄。合法用戶受控訪問(wèn)，非法用戶無(wú)法訪問(wèn)，非法流出文檔無(wú)法打開(kāi)；2. 能夠?qū)λ鶅?nèi)部圈定范圍內(nèi)的所有里要數(shù)據(jù)做安全管控（包括現(xiàn)有的及以后新增的），能和圖文檔等核心應(yīng)用系統(tǒng)進(jìn)行安全集成，實(shí)現(xiàn)數(shù)據(jù)的加解密控制，并保持業(yè)務(wù)系

5、統(tǒng)的操作和使用習(xí)慣不改變；系統(tǒng)集成要求投標(biāo)方可提供相關(guān)的中間件服務(wù)供應(yīng)用系統(tǒng)調(diào)用，實(shí)現(xiàn)對(duì)指定的重要數(shù)據(jù)進(jìn)行下載加密控制，實(shí)現(xiàn)分級(jí)管理的要求。3. 嚴(yán)格管理和控制內(nèi)部以及外部文件，確保機(jī)密文件不被二次擴(kuò)散使用，控制文檔的知悉范圍；結(jié)合客戶端控制模塊，可有效防止電子文檔被非法訪問(wèn)、非法拷貝復(fù)制、打印、拷屏等，杜絕二次泄露；4. 不改變使用者對(duì)協(xié)同工作中的信息文件的使用操作習(xí)慣（如：使用習(xí)慣的應(yīng)用程序操作、瀏覽信息文件；信息文件的加解密操作對(duì)于使用者來(lái)說(shuō)是透明的等）；5. 離線控制，通過(guò)對(duì)終端進(jìn)行脫機(jī)設(shè)置，使得終端能在預(yù)設(shè)時(shí)間范圍內(nèi)脫離本單位環(huán)境并且能夠正常處理業(yè)務(wù)流程，超出預(yù)設(shè)期限將不再解密任何數(shù)

6、據(jù)信息，保證終端外出的使用安全。也可根據(jù)需要對(duì)超出預(yù)設(shè)期限的離線終端進(jìn)行離線補(bǔ)時(shí)繼續(xù)使用。6. 文件外發(fā)，對(duì)于發(fā)到單位以外的文件可進(jìn)行特殊控制。包括使用期限設(shè)定、打開(kāi)次數(shù)、操作權(quán)限控制，會(huì)議結(jié)束后文檔可自動(dòng)銷(xiāo)毀，減少信息泄露的風(fēng)險(xiǎn)。7. 批量加密解密，可批量、高效的對(duì)指定的文件或文件夾進(jìn)行批量加、解密操作。8. 計(jì)算機(jī)端口管理功能：可查詢、封閉、打開(kāi)計(jì)算機(jī)端口狀態(tài)。9. 郵件白名單：支持發(fā)送含加密文檔到郵件白名單自動(dòng)解密功能10. 在保證數(shù)據(jù)安全的同時(shí)，還要保證各項(xiàng)工作持續(xù)性，并最小化效率損失，對(duì)多種場(chǎng)景（如員工出差、主機(jī)操作系統(tǒng)重裝、部門(mén)調(diào)整、離職等）具備完善的解決方案，建立建全文檔安全管理

7、的規(guī)范及流程；11. 能夠?qū)?yīng)用系統(tǒng)進(jìn)行邊界安全防護(hù)，防止非法終端接入應(yīng)用系統(tǒng)獲取數(shù)據(jù)，對(duì)應(yīng)用系統(tǒng)下載的數(shù)據(jù)可進(jìn)行加密控制；12. 滿足未來(lái)的數(shù)據(jù)安全要求，系統(tǒng)具備兼容、擴(kuò)展要求，滿足新增的數(shù)據(jù)和文檔類(lèi)型。2.2系統(tǒng)性能要求重要文檔在加密軟件中采用透明加解密手段和重要程度分級(jí)標(biāo)志綁定加密雙重措施來(lái)保護(hù)文檔，因此對(duì)文檔進(jìn)行操作時(shí)需要先行進(jìn)行加解密操作，肯定會(huì)對(duì)文檔操作性能造成一定的影響。如果采用軟件密碼服務(wù)，對(duì)于小于100MB的文檔，其文檔操作對(duì)操作人來(lái)說(shuō)不會(huì)有明顯的感知，但對(duì)于超過(guò)100MB的文檔，操作人可能會(huì)感知稍許延遲，文檔越大延遲也越大；3、主要規(guī)格和技術(shù)參數(shù)3.1 設(shè)計(jì)平臺(tái)支持3.1.

8、1操作系統(tǒng)要求支持以下操作系統(tǒng)：服務(wù)器端；Windows98、Windows2000、Windows 2003 R2、Windows2008 R2；客戶端：Windows 2000、Windows XP（32位、64位）、Windows 7 （32位、64位）、Windows 8（32位、64位）、Vmware虛擬化3.1.2應(yīng)用軟件應(yīng)用系統(tǒng)、ERP系統(tǒng)AutoCAD Microsoft Office Microsoft Office SolidwordsCaxaProject 2007Adobe acrobat 9.0 professional輸入法等，但不限于上述軟件，不限于版本。3.2

9、整體技術(shù)要求（1）高可靠性：要求技術(shù)文件防泄漏系統(tǒng)在程序設(shè)計(jì)及架構(gòu)部署上具有高可靠性，能夠提供不間斷服務(wù)；（2）易管理性：要求服務(wù)器端具有豐富的設(shè)置選項(xiàng)、并可進(jìn)行靈活的策略設(shè)置以滿足管理需要；客戶端簡(jiǎn)單易用。（3）高可用性：要求技術(shù)文件防泄漏系統(tǒng)提供高強(qiáng)度數(shù)據(jù)防護(hù)能力，低資源占用率；（4）可擴(kuò)展性：方便后期系統(tǒng)的擴(kuò)展，可以實(shí)現(xiàn)在線擴(kuò)容，不影響服務(wù)的正常使用；（5）高集成性：要求技術(shù)文件防泄漏系統(tǒng)能與公司現(xiàn)有的圖文檔等業(yè)務(wù)系統(tǒng)無(wú)縫集成；（6）高兼容性：要求技術(shù)文件防泄漏系統(tǒng)能與現(xiàn)有的應(yīng)用系統(tǒng)、應(yīng)用程序及殺毒軟件完全兼容；3.5系統(tǒng)管理功能要求（1）用戶管理可與AD服務(wù)器進(jìn)行集成，形成統(tǒng)一用戶認(rèn)證

10、及管理模塊。系統(tǒng)提供：用戶登陸及認(rèn)證、策略下發(fā)及同步、角色權(quán)限分配與回收以及AD組織架構(gòu)信息同步等功能。（2）權(quán)限管理系統(tǒng)提供角色權(quán)限及特殊權(quán)限管理模塊。角色權(quán)限管理模塊包含對(duì)系統(tǒng)角色權(quán)限定義和下發(fā)，如系統(tǒng)管理員角色、日志審計(jì)員角色、流程審核員角色以及其他組合權(quán)限角色等；特殊權(quán)限管理模塊包含對(duì)特權(quán)用戶權(quán)限的開(kāi)放與回收，如用戶特權(quán)解密、特權(quán)外發(fā)等。（3）策略管理提供安全策略管理模塊。策略管理模塊包含對(duì)常用設(shè)計(jì)軟件和通用軟件的策略維護(hù)和安全策略管理功能；包含對(duì)策略類(lèi)型組合信息的增、刪、改、查等常規(guī)維護(hù)手段。同時(shí)系統(tǒng)需要提供對(duì)文件內(nèi)容的安全保障，包含如下控制：剪切板控制：只允許將加密文檔內(nèi)容復(fù)制至其

11、他加密文檔中，非加密文檔間內(nèi)容復(fù)制無(wú)影響。拖拽控制：和剪切板控制類(lèi)似，只允許將加密文檔內(nèi)容拖拽至其他加密文檔中，非加密文檔間內(nèi)容拖拽無(wú)影響；另存為控制：加密文檔通過(guò)另存為方式保存出其他任意副本均進(jìn)行強(qiáng)制加密保護(hù)；非加密文檔另存為無(wú)影響；打印控制：可對(duì)加密文檔的打印權(quán)限進(jìn)行控制，如禁止指定程序執(zhí)行打印，或允許程序執(zhí)行打印時(shí)自動(dòng)添加打印水印等，方案控制決策如下：ü 物理打?。涸试S用戶連接打印機(jī)并正常打印，客戶端進(jìn)行打印日志記錄，日志信息包含：打印機(jī)器名稱(chēng)、打印用戶ID、打印文件名、打印時(shí)間及打印文件大小備注信息等；ü 虛擬打?。涸试S用戶連接虛擬打印器并正常打印為電子文件，DLP

12、客戶端將對(duì)虛擬打印生成的電子文件進(jìn)行加密保護(hù)，防止虛擬打印副本泄密。對(duì)象插入控制：可對(duì)允許打開(kāi)加密文檔的指定程序進(jìn)行防注入保護(hù)，防止非法程序通過(guò)程序注入方式獲取明文數(shù)據(jù)內(nèi)容；截屏控制：禁止對(duì)加密文檔內(nèi)容進(jìn)行屏幕拷貝，防止明文數(shù)據(jù)內(nèi)容通過(guò)截屏圖片方式進(jìn)行泄密，方案控制決策如下：ü 明文截屏不受控：允許用戶僅開(kāi)啟明文文檔時(shí)可進(jìn)行截屏，截屏方式不限，如通過(guò)鍵盤(pán)Print Screen鍵、標(biāo)準(zhǔn)化截圖工具等；ü 密文截屏受控：允許用戶在開(kāi)啟密文文檔時(shí)通過(guò)指定標(biāo)準(zhǔn)截屏軟件進(jìn)行截屏，并允許將截取的明文剪切板內(nèi)容粘貼只密文文檔中，同時(shí)截屏內(nèi)容保存為圖片時(shí)將進(jìn)行加密保護(hù)；上述安全控制均可根據(jù)

13、業(yè)務(wù)需要進(jìn)行開(kāi)放和調(diào)整，管理員可靈活配置，可針對(duì)不同的用戶組或用戶進(jìn)行靈活的策略設(shè)置，符合管理要求。（4）終端管理提供客戶端信息管理模塊。包含對(duì)合法客戶端機(jī)器的升級(jí)管理、離線管理以及卸載管理、版本號(hào)管理等。（5）流程管理流程管理模塊包含有離線審批流程、解密審批流程、外發(fā)加密審批流程、卸載審批流程等；可根據(jù)項(xiàng)目后期的建設(shè)要求提供接口及管理協(xié)同，實(shí)現(xiàn)與已有電子流審批平臺(tái)的無(wú)縫集成。（6）日志管理日志管理模塊提供日志審核及管理功能；系統(tǒng)將對(duì)所有管理變更、操作過(guò)程以及特權(quán)用戶操作等行為進(jìn)行詳細(xì)記錄。（7）分級(jí)管理為管理用戶提供分級(jí)管理要求，系統(tǒng)部署可實(shí)現(xiàn)集中部署，但對(duì)業(yè)務(wù)的管理要求可下放到各部分級(jí)機(jī)構(gòu)

14、或部門(mén)，可實(shí)現(xiàn)對(duì)本部門(mén)或組織機(jī)構(gòu)的用戶管理、審批管理、客戶端管理、日志管理等。（8）介質(zhì)及端口管理 可提供對(duì)移動(dòng)介質(zhì)端口管理的要求，可實(shí)現(xiàn)數(shù)據(jù)拷貝到移動(dòng)介質(zhì)中自動(dòng)加密，同時(shí)可實(shí)現(xiàn)對(duì)U口的控制，實(shí)現(xiàn)打開(kāi)/禁用，注冊(cè)管理，限制U盤(pán)的使用范圍，對(duì)未注冊(cè)的U盤(pán)無(wú)法識(shí)別和使用。3.6應(yīng)用系統(tǒng)安全集成要求與現(xiàn)有系統(tǒng)集成，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的加固和數(shù)據(jù)安全防護(hù)。（1）協(xié)議管理提供基于TCP/IP協(xié)議的數(shù)據(jù)鏈路加密保護(hù)功能，與數(shù)據(jù)防泄漏客戶端配合，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的安全準(zhǔn)入控制。（2）策略管理提供基于IP和端口管理的安全準(zhǔn)入策略配置及管理功能，與Iptable機(jī)制配合，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的安全準(zhǔn)入策略控制。（3）傳輸數(shù)

15、據(jù)管理根據(jù)應(yīng)用系統(tǒng)安全集成需要，可提供傳輸協(xié)議加解密、傳輸數(shù)據(jù)加解密管理支撐，確保應(yīng)用系統(tǒng)數(shù)據(jù)傳輸及交互安全。（4）數(shù)據(jù)加密管理 可根據(jù)業(yè)務(wù)管理要求，對(duì)圖文檔的數(shù)據(jù)進(jìn)行分級(jí)防護(hù)，對(duì)重要的數(shù)據(jù)實(shí)現(xiàn)下載加密管理，可通過(guò)中間件服務(wù)的方式對(duì)指定的文檔進(jìn)行加密，加密文檔上傳時(shí)可進(jìn)行解密上傳，投標(biāo)廠家需要提供標(biāo)準(zhǔn)的接口服務(wù)。3.7管理規(guī)定及支撐流程配套完整的系統(tǒng)使用規(guī)定及管理制度，主要內(nèi)容包括：l 角色的定義：普通用戶、系統(tǒng)管理員、日志管理員等角色的定義；l 基本使用原則：如客戶端禁止破壞；l 解密原則：什么場(chǎng)景下使用何種解密方式；l 特殊場(chǎng)景使用原則：如加班辦公、終端離線、文檔加密、郵件外發(fā)等；3.8關(guān)

16、聯(lián)系統(tǒng)設(shè)計(jì)對(duì)核心應(yīng)用系統(tǒng)如：圖文檔管理系統(tǒng)、OA系統(tǒng)、PDM系統(tǒng)、文件服務(wù)器等無(wú)縫集成，實(shí)現(xiàn)核心應(yīng)用系統(tǒng)訪問(wèn)明文上傳、密文下載安全集成目標(biāo)關(guān)鍵需求場(chǎng)景，保證上傳到服務(wù)器的數(shù)據(jù)以明文的形式存放，下載到本地后進(jìn)行加密存儲(chǔ)。3.9 具體技術(shù)參數(shù)要求招標(biāo)技術(shù)要求序號(hào)功能及指標(biāo)技術(shù)規(guī)格及詳細(xì)參數(shù)品牌規(guī)格技術(shù)文件防泄漏系統(tǒng)1產(chǎn)品結(jié)構(gòu)產(chǎn)品必須采用C/S+B/S架構(gòu)；2產(chǎn)品性能滿足500用戶同時(shí)使用。3操作系統(tǒng)1.服務(wù)器支持：WINDOWS2003SERVER、2008SERVER等系統(tǒng)；2.客戶端應(yīng)支持：WINDOWSXP、WIN7、WIN8等32位、64位操作系統(tǒng)。4數(shù)據(jù)庫(kù)支持sqlserver2000、

17、sqlserver2005、sqlserver2008、sqlserver2012等數(shù)據(jù)庫(kù)功能要求5文檔加密1.支持AES、RC4、SM4等通用加密算法；2支持用戶自主設(shè)置高強(qiáng)度加密密鑰，同時(shí)支持系統(tǒng)隨機(jī)創(chuàng)建高強(qiáng)度加密密鑰；4支持在安全模式下工作，也需提供同等加密保護(hù)；5支持用戶可自主設(shè)置需要加密保護(hù)的數(shù)據(jù)類(lèi)型和應(yīng)用；6支持通過(guò)策略靈活控制實(shí)現(xiàn)文件是否區(qū)分加密文檔；7支持打開(kāi)文件時(shí)，不改變用戶工作習(xí)慣，不改變應(yīng)用軟件界面和菜單形態(tài)；6模式切換為方便用戶使用，提高工作效率，提供兩種模式切換，工作模式與個(gè)人模式，工作模式下文件均于加密狀態(tài)，個(gè)人模式下文檔不加密，個(gè)人模式無(wú)法查看工作模式下的加密文檔

18、；7文件格式支持*.*文件格式，支持任意應(yīng)用程序8密鑰管理1. 支持用戶自定義256位以內(nèi)高強(qiáng)度密鑰2. 算法需要經(jīng)過(guò)國(guó)家相關(guān)部門(mén)認(rèn)證3. 密鑰可進(jìn)行備份，防止丟失9用戶認(rèn)證1支持自主創(chuàng)建用戶及組織結(jié)構(gòu)、支持批量錄入用戶及組織結(jié)構(gòu)2支持與AD等統(tǒng)一身份認(rèn)證平臺(tái)無(wú)縫集成，并支持基于Ldap標(biāo)準(zhǔn)協(xié)議的其他第三方認(rèn)證平臺(tái)集成。3支持對(duì)所有用戶設(shè)置統(tǒng)一初始化密碼，用戶在使用加密系統(tǒng)時(shí)，必須強(qiáng)制修改初始化密碼，防止賬號(hào)盜用或設(shè)置簡(jiǎn)單口令所帶來(lái)的泄密隱患4. 支持自動(dòng)定期同步統(tǒng)一身份管理平臺(tái)的組織結(jié)構(gòu)信息，無(wú)需管理人員參與，保障信息的安全運(yùn)行。5.支持實(shí)時(shí)顯示用戶連接狀態(tài)，如在線、異常離線、正常離線、卸載

19、等狀態(tài)。10安全防護(hù)1. 必須采用驅(qū)動(dòng)級(jí)智能動(dòng)態(tài)加解密技術(shù)，具備有強(qiáng)制、透明、無(wú)感知等特點(diǎn)2. 支持對(duì)被保護(hù)文檔另存為強(qiáng)制加密保護(hù)，防止泄密3. 支持對(duì)被保護(hù)文檔進(jìn)行打印控制及水印裝填4. 支持對(duì)被保護(hù)文件實(shí)行禁止拷屏控制5. 支持對(duì)被保護(hù)文檔內(nèi)容的復(fù)制粘貼進(jìn)行安全控制，能夠禁止將保護(hù)內(nèi)容粘貼至其它非受控文檔6. 支持對(duì)剪切板內(nèi)容進(jìn)行保護(hù)7. 支持對(duì)被保護(hù)文檔進(jìn)行宏安全控制，能夠防止用戶通過(guò)宏泄密8. 支持被保護(hù)文檔內(nèi)容的拖拽進(jìn)行安全控制，能夠禁止將保護(hù)內(nèi)容拖拽至其他非受控文檔9. 支持終端強(qiáng)制對(duì)指定格式文檔進(jìn)行全盤(pán)加密10. 能夠防止一系列內(nèi)存轉(zhuǎn)儲(chǔ)指令，內(nèi)存分段安全化處理11. 支持安全模式

20、下能夠正常加密，保證文件不泄露12. 支持用戶不能中斷或刪除終端13 提供高強(qiáng)度身份校驗(yàn)控制，防止非法用戶通過(guò)暴力破解、重裝系統(tǒng)等方法竊密；14 能支持Ukey客戶端的方式進(jìn)行文件的動(dòng)態(tài)加解密控制；11外發(fā)控制可以對(duì)外發(fā)文檔的權(quán)限進(jìn)行回收可以控制外發(fā)到客戶文檔的權(quán)限（如修改、打印、時(shí)間、自動(dòng)銷(xiāo)毀），使用方支持插件/無(wú)插件兩種方式。12策略化管理1支持所有加密安全控制均通過(guò)策略配置實(shí)現(xiàn)；2可以針對(duì)用戶、部門(mén)定制安全策略；13開(kāi)放式策略庫(kù)1加密系統(tǒng)需完全對(duì)用戶開(kāi)發(fā)策略庫(kù)編輯功能，用戶可自主完成策略的定義和下發(fā)；2新應(yīng)用策略的拓展無(wú)需加密系統(tǒng)廠商定制化，應(yīng)采用通用化設(shè)計(jì)；3應(yīng)用環(huán)境的升級(jí)、變更時(shí)，加

21、密系統(tǒng)無(wú)需開(kāi)發(fā)，可支持兼容支持或調(diào)整策略配置即可支持；14系統(tǒng)升級(jí)和技術(shù)服務(wù)1支持本地化服務(wù)2支持系統(tǒng)級(jí)在線升級(jí)；15內(nèi)容安全1支持剪切板白名單，防止敏感數(shù)據(jù)內(nèi)容拷貝至指定應(yīng)用文件中；2能夠控制剪切板白名單容量，防止用戶利用例外策略惡意泄密；16流程支撐1.支持自動(dòng)解密審批流程，對(duì)用戶提交的解密申請(qǐng)，審批員在線審批通過(guò)后文檔將自動(dòng)解密并存檔；2.支持文檔外發(fā)審批流程，可通過(guò)流程自動(dòng)制作外發(fā)文檔；3.支持離線審批流程，支持終端離線審批，設(shè)置離線時(shí)長(zhǎng)；4.支持卸載審批流程，終端可進(jìn)行卸載申請(qǐng)和審批；17管理分級(jí)1支持設(shè)置分級(jí)系統(tǒng)管理員，并可設(shè)置分級(jí)系統(tǒng)管理員權(quán)限和管理范圍；2支持設(shè)置分級(jí)日志管理員

22、，實(shí)現(xiàn)對(duì)安全日志的分級(jí)審計(jì)功能；3支持設(shè)置分級(jí)流程審批員，實(shí)現(xiàn)對(duì)業(yè)務(wù)流程的分級(jí)審批功能；18例外業(yè)務(wù)1.支持特權(quán)策略，提供文件加密、落地解密、落地加密等策略配置，方便對(duì)用戶特殊應(yīng)用的支持；2.支持郵件白名單，能夠?qū)崿F(xiàn)對(duì)指定郵件賬號(hào)用戶發(fā)送加密文件自動(dòng)解密；19應(yīng)用系統(tǒng)防護(hù)1、 控制應(yīng)用系統(tǒng)的安全接入，實(shí)現(xiàn)安全準(zhǔn)入的控制要求；2、 對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行安全防護(hù)，實(shí)現(xiàn)“上傳解密、下載加密”效果3、 對(duì)應(yīng)用系統(tǒng)訪問(wèn)可進(jìn)行細(xì)顆粒的權(quán)限控制，可提供標(biāo)準(zhǔn)接口。20日志審計(jì)1.支持對(duì)所有敏感數(shù)據(jù)的使用進(jìn)行全生命周期審計(jì)；2滿足最小顆粒度審計(jì)要求，可審查如用戶、文件、時(shí)間、載體、動(dòng)作等信息；21管理方式支持B

23、/S模式的管理，界面友好，支持基于Web的圖形用戶界面（GUI），能夠以簡(jiǎn)單、直觀的方式顯示信息，簡(jiǎn)化配置。22資質(zhì)證明國(guó)家密碼管理局頒發(fā)的商用密碼產(chǎn)品銷(xiāo)售許可證；國(guó)家版權(quán)局頒發(fā)的計(jì)算機(jī)軟件著作權(quán)登記證書(shū)；公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證；國(guó)家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)；軍用信息安全產(chǎn)品認(rèn)證證書(shū)23實(shí)施案例生產(chǎn)廠家至少有制造業(yè)成功實(shí)施經(jīng)驗(yàn)；（提供和客戶簽訂的銷(xiāo)售合同復(fù)印件及驗(yàn)收?qǐng)?bào)告復(fù)印件，且加蓋廠家公章）。注：為必須滿足項(xiàng)，否則視為不滿足技術(shù)要求。3.10關(guān)鍵需求場(chǎng)景3.10.1關(guān)鍵數(shù)據(jù)防外泄需求l 強(qiáng)制加密對(duì)文件進(jìn)行強(qiáng)制加密處理，從文件創(chuàng)建開(kāi)始即可自動(dòng)加密保護(hù)。通過(guò)

24、對(duì)核心數(shù)據(jù)進(jìn)行全生命周期保護(hù)，確保核心數(shù)據(jù)只可在公司內(nèi)安全域內(nèi)正常、透明使用，通過(guò)任意方式將數(shù)據(jù)非法帶離內(nèi)部環(huán)境將無(wú)法正常使用。l 透明使用核心數(shù)據(jù)在加密前后對(duì)于數(shù)據(jù)合法使用者無(wú)任何差異，不增加用戶負(fù)擔(dān)、不改變?nèi)魏喂ぷ髁鞒碳笆褂昧?xí)慣。文件的保存加密、打開(kāi)解密完全由后臺(tái)加解密驅(qū)動(dòng)內(nèi)核自動(dòng)完成，對(duì)用戶而言完全透明、無(wú)感知。l 靈活拓展可支持對(duì)任意文件類(lèi)型、應(yīng)用程序進(jìn)行加密保護(hù)。完全開(kāi)放式策略庫(kù)配置，當(dāng)新引進(jìn)設(shè)計(jì)軟件或變更安全控制策略時(shí)，企業(yè)可以完全自主進(jìn)行安全策略配置；當(dāng)應(yīng)用程序或設(shè)計(jì)軟件升級(jí)換代時(shí)，無(wú)需升級(jí)和二次開(kāi)發(fā)，通過(guò)安全策略變更即可無(wú)縫兼容支持。l 出口管理 可對(duì)正常的業(yè)務(wù)需求設(shè)置數(shù)據(jù)出口

25、，支持終端的離線使用，可對(duì)文檔進(jìn)行解密外發(fā)、加密外發(fā)，3.10.2關(guān)鍵數(shù)據(jù)內(nèi)容保護(hù)需求（1）剪切板/拖拽控制合法用戶打開(kāi)加密文件時(shí)，系統(tǒng)將對(duì)合法程序的剪切板行為進(jìn)行監(jiān)控，受控程序之間可以進(jìn)行內(nèi)容的復(fù)制、粘貼、剪切等操作，但是受控程序的內(nèi)容不允許粘貼至非受控程序中。（2）另存為控制合法用戶打開(kāi)加密文件后，根據(jù)工作需要進(jìn)行副本及格式另存為；也可能出于泄密目的，將文件保存為任意不規(guī)則格式（包括無(wú)格式）副本。系統(tǒng)平臺(tái)可完全識(shí)別另存為行為，自動(dòng)完成數(shù)據(jù)強(qiáng)制加密存儲(chǔ)，確保核心數(shù)據(jù)存儲(chǔ)安全。（3）拷屏/錄屏合法用戶打開(kāi)加密文件后，系統(tǒng)將實(shí)時(shí)監(jiān)控用戶的截屏及錄屏行為，當(dāng)用戶發(fā)起截屏請(qǐng)求時(shí)(比如鍵盤(pán)PrintS

26、creen以及其他截屏工具等)，系統(tǒng)會(huì)自動(dòng)攔截截屏請(qǐng)求，實(shí)現(xiàn)屏幕黑屏保護(hù)；而當(dāng)用戶未打開(kāi)任意加密文件時(shí)，系統(tǒng)不對(duì)用戶截屏行為進(jìn)行任何控制。（4）打印控制系統(tǒng)可對(duì)用戶的打印行為進(jìn)行靈活控制，即可實(shí)現(xiàn)“開(kāi)/關(guān)式”打印控制，控制用戶是否允許或禁止打印加密文件，也可實(shí)現(xiàn)打印精細(xì)化管理，控制用戶對(duì)指定文檔的閱讀、打印權(quán)限，如使用次數(shù)和時(shí)限等。為保障核心數(shù)據(jù)的打印安全及可追溯，可進(jìn)行打印水印進(jìn)行設(shè)置，水印包括文字信息和水印圖片，例如可以自動(dòng)強(qiáng)制添加公司名稱(chēng)以及公司LOGO圖片等版權(quán)標(biāo)識(shí)，并可自動(dòng)添加打印用戶ID、打印時(shí)間、打印機(jī)器IP等信息。3.10.3 核心數(shù)據(jù)外發(fā)安全需求（1）加密保護(hù)采用高強(qiáng)度加密技

27、術(shù)對(duì)外發(fā)數(shù)據(jù)進(jìn)行加密保護(hù)，防止非法用戶暴力破解泄密。（2）身份校驗(yàn)外發(fā)文件提供多種安全身份認(rèn)證機(jī)制，包括：密碼口令認(rèn)證、機(jī)器綁定認(rèn)證、UKEY認(rèn)證等，在身份認(rèn)證通過(guò)后才可正常、安全打開(kāi)外發(fā)文件。（3）權(quán)限控制外發(fā)文件提供細(xì)粒度權(quán)限控制保護(hù)，包含文檔使用權(quán)限如只讀、打印、修改等控制；閱讀次數(shù)、閱讀時(shí)限及過(guò)期自動(dòng)銷(xiāo)毀等保護(hù)；文檔協(xié)同權(quán)限如修改、還原以及文檔內(nèi)容保護(hù)、打印水印等控制。（4）內(nèi)容安全控制為防止使用者惡意將文件內(nèi)容擴(kuò)散，系統(tǒng)對(duì)其內(nèi)容進(jìn)行高強(qiáng)度安全控制，如內(nèi)容剪切保護(hù)、禁止截屏、禁止另存為及打印控制等。3.10.4數(shù)據(jù)解密審批需求（1）流程支撐可根據(jù)現(xiàn)有工作流程制定符合管理模式的解密流程，

28、可實(shí)現(xiàn)單點(diǎn)或多級(jí)審批管理要求。（2）安全身份認(rèn)證各審批節(jié)點(diǎn)在進(jìn)行解密審批時(shí)均需進(jìn)行身份認(rèn)證，防止仿冒用戶進(jìn)行解密審批操作，滿足方便性的同時(shí)杜絕申請(qǐng)人可接觸到解密后文件的可能。（3）日志審計(jì)追溯所有流程執(zhí)行及審核均可進(jìn)行日志審計(jì)和追溯。3.10.5離線辦公管控需求（1）脫機(jī)冗余服務(wù)器宕機(jī)、網(wǎng)絡(luò)癱瘓情況發(fā)生時(shí)，為防止因網(wǎng)絡(luò)癱瘓而無(wú)法正常開(kāi)展加密業(yè)務(wù)，系統(tǒng)需提供脫機(jī)冗余控制功能，在預(yù)設(shè)的冗余時(shí)間范圍內(nèi)系統(tǒng)將自動(dòng)啟用客戶端離線緩存策略，正常提供加解密業(yè)務(wù)支撐。（2）出差辦公提供出差申請(qǐng)流程，用戶可以根據(jù)出差需要提交出差申請(qǐng)并預(yù)估出差時(shí)長(zhǎng)，流程審核通過(guò)后安全策略將自動(dòng)完成離線緩存，用戶可在離線狀態(tài)開(kāi)正常

29、開(kāi)展加解密業(yè)務(wù)。（3）出差延期由于客觀原因，實(shí)際出差周期與出差申請(qǐng)計(jì)劃存在出入，為了確保用戶出差業(yè)務(wù)連續(xù)，系統(tǒng)提供出差補(bǔ)時(shí)支撐，策略管理員可為用戶生成出差補(bǔ)時(shí)碼，通過(guò)郵件或短信等方式發(fā)送給出差用戶，用戶完成補(bǔ)時(shí)碼輸入及驗(yàn)證后即可完成離線補(bǔ)時(shí)。（4）出差解密在外出辦公過(guò)程中，由于網(wǎng)絡(luò)條件的限制，無(wú)法通過(guò)流程對(duì)文件進(jìn)行審批解密，尤其是特殊領(lǐng)導(dǎo)在外辦公中，為了提高工作效率，可通過(guò)定制的終端解密工具對(duì)文件進(jìn)行手動(dòng)解密，解密過(guò)程中通過(guò)插入U(xiǎn)key對(duì)指定的文件進(jìn)行解密操作。3.10.6 郵件發(fā)送安全需求郵件傳遞是目前比較常見(jiàn)的文檔交互方式，針對(duì)所內(nèi)重要的數(shù)據(jù)加密后，數(shù)據(jù)以附件的形式通過(guò)郵件發(fā)送給其他非加密

30、的用戶可正常的使用，系統(tǒng)可提供相應(yīng)的技術(shù)手段實(shí)現(xiàn)業(yè)務(wù)連續(xù)：n 郵件白名單：可對(duì)指定的郵件白名單文檔自動(dòng)解密，在對(duì)指定的用戶郵件地址發(fā)送郵件時(shí)，文檔可自動(dòng)解密，針對(duì)部分特殊用戶使用；n 文檔半透明應(yīng)用：對(duì)非強(qiáng)制加密的終端用戶，系統(tǒng)可設(shè)置半透明策略，本地文檔不加密，但可正常打開(kāi)加密文檔使用，如：公司A用戶本地不采用強(qiáng)制加密策略，但設(shè)計(jì)所B用戶發(fā)送了一個(gè)加密的dwg文件給A用戶，A用戶在本地終端上可正常打開(kāi)使用，但A用本地自身生成的dwg不做加密處理。3.10.7 加密區(qū)域隔離需求實(shí)現(xiàn)不同單位/部門(mén)使用不同的加密密鑰進(jìn)行隔離，同時(shí)又能夠使數(shù)據(jù)依照策略在不同的加密區(qū)域之間進(jìn)行數(shù)據(jù)交換。如：A部門(mén)使用A

31、密鑰加密，B部門(mén)使用B密鑰加密，A部門(mén)和B部門(mén)之間相互隔離，不能打開(kāi)相互的加密文件，Z是A和B部門(mén)的主管領(lǐng)導(dǎo)，Z可以打開(kāi)A部門(mén)和B部門(mén)發(fā)送來(lái)的加密文件。可滿足父子密鑰的樹(shù)型結(jié)構(gòu)關(guān)系，滿足分級(jí)管理的要求。3.10.8 終端設(shè)備管理需求系統(tǒng)可對(duì)終端端口與設(shè)備進(jìn)行啟用與禁用控制。主要包括：打印控制、調(diào)制解調(diào)器、串口、并口、1394、紅外、藍(lán)牙、無(wú)線等的使用控制。支持多種移動(dòng)存儲(chǔ)設(shè)備注冊(cè)方式，對(duì)已經(jīng)注冊(cè)的移動(dòng)存儲(chǔ)設(shè)備提供分組管理與移動(dòng)存儲(chǔ)設(shè)備狀態(tài)管理（正常使用、鎖定）。只有經(jīng)過(guò)授權(quán)的移動(dòng)存儲(chǔ)設(shè)備才能在內(nèi)網(wǎng)使用，未授權(quán)的移動(dòng)存儲(chǔ)設(shè)備無(wú)法在內(nèi)網(wǎng)使用。內(nèi)網(wǎng)專(zhuān)用移動(dòng)存儲(chǔ)設(shè)備只能在內(nèi)網(wǎng)使用，在外網(wǎng)無(wú)法使用。防止因非法使用移動(dòng)存儲(chǔ)設(shè)備造成數(shù)據(jù)泄密。控制移動(dòng)存儲(chǔ)設(shè)備的只讀、讀寫(xiě)使用權(quán)限，同時(shí)可以控制移動(dòng)存儲(chǔ)設(shè)備的可使用范圍，控制移動(dòng)存儲(chǔ)設(shè)備只能在授權(quán)的范圍內(nèi)使用。3.10.9 應(yīng)用安全加固需求針對(duì)公司內(nèi)部應(yīng)用的各類(lèi)應(yīng)用系統(tǒng)，如何在保障業(yè)務(wù)高效及連續(xù)性的同時(shí)，防止核心信息資產(chǎn)外泄。l 保障應(yīng)用系統(tǒng)核心數(shù)據(jù)訪問(wèn)及存儲(chǔ)安全，實(shí)現(xiàn)后端明文安全