永涵電子企業(yè)安全衛(wèi)士技術(shù)白皮書(正式版)

1、永涵電子企業(yè)安全衛(wèi)士技術(shù)白皮書汕頭市永涵電子科技有限公司版權(quán)聲明本手冊(cè)的所有內(nèi)容，其版權(quán)屬于汕頭市永涵電子科技有限公司（以下簡(jiǎn)稱永涵電子）所有，未經(jīng)永涵電子許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。本手冊(cè)沒有任何形式的擔(dān)保、立場(chǎng)傾向或其他暗示。若因本手冊(cè)或其所提到的任何信息引起的直接或間接的資料流失、利益損失，永涵電子及其員工恕不承擔(dān)任何責(zé)任。本手冊(cè)所提到的產(chǎn)品規(guī)格及資訊僅供參考，有關(guān)內(nèi)容可能會(huì)隨時(shí)更新，永涵電子恕不承擔(dān)另行通知之義務(wù)。版權(quán)所有 不得翻印 2010-2011永涵電子目 錄 TOC o 1-2 h z u HYPERLINK l _Toc234922628 1產(chǎn)品背景. PAG

2、EREF _Toc234922628 h 1 HYPERLINK l _Toc234922629 1.1企業(yè)信息安全現(xiàn)狀 PAGEREF _Toc234922629 h 1 HYPERLINK l _Toc234922630 1.2產(chǎn)品定位 PAGEREF _Toc234922630 h 3 HYPERLINK l _Toc234922631 1.3系統(tǒng)運(yùn)行環(huán)境 PAGEREF _Toc234922631 h 3 HYPERLINK l _Toc234922632 2產(chǎn)品概述. PAGEREF _Toc234922632 h 4 HYPERLINK l _Toc234922633 2.1產(chǎn)品簡(jiǎn)

3、介 PAGEREF _Toc234922633 h 4 HYPERLINK l _Toc234922634 2.2產(chǎn)品架構(gòu) PAGEREF _Toc234922634 h 4 HYPERLINK l _Toc234922635 2.3產(chǎn)品布署拓?fù)鋱D PAGEREF _Toc234922635 h 6 HYPERLINK l _Toc234922636 3產(chǎn)品主要功能. PAGEREF _Toc234922636 h 7 HYPERLINK l _Toc234922637 3.1實(shí)時(shí)透明加密技術(shù)應(yīng)用. PAGEREF _Toc234922637 h 7 HYPERLINK l _Toc23492

4、2638 3.2實(shí)時(shí)透明解密技術(shù)應(yīng)用. PAGEREF _Toc234922638 h 7 HYPERLINK l _Toc234922639 3.3客戶端策略集中管理 PAGEREF _Toc234922639 h 7 HYPERLINK l _Toc234922640 3.4客戶端離線管理 PAGEREF _Toc234922640 h 7 HYPERLINK l _Toc234922641 3.5身份、身份組認(rèn)證技術(shù)的應(yīng)用 PAGEREF _Toc234922641 h 7 HYPERLINK l _Toc234922642 3.6靈活的審批流程. PAGEREF _Toc2349226

5、42 h 8 HYPERLINK l _Toc234922643 3.7掉電文件保護(hù)技術(shù)應(yīng)用 PAGEREF _Toc234922643 h 8 HYPERLINK l _Toc234922644 3.8打印機(jī)控制 PAGEREF _Toc234922644 h 8 HYPERLINK l _Toc234922645 3.9黑名單技術(shù)的應(yīng)用. PAGEREF _Toc234922645 h 8 HYPERLINK l _Toc234922646 3.10支持網(wǎng)絡(luò)文件系統(tǒng). PAGEREF _Toc234922646 h 9 HYPERLINK l _Toc234922647 3.11強(qiáng)制水印技

6、術(shù)的應(yīng)用. PAGEREF _Toc234922647 h 9 HYPERLINK l _Toc234922648 3.12文件外發(fā)控制. PAGEREF _Toc234922648 h 9 HYPERLINK l _Toc234922649 4技術(shù)特點(diǎn) PAGEREF _Toc234922649 h 10 HYPERLINK l _Toc234922650 4.1設(shè)計(jì)思想. PAGEREF _Toc234922650 h 10 HYPERLINK l _Toc234922651 4.2技術(shù)原理. PAGEREF _Toc234922651 h 10 HYPERLINK l _Toc23492

7、2652 4.3技術(shù)實(shí)現(xiàn). PAGEREF _Toc234922652 h 11 HYPERLINK l _Toc234922653 5技術(shù)支持 PAGEREF _Toc234922653 h 12產(chǎn)品背景企業(yè)信息安全現(xiàn)狀 近年來(lái)，隨著互聯(lián)網(wǎng)在中國(guó)的迅速發(fā)展，政府、經(jīng)濟(jì)、社會(huì)、文化和人們生活等各方面都越來(lái)越依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)經(jīng)濟(jì)的興起和發(fā)展，極大地改變了人們的生活、工作和思維方式，促進(jìn)了經(jīng)濟(jì)的發(fā)展。但在這個(gè)發(fā)展潮流中，網(wǎng)絡(luò)信息安全隱患越來(lái)越突出，信息泄密事件時(shí)有發(fā)生。黑客攻擊或商業(yè)間諜入侵、木馬病毒肆虐、內(nèi)部員工有意或無(wú)意的泄密行為，以及存儲(chǔ)大量數(shù)據(jù)的硬件被盜或丟失，都可能直接導(dǎo)致泄密情況發(fā)生，

8、并給企業(yè)和單位造成大量的經(jīng)濟(jì)與聲譽(yù)上的損失。信息安全也成為各網(wǎng)絡(luò)應(yīng)用單位面臨的難點(diǎn)問題，同時(shí)隨著各單位與個(gè)人對(duì)網(wǎng)絡(luò)和電腦依賴程度越來(lái)越大，這種安全威脅和影響也不斷擴(kuò)大，甚至已經(jīng)成為當(dāng)今網(wǎng)絡(luò)應(yīng)用中最敏感的問題之一。 為解決這些問題，許多單位采取拆除光驅(qū)、軟驅(qū)、封閉USB外設(shè)接口、限制上網(wǎng)等方法來(lái)盡可能的減少信息交換，以達(dá)到信息保密的目的；或者安裝監(jiān)控軟件，監(jiān)控員工的日常工作，使其不敢輕舉妄動(dòng)；或者安裝各種網(wǎng)絡(luò)信息安全防護(hù)產(chǎn)品，如防火墻、入侵檢測(cè)、防病毒產(chǎn)品等來(lái)防范黑客攻擊和病毒侵襲。但人們很快發(fā)現(xiàn)，網(wǎng)絡(luò)信息安全不是絕對(duì)的，沒有任何一個(gè)產(chǎn)品或者技術(shù)能夠絕對(duì)確保自己的網(wǎng)絡(luò)不被黑客攻擊和病毒入侵。同時(shí)

9、，限制上網(wǎng)、封閉USB接口、拆除光驅(qū)軟驅(qū)、安裝監(jiān)控軟件等等做法一方面嚴(yán)重影響工作的高效性，同時(shí)容易引起員工的抵觸情緒；另一方面還是無(wú)法根本杜絕有意的內(nèi)部泄密行為。大量事實(shí)也證明這些方法效果不是很好，重要的文件依舊會(huì)泄漏。 美國(guó)的執(zhí)法機(jī)構(gòu)FBI和CSI曾對(duì)數(shù)百家企業(yè)進(jìn)行了調(diào)查。該調(diào)查結(jié)果認(rèn)為絕大多數(shù)泄密事件是由內(nèi)部人員所為，或者由內(nèi)外勾結(jié)造成的。IDC 的報(bào)告也得出了類似的結(jié)論：70%的安全損失是由內(nèi)部造成的。這些都印證了中國(guó)的一句古話 “家賊難防”。由于內(nèi)部人員熟悉文件的存放，還可以接觸到密級(jí)高、范圍廣的文件，所以一旦發(fā)生內(nèi)部人員故意泄密事件，其危害程度將大大超過(guò)外部人員的盜取。可見，從數(shù)據(jù)保

10、密角度來(lái)講，要內(nèi)外兼防、甚至要防內(nèi)甚于防外。 因此不難看出，目前企業(yè)對(duì)于數(shù)據(jù)安全面臨的問題是： 企業(yè)中各種內(nèi)部文件無(wú)法受到強(qiáng)制加密保護(hù)，員工可以隨意的把公司中的內(nèi)部文件非法拿到公司之外。 一些企業(yè)已經(jīng)通過(guò)簡(jiǎn)單的加密工具，主動(dòng)加密企業(yè)內(nèi)部的機(jī)密文件，但是對(duì)于管理者來(lái)說(shuō)，無(wú)法實(shí)現(xiàn)對(duì)員工的主動(dòng)管理，實(shí)現(xiàn)對(duì)內(nèi)部機(jī)密文件的被動(dòng)強(qiáng)制加密保護(hù)。 員工在外地辦事處或者分公司通過(guò)VPN等方式訪問企業(yè)內(nèi)部的機(jī)密文件的同時(shí)，無(wú)法保證文件的安全。 一些企業(yè)已經(jīng)有自己的內(nèi)部文件服務(wù)器，也有相應(yīng)的文件管理員對(duì)文件訪問權(quán)限進(jìn)行管理，但無(wú)法保證文件服務(wù)器上存儲(chǔ)的文件的安全。 企業(yè)中利用WINDOWS或者VSS等文件管理系統(tǒng)來(lái)

11、管理文件及文件訪問權(quán)限時(shí)，只能夠設(shè)置簡(jiǎn)單的文件訪問權(quán)限，無(wú)法根據(jù)企業(yè)中員工的實(shí)際業(yè)務(wù)需要，提供細(xì)粒度的訪問權(quán)限。 企業(yè)中為了控制員工通過(guò)一些硬件存儲(chǔ)設(shè)備，私自拷貝內(nèi)部的機(jī)密文件，通常是在員工的機(jī)器上貼封條或者徹底禁用設(shè)備端口的方式，來(lái)杜絕員工非法把企業(yè)中的內(nèi)部機(jī)密文件帶出到企業(yè)以外，無(wú)法通過(guò)人性化的管理方式，既能夠在正常工作時(shí)使用這些設(shè)備，為工作帶來(lái)方便，又不允許非法使用這些設(shè)備。 一些對(duì)企業(yè)不滿的員工，在離開企業(yè)時(shí)，經(jīng)常把使用的機(jī)器上的文件都故意銷毀。員工工作中形成的內(nèi)部文件，無(wú)法實(shí)時(shí)進(jìn)行備份，造成對(duì)企業(yè)資產(chǎn)的一定損失。 企業(yè)中日常的辦公，經(jīng)常使用郵件系統(tǒng)、及時(shí)通訊工具等與客戶進(jìn)行業(yè)務(wù)上的溝

12、通，在使用這些工具進(jìn)行方便工作的同時(shí)，無(wú)法控制使用這些工具對(duì)企業(yè)內(nèi)部機(jī)密文件的泄漏。 企業(yè)已經(jīng)有一些文件安全的管理方法，但是對(duì)于出差或者外出辦事的員工，無(wú)法控制在離開企業(yè)內(nèi)網(wǎng)環(huán)境下，其筆記本上存儲(chǔ)的企業(yè)內(nèi)部機(jī)密文件的安全。 對(duì)于企業(yè)在文件安全管理過(guò)程中，出現(xiàn)的文件安全事件無(wú)法追蹤。在企業(yè)中，一旦出現(xiàn)文件泄密事件，沒有追蹤的依據(jù)。產(chǎn)品定位永涵電子企業(yè)安全衛(wèi)士可以廣泛應(yīng)用于需要限制文檔訪問范圍的領(lǐng)域：黨政機(jī)關(guān)：涉及國(guó)家機(jī)密的的文檔（公文、機(jī)密文件、會(huì)議紀(jì)要、統(tǒng)計(jì)數(shù)據(jù)、情報(bào)等）金融機(jī)構(gòu)：包含大量敏感信息和商業(yè)秘密的文檔（投資信息、大客戶信息、上市公司年報(bào)等）；醫(yī)療行業(yè)：帶有不允許泄漏敏感信息的文檔（

13、醫(yī)案、病案、病人信息、圖片等）；咨詢行業(yè)：含有商業(yè)秘密信息的文檔（調(diào)查報(bào)告、咨詢報(bào)告、商業(yè)計(jì)劃、客戶資料等）；制造行業(yè)：需要限制共享對(duì)象的企業(yè)文檔（設(shè)計(jì)圖紙、財(cái)務(wù)預(yù)算、商業(yè)計(jì)劃、價(jià)格體系、采購(gòu)成本、合同定單、物流信息、管理制度等）研發(fā)行業(yè)：需要保護(hù)知識(shí)產(chǎn)權(quán)的文檔（源代碼、設(shè)計(jì)文檔、知識(shí)庫(kù)等）。系統(tǒng)運(yùn)行環(huán)境硬件環(huán)境推薦配置CPU：P4 2.0以上； 內(nèi)存：512MB以上；硬盤：2G以上； 分辨率：1024*768；軟件環(huán)境服務(wù)端： 支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003的各個(gè)版本。 支持?jǐn)?shù)據(jù)庫(kù) SQL Server 2000/2005、MySQL5.

14、0客戶端： 支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003、Vista的各個(gè)版本。 郵件代理：支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003的各個(gè)版本。產(chǎn)品概述產(chǎn)品簡(jiǎn)介永涵電子企業(yè)安全衛(wèi)士是一套高擴(kuò)展性、可定制化的解決方案。本系統(tǒng)集身份認(rèn)證、文件自動(dòng)加解密、打印控制、程序控制、外發(fā)控制等多種技術(shù)于一身，對(duì)單位內(nèi)部的圖紙、文件、設(shè)計(jì)文稿、數(shù)據(jù)庫(kù)或信息等敏感電子文件從創(chuàng)建、分發(fā)乃至銷毀的全過(guò)程進(jìn)行控制和保護(hù)，確保這些文件即便被黑客盜取或內(nèi)部員工惡意外泄，獲得者也無(wú)法打開，切實(shí)保障企業(yè)的信息安全。產(chǎn)品架構(gòu)永涵電子企業(yè)安全衛(wèi)士

15、的組成包括服務(wù)端、客戶端、郵件代理。以下是體系結(jié)構(gòu)圖：服務(wù)端：服務(wù)端對(duì)企業(yè)的文檔保護(hù)策略進(jìn)行集中管理，主要功能包括：企業(yè)組織結(jié)構(gòu)樹的維護(hù)：用戶組、用戶信息維護(hù)；用戶權(quán)限配置：包括基本控制，外設(shè)控制，進(jìn)程控制，自定義進(jìn)程，文件接收者權(quán)限配置；客戶端用戶組、用戶策略配置和下發(fā)；系統(tǒng)參數(shù)設(shè)置：包括一次性密碼設(shè)置，客戶端水印參數(shù)設(shè)置，數(shù)據(jù)的備份和恢復(fù)，公司信息導(dǎo)入、導(dǎo)出；設(shè)置用戶離線時(shí)段；解密及出差審核流程的配置；對(duì)客戶端進(jìn)行遠(yuǎn)程目錄加解密；客戶端身份驗(yàn)證和密鑰管理客戶端卸載監(jiān)控日志審計(jì)管理及離線人員查詢郵件信任列表必定加密文件類型，全盤加密文件類型客戶端：安裝于受控主機(jī)上，執(zhí)行服務(wù)器端的各種安全管理

16、策略，實(shí)現(xiàn)對(duì)本地機(jī)密文件的安全管理，為企業(yè)員工提供易用、穩(wěn)定、安全的安全信息終端。一般用戶不可手動(dòng)停止與卸載，只能由管理員通過(guò)服務(wù)端遠(yuǎn)程卸載，主要功能包括：信息泄露防護(hù)，為本機(jī)文件提供透明的加解密服務(wù)接收服務(wù)端下發(fā)的工作策略，并按照該策略控制客戶端的工作模式記錄文件操作日志，并上傳至服務(wù)端通過(guò)服務(wù)器進(jìn)行身份認(rèn)證向服務(wù)器申請(qǐng)離線預(yù)設(shè)文件所有者；設(shè)置“我的工作目錄”；調(diào)整文件接收者；手動(dòng)加解密文件；出差申請(qǐng)，出差文件升級(jí)，結(jié)束出差；郵件代理：對(duì)于經(jīng)常往來(lái)的客戶，可以根據(jù)不同的用戶設(shè)定不同的信任郵件地址，郵件代理會(huì)自動(dòng)的將加密附件解密后投遞給可信的用戶。同時(shí)郵件代理會(huì)對(duì)解密的文件保留一份副本，以備日

17、后檢查，主要功能包括：對(duì)文件進(jìn)行自動(dòng)解密操作備份郵件附件內(nèi)容產(chǎn)品布署拓?fù)鋱D產(chǎn)品主要功能實(shí)時(shí)透明加密技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用內(nèi)核動(dòng)態(tài)加密技術(shù)，當(dāng)用戶保存文件時(shí)，文件將被自動(dòng)強(qiáng)制加密，加密過(guò)程不使用臨時(shí)文件，不影響用戶使用習(xí)慣。若將加密的文件拷貝至其他沒有安裝永涵電子企業(yè)安全衛(wèi)士的機(jī)器上或非本單位機(jī)器時(shí)，文件將無(wú)法正常打開使用。實(shí)時(shí)透明解密技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士使用實(shí)時(shí)解密技術(shù)，所有的加解密操作都在內(nèi)存中分塊完成。系統(tǒng)從硬盤中讀取或?qū)懭攵嗌贁?shù)據(jù)，就加/解密多少數(shù)據(jù)，使得用戶在打開文件時(shí)感受不到加解密帶來(lái)的延遲?？蛻舳瞬呗约泄芾碛篮娮悠髽I(yè)安全衛(wèi)士通過(guò)服務(wù)端的集中控制臺(tái)可以對(duì)全公司、

18、部門、小組甚至每個(gè)客戶端進(jìn)行管理，配置不同的安全策略。同時(shí)能實(shí)時(shí)上收客戶端的操作日志和審計(jì)日志到服務(wù)端集中管理，降低了整個(gè)系統(tǒng)的運(yùn)維管理成本。客戶端離線管理永涵電子企業(yè)安全衛(wèi)士提供了很好的離線控制機(jī)制。當(dāng)客戶端與服務(wù)器端由于網(wǎng)絡(luò)故障無(wú)法連接或者用戶需要出差而無(wú)法實(shí)時(shí)連接服務(wù)端，客戶端可以根據(jù)預(yù)設(shè)的策略被授權(quán)在一定時(shí)間內(nèi)正常使用受控文件，超過(guò)限定時(shí)間系統(tǒng)將鎖定客戶端，文件將無(wú)法打開。身份、身份組認(rèn)證技術(shù)的應(yīng)用永涵電子企業(yè)安全衛(wèi)士是基于身份驗(yàn)證的基礎(chǔ)上對(duì)電子文件進(jìn)行保護(hù)的，系統(tǒng)管理員可以指定（通過(guò)加密方式，而不是許可控制方式）一個(gè)文件只能由哪些人(身份)/哪些部門(身份組)使用其明文，不具備授權(quán)身

19、份的用戶即使得到了文件也不能得到其明文。 永涵電子企業(yè)安全衛(wèi)士安裝后會(huì)為每個(gè)單位用戶生成一個(gè)唯一的密鑰，各單位也可以再自行設(shè)置一個(gè)用戶密鑰，由兩把密鑰來(lái)共同完成加密工作。不同的單位之間由于無(wú)法得知對(duì)方的用戶密鑰，相互間無(wú)法解密對(duì)方文件，保證了文件的安全性。靈活的審批流程針對(duì)企業(yè)各種OA流程控制的需求，永涵電子企業(yè)安全衛(wèi)士提供了豐富的業(yè)務(wù)審批流程。能支持文檔解密和出差的審批流程?？勺远x單人審批即可通過(guò)，或多人同時(shí)審批才能通過(guò)，或者任意審批人同意即可通過(guò)。同時(shí)能支持審批代理人功能，即審批主管離開或出差時(shí)，能下發(fā)權(quán)限給某一人員，代理其行使審批的權(quán)限。掉電文件保護(hù)技術(shù)應(yīng)用當(dāng)對(duì)大文件進(jìn)行加密處理時(shí)，由

20、于所需時(shí)間較長(zhǎng)，在處理未完成的情況下，系統(tǒng)意外中斷（如停電）。將導(dǎo)致數(shù)據(jù)文件處于一半加密，另一半未加密的狀態(tài)，這將直接導(dǎo)致數(shù)據(jù)文件的損壞?；谝陨弦蛩乜紤]永涵電子企業(yè)安全衛(wèi)士采用世界領(lǐng)先的文件實(shí)時(shí)快照技術(shù)，在系統(tǒng)發(fā)生異常中斷的情況下能保證加/解密文件的正常使用，徹底杜絕由于意外情況導(dǎo)致的用戶文件損壞。同時(shí)，當(dāng)系統(tǒng)恢復(fù)正常后能利用文件快照，從中斷的位置繼續(xù)進(jìn)行加密。即保證了數(shù)據(jù)的安全，也提高了效率。打印機(jī)控制永涵電子企業(yè)安全衛(wèi)士可以對(duì)某個(gè)組或某臺(tái)終端電腦設(shè)置禁止使用打印機(jī)策略，同時(shí)能通過(guò)打印水印來(lái)審計(jì)打印的內(nèi)容。黑名單技術(shù)的應(yīng)用永涵電子企業(yè)安全衛(wèi)士可以設(shè)定客戶端禁止使用某些應(yīng)用程序（如MSN、Q

21、Q、游戲類軟件、股票類軟件等等），當(dāng)發(fā)現(xiàn)用戶使用了這些被禁止使用的應(yīng)用程序，系統(tǒng)將自動(dòng)關(guān)閉這些應(yīng)用程序，并彈出消息提示。同時(shí)用戶通過(guò)任何方式修改進(jìn)程屬性也無(wú)法執(zhí)行禁止的程序。支持網(wǎng)絡(luò)文件系統(tǒng)永涵電子企業(yè)安全衛(wèi)士在訪問文件共享服務(wù)器上的文件時(shí)，能自動(dòng)加解密服務(wù)器上的文件，而不因?yàn)槲募?wù)器沒有安裝客戶端，而導(dǎo)致另存到服務(wù)器上的文件不被加密。強(qiáng)制水印技術(shù)的應(yīng)用加密文檔的內(nèi)容仍然有可能通過(guò)截圖、拍照、打印的手段被泄密，通過(guò)設(shè)置水印功能，可以把加密文檔使用者姓名的水印設(shè)定在該文檔上。這樣，可以通過(guò)它追查到泄密者，從而提醒使用者增強(qiáng)安全防范意識(shí)。文件外發(fā)控制文件外方控制手段多樣，包括：客戶端解密后進(jìn)行外

22、發(fā)、通過(guò)郵件代理服務(wù)器進(jìn)行解密外發(fā)、不解密外發(fā)。客戶端解密后進(jìn)行外發(fā)需要經(jīng)過(guò)流程審核，如逐級(jí)地領(lǐng)導(dǎo)審批，這個(gè)流程是可以由管理員進(jìn)行自由配置的。通過(guò)郵件代理服務(wù)器進(jìn)行解密外發(fā)，郵件代理服務(wù)器提供了白名單(信任的郵件地址)功能，當(dāng)通過(guò)該郵件代理服務(wù)器發(fā)送加密文件時(shí)，如果該郵件中描述的所有的接收者郵件地址都在管理員定義的白名單中，那么郵件代理服務(wù)器將自動(dòng)將該郵件中的加密文件(以附件形式存放在郵件中)解密。系統(tǒng)會(huì)記錄郵件代理服務(wù)器自動(dòng)解密的整個(gè)過(guò)程的日志，以備日后審查跟蹤。不解密外發(fā)，需要使用閱讀器軟件來(lái)使用外發(fā)過(guò)來(lái)的文件。外部合作伙伴可以通過(guò)這個(gè)工具來(lái)閱讀合作伙伴所發(fā)的加密文件。技術(shù)特點(diǎn)設(shè)計(jì)思想永涵

23、電子企業(yè)安全衛(wèi)士是一個(gè)向整個(gè)計(jì)算機(jī)系統(tǒng)提供安全、便捷、廣泛的反商業(yè)泄密解決方案的信息安全產(chǎn)品，在任何時(shí)間地點(diǎn)都可以安全地保護(hù)企業(yè)文件數(shù)據(jù)不被侵犯，讓機(jī)密文件得到最周全的保護(hù)。本系統(tǒng)可以無(wú)縫地嵌入操作系統(tǒng)，實(shí)現(xiàn)便捷、透明的安全保護(hù)，為企業(yè)提供一個(gè)低成本、高可靠的反商業(yè)泄密解決方案。特定的文件（并非所有的文件）在生成（或保存）之時(shí)，就被加密，且加密由計(jì)算機(jī)自動(dòng)地進(jìn)行，不依靠人工執(zhí)行；文件的加密和解密，不依賴人工設(shè)定的密碼或口令；被加密的文件在被涉密計(jì)算機(jī)使用時(shí)，就被解密，且解密由計(jì)算機(jī)自動(dòng)地進(jìn)行，無(wú)需人工操作，文件的使用者也無(wú)需知道“密碼”；被加密的文件在被非涉密計(jì)算機(jī)使用時(shí)，自動(dòng)報(bào)錯(cuò)、顯示亂碼或

24、者其他方式以阻止文件內(nèi)容被傳播；文件需要被外部人員（或非涉密計(jì)算機(jī)）讀取，應(yīng)該由專人來(lái)審查并解除其保密狀態(tài)；內(nèi)部人員交流需要授權(quán)，非法越權(quán)訪問獲得的文件無(wú)法打開使用。技術(shù)原理永涵電子企業(yè)安全衛(wèi)士需要在每一臺(tái)涉密計(jì)算機(jī)上安裝客戶端程序。客戶端程序會(huì)從服務(wù)器得到密鑰（類似于人工設(shè)定的密碼），而這個(gè)密鑰不會(huì)也無(wú)需被涉密計(jì)算機(jī)的使用人員所掌握。涉密計(jì)算機(jī)的使用人員如果試圖保存一個(gè)文件，那么客戶端會(huì)根據(jù)服務(wù)器判斷此文件的加密屬性，自動(dòng)將其加密后再保存到存儲(chǔ)介質(zhì)上，做到“強(qiáng)制加密”。為保證使用方便，涉密計(jì)算機(jī)的使用人員在試圖打開一個(gè)加密文件時(shí)，客戶端也會(huì)根據(jù)服務(wù)器設(shè)定的加密屬性，自動(dòng)解密。由于沒有安裝永涵

25、電子企業(yè)安全衛(wèi)士的非涉密計(jì)算機(jī)沒有自動(dòng)解密機(jī)制，自然也就無(wú)法打開加密文件了。而如果將文件拷至其他也安裝有永涵電子企業(yè)安全衛(wèi)士的公司，則因?yàn)槠涿荑€不正確，也無(wú)法將其打開。如果我們需要將一份密文交給我們的客戶或者供應(yīng)商，那么該文件的外傳則必須通過(guò)管理員。管理員在審批通過(guò)之后，在服務(wù)端或用解密端進(jìn)行手動(dòng)解密，將文件變成明文交給客戶或供應(yīng)商。技術(shù)實(shí)現(xiàn)文件識(shí)別技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用了智能文件識(shí)別技術(shù)，通過(guò)在文件加密時(shí)往文件內(nèi)容中添加指紋信息來(lái)標(biāo)識(shí)文件。這樣，可以通過(guò)文件內(nèi)容而不是文件擴(kuò)展名來(lái)識(shí)別文件類型，即使加密文件改名后，一樣可以被正確識(shí)別為加密文件。這種基于文件內(nèi)容的識(shí)別技術(shù)可以克服基于文件名識(shí)別技術(shù)存在的種種弊端，如：修改了加密文件后綴名，導(dǎo)致這個(gè)加密文件因?yàn)椴荒鼙蛔R(shí)別為加密文件，而無(wú)法得到透明加解密服務(wù)。在保存文件時(shí)強(qiáng)制將文件保存為不同的擴(kuò)展名，采用擴(kuò)展名識(shí)別文件類型的系統(tǒng)將無(wú)法保護(hù)該文件。進(jìn)程識(shí)別技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用智能進(jìn)程特征識(shí)別技術(shù)對(duì)受控進(jìn)程進(jìn)行識(shí)別而不僅依賴應(yīng)用程序名，無(wú)論如何修改應(yīng)用程序名，都能夠被正確的識(shí)別出來(lái)。假如僅依賴進(jìn)程名來(lái)確定受控應(yīng)用程序，則當(dāng)用戶手工修改程序名時(shí)，如將E