機械院非全文件項目背景

防軟件檢 郵件加管 文件控 外件權限設 外件管 超時處理（僅支持員工 逐級選擇員（僅支持角色 跨部門選擇員（僅支持角色 業(yè)務數(shù)據(jù)加 業(yè)務數(shù)據(jù)控 業(yè)務數(shù)據(jù)控 技術支持及方 實時技術支 44 化工公 。據(jù)多家銀行員工向其他人客戶個人信息導致銀行客戶之。加密是針對一些特定部門的特 進行保護通過這類產品可以將對應的基于類型進行保護的產品，通過它可以對這些辦公文件進行權限的設定，只有那些有權限的人員才可以打開這些過的文件，并且進行修改。限管理、加密等防泄密功能，根據(jù)涉密程度的不同（如部門和普通部門，部署力，用戶在日常辦公的過程中著來自內部、外部的數(shù)據(jù)風險，其中有竊取、泄密，但絕大多數(shù)是來自內部員工無意的泄密行為。，1235、支持 進行加密、6、支持進行本地磁盤文件掃描加密7910、可對用戶通過郵件行為發(fā)送敏感文件到特定郵箱時、收取附件加密1112、需提供批量、加密工具，防止在終端時進行文件恢復13、支持對文件、人員、終端進行級別設定，防止造成高密低流，并提供文件14、支持將文件制作成針對不同人員、不同權限的文件，使不同用戶使用同一15、支持對組織（部門）進行文件16、支持對批量文件進行17、支持將文件制作成特殊（外發(fā)）格式，使文件對外使用時及保障安全性又18、支持對批量文件 進行外件的制作19、需提供管理供員工進行文件、權限設置、外件制作20、需提供制作外件的工具工離線情況下制作外件的制作21、需支持基于用戶或用戶角色的流程并可進行流程文件實體的審計22、需提供靈活的流程供日常辦公的各種場景進行配置23、支持對應用系統(tǒng)進行文件加密、上傳的設置24、支持對主流移動設（iOSAndroid及平板進行文件安全閱讀功能，整個網(wǎng)絡環(huán)境中實現(xiàn)集中的安全能力系統(tǒng)設計充分考慮原則不破壞現(xiàn)據(jù)不被截獲或修改。圍的擴展能力。從容量以及架構的擴展能力，適應中國南航超大型企業(yè)的規(guī)模，并中國南航終端安全及文檔安全管理項目剛剛起步業(yè)務系統(tǒng)將會發(fā)生內容和種環(huán)境和系統(tǒng)擴展要求。不僅具有適應中國南航各個行業(yè)業(yè)務特點特殊要求的能力，并且也適應各個地區(qū)下級單位各自本地業(yè)務特點對管理系統(tǒng)所特殊要求。央企商業(yè)保護是國資委根據(jù)企業(yè)信息化特點及業(yè)務實際針對企業(yè)領域的建設要求因此央企商業(yè)保護具有明確的針對性和保護重點保護企業(yè)商業(yè)不被竊取破壞是保護的重點所以在設計數(shù)據(jù)文件管控應先對需要保護的信息資產對象進行分析明確信息資產的商業(yè)密級及有重點有針對性的進行安全防護在實現(xiàn)對商業(yè)進行有效保護的同時還可產組成和網(wǎng)絡架構比較固定只需按照常規(guī)的方式部署和安全措施即可實現(xiàn)隨著業(yè)務流轉，必然會經歷創(chuàng)建、、使用、共享、外發(fā)、歸檔、銷毀等若干環(huán)節(jié)，文件管控平臺在對商業(yè)信息進行安全保護時必須根據(jù)數(shù)據(jù)在不同流轉環(huán)節(jié)應滿足“控制是保護的內容應在整個信息網(wǎng)絡內構建統(tǒng)一的控制機制有安全統(tǒng)一制定和下發(fā)安全策略通過安全策略對關鍵的行為進行控制當整個信息網(wǎng)絡中的行為都是經過認證和都符合安全策略的約束時，就能夠保證整系的安全可控。，終端不安全問題的根源也是導致信息的主要終端安全是信息系會從終端出去、木馬等也無法終端，內部用戶更是無法從網(wǎng)內信息系統(tǒng)安全，防范內部用戶的問題迎刃而解。，針對近年來頻發(fā)的公司被竊取的案例發(fā)生對于公司內部資源的需要而防范內部被竊取。對于帶有屬性的文件進行保護及控制這一類文件在不受控的情況下，從而去報企業(yè)內部的安全提高企業(yè)內部計算機的整體安全基準線，將受到的降至最低對于不可信的進行和控制不允許企業(yè)內員工不可信列表中的站絡、邊界、內部”不同的網(wǎng)絡位置。在進行建設時，應根據(jù)網(wǎng)絡位置的不同、防護體系在保證滿足本單位要求的前提下盡量降低的建信息系統(tǒng)所能夠達到的安全強度遵循“木桶原理，即整系所能夠達到的安全實名、核實：桌面計算機客戶端實名，單位、部門、、 IP、MAC等，管理員可以核實修正信息，并可強制重新。按自定義字段查詢客戶端：服務器端提供實名、IP地址、MAC地址、防軟件、安裝軟件數(shù)量、硬件配置等字段的組合查詢能力，并與實名信息關聯(lián)顯示。審計查詢：提供客戶端日志行為的查詢，并與實名信息關聯(lián)顯示防軟件安裝率統(tǒng)計按管理區(qū)域和全局自動生成當前的防軟件安裝率統(tǒng)計裝防軟件計算機與實名數(shù)據(jù)庫關聯(lián)定位未安裝防軟件的客戶端與實名數(shù)據(jù)庫關聯(lián)定位，并顯示未安裝防軟件計算機的用戶信息。按照商業(yè)數(shù)據(jù)所處的位置和形式進行分類劃分對不同位置和形式的數(shù)據(jù)實行避免安全的發(fā)生或降低安全發(fā)生的概率事中應做到減少安全造成的影響，事后審計應做到在安全發(fā)生后可追溯。 對以非結構化數(shù)據(jù)形式的數(shù)據(jù)，如保存于文件服務器上的文檔，應采取技術保護措施，無法將數(shù)據(jù)導出對于因故障需要到外部機構維修的介質應通過數(shù)據(jù)擦除工具／設備擦除對其中的信息進行加密。應對包含商業(yè)數(shù)據(jù)的文檔的打印進行控制并對打印行為進行控制和應對商業(yè)數(shù)據(jù)文檔的外為和在內部終端間的流轉進行審計審計記錄須上加密數(shù)據(jù)文件拷貝到普通移動設備（不可信設備。無透明加時的操作無差別數(shù)據(jù)時，合法用戶毋須事先對數(shù)據(jù)進行，而是由系統(tǒng)根據(jù)策略自動判斷當前進程是否是進程若進程已則自動對數(shù)據(jù)進行。圖4-1驅動層透明加對企業(yè)內部涉及加密信息的應用程序進行簽名管理保證合法進程擁有加密文件的權限當用戶或系統(tǒng)通過修改進程名來應用加密文件時應用的訪問，防止用戶或系統(tǒng)使用加密文件，進而避免加密文件明文泄漏的可能性。圖4-2、在企業(yè)內部加密文件一旦生成通過加密直接完成對文件修改及打印權限的控制確保文件從創(chuàng)建開始即收回文件修改及打印權限確保加密文件或業(yè)務部門的文件不會被個人或系統(tǒng)篡改打印。從而確保加密文件在傳輸、使用中、圖4-3、在企業(yè)內部有相當數(shù)量的非可編輯類文件需要加密保（如音頻PDF等OpenWrite、圖4-5 12通過客戶端對指定控制等不影響用戶的正常工作。對掃描工作有日志審計做到加密文件保護圖4-6免私人及非文件的過量加密適度的使用加密系統(tǒng)避免過量加密帶來的效率降低及操作，給管理員減少不必要的工作量，提高工作效率圖4-7圖4-8屏軟件控制，確保錄屏軟件無法使用或者顯示為黑屏、用；當加密文件最大化或展開時截屏。圖4-9單配置即發(fā)往指定郵箱或指定郵箱的郵件附件自動避免員工重復提交申為防止內部員工通過此途徑內部加密文（通過發(fā)郵件然后再把郵件發(fā)回來的方式，系統(tǒng)還支持對指定郵箱或郵箱的郵件附件自動加密。圖4-10郵件附件設圖4-11當客戶端離線，在指定周期內（固定時間：45不能修改，另存、打?。┊斢脩粜枰娱L加密文件使用時間通 或 文件修改離線時長及策略圖4-12自控制：通過策略控制允許某些用戶（如高級）在本地自普通加密文件，生成非加密文件。過程會產生日志記錄，以便審計。控制：通過配置多級流程，用戶可提交加密文件請求，審批通過后文件在本地自動。過程會有日志記錄，以便審計。圖4-13通過本系統(tǒng)用戶可以主動制作主動文件可以設置文件的使用時間使用范圍、是否允許再、是否記錄使用日志等各種細粒度的使用權限。在企業(yè)內部不同部門之間存在密級差異有的可以加密有的僅可普通圖4-15當用戶設置文件權限時可配置該文件是否需要使用并可設置是否對該圖4-16申請制作權限文圖4-17利用部門可快速輕量級的實現(xiàn)A部門生成的文件B部門無法打開滿足不同部圖4-18部門管成用戶，即可透明兩個及以上部門或組織的文件。圖4-19圖4-20文件場被的文件夾以共享的方式向外提供服務文件夾的權限設置細粒度如文件密圖4-21文件服務器批量設印水印、是否允許重新、是否記錄日志等。式，QQ、郵件、移動介質均可。圖4-22權限文件管，系統(tǒng)自動對于主動文件的使用過程作者可設置記錄使用日志以便于以，文檔外發(fā)管理實現(xiàn)對所有類型的電子文檔外發(fā)前的嚴格流程對外發(fā)的文件及權限進行制度化、規(guī)范化的，從上控制信息的擴散；對帶出的外件進行加密以及防泄密控制杜絕篡改或竊取數(shù)據(jù)的問題對文件外發(fā)后的使USBKey份認證，使得外件的使用過程得到全程的控制和管理，從而防止他人使用、修改、擴散；通過多方位的日志記錄對外件的帶出及使用進行審計和追蹤。外件權限設部使用依然受控防止加密文件被篡改及擴散有效保護企業(yè)內部加密文件安全及自主知識。圖4-23外件權限設外件管，建立Web平臺流程根據(jù)企業(yè)內部組織結構或工作業(yè)務流程自定義不用密級的文件執(zhí)行不同層級的流程。且可根據(jù)實際情況自定義者可以是一個或多個。，者可以查看文件內容及權限設定等內容且員的操作自動記錄到服務器傳統(tǒng)外 僅能支持小規(guī)模文件當企業(yè)內部需要對大文 時中軟文檔，發(fā)管理對外件大小過程及外發(fā)之后的操作不受文件本身大小限制打，通過外件自帶瀏覽器可以完成企業(yè)內部對多文件夾多文件的當授權文件多于一個且互相之間有依賴關系外發(fā)后依然保持這種依賴關系確保文件圖4-25通過流程管理，可對文件、權限文件（包括制作、變更、制作外發(fā)文件、郵件、離線策略進行流程設置。類型可分為員工與角色員工中每一節(jié)點為固定的人員而角色的節(jié)點是對應的“角色，角色可包含多個人員，在時更為靈活。員工員工適用于流程簡單且人員相對固定的場景流程中的每一環(huán)節(jié)為固定的員工每個環(huán)節(jié)都可以設置多名員并可圖4-28流程（員工角色角色適用于流程復雜或員工調崗相對頻繁的場景角色須應以員工的角色每個節(jié)點不是固定的員而是符合特定角色圖4-29流程（角色超時處理（僅支持員工超時處理可自動通過或可配置立即執(zhí)行或達到時間閾值后處理時間范圖4-30選項（超時處理上圖所示策略為：2天后 即視 單級結束賦予員更大的權利以下圖流程為例當部門認為單可以不必經過更時可以直接以部門的意見為最終意（若部門該請求時即便不使用單級結束，該單也會被。圖4-31流程（角色圖4-32選項（單級結束逐級選擇員（僅支持角色，啟用逐級選擇員后當下一環(huán)節(jié)有多個員時員交辦下一環(huán)節(jié)時必須選擇下一個員。，圖4-33選項（逐級選擇員跨部門選擇員（僅支持角色，默認情況下員必須與申請者所屬同一部門，啟用跨部門選擇員后，角色 ，圖4-34選項（跨部門委托為應對員外出等場景可對無法的時間段進行權限委托可設定委托時間段與委托人員，在當前時間到截止日期的時間段，單會自動由被委托人圖4-35委托、通過應用系統(tǒng)文件加密智能識別，當用戶從OA、ERP、PDM等業(yè)務服務器加密文件時系統(tǒng)自動對數(shù)據(jù)文件進行加密保護當用戶從本地上傳加密文檔到 、財務等業(yè)務服務器時，系統(tǒng)會自動判斷上傳的哪臺服務器，當用戶向OA、服務器發(fā)送文件時，如OA、服務器可以處理密文文件，加密系統(tǒng)將上傳密文至服務器；上傳到服務器，實現(xiàn)基于應用系統(tǒng)的文件上傳智能加。統(tǒng)一配置可實現(xiàn)客戶端傳輸同一份文件至不同服務器時自動判斷是否需要智能圖4-36業(yè)務數(shù)據(jù)加當用戶從業(yè)務系統(tǒng)上文件可根據(jù)不同來源的服務器和文件類型判斷是否要落身，但是將數(shù)據(jù)到安全域中，對數(shù)據(jù)進行控制。這樣，通過選擇合適的防護方法，不涉及信息的文檔，在使用時不會被加密，也不會被保護，用戶可以隨意使用、流轉這些不涉密的文檔本系統(tǒng)在對企業(yè)資產實施保護的過程中不會中斷業(yè)務系統(tǒng)涉及信息的數(shù)據(jù)的使用。統(tǒng)一配置可實現(xiàn)客戶端傳輸同一份文件至不同服務器時自動判斷是否需要智能軟防水壩業(yè)務數(shù)據(jù)防泄漏模塊策略配置使受控客戶端在業(yè)務系統(tǒng)時自動上建立起業(yè)務系統(tǒng)和客戶端之間的安全通道擺脫了傳統(tǒng)模式要在業(yè)務系統(tǒng)和圖4-42的涉密信息將自動加密保證終端用戶在本地的是密文加密過自動完成，圖4-43根據(jù)安全規(guī)則對涉密數(shù)據(jù)進行實時當終端用戶將本地涉密信息提交到業(yè)務系數(shù)據(jù)安全防護重點面向非結構化數(shù)據(jù)主要分為編輯操作和文件的導出。當工程技術人員利用OA等系統(tǒng)協(xié)同工作時，文件無須到本地，直接操作通過虛擬沙箱技術把文件重新定向到安全邏輯區(qū)域用戶在此區(qū)域通過的進

圖4-44編輯保當用戶從業(yè)務系統(tǒng)和導出文件時策略允許的可以完成動（指定類型允許，指定類型，到系統(tǒng)指定安全區(qū)域，文件明文，文件、件本地的安全性，上傳到業(yè)務系統(tǒng)時又客戶端完成。圖4-45文件導出保當終端用戶業(yè)務系統(tǒng)數(shù)據(jù)時，接受以下三種方式的控制：1、限制其只能數(shù)據(jù)，將數(shù)據(jù)到本地；2、限制其只能將數(shù)據(jù)保存到安全箱；3、允許到本地任意設備（加密或不加密。圖4-46業(yè)務數(shù)據(jù)安全系統(tǒng)的保護如文件無法到本地或文件到本地加密時系統(tǒng)都會對用戶以右下圖4-47戶通過拍照等行為竊取數(shù)據(jù)時屏幕水印也會同時被攝取這樣被竊取的數(shù)據(jù)在傳圖4-48圖4-49圖4-50竊取該企業(yè)文件第二道認證作用是將該企業(yè)的人員與普通人員區(qū)分開只人員可該企業(yè)加密文件，避免加密文件在企業(yè)內部公開化的現(xiàn)象文件需要在加密模式下進行，編輯普通文件時在普通模式下進行，兩種模式互不，印加密文件行為被，只能通過實現(xiàn)文件打印。加密文件必須走打印所有加密文件打印均帶有中國南航等動態(tài)水印字 ，機械院的接聽，并轉本項目管理小組負責技術支持。提供7×24免費支持，解答長春機械院用戶在系統(tǒng)使用中遇到的問題，及時提出解決問題的建議和操作方法中軟公司所提供的軟硬件系統(tǒng)發(fā)生故障后長春機械院應該立即通知中軟公司，2448，期內，在平常系統(tǒng)的正常運行中定期或不定期地安排例行巡檢，對用，支持、E-mail客戶服務中心E- 于不能通過溝通協(xié)調解決的問題將根據(jù)具體情況協(xié)調相關部門的技術人員共同研進行相關系統(tǒng)檢查、系統(tǒng)升級、故障、分析及故障排除工作。8.1中國范圍為、廣西、云南、和海南五省區(qū)，全網(wǎng)用戶約為30萬終端。保護單位內和帶離單位使用的工作文檔全南網(wǎng)終端采用手動加密模式采用點對點方式全管理系統(tǒng)可以與企業(yè)CA集成，也實現(xiàn)使用KEY登錄，完成合份認證。前沿文檔安全管理軟件完美的與企業(yè)CA集成整合，將CA中的用戶全部同步到前沿文另外在的OA系統(tǒng)中存在大量的帶有密級需要保護的文檔，這樣就要求前沿文檔加密的文件是明文，使用沒有任何限制。如果帶有密級信息，那么系統(tǒng)會先做加理，將當前要的文件加密成此文件定義的密級后，在供用戶。用戶后使用此文件時前沿文檔加密軟件會時向人提交。文件借閱，離線的需求。當公司需要與客戶進行文檔交流時，通過離線綁定工具，將需要外發(fā)給客戶的文檔綁定到客戶方的接收電腦上或者U盤上。這樣客戶只能在這臺電腦上（U盤上）使用這個文檔，并且中國公司總部成功實施前沿文檔安全管理軟件后，很好的保護了經過的用戶可以以原有的方式使用這些文檔，并且在使用過程中限制可能引起泄密的各去，由于不能從中心服務器到策略和密鑰而無法使用，從而不會引起泄密。這一軟件主動與泄密，幫助企業(yè)建立管理體系。8.2化工公化工公司（英文縮SinopecGroup）19987月國家在原化工總公司基礎上重組成立的特大型石油企業(yè)，是國家獨資設立的國有公司、國家化公司資本1820億元總部設在。公司業(yè)務范圍包括：實業(yè)、、中國公司在《》2011年全球500強企業(yè)中第5化工公司文檔安全項目通過多方文檔安全產品全方面比較，選用了前沿科技解決中國各業(yè)務系統(tǒng)及終端中非結構化數(shù)據(jù)性、完整性、可控性的安全管理業(yè)務需求。同化工總部機關用戶為3000余人，有160余個下屬企業(yè)。員工總數(shù)超過130余萬人。文檔安全系統(tǒng)服務器部署在總部，其作用一方面為各業(yè)務系統(tǒng)提供安全防護國辦公自動化（OA）系統(tǒng)、中國制度管理系統(tǒng)、中國管理系統(tǒng)、中國重點業(yè)務公開系統(tǒng)、中國油氣資源管理系統(tǒng)。這些業(yè)務系統(tǒng)基本覆蓋了中國總部及下屬各企事3文檔安全系統(tǒng)為下屬企業(yè)提供了DSM-Branch版分支服務器，下屬企業(yè)可獨立配置本地安全策略來防護企業(yè)內部終端的文檔數(shù)據(jù)及業(yè)務系統(tǒng)非結構化數(shù)據(jù)，DSM-Branch版具備自動加密、手動加密、掃描加密等多種技術提供文檔安全防護，經過加密的數(shù)據(jù) 境以外后將無法打開。同時用戶通過集中的認證和本地的來使用本地的加密文檔；文檔安全管理系統(tǒng)中，進行用戶認證并獲得相應權限，減少用戶使用步驟，增加應用性。同時文檔安全系統(tǒng)與AD進行集成，集成后客戶端采用單點登陸方式，自動獲取域用戶信息，并自動登陸到前沿文檔安全管理系統(tǒng)中，進行用戶認證并獲得相應權限，減少用戶使用步驟，增加易用性。在組織結構管理方面，在域中完成統(tǒng)一管理，定時同步，這樣在管理上大大減少設定涉密類型（包括（Word、Excel、PPT、PDF、Sep、Gw、Autocad、等類型業(yè)務有對應的文件標識及對應（閱讀、編輯、打印、拷貝、時間控制等，密文文件行向部門相關人申請，經過審核成功的文件則可自動帶離。整個管理體系的審計信息將自動記載并上傳至中國審計系統(tǒng)中綜合審計。采用了前沿文檔安全管理軟件后，化工出現(xiàn)涉密數(shù)據(jù)外泄得到了有效控制，生命周期控制的功能。員工對外公司內重要數(shù)據(jù)的現(xiàn)象也不再出現(xiàn)，化工的涉密信息得以有效安全保護與此同時前沿科技為下屬企業(yè)提供了更靈活的加密技術和方式，中國審計系統(tǒng)的集成實現(xiàn)了審計信息統(tǒng)一匯總綜合分析的業(yè)務需要使得審計信息從事前、事中、事后得到了全方位的日志記錄。因此，該系統(tǒng)充分滿足了化工的實際數(shù)據(jù)安全海信擁有國家級的企業(yè)技術中心，建有國家一流的博士后科研工作站，是高新技術企業(yè)、技術創(chuàng)新?？?/p>