海智網(wǎng)聚移動(dòng)辦公數(shù)據(jù)防泄漏解決方案

山麗信息移動(dòng)辦公數(shù)據(jù)防泄漏解決方案

目錄

聯(lián)系信息.........................................錯(cuò)誤!未定義書簽。

版權(quán)聲明.........................................錯(cuò)誤!未定義書簽。

1概述...........................................................4

1.1行業(yè)背景...............................................................4

1.2移動(dòng)辦公時(shí)代移動(dòng)數(shù)據(jù)的五大安全隱患...................................5

1.3監(jiān)管政策..............................................................5

1.3.1信息安全法律....................................................5

13.2行政法規(guī).........................................................6

13.3信息安全部門規(guī)章及規(guī)范性文件....................................6

134信息安全國際、國內(nèi)技術(shù)標(biāo)準(zhǔn).......................................6

1.3.5行政法規(guī)信息安全框架............................................6

2客戶需求分析....................................................7

2.1需求分析...............................................................7

2.2目前安全措施...........................................................8

2.3用戶信息安全需求......................................................8

3解決方案........................................................9

3.1方案設(shè)計(jì)思路..........................................................9

3.2方案拓?fù)?.............................................................9

3.2技術(shù)方案..............................................................9

4山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)功能詳解...............................12

4.1產(chǎn)品功能之多模加密技術(shù)..............................................12

4.2產(chǎn)品功能之剪貼板控制技術(shù)............................................13

4.3產(chǎn)品功能之離線管理技術(shù)..............................................14

4.4產(chǎn)品功能之審批管理技術(shù)..............................................15

4.5產(chǎn)品功能之審批流定制技術(shù)............................................18

4.6產(chǎn)品功能之TPM防護(hù)技術(shù).............................................20

4.7產(chǎn)品功能之密文明送技術(shù)..............................................21

4.8產(chǎn)品功能之屏幕水印&文檔水印技術(shù).....................................23

4.9產(chǎn)品功能之U盤防水墻技術(shù)............................................24

4.10產(chǎn)品功能之自主分發(fā)安裝技術(shù).........................................25

4.11產(chǎn)品功能之服務(wù)器容災(zāi)管理技術(shù).......................................25

4.12產(chǎn)品功能之文件備份和刪除管理技術(shù)....................................26

4.13產(chǎn)品功能之日志管理技術(shù)...............................................26

5方案優(yōu)勢(shì).......................................................28

1、采用第三代技術(shù)：多模加密技術(shù)，加密方式和文件格式無關(guān).................28

2、采用第三代技術(shù)：一文一密鑰加密技術(shù)，加密密鑰動(dòng)態(tài)變化，防止被破解一一28

3、加密系統(tǒng)和用戶的應(yīng)用系統(tǒng)無關(guān).........................................28

4、兼容性強(qiáng)，平臺(tái)支持IOS、Andriod、Win8、Windowsphone等主流系統(tǒng)；

.....................................................................................................................................28

5、加密系統(tǒng)和域控等第三方系統(tǒng)完美融合....................................28

6、標(biāo)準(zhǔn)SDK接口，可提供標(biāo)準(zhǔn)CMSSDK接口，可與應(yīng)用緊密集合，基于系統(tǒng)平臺(tái)

框架可構(gòu)建安全、有效的移動(dòng)辦公應(yīng)用解決方案；.............................28

7、移動(dòng)辦公安全，不僅能實(shí)現(xiàn)移動(dòng)安全接入安全（身份安全+通道安全），還能實(shí)現(xiàn)移

動(dòng)辦公應(yīng)用的數(shù)據(jù)落地加密和移動(dòng)終端管理；.................................28

8、政策安全，硬件/算法均采用目前國內(nèi)移動(dòng)安全領(lǐng)域最高的安全技術(shù)標(biāo)準(zhǔn)，符合國家

相關(guān)安全規(guī)定；............................................................29

9、山麗防水墻加密系統(tǒng)功能模塊完善，管理平臺(tái)簡易，適合全方位信息安全管理29

6售后服務(wù).......................................................29

6.1系統(tǒng)售后.............................................................29

6.2處理應(yīng)急服務(wù).........................................................31

6.3售后服務(wù)流程.........................................................34

7公司介紹及案例.................................................34

1概述

1.1行業(yè)背景

隨著互聯(lián)網(wǎng)信息技術(shù)的發(fā)展，BYOD（BringYourOwnDevice自帶設(shè)備辦公）趨勢(shì)逐漸

盛行，企業(yè)員工、合作伙伴、供應(yīng)商以及客戶都可以隨時(shí)隨地的，通過智能手機(jī)、平板電腦

等多種終端設(shè)備，完成郵件收發(fā)、資源訪問和業(yè)務(wù)處理，然而隨之而來的安全問題也漸成隱

患。

對(duì)于企業(yè)來說，由于移動(dòng)設(shè)備上個(gè)人信息與企業(yè)信息可能會(huì)混合在一起，一時(shí)的失誤可

能會(huì)造成企業(yè)的損失。員工在使用移動(dòng)設(shè)備時(shí)，隨意點(diǎn)開鏈接、添加好友、"越獄"、上不正

規(guī)的網(wǎng)站下載軟件都有可能帶來安全隱患。

而且，手機(jī)等個(gè)人終端設(shè)備安全系統(tǒng)容易被攻克。2015年5月間移動(dòng)威脅惡意樣本數(shù)

量持續(xù)攀升，達(dá)到了6,200,034個(gè)，黑客利用"隱身大盜"、"鍵盤黑手”等手機(jī)木馬和惡

意程序頻頻入侵智能手機(jī)和平板電腦等移動(dòng)終端。這些病毒主要通過藍(lán)牙、多媒體服務(wù)、手

機(jī)bug等方式傳播，攻擊手機(jī)提供的互聯(lián)網(wǎng)內(nèi)容、工具、服務(wù)項(xiàng)目和WAP服務(wù)器、網(wǎng)關(guān)

等，導(dǎo)致用戶的移動(dòng)辦公信息被竊。

有調(diào)查顯示，60%的企業(yè)員工會(huì)將商業(yè)機(jī)密數(shù)據(jù)儲(chǔ)存在他們的智能手機(jī)中。各種移動(dòng)

應(yīng)用的實(shí)現(xiàn)，讓手機(jī)病毒具備了合適的傳染源、傳染途徑以及傳播目標(biāo)，為黑客對(duì)于手機(jī)安

全的進(jìn)攻提供了機(jī)會(huì)。

另外，如果你解雇了其中的使用BYOD的員工，那么假如你想查看下他們的iPad以防

止有不屬于員工個(gè)人的公司信息泄露時(shí)，卻并不是那么簡單。

一面是移動(dòng)辦公優(yōu)越的便利性，另一面則是潛藏的移動(dòng)安全"炸彈"。在BYOD的世界，

企業(yè)若想隨性享受BYOD帶來的便利,既需要BYOD移動(dòng)辦公方案提供商在安全控制手段、

安全策略和流程上有所革新。也需要企業(yè)加強(qiáng)對(duì)員工的安全培訓(xùn)I,明確員工的責(zé)任。需要指

出的是，上述這些挑戰(zhàn)并非前所未有，只有迎難而上，方能迎刃而解。

1.2移動(dòng)辦公時(shí)代移動(dòng)數(shù)據(jù)的五大安全隱患

/關(guān)鍵數(shù)據(jù)泄密

由于移動(dòng)辦公用戶大多通過互聯(lián)網(wǎng)或公用電話網(wǎng)進(jìn)行數(shù)據(jù)通訊，數(shù)據(jù)以明文的方式被

傳遞的過程中，將很容易被竊取和篡改，造成關(guān)鍵的通信數(shù)據(jù)泄密；重要的數(shù)據(jù)被篡改

內(nèi)容后，錯(cuò)誤的信息被處理，影響總部正常業(yè)務(wù)的開展；

/非授權(quán)訪問

移動(dòng)辦公用戶的身份和口令信息在互聯(lián)網(wǎng)和公用電話網(wǎng)中很容易被竊取和偽造，攻擊

者偽造合法身份后，將對(duì)總部信息網(wǎng)絡(luò)造雨E授權(quán)的訪問，引起更大的破壞；

/越權(quán)訪問

移動(dòng)辦公用戶在缺乏有效訪問資源控制的情況下，有可能造成對(duì)總部信息網(wǎng)絡(luò)的越權(quán)

訪問，即訪問了超出其權(quán)限范圍的資源；

/抵賴

移動(dòng)辦公人員的IP地址不固定,如果僅通過IP地址進(jìn)行數(shù)據(jù)處理的判斷，那么將有

可能造成抵賴，即移動(dòng)人員抵賴自己曾經(jīng)進(jìn)行的訪問和操作；

/病毒傳播

由于移動(dòng)辦公終端自身的安全性，在其遠(yuǎn)程訪問總部信息網(wǎng)絡(luò)中，這些感染到移動(dòng)辦

公終端的病毒將直接傳播到總部信息網(wǎng)絡(luò)中，造成破壞。

由此可見，移動(dòng)辦公中存在很多不安全的因素，都將對(duì)總部信息網(wǎng)絡(luò)造成很嚴(yán)重的影

響，因此必須采取必要的安全防護(hù)手段，保障系統(tǒng)的安全性。

1.3監(jiān)管政策

1.3.1信息安全法律

?中華人民共和國憲法相關(guān)信息安全部分

?中華人民共和國刑法相關(guān)信息安全部分

?中華人民共和國保守國家秘密法

?中華人民共和國標(biāo)準(zhǔn)化法

?中華人民共和國國家安全法

1.3.2行政法規(guī)

?中華人民共和國計(jì)算機(jī)安全等級(jí)保護(hù)條例

?商用密碼管理?xiàng)l例

?中華人民共和國產(chǎn)品質(zhì)量認(rèn)證管理?xiàng)l例

1.3.3信息安全部門規(guī)章及規(guī)范性文件

?計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法

?計(jì)算機(jī)病毒防治管理辦法

?計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定

?計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法

?科學(xué)技術(shù)保密規(guī)定

?注冊(cè)信息安全專業(yè)人員認(rèn)證程序

?企業(yè)內(nèi)部控制基本規(guī)范

?商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

L3.4信息安全國際、國內(nèi)技術(shù)標(biāo)準(zhǔn)

?基礎(chǔ)類標(biāo)準(zhǔn)

?物理安全標(biāo)準(zhǔn)

?系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)

?應(yīng)用與工程標(biāo)準(zhǔn)

?管理標(biāo)準(zhǔn)

1.3.5行政法規(guī)信息安全框架

?開放系統(tǒng)安全框架ISO10181-1)

?鑒別框架(ISO10181-2)

?訪問控制框架(ISO10181-3)

?抗抵賴框架(ISOI0181-4)

?完整性框架(ISO10181-5)

?保密性框架(ISO10181-6)

?安全審計(jì)框架(ISO10181-7)

?管理框架(IS。7498-4)

?安全保證框架(ISO/IECWD15443:1999)

2客戶需求分析

2.1需求分析

隨著移動(dòng)互聯(lián)技術(shù)的進(jìn)步和通信基礎(chǔ)設(shè)施建設(shè)的日益成熟與普及，越來越多員工已經(jīng)

不僅僅在辦公室處理單位的日常事務(wù)，各企事業(yè)單位和移動(dòng)辦公人員用智能手機(jī)、PAD和

筆記本等移動(dòng)終端通過公共通信網(wǎng)絡(luò)(如：3G/Wifi/Vpdn等)訪問單位內(nèi)部的資源和應(yīng)用，

但是，這種通過公共網(wǎng)絡(luò)接入也給單位網(wǎng)絡(luò)引入了新的安全威脅，而傳統(tǒng)的終端VPN已經(jīng)

滿足不了現(xiàn)有的智能手機(jī)/平板電腦等移動(dòng)終端的安全接入需求。

由于移動(dòng)辦公人員是遠(yuǎn)程訪問，訪問地點(diǎn)、用戶不固定，因此存在口令和用戶名容易

被竊聽；通信數(shù)據(jù)流容易北竊聽和篡改；身份容易被偽造；自身安全性會(huì)對(duì)總部信息網(wǎng)絡(luò)帶

來破壞等風(fēng)險(xiǎn)，因此需要采取必要的安全措施，來規(guī)避風(fēng)險(xiǎn)，保障移動(dòng)辦公過程中的安全性，

具體包括：

/移動(dòng)辦公通信的機(jī)密性和完整性保護(hù)

移動(dòng)辦公人員在遠(yuǎn)程訪問總部信息網(wǎng)絡(luò)中，通信數(shù)據(jù)應(yīng)采取加密措施，類似于用

戶身份和口令的加密傳輸，使通信數(shù)據(jù)以密文的方式在網(wǎng)絡(luò)中傳遞，及時(shí)被竊取

了也無法獲得原始數(shù)據(jù)，降低泄密的風(fēng)險(xiǎn)；同時(shí)通信過程中應(yīng)有完整性保護(hù)措施，

對(duì)通信過程中的數(shù)據(jù)篡改有檢測(cè)手段；

/移動(dòng)辦公終端的安全性檢查與過濾

對(duì)移動(dòng)辦公終端的安全性應(yīng)當(dāng)有監(jiān)察措施，在移動(dòng)辦公人員遠(yuǎn)程接入網(wǎng)絡(luò)時(shí)，系

統(tǒng)能夠有效檢查辦公終端的安全性，至少應(yīng)檢查終端是否感染了病毒、終端操作

系統(tǒng)補(bǔ)丁狀態(tài)、終端是否啟用了防病毒系統(tǒng)、終端防病毒系統(tǒng)是否有效、安裝了

非法的軟件等信息，應(yīng)能夠防止因移動(dòng)辦公終端自身的缺陷對(duì)總部信息網(wǎng)絡(luò)造成

威脅；

/移動(dòng)辦公的強(qiáng)身份認(rèn)證

系統(tǒng)需要提供更強(qiáng)的身份認(rèn)證手段，認(rèn)證數(shù)據(jù)應(yīng)以密文的方式在網(wǎng)絡(luò)中傳遞，即

使被截取也無法

/移動(dòng)辦公終端的訪問控制

通過身份認(rèn)證技術(shù)，對(duì)非法的遠(yuǎn)程訪問用戶進(jìn)行了屏蔽，限制其訪問總部信息網(wǎng)

絡(luò)。但是對(duì)于合法的訪問用戶，還需要控制其可以訪問的資源，避免對(duì)總部信息

網(wǎng)絡(luò)的越權(quán)訪問；

/安全管理制度需求

要解決移動(dòng)辦公問題，除了采取必要的技術(shù)手段，還應(yīng)當(dāng)加強(qiáng)相應(yīng)的安全管理建

設(shè)，防止人為因素（如不當(dāng)?shù)馁Y源訪問）對(duì)總部信息網(wǎng)絡(luò)帶來破壞。因此應(yīng)增強(qiáng)

移動(dòng)辦公安全管理,將人為的因素降到最低。

2.2目前安全措施

目前企業(yè)內(nèi)部暫時(shí)未部署有任何對(duì)應(yīng)信息防泄密產(chǎn)品。

2.3用戶信息安全需求

?如何保證在開放網(wǎng)絡(luò)中保障移動(dòng)終端用戶身份和接入安全、數(shù)據(jù)保密性以及網(wǎng)絡(luò)邊界

完整性等安全接入要求；

?由于移動(dòng)終端容易丟失，保證移動(dòng)終端內(nèi)存儲(chǔ)數(shù)據(jù)的安全性；

?移動(dòng)版使用的終端多采用智能手機(jī)和平板電腦，針對(duì)這些新型終端加強(qiáng)管理，從而保

證設(shè)備的可控管理。

防護(hù)方式：

在用戶提交的設(shè)備上，安裝部署山麗防水墻軟件，實(shí)現(xiàn)對(duì)整體的數(shù)據(jù)防護(hù)。

3解決方案

3.1方案設(shè)計(jì)思路

數(shù)據(jù)防泄密，有多種解決方案，信息行業(yè)共識(shí)的方案為：以裁剪后的信息安全標(biāo)準(zhǔn)為規(guī)

范，結(jié)合行政、管理制度，采用數(shù)據(jù)透明加密是目前最徹底的防護(hù)方案。

本解決方案推薦采用山麗防水墻數(shù)據(jù)防泄密系統(tǒng)7.0來實(shí)現(xiàn)數(shù)據(jù)防護(hù)，該產(chǎn)品采用加密

3.0多模透明加密技術(shù),以加密3.0多模透明加密技術(shù)，一文一密鑰加密效果，對(duì)稱加密和非

對(duì)稱加密相結(jié)合加密密鑰機(jī)制成為目前透明加密技術(shù)的主流。

山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)是一套包含了數(shù)據(jù)透明加密、剪貼板截屏控制、文件外發(fā)控

制、USB存儲(chǔ)設(shè)備控制、信息資產(chǎn)查詢、文檔權(quán)限控制、數(shù)據(jù)備份管理的綜合性信息安全

管理系統(tǒng)。

3.2方案拓?fù)?/p>

3.2技術(shù)方案

山麗信息移動(dòng)辦公安全解決方案從網(wǎng)絡(luò)的移動(dòng)用戶身份安全、移動(dòng)終端接入安全、網(wǎng)絡(luò)

通信安全、應(yīng)用訪問控制和移動(dòng)終端信息存儲(chǔ)安全等環(huán)節(jié)進(jìn)行綜合安全防護(hù)，構(gòu)成多層次、

全方位的移動(dòng)安全管理體系。為智能手機(jī)用戶、掌上電腦以及移動(dòng)PC用戶提供安全的移動(dòng)

信息安全服務(wù)，為用戶提供了強(qiáng)有力的數(shù)據(jù)信息安全支撐。

山麗信息移動(dòng)辦公安全解決方案以下幾部分組成，分別是：網(wǎng)絡(luò)安全、終端管控、信

息加解密、TPM應(yīng)用安全等組成。主要功能有：

?移動(dòng)接入終端身份安全，通過Usbkey/證書/口令用戶/動(dòng)態(tài)口令密碼等方式來保證接

入終端用戶身份安全；

?網(wǎng)絡(luò)通信安全，通過高安全算法對(duì)傳輸通道加密，確保移動(dòng)接入終端和內(nèi)網(wǎng)通訊的鏈

路安全；

?應(yīng)用安全訪問，基于移動(dòng)安全接入網(wǎng)關(guān)的安全訪問控制實(shí)現(xiàn)不同的接入終端可訪問不

同的應(yīng)用；

?移動(dòng)辦公應(yīng)用數(shù)據(jù)存儲(chǔ)安全，對(duì)接入終端要求安全高或應(yīng)用數(shù)據(jù)極為重要的客戶建議

應(yīng)用數(shù)據(jù)不落地（如：公安、政府客戶），山麗信息能保證移動(dòng)終端和內(nèi)網(wǎng)應(yīng)用能實(shí)時(shí)連接

且安全訪問互訪，?移動(dòng)終端從移動(dòng)應(yīng)用上下載的文件落地加密存儲(chǔ)在終端上，實(shí)現(xiàn)移動(dòng)應(yīng)用

數(shù)據(jù)的安全存儲(chǔ)和交換。

?移動(dòng)終端管理，方案基于和移動(dòng)設(shè)備廠商聯(lián)動(dòng)可實(shí)現(xiàn)對(duì)移動(dòng)智能終端的網(wǎng)絡(luò)、外設(shè)進(jìn)

行更深層次的安全管控，如：移動(dòng)終端在移動(dòng)辦公的同時(shí)保證在鏈路層上可有效阻斷終端與

外網(wǎng)的連接，且還可以實(shí)現(xiàn)安全接入之后自動(dòng)關(guān)閉紅外、藍(lán)牙等外設(shè)設(shè)備的數(shù)據(jù)傳輸，只保

留移動(dòng)安全接入鏈路的數(shù)據(jù)通訊，從網(wǎng)絡(luò)邊界方面規(guī)范了數(shù)據(jù)的通訊安全。另：在移動(dòng)終端

接入內(nèi)網(wǎng)方面還可針對(duì)性做移動(dòng)終端環(huán)境檢測(cè)，如：移動(dòng)終端是否安裝殺毒軟件/是否存在

某些風(fēng)險(xiǎn)因素等，以此來達(dá)到接入終端的安全接入管控。

?與應(yīng)用的結(jié)合移動(dòng)辦公中，關(guān)于應(yīng)用場(chǎng)景有2類：一類是移動(dòng)辦公以應(yīng)用錄入、查詢

和審批為主，此類應(yīng)用場(chǎng)景的安全方案可完全由上述移動(dòng)安全接入系統(tǒng)實(shí)現(xiàn)，而不用關(guān)注具

體的應(yīng)用形態(tài)（因?yàn)閿?shù)據(jù)不落地）；另一類是移動(dòng)辦公不僅考慮錄入、查詢和審批，還需要

將相關(guān)數(shù)據(jù)/文檔下載至移動(dòng)終端進(jìn)行使用，此類應(yīng)用場(chǎng)景的安全方案需重點(diǎn)關(guān)注和考慮下

載數(shù)據(jù)的安全性。

在移動(dòng)辦公方案的建設(shè)和應(yīng)用中，基于移動(dòng)辦公需要，各移動(dòng)應(yīng)用系統(tǒng)的搭建有

WEB/WAP.APP和虛擬化三種情形；基于安全考慮，一旦應(yīng)用數(shù)據(jù)需要落地，則必須對(duì)

此下載數(shù)據(jù)進(jìn)行加密控制，從而防止數(shù)據(jù)泄密。

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)功能詳解

4.1產(chǎn)品功能之多模加密技術(shù)

1,系統(tǒng)內(nèi)核透明加密功能：可以應(yīng)企業(yè)現(xiàn)有任何軟件產(chǎn)生之文件的加密需求；加密模式為

實(shí)時(shí)進(jìn)行，并對(duì)用戶透明，不需要用戶的任何干預(yù)；企業(yè)現(xiàn)有軟件的加密，包括常用office

類軟件、可能的設(shè)計(jì)類軟件如CAD等、可能的編程類軟件如C++、java等、可能的燒錄類

軟件，如PLC類軟件等。加密軟件滿足對(duì)綠色軟件的加密，滿足對(duì)RAR等壓縮軟件的加密。

這些加密均不通過二次開發(fā)即可滿足。

2，加密模式的多樣選擇功能：山麗防水墻系統(tǒng)采用加密3.0技術(shù)一多模透明加密技術(shù)，領(lǐng)

先于加密1.0環(huán)境加密技術(shù)，加密2.0文件格式加密技術(shù)，技術(shù)處于業(yè)界領(lǐng)導(dǎo)地位。在多模

加密模式中，用戶創(chuàng)建密文的方式支持主動(dòng)和被動(dòng)兩種方式，至少包含如下模式：特定格式

加密模式、特定目錄加密模式、特定格式不加密模式、特定用戶空加密模式（但可以修改和

查看別人的密文的高級(jí)別模式）、特定用戶不加密模式（可以查看別人但不能修改別人密文

的閱讀者模式1U盤外設(shè)加密模式、網(wǎng)上鄰居網(wǎng)絡(luò)加密模式、手動(dòng)加密、全盤加密等等；

這些加密模式可以賦予不同的用戶或者用戶組。

3,一文一密鑰透明加密功能：采用對(duì)稱加密和非對(duì)稱加密技術(shù)，實(shí)現(xiàn)任何文件的加密密鑰

均不一樣，防止被破解，安全性能大大優(yōu)先于單密鑰或者多密鑰產(chǎn)品。

4,文件格式無關(guān)透明加密技術(shù)：山麗網(wǎng)安承諾，因?yàn)橛脩粜率褂玫膽?yīng)用軟件產(chǎn)生的數(shù)據(jù)不

能加密的，終生免費(fèi)開發(fā)，絕不再次收費(fèi)。

5,通訊加密：該功能可以實(shí)現(xiàn)防水墻客戶端和服務(wù)器端間流轉(zhuǎn)的賬號(hào)、密碼、策略等內(nèi)容

無法被監(jiān)聽到或者監(jiān)聽到的均是加密的；

6,U盤加密：采用U盤客戶端管理模塊，系統(tǒng)認(rèn)定的管理策略將指向U盤，這樣，在任

何一臺(tái)電腦上防水墻將登錄后執(zhí)行，并對(duì)用戶的加密數(shù)據(jù)執(zhí)行對(duì)應(yīng)的加密和管控策略；

?2016山麗網(wǎng)安密級(jí)：定向公開使用-12-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

7、密文圖標(biāo)：通過控制臺(tái)的設(shè)置，可以讓客戶端的密文顯示、或者不顯示、或者不同級(jí)別

密文顯示不同的圖標(biāo)

8、文件格式無關(guān)的加密功能的二次開發(fā)保障：在用戶文檔格式發(fā)生變化時(shí)候不需要任何二

次開發(fā)或者需要的二次開發(fā)才能加密的，乙方承諾終生不收取任何費(fèi)用（即不受合同時(shí)間的

約束）；

防水墻.大型企業(yè)版@［玖子系列］多模加密功能

且免二次開發(fā)2\

多瓢密模式中

用戶可以根18不再的安全環(huán)境

VJAL/UJ2cls的皿i密除采用與之相對(duì)酬加￡蟆式■

4.2產(chǎn)品功能之剪貼板控制技術(shù)

1,剪貼流程的控制技術(shù)：加密數(shù)據(jù)以明文形式存在于內(nèi)存中顯示給用戶閱讀，存在被用戶

采用復(fù)制黏貼方式泄密可能，山麗防水墻剪貼板控制技術(shù)可以保證復(fù)制黏貼的數(shù)據(jù)無法被保

存在非受信區(qū)域，在受信區(qū)域中，被黏貼的數(shù)據(jù)也將以密文形式存在。

2,剪貼流程的控制技術(shù)：管理人員也可以設(shè)置可信的程序，讓剪貼、復(fù)制的行為僅僅發(fā)生

在信任的程序之內(nèi)，這樣，在防止剪切泄密的前提下，又可以有效的保證了工作人員的效率；

3,剪貼流程的控制技術(shù)：可以對(duì)剪貼行為進(jìn)行控制，以復(fù)制粘貼方式將無法復(fù)制到QQ、

WebmaikBBS中。對(duì)于行為的控制可以在源頭上避免一些員工的泄密行為，同時(shí)這種禁

止操作的行為也會(huì)實(shí)時(shí)的提醒員工哪些行為可以做，哪些行為不可以做，從而在潛意識(shí)層面

對(duì)員工的信息安全意識(shí)進(jìn)行了有效的培養(yǎng)。

?2016山麗網(wǎng)安密級(jí)：定向公開使用-13-

CSANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4,剪貼流程的控制技術(shù)：使得用戶通過QQ截屏發(fā)送，發(fā)送出去是黑屏、通過QQ遠(yuǎn)程，

將看到是的是白屏；隨著遠(yuǎn)程辦公的日益發(fā)展，越來越多的云服務(wù)、遠(yuǎn)程協(xié)助出現(xiàn)在日常生

活中，遠(yuǎn)程連接的方式將成為一條嚴(yán)重的數(shù)據(jù)泄密途徑。

4.3產(chǎn)品功能之離線管理技術(shù)

1，離線登陸管理：當(dāng)用戶在離網(wǎng)時(shí)候需要使用加密系統(tǒng)的時(shí)候，可以通過離線登陸來實(shí)現(xiàn)。

離線登陸支持智能卡和離線證書兩種方式，智能卡表現(xiàn)為電子鑰匙式樣，用戶離開硬件電子

鑰匙將無法使用加密系統(tǒng)；使用離線證書方式將采用軟證書方式登陸，同樣，用戶不使用軟

證書將無法使用加密系統(tǒng)。處于信息安全策略控制需要，離線證書和智能卡均只能在特定電

腦上使用，并且只能在管理人員設(shè)置的時(shí)間范圍內(nèi)使用。在使用的時(shí)候，具有證書體系和用

戶PIN碼雙層保護(hù)。

2,離線策略管理：在離線登陸模式下，用戶所有的控制策略均和在線時(shí)候一樣，即：在離

線登陸成功模式下，對(duì)用戶的加密策略控制等各種策略如同在網(wǎng)。離線模式可以實(shí)現(xiàn)即滿足

對(duì)用戶安全管控又可以方便用戶移動(dòng)辦公。

?2016山麗網(wǎng)安密級(jí)：定向公開使用-14-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

防水堵.中型企業(yè)版@［虎］離線管理功能

4.4產(chǎn)品功能之審批管理技術(shù)

1,郵件外發(fā)：用戶可以使用山麗防水墻系統(tǒng)的郵件發(fā)送工具對(duì)數(shù)據(jù)進(jìn)行發(fā)送前審核，在得

到審核同意之后，用戶即會(huì)得到系統(tǒng)氣泡提醒，而后被審核密文就會(huì)自動(dòng)變成明文被發(fā)送至

審核同意的郵件地址。此過程中，用戶手中的文件永遠(yuǎn)是密文，但審核同意的特定郵件地址

將得到明文文件。

2,明文導(dǎo)出：用戶也可以通過防水墻對(duì)數(shù)據(jù)進(jìn)行申請(qǐng)解密的操作，同樣，在得到審核同意

之后，用戶即會(huì)得到系統(tǒng)氣泡提醒，這個(gè)時(shí)候，用戶將審核同意的文件下載到本地即自動(dòng)變

成明文，用戶可以根據(jù)需要對(duì)該明文進(jìn)行任何處理。

3,郵件白名單：用戶也可以對(duì)一批的郵件地址進(jìn)行申請(qǐng)，以希望享受到"郵件白名單”的

功能，即提出申請(qǐng)后，在得到審核同意之后，用戶即會(huì)得到系統(tǒng)氣泡提醒，這個(gè)時(shí)候，用戶

將任何密文發(fā)送到這些郵件地址，數(shù)據(jù)都將自動(dòng)解密。郵件白名單方式適合給固定用戶發(fā)送

明文文件。

4,密文明送：用戶可以使用山麗防水墻系統(tǒng)的密文明送模塊進(jìn)行文件外發(fā)控制申請(qǐng)，在得

到審核同意之后，用戶即會(huì)得到系統(tǒng)氣泡提醒，而后用戶即可得到T分系統(tǒng)制作成功的密文

明送式外發(fā)控制文件。此過程中，用戶手中的文件永遠(yuǎn)是密文，用戶外發(fā)的將是使用次數(shù)、

使用時(shí)間等屬性得到限制的文件。

5,外設(shè)使用：在外設(shè)禁止使用的情況下，用戶可以對(duì)外設(shè)申請(qǐng)使用，在申請(qǐng)得到審核同意

后，用戶即可在約束時(shí)間內(nèi)，使用外設(shè)進(jìn)行數(shù)據(jù)的拷進(jìn)拷出，時(shí)間過后，用戶將無法使用此

?2016山麗網(wǎng)安密級(jí)：定向公開使用-15-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

功能，除非重新申請(qǐng)；

6,外設(shè)發(fā)送：在外設(shè)禁止使用的情況下，用戶可以對(duì)密文文件進(jìn)行外設(shè)發(fā)送使用，在申請(qǐng)

得到審核同意后，用戶即可在約束時(shí)間內(nèi)，和約定次數(shù)內(nèi)，將密文數(shù)據(jù)拷進(jìn)外設(shè)中，則數(shù)據(jù)

將自動(dòng)變成明文，時(shí)間或者次數(shù)過后，用戶將無法使用此功能，除非重新申請(qǐng)；

7,外設(shè)信任：在用戶可以使用外設(shè)的情況下，用戶將數(shù)據(jù)拷貝至外設(shè)中均為密文（外設(shè)加

密策略約束），外設(shè)信任功能即為在此種情況下，用戶申請(qǐng)外設(shè)信任，在申請(qǐng)得到審核同意

后，用戶即可在約束時(shí)間內(nèi)，使用外設(shè)進(jìn)行數(shù)據(jù)的拷進(jìn)拷出，此時(shí)，拷出的密文數(shù)據(jù)均將變

成明文，時(shí)間過后，用戶將無法使用此功能，除非重新申請(qǐng)；

8,審批提醒：采取流程解密、手工解密等多種方式靈活組合運(yùn)用，滿足不同單位的業(yè)務(wù)需

求。并且實(shí)現(xiàn)審批流選擇、自定義審批流設(shè)置、管理層審批流設(shè)置、審批提醒等功能。尤其

是提供了多種方式的審批提醒：

⑴審批流程圖示：申請(qǐng)審核者可清晰看到具體流程的節(jié)點(diǎn),并清楚目前待審核文件流轉(zhuǎn)的

進(jìn)度；以了解之后和審核者進(jìn)行線下溝通和督促；

⑵審批氣泡提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到氣泡提醒，用戶按

照氣泡引導(dǎo)即可進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，但審核完成后，原申請(qǐng)者即可

得到審核結(jié)果的氣泡提醒，如此種種，可確保第一時(shí)間得到審批訊息；

⑶審批郵件提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到郵件提醒，用戶登

陸系統(tǒng)進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，審核完成后，原申請(qǐng)者即可得到審核結(jié)

果的氣泡或者郵件提醒，如此種種，可確保第一時(shí)間得到審批訊息；

（4）審批短信提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到短信提醒，用戶登

陸系統(tǒng)進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，審核完成后，原申請(qǐng)者即可得到審核結(jié)

果的氣泡或者短信提醒，如此種種，可確保第一時(shí)間得到審批訊息；

?2016山麗網(wǎng)安密級(jí)：定向公開使用-16-

幽山麗網(wǎng)安

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

防水墻.大型企業(yè)版@【玖子系列］審批管理-1特點(diǎn)

.叱aw用戶盲a四戶

?2016山麗網(wǎng)安密級(jí)：定向公開使用-17-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4.5產(chǎn)品功能之審批流定制技術(shù)

1、標(biāo)準(zhǔn)審批：對(duì)加密后的密文進(jìn)行審批解密的標(biāo)準(zhǔn)流程,按照國家檢測(cè)部門要求，審批需

要通過兩級(jí)審批進(jìn)行：控制臺(tái)進(jìn)行形式審批、安全管理員進(jìn)行實(shí)質(zhì)審批。實(shí)現(xiàn)密文解密為明

文需要經(jīng)過的審批流程，該流程是系統(tǒng)初始化定義的流程，即標(biāo)準(zhǔn)流程。

2、(2)自定義審批：管理人員按照需要對(duì)用戶的審批流程進(jìn)行設(shè)置，則用戶提交的解密審

批文件就會(huì)按照設(shè)置的流程自動(dòng)由對(duì)應(yīng)的管理人員審核，審核的時(shí)候可以支持串行，也可以

支持并行。

(3)自動(dòng)審批流程選擇：管理人員可以以關(guān)鍵字、文檔信息正則表達(dá)式、文檔類型、文檔

密級(jí)為準(zhǔn)則設(shè)置不同的審批流，當(dāng)申請(qǐng)人提交對(duì)應(yīng)的密文進(jìn)行審批的時(shí)候，系統(tǒng)即會(huì)自動(dòng)或

者強(qiáng)制采取對(duì)應(yīng)的審批流程提交審批，以大大節(jié)省審批流程中的時(shí)間，或者對(duì)特殊的文件類

型、對(duì)應(yīng)的文檔密級(jí)執(zhí)行嚴(yán)格的審批流程。

9、審批提醒：采取流程解密、手工解密等多種方式靈活組合運(yùn)用，滿足不同單位的業(yè)務(wù)需

求。并且實(shí)現(xiàn)審批流選擇、自定義審批流設(shè)置、管理層審批流設(shè)置、審批提醒等功能。尤其

是提供了多種方式的審批提醒：

⑸審批流程圖示：申請(qǐng)審核者可清晰看到具體流程的節(jié)點(diǎn)，并清楚目前待審核文件流轉(zhuǎn)的

進(jìn)度；以了解之后和審核者進(jìn)行線下溝通和督促；

⑹審批氣泡提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到氣泡提醒，用戶按

照氣泡引導(dǎo)即可進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，但審核完成后，原申請(qǐng)者即可

得到審核結(jié)果的氣泡提醒，如此種種，可確保第一時(shí)間得到審批訊息；

⑺審批郵件提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到郵件提醒，用戶登

陸系統(tǒng)進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，審核完成后，原申請(qǐng)者即可得到審核結(jié)

果的氣泡或者郵件提醒，如此種種，可確保第一時(shí)間得到審批訊息；

⑻審批短信提醒：在申請(qǐng)人提出申請(qǐng)后，按照流程設(shè)置的審核人將收到短信提醒，用戶登

陸系統(tǒng)進(jìn)行審核，審核后即可進(jìn)入審批的下一節(jié)點(diǎn)，審核完成后，原申請(qǐng)者即可得到審核結(jié)

?2016山麗網(wǎng)安密級(jí)：定向公開使用-18-

幽山麗網(wǎng)安

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

果的氣泡或者短信提醒，如此種種，可確保第一時(shí)間得到審批訊息；

10、形式審批：對(duì)用戶審批的時(shí)候是否查看瀏覽附件作為一個(gè)選項(xiàng)'即'在審批流程中，用戶

審批時(shí)候可以查看附件進(jìn)行審批彳旦如果不給該用戶審批時(shí)候看文件的權(quán)限的時(shí)候，僅僅給

形式審批權(quán)限，'則該用戶只能進(jìn)行形式審批'并在點(diǎn)擊附件時(shí)候提示"僅具有形式審批權(quán)限"。

11、閉環(huán)審批和開環(huán)審批：閉環(huán)審批模式流程'是誰申請(qǐng)誰解密‘解密動(dòng)作不假借他人之手’

在現(xiàn)實(shí)中‘對(duì)明文導(dǎo)出（僅限于明文導(dǎo)出一項(xiàng)解密流程）’還可以提供一種開環(huán)式審批流程’

即申請(qǐng)解密的人和下載下來解密的人不是一個(gè)用戶'而是最后審批者的那個(gè)角色'即其他用戶

提請(qǐng)明文導(dǎo)出申請(qǐng)‘中間經(jīng)過了若干用戶審批’進(jìn)入到最后一個(gè)用戶'他審批同意，然后就可以

將審批完成的文檔下載下來自動(dòng)解密'從而就實(shí)現(xiàn)了開環(huán)式的審批’考慮到其他審批模式'均

需要申請(qǐng)者本人在得到申請(qǐng)同意后進(jìn)行有關(guān)操作'因此'并不適合開環(huán)式申請(qǐng)。

防水墻.大型企業(yè)版@［玖子系列］審批管理-2定制審批流

/

?盤/盤一

物髀東核控貽1運(yùn)行安全的0

冽承*求形式和行實(shí)質(zhì)回吐

審批管理

?2016山麗網(wǎng)安密級(jí)：定向公開使用-19-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4.6產(chǎn)品功能之TPM防護(hù)技術(shù)

有一種需求場(chǎng)景：用戶希望上傳到服務(wù)器上的數(shù)據(jù)是明文的，但希望從服務(wù)器上下載下來的

數(shù)據(jù)會(huì)被自動(dòng)加密，而且包括了中間產(chǎn)生的臨時(shí)文件。山麗防水墻系統(tǒng)在滿足這種需求上有

兩種實(shí)現(xiàn)方案：策略設(shè)置的TPM防護(hù)方案，和硬件安全網(wǎng)關(guān)方案.

1、TPM的實(shí)現(xiàn)：啟用了山麗防水墻的客戶端可以自由的訪問應(yīng)用系統(tǒng)服務(wù)器，實(shí)現(xiàn)在服務(wù)

器上打開文件、下載文件均會(huì)被加密保護(hù)，即使是臨時(shí)文件也一樣會(huì)被加密防護(hù)。未啟用防

水墻的客戶端的用戶將無法訪問應(yīng)用系統(tǒng)服務(wù)器。這種嚴(yán)密的服務(wù)器安全防護(hù)，可以最大限

度避免終端與服務(wù)器之間數(shù)據(jù)傳輸?shù)男姑軉栴}。TPM方式的實(shí)現(xiàn)，可以完全不需要更改網(wǎng)

絡(luò)結(jié)構(gòu)，僅僅通過山麗防水墻控制臺(tái)設(shè)置即可實(shí)現(xiàn)；

2、TPM的實(shí)現(xiàn)場(chǎng)景：特別適合對(duì)0A服務(wù)器、CRM服務(wù)器、VSS服務(wù)器、CVS服務(wù)器、

SVN服務(wù)器、PDM服務(wù)器、PLM服務(wù)器等。由于企業(yè)可能存在著基于不同信息系統(tǒng)和部

門的服務(wù)器，為了能在各個(gè)場(chǎng)景下都實(shí)現(xiàn)最好的安全服務(wù)，山麗的TPM實(shí)現(xiàn)了多場(chǎng)景的支

持，免去了企業(yè)二次開發(fā)的煩惱。

(1)通過策略設(shè)置，對(duì)用戶需要保護(hù)的應(yīng)用服務(wù)器，實(shí)現(xiàn)用戶下載數(shù)據(jù)的時(shí)候，數(shù)據(jù)被自

?2016山麗網(wǎng)安密級(jí)：定向公開使用-20-

留＜山麗網(wǎng)安

OSANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

動(dòng)加密，上傳數(shù)據(jù)的時(shí)候，數(shù)據(jù)被自動(dòng)解密；

(2)沒有安裝加密系統(tǒng)客戶端的電腦，無法訪問服務(wù)器；

(3)安裝加密系統(tǒng)客戶端的電腦，數(shù)據(jù)下載到本地是密文，但可以進(jìn)行數(shù)據(jù)的閱讀編輯等

操作，在1鐲據(jù)上傳到應(yīng)用服務(wù)器的時(shí)候，又將自動(dòng)被解密；

(4)根據(jù)策略：存儲(chǔ)在應(yīng)用服務(wù)器上的文件均是明文；

(5)對(duì)應(yīng)用服務(wù)器上的文件，包含數(shù)據(jù)庫文件，可以進(jìn)行如下的防護(hù)：1)數(shù)據(jù)通過外設(shè)、

網(wǎng)絡(luò)外拷的時(shí)候均為密文；2)在加載了本地加密策略后，數(shù)據(jù)庫文件在你本地是加密存儲(chǔ),

但是不影響應(yīng)用系統(tǒng)的運(yùn)行；

4.7產(chǎn)品功能之密文明送技術(shù)

L密文明送(文檔外發(fā)控制)：當(dāng)用戶需要外發(fā)文件時(shí)，用戶可以采用山麗防水墻密文明

送技術(shù)實(shí)現(xiàn)給文檔設(shè)置口令、打開次數(shù)、累計(jì)時(shí)間、打印權(quán)限、環(huán)境設(shè)置、復(fù)制、截屏等使

用限制功能。

2、密文明送(文檔外發(fā)控制)：目前國內(nèi)外唯一一款可以精確限制時(shí)間的文件外發(fā)控制軟

件，即用戶不管如何修改系統(tǒng)時(shí)間、不管將收到的密文明送文件復(fù)制為多少版本，一旦到截

至?xí)r間，則所有的版本均將失效。

3、密文明送(文檔外發(fā)控制)：完全和格式無關(guān)的文件外發(fā)控制軟件，即任何應(yīng)用軟件產(chǎn)

?2016山麗網(wǎng)安密級(jí)：定向公開使用-21-

被I山麗網(wǎng)安

&SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

生的數(shù)據(jù)、包括可執(zhí)行程序均可被設(shè)置為密文明送文件。和其他只能支持特定格式文件外發(fā)

控制的軟件大有區(qū)別。山麗網(wǎng)安再次鄭重承諾：任何應(yīng)用程序產(chǎn)生的數(shù)據(jù)無法制作密文明送

文件的，都將終生免費(fèi)開發(fā)，絕不二次收費(fèi)。

4、密文明送（文檔外發(fā)控制）：可以同時(shí)支持對(duì)多個(gè)文件、多層目錄設(shè)置為一個(gè)總包的密

文明送文件，尤其適合提供設(shè)計(jì)總裝圖的使用場(chǎng)景，使用時(shí)絕不破壞總裝圖內(nèi)部數(shù)據(jù)相互之

間的調(diào)用關(guān)系。

5、密文明送（文檔外發(fā)控制）：密文明送文件因?yàn)槭菍?類"明文外發(fā)用戶，雖有控制，

但數(shù)據(jù)仍可為使用者閱讀，因此一般制作密文明送文件需得到審核同意。對(duì)企業(yè)高管，可自

行定制而無須進(jìn)行審批。

6、密文明送（文檔外發(fā)控制）：當(dāng)采用文件夾密文明送外發(fā)控制模塊時(shí)候，就可以對(duì)特定

文件夾里面的所有文件實(shí)現(xiàn)全面的外發(fā)控制，而無需一個(gè)一個(gè)設(shè)置和制作；

?2016山麗網(wǎng)安密級(jí)：定向公開使用-22-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4.8產(chǎn)品功能之屏幕水印&文檔水印技術(shù)

1、強(qiáng)制水?。和ㄟ^控制臺(tái)的設(shè)置，可以強(qiáng)制用戶打印的密文出現(xiàn)特定的水印。這種強(qiáng)制水

印的效果，大大提高了企業(yè)文檔機(jī)密性，并且減少員工利用打印或者其他輸出形式的漏洞來

竊取公司的機(jī)密資料。同時(shí)，作用于文檔上的強(qiáng)制水印，讓文檔即使落入他人之手，由于水

印的存在也無法使用。并且讓企業(yè)在牽涉到泄密問題司法訴訟過程中有了鐵一般的證據(jù)。

2、用戶特定水?。嘿x予特定用戶指定水印為特定文件的權(quán)限；對(duì)于某些特權(quán)的用戶，或者

特殊的文件，山麗還提供了用戶自決定水印加載服務(wù)。這種定向制定的水印安全服務(wù)，可以

讓企業(yè)用戶更好區(qū)分文檔安全等級(jí)，從而更好的區(qū)分防護(hù)等級(jí)，做到安全資源的有效防護(hù)。

?2016山麗網(wǎng)安密級(jí)：定向公開使用-23-

CSANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

3、用戶打印水?。嚎梢詾橹付ǖ拇蛴∥臋n提供強(qiáng)制或特定呈現(xiàn)方式的水印安全服務(wù)。水印

的強(qiáng)制添加讓打印的文檔標(biāo)記企業(yè)屬性，從而提高了文檔的安全性和獨(dú)有性；打印的時(shí)候可

以增加打印時(shí)候的用戶名（防水墻系統(tǒng)中的用戶信息'IP地址、MAC地址、打印時(shí)間、

密級(jí)。

4、用戶屏幕水印：屏幕水印，可以出現(xiàn)在屏幕的特定位置,從而防止通過照相造成數(shù)據(jù)泄

密”管理員可定義；大小，位置，管理員可定義，透明程度管理員可定義］屏幕水印的顯示

應(yīng)該不會(huì)對(duì)進(jìn)行的工作產(chǎn)生明顯的影響；

防水塘.大型企業(yè)版@［玖子系列］文檔水印功能

4.9產(chǎn)品功能之U盤防水墻技術(shù)

1、使用場(chǎng)景：在實(shí)際工作使用中，有的用戶需要臨時(shí)將機(jī)密數(shù)據(jù)帶回家加班，而家中的電

腦又是不確認(rèn)的，也就是說用戶可能需要將加密數(shù)據(jù)在不同的不確認(rèn)電腦上使用。

2、使用效果：采用U盤客戶端管理模塊，系統(tǒng)認(rèn)定的管理策略將指向U盤，這樣，在任

何一臺(tái)電腦上防水墻將自動(dòng)執(zhí)行，并對(duì)用戶的加密數(shù)據(jù)執(zhí)行對(duì)應(yīng)的加密和管控策略。

3、策略管理：山麗防水墻中U盤客戶端可由購買產(chǎn)品的用戶自行制作；并且可以完全和

正常客戶端一樣執(zhí)行完全一樣的控制策略。

?2016山麗網(wǎng)安密級(jí)：定向公開使用-24-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4.10產(chǎn)品功能之自主分發(fā)安裝技術(shù)

1、自主分發(fā)：通過防水墻的功能分發(fā)安裝包到各個(gè)客戶端；這種自主分發(fā)的功能可以大大

提高防水墻的實(shí)施效率，在防水墻客戶端沒有被部署之前，一般預(yù)先通過域控或者其他

工具實(shí)現(xiàn)對(duì)防水墻客戶端的部署。

2、客戶端升級(jí)：利用防水墻自主分發(fā)功能對(duì)遠(yuǎn)程客戶端實(shí)現(xiàn)自主或者指定升級(jí)；這種遠(yuǎn)程

服務(wù)功能的實(shí)現(xiàn)不僅提高了用戶在安裝防水墻產(chǎn)品時(shí)對(duì)可能出現(xiàn)的情況作出反應(yīng)的速

度，也為軟件遠(yuǎn)程調(diào)試提供了有效的輔助支持，為更快速更有效的實(shí)現(xiàn)防水墻客戶端用

戶遠(yuǎn)程^務(wù)提供了條件。

4.11產(chǎn)品功能之服務(wù)器容災(zāi)管理技術(shù)

L實(shí)時(shí)備份：通過控制臺(tái)預(yù)先對(duì)服務(wù)器數(shù)據(jù)中的類型進(jìn)行時(shí)間實(shí)時(shí)設(shè)置，系統(tǒng)將會(huì)在主機(jī)

有任何更改后即時(shí)對(duì)數(shù)據(jù)在備機(jī)上進(jìn)行備份，這樣，在服務(wù)器因?yàn)楦鞣N原因如硬盤損壞的時(shí)

候，備機(jī)就可以立即啟動(dòng)提供服務(wù)。

2、定時(shí)備份：通過控制臺(tái)預(yù)先對(duì)服務(wù)器數(shù)據(jù)中的類型進(jìn)行時(shí)間定時(shí)設(shè)置，系統(tǒng)將會(huì)在確認(rèn)

時(shí)間內(nèi)進(jìn)行備份，這樣，在服務(wù)器因?yàn)楦鞣N原因如硬盤損壞的時(shí)候，就可以對(duì)系統(tǒng)在3-5

分鐘內(nèi)進(jìn)行恢復(fù)。

3、負(fù)載均衡：對(duì)用戶分支結(jié)構(gòu)或者客戶端數(shù)量眾多的情況下，山麗防水墻系統(tǒng)部署時(shí)候可

?2016山麗網(wǎng)安密級(jí)：定向公開使用-25-

CSANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

以不依賴任何外部條件構(gòu)建系統(tǒng)自身的負(fù)載均衡體系，從而滿足多服務(wù)器部署同時(shí)系統(tǒng)的0

宕機(jī)的實(shí)現(xiàn)。

4.12產(chǎn)品功能之文件備份和刪除管理技術(shù)

L刪除管理：當(dāng)用戶有意或者無意對(duì)數(shù)據(jù)進(jìn)行刪除處理的時(shí)候，山麗防水墻系統(tǒng)可以對(duì)刪

除的數(shù)據(jù)進(jìn)行安全防護(hù)，讓被刪除的數(shù)據(jù)可以被重新恢復(fù)。刪除管理可以支持在企業(yè)內(nèi)部聯(lián)

網(wǎng)時(shí)候的數(shù)據(jù)恢復(fù)，也可以支持用戶將電腦帶離環(huán)境后的數(shù)據(jù)恢復(fù)。

2、鍵盤鼠標(biāo)刪除：對(duì)用戶通過鍵盤、鼠標(biāo)、直接徹底刪除操作行為均可以進(jìn)行管理并恢復(fù)。

3、命令行刪除：對(duì)用戶通過命令行方式直接徹底刪除操作行為均可以進(jìn)行管理并恢復(fù)。

4、自主備份：用戶可以選擇對(duì)本地密文或者明文進(jìn)行文件或者文件夾的備份，從而在本地

文件失滅的時(shí)候，可以從山麗防水墻系統(tǒng)中再次獲取得到。

5、自動(dòng)備份：管理人員也可以設(shè)置用戶在本地需要監(jiān)控備份的目錄或者盤符，當(dāng)本地文件

發(fā)生變化的時(shí)候，文件就將按照版本管理的時(shí)間順序自動(dòng)備份，以讓用戶可以隨時(shí)查詢到被

備份的文件。

4.13產(chǎn)品功能之日志管理技術(shù)

1、服務(wù)器日志記錄維護(hù)：對(duì)山麗防水墻服務(wù)器上面日志文件過大、硬盤空間不足進(jìn)行維護(hù)。

2、三種腳色：按照三權(quán)分立的原則，山麗防水墻系統(tǒng)中存在三種腳色，用戶、系統(tǒng)管理員、

安全管理員，系統(tǒng)管理員（控制臺(tái)）負(fù)責(zé)各種安全策略的設(shè)定，用戶在使用防水墻安全系統(tǒng)

的時(shí)候接受這些策略的約束，系統(tǒng)管理員進(jìn)行的任何操作、用戶創(chuàng)建的任何文件的記錄，安

全管理員均可通過特定平臺(tái)查看。將用戶進(jìn)行各種審批的時(shí)候，所有審批均按照兩層流程進(jìn)

行，即先有系統(tǒng)管理員進(jìn)行形式審核，然后到安全管理員處進(jìn)行內(nèi)容上的實(shí)質(zhì)審核，用戶的

申請(qǐng)只能在審核同意后才能達(dá)到欲達(dá)效果。

3、日志審計(jì)管理：通過安裝管理員的日志系統(tǒng)，即可查詢到對(duì)具體用戶、具體管理人員日

志的審計(jì)。對(duì)用戶、管理人員的操作進(jìn)行記錄的管理。常態(tài)記錄為今后進(jìn)行數(shù)據(jù)安防防護(hù)總

結(jié)提供了數(shù)據(jù)支持，同時(shí)為企業(yè)找尋可能存在的安全隱患提供了數(shù)據(jù)依據(jù)。在司法層面上,

對(duì)于一些泄密行為企業(yè)有了更有利的實(shí)體證據(jù)。

?2016山麗網(wǎng)安密級(jí)：定向公開使用-26-

燃之山麗網(wǎng)安

OSANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

4、操作預(yù)警：安全管理員還可以登錄日志報(bào)警端，設(shè)置條件，當(dāng)條件觸發(fā)后，安全管理員

可以自動(dòng)收到短信、郵件、報(bào)表等，以實(shí)時(shí)了解用戶和管理人員的操作。依據(jù)警報(bào)功能，管

理人員可以定時(shí)收到管理人員或者用戶的周、月操作行為統(tǒng)計(jì)報(bào)表、圖標(biāo)，以更有利于對(duì)企

業(yè)信息安全現(xiàn)狀的把握。

防水墻.大型企業(yè)版@［玖子系列］日璇

對(duì)山BK防水墉服務(wù)器上面

日志文件過大、?盤空匍

不足迸行韁護(hù).

防水堵.小型企業(yè)版@［彪］審計(jì)管理功能

?2016山麗網(wǎng)安密級(jí)：定向公開使用-27-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

5方案優(yōu)勢(shì)

根本上來講，防水墻數(shù)據(jù)加密系統(tǒng)（數(shù)據(jù)防泄漏系統(tǒng)）具有以下重要特點(diǎn)：

1、采用第三代技術(shù)：多模加密技術(shù)，加密方式和文件格式無關(guān)

山麗防水墻可以支持對(duì)所有文件的加解密，并提供有客戶端8種加密方式，滿足現(xiàn)在

和將來文件加密解密的需求；

2、采用第三代技術(shù)：一文一密鑰加密技術(shù)，加密密鑰動(dòng)態(tài)變化，防止被破解

山麗防水墻可以支持對(duì)文件采用一文一密鑰技術(shù)，采用對(duì)稱加密和非對(duì)稱加密技術(shù)，文

件安全可以得到保證。

3、加密系統(tǒng)和用戶的應(yīng)用系統(tǒng)無關(guān)

山麗防水墻系統(tǒng)，可以通過控制臺(tái)自由設(shè)置用戶（組）上傳到各種應(yīng)用系統(tǒng)（包括內(nèi)部

網(wǎng)絡(luò)的mail系統(tǒng)）文件的密文和明文之間的變化。

這種方式，大大提供了用戶操作的便捷性，帶來的好處就是一個(gè)分局和總部之間的交流

可以自動(dòng)變成明文，而不需要再進(jìn)行任何的申請(qǐng)了。

同時(shí)，這種部署，還不會(huì)對(duì)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)做任何的變更。不會(huì)增加用戶的實(shí)施難度。

更重要的是，這種部署方式，不會(huì)增加單點(diǎn)故障。有的廠商是依賴增加一臺(tái)硬件設(shè)備來

實(shí)現(xiàn)，一旦硬件設(shè)備出現(xiàn)故障，將會(huì)給組織帶來不能挽回的損失。

4、兼容性強(qiáng)，平臺(tái)支持IOS、Andriod、Win8、Windowsphone等主流系統(tǒng)；

山麗防水墻兼容性強(qiáng)，平臺(tái)支持IOS、Andriod、Win8、Windowsphone等全方

位操作系統(tǒng)的支持，保證了用戶的適用和不留死角的部署。

5、加密系統(tǒng)和域控等第三方系統(tǒng)完美融合

6、標(biāo)準(zhǔn)SDK接口，可提供標(biāo)準(zhǔn)CMSSDK接口，可與應(yīng)用緊密集合，基于系統(tǒng)平臺(tái)框架

可構(gòu)建安全、有效的移動(dòng)辦公應(yīng)用解決方案；

7、移動(dòng)辦公安全，不僅能實(shí)現(xiàn)移動(dòng)安全接入安全（身份安全+通道安全），還能實(shí)現(xiàn)移動(dòng)辦

?2016山麗網(wǎng)安密級(jí)：定向公開使用-28-

SANLENSECURITY項(xiàng)目設(shè)計(jì)和實(shí)施

方案

公應(yīng)用的數(shù)據(jù)落地加密和移動(dòng)終端管理；

8、政策安全，硬件/算法均采用目前國內(nèi)移動(dòng)安全領(lǐng)域最高的安全技術(shù)標(biāo)準(zhǔn)，符合國家相

關(guān)安全規(guī)定；

9、山麗防水墻加密系統(tǒng)功能模塊完善，管理平臺(tái)簡易，適合全方位信息安全管理

山麗防水墻具有多達(dá)40余種模塊，可以滿足多途徑信息安全管理，是目前國內(nèi)最全面

的信息安全管理平臺(tái)。

6售后服務(wù)

6.1系統(tǒng)售后

山麗網(wǎng)安一直將用戶的產(chǎn)品使用體驗(yàn)作為終極的產(chǎn)品開發(fā)追求目標(biāo)。

因此，提供完備的售后服務(wù)。

售后服務(wù)技術(shù)支持中心(ASSC)

山麗信息安全工程師(SanlenInformationSecurityEngineer)簡稱SISE

1、培訓(xùn)；

包括本產(chǎn)品以及和本產(chǎn)品相關(guān)的安全知識(shí)的培訓(xùn)I,培訓(xùn)在客戶現(xiàn)場(chǎng)和其他集中場(chǎng)地執(zhí)

行。在免費(fèi)服務(wù)期內(nèi)提供分別針對(duì)項(xiàng)目管理人員和具體使用用戶各不多于12次的技術(shù)培訓(xùn).

即：培訓(xùn)有分別針對(duì)用戶項(xiàng)目管理人員的培訓(xùn)I,還有針對(duì)具體使用者的培訓(xùn)I。

2、技術(shù)支持；

技術(shù)支持指的是實(shí)施安裝軟件后解決軟件bug的特定行為。