第一章     产品背景

随着国内经济的不断发展，信息化已经成为了企业日常办公的重要手段，根据相关部门统计，目前企业的数据80%以上已经实现了电子化，在某些特定行业如制造业，金融业，通信行业等数据电子化程度更高。数据电子化为企业带来了巨大的效率提升，与以往使用的纸质文件相比，电子文件的流转不再受制于特定的传播途径和传播效率，可以通过内部网络，公网以及多种移动存储介质进行便捷性使用，极大的提高了企业内部及同外部的信息沟通，减少了因信息传递而造成的时间浪费及准确性等问题。

但随着高速网络的普及和终端应用的不断增加，也给制造企业的信息安全带来了较为严重的威胁，从近年的富士康设计图纸泄露到韩国三星及LG公司内部设计资料外泄等事件，均在一定程度上为制造业相关企业敲响了警钟。网络高速化发展为内部信息外泄提供了便捷的手段，终端应用的不断丰富也为制造企业的内部防控带来了一定难度，传统的安全控制手段如桌面管理，上网行为，网络防火墙等均无法有效的防止内部核心数据的外泄，因此信息安全，必须从信息源头抓起，才能有效的实现信息全生命周期保护。

第二章       方案介绍

2.1    产品概述

文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品，系统包括透明加密、权限管理、外发管理、应用安全网关、安全中间件、智能移动终端、U盘客户端七个核心组件。

主要通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。保护范围涵盖终端电脑（Windows、Linux系统平台）、智能终端（Android、IOS）及各类应用系统（OA、知识管理、文档管理、项目管理、PDM等），根据用户需求可以对电子文档进行自动加密、手动加密和文档细粒度权限控制，对文档的全生命周期进行安全管控，做到事前防御、事中控制、事后审计，帮助企业搭建一套完善的文档防泄密体系。

2.2    产品组成

电子文档安全管理系统包括透明加密、权限管理、外发管理、应用安全网关、安全中间件、智能移动终端、U盘客户端七大核心组件，用于对用户电脑终端、移动办公、各类应用系统上的数据，从生产、存储、流程、外发到销毁进行全生命周期保护。

（1） 电脑终端文档数据安全

l 透明加密

保证用户核心数据文档从产生开始一致处于加密状态，防止由于数据生产者泄密给企业带来的数据安全风险。

l 权限管理

通过对文档加密授权及角色对应，控制文档在内部受控使用，避免越权使用带来的泄密风险。

l 外发管理

通过对文档加密、授权及封装，控制文档在外部传播和使用时造成的泄密风险。

（2） 应用系统数据安全

l 应用安全网关

通过软硬一体化结合的方式为应用系统提供安全保障，应用安全网关可以为应用体统提供安全准入和数据加解密双重防护。

l 安全中间件

以接口的方式为应用系统提供加解密能力，提升应用系统的保密性，保障数据的安全性。安全中间件基于标准WebService接口，不受协议和网络环境限制，只要应用系统具备二次开发能力，通过调用接口快速完成与第三方应用系统无缝对接。

（3） 移动办公数据安全

l U盘客户端

将透明加密客户端植入U盘，合法用户可以根据需要将U盘插入任意电脑，即可打开和使用加密文档，无需连网加密服务器，无需携带办公电脑，主要适用于员工回家加班、出差等情况。

l 智能移动终端

为智能移动设备提供专属APP安全服务，保证通过移动设备下载到客户端的加密数据可以正常查看，脱离受控范围无法使用。此模块一般与透明加密、应用安全网关或安全中间件等配合使用。

2.3    方案架构

l  服务器端

整个加密软件的核心是集中管理服务器，用以支持整体系统的安全策略管理、用户管理、系统配置、终端管理、策略管理、密钥管理以及系统日志和审计管理等。

针对不同类型的终端文档通过终端加密和具体应用权限管理来统一实现支持和管控，通过与终端部署的客户端控制软件进行交互配合完成终端使用用户身份识别，以及对不同类型的终端电子文档的加解密控制、用户权限控制、文件外发、离网终端（暂时不能够连接到服务器的终端电脑）控制和终端加密文档操作记录日志回收等功能。

对于加密软件的使用操作者身份认证是通过成员认证体系接口管理来完成的。在没有其它认证体系的情况下，本系统将提供自建的用户认证支持体系，用于管理使用用户的身份注册、系统角色、组织机构、安全策略分组等与用户身份相关的信息并提供运行状态下的动态认证支持服务；同时成员认证体系接口管理还面向MS-AD域、LDAP等标准准统一认证体系提供集成手段，以完成使用用户身份识别能力；从而满足系统使用用户身份识别能力的要求。

系统自我管理功能是通过系统配置管理来支持的，主要面向系统控制台、一部分系统内部信息报表查询、部分系统预警功能配置等方面提供管理通道；同时如果需要由其他系统对于本系统的管理功能进行无人值守配置，还可以通过本系统的配置接口管理和配置扩展管理来实现，这也是基于系统配置管理完成的。

l  应用安全网关/安全中间件

应用安全网关和安全中间件主要与第三方应用系统进行无缝集成，实现应用系统数据安全防护。

应用安全网关可以为应用系统提供应用安全准入控制、数据加解密能力，支持旁路部署、串联部署（桥连接），应用安全准入支持标准TCP/IP协议，数据加解密支持标准HTTP协议、FTP协议。

安全中间件，可以为应用系统提供加解密能力、流程审批能力，不受协议和网络环境限制，只要应用系统具备二次开发能力，通过调用接口快速完成与第三方应用系统无缝对接。

l  客户端

客户端控制软件是文件加密系统执行系统功能的必备模块组，其主要承担文件加解密的执行，终端应用程序的控制（另存、剪贴板、打印、截屏等等）、终端安全策略的控制（用户签入/签出，用户对应策略获取和执行等等）以及跟踪和预警控制（什么用户在什么时间对什么文件做了什么，哪些属于风险动作需要进行系统预警报告）。

客户端通过网络数据交换管理与策略集中管理服务器进行沟通，完成策略获取、日志上报以及加解密关键信息接换等等功能操作，该操作是以终端“心跳”模式唤醒通讯及数据交换服务的，“心跳”频率是可配置的。

在终端离网状态下，客户端与服务器的沟通失败，将自行转向离网服务支持缓存，保证相关业务功能的执行，当缓存过期系统解密功能将全面实效，离线使用期限可配置且可以通过多种方式实现延时；当终端能够连接到服务器时网络数据交换恢复，离网日志会自行上报。

对于终端上需要进行加密管理的文件，客户端控制软件将主要从两个维度的结合进行管理控制，其一是文件格式，本方案采用的是驱动层加密技术（参见技术基础章节中的加解密技术描述）可以支持任意格式文件的加解密，文件格式约束主要是实现加密和解密动作本身的执行，其二是特定文件格式对应的操作程序进程（例如：*.DOC由WinWord.EXE来操作），这主要是为了实现加密文档在容许被解密打开的情况下进行应用控制（诸如：另存、打印、剪贴板等等）。

第三章       核心功能

3.1    透明加密

3.1.1 透明加密

透明加密是一种自动加密技术（强制性），所谓透明是指文档加密、解密过程对使用者来说是无感知的。主要用于解决用户核心数据文档在生产过程中，由于明文存储面临的众多泄密风险，如离职人员拷贝、移动存储设备丢失、网络传输拦截等情况。

用户通过服务器平台下发透明加密策略（关联的应用软件进程及其产生的文件类型）后，客户端根据策略实时监控应用程序对指定类型文件的读写操作（读解密、写加密），实现文档的实时动态加解密，文档加密后，在受控范围（安装客户端的合法用户）内透明使用，脱离受控环境无法使用，从而有效解决用户核心数据文档在生产过程中面临的数据泄密风险。

3.1.2 半透明加密

半透明加密是一种主动加密技术，主要用于解决用户文档非强制性的加密需求，半透明加密作为一种加密策略，可以独立使用，也可以根据客户需求与透明加密策略组合使用，实现不同部门按需进行加密，在保障用户核心数据安全情况下，兼容文档交互效率。

用户通过服务器平台下发半透明加密策略（关联的应用软件进程及其产生的文件类型）后，客户端根据策略实时监控应用程序对指定类型文件的读写操作（读解密、写加密），智能区分加密文档和普通文档，对于加密文档进行全面控制，可以设置是否允许另存、拷贝粘贴、截屏、对象插入、拖拽、网络发送等，对于普通文档（明文）可以随意使用，不受加密控制的影响。

3.1.3 全盘扫描加解密

全盘扫描加解密是一种批量加密或解密方式，主要用于用户对电脑终端历史资料一次性处理（加密），或者用户更换电脑、终端数据不需加密保护情况对终端数据批量解密。

全盘扫描加解密根据设置的文档类型进行全盘扫描，用户通过服务器下发全盘扫描策略后，客户端根据策略中设置的文档类型，自动完成全盘文档的批量加密或解密。

3.1.4 文件访问控制

文件访问控制是一种文档安全增强策略，主要用于防护用户重要数据被恶意删除。

文件访问控制策略可以实现防止非法删除目录、文档及更改文档后缀名，用户通过服务器管理平台设置要保护的文档目录及文档类型，客户端根据策略对指定目录进行保护，从而防止用户核心数据恶意被删除或更改文档后缀名绕过文档加密保护。

3.1.5 内容安全控制

内容安全控制是一种文档内容安全保护策略，主要用于对用户核心数据文档基于内容上安全保护，防止数据使用者在使用文档内容过程中，通过复制、拖拽、另存、插入、连接（网络）、截屏，造成的文件内容泄密风险。

内容安全控制策略包括复制、拖拽、另存、插入、连接（网络）、截屏控制，各项控制支持自定义黑白名单，用户通过管理平台灵活配置内容安全控制策略，客户根据安全策略进行文档内容安全防护，可以实现：

（1） 明文内容可以复制到密文，密文内容无法复制到明文，密文直接不受影响。

（2） 密文另存为任何文件类型都加密。

（3） 明文无法插入密文对象。

（4） 应用软件读取加密文档时，禁止网络传输密文文档内容。

（5） 禁止通过QQ、截屏键等应用软件进行截屏、录屏（显示黑屏）。

3.1.6 打印控制

打印控制是一种文档打印控制策略，主要用于防止用户核心数据文档（加密文档）通过打印方式引发的数据泄密风险。

打印控制策略支持虚拟打印机和物理打印机控制，用户通过服务器管理平台设置打印控制策略，开启后，指定部门或用户则无法打印加密文档，物理打印控制支持自定义黑白名单，可实现可信应用程序可以打印加密文档。

3.1.7 打印水印

用于用户打印加密文档时，根据需要添加文档浮水印，主要便于打印文档泄密事件追溯和警示（文档保护用户姓名、IP等信息）。

支持显水印和盲水印两种水印，水印显示位置包括文档中央、左上角、左下角、右上角、右下角，水印内容支持图片或文字信息，文字信息包括计算机名、IP&MAC、打印日期、用户信息，可自定义水印显示位置（全部显示或部分显示）、水印内容、水印深浅度、文字大小。

3.1.8 阅读水印

用于用户打开加密文档使用过程中，根据需要添加文档浮水印，主要便于通过手机拍照引发的泄密事件追溯和警示。

支持屏幕和文档两种水印格式，水印内容包括计算机名、IP&MAC、打印日期、用户信息，水印内容和显示位置支持自定义。

（1）屏幕水印

水印显示位置包括文档中央、左上角、左下角、右上角、右下角，水印内容支持图片或文字信息，文字信息包括计算机名、IP&MAC、当前日期、用户信息，可自定义水印显示位置（全部显示或部分显示）、水印内容、水印深浅度、文字大小。

（2）文档水印

文档水印显示在文档中央，水印信息包括公司名称、当前日期、用户信息，可自定义水印信息、显示样式（斜式、水平）、字体大小和颜色。

3.1.9 邮件白名单

    邮件白名单属于一种文档解密方式，主要用于安装客户端用户与未安装客户端用户之间文件交互，实现用户通过邮件客户端（OUTLOOK、Foxmail）发送加密附件给指定用户自动解密，提供用户文档交互效率。

用户通过服务器管理平台设置白名单邮箱地址，客户端根据下发的邮件白名单策略，自动识别收件人是否是白名单用户，从而实现白名单收件人附件解密后发送，普通用户以密文附件进行发送。

邮件白名单支持目的地址白名单和源地址白名单。

（1）目的地址白名单

用户通过邮件客户端，发送加密附件到指定邮箱地址时，附件自动解密。

（2）源地址白名单

指定用户邮箱地址，通过邮件客户端发送加密附件时，自动解密后再进行发送。

3.1.10文件备份

文件备份是系统提供的一种容灾保护机制，主要用于一些不可抗因素（如病毒破坏、意外断电、保存死机、人为操作等）情况下可能导致数据出现异常或损坏，保障核心数据文档的完整性。

用户通过管理平台设置文件备份策略（根据文档类型进行备份），客户端根据文件备份策略自动完成对指定类型文档进行备份。

系统支持本地备份和远程备份，远程备份首次完整备份后续增量备份，支持自定义备份周期（天、周月），本地备份采用循环滚动式备份，支持备份预警，硬盘小于指定空间后进行提示。

3.1.11多密钥隔离

基于密钥的一种权限控制策略，主要用于解决用户不同部门数据隔离管控需求，如：

（1）某一部门数据只允许指定部门查看，其他部门无法查看。

（2）指定部门数据可以相互查看，其他部门无法查看。

通过灵活配置密钥，可实现部门间数据单向隔离、双向隔离，

系统提供智能密钥和主动密钥两种模式。

智能密钥模式情况下，用户打开文档时，客户端根据策略自动识别用户密钥权限，拥有权限用户可以正常使用加密文档，没有权限则无法使用。

主动密钥模式，用户打开文档时，需要根据文档所属部门，自主选择对应密钥，才能正常使用加密文档。

3.1.12进程签名

用于对系统进程进行合法性校验，系统根据应用进程特征和属性，按照特有算法生成进程的唯一标识，从而防止仿冒进程窃取加密文档内容或非法篡改合法进程逃脱加密保护。

系统支持手动签名和自动签名，用户启用签名后，客户端根据安全策略，对进程合法性进行校验，当合法应用软件启动时，对进程进行合法性校验（完整校验只需一次，后续校验通过缓存进行，保证安全性的情况下兼容效率），实现合法进程可以打开加密文档。

3.2   智能加密

    基于文档内容识别和透明加密技术，通过对文档内容进行智能识别，实现含有敏感内容数据文档自动加密，从而解决用户核心数据资产在产生、存储、使用、传输等生命周期过程中面临的数据泄密风险；

3.3    权限管理

通过对文档加密授权及角色对应，控制文档在内部受控使用，避免越权使用带来的泄密风险。数据作者可以根据需要设定数据的传播范围（用户、部门、项目组等）和查看权限（只读、打印、修改、阅读次数、阅读时长），也可以根据企业需要建立权限模版，对文档批量授权。

3.4    外发管理

通过对文档加密、授权及封装，控制文档在外部传播和使用时造成的泄密风险。数据作者可以根据需要设定文档的查看权限（只读、打印、修改、阅读次数、阅读时长），外部用户拿到文档后需要通过安全身份认证后才能查看该数据，没有通过认证的无法查看和使用数据。

3.5    应用安全网关

通过软硬一体化结合的方式为应用系统提供安全保障，应用安全网关可以为应用体统提供安全准入和数据加解密双重防护，安全准入通过终端身份识别、应用系统仿冒、传输隧道加密、终端访问日志等多方面进行应用数据安全访问控制，数据加密通过对应用系统核心数据进行上传解密、下载加密，解决企业核心数据离线安全使用。

3.6    安全中间件

以接口的方式为应用系统提供加解密能力，应用系统可以根据需要选择加密接口、解密接口、流程接口等进行联合开发，使加解密和业务系统融合为一体，提升应用系统的保密性，保障数据的安全性。安全中间件基于标准WebService接口，不受协议和网络环境限制，只要应用系统具备二次开发能力，通过调用接口快速完成与第三方应用系统无缝对接。

3.7    智能移动终端

 为智能移动设备提供专属APP安全服务，保证通过移动设备下载到客户端的加密数据可以正常查看，脱离受控范围无法使用。此模块一般与透明加密、应用安全网关或安全中间件等配合使用。

3.8    U盘客户端

将透明加密客户端植入U盘，合法用户可以根据需要将U盘插入任意电脑，即可打开和使用加密文档，无需连网加密服务器，无需携带办公电脑，主要适用于员工回家加班、出差等情况。

3.9    全文检索

    全文检索系统，通过对流程审批（解密流程、外发流程）的文档进行内容解析，建立文档数据索引，日志管理员通过输入文档关键字内容，即可快速查询出包含相关内容的流程及文档，实现文档附件与流程的动态关联与查询。