企业文档安全解决方案

前 言

随着信息化的不断发展，信息的生成、流转、传输变得非常快捷，企业的生产效率得到大幅度提升，核心竞争力越来越体现在电子信息文档上。但由于目前企业对核心数据缺乏有效的安全管控手段，对出现数据泄密事件也没有有效的方法进行事后的责任认定，给企业的信息安全造成很大威胁。

调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，各种安全漏洞造成的损失中，30% - 40% 是由电子文件的泄露造成的，而防火墙、防病毒、入侵检测、物理隔离这些常见的内网安全措施也无法有效阻止企业机密信息的泄露。为防范风险，必须在内网建立可靠的网络管理、安全审计和监控，以保证内网安全。 企业的信息安全管理势在必行。除了部署实施网络监控软件外，应继续部署透明加密反复制系统；技术层面和管理层面的良好配合，是组织实现网络与信息安全系统的有效途径。其中，信息安全技术通过采用建设安全的计算机网络系统，并配备适当的安全产品的方法来实现。保证网络自身安全和业务安全，首先要有一个可靠的网络，其次就是要有强有力的网络管理和网络安全管理策略和手段。随着网络应用日趋复杂，单凭网络管理员的学识和经验进行网络管理和安全管理，已经不能适应了。因此，我们必须借助一些网络管理及内网安全的专业软件，才能确保内网信息的保密性、完整性、可用性、 可控性。

SecEInfo（安极)数据防泄密系统是一款专业的企业内外文件安全管理软件，它着眼于事前防御、事中控制、事后追踪，综合加密技术、驱动技术、网络技术和权限管理体系等于一身，为企业提供全方位的文件安全保护。

一、 公司需求

1、 保护公司内部核心资料，主要是各种工程图纸文件。防止通过各种途径泄漏出去；

2、 在资料安全前提下，不影响员工工作效率；

3、 客户端文件能够自动加密，不需员工操作，节省管理成本。

二、 解决方案介绍

SecEInfo(安极)安全产品是一个系统级安全架构，以“信息数据安全为中心，安全管理为保障，业务需求为导向”，通过软件防护和硬件防护相结合，提供“端到端、端到网络、端到服务”的数据防泄漏。

本次采用Windows文档加密系统，对公司的办公电脑施行加密，目标如下：

•终端Windows系统，均采用文档加密敏感数据；

•文档只能在公司内部使用，文档通过QQ、U盘等离开公司将无法打开使用。

•文档加密透明化，不改变人员工作习惯以及业务流程。

这一步是基础而且重要的环节，公司的核心文件不可避免的会出现在员工电脑上，这就给数据安全造成了很大的隐患。这些核心资料可能会无意或有意的泄露出去，等出了事再调查不仅耗费人力物力，结果也往往查无所踪。所以及早有效的做保护才是行之有效的做法。

产品技术规格表

序号	功能要求	是否满足	备     注
1	文件自动加密	完全支持
2	文件解密	完全支持
3	目录权限控制	完全支持
4	终端破坏保护	完全支持
5	加密文件的分组分级控制	完全支持
6	打印控制	完全支持
7	截屏控制	完全支持
8	剪贴板控制	完全支持
9	离线工作	完全支持
10	文件外发控制	完全支持
11	离职管理	完全支持
12	管理员分级	完全支持
13	支持的操作系统	完全支持
14	日志功能	完全支持

三、 解决方案细节说明

1．文件自动加密

现有系统能够透明加密现有商业环境下产生的各类格式的电子文档，包括但不限于office格式、pdf格式、文本格式、工程制图、各类图片、软件代码等格式，不需要二次开发。

详解：安极加密系统采用国际最先进的双缓冲驱动加密技术，从原理上来说，可以不用任何二次开发，就可以直接支持所有类型的应用程序和文件类型的自动加密。

不改变原有工作习惯，实现文件创建时，自动对单个文件配置预定的加密策略。

详解：安极加密系统在后台采用透明加解密的工作模式，不会改变员工原有的工作模式。安极加密系统的策略库是完全开放的，用户可以自行的配置策略对单个文件进行加密控制。

加密技术先进、可靠，不易破解，是当前行业认可的第一梯队技术产品。

详解：安极加密系统采用的是AES+RC4 160的加密算法，并且采用的是动态加密的密钥，一文件一密钥，因此被破解的机率几乎为零。

支持对单个文档的权限控制，比如只读、编辑、打印、复制等，而不改变原有工作习惯和存储方式；支持对文档密级的划分，可以设定不同级别人员阅读不同密级的文档。

详解：安极加密系统可以对单个文件进行只读、编辑、打印、拷贝的控制，并且不会对原来的工作习惯造成任何影响；并且可能通过授权的方式设定设不同级别人员阅读不同密级的文档。

对所有大小的文档，均能支持自动加密。

详解：安极加密系统是通过控制底层驱动对文件的读写等操作，因此对文件的大小没有任何限制，均可进行自动的透明加解密。

产品运行后,对系统的效率损失越低越好。

详解：安极加密系统运行后，只占用系统内存的2M左右，因此对系统的效率影响是非常小的。这要归公于安极加密系统所采用的双缓冲驱动技术。

2．文件解密

提供单个文件或批量文件解密功能。

详解：安极加密系统可以通过手工解密对单个文件或批量文件进行完全解密。

可以通过解密审批流程进行解密，可支持多级审批。

详解：安极加密系统自带有一套完整的解密审批流程，可以进行多级审批、多人审批；

亮点：安极加密系统还提供自动审批、委托他人审批等实用功能。

在出差或不具备网络环境办公场景，具备离线加解密功能。

详解：安极加密系统可以通过设置离线时间，控制出差或不具备网络环境办公场景，仍然可以正常的透明加解密；另外可以通过加密狗，实现离线手工解密的工作。

特殊用户可以通过邮件或即时通讯工具进行解密外发，也可实现拷贝到公司指定计算机自动解密，邮件解密，需提供邮件白名单功能。

详解：安极加密系统可以通过加密策略的设置，允许特殊用户可以通过邮件或即时通讯工具进行外发自动解密，也可实现拷贝到公司指定计算机自动解密，发送邮件自动解密；可以设置邮箱的黑白名单，控制发信人邮箱或收件人邮箱，发送邮件自动解密。

亮点：对于通过上述方式解密外发的文件，还可以以审计备份的方式对解密的文件进行集中备份。

支持对指定计算机USB口接入设备的准入控制。

详解：安极加密系统可以通过策略控制移动存储介质的使用，但并不会对非移动存储介质的使用造成影响，如打印机、烧录仪器等。

申请通过后的解密文件，申请人再次打开解密文件而没有对内容进行编辑时，不能对文件再次错加密。

详解：安极加密系统一般都是对文件进行了编辑的时候进行加密，因此当申请人再次打开解密文件而没有对内容进行编辑时，将不会对文件进行加密。

系统因需要被卸载后，若因管理需要，可实现指定范围内加密文件的自动解密，且不对加密文件、计算机硬件系统造成任何损坏。

详解：卸载时可以使用解密工具进行批量解密。安极加密系统只针对文件加密，不会对硬件做任何的修改，更不会造成损坏。

上述所有解密都需要提供日志记录。

详解：安极加密系统带有非常详细的日志审计的功能，如手工解密的、员工登陆、管理员操作、员工加密及授权、解密审批信息、外发打包信息。所有日志中所涉及到的操作都会记录到管理后台日子中。

3．目录权限控制

对指定的目录，可设定权限，比如：禁止删除、禁止修改、只读、禁止重命名等。

详解：安极加密系统可以通过策略对指定的目录（本地目录、移动磁盘、网络目录）进行读写权限的控制，基本上可以实现AD域对文件夹的权限控制，如禁止删除、禁止修改、只读、禁止重命名等。

上述描述的目录权限设定类别，要求适用于本机目录、移动磁盘、网络磁盘目录等。

详解：安极加密系统可以通过策略对指定的目录（本地目录、移动磁盘、网络目录）进行权限的控制。

4．终端破坏保护

具备加密客户端不能被非法卸载或破坏的能力，包括在Windows安全模式下，安装目录下的文件和注册表仍然能够得到保护，不会被删除或修改。

详解：安极加密系统的客户端卸载需要密码，无论Windows是正常工作模式或安全模式下，安极加密系统的客户端的安装目录下的文件和注册表仍然能够得到保护，不会被删除或修改。

亮点：安极加密系统可以对安全模式下的注册表和文件进行保护。既使是在安全模式下，也无法修改和删除关键的注册表和文件数据。

5．加密文件的分组分级控制

部门内部可以自由打开加密文件，部门之间不能传阅。

详解：安极加密系统可以通过用户组独立组分组管理模式，实现部门内部可以自由打开加密文件，部门之间不能传阅。

上级部门领导可以查看下级部门员工文件，下级不能查看上级领导的文件。

详解：安极加密系统可以通过用户组的分级管理模式，实现上级部门领导可以查看下级部门员工文件，下级不能查看上级领导的文件。

6．打印控制

禁止或允许打印、自动生成打印水印。

详解：安极加密系统可以通过权限的控制文件是否允许打印、是否添加打印水印。

打印机白名单，只有经过批准的打印机方能使用；可控制虚拟打印机软件的使用。

详解：安极加密系统可以通过设置打印机的黑白名单，控制那些打印可进行打印；并全可以通过策略来禁止非受控的虚拟打印机软件的使用，受控的虚拟打印机软件打印出来的文件自动加密。

7．截屏控制

可以从根源上限制截屏软件的截屏操作。

详解：安极加密系统可以控制所有的截屏软件的截屏操作，确保用户通过任何截屏方式对企业的重要资料造成泄密。

无加密文件打开时，允许进行截屏操作。

详解：虽然设置了截屏控制，但是在当前没有加密文件打开时，截屏操作仍然是允许的。

8．剪贴板控制

只允许从受控文件之间进行拷贝，或者从非受控文件拷贝内容到受控文件中，禁止从受控文件中拷贝到非受控文件中。

详解：安极加密系统可以通过权限控制是否允许对密文进行拷贝，无拷贝权限的用户只允许从受控文件之间进行拷贝，或者从非受控文件拷贝内容到受控文件中，禁止从受控文件中拷贝到非受控文件中。

允许设定，当复制内容小于多少字节时允许拷贝，及限制拷贝的次数。

详解：安极加密系统可以设置拷贝内容的大小以及每天允许拷贝的次数，符合要求的可以对受控文件内容进行拷贝不受控的文件中，一旦超出了管理员设置的范围，受控文件内容将无法拷贝到不受控的文件中。

9．文件外发控制

经授权脱离内网的加密文件，可以设置打开密码、打开次数、有效期限、是否需要指定的计算机、是否允许编辑、打印、截屏等。（如设置只能打开2次，超过次数后自动销毁）。该功能需支持审批流程。

详解：可以通过安极加密系统的外发打包的功能对外发的文件进行打包，控制外发文件打开密码、打开次数、有效期限、是否需要指定的计算机、是否允许编辑、打印、截屏等，有外发打包权限的用户可以自行进行打包，无外发打包权限有用户需要提交审批后再进行打包。

非特殊用户，使用外发邮件解密功能时，必须经过审批人审批。

详解：安极加密系统对于不具有邮件外发自动解密的用户，如用户发送密文将不会自动解密，因此这些用户外发文件时必须通过解密审批后，发出去的文件才能正常使用。

10．离职管理

当员工离职时，对已加密文件、或指定类型的文件，禁止离职人员对其进行阅读、修改或删除。

详解：安极加密系统可以通过策略控制当员工离职时，对已加密文件、或指定类型的文件，禁止离职人员对其进行阅读、修改或删除，确保离职员工恶意破坏文件。

可以自动取消离职人员对其计算机上所有加密文件的原有权限。

详解：安极加密系统可以权限以及策略的设置，自动取消离职人员对其计算机上所有加密文件的原有权限。

11．管理员分级

可以为不同的部门（分公司）分配相应的管理员。

详解：安极加密系统可以设置多个管理员，可以把每个管理员分管到一个组或多个组。

可以对下级管理员的管理

详解：安极加密系统支持超级管理员对各级管理员的权限控制，同时也支持高级管理员对低级管理员的权限控制。

可支持“系统管理员、解密审批员、日志管理员”三个角色的相对独立，同时对三角色的增加与删除操作提供高效率的监督机制。

详解：安极加密系统可以通过权限的划分，做到管理员的三权分立，加密用户账号、管理员账号、日志员账号完全独立，提高系统的管理安全性，避免管理员的特权带来的安全隐患。

支持超级权限用户与上述三角色之间形成制约，防止超级权限用户的权限无监督。

详解：安极加密系统通过管理员的三权分立，互相监督各管理的工作，提高企业工作效率。

12．支持的操作系统

加密客户端程序要求支持包括但不限于Windows 2000/XP/Win7/Win8/win10。

详解：安极加密系统支持Windows 2000/XP/Win7/Win8/win10 32位、64位系统，同时也支持Linux操作系统。

支持Linux操作系统。

详解：安极加密系统市面流行的各Linux操作系统（如Ubuntu   Fedora Red Hat openSUSE CentOS）等，但对内核有要求（内核2.6.32以上）。

最后，通过该项目的实施，建立完善的文件安全管理体系。通过文档安全系统、加密网关的部署，来保护企业机密文档无法泄漏，规范员工的文件安全操作行为和流程，提高员工的安全意识，同时最大程度降低加密软件对员工工作效率的影响，最终达到安全管理和人性化管理的高度结合的实施目标。

方案特点