数据安全解决方案(DOC)

解决方案

广东南方数码科技有限公司

2013年3月

©版权所有·南方数码科技有限公司

一、    背景简介    4

二、现状    4

三、绿盾简介    5

3.1系统架构    5

3.2系统概述    5

3.3绿盾主要功能    6

四、绿盾功能介绍    6

1、文件自动加密    6

1.1 文件自动加密    6

1.2文件外发途径管理    7

1.3文件审批流程    8

1.4文件自动备份    8

1.5离线管理    8

1.6终端操作员管理    9

2安全管理    10

2.1网页浏览监控    10

2.2上网规则    10

2.3 流量统计    10

2.4 邮件内容监控    11

3、内网安全管理    11

3.1屏幕监控    11

3.2实时日志    11

3.3聊天内容记录    11

3.4程序窗口变化记录    11

3.5文件操作日志    11

3.6应用程序    12

3.7远程操作    12

3.8资源管理器    12

4、设备    12

5、USB存储设备认证    12

五、绿盾优势    13

1、产品优势    13

2、    功能优势    13

2.1高强度的加密体系    13

2.2完全透明的文件自动、实时加密    13

2.3文件外发管理功能    14

2.4灵活的自定义加密策略    14

2.5强大的文件备份功能    14

2.6全面的内网管理功能    14

2.7良好的平台兼容性    14

3、技术优势    15

3.1驱动层加密技术    15

3.2自主研发性能优越的数据库    16

3.3可自定义的受控程序    16

4、实施优势    16

六、服务体系    16

1、技术支持服务内容    16

2、    响应时间    17

3、    维护    17

一、背景简介

随着计算机网络技术和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的小型业务系统逐渐向大型、关键业务系统扩展，大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略来保护机密数据信息。而事实上，随着企业信息化进程的加速，内部泄密正在成为企业内部数据安全的最大威胁之一。

另外，随着全国涉密测绘成果检查的开始，以及各地涉密CAD图纸外泄事件的发生，涉密CAD图纸的保密性越来越受到关注。 同时，也无法约束CAD图纸使用方对图纸使用期限、操作的。 图纸使用方对图纸的任意更改，对图纸无限期、任意权限的使用甚至对图纸的再次销售都在侵害甚至蚕食着图纸发布方的自身利益。

二、现状

近几年来，随着测绘信息化工作的不断发展，多半数据处理在计算机的协助下快速完成，大量涉密信息存放于计算机硬盘的各个角落，且图纸实现共享。而电子文档在方便共享的同时也使得泄密变得容易，难以得到有效控制。另外，移动存储设备的随意拷贝使用，这是造成涉密数据泄密的另一原因，从而造成涉密CAD图纸的泄密，给单位造成不必要的损失。

单位信息面临的主要问题:

✓主动泄密：

  内部人员将资料通过U盘或移动硬盘从电脑中拷出带走；

 内部人员通过互联网将资料通过电子邮件发送到自己邮箱；

 内部人员将文件内容通过复制粘贴到聊天工具传送出去；

  内部人员将文件内容打印并带走。

✓被动泄密：

 电脑转手或丢失后，硬盘上的资料没有处理，导致泄密；

 存有资料的移动存储设备借给他人使用，导致他人获取资料；

✓ 恶意破坏：员工离职恶意删除或格式化硬盘，破坏重要资料

✓ 越权读取：公司机密信息无法设置阅读权限。

绿盾信息安全管理软件，采用国际先进的透明加解密驱动技术，在不改变企业用户工作习惯的情况，不知不觉中完成文件的加密。作为国内最优秀的企业级文件加密系统，绿盾能够从根本上保护单位重要资料文件的安全。

三、绿盾简介

3.1系统架构

3.2系统概述

绿盾信息安全管理软件，旨在通过对企业重要的文件数据进行加密处理，从根本上有效地保护企业的知识产权和商业机密。在数据通讯和文件存储手段高速发展、人员流动更为频繁的今天，经过加密的文件不再担心被复制或外传，企业的管理者也可以不用再为企业技术机密的泄漏而头疼不已了。

绿盾采用国际最先进的Windows底层文件驱动过滤技术，通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。采用透明加解密技术，在不改变企业用户原有工作习惯和工作流程的情况下，对指定的应用程序和指定后缀的文件进行自动加解密密处理，不需要人工输入加解密密码。同时，通过灵活的加密策略的配置、分组和分级权限控制，完全达到企业对文件安全性和管理人性化的双重性。

3.3绿盾主要功能

通过透明加解密、控制传播途径可以防止单位内部机密电子信息泄露；

通过设置文件阅读权限可以防止单位内部不同部门越权使用文档；

通过详尽的日志记录可追查信息泄露的渠道；

内核层的加解密可以普遍适用于各种格式的电子文档；

通过文件外发控制从根本上解决文档的二次传播，有力保障企业信息安全；

通过对计算机操作的监控可以有效管理员工电脑的使用，提升办公效率；

四、绿盾功能介绍

1、文件自动加密

1.1 文件自动加密

绿盾信息安全管理软件主要是针对企业的重要文件进行加密。杜绝使用U盘、软盘、光盘，电子邮件等方式窃取企业的机密技术文件、设计图稿、会计帐目、战略计划书、研究论文等文档。

当授权员工在企业内部打开受保护文件时，他可以像操作普通文件一样的通过鼠标左键双击，或者右键的“打开”命令来应用这个文件。在文件打开的过程中，透明解密过程在系统后台完成，对用户操作习惯没有任何影响。如果这个加密文件被利用MSN、QQ、电子邮件、移动存储设备等手段传输到企业授权范围以外（企业外部），那么它将无法被打开和应用，并且始终保持加密状态。

将文件拷贝到网络外或者没有安装绿盾终端的电脑上，将显示乱码。

1.2文件外发途径管理

绿盾信息安全管理软件可针对一些需脱离公司网络使用，或业务往来时需外发给客户的文件进行解密。

1.2.1申请解密

员工可在线的管理人员（自动显示有受理解密申请权限的在线终端）发出申请，管理人员可以查看该文件的内容并选择是否同意解密，同意解密后，员工终端点击“下载解密文件”下载文件即可。

1.2.2批量解密

具有批量解密权限的员工可点击任务栏终端图标，选择“批量解密”，在弹出的“批量解密”窗口中选择要解密的文档，点确定即可。

1.2.3外发文件制作

绿盾信息安全管理软件的外发制作功能主要是针对一些重要文件需脱离公司网络外发给客户时，对这些外发文件的安全性具有很高的要求而设置的，外发制作功能可对外发文件进行阅读时效、阅读次数、阅读权限或只允许在一台电脑上打开等，有效地提高这些文件的安全性。

有两种外发功能可供选择：

一是“打印外发”，即做成类似PDF的只读文件，只能阅读，不能修改，也不能打印，这种适用于纯文本信息以及对图像质量要求不高的文件；

二是“直接外发”，即保持原文件的格式以及加密状态，外部电脑通过运行微型终端来打开文件。

1.3文件审批流程

审批流程，是为了使终端解密申请、离线申请、打印外发申请和直接外发申请的受理更加规范和安全而设计的。原本的解密、离线、打印外发申请，终端可以自行选择授权操作员来受理，直接外发文件必须有允许制作直接外发文件的权限才可以制作，不能申请。审批流程改为由管理员设置相应的流程来处理解密、离线、打印外发和直接外发申请。审批流程可以针对不同的分组、终端以及不同的申请功能设置多个流程，由多个操作员审批，按照需求决定哪些操作员执行哪些既定的流程。

1.4文件自动备份

文件备份记录这一功能主要用于防范重要文件遭破坏或遭恶意删除等情况。在绿盾终端电脑上操作过的加密文件均会在绿盾服务端的指定目录（此目录可由管理员自由设置路径）下有备份，预防重要文档遭恶意删除或破坏。

注意：备份的文件是以绿盾终端上的文件路径为标志，即终端电脑上不同路径下保存的相同文件名的文件在服务器上均有备份（在不同终端上的同名文件也有分别备份）。

1.5离线管理

绿盾终端根据事先配置好的规则完成加解密操作，从加解密本身来说，不管终端与服务端的网络是否联通，都是能正常工作的。但为了提高安全性，防止长时间脱网，所以终端需要定时与服务端通信。对于离线的管理，绿盾提供两种方式：短期离线 和 长期离线。

1.5.1永久离线终端

永久离线终端也就是离线终端。主要运用于脱离总部，长期或永久在外面使用的电脑，一般是分公司或办事处。使用离线终端，可保证总部与分部之间的资料都是加密的，可以互相访问，又可以控制分部的资料，防止外泄。

1.5.2短期离线

短期离线策略适用于公司内部笔记本电脑的日常移动使用，如每天下班后笔记本电脑带回家，可以在脱离公司网络后的一段时间内正常使用电脑上的加密文件。还可以用于处理一些特殊情况，如服务器关机或发生故障导致终端不能与服务器通信时，终端还可以在一段时间内正常进行文件的加解密（解密是针对有批量解密权限的终端，没有权限的无法申请解密），确保办公不会因此中断。

短期离线策略是和终端类型绑定的，不用每次都设置。短期离线策略在终端类型的安全选项中设置，短期离线策略的时间最长可设置为32767小时。

1.6终端操作员管理

1.6.1终端操作员设置

每个终端操作员都可以设置成属于某种终端类型。绿盾默认有两种终端类型：“普通终端（默认）”和“高级管理人员”。主要的区别在于“加密类型”的不同。加密类型包括：只解密不加密和透明加解密。终端类型可以添加、修改、删除。

1.6.2终端操作员管理权限

绿盾信息安全管理软件具有“操作员权限”的管理功能。

a)阅读文档权限：当企业要求某一部门的文档只能在指定部门内流通，禁止其他部门的终端操作员使用该文档时，可以使用软件的“阅读文档权限”功能。该功能可以授权终端操作员允许使用指定部门的文档，而无法阅读、使用其他部门的文档；同理，其他部门的中断操作员也无法查看未经授权的部门内部的文档。

b)受理解密申请权限：当终端用户需要外发文件时必须将文件解密后才能外发，这时可在线向拥有“受理解密申请”权限的终端操作员发送“申请解密文件”；

c)受理外发文件申请权限：当终端用户需要外发机密文件时，想对外发文件进行设置阅读时效、阅读次数、打开密码等权限，这时可在线向拥有“受理外发申请”权限的终端操作员发送“申请外发文件”；

d)受理离线申请权限：当终端用户需要带笔记本电脑出差时，需要向拥有“受理离线申请”权限的终端操作员发送“离线申请”才可在脱离公司网络后正常使用加密文件；

e)权限的设置：“阅读文档权限”、“受理解密申请”、“受理离线申请”均可在“终端操作员”的添加、修改的时候设置。

2安全管理

 2.1网页浏览监控

主要是针对员工网页浏览操作日志进行监控，可对某条网页浏览记录直接打开阅读，也可将员工网页浏览日志导出到excel文件。

 2.2上网规则

可对终端的上网行为进行，包括禁止或只允许浏览制定网站、端口。

2.3 流量统计

可以对终端电脑进行流量观察、查询和统计。这里说的流量，可以包含内网传输数据的流量，也可以过滤掉内网流量，只记录上网流量。

2.4 邮件内容监控

绿盾可以监控终端收发邮件（指通过Outlook、Foxmail 收发的邮件）的信息，包括邮件的标题、大小、发件人地址、收件人地址、邮件正文内容以及附件内容。

3、内网安全管理

 3.1屏幕监控

远程实时监视屏幕并录像，可后台播放所有记录屏幕影像；屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕。

 3.2实时日志

可以在控制台上实时监视终端的窗口切换记录、文件操作记录、聊天记录、程序启动/关闭记录、报警事件记录等。

 3.3聊天内容记录

绿盾可以实时记录目前流行的大部分聊天工具（QQ、MSN、SKYPE、贸易通等）的文本聊天内容，还能够导出、备份、保存、打印这些实时记录，且支持根据关键字查询。

 3.4程序窗口变化记录

可以在控制台查看指定时间段、全体/指定分组/终端的程序窗口变化记录。

 3.5文件操作日志

可以在控制台上查看指定时间段、全体/指定分组/终端的文件操作记录。包括文件/文件夹创建、重命名、复制、删除，打开文件、编辑文件的操作；并支持移动磁盘、光盘刻录文件、网上邻居等。

3.6应用程序

提供应用程序白名单和黑名单功能，方便地员工可以运行哪些程序，不能运行哪些程序。

3.7远程操作

可以对终端进行远程协助、远程注销Windows、远程重启、远程关机、修改服务器连接地址以及远程发送消息。

3.8资源管理器

可以在控制台上列出终端电脑上的文件列表，可选择列出所有文件或选择只列出加密文件。

4、设备

可以禁止终端使用指定设备，包括打印机和驱动器。其中，打印机可以设置禁止使用打印机，或只允许使用指定打印机、只允许指定程序使用打印机；驱动器包括USB存储设备、光盘驱动器、软盘驱动器，都可以设置成允许使用、禁止使用或只读。

5、USB存储设备认证

USB存储设备认证功能是在禁止所有的USB存储设备使用的情况下，允许指定分组/终端可以使用指定的USB存储设备，即指定分组/终端只能使用经过服务器认证的USB存储设备，没经过认证的USB存储设备将不能被识别。 

五、绿盾优势

1、产品优势

绿盾信息安全管理软件，采用“事前主动防御、事中全程控制、事后有据可查”的设计理念，在通过对企业重要文件数据的加密，从源头上有效的防范企业信息数据泄密。

绿盾采用Windows内核的文件过滤驱动实现透明加解密，随Windows开机而启动，关机而停止，无法手动停止，在不改变用户原有的工作习惯和工作流程的基础上实现透明加解密。同时，灵活的策略配置、权限控制及良好的兼容性，完全达到企业对文件安全性和管理人性化的双重要求。

2、功能优势

2.1高强度的加密体系

1)  绿盾密钥由三部分组成：为每个客户提供的全球唯一的主密钥、企业可以随时修改的企业密钥、每个文件不同的文件密钥。在每个文件解密时，必须三个密钥同时验证才能完成。这是国内首创三重密钥体系，保证软件厂家无法解密用户的加密文件，其他的加密软件都无法提供此功能。

2)  绿盾是采用银行的加密算法，是采用256位密钥来管理的，其安全性位于国内前列。

2.2完全透明的文件自动、实时加密

终端人员在打开文件时，绿盾根据权限自动解密；在新建文件或编辑文件时，绿盾自动加密存储。保证存放在硬盘上的文件为密文，无需要用户手动干预。这些加密过的软件，在企业以外的网络均无法打开。

2.3文件外发管理功能

绿盾提供打印外发和直接外发两种方式，针对不同的文件类型可以采用最合适的方法，是其他软件不具备的。打印外发是把各种格式文件转换成.EXE格式的文件，外发一些图片文件往往会失真；直接外发，不改变文件的格式，相当于直接把原文件拷贝一份发出去。外发AutoCAD、Solid Works和Pro-E等需要精确度比较高的文件，采用直接外发效果就会比较好。打印外发直接运行.exe文件就可以查看文件，而直接外发需要先运行下外发终端才能打开文件。

外发文件参数包括：时间、次数、密码验证、打印、修改、截屏、过期自毁等。

2.4灵活的自定义加密策略

即使工作或出差需要外带笔记本离开企业环境，可通过离线授权功能（包括永久离线、中长期离线、短期离线等）及设定资料正常使用的时间及自动销毁时间，从而加强数据的安全性，避免外出时有意无意的信息泄漏。

2.5强大的文件备份功能

绿盾强大的备份功能，可防止人为有意或无意的把资料删除，甚至是格式化硬盘；绿盾的备份功能能保证终端操作过的数据都可以备份到服务器。

2.6全面的内网管理功能

绿盾产品的模块包括：上网行为管理模块、屏幕监控模块、聊天内容监控模块、应用程序管理模块、移动设备管理模块（打印机、U盘等的使用权限）、ARP防火墙、资产管理模块、文件加解密模块等。

2.7良好的平台兼容性

1)  绿盾支持Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7等多种操作系统。

2)  绿盾兼容国内外近20种杀毒软件，包括“诺顿、卡巴斯基（Kaspersky）、McAfee、瑞星、江民、金山毒霸、360安全卫士、Nod32、趋势等。

3、技术优势

3.1驱动层加密技术

绿盾采用文件过滤驱动加密技术，驱动层加密工作在Windows内核，加解密动作都是在文件打开的时候动态解密，文件保存的时候自动加密，不产生临时文件，安全性更好，效率更高。驱动层开发难度相对应用层要高。

应用层加密，通常都采用文件重定向技术实现，换句话说，就是在每次打开密文的时候，要先把密文的整个文件解密到硬盘上的某个地方，然后使用重定向技术定向到这个没有加密的文件上。这种办法有两个比较大的缺点： 效率低、不安全，因为每次打开文件的时候，都要先把整个文件解密，文件小的时候可能没有感觉，一旦文件比较大，感觉就会很明显，影响使用。另外由于在打开文件的时候，需要将文件解密到临时目录，虽然加密软件会对这个临时目录进行保护，但用一些工具软件很容易找到这个临时目录，并从这个目录下复制到明文。

3.2自主研发性能优越的数据库

绿盾自主研发的数据库，存取速度快，兼容性好，安全稳定。同时降低企业投资成本。

3.3可自定义的受控程序

绿盾信息安全系统提供了目前市面上大部份图档编辑应用程序，但实际上，市面上的图档编辑应用程序远不止这些，而且还在不断地推陈出新中。为了满足企业的正常应用，绿盾信息安全管理系统提供了自定义受控程序的功能，系统管理员只需将该应用程序的可执行程序添加到绿盾系统中就可以了，如果该应用程序有多个可执行程序，则把所有的可执行程序都添加就可以了，操作非常的灵活简单，并且用户不必担心后续应用程序升级而导致加密不能使用的问题。

4、实施优势

绿盾信息安全管理软件对整个企业形成统一管理，整个企业只需一台服务器就可以了（也可以增加一台服务器存放备份文件），减少公司硬件上的投入，同时采用集中式管理，便于管理员更好地管理整个公司，企业所有的安全策略都由超级管理员制定，形成整个公司管理上的一致性。

六、服务体系

1、技术支持服务内容

软件运行维护服务（远程、现场）；软件版本升级和新产品发布通告服务；系统运行后，需由专人负责该项目技术支持，远程、现场解答产品技术问题；提供网络直接技术反馈及网上维护服务。 

2、响应时间

在系统上线之后， 我们提供：

(1)长期免费的电话、EMAIL、QQ、MSN、SKYPE等方式的远程技术支持；

(2)享有软件的长期使用权。

3、维护

我们提供远程技术支持，指定1名专人负责维护，包括现场；