产品概述
英赛虎电子文档安全管理系统—网络版是一套紧密结合机关、金融和企事业单位对电子文档安全保护的业务需求的产品,提供对电子文档的实时动态加解密、操作全过程的保护和操作行为的统一审计功能,实现了电子文档全生命周期的安全管理。
本产品在管理策略层、操作系统层和编辑器层做了多重操作保护,使得用户在使用文档时,无法使用另存、复制、粘贴、发送、截屏、录屏、取词和远程监控等手段将内存中正常显示的文档泄露出去,以及防止人为通过电子邮件、 移动硬盘 、U盘、软盘等途径盗取重要数据文档,保证了文档安全,杜绝了非法泄密。
本产品独创地使用电子文档的“安全标签”来进行信息的标识,标签与密文文档根据用户不同的安全要求可以同地保存,也可以分离保存。彼此之间均有一个唯一的绑定关系,最终达到了文档全生命周期可控、可查、可溯、可审的目标。该安全标签的技术已被列入国家规范,本产品也成为国家《安全电子文件密码应用规范》中电子文档必须采用“安全标签”规定的示范产品。
产品主要功能
1、在线模式
在线模式是指用户的终端设备连接在服务器上,服务器上安装了本系统的服务器软件安,终端上安装客户端软件。
主要功能:
1) 个人工作室
个人工作室为用户提供了一个独立的工作空间,可以进行文档的在线阅读、编辑、打印、转发、申请文档外带等操作;
个人工作室可以发起文档的协同工作、送审等的多用户协同操作;
个人工作室内的文档操作全部在线进行,不允许操作者从加密文档到明文进行另存、复制、粘贴、截屏、录屏、取词和远程监控等行为,打印须在指定的打印机上受控打印。
图1-1 个人工作室
图1-2 转发个人工作文档
2) 团组工作室
团组工作室是多人协同工作的空间,在个人工作室中发起的协同工作文档和送审的文档都会存放于此处供文档的所有者和文档的协同工作参与者共同访问;
团组工作室中对文档的操作权限:由文档的所有者赋予协同工作的参与者;文档所有者自己对文档的操作权限与其在“个人工作室”中的操作权限相同。
图1-3 团组工作室
3) 文档管理室
文档管理室用于存放经审核通过后的单位正式文档;
任何终端用户对其都不能修改、编辑和删除,只能在单位或部门文档管理员设定权限范围内对文档进行阅读和打印等受控操作
图1-4 文档管理室
4) 外带回收室
外带回收室支持申请-审批后的外带功能;
外带回收室存放外带归还的文档,文档管理员对外带回收室中的文档进行安全审查,通过审查后系统将文档自动放回外带前的原有位置。
图1-5 外带回收室
5) 历史文档室
历史文档室存放所有被用户编辑并覆盖前的文档,即用户对同一份文档进行多次更新及覆盖操作时,就会在历史文档室中形成这些文档的历史版本;
历史文档室还存放其他工作室中删除的文档;
历史文档室中如果用户再进行删除文档的操作,那么该文档将被彻底从硬盘中销毁。
图1-6 历史文档室
2、离线模式
离线模式是指用户的终端设备未连接到服务器,终端上安装了本系统的客户端软件,适用于出差或回家加班的场景。
主要功能:
1) 离线工作室
离线工作室用于存放经申请-审批后,从服务器上下载的以密文形式保存于本地的外带文档,适用于用户需要回家工作、外出演示汇报或出差途中工作的场景;
离线工作室还可以存放在离线状态下新建的一些单位文档,在离线工作室内建立的文档其产权属于单位;
离线工作室中的文档全部受到保护,文档在外带时由外带审批者赋予可阅读、可编辑和可受控拷贝等选择性操作,不允许另存、复制、粘贴、截屏、录屏、取词和打印等操作;
离线工作室在自动或手动方式下,由离线状态切换到在线状态时,系统会自动回收离线工作室内的文档。
图2-1 离线工作室
2) 私人文档室
私人文档室是用来存放私人文件的空间,系统仅对文档进行加密处理,不对其进行任何操作控制。用户可以对私人文档室中的文档随意解密成明文的操作。
图2-2 私人文档室
产品典型应用
典型应用案例一:集中存储,双重管理,内外兼顾,安全方便
金融行业某单位文档安全管理解决方案简介
作为一个总部位于上海,在全国各地拥有分支机构的金融企业,该单位日常工作中有大量的数据、报表等重要文档需要处理,如何确保文档传递与文档使用过程中的安全,防止信息在使用、交换的过程中泄密成为该单位必须解决的重要问题。
本产品针对该单位网络物理分散、逻辑连通的特点,以及单位内员工外出办公比较常见等现状,使用英赛虎电子文档安全管理系统为其配置了一整套贯穿在线、离线两种模式的文档安全管理体系,做到无论是总部员工还是分支机构员工,无论员工在单位内还是在单位外,都可以在一个安全、受控的前提下使用单位的工作文档,既不改变员工原由的使用习惯,又极大地提高了工作文档的安全性,最终保护了该金融单位的文档安全。
在该解决方案中,我们主要提供了两类保护模式:
在线集中管理模式:针对员工在单位内部办公的情况,将员工的所有文档加密后集中存储在单位的文档服务器上,对于员工来说,客户端电脑上仅保存一个同样加密的电子文档安全标签。这种模式下由于文档实体不保存在员工机器上,员工仅能按授权使用单位文档,最终将单位的工作文档限定在了公司的安全网络内。
离线本地管理模式:针对该单位员工外出工作频繁的现状配置了离线管理模式,当员工需要将一份工作文档带出单位使用时,首先需要申请外带,审核人可以限制该员工对外带文档的权限,如是否可打开、是否可编辑,要求在何时必须归还文档等。真正做到离线与在线时的安全系统级别一样,使整个文档从产生到销毁的全生命周期可查、可控。
该单位在使用本产品后,所有的文档做到了可控、可查、可审、可溯,极大提高了文档使用的安全性。
典型应用案例二: 分散存储,统一管理,文档分布,权限集中
某典型设计单位文档安全管理解决方案简介
作为设计行业的著名单位,
该企业有大量的设计文档需要保护,由于设计文档存储量较大,所以大部分都存放在设计人员的工作机器内,如果设计人员将文件泄露,将会对单位带来巨大的经济损失。针对该单位文件类型多样,单个文件存储量较大的特点,我们使用英赛虎电子文档安全管理系统给该单位配置了分散存储,统一管理的安全策略:文档本地保存:首先满足了用户原有的管理习惯,其次大文件本地存储可以极大地减少用户单位网络的压力。权限集中设置下发:管理员在策略服务器上统一设置全公司网络内的文档安全策略,做到外部人员未授权完全无法正常使用文档,内部员工即使获得加密的文档,未经许可带出公司后仍然无法使用,从而保护了该单位的文档安全。
操作过程保护:本地密文打开后,合法员工可以正常进行设计工作,但是所有试图将设计文档内容泄露的举动(如另存、复制、粘贴、发送、截屏、录屏、非法打印等)都将被禁止,
该单位在使用本产品后,防范了内部员工泄密隐患,保护了企业的设计成果,提高了企业的市场竞争力。
产品运行环境和技术参数
1、系统建议配置:
1)服务器建议配置:
CPU : 英特尔 奔腾IV 3.0GHz 以上的单个或多个处理器
内存:1GB
硬盘 :程序安装需要大约20M的空间,为了保证系统稳定运行,请保证有10GB的空闲空间
操作系统:Windows 2000/2003 Server
3) 客户端建议配置:
CPU:英特尔奔腾 IV 3.0 GHz 以上的单个或多个处理器
内存:1GB以上
硬盘:程序安装需要大约20M的空间,为了保证系统的稳定运行,请确保有500M的空闲空间
操作系统:Windows 2000/XP
2、系统支持的保护文档类型:
Microsoft Office系列文档格式;
Adobe PDF文档格式(Adobe Reader 7.0);
Auto Cad文档格式(Autocad 2005);
TXT文档格式;
其他格式可定制开发。
3、性能指标
最大用户数:1000个用户
并发用户数:100个用户