文件加密管理系統

文檔加密管理系統解決方案目錄第一章 前言 51. 電子文檔平安概述 52. 常見解決方法解析 62.1. 外網平安系統 62.2. 主動型文件或文件夾加密系統 62.3. 網絡監(jiān)控與審計系統 72.4. 文件權限集中管理系統 82.5. 實時透明文件加解密系統 93. 電子文檔保密應有的效果 10第二章 文檔平安管理系統的設計思想 111. 目標 112. 系統邏輯拓撲圖 12第三章 文檔平安管理系統的組成和功能效果 131. 客戶端 132. 控制臺 143. 解密端 164. 效勞端 17第四章 文檔平安管理系統的策略制定與使用 191. 文件加密策略組 192. 控制策略組 213. 剪貼板控制策略 214. 部門互訪控制策略 225. 通訊策略組 22第五章 文檔平安管理系統的特點 241. 靈活的四重架構模式 242. 密鑰效勞器快速移植功能 243. 密鑰輪詢功能 244. 雙密鑰設計 255. 部門分級 256. 遠程卸載〔程序或者策略〕 267. 離線授權 268. 歷史文件批量加、解密功能 279. 加密文檔分級查看權限 2710. 客戶端自動修復 2811. 客戶端程序自動更新 2912. 自動解密申請 2913. 離線策略 3014. 解密端分級認證 3115. 外發(fā)文件控制 3216. 易用的郵件策略 3217. 策略靈活 3418. 集成方便 3519. 通訊可靠 3620. 單機版網絡版靈活轉換 3721. 智能識別技術 3722. 詳盡日志分析 38前言電子文檔平安概述一般來講，大型企業(yè)在信息化過程中面臨的平安問題包括網絡系統平安和電子文檔數據平安兩方面。針對網絡系統平安方面，企業(yè)需要防止網絡系統遭到沒有授權的存取、破壞以及非法入侵。在電子文檔數據平安方面，通常的理解又包括兩個不同的問題：數據存儲介質的可靠性問題和數據內容的本身的保密性問題。數據存儲介質的可靠性，主要就是指數據存儲介質一旦發(fā)生機械、電磁、物理等方面的沖擊事件之后，數據是否依然保持完整，或者計算機用戶是否可以從有效地備份中恢復完整的數據，當然這些取決于硬件設備的性能和使用環(huán)境，發(fā)生的概率相對較少。電子文檔本身的保密性問題主要有來自三個個方面的威脅，即外網威脅、內網未經授權的二次拷貝和內部人員的越權訪問威脅。外網威脅主要就是上面所說的網絡系統平安問題；內網未經授權的二次拷貝就是指由企業(yè)內部人員通過usb閃存驅動器、wifi調整解調器、智能、藍牙適配器、數碼音樂播放器、紅外線傳輸、電子郵件、FTP等各種方式將企業(yè)中的數據未經授權二次擴散和傳播出去；內部人員的越權訪問威脅主要是指公司內部人員通過某種途徑去訪問不屬于自己權限內應該知曉的公司機密信息，造成公司內部的一些機密信息在公司內部泄密。內部人員的越權訪問在企業(yè)內網平安中屬于另外一個范疇，不在本文討論范圍之內，本文主要討論的是如何防止公司內部人員未經授權將公司機密信息二次拷貝出去的問題。此目前主要解決內網未經授權的二次拷貝的問題，而內部人員的越權訪問問題將在此中得到很好的解決。根據國內外從事信息平安的專業(yè)人士的調查數據可知：媒體炒得熾熱的外部入侵事件，充其量占到所有平安事件的20%-30%，而70%-80%的平安事件來自于內部。從不同渠道來的統計數據略有差異，但就目前我們中國國內的情況來說，內部人員犯罪〔或于內部人員有關的犯罪〕一般占到了計算機犯罪總量的70%以上。目前隨著內部人員威脅的加劇，內部人員犯罪已經表達出了"危害大、難抵御、難發(fā)現"的特點，主要原因如下：內部人員最容易接觸敏感信息，并且他們的行動非常具有針對性，危害的往往是機構最核心的數據、資源等。一般說來，各機構的信息平安保護措施都“防外不防內”，比方很多公司賴以保障其平安的防火墻對內部人員攻擊毫無作用，形同虛設。內部人員對一個機構的運作、結構、文化等情況非常熟悉，導致他們行動時不易被覺察，事后難以被發(fā)現。常見解決方法解析在企業(yè)大局部信息數據都是以電子文檔形式存在的今天，如何才能既保證這些信息數據的全面共享，又能提高工作效率，保證其平安，防止泄密呢？針對這種需求，目前市場上出現了一些解決方案，歸納起來，大致有如下五類。外網平安系統在計算機平安產品中，殺毒軟件、防火墻、入侵檢測等系統是最早出現的，最近出現的反木馬軟件也屬此類。這類系統的一個共同目標是：防止來自互聯網上竊密者〔即“黑客”〕通過網絡，在數據所有者和數據使用者不知情的情況下，將數據內容偷盜出去。很顯然，這些系統都是基于外部平安模型的。盡管它們在數據平安體系中也扮演了重要的角色，但是并沒有將最核心、最棘手的問題解決好。就像前面提到的那樣，外部入侵只占到企業(yè)整個平安事件的20%-30%左右。優(yōu)缺點分析：可以有效的防止外部黑客入侵帶來的電子文檔泄密分險，但無法阻止內部人員的泄密。當有新的病毒、攻擊手段、漏洞等出現時，企業(yè)必須及時升級，軟硬件的升級費用，常常也是一筆不小的開支。主動型文件或文件夾加密系統這是目前最常見的一種電子文檔數據保密方法。計算機使用者意識到數據的重要性和私密性，主動在保存文件時設置密碼〔如在Office、Autocad等軟件保存時可以設置該文件的翻開密碼〕，或者在文件保存完畢之后，用第三方軟件予以加密〔常見的如Winrar壓縮加密、文件夾加密大師等〕。優(yōu)缺點分析：這樣的方法僅僅可以解決內部人員因過失而將電子文件傳播到不可信任的范圍的問題，但是還是防不住內部人員主動泄密，理由如下：電子文檔數據使用者要使用這些加密后的文件的話，必須要知道密碼。一方面，因工作需要而使用該文件的人可能會越來越多，這些人便會都知道密碼。而對文件使用者來說，一旦得到了密碼，這些文件對他來說就無秘密可言了。另外一方面竊賊可以在買通企業(yè)內部人員時，將密碼連同文件一起“買”到手。電子文檔數據的創(chuàng)立者〔即文件作者〕在對文件進行加密處理之前，完全可以給自己留一份明文拷貝。甚至在有些系統中，文件的任何一個讀者都可以去掉密碼再行保存，從而也可以得到一份明文拷貝。網絡監(jiān)控與審計系統這是解決企業(yè)內網電子文檔數據平安的另一種思路，認為只要將電腦上所有能流出數據的端口渠道控制好或封堵住，就能徹底解決電子文檔數據的平安問題。在這樣的思想下，網絡監(jiān)控與審計系統便孕育而生。這樣的系統，最近兩年在市場上出現了很多品牌。它們雖然在局部上互有優(yōu)劣，但是其原理是一致的，根本上都是以內網監(jiān)控、郵件監(jiān)控和封堵各種外設端口〔USB、1394、COM口、火線、藍牙等等〕。這類系統的工作方式如下：在各個涉密計算機上安裝客戶端程序，企業(yè)中計算機管理人員通過管理端控制臺能監(jiān)控到安裝了客戶端的每一臺涉密計算機用戶進行的各種操作，并可根據這些操作制定不同的策略。如果這些操作是事先被允許的，那么操作可以進行下去；否那么通過策略的設定客戶端程序會予以阻止并報警。所有的操作嘗試，無論是否被允許，都會被客戶端記錄下來形成日志，以備日后追查。這種系統的核心便是“監(jiān)視”、“控制”、“審計”，而其根本思想在于“堵漏洞”。優(yōu)缺點分析：這種系統在一定程度上可以標準計算機用戶的網絡行為，降低了內部人員對企業(yè)網絡發(fā)起攻擊〔無意的誤操作或有意的惡操作〕的風險，也可以降低內部人員通過USB等各種外設端口或電子郵件等網絡手段將涉密文件傳播出去的可能性。同時該系統確實可以做到對每次泄密事件的事前預防和事后追蹤作用，能幫助企業(yè)查到泄密者和具體泄密的內容。缺點是：當今的計算機技術開展非常迅猛，并且各大軟硬件廠商都強調信息，所以所謂“漏洞”幾乎是層出不窮且日新月異，新的通訊協議和技術在不斷的冒出，要想完全地將所有漏洞全部堵死，從現在的眼光來看已經實屬不易；從開展的眼光來看，更將防不勝防。所以這種系統具有一個非常明顯的缺點，它將用戶帶到了一個兩難的境地：用戶要么為了必要的、正常的工作交流而留一些“口子”，從而大大降低系統的可靠性；要么就堵死所有的“漏洞”，以犧牲方便性為代價來換取嚴格的平安性。更為嚴重的是該系統確實可以做到對每次泄密事件的事前預防和事后追蹤作用，但是無法保證泄密事件發(fā)生后不造成損失。尤其是當泄密人員覺得他泄密本公司的電子文檔后帶來的收益比公司開除他帶來的收益更大時，該系統變得毫無用處。文件權限集中管理系統目前用戶在市場上見到的文件權限集中管理系統其實都是屬于一種文件格式轉換系統。該系統管理的直接是電子文檔數據的本身，可在一定程度上從源頭上保證了電子文檔的平安。這種系統的原理是：文件創(chuàng)立者〔即所謂的作者〕在創(chuàng)立文件A的同時，通過加密操作〔其實就是格式轉換操作，或者說封裝成另外一種格式〕將文件A加密成另外一種格式的文件B〔開發(fā)商自定義的一種文件格式〕，當然此時在電腦上還能保存原文件A。在加密操作時，作者可以指定哪些人〔即所謂的讀者〕可以分別以哪些權限〔能否看、能否打印、能否編輯、能否復制等〕翻開B文件，以及能夠翻開幾次或者有效期，此時文件B的權限被統一保存在用戶自己的權限效勞器上。為了保密的需要，作者一般都是將文件B發(fā)放出去，因為得到這些文件的讀者如果要翻開文件，那么需要連線到權限效勞器上驗證他的權限，這樣可以在一定程度上保證電子文檔B的平安。優(yōu)缺點分析：文件權限集中管理系統在文件的權限控制上做的是比擬完善的，特別是豐富的離線控制策略，在泄密事件發(fā)生后評估其造成損失的大小和范圍有一定的積極意義。同時該系統保護的直接是電子文檔數據的本身，一定程度上從源頭上阻止了泄密現象的發(fā)生。不同的讀者對于文件的權限是受控制的，作者可以隨時更改，比擬靈活。但是這種系統的漏洞是顯而易見的，其缺點如下：無法真正防止內部人員的主動泄密，在生成加密文件B時，明文文件A已經在電腦硬盤上產生，依然有被泄密的風險。該系統的出現也僅僅是防住了讀者，防不住作者。要知道，文件作者也是有可能泄密的，作者完全可以將電腦硬盤上存在的明文文件A帶出公司。由于文件B是被轉換或者說封裝成了開發(fā)商自定義的一種格式，故每個讀者需安裝特定的瀏覽器才能閱讀這個文件。很多時候，本企業(yè)中的圖紙需要發(fā)給外協或者客戶，為了要對這些外發(fā)的文件也有一個權限控制功能，還得給你的外協或者客戶也購置這種特定的瀏覽器，無形中又增加了一份投資。由于權限效勞器既需要向內網用戶提供驗證效勞，也要向外網用戶提供驗證效勞，所以它自身的平安需要嚴密保護。為此，用戶需要更多地投資于該效勞器及其周邊平安子系統〔例如防火墻、入侵檢測、身份認證〕。由于需要一個數據庫來記錄每一個人針對每一個文件的權限，所以這種系統通常都需要一個龐大的數據庫作后臺支持。這不僅增加了用戶的軟件投資，也增加了系統的維護難度。所有的用戶必須要能夠和權限效勞器通訊，否那么無論是誰都無法使用涉密文件。這給這種系統帶來了很大的局限性。通常來說，這種系統可以保護的文件類型有限。這種系統雖然可以保護常見類型的文件〔例如Word的doc文件、AutoCAD的dwg文件〕，但是不是所有的文件都能夠保護。實時透明文件加解密系統實時透明文件加解密系統在國內最早產生于2004年底，是應客戶要求開發(fā)的。由于其獨特的加密方式，對電腦使用任務根本上無任何影響的操作方式，很快獲得了廣闊用戶的認同。這種系統的工作原理是：在特定的涉密電腦上安裝實時透明加解密系統后，只要該電腦硬盤上生成的文件符合用戶涉密文件的特征，系統一概自動地、不受人工干預地予以強制加密，并且可以保證涉密文件在安裝該系統的電腦硬盤上一律以密文的形式存在。而這種加密文件〔簡稱密文〕在企業(yè)內部涉密計算機上無需輸入密碼即可雙擊直接翻開，而在本企業(yè)涉密計算機以外的的計算機上卻無法正常翻開。優(yōu)缺點分析：這種系統的出現，解決了計算機數據保密平安領域的一個重要而實際的問題：防范內賊。這種系統的優(yōu)點非常鮮明：具有非常可靠的嚴密性。一旦數據從內存到達硬盤成為有可能被復制的文件，系統就自動地、不受人工干預地予以強制加密。這一特性導致用戶計算機硬盤上的文件〔當然是指定類型的文件〕都始終以密文形式存在，沒有給任何人〔包括“自己人”留下所謂的“時機”〕。具有很高的方便性。密文在被應用軟件調用的時候，系統可以自動地、無需人工干預地進行解密〔并非解密到硬盤，而是解密到內存，而內存中的數據是足夠平安的〕。由于這一特性，用戶在保存、翻開、編輯這些涉密文件的時候，無需任何多余的操作，也無需記憶密碼〔或稱“口令”〕。具有足夠的可靠性。這種系統由于客戶端程序采取的是特殊的軟件技術，使得普通用戶無法進行卸載或刪除，同時加解密所需的密匙也不保存在任何硬盤之上。這些特性使得系統的平安可靠性大大提升。具有廣泛地適用性。由于這種系統采用了底層的Windows技術，所以至少從原理上說可以保護任何類型的文件。缺點：當采用全文加密技術時，在大文件的翻開或保存時會有一定的延遲現象。雖然客戶能自定義決大多數軟件，但是對于一些大的系統〔PDM、ERP等〕還需要開發(fā)商做一定的集成工作，對開發(fā)商有一定的依賴性。電子文檔保密應有的效果平安和自由永遠是一對矛盾，如何盡可能的協調兩者的關系，是一款優(yōu)秀的電子文檔保密系統應具備的。電子文檔平安的終極目標就是在嚴格保證企業(yè)數據平安的前提下，不影響企業(yè)內員工原本的日常操作習慣，不增加他們任何額外的操作。企業(yè)內部正常的數據交流是必須的，優(yōu)秀的電子文檔保密系統不應該阻斷這種正常的交流或者給這些交流造成任何麻煩。當企業(yè)中有圖紙需要通過郵件或者其它方式二次拷貝流出本企業(yè)時，必須要有一個特定的審批流程，并予以記錄備案，方便管理員在需要的時候進行核查。企業(yè)內部人員如果未經授權私自將企業(yè)內部的涉密文檔帶出企業(yè)的話，將無法翻開帶出的任何資料。也就是說就算泄密現象發(fā)生，也不會給企業(yè)造成任何損失。文檔平安管理系統的設計思想目標文檔平安管理系統總的目標是：確保電腦硬盤上的每一份涉密資料均為密文狀態(tài)，從源頭上解決一切通過其它方式泄密的可能。同時為企業(yè)中各用戶搭建一個互相之間可以自由流通，無縫集成的數據交流平臺。在這個前提下，保證不對用戶產生任何額外的操作，不對他們原本的日常操作行為有什么影響。具體地可以細化為以下幾條：特定的文件〔并非所有的文件〕在生成〔或保存〕之時，就應該被加密，且加密要由計算機自動地進行，不能依靠人工執(zhí)行；文件的加密和解密，不能依賴人工設定的密碼或口令；被加密的文件在涉密計算機翻開之時，就應該被解密〔解密到內存以便讀取〕，且解密要由計算機自動地進行，無需人工干預，文件的使用者也無需知道“密碼”；在未授權情況下，被加密的文件無法被非涉密計算機翻開，就算電腦主機或硬盤被偷出公司，得到者也無法翻開電腦主機或者硬盤上的資料；如果企業(yè)需要外發(fā)圖紙，必須要有特定的審批流程，經過審批允許外發(fā)后，有專人解密，將密文狀態(tài)的圖紙轉換成明文狀態(tài)的圖紙后帶出，并有詳細的日志方便日后追查。系統邏輯拓撲圖圖2.3.1文檔平安管理系統邏輯拓撲圖文檔平安管理系統的組成和功能效果文檔平安管理系統分為客戶端、控制臺、解密端和密鑰效勞端四局部。其系統架構圖如下列圖所示：圖四局部各個局部的詳細功能說明如下客戶端客戶端程序安裝于每一臺涉密計算機上，并以后臺方式運行。由于采用了特殊的技術，客戶端程序并無任何操作界面，用戶也無法停止其進程。其功能包括：當用戶保存一個特定的文件時，自動地在內存中對數據進行加密處理，并在存儲介質〔例如磁盤〕上直接寫密文；當用戶翻開一個特定的文件時，將數據讀入內存之后自動地對數據進行解密處理，但不對存儲介質上的密文文件作解密；當剪貼板中的內容來自一個涉密文件時，阻止用戶將這些內容粘貼〔或拖拽〕到一個不會被自動加密的文件中去；接收控制臺下發(fā)的策略，包括不同部門和密鑰信息。接收控制臺下發(fā)的密級設置命令，確定客戶端電腦以哪種密級〔或VIP客戶端的方式〕進行加密；接收控制臺下發(fā)的命令確定是否需要執(zhí)行“批量加密”或者“批量解密”功能；接收控制臺下發(fā)的策略確定是否控制用戶的打印功能和截屏功能〔包括鍵盤上的PrtScsysRq鍵〕；截獲本地客戶端電腦以SMTP協議〔在TCP的25端口〕發(fā)送的電子郵件中的收、發(fā)件人的E-Mail地址；根據收、發(fā)件人的E-mail地址的匹配規(guī)那么對外發(fā)電子郵件中所含的加密狀態(tài)的附件進行自動解密；導入控制臺設定的離線策略信息后，自動啟用離線授權，按設定的時間段繼續(xù)為客戶端電腦提供透明加解密效勞；接收控制臺下發(fā)過來的策略卸載命令，自動去除客戶端程序的文件加密策略和密鑰信息；接收控制臺下發(fā)的卸載客戶端命令檢查涉密計算機與效勞器的連接狀態(tài)，并依據策略來判斷是否繼續(xù)為用戶提供上述效勞。接收效勞器下發(fā)的自動更新及修復命令并執(zhí)行；向指定解密端發(fā)送“在線解密”申請；接收解密端返回的允許〔或拒絕〕解密指令，對本地電腦硬盤上的文件進行自動解密〔或不解密〕動作；將“在線解密”申請日志及解密過的文件自動上傳至效勞器電腦中；HYPERLINK控制臺控制臺程序安裝于企業(yè)內計算機部門的管理員電腦上，具體對客戶端實現不同策略的下發(fā)功能，控制臺擁有一個企業(yè)中的最高權限。雙擊桌面上控制臺的快捷方式，控制臺開始運行并自動搜索效勞器。管理員在通過身份認證之后，就可以進入控制臺程序〔如圖3.2-1所示〕。圖3.2-1在控制臺界面中，左側為目錄結構樹，具體顯示企業(yè)內按工作要求劃分的各個不同的部門及該部門所屬的不同計算機用戶信息。右側根據控制臺上不同的菜單顯示不同菜單中的設置界面?？刂婆_具有如下功能：整個公司設定一個密鑰或者建立不同的部門并分配不同的密鑰〔密鑰管理員可自定義〕；備份各部門的密鑰信息；編輯策略庫，用戶可以自行集成原本不支持的軟件；編輯文件加密策略、控制策略、通訊策略和離線使用策略；設定每個部門或者每個具體的客戶端的文件加密策略、控制策略和通訊策略；設定客戶端電腦剪貼板控制策略和部門互訪策略；設定某個部門或某臺具體的客戶端電腦以“內部級、秘密級、機密級、絕密級或者是VIP客戶端”的方式進行加解密操作的命令；對特定的部門或者特定的客戶端下發(fā)對歷史文件的“批量加密”或者“批量解密”動作的執(zhí)行命令；對部門級或者企業(yè)級的解密端進行認證并進行解密密級設定，經過認證的解密端可以解密本部門或者企業(yè)內任意一個部門的不同密級的圖紙；設定外發(fā)郵件黑白名單的匹配規(guī)那么；密鑰效勞器數據庫備份設置；控制臺登陸日志、所有解密端日志、申請解密日志的搜集與審計；下發(fā)卸載、修復客戶端程序命令；生成客戶端安裝程序〔exe可執(zhí)行程序或者腳本文件〕；設定具有“自動審批”〔自動解密〕功能的客戶端電腦；解密端解密端程序安裝于部門負責人或者公司負責人計算機上，具體負責對企業(yè)中一些通過正常途徑或手續(xù)需要外發(fā)出企業(yè)的圖紙進行解密操作。對于那些開啟了“允許在線解密審核”的解密端，那么通過消息模式解密相關被加密的電子文檔。解密端只有經過效勞端的認證后，管理員才能憑正確的用戶名和密碼登陸解密端。登陸解密端后界面顯示如下列圖3.3-1所示：圖3.3-1在這個界面中，左側為目錄結構樹，右側為當前目錄中的文件，并以“加密”或“普通”狀態(tài)來說明該文件是否為密文；以“內部級、秘密級、機密級、絕密級”來表示文件不同的密級狀態(tài)。通過上方的工具欄，解密端用戶〔即管理員〕可以實現：對一個目錄下所有的文件進行手動批量加密；對一個目錄下的所有文件進行手動批量解密；對選定的一個或多個文件進行手動加密；對選定的一個或多個文件進行手動解密。按指定IP地址對客戶端電腦的涉密文件進行加解密；對指定的文件進行密級的降級或者升級處理；生成解密端日志信息；審批客戶端提交過來的“在線申請解密”請求；轉換需要外發(fā)的涉密文件，并為其設置翻開的時效性和次數；生成外發(fā)文件查看客戶端程序及該客戶端安裝時的授權號；解密端在完成這些操作的同時，會將這些操作記錄下來上傳給效勞端的日志管理程序，以備日后審計。效勞端效勞端程序安裝于公司內特定的效勞器上，僅控制臺管理員才能有權限讀取效勞器上的數據。效勞端程序隨效勞器系統啟動時啟動，正常啟動后，在電腦屏幕右下角有效勞器圖標“”，右鍵該效勞器圖標，跳出如圖3.4-1所示的效勞器界面框圖3.4-1效勞器除了認證控制臺程序外，根本上只是起一個中轉數據、存儲策略信息和日志的功能。效勞端的功能包括：讀取授權文件信息；保存不同部門的分級信息和密鑰信息；負責與各客戶端的通訊和密鑰發(fā)放，并檢測客戶端在線情況；保存和下發(fā)各客戶端的策略信息；認證控制臺；認證解密端；接收解密端上傳的手動加解密文件的日志信息；顯示本效勞器電腦的硬件號；記錄“在線申請解密”日志；設定“在線申請解密”文件的備份目錄；文檔平安管理系統的策略制定與使用文檔平安管理系統可以對大到每個部門，小到每一臺涉密計算機實現不同的管理。這些管理都是靠分發(fā)下去的策略來做到的。這里的“策略”，就是由系統管理員針對每一個部門或每個客戶端進行的設置，這些設置用來解決如下問題：客戶端電腦中哪些應用軟件所產生的文件需要自動加/解密；是否要控制客戶端電腦的打印和截屏功能；是否需要控制客戶端電腦的剪貼板程序；是否需要控制客戶端電腦所在的不同部門間的文件互訪策略；設定客戶端電腦和密鑰效勞器的通訊方式和時間；這些問題我們可以分成四種“策略組”，分別是“文件加密策略組”、“剪貼板控制策略”、“部門互訪控制策略”和“通訊策略組”。一套完整的策略，是由這四種策略組所構成的。文件加密策略組由于對不同類型的客戶，一般其要求保護的電子文檔數據類型是不一樣的。例如對于一個工程設計單位來說，需要被保密的是各種CAD圖紙；而對于一個廣告公司來說，需要被保密的可能就是用Photoshop、CorelDRAW、3dMax等圖形設計軟件制作的效果圖。就算在同一個公司內，不同部門需要保密的數據也有可能是不同的，如設計部門需要保密各種cad軟件生成的圖紙，而管理部需要保密的卻常常是一些office文檔。文檔平安管理系統的“文件加密策略組”就是可以允許管理員為不同的部門甚至不同的客戶端設置需要保密什么樣類型的電子數據。管理員在控制臺做下發(fā)策略設置時，只需要簡單的在需要支持的軟件名稱前面的方框內進行鉤選就行了。如下列圖4.1-1，圖4.1-2所示：圖4.1-1圖4.1-2該策略表示是客戶端電腦對“Autocad軟件及其二次開發(fā)插件、開目cad、CAXA二維電子圖板、Solidworks、UG、CATIA”等設計軟件產生的任何后綴的電子文件會被自動加密。同理，這些被指定的軟件在翻開任何加密狀態(tài)的文件時，這些文件都會被自動解密〔前提是該應用軟件能識別這種后綴〕。注：同一個公司在對不同的部門或客戶端設置不同的加密策略時一定要慎重，因為不同的“文件加密策略”可能會造成某些客戶端電腦上無法翻開某一類型的文件。列如有A、B兩個部門，A部門需要加密Office文檔和Autocad圖紙；B部門僅需要加密Office文檔，那么會導致A部門的Autocad圖紙在B部門會無法翻開?？刂撇呗越M“控制策略組”相對來說操作很簡單，它規(guī)定了客戶端程序的一些控制策略，管理員只需要簡單的在各項控制策略前面的圓圈上選中就行了。如下列圖4.2-1所示，下面的控制策略為：可以打印文件，打印文件袋水印，可以截屏〔即不控制截屏軟件〕。圖4.2-1剪貼板控制策略在控制臺中，管理員可以自行設定安裝客戶端電腦的剪貼板控制情況。如圖4.3-1中所示，在“剪貼板控制”一欄下面，當鉤選“控制客戶端剪貼板”時，表示該安裝客戶端軟件的電腦中，涉密軟件之間可以互相復制內容，或者可以從非涉密軟件向涉密軟件中復制內容，但無法從涉密軟件向非涉密軟件中復制任何內容；當不鉤選“控制客戶端剪貼板”時，那么不限制涉密軟件和非涉密軟件之間剪貼板內容的互相復制。圖4.3-1部門互訪控制策略在文檔平安管理系統V4.0中，除對不同部門設定不同的密鑰，使不同部門之間的涉密資料不能互相翻開外，還支持即使不同部門采用了相同的密鑰，也可以使不同部門之間的涉密資料不能互相翻開。圖4.4-1如圖4.4-1所示，當不鉤選“不允許翻開其它部門文件”時，在一個公司共用一個密鑰的情況下，只要策略相同，不同部門之間被加密的文檔是可以互相翻開的。當鉤選““不允許翻開其它部門文件”時，此時即使不同部門是否用同一個密鑰和相同的文件加密策略，加密的文檔在不同部門之間都無法彼此翻開。因為當進行這種設置時，在新建不同的部門時，系統自動為不同部門分配不同的部門ID，此時在該部門下面的客戶端電腦文件自動加密時，文件中會自動包含該部門的ID信息，當此文件被拿到另外一個部門中去的是時候，將無法被正常翻開。通訊策略組控制臺下發(fā)給客戶端程序的通訊策略組中有兩種密鑰驗證方式：①僅僅在客戶端電腦的Windows啟動之后必須要向密鑰效勞器檢查一次，之后再也無需檢查。②每隔一定時間〔用戶可以自行設定，最小單位為分鐘〕便檢查與效勞端的連接狀態(tài)。如果用戶客戶端電腦數量眾多，那么當這些客戶端電腦在同一時間內去訪問密鑰效勞器的話，勢必會造成網絡較大的負擔。所以，對于是臺式機電腦的客戶端來說，建議選擇第一種“電腦重啟時”驗證方式；對于筆記本這類便攜式電腦而言，第一種方式具有很大風險，由于這些計算機在第一次聯網啟動之后，可以斷網不斷電地離開辦公場所，它依然是可以翻開密文的，這是很不平安的。所以對于這些便攜式計算機而言，我們強烈建議管理員對其設置“指定時間”驗證密鑰的策略。如下列圖所示為同時具備“電腦重啟時”和“指定時間”兩種密鑰驗證方式。圖4.5-1對于一些網絡環(huán)境比擬穩(wěn)定，通訊比擬好的企業(yè)，選擇文檔平安管理系統無論從數據的平安性還是從管理的方便性來說，都是比擬不錯的選擇。對于網絡環(huán)境不是很穩(wěn)定，網絡經常會出現斷線或者ping不通的企業(yè)來說，可以直接將網絡版轉換成單機版，即客戶端不需要和密鑰效勞器通訊的。具體設置如下列圖4.5-2所示：在密鑰驗證方式中“電腦重啟時”，“指定時間”兩項都不勾選。圖4.5-2所以，根據不同的網絡環(huán)境，軟件可以自由的在網絡版或單機版中進行切換，以滿足不同的需求。文檔平安管理系統的特點文檔平安管理系統最為國內第一代“實時透明加解密系統”，從推向市場至今，獲得了很大的成功，得到了很多有自主研發(fā)能力，有保密需求的各制造業(yè)行業(yè)企業(yè)、設計院的追捧和好評，至今已完成超過40000套的裝機量，實施的成功客戶已超過500家。為了保持文檔平安管理系統在行業(yè)內的競爭優(yōu)勢，上海每年在文檔平安管理系統上投入大量的人力進行開發(fā)和升級，在此期間，我們也積極采納用戶的各種建議和想法，以使我們研發(fā)出來的產品能更好的滿足客戶的需求。目前，文檔系統具有的主要功能特點如下：靈活的四重架構模式四重架構模式，更有利于維持密鑰效勞器的平安和穩(wěn)定。說明：客戶端，解密端，控制臺和效勞器4重架構方式，不像常見的采用的3重架構方式〔該方式是控制臺和效勞器重合在一起〕，更有利于大企業(yè)的部署，并能很好的提高效勞器電腦的平安性。密鑰效勞器快速移植功能文檔平安管理系統部署完畢之后，只要及時備份效勞器程序安裝目錄中的“jjmdb.mdb”數據庫文件，當原效勞器電腦系統崩潰或破壞時，直接將備份的數據庫文件覆蓋到新的效勞器程序安裝目錄中，即可實現效勞器的快速移植。說明：簡單的1分鐘，結合硬件key的配合，就可以實現效勞器的快速移植功能，完全不用擔憂效勞器硬盤壞掉后造成客戶端涉密電腦無法正常工作而影響生產。密鑰輪詢功能靈活的密鑰輪詢功能，徹底免除臺式機主機被偷或者電腦硬盤被偷造成文件泄密的風險。在軟件中，我們可以設定“永不輪詢〔相當于單機版工作模式〕”、“電腦重啟時輪詢”、“指定時間輪詢”三種密鑰輪詢模式。

說明：通過密鑰驗證策略的下發(fā)，使客戶端電腦在翻開涉密文檔時需要定期向密鑰效勞器去下載驗證密鑰，下載不到，就無法翻開硬盤上的涉密文檔。該功能可以很好的防止電腦主機被偷或者硬盤被偷帶來的泄密。雙密鑰設計文檔平安管理系統采用雙密鑰設計，出廠時公司會預先設定一個，不同的客戶公司會刻意設定不同的出廠密鑰，以使不同的客戶哪怕就算都購置了文檔平安管理系統并且在連公司密鑰設定都一樣的情況下，彼此加密的圖紙也不能互相翻開。另外一個密鑰用戶可自定義，只要用戶不泄露密鑰，連軟件開發(fā)商也無法解開其加密過的文件。圖4-1雙密鑰的設計，大大增強了文檔平安管理系統所加密文檔的平安性。部門分級大的企業(yè)中，往往分布著很多不同的部門：如總經辦、市場部、財務部、技術部、生產部等。為了盡量縮小涉密資料的擴散范圍，很多公司要求一些涉密資料只能在某個部門內流通，而不能擴散到本公司內其它部門內。根據這一保密的要求，就相當于需要各部門之間的圖紙或文件不能互相翻開，比方說技術部不能訪問市場部的文件，市場部不能訪問技術部的圖紙。圖5-1如上圖所示，在給技術部和市場部進行策略設置時，在權限策略中鉤選“不允許翻開其他部門文件”，此時這兩個部門內所有安裝客戶端軟件的電腦中的文件能互相正常交流，而市場部和技術部之間的涉密文件那么不能互相翻開。注：部門分級的時候，主要是根據客戶端電腦的MAC地址來進行區(qū)別，而不是根據IP地址，所以用戶無需擔憂客戶端電腦IP地址變更后導致部門信息、策略信息等出錯。遠程卸載〔程序或者策略〕由于采用多重保護機制，客戶端使用者除了重新安裝電腦操作系統方式外，無法直接卸載客戶端軟件。要正常卸載軟件，必須在軟件控制臺上啟用遠程卸載命令。當然我們也可以單單只卸載客戶端軟件的各項策略，使其返回到默認部門中去，等待重新部門分配。離線授權文檔平安管理系統提供了離線策略功能，可對出差時需要使用涉密文檔但又需要控制使用時間的用戶提供了便利。在離線策略生效期內，外帶出去的筆記本電腦能翻開電腦上原本加密狀態(tài)的文檔資料，但是同時新建的涉密類型的文檔資料也將被加密。當該筆記本電腦在離線策略授權的時間過后沒有及時連接到公司內部網絡的話，該筆記本電腦上處于加密狀態(tài)的涉密類型文檔將無法被翻開，但同時新建的文件也將不被自動加密。圖7-1使用離線策略必須注意以下幾個細節(jié)：離線策略僅適用于需要在特定時間段內控制電腦中涉密文件使用的時候；在使用離線策略前必須要保證該電腦中的客戶端軟件處于正常工作狀態(tài)之中；導入離線策略并離開公司局域網環(huán)境之后不能禁用網卡，不能修改時間，否那么軟件會認為用戶惡意修改離線策略使用時間，從而禁止用戶翻開加密文件。如果用戶無意中修改了系統時間，那么重新導入授權文件也是沒有用的，只有重新連接上效勞器之后才能重新使用離線策略。為了防止用戶通過修改時間的方法重復使用離線策略，本軟件采用了一個授權號只能使用一次的機制，系統會自動記錄用戶所使用過的授權號，如果導入的授權號已經使用過，那么就禁止再次使用此授權。歷史文件批量加、解密功能針對于客戶端電腦上存在的歷史明文數據，文檔平安管理系統中推出了“自動批量加密”功能，在部署完軟件后，通過控制臺給客戶端電腦遠程下發(fā)“批量加密”命令，即可在客戶端電腦后臺自動完成對歷史數據的批量加密工作。具體使用時注意點如下：只有在部署完客戶端軟件后〔即客戶端電腦接收到文件加密策略和密鑰策略后〕，“批量加密”功能才生效；客戶端電腦在進行批量加密時，會自動掃描本身接收到的文件加密策略中的相關軟件的常見格式進行自動加密〔如該客戶端電腦設定的文件加密策略為Word、Excel、Autocad等軟件，那么當運行批量加密功能時，后臺的批量加密程序會自動掃描本地硬盤上的“.doc”、“.xls”、“.dwg”、“.dxf”等后綴格式的文件進行自動加密〕；“批量解密”的功能可以利用后臺程序將客戶端電腦上的涉密類型文件全部自動解密，使用方法同“批量加密”功能。加密文檔分級查看權限考慮到公司內不同職位的人員需要對不同的涉密文檔有不同的訪問權限，并簡單的解決一些越權訪問的問題，軟件特增加了4層密級控制。通過控制臺中的設定，我們可以將客戶端電腦設定成“內部級、秘密級、機密級、絕密級〔包括VIP客戶端〕”4層密級效果。圖9-1各密級的含義如下：內部級：客戶端部署后默認密級即為內部級，處于內部級的涉密文檔只能在公司內安裝客戶端軟件的電腦上翻開，無法在公司內沒有安裝客戶端軟件的電腦上翻開，或者是在其它公司〔哪怕是同樣購置了軟件〕的電腦上翻開；秘密級：處于秘密級的電腦能直接翻開內部級的文檔，反向那么不行；機密級：處于機密級的電腦能直接翻開內部級或秘密級的文檔，反向那么不行；絕密級：處于絕密級的電腦能直接翻開內部級、秘密級或機密級的文檔，反向那么不行；VIP客戶端：VIP客戶端電腦可以翻開以上所有密級的文檔，并在翻開的瞬間將硬盤上原本處于密文狀態(tài)的文檔轉換成明文。注意：當在高密級的客戶端電腦上翻開低密級的文檔時，并不會改變低密級文檔的密級屬性；但是當在高密級的客戶端電腦上編輯低密級的文檔時，會改變該低密級文檔的密級屬性，使之變成與該客戶端電腦相同的密級屬性?？蛻舳俗詣有迯陀捎诋斂蛻舳穗娔X受到病毒/木馬侵害時，注冊表關鍵鍵值容易受到感染而導致軟件不能正常工作，從而導致客戶端的加解密軟件不能正常工作，而影響客戶正常工作?？蛻舳顺绦驎趩悠陂g定期的去檢查相關模塊是否正常完整，假設發(fā)現不正常會嘗試自動修復，而在控制臺同時也能監(jiān)測到相關模塊的狀態(tài)，從而最新的掌握客戶端動態(tài)。如果自動修復后客戶端還存在問題，控制臺還可以手動下發(fā)修復命令給客戶端，客戶端收到命令后會嘗試修復。此功能大大減少了相關管理人員的珍貴時間。圖10-1自動解密申請對于平時日常文件外發(fā)比擬頻繁的客戶，軟件中提供了自動解密申請功能。通過在控制臺上做相應設定〔設定要需要用到自動解密申請功能的客戶端電腦和來進行審批的解密端電腦〕，我們可以設定如下2種外發(fā)文件解密模式：某臺客戶端電腦可以向本部門所屬的解密端使用者〔本部門所屬的解密端不在線時直接向公司級解密端申請〕在線提交文件解密申請，當獲得解密端使用者批準時，程序會在后臺將需要解密的某個文件自動解密；當將某臺客戶端電腦設定為“允許自動審批”時，此時客戶端提交的所有文件解密申請會被默認自動通過〔不需要解密端使用者審批〕，程序會在后臺這些需要解密的文件自動解密并將其備份到效勞器程序安裝電腦中預先設定的目錄中；離線策略在實際軟件部署過程中，會碰到一些客戶同時擁有幾個異地辦公地點，這些不同的辦公地點都擁有一定數量的電腦。這些電腦和公司總部未能組成一個有效的局域網，但它們的策略卻需要和公司總部某個部門設置的策略一樣，故軟件中提供了“離線策略”導入功能，可將總部某個部門中的策略文件直接導出，導入到這些單機上，使這些異地的電腦都能沿用和總部某些客戶端電腦一樣的策略信息，彼此加密的文件也能互相翻開交流。圖13-1采用離線策略的好處如下：防止單機版程序安裝時策略變更不靈活的弊端；滿足一個公司網絡版客戶端和單機版客戶端混合部署的要求；即使客戶沒有建立起內部局域網，也可以進行文檔平安管理系統網絡版的部署；減少客戶和軟件供給商的溝通環(huán)節(jié)，大大縮短軟件的部署時間；圖13-2離線策略總體界面解密端分級認證解密權限分級設置：根據單位中不同的密級要求，可以分別設定解密端擁有者具有不同的解密權限。某些部門領導只能解密本部門的文檔，而公司老板或其它高層可以解密整個公司內的文檔。說明：該項功能配合不同部門不同的密鑰設置，可以使涉密文檔的流通控制在更合理的范圍之內，不同解密權限的分配，可以使公司內各領導權限得到很好的平衡，并不是擁有解密端，就能解密本公司內所有的文檔。這種功能可以使就算公司內某個解密端出現泄密隱患，影響的也只是公司內某一塊的數據平安，而不是整個公司的數據平安。對于雖然處于同一部門內的解密端，還可以設定解密端有不同的密級解密權限，即有些解密端只能解密內部級的文檔，有些解密端能解密內部級和秘密級的文檔，有些解密端能解密絕密級、秘密級和內部級的文檔，而有些解密端能解密所有密級的文檔。另外，對于不同密級認證的解密端，除可以解密不同密級的文件外，還可以將低密級的文檔提升成高密級的文檔。具體功能如下：基于秘密級認證的解密端可以將本部門內內部級的加密文檔提升成秘密級；基于機密級認證的解密端可以將本部門內內部級或者秘密級的文檔提升成機密級；基于絕密級認證的解密端可以將本部門內內部級、秘密級、機密級的文檔提升成絕密級；外發(fā)文件控制某些時候需要將單位內的涉密電子文檔臨時發(fā)給客戶或者合作伙伴查看，但是又希望能控制這些臨時外發(fā)的涉密電子文檔的平安〔比方說能控制其翻開時間、翻開次數、不能被編輯、不能被打印等〕，此時可用到軟件中的“外發(fā)文件控制”功能。外發(fā)文件控制在解密控制臺中設置，具體設置如下：點擊Winmanager解密端界面菜單欄“外發(fā)文件控制－外發(fā)文件設置”，即可進入“外發(fā)文件設置”設置。圖15-1選擇需要外發(fā)的文件，設置外發(fā)加密文件的翻開時間段、次數、權限。圖15-2外發(fā)文件權限設定設置完成以后點擊“確認”，設置文件密鑰以及外發(fā)文件閱讀器相關設置，如圖：圖15-3外發(fā)文件密鑰以及外發(fā)文件閱讀器控制方式設置在進行外發(fā)文件制作時，注意以下幾點：被制作的文件本身可以是已經加密過的文件也可以是未加密過的文件；可以選擇對單個文件進行外發(fā)，也可以選擇對單個文件夾進行外發(fā)控制；對于外發(fā)文件必須設置密鑰，否那么外發(fā)出去的文件無效〔密鑰可以隨意設置〕；控制外發(fā)文件的翻開次數、生效時間、文件只讀、打印控制、剪切板控制等策略；可以對外發(fā)文件閱讀器進行控制，可以設置密碼或者綁定硬件；注：外發(fā)文件的加密算法和單位中正常被客戶端軟件加密的算法是不同的，客戶不用擔憂因為外發(fā)文件而泄露本公司客戶端的加密算法。注：外發(fā)文件的加密算法和單位中正常被客戶端軟件加密的算法是不同的，客戶不用擔憂因為外發(fā)文件而泄露本公司客戶端的加密算法。易用的郵件策略對于常常需要通過電子郵件外發(fā)涉密文檔出去，但又不想頻繁通過解密端手動解密的單位，文檔平安管理系統中提供了外發(fā)郵件時，對滿足要求的郵件中的附件自動解密的功能。具體實現技術原理如下：客戶端軟件截獲本地計算機以SMTP協議〔在TCP的25端口〕發(fā)送的郵件信息，采用特定的技術掃描郵件數據，提取出收件人E-Mail地址和發(fā)件人E-Mail地址，以及附件數據和本地數據庫〔可以是一個文件〕中的規(guī)那么比擬，看是否需要解密。如果需要解密就調用客戶端中的解密程序對附件解密，然后把被處理后的附件代替原來的附件，再把郵件發(fā)送到原來的目的地址。如果不需要解密那么原樣發(fā)送到收件人郵箱〔即客戶端程序主要是根據收件人和發(fā)件人的E—Mail地址和列表中的規(guī)那么匹配情況。如果滿足某種規(guī)那么的話就解密附件并轉發(fā)，反之不進行解密附件直接轉發(fā)〕。圖16-1要點如下：以郵件中含有的收件人E-Mail地址和發(fā)件人E-Mail地址為過濾條件，根據該過濾條件的匹配規(guī)那么觸發(fā)對郵件附件的解密動作；詳細規(guī)那么設置如下：開關功能開關1：全部不解密開關2：全部解密開關3：按照規(guī)那么解密按照規(guī)那么設置解密的具體規(guī)那么如下：規(guī)那么1： 一對一的規(guī)那么設置： 發(fā)件人： 收件人： 規(guī)那么： 允許發(fā)送此時進行附件解密，并轉發(fā)所截獲的電子郵件。規(guī)那么2： 一對多的規(guī)那么設置即： 發(fā)件人： 收件人：;;; 規(guī)那么： 允許發(fā)送此時進行附件解密，并轉發(fā)所截獲的電子郵件。規(guī)那么3： 一對全體的規(guī)那么設置即： 發(fā)件人： 收件人：ALL 規(guī)那么： 允許發(fā)送此時進行附件解密，并轉發(fā)所截獲的電子郵件。規(guī)那么4：如果規(guī)那么1、規(guī)那么2、規(guī)那么3均不符合那么附件不解密，直接轉發(fā)所截獲的電子郵件。郵件策略使用時的注意點：當收件人中即有白名單郵件地址〔許可的〕和黑名單地址〔未許可的收件人〕時，郵件附件將不被解密；郵件附件必須為原文件格式，不能是壓縮格式或其它；策略靈活現有策略庫中集成了制造業(yè)行中常用的近100種