企业信息安全需求
随着企业信息化的加速,大量的电子文档作为承载信息的媒介成为特殊的关键资产,而电子文档的易传播、易扩散性决定了它的不安全性。现在,以电子文件为主的内部泄密正在成为重要部门数据安全的最大威胁之一,信息安全的主要隐患已经从外部入侵逐渐转变为内部人员使用信息的不可控性上。除网络安全、应用安全外,信息安全是我们更应该关注的。在保证安全性易用性的同时,企业通常希望产品能够解决如下问题:
1.具有信息强制加密的能力,以防止内部员工主动泄密;
2.灵活的配置策略,方便定义加密什么不加密什么;
3.计算机在离网情况下,不会造成加密内容泄露;
4.在特殊情况下能解密某个文件,以便和外部协作单位进行文档交互;
5.能够与现有的业务系统(如OA、PDM)结合,提高业务系统的安全性;
6.内部个别高级别员工或项目组产生的重要文档只能在一定范围内被查看;
7.在内部灵活使用的外网条件下,加密文档不会被随意发出去或即使发出去也无法查看。
企业数据保护整体解决方案
对企业的实际需求分析以及企业的组织架构及拓扑分析,管理员需要通过以下部署应用来满足其安全需求:
1.建立多级的组织结构树
大企业由多个子公司组成,各子公司相对独立,但确还有文档交互需求。所以部门树一级节点为各子公司,各子公司下再建立二级部门。各一级公司互访属性为隔离,保证了各公司内部文件的独立。子公司间需要交互的文档通过授权方式解决。
2.建立用户,并制定审批员
以人员姓名为基础建立用户,每个二级部门指定一名或多名审批员。
3.“内网环境下AutoCad图纸文件、Office系列文件安全保护”需求部署应用过程:
根据企业信息安全管理者关心的AutoCad图纸文件格式,系统管理员通过系统控制台提供的策略库,下发 “AutoCad系列透明加密”策略和“Office系列透明加密”策略,这样应用该策略的所有员工,只要操作在本策略定义范围内的AutoCad图纸文件格式和Office系列文件格式,AutoCad图纸文件和Office系列文件就强制被自动加密。
作为防止用户主动泄密的重要环节,祺安系统提供了剪贴板保护功能。用户默认下发禁止密向非密粘贴策略。系统将受透明加解密模块保护的AutoCad、Office文件的应用进程作为受信进程,其它应用程序作为不受信进程:在受信的AutoCad进程、Office应用进程之间,基于快捷键、鼠标右键、拖拽操作等各种方式进行的拷贝、剪贴操作,将不受任何限制;对从不受信进程到受信AutoCad进程、Office进程的拷贝、剪贴操作也不受限制;但系统禁止任何方式的从AutoCad、Office受信进程到不受信进程的拷贝、剪贴操作。
4.“离线环境下机密AutoCad图纸文件、Office系列文件安全管理”需求部署应用过程:
根据企业实际的业务流程和工作习惯,系统解决方案提供了灵活的离线文件的安全使用策略。具体离线设置和应用如下:
安装系统的用户即使离线也能够安全使用企业的加密文件。通过控制台设定文件的离线使用策略来保护离线使用文件的安全:
“离线打开本人加密文档”
“离线打开共享给自己的密文”
“离线打开授权给自己的密文”
这样即使出差在外的员工,或者在企业以外办公的员工,都能够访问笔记本上受企业保护的机密文件。同时能够保证这些离线员工访问企业的文件安全,不会在企业内网之外,把企业的机密文件泄露,从而保证离线文件的访问安全。
5.外发文件权限控制需求部署应用
在企业内部外发文件管理员的机器上下发手动外发策略。需要外发的文件统一由此管理员审核允许后,使用制作端将其制作成加密文件。
制作加密文件的过程中,需要确认认证信息,即要求指定计算机可以打开加密文件、任意计算机插入指定U盘可以打开加密文件、指定计算机插入指定U盘可以打开加密文件。
将此加密文件通过任意方式传输给协同厂商。安装了阅读端的计算机使用上述认证方式,即可打开加密文件,同时确保文件不被二次流传。
6.移动存储介质控制需求部署应用
为企业大部分用户下发禁止使用移动存储介质策略,每个部门保留1至2人允许使用移动存储介质,部门需要通过移动存储介质交互的文档固定通过少数人拷贝。
7.文档备份需求部署应用
在策略管理下的自定义参数下,配置文档备份参数即备份文件的类型(*.doc、*.docx等),备份的周期,历史备份数量。在策略下发的系统设置下下发文档本地备份及文档远程备份策略及自定义参数的文档备份。
8.文档申请解密需求部署应用
建立多级的解密审批流程,推荐为每个二级部门建立一个审批流程,每个审批流程建立组长、部门领导二级审批,每级指定3名审批员,并设置多选单批策略。将建好的部门审批流程应用到指定部门下的所有用户。
在策略管理下为个别有解密需求的用户下发申请解密权限。
下发了申请解密的用户,可以申请解密加密文档,得到审批员的同意回复后才能真正解密。
9.隔离个别部门文档,只有部门内部人员才能查看修改
在系统管理下的互访设置下,设置指定部门互访属性为隔离状态。部门下的用户为互访状态。设置成功后,能达到如下效果:
该部门的重要文档,其它部门的人员无法查看;
该部门内部员工,能互相修改查看部门内的加密文档。
10.与企业OA或PDM集成应用
在一个指定机器上部署产品网关模块,并配置网关设置;
在策略管理下的网关模版下,配置访问OA的进程、OA及代理网关的IP及端口。
将网关模版策略应用到要访问企业OA的客户端。
配置好策略后,达到的效果是:
用户启动进程能正常访问企业OA或PDM;
在OA中上传的文档自动解密、下载自动加密;
方案功能特点
1.支持OFFICE、 各种CAD、PROE、PDF等多种软件的透明加密保护;
2.提供便捷可靠的文件解密审核流程管理,要能支持多级审批,能指定每级审批员的数量,以便个别审批员不在岗位上时也有人能回复;
3.打印监控,要能记录打印作业、特别是加密文档的打印作业,做到可查询打印了哪些加密文档。要能禁止指定用户使用打印机。
4.重要用户要控制文档的查看范围、使用范围;
5.对重要数据信息进行可恢复性备份,若本地数据遗失,可通过备份进行及时恢复;
6.安全性保证,要能控制加密进程向非加密进程通过剪贴板拷贝文件,能控制加密文件另存操作也是密文。
7.能审计文档的基本操作,供事后备查;
8.文件发给第三方可控,防止二次传播;
9.管理员三权分立,避免二次泄露;
部署效果
系统帮助用户确保电子文档信息的完整性和保密性,使得重大安全事件能被及时定位处理,有效控制了内部人员有意无意的信息泄露行为,防止企业内部重要信息的泄漏和扩散。
帮助企业规范文档权限,提升内网信息安全等级
构建内部信息综合管理平台,有效解决内网安全管理问题
加强对重要文档保护,防止资产泄露造成的各种损失
以客户为中心,策略灵活定制
透明支持企业业务流程中,文档流转的完整性及保密性
方案优势
祺安电子文档安全管理系统是根据企业的实际需求,结合多年来从事企业信息化工作的实际经验,以基于文档加密控制为核心,全面采用先进的研发技术打造的企业文档数据安全平台。系统从数据产生的源头抓起,不依赖于对任何传播途径的控制,就可以从根本上达到对企业文档数据的有效安全保护与管理,杜绝了企业重要文档数据外泄的可能。方案优势如下:
1.稳定可靠的软件架构
作为企业的基础应用平台,"系统稳定性"是一个最根本的指标,主要分为两个方面:一是作为服务器系统及客户端软件运行的稳定性,特别是对大负荷状态的支撑能力;二是客户端文档加解密过程的稳定性,因为一旦加解密的过程出现问题,将直接导致文档的损坏。
祺安电子文档安全管理系统首先非常注重系统的稳定性。拥有绝对领先的加密内核,底层设计是真正的LAYER FSD架构,具有特殊的相对独立的文件系统独立的缓存控制机制,体现在加解密的高稳定性和可靠性上。文件数据保存按位校验,不再依赖于WINDOWS自身的文件系统,所以兼容所有杀软。不依赖于WINDOWS缓存管理,不用强行刷缓存,所以告别文件的损坏。
独创的加密文件增量保存技术,加密文件编辑后保存,采用了全新的序列模式,加密文件保存数据在磁盘上存储在上一次数据文件的后方,保存动作彻底完成后,才会合并加密文件,能根本保证加密文件的完整性。即使文件在加密保存过程中突然断电,我们也不会造成任何数据的损坏,这点是以前的加密软件无法突破和实现的。假设一款应用软件在未安装加密系统时自身突然一场或断电就会坏文件,装上加密系统后我们也保证这个软件的数据不会损坏。
2.安全严谨的操作功能
对于企业的数据安全要求,我们首先要分析的是数据安全应包括哪些内容。当然,首先会想到的是如何防止文件带出企业后还能继续使用的问题,但要真正使企业的数据得到良好的安全保护,还必须注重数据使用范围可能被非法扩大以及系统可能存在的安全漏洞等问题,因为任何一个隐患都会存在企业重要数据被不断外泄的可能。因此,作为涉及数据安全的产品,每个功能的安全性与严谨性就显得尤为重要!
对于此类安全产品的研发,公司非常重视系统功能的安全性与严谨性,在受控文档的创建、编辑、保存、传递、共享等每一个环节中,任何一个细微的功能都经过了反复的论证与测试。每一个功能的使用,都将在系统的精细控制下进行,不会存在数据使用范围会被非法扩大的可能,更不会存在由于功能规划缺陷所带来的安全隐患。达到了对企业不同安全级别数据实现分级安全管理的目的,真正实现了"只有适合的人员,在适合的时间,才能以适合的方式,使用适合的文档数据"的控制效果。
3.完善灵活的多级管理体系
祺安电子文档安全管理系统拥有一套完善、灵活的多级管理体系,不仅可以实现企业内部的精细化管理,同时对集团级的应用模式也提供了良好的支撑能力。与其他类型的管理系统一样,祺安文档安全安全系统采用了角色权限的控制体制,对于不同保密类别的文档都可以按照角色进行精细的使用权限控制,同时也可以将客户端的操作权限以策略的方式细化到每一个账户,针对每一个用户对于不同安全级别文档的使用都能够在系统权限体系的精确控制下进行。同时,系统对于受控数据在跨专业组、跨部门、乃至跨公司的复杂共享交流环境中,也可以通过系统的权限体系得到精细化的控制,同时在数据交流过程中也避免了管理人员与使用人员还需要对具体受控文档的使用范围及权限进行再次定义的繁琐操作,不仅大幅度减少了管理人员与使用人员的工作量。同时也解决了允许授权的人员及环节过多,无法得到切实有效控制的问题,完全可以避免由此造成的受控文档使用权限被随意放大所带来的安全隐患。
4.与企业管理思想的高度融合
不同企业对数据的安全管理思路都不尽相同,对于不同安全级别的文档的使用范围及使用权限都会有着自己的管理逻辑与管理方式。作为一个以实现企业数据安全为目标的管理平台,只有能够将企业的管理思想完全融合到系统的控制体系中,才能真正适应企业的实际需要,既不能影响工作效率也不能造成企业数据被泄露的风险,以达到在数据安全的前提下对企业已有数据资源进行高效充分利用的目标。
祺安电子文档安全管理系统具有一个高度开放的完善的管理体系,可以完全按照企业对数据安全管理要求构建系统的控制体系,能够充分适应不同企业的数据安全管理需要。同时,祺安电子文档安全管理系统的管理体系框架与国际主流的产品数据管理系统一致,而且可以达到更加精细的控制能力,可以与企业的各类数据管理系统的管理方式一脉相承,从而达到企业对核心文档数据在创建、更改、存储、传递直至废弃等全生命周期中进行统一化、规范化、精细化管理的目标。
5.简单易用的操作
文档安全系统是企业广泛使用的数据安全管理平台,会涉及到企业的很多部门及人员。因此对于系统的使用方式,应尽量贴近用户现有的使用习惯。祺安电子文档安全管理系统在客户端操作习惯方面,达到了与WINDOWS系统高度的一致性,透明使用。并全部采用了人性化设计,达到了在保证企业数据安全的前提下,使用户几乎感觉不到系统客户端存在的良好效果,例如:
对受控程序的打开、保存等操作方式没有任何改变,文档安全处理过程均由系统自动完成;
在任何操作中,都不会带来原有文件后缀的改变,更不会给用户带来额外的操作;
与 WINDOWS 的使用习惯完全一致,加密属性信息的查询及更改全部集成在资源管理器的右键菜单中,无需专门学习掌握;
任何部门内部、跨部门、甚至与企业以外合作伙伴间的正常密文交流都不需要进行额外处理,直接传输即可。各种人员对不同类型文档的使用权限,都将根据企业制定的安全保密规则,由系统自动判断并进行控制,达到了较高的智能化水平,无需单独设置;
充分考虑到了多种应用方式(在线应用、离线应用、远程应用、外发应用等),并结合祺安独有的智能优化控制体系,达到了在各种应用环境下都能确保用户在企业安全保密规则范围内正常使用受控文件的效果。
6.长期广泛的适应能力
数据安全管理系统作为企业信息化建设的基础平台,必将在企业中被长期使用。因此,对不断变化的企业信息化环境及需求,系统的适应能力也是非常注重的研发指标。作为电子文档安全管理系统,公司重点考虑了对操作系统升级的适应能力、对企业应用软件新购及升级的适应能力、对企业其他管理系统的支持能力、对企业数据安全管理要求不断变化的适应能力等多方面因素的影响。系统全面采用微软确认支持的最先进、最成熟的研发技术,确保产品研发的可持续性;并提供了如矩阵式精细权限控制体系、受控程序自定义配置环境、客户端策略及密级维护工具等多种完善的用户定制功能,达到了整个系统高度的开放性和可维护性。企业自己就可以随时根据实际需要,对系统进行全方位的调整,以满足企业在不同时期对文档安全系统的不同要求。