时代亿信文件盾系列产品.ppt

高强度的文件透明加解密 精确的可信进程管理 细粒度的文件权限控制 动态的文件权限管理 便捷的文件授权方式 详细的文件操作审计 完善的产品安全机制 文件盾产品功能特点 （一）高强度的文件透明加解密（1） 采用驱动级透明加解密技术 不改变文件扩展名 不改变文件关联程序 不改变用户使用习惯 使用中不产生明文文件 采用128位AES对称加解算法（可替换） 采用一文一密，密钥随机且每个文档的密钥不同 密文和密钥分离 密钥在服务端加密存储 客户端通过加密通道从服务端获取文档密钥和权限 文件盾产品功能特点 （一）高强度的文件透明加解密（2） 文件的加密方式 根据需求手工加密 设定某类应用程序自动加密 文件的解密与保护 解密只在内存中进行，不在磁盘上产生明文文件 对内存中的解密信息进行保护，防止内存拷贝 驱动级透明加解密与具体的应用程序和文件格式无关 支持常用的应用软件和文件格式 文件盾产品功能特点 （二）精确的可信进程管理 对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式，从而阻止木马等未受信进程对文件的非法访问 应用程序只有被添加为可信进程，才能访问相应类型的密文文件 支持远程桌面下的可信进程识别和管理（支持vmware、citrix虚拟化产品） 文件盾产品功能特点 （三）细粒度的文件权限控制（1） 电子文档安全客户端在用户终端的操作系统层面控制文档的操作权限，不依赖具体的应用软件，无论在应用系统流转过程中还是在用户本地计算机，加密文档始终处于受控状态。 可控制的权限包括： 阅读——控制文档是否可以阅读 编辑——控制文档是否可以被编辑保存 复制——控制剪贴板，防止文档内容通过剪贴板复制 打印——控制文档打印及打印时是否加入水印 截屏——对常用的截屏软件和屏幕录像软件进行控制 延伸出来的权限控制： 分发——控制文档是否可以再授权，控制文档的流转范围 离线——控制文档是否可以脱离指定的企业办公环境使用 外发——控制文档是否可以发送到企业外部机构、客户、合作伙伴 脱密——控制文档是否可以被脱密 文件盾产品功能特点 （三）细粒度的文件权限控制（2） 文件权限控制高级策略： 智能卡绑定 ：绑定USB智能卡身份识别 主机绑定 ：计算机主机信息（IP、MAC、机器唯一标识） 时间控制策略 ：可使用的时间段 分发高级策略 ：可分发哪些权限 离线高级策略 : 离线可具有哪些权限 外发高级策略 ：外发可设定哪些权限 文件盾产品功能特点 （四）动态的文件权限管理 多种文件授权渠道 文件作者在文档安全保护客户端（SDClient）进行授权 文档管理员在文档安全管理服务器（SDMS）进行授权 具有分发权限的用户在文档安全保护客户端进行授权 通过集成服务接口在文件流转过程中自动授权 用户自助权限申请，由相应用户或文档管理员审批 权限的追加/撤销 可以通过上述渠道，随时对用户的文件操作进行授权、权限追加、权限撤销，而无需对文件本身进行回收、修改和重发 文件盾产品功能特点 （五）便捷的文件授权方式 授权对象定义 对用户授权 对组织机构授权 对用户组/角色授权 批量授权方式 权限模板 批量设置 文件盾产品功能特点 （六）详细的文件操作审计 日志数据 记录用户的在线文档操作日志和离线文档操作日志 日志类型包括：登录认证日志、文档授权日志、文档操作日志等 日志内容包括：操作人、IP/MAC地址、操作及操作对象/内容、操作时间等 审计监控 将管理员、用户、主机客户端均纳入审计监控范围 文件盾产品功能特点 （七）完善的产品安全机制 可信身份认证 除用户名/口令认证外，支持USB智能卡数字证书认证 三权分立的管理机制 管理员分为系统管理员、文档管理员、审计管理员 三者自成体系并相互制约，分别完成系统管理维护、文档权限管理、管理行为审计 客户端与服务端之间的安全通讯 客户端与服务端之间采用了HTTPS加密通道，保证了文件密钥和文件权限信息获取的安全性 文件盾产品功能特点 介绍内容 文件盾如何解决问题 电子文档安全现状 技术架构及特点 文件盾产品体系 典型案例 2007年以来，文件盾产品陆续在中国电信集团公司总部以及天津、海南、湖南、山东等省级电信公司成功进行了部署和应用，与基于Domino、J2EE的各类OA系统进行了集成，实现了OA公文的可控流转、受控使用和追踪审计。 实施效果： 重要文档根据密级自动加密 密级文档在OA系统流转过程中自动授权 密级文档在OA系统流转过程中以及在本地操作过程中全程受控 密级文档“看到的内容拿不走”，“拿走的文档看不了”，“文档操作可追踪” 既保证了合法用户对密级文档的合理