GS-DES技术白皮书.docVIP

杭州浙大大天信息有限公司 Hangzhou Zhejiang University Greatsky Information Co.,Ltd. 大天图文档安全系统 技术白皮书 杭州浙大大天信息有限公司 2006-06-30 系统概述 系统设计理念 众多单位均面临这样的问题：企事业单位有很多重要的信息资料，比如说财务报表、技术机密、核心文件等，企事业单位不希望这些内容能够轻易地离开企业的网络环境，甚至不允许在企业网络内部传递与交流，我们该采取什么防范措施？现代企业不能拒绝互联网的呼唤，不能将企业封闭在一个信息孤岛。许多企业，例如：军队、政府、金融机构、高科技研究所等企事业单位，经常使用网络来提高工作效率。但使用者在这样的环境下，可以随便上传下载和发行网络中的文件。很轻松地把企业的许多重要信息流通到网络外部，从而使企业重要的知识产权受到严重侵害。 为了防止文件泄密，以往的手段也是用加密的方法。在中国市场上像这样防止文件泄露的文件加密软件类产品很多。但几乎都是用户对自己的计算机上的文件进行加密，然后只有本人可以利用的方式。但在网络环境下，很多时候都是大家共用很多文件。那么如果只有本人才能利用自己加过密的文件的方式，就会有很多麻烦。例如：如果其他人想利用加密文件的话，就不得不告诉他密码。一旦告诉了他密码，对方就会拥有了文件操作的所有权限。这样既达不到保密的效果，又影响了正常的工作效率，公司内网安全的优势也就得不到发挥。所以当前的加密软件产品已经满足不了内网安全新的需求。 大天图文档安全系统（GS-DES）可达到防止文件泄密的目的。一旦安装有GS-DES安全系统的终端，使用者所生成的重要文件将自动加密保存。管理者可控制使用者的读取、存储、复制、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。杜绝利用优盘、软盘、光盘、电子邮件轻易地拿走公司的高科技技术文件、事业计划书、设计图稿、会计帐目、战略计划书、研究论文等重要机密文件。大天图文档安全系统主要实现以下安全管理理念及功能： 事先防御：所有重要数据都以加密形式存在，防止一切人员包括文档作者对企业数据的泄密与扩散。做到拿走了，用不了。 事中控制：周密考虑文档操作者包括文件作者的不规行为，如另存、复制、邮件发送、打印、拷屏、OLE等操作，严格控制文档的扩散。做到谁能干，要授权。 事后追踪：通过日志记录管理端的加解密操作及客户端对文件的各种操作。做到谁干过，有记录。 GS-DES主要功能 大天GS-DES文档安全管理系统改变了传统意义上的文档安全保护模式，在保证文档安全使用的同时控制了文档相对于不同用的使用权限，实现了文档的不同程度的安全共享。 客户端控制功能 动态加密，无须输入口令，在文件打开、保存、另存、导入、导出、OLE插入等操作时，动态、实时加密受控文件。 离网绑定，客户端离网绑定授权后可单机运行，方便外出应用。 多进程保护，客户端卸载须授权，主进程不可见，且可防第三方杀进程工具。 OLE控制，支持不同应用程序间的OLE操作权限控制，防止OLE复制、OLE链接、OLE插入等扩散渠道。 打印控制，控制每一台计算机的打印功能，防止用户打印到打印机、打印到文件、打印到虚拟打印机等扩散渠道。 复制控制，支持不同应用程序间复制的操作权限控制，防止内存复制、粘贴进行扩散。 拷屏控制，支持拷屏功能权限的控制。 FTP控制，防止受控应用程序内部通过FTP方式保存进行扩散。 邮件控制，防止受控应用内部通过邮件方式发送进行扩散。 自动备份，支持受控文件的自动备份。 操作日志，记录所有对受控文件的操作日志。 集成控制，通过配置可与第三方OA、PDM集成。 管理控制台功能 批量加解密，支持对本地磁盘文件和网络共享文件的批量加、解密，支持对整机、某个磁盘、指定文件夹、指定文件、指定后缀的初始化工作。 过滤器，可配置需要加解密文件的后缀，便于批量加解密。 用户管理，提供系统管理员、安全管理员、日志管理员登录功能，便于分级管理。 重新登录，可按不同管理员角色重新登录。 密码修改，系统管理员可修改所有管理员的密码，其他管理员只能修改自己的密码。 子盘制作，企业管理员可配置客户端受控应用程序范围以及控制权限，并制作子安装盘，包括客户端与管理端。 计算机监控，可新增、删除组织，可动态扫描添加所管理的计算机，可查看每台计算机状态，包括是否可安装、是否已安装、操作权限、客户端授权形式、客户端版本、离网绑定状态等。 客户端远程分发，可远程安装、卸载、更新客户端程序。 管理端远程分发，可远程制作管理端许可，远程安装、卸载、更新管理端程序。 客户机离网许可，可远程提取客户机机器指纹，制作并管理离网客户机许可。 客户机离网策略，可授予客户机离网使用的时效与次数许可，对网络版客户端可设置定期联网激