2.1基于角色的用户权限管理.docVIP

ERM产品目 录 一、引言 1 1.1 文档目的 1 1.2 适用范围 1 二、产品技术特点 1 2.1 基于角色的用户权限管理 1 2.2 安全的身份认证管理 2 2.3 驱动级的透明加解密应用 3 2.4 严密的剪贴板防护技术 4 2.5 灵活的策略管理 5 2.6 细粒度的文件权限管理 5 2.7 全面的日志审计管理 6 2.8 自动的文件备份管理 6 2.9 健壮的客户端系统 6 一、引言 1.1文档目的 思智泰克公司在ERM（企业权限管理Enterprise Right Management，以下简称“ERM”）理念的指导下，开发出了针对于企业级应用的信息安全管理系统——思智ERM系统。 思智ERM系统是针对于企业级的信息安全管理系统。本系统通过对企业中各类机密数据信息的加密安全保护，可以显著提高企业中核心数据。主要功能：确保公司重要研发资料只能在公司局域网内使用，即使文档设计者也不能将其带走。 实现方法：采用强制加密方式：文档只要一打开就会被加密。文档被加密后，无论通过Email、FTP、QQ、MSN、USB盘、等方式发送到外网，都无法打开文档。 适合的文档类型：可以保护的文档包括：AutoCAD、SolidWorks、Pro/E、MS-Office、PhotoShop等。能在Windows上运行的文档，都可以保护。 使用方便：不改变文档格式，不影响原来使用习惯，原来怎么用，现在就怎么用。 于实现了用户与权限的逻辑分离，基于角色的极大的方便了管理。角色权限之间的变化比角色用户关系之间的变化相对要慢得多，并且用户到角色不需要很多技术，可以由管理人员来，而配置权限到角色的工作比较复杂，需要一定的技术，由专门的来承担，但是不给他们用户的权限，这与现实中情况正好一致。用户的职位发生变化，只要将用户当前的角色去掉，加入代表新职务或新任务的角色即可对用户身份认证是安全建设的基础。只有首先区分出哪些用户是经过授权的，并且只允许经过授权的用户登录内部网络和访问关键的数据信息，才能做到安全的安全性。如果不对用户身份进行安全认证，对任何人都开放权限的话，那么企业和机构将面临巨大的安全威胁和风险。通过部署，企业可以确保只有被授权的用户可以进入内部网络，使用内部网络的资源。在内部网络的结构中，计算机终端既是主要的组成部分，也是进入内部网络的入口。所以，我们在对内部进行管理时，首先要做的就是加强对终端登录的安全管理和控制。用户只有，才进入企业内部网络避免企业泄密事件的发生。 思智ERM系统应用思智先进的数据加密技术，对数据进行安全保护。类型。整个加密过程安全、简便、快捷，不会生成任何可能泄密的临时文件，对用户的操作也不会产生任何影响。当用户后，被加密保护的文件可以像操作普通文件一样，文件的加解密转换完全在系统后台完成。并且，在任何存储介质中，被加密过的文件将始终保持加密格式，只有授权用户才能进行解密和应用。 作为防止用户主动泄密的重要环节，思智ERM系统提供了剪贴板保护功能。系统将受透明加解密模块保护的应用程序作为受信进程，其它应用程序作为不受信进程，受信进程内及受信进程之间，基于快捷键、鼠标右键、拖拽操作等各种方式进行的拷贝、剪贴操作，将不受任何限制；对从不受信进程到受信进程的拷贝、剪贴操作也不受限制；但系统禁止任何方式的从受信进程到不受信进程的拷贝、剪贴操作。 见下图所示： 图2-4 2.5灵活的策略管理 管理员需要根据企业的管理制度，在控制台设置相应的管理策略。设置之后应用于企业的员工，才能够达到管理的效果。 文件安全类策略包括： 维护及应用“透明加解密策略” 维护及应用“文件解密策略” 维护及应用“离线文件访问策略” 系统维护类策略包括： 维护及应用“任务栏图标显示策略” 维护及应用“硬件设备使用控制策略” 维护及应用“组间隔离策略” 维护及应用“加密文件图标显示策略” ......................... 详细策略内容请查看《策略说明》。 2.6 细粒度的文件权限管理 思智ERM系统在透明加解密技术的基础上，还可以提供对文件的共享及共享文件更细粒度的权限管理。 通过共享文件访问权限的设置，灵活的实现对共享文件“只读”、“打印”、“编辑”、“复制”、“共享时限”等细粒度权限的控制。 支持企业已有的文件权限管理方式，同时可以在原有企业文件权限管理系统得基础上，对文件强制透明加密保护。 文件在共享和分配权限的过程中，不会改变原有文件传输和共享的方式。 提供文件共享的过程中，不论用户采用何种文件共享的方式，都可以利用ERM系统的文件权限管理功能，对文件共享进行权限设置，不影响企业原有的文件共享的操作习惯。 2.7 全面的日志审计管理 日志审计管理能够全面记录： 客户端、控制台的运行状态。 对