Secure文档安全系统技术解决方案.doc

SecureDOC文档安全系统技术解决方案　　一、应用背景 　　随着Internet技术的高速发展，企业、政府等组织信息化的建设也逐步得到推进。电子文档是企业信息存储的主要方式，是企业内、外部之间进行信息交换的重要载体。现在黑客、木马和员工泄密等是信息安全的主要威胁。如何最大限度的保护电子文档的安全性、完整性，也开始越来越受到企业的关注与重视。 　　网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。 据调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，在各种安全漏洞造成的损失中，30% - 40% 是由电子文件的泄露造成的，　防火墙或专网，可以防止外部人员非法访问，但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。这种二次传播就是造成电子文档泄密的主要途径。 　　二、解决问题 　　那么怎样才能防止电子文档的传播泄密呢?这就需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护。 　　防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限(包括：阅读、打印、保存、另存为、打印、截屏等)，并且实时权限回收，防止离职或辞职人员泄密。 　　1. 防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限(包括：阅读、打印、保存、另存为、打印、截屏等)，并且实时权限回收，防止离职或辞职人员泄密。 　　2. 为电子文档的泄密提供了追查依据。从而判断泄密事件的问题所在，以方便快速的采取有效的相应措施。 　　3. 适用于各种文档管理方式，同一文档对不同人的使用权限不同，体现了管理层次; 　　4. 为机密电子文档的管理提供了一套有效的管理办法，解决了信息系统使用方便性和安全可控性，为深入信息化建设提供了技术保障。 　　5. 不限制网络和移动存储设备的正常使用 　　采用密钥和文档分离管理技术，密钥与密文分离存储,密钥的下放与解密由系统控制。企业核心文件，进行驱动级加密。只有通过文档安全系统的强身份认证之后，才能获取密钥，对机密文件进行解密。否则，拷贝到的是加密后的文件，无法使用。 　　6. 确保员工移动办公使用机密文件的安全 　　提供员工在离线状态下使用密文文件的服务。离线状态下，仍然可以控制文档的操作权限和使用时间。 　　7. 记录用户对文件的使用情况 　　文档安全保护系统可以详细记录管理员和用户的操作日志，并上传到日志数据库中，以便于事后进行审计。 　　8. 文档安全保护对用户透明，原有的使用流程和习惯不变 　　文档安全系统对用户透明，加密的文件不改变文件的格式，不改变文件关联的应用，最大限度的保留原有的文件使用习惯。 　　9. 保护个人文件 　　对个人私有文件进行加密，防止被别人获取。 　　三、系统体系架构图 　　SecureDOC文档安全系统分为CA中心、客户端、服务器端和数据库四个组成部分。系统的体系架构图如下： 　　四、系统功能架构 　　4.1. 系统功能架构图 　　SecureDOC文档安全系统功能结构图： 　　4.2. 主要功能介绍 　　4.2.1可靠的身份认证 　　身份认证是整个信息安全体系的基础。USB智能卡身份认证方式充分结合了挑战-响应机制和数字证书加密、数字签名机制，增强了认证信息的随机性、保密性、真实性，有效地防止了认证过程中的机密信息泄露、窃听和重放攻击，保证了身份认证的高度安全性和可靠性。 　　4.2.1. 文档自动加解密 　　SecureDOC文档安全管理系统采用业界领先的驱动级文档加解密控制技术，通过对操作系统底层操作的监控，阻止任何未授权的文档操作行为;同时，任何对指定格式文档的创建、修改和删除操作也将被监控，可以实现文档创建之后的自动加密、按默认密级授权、文档浏览自动解密等功能。 　　自动加解密的过程对用户来说是完全透明的，不改变用户的操作习惯，也不影响合法用户的正常使用。 　　采用驱动级的自动加解密技术，解决了一般文档加密技术的一大缺点：即需要将文档转换成专有加密文件格式，用户需要专门的客户端才能使用。采用这种技术不需要用户安装额外的软件，不改变用户使用习惯，也消灭了文档格式转换这个需要用户操作的过程，便利了用户的使用。 　　自动对文档进行加解密，可以确保电子文档只能在授权的应用环境(计算机、服务器等终端)中，被授权的用户(文档的作者，以及授权解密者)解密和应用，从而有效控制了电子文档的应用范围。这时，即使有些不法分子通过一些特殊手段绕过了身份认证系统而进入体系，也无法将文档或具体内容带到授权环境之外。同样，系统内部的人员将加密的电子文档带入到其他环境中一样无法应用和解密。 　　4.2.2. 权限实时控制 　　通过身份认证和数据加解密技术，非授权的用户已经无法获取企业和机构内部的电子文档，但是这并不能完全杜绝电子文档