鑫信文档安全管理解决实施方案.docVIP

鑫信文档安全管理系统解决方案 PAGE PAGE 8 鑫信文档安全管理系统解决方案 第1章 需求分析 1.1需求背景 随着计算机、存储设备及网络的快速发展，企业内部及企业间数据交流的日益频繁，电子信息已经成为企业重要信息载体，企业的沟通方式也越来越多样化，如邮件、即时消息、移动存储等等。使得在提高我们工作效率及质量的同时，也带来了新的问题： 技术人员频繁的流动，如何保证企业中核心的技术资料不会流失? 人员出差、加班需要带走大量的企业核心数据，如何保证不会泄露出去？ 企业间的合作越来越紧密，如何保证给到合作单位数据的安全？ 如何防止内部人员有意或无意中造成企业的经营、财务等机密文件扩散？ 超级黑客突破防火墙是否就可以拿到核心的数据？ ... ... ??对于这些困扰，仅依靠外部访问控制、内外网物理隔离等封堵信息传递方式及传递途径的方法，已经不能保证企业信息的安全，特别是对于可以接触到企业数据的人员能够轻松地将计算机中的机密信息通过各种方式泄露出去，这种数据流失给企业造成的损失是致命的，也是更难防范的。由于电子文档便于携带和传播，一台笔记本电脑、一张软盘、一个U盘、甚至一封电子邮件都有可能将绝密的电子文档轻易的复制、非法带离。近年来发生的文档泄密事件都在警示我们：文档安全问题不容忽视、文档安全保护刻不容缓！ 因此，如何在企业间更广泛的合作、信息技术高速发展及人才频繁流动的今天保证企业信息安全，又成为了企业新的安全控制方面的难题。 1.2需求分析 政府机关、企事业单位需要一套系统来保护电子文档的安全。这套系统要填补网络安全系统在文件保护层面的空白，这套系统还需要能与用户的文档安全制度配合，通过系统落实单位指定的文档保护制度。在不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的文件进行强制加密保护，并对文件的使用进行全程监控，有效防止了被动和主动泄密，消除内部安全隐患于无形之中。 文档安全系统需要具备以下功能：防止重要文档被非法带离单位、防止由于文档载体丢失造成的泄密、防止文件越权使用、记录涉及文档安全的各种信息。 第2章 文档安全性技术分析 2.1当前文档安全性技术 文件安全性问题已成为当今信息科学领域最重要的课题之一。 目前，解决这个问题的主要技术手段有两种，一是利用应用层HOOK（钩子）技术，对windows提供的文档操作函数（API）及由文件操作所触发的windows消息进行HOOK，经过适当的处理达到预期的目的，缺点是效率低、稳定性和一致性差，不适合于大型系统的开发，随着应用程序的升级、文件格式的变化、使用范围的变化程序也要跟着更新；另一种是开发文件过滤驱动程序，文件过滤驱动程序作为一种内核态中间层驱动，不需要改变下层驱动或用户程序而增加新的功能，具有效率高、可靠性强、可扩充等特点，能灵活地通过设置受保护的应用程序即可适应新的应用环境变化，缺点是核心层开发难度大。 2.2 鑫信文档安全性技术 鑫信文档安全管理系统是采用文件系统过滤驱动加解密技术，该技术是在操作系统内核中，文件系统之上的数据加解密技术，它是利用开发过滤驱动来实现文件系统功能扩展的技术。它属于操作系统内核程序，和文件系统紧密结合，为用户提供加解密服务。 鑫信使用真正的动态透明加解密技术，系统读取多少就解密多少，写入多少就加密多少，不论文件有多大加解密时感觉不到差异，加解密带来的效率损失可以忽略不计。在加解密过程中，不会产生任何临时中间文件，文件一直保持加密状态。授权程序产生的任何文件都会被加密，包括编辑的文档、临时文件、配置文件、导出的文件、打印到的文件、另存为的文件等等，加密策略和文件后缀无关。 第3章 鑫信文档安全管理系统概述 由于企业的电子文档数据的传递途径与手段日趋先进，仅通过堵的方式必然存在一些漏洞，造成数据的泄露。因此，该系统从最基本的电子文档本身进行控制，通过对文件加密的方式，并结合完善的权限控制手段，使有权限的人员使用这些文档没有任何感觉，而没有权限的人员或非法用户无法正常打开。 系统从数据源头进行控制，不依赖于对网络、端口、邮件、消息系统等传递途径的控制，综合加密技术、权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子文档进行保护，从根本上达到了企业文档数据即使流到了企业外部也无法使用的效果，真正杜绝了文档信息外泄的可能。 在服务器上（其他客户机可以和它通信的电脑）安装鑫信文档加密系统服务器软件，然后在需要使用共享文件的电脑上安装客户端软件。使用管理控制程序在服务端上创建若干终端帐户，终端使用这些帐户登入。只有安装了鑫信客户端的电脑在登入帐户后才可以使用或查看加密的文件，离开局域网后需要使用或查看加密文件需要得到服务端的解密或者授权才可。 如有内部文件需要外发，可以向上级申请授权，审批人