中科数安 | 企业数据加密、桌面管理、行为审计、企业防泄密系统解决方案！

---

---

1. 需求分析

（一）企事业单位需重点防护的办公文档资料

l 金融机构：许多敏感信息需要严格控制，防止商业秘密泄露的办公文档（融资/投资信息、董事会决议、大客户信息、上市公司中报/年报等）。

l 制造业：价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同定单、物流信息等。

l 知识型企业：高科技产品方案、调查报告、咨询报告、招投标文件、专利、远程教育的教案等重要内容的版权保护等。

l 政府单位：许多不对外公开或限制部门及个人的阅读、复制、打印权限的分密级保护文档（公文，统计数据，机要文件，会议纪要等）。

---

（二）需求分析

1. 能够提供对一些日常办公软件（MS-Office、WPS Office、永中Office和PDF办公文件文档、各类设计图纸、图档、开发过程中的源代码安全、音视频文件数据，资料等）的安全防护，即使文件被非法获取也无法被使用，且不影响办公效率和办公人员的操作习惯；

2. 对内部相关涉密文档进行明确的规定和标识，指定相关人员有权查看；

3. 支持对办公人员的打印操作行为进行监督和管控；

4. 能够有效控制企业对外交互带来的二次扩散风险，既不影响与合作伙伴之间的交流方式，又能够保证重要文档脱离企业办公环境后的使用控制；

5. 能够控制USB移动存储介质的使用行为，防止使用USB移动存储介质非法拷贝涉密文档；

6. 能够提供外出办公的数据安全保护措施；

7. 对内部办公系统的访问权限制定合理的管理策略，防止重要数据文件被直接访问或下载，导致泄密；

8. 支持IOS、 Android系统的移动设备在线阅读加密文件，比如：Mail、OA、CRM、ERP等加密附件在线阅读，方便办公；

9. 能够有效控制办公人员使用QQ、Email等网络传输工具随意将涉密办公文档外发；

10. 可以详尽的对用户、文件的加密操作进行记录，当泄密事件发生时，能够快速地从日志中准确地查到责任人。

---

---

2. 解决方案

3.1. 终端办公文档五大加密模式防护

从数据泄密角度来看，只要是以明文形式在硬盘上保存，无论是从访问控制、设备监控、安全审计等手段都无法从根源上彻底解决数据泄密隐患。最根本有效的防泄密措施就是采取技术手段从数据源头进行加密，保障数据安全。

1）强制加密：通过驱动级动态加解密技术，可实现对企事业单位内部常用办公软件（MS-Office、WPS Office、永中Office和PDF办公文件文档、各类设计图纸、图档、开发过程中的源代码安全、音视频文件数据，资料等）进行强制加密处理，从文档创建开始即可自动加密保护。此技术对文档自身加密，不管是脱离操作系统，还是非法脱离安全环境，文档自身都是安全的。如果加密文档通过QQ、电子邮件、移动存储设备等手段传输到企事业单位授权范围以外，将无法被正常打开或者打开将显示乱码，文档始终保持加密状态。

2）内容保护：系统支持对加密文档应用过程（包括剪切、复制和粘贴、另存为、对象的链接与嵌入、截屏等操作）进行控制，禁止将加密文档内容黏贴到未受控程序中进行泄密。同时，在禁止所有截屏功能的情况下，为了用户使用方便，可通过中科数安加密客户端自带的截屏功能进行截屏，且截取图片自动加密保护。

3）透明加密：办公文档在加密前后对于合法使用者无任何差异，不影响办公效率、不改变任何工作流程及使用习惯。文档的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。

---

---

4）智能半透明加密模式：编辑加密文件保存后依然加密，编辑非加密文件保存时不加密

5）只解密不加密：编辑保存后都不加密，明文外发以免客户无法查看

---

---

5）只读加密：只能读取不可编辑

3.2. 办公文档内部交互安全管控

（一）文档分级管理

对于企事业单位内部文档，根据其所承载的涉密程度不同，需要由不同涉密等级的的人员进行处理，这就需要对涉密文档和使用者进行密级标识，以控制涉密文档的安全性。中科数安提供密级管理功能可对每个终端用户设置用户密级（其中公开文件<内部资料文件<秘密文件<机密文件<绝密文件）。密级设置之后，每个等级只能查看不高于自己密级的文档，从而有效防止内部涉密文档被越权查看。

（二）部门隔离管理

每个部门负责的工作文档性质均不同，有一些核心部门的办公文档只允许在本部门内部流转。因此，需满足不同部门之间的文档相互独立。支持部门阅读权限隔离控制，能够使各个部门文档的知悉范围得到有效控制。

（三）涉密文档交互控制

需重点防护的办公文档资料，需要严格控制使用权限。比如：对于一些政府单位，内部有许多不对外公开或需要限制部门及个人的阅读、复制、打印权限的安全性文档（公文，统计数据，机要文件，会议纪要等）利用内部流转文件功能可轻松实现涉密文档的交互安全管控。如：使用对象、打开密码、阅读次数、是否可打印、是否可截屏、是否可编辑、阅读时间、禁止删除、过期自毁等。

3.3. 重要文档外发安全管控

文档外发管理模块能够有效控制企业对外交互带来的二次扩散风险，既不影响与合作伙伴之间的交流方式，又能够保证重要文档脱离企业办公环境后的使用控制。

² 当需要给客户或者合作伙伴外发文件时，首先向上级领导进行外发申请，而后才有权将该文件打包成一个受控文件，外发给客户或合作伙伴；

² 被授权的客户或合作伙伴获得该受控外发文件后，打开时需先进行合法的身份认证，而后才能在授予的权限范围内访问；

² 身份认证的方式包括：密码认证、机器码认证、联网认证、硬件KEY认证；

² 访问权限包括：阅读次数、阅读时间、可打印、可截屏、可编辑、过期自动删除；

² 被授权的用户在访问该文件时，需在自己的电脑上安装阅读器，即可访问。

---

3.4. 终端打印安全管理

打印外泄是目前在企事业单位内部最常见的泄密途径。因为大多数企事业单位内部人员可以随意使用打印机打印文件，且无法进行监控和审计，直接影响着内部重要文档资料的安全。

中科数安 | 能够对内部员工的打印作业进行有效的监控和管理：

v 事前打印控制：是否可以打印？允许用哪台打印机？哪些软件允许打印?

v 事中打印警示：自定义水印内容，实现打印警示；

v 事后打印审计：什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数，全程跟踪记录。

---

3.5. USB端口管理

USB移动存储介质同样是造成企事业单位重要文档泄密的主要途径，一个小小的U盘便能在不被人察觉的情况下将企事业单位内部的重要文档资料拷走。然而由于工作的需要，有些企事业单位内部不能封闭U口。因此，将在其内部使用的移动存储介质变为可管理的移动存储介质，是保障企事业单位内部信息安全的首选。针对以上需求，中科数安提供以下管控措施：

1. USB存储设备限制

根据企事业单位的实际情况，可限制哪些电脑的USB接口能够使用。分别有允许使用、禁止使用、USB设备只读（即单向传输拷贝控制，只能从U盘上拷出数据，不能拷入数据）和只写四种限制方式。

2. USB存储设备认证

在禁止使用的前提下，允许指定终端用户可以使用经过中科数安 | 服务器认证的USB存储设备，没经过认证的USB存储设备将不能被识别。

---

3.6. 办公人员笔记本离线安全管控

针对内部员工经常需要携带笔记本外出办公的情况，中科数安同样支持对离线笔记本进行安全管控。

通过离线管理功能，控制出差人员只能在授权离线时间内正常打开离线计算机上的加密文件，一旦超过离线时间，笔记本上的所有加密文档均无法打开。同时，离线期间的所有操作记录仍然实时记录，在连上服务器后会自动上传，以便管理员审计。

3.7. 办公自动化系统的安全与保密

随着办公自动化的发展，企事业单位使用越来越多的应用系统和管理软件，例如：ERP、CRM、OA等。对于很多企事业单位来说，这些办公系统相当于一个内部整合平台，它将连接起所有的业务系统及分部人员，涉及面广，特别是一些财务等业务的系统等，所以信息安全问题尤其重要。如何防止非法用户侵入、权限控制、存储和传输加密等，同样是企事业单位实现信息化运作过程中亟待解决的问题。

能够实现与OA等办公应用系统的安全集成，如对OA等系统的后台明文存储、前端密文下载的安全集成，同时对应用系统进行准入控制，合法终端才可以访问应用系统。

Ø 应用准入：实现访问OA、ERP等应用系统的准入控制，防止非法用户从OA、ERP等应用系统下载重要数据。

Ø 上传下载：合法终端用户实现上传自动解密、下载自动加密。

Ø 传输加密：为了避免用户在与OA、ERP等应用系统进行数据传输时，数据被非法分子监听、盗取，系统采用数据加密安全通道，有效保障了数据在传输过程中不被窃取。

Ø 在线内容安全：支持对在线阅读的文件内容进行安全管理，如：禁止截屏、禁止复制等。

Ø 非法外联：对加密客户端与OA、ERP等应用系统进行绑定连接，防止非法用户利用上传自动解密机制连接伪应用系统非法连接泄密。

---

---

3.8. 兼顾移动办公的便利与安全

随着移动办公慢慢成为一种潮流，摆在管理者面前的问题是，企业网络的边界扩大了，数据加密的需求已经不仅仅局限于企业内部，如何适应移动办公的要求，使加密文件随时能在外出人员需要的时候进行调用？

---

移动终端支持Android、IOS，既能满足用户的高效移动办公需求，还能有效保障移动办公的安全性。

（1）高效移动办公

ü 在外出过程中，用户可随时随地调用企业内部加密文件，实现随时随地的移动办公；

ü 对于手机QQ、邮箱等通讯工具上接收的加密文件，可通过中科数安 | 移动终端app直接在线打开阅读。

ü 支持通过Android、IOS移动客户端在线处理审批工作（如：解密申请、外发申请等），且审批消息实时推送，保证审批及时性，还可以追溯审批历史记录。

（2）U盘客户端办公

对于临时性办公需求不用安装加密客户端使用U盘客户端处理加密文件

---

3.9. 上网行为规范化管理

网络作为一柄双刃剑既能促进信息交流，加强员工合作，成倍的增加工作效率。但是，也提供了各种网络泄密途径，使企业管理变得举步为艰，安全性漏洞百出。企业防火墙主要是防止外来的攻击。但是网络安全决不只是外来攻击这一个方面，用户浏览信息的安全、上网行为的安全也是一个重要方面，即所谓内容安全。因此，需要对企业内部用户的上网行为进行规范化管理，防止企业重要办公文档被有意或无意的泄漏。

针对此需求，中科数安 | 提供以下解决方案：

l （1）网络敏感内容过滤

l 有效过滤局域网内计算机发送含有敏感内容的web数据。一方面能够有效防范敏感信息泄露，另一方面防止终端用户发表不当言论，给公司名誉造成损害。

l 禁止收发含有敏感关键字的邮件，防止涉密办公文档通过邮件泄露到外部。

l （2）过滤非法网站和与工作无关的网站

l 对企业内部用户的网站访问进行限制管理，从而杜绝不良网站和危险资源的访问，降低企业的安全风险。

l （3）过滤与工作无关的应用程序

l 限制聊天程序、游戏程序、炒股程序等的使用，提高员工的办公效率。

l （4）网络访问控制

l 限制终端电脑网络及端口的访问

l （5）即时通讯控制

l 对QQ文件传输进行限制，防止通过即时通讯泄密。

---

3.10. 安全日志审计

安全审计的目的不仅在于提供安全事件的事后取证机制，还在于未雨绸缪、防患于未然远比简单的亡羊补牢重要。中科数安 | 防泄密软件能够全面记录用户、文件的所有操作，当泄密事件发生时，能够快速地从日志中准确地查到责任人。

---

4.2. 技术优势

1、三重密钥体系

采用独有的三重密钥管理，合理的多重密钥体系不但能够保障用户密钥安全，也能够满足用户复杂的应用需求。

ü 主密钥：全球唯一，保证不能搭建出两套一样的加密环境，即保证任何两家客户文件无法相互打开。

ü 企业密钥：企业自行设置，保证厂家获取到密文，也无法解密。目前其他加密软件都无法提供此功能。

ü 文件密钥：每个文件加密时会随机生成一个文件密钥，以提高加密的安全性。

2、本地化部署

三大架构分离，全面本地化部署，不与外界通信，有效保护企业机密数据。

3、驱动层加密技术

采用文件过滤驱动层加密技术，与其它加密技术对比优势

1) 磁盘加密：

磁盘加密技术工作在内核层下面，磁盘层上面，无法识别哪些数据是哪个进程写入或读取的，这样导致任意应用程序轻易就可以读书该加密文件，比如保存在网络共享磁盘，就是明文。

---

2) 应用层加密：

应用层加密通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存明中的文加密后再写入到磁盘中。与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

应用程序为了限止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行，所以应用层加密很容易通过反钩子来避开绕过。应用层透明加密技术（钩子透明加密技术）开发容易，但存在技术缺陷，应用程序版本变更容易产生不兼容，而且容易被反Hook所破解。

---

3) 驱动层加密：

驱动层透明加密技术工作在windows的内核层，他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受windows保护的内核层，运行速度更快，加解密操作更稳定，但开发难度大。

---

---

---

---

移动端地址：http://tinyurl.com/23bd4eex

---

---

---

综述

随着信息化，电子化进程的发展，数据越来越成为政府部门，企 业事业单位日常运作的核心决策发展的依据。归根到底信息安全的核 心就是数据安全。

---

有利于进一步完善企事业单位的信息管理 制度，强化信息安全建设，通过底层驱动，将办公网内机密资料加密， 让机密信息源头控制，防范和杜绝办公网内的重要信息数据外泄，保 护政府机构以及企事业单位的信息资产安全