時(shí)代億信文件盾系列文檔權限管理產(chǎn)品(以下簡(jiǎn)稱(chēng)SecureDOC-R產(chǎn)品)專(zhuān)注于企業(yè)內部電子文件的細粒度權限管理,通過(guò)控制電子文件的閱讀、復制、編輯、打印、截屏權限,以及分發(fā)、離線(xiàn)、外發(fā)、解密等高級權限,實(shí)現企業(yè)內部電子文件的安全共享及安全交換。
產(chǎn)品可解決的問(wèn)題
它可為用戶(hù)解決如下問(wèn)題:
1. 企業(yè)內部電子文件的權限管理,可為軍工、保密機關(guān)、金融、電信等行業(yè)以及其他對電子文檔權限控制有需求的企事業(yè)單位提供細粒度權限控制服務(wù),并提供詳細的文件使用日志。
2. 企業(yè)內部用戶(hù)之間文件安全交換,對需要小范圍共享、交換的文件進(jìn)行細粒度授權、使用權限控制及操作內容審計。
3. 企業(yè)內部電子文件集中存儲與訪(fǎng)問(wèn)控制,提供企業(yè)共享文檔庫,以類(lèi)似資源管理器的方式呈現和管理電子文檔,并可設置不同用戶(hù)的訪(fǎng)問(wèn)權限和使用權限。
產(chǎn)品功能組成
SecureDOC-R產(chǎn)品由文檔安全管理服務(wù)器和文檔安全客戶(hù)端組成。
圖1-1 SecureDOC-R功能組成
文檔安全管理服務(wù)器:主要完成用戶(hù)信息、文檔密鑰、文檔權限及審計日志等存儲和管理功能。
文檔安全管理服務(wù)器具有多種文件保護服務(wù):
a) 細粒度權限控制服務(wù):控制文件的閱讀、編輯、復制、打印、截屏、分發(fā)、離線(xiàn)、外發(fā)、解密權限;
b) 文檔權限管理服務(wù):追加或撤銷(xiāo)對文件的授權;
c) 文檔解密服務(wù):根據用戶(hù)請求對加密文檔進(jìn)行解密;
d) 文檔離線(xiàn)服務(wù):根據用戶(hù)請求對加密文檔授予離線(xiàn)權限,用戶(hù)可在脫離文檔安全環(huán)境中使用加密文檔;
e) 文檔外發(fā)服務(wù):根據用戶(hù)請求將文件制作為外發(fā)包,并設置外發(fā)包的保護措施及使用權限設置。
文檔安全管理服務(wù)器提供了基于Web方式的管理平臺,并提供基于三員分立的管理員管理體系,還具有管理員分級管理功能。管理員可以在平臺進(jìn)行下列工作:
a) 系統管理員:負責系統參數配置、用戶(hù)帳戶(hù)管理、細粒度權限控制策略配置、用戶(hù)日志審計。
b) 文檔管理員:為用戶(hù)設定密級、文檔權限修改。
c) 系統審計員:審計系統管理員操作日志、審計文檔管理員操作日志。
文檔安全客戶(hù)端:包含文件加解密驅動(dòng)、權限控制、文檔授權、離線(xiàn)控制、文檔外發(fā)、用戶(hù)平臺等組件。主要完成文檔透明加解密、權限控制、文件離線(xiàn)、文件外發(fā)、日志記錄等功能。
產(chǎn)品優(yōu)勢
對比其他同類(lèi)產(chǎn)品,SecureDOC-R產(chǎn)品擁有下列優(yōu)勢:
· 驅動(dòng)級透明加解密技術(shù),沒(méi)有文件格式限制;
· 與常見(jiàn)安全軟件(殺毒軟件、防火墻、防木馬工具等)具有良好兼容性;
· 除控制閱讀、編輯、復制、打印、截屏等基本權限外,還可控制分發(fā)、離線(xiàn)、外發(fā)、解密及硬件綁定、使用時(shí)間等延伸權限;
· 提供文件安全交換功能,即文檔作者可以選擇文件的發(fā)送對象并設置其細粒度使用權限,從而保證文檔可以在小范圍內的安全共享與交換;
· 提供企業(yè)共享文檔庫功能,以類(lèi)似資源管理器的形式呈現和管理企業(yè)內部集中存儲的電子文件,并確保不同用戶(hù)對文件的訪(fǎng)問(wèn)權限和使用權限;
· 提供文件離線(xiàn)情況下的細粒度權限控制和離線(xiàn)天數控制功能;
· 提供文件外發(fā)功能,可控制外部用戶(hù)的使用權限和使用天數。
2、產(chǎn)品功能特點(diǎn)
提供整體安全解決方案
文件盾系列產(chǎn)品是北京時(shí)代億信科技有限公司為企業(yè)用戶(hù)提供的文檔安全整體解決方案。本方案專(zhuān)注于對各類(lèi)文檔的全面保護,針對傳統文檔保密方式的缺點(diǎn),文件盾系列產(chǎn)品將驅動(dòng)級透明加解密技術(shù)應用于文檔的創(chuàng )建、編輯和使用的過(guò)程,利用透明加解密實(shí)現對文件的內容保護。通過(guò)透明加解密技術(shù)與主動(dòng)/自動(dòng)授權,可讓任何位置上的保密文檔都處于嚴格的管控當中,經(jīng)過(guò)加密授權的文檔,可以保存在文件服務(wù)器、文檔庫中,也可以通過(guò)應用系統進(jìn)行流轉或共享傳遞。加密保護和多達10種細粒度權限控制可以確保每個(gè)加密文檔只能在適當的范圍被適當的人執行適當的操作。
基于進(jìn)程的控制方式,可以讓用戶(hù)在終端打開(kāi)編輯器時(shí)就對編輯器進(jìn)程進(jìn)行過(guò)濾驅動(dòng)保護。
通過(guò)進(jìn)程保護、透明加解密等技術(shù),結合應用系統與編輯控件的深度集成,對文檔在創(chuàng )建、編輯、存儲、流轉、分發(fā)、外發(fā)等各個(gè)環(huán)節進(jìn)行加密保護,全程保持密文狀態(tài)。
圖2-1 系統整體運行圖
技術(shù)成熟穩定
文件盾系列產(chǎn)品擁有先進(jìn)的用戶(hù)身份認證服務(wù)、強大的透明加解密能力,完善的第三方應用接口,配合豐富實(shí)用的細粒度的權限控制以及友好的用戶(hù)體驗,在通信、金融等行業(yè)內,都擁有10萬(wàn)用戶(hù)級的成功案例。文件盾系列產(chǎn)品早在2008年就進(jìn)入運營(yíng)商、金融行業(yè),這些客戶(hù)對于系統的性能、穩定性有著(zhù)較為嚴格的要求。經(jīng)過(guò)多年的積累,產(chǎn)品已經(jīng)形成了如下優(yōu)勢:
· 系統支持10萬(wàn)級以上用戶(hù)量
· 整合主流OA廠(chǎng)商產(chǎn)品與主流Office插件,提高用戶(hù)使用體驗
· 擁有完善的身份認證體系
· 10余種細粒度文檔訪(fǎng)問(wèn)控制策略
· 可信進(jìn)程保護技術(shù)從編輯器開(kāi)始保護文檔信息安全
· 主/被動(dòng)結合的授權方式,簡(jiǎn)化用戶(hù)使用流程
對于最終用戶(hù),在對文檔進(jìn)行正常操作時(shí),無(wú)需過(guò)多關(guān)注產(chǎn)品本身,透明的加解密方式可以讓用戶(hù)毫無(wú)感覺(jué)的訪(fǎng)問(wèn)或保存加密文檔。通過(guò)鼠標右鍵集成菜單,用戶(hù)可以方便的對文檔進(jìn)行各種操作。
經(jīng)過(guò)加密授權后的文檔,會(huì )自動(dòng)在其原有圖標上增加一個(gè)小鎖圖標,方便用戶(hù)區別加密文檔與明文文檔。
文件加解密
透明加解密:SecureDOC-R產(chǎn)品采用先進(jìn)的驅動(dòng)級文檔加解密技術(shù),默認采用128位AES對稱(chēng)加解密算法,可以根據應用需要替換算法和密鑰長(cháng)度。同時(shí),密文和密鑰分離,密鑰在服務(wù)端加密存儲,客戶(hù)端通過(guò)加密通道從服務(wù)端獲取文檔密鑰和權限。
圖2-2 透明加解密示意
支持的文件格式:SecureDOC-R產(chǎn)品支持多種常見(jiàn)的辦公文檔格式和媒體文件格式,滿(mǎn)足企業(yè)日常辦公的需要。支持但不限于下列格式的文件:
· 金山WPS 2007/2009/2012辦公軟件文件擴展名wps、et;· Microsoft Office Word 2003/2007/2010文件擴展名doc、docx;
· Microsoft Office Excel 2003/2007/2010文件擴展名xls、xlsx;
· Microsoft Office PowerPoint 2003/2007/2010文件擴展名ppt、pptx;
· Microsoft Office Visio 2003/2007/2010文件擴展名vsd;
· Adobe Portable Document Format 5.0/6.0/7.0/8.0/9.0/10.0文件擴展名pdf;
· 記事本、寫(xiě)字板文件擴展名:txt;
· 流媒體格式:wmv、asf、rm;
· Photoshop系列文件擴展名psd;
· CorelDraw系列文件擴展名cdr;
· AutoCAD 系列文件擴展名dwg;
· ACDSee、Windows畫(huà)圖(Mspaint)文件擴展名:jpg、bmp、gif、png。
細粒度權限控制
SecureDOC-R產(chǎn)品對文件操作提供細粒度權限控制,具體如下:閱讀:控制文檔閱讀
編輯:控制文檔不允許被編輯
復制:控制剪切板,防止文檔內容通過(guò)剪切板復制
打印:控制文檔打印
打印水印:控制文檔打印時(shí)是否加入水印
截屏:對常用的截屏軟件和屏幕錄像軟件進(jìn)行控制
在文件操作權限的基礎上,還提供了如下用戶(hù)延伸權限:
分發(fā):控制用戶(hù)是否可以對文件授權
離線(xiàn):控制用戶(hù)是否可以在脫離企業(yè)安全環(huán)境下使用加密文檔
外發(fā):控制用戶(hù)是否可以發(fā)送文件到企業(yè)外部機構、客戶(hù)、合作伙伴
解密:控制用戶(hù)是否可以解密加密文件
通過(guò)上述細粒度授權策略,既保證文檔在流轉過(guò)程中的安全使用,又可以控制文檔的使用權限,有效防止電子文件的非法傳播。
文件安全交換
SecureDOC-R產(chǎn)品提供了文檔中轉站功能,用戶(hù)登錄到文檔安全客戶(hù)端后,即可在文件上使用右鍵菜單功能,選擇文件接收對象并設置其使用權限,從而安全地在小范圍共享和交換文件。
圖2-3 設置接收對象及其使用權限
文檔安全客戶(hù)端在接收到文件后,會(huì )在右下角彈出消息提醒,用戶(hù)點(diǎn)擊消息就可以在文檔中轉站中查看已收到的文檔,并按照被授予的權限使用。
權限申請審批
在文檔的實(shí)際使用和權限控制過(guò)程中,經(jīng)常會(huì )出現權限不滿(mǎn)足使用的情況,為此,SecureDOC-R產(chǎn)品提供了權限申請審批機制,用戶(hù)在使用文檔過(guò)程中如果權限不夠,可以向文檔作者申請額外的使用權限,作者審批通過(guò)后,用戶(hù)即可按照新權限來(lái)使用文檔。
圖2-4 用戶(hù)提交權限申請
企業(yè)共享文檔庫
SecureDOC-R產(chǎn)品具有企業(yè)共享文檔庫功能,以類(lèi)似資源管理器的界面方式呈現和管理企業(yè)內部集中存儲的電子文件,還可控制不同部門(mén)或不同用戶(hù)對文檔庫中文件的訪(fǎng)問(wèn)權限和使用權限。密文離線(xiàn)管理
SecureDOC-R產(chǎn)品不僅為企業(yè)內網(wǎng)提供了全面的文檔安全保護,對員工出差、領(lǐng)導在家辦公的實(shí)際情況,提供了專(zhuān)門(mén)的加密文檔離線(xiàn)控制功能,做到既防止企業(yè)文檔內容泄露,又可以滿(mǎn)足加密文檔脫離安全環(huán)境使用的實(shí)際需求。SecureDOC-R產(chǎn)品采用離線(xiàn)權限組的方式為用戶(hù)添加離線(xiàn)權限,處于離線(xiàn)權限組的用戶(hù)才可以在離線(xiàn)狀態(tài)下使用具有離線(xiàn)授權的加密文檔。
管理員可以為不同部門(mén)或用戶(hù)設置不同的離線(xiàn)權限,滿(mǎn)足不同部門(mén)、不同工作職責的用戶(hù)使用需求。管理員還可以設置用戶(hù)對離線(xiàn)文檔的操作權限,或審批用戶(hù)對離線(xiàn)文檔的權限申請,并可設置允許的離線(xiàn)時(shí)間。
文件外發(fā)管理
SecureDOC-R產(chǎn)品對需要向合作伙伴、外部客戶(hù)、上級單位發(fā)送內部文檔的需求,提供了制作文檔外發(fā)包功能。制作外發(fā)文檔時(shí)自動(dòng)判斷用戶(hù)是否有外發(fā)權限,如果沒(méi)有外發(fā)權限,需要用戶(hù)申請后才能進(jìn)行外發(fā)操作。文檔外發(fā)包接收方無(wú)需安裝任何客戶(hù)端,即可受控操作文檔。外發(fā)包可控制外部用戶(hù)對包內文檔的閱讀、閱讀次數、復制、打印等權限,可設置外部用戶(hù)使用憑證為口令,還可設置與外部用戶(hù)的硬件信息(IP地址、MAC地址、機器碼)進(jìn)行綁定,提高外發(fā)文檔安全性。
圖2-5 外發(fā)文檔的權限控制及外部用戶(hù)硬件信息綁定
外發(fā)文檔包可設置口令保護,外部用戶(hù)必須輸入正確的口令才能使用文檔。外發(fā)包還可設置使用天數,在允許使用時(shí)間段過(guò)后,外發(fā)文檔將不能再使用。
圖2-6 外發(fā)文檔的口令保護及允許使用時(shí)間段設置
良好的環(huán)境兼容性
SecureDOC-R產(chǎn)品能在以下環(huán)境中正常運行:(1)操作系統支持:32位和64位WINDOWS XP SP2/SP3、WINDOWS VISTA、WINDOWS 7;
(2)能夠與目前常用的殺毒軟件兼容:360、Symantec Endpoint Protection、金山毒霸、卡巴斯基、瑞星、江民、NODE32、McAfee等;
密鑰備份機制
SecureDOC-R產(chǎn)品提供了完善的密鑰備份機制,可以保證在系統遇到意外情況時(shí),恢復用戶(hù)文件密鑰,確保所有密文都能正常打開(kāi)。系統管理
SecureDOC-R產(chǎn)品提供了基于Web方式的管理平臺,并提供基于三員分立的管理員管理體系,還具有管理員分級管理功能。管理員可以在平臺進(jìn)行下列工作:系統管理員:負責系統參數配置、用戶(hù)帳戶(hù)管理、細粒度權限控制策略配置、用戶(hù)日志審計。
文檔管理員:為用戶(hù)設定密級、文檔權限修改。
系統審計員:審計系統管理員操作日志、審計文檔管理員操作日志。
全面的日志審計
1)用戶(hù)日志審計SecureDOC-R產(chǎn)品全面記錄用戶(hù)的各項日志,系統所有的日志記錄信息不可修改、不可手動(dòng)刪除。
2)管理員日志審計
系統主要記錄各類(lèi)管理員登錄管理系統后執行的關(guān)鍵操作,如用戶(hù)管理、用戶(hù)密級設置、進(jìn)程加密策略、授權策略等操作。
關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專(zhuān)業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢,專(zhuān)注于數字證書(shū)應用、企業(yè)應用安全、企業(yè)應用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶(hù)提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力,公司相繼獨立完成了身份認證、統一身份管理與訪(fǎng)問(wèn)控制、文檔安全保護、SSLVPN等一系列創(chuàng )新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專(zhuān)業(yè)技術(shù)實(shí)力和成熟的客戶(hù)服務(wù)經(jīng)驗,經(jīng)過(guò)不斷努力,已經(jīng)成為企業(yè)應用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。
