XX公司數(shù)據(jù)安全管理解決方案XX公司XX年XX月目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、項(xiàng)目背景2\o"CurrentDocument"二、項(xiàng)目需求分析3\o"CurrentDocument"項(xiàng)目需求3\o"CurrentDocument"解決方案綜述3\o"CurrentDocument"數(shù)據(jù)安全管理整體解決方案3\o"CurrentDocument"三、設(shè)計(jì)及技術(shù)特點(diǎn)13\o"CurrentDocument"C/S+B/S的體系架構(gòu)13\o"CurrentDocument"SSF的服務(wù)器架構(gòu)13\o"CurrentDocument"3.3分級(jí)管理架構(gòu)14\o"CurrentDocument"3.4驅(qū)動(dòng)級(jí)透明加解密技術(shù)14\o"CurrentDocument"3.5剪貼板防護(hù)技術(shù)15\o"CurrentDocument"3.6用戶身份認(rèn)證技術(shù)15\o"CurrentDocument"3.7軟件開發(fā)質(zhì)量保障體系16\o"CurrentDocument"3.8多種技術(shù)保障系統(tǒng)健壯性16\o"CurrentDocument"四、采用企業(yè)級(jí)安全方案的優(yōu)勢(shì)17\o"CurrentDocument"4.1先進(jìn)性1.7\o"CurrentDocument"4.2兼容性1.7\o"CurrentDocument"4.3安全性1.7\o"CurrentDocument"4.4穩(wěn)定性1.8\o"CurrentDocument"4.5易用性1.8\o"CurrentDocument"4.6可維護(hù)性.18\o"CurrentDocument"4.7可移動(dòng)性.19\o"CurrentDocument"4.8可重組性.19\o"CurrentDocument"4.9可管理性.19一、項(xiàng)目背景隨著計(jì)算機(jī)應(yīng)用技術(shù)及網(wǎng)絡(luò)的普及，越來(lái)越多的企業(yè)拋棄了原始的筆桿紙張辦公模式，將計(jì)算機(jī)納入不可或缺的辦公用品行列。數(shù)據(jù)信息開始以電子文檔形式存儲(chǔ)于計(jì)算機(jī)中，并且借助互聯(lián)網(wǎng)絡(luò)和各種移動(dòng)存儲(chǔ)設(shè)備進(jìn)行快速的傳播和共享。電子文檔中包含著大量的涉及企業(yè)生存與發(fā)展的重要資料。作為數(shù)據(jù)信息的載體，電子文檔的安全直接影響了數(shù)字信息的安全。電子文檔易復(fù)制、易修改的特點(diǎn)直接導(dǎo)致了它的安全風(fēng)險(xiǎn)性大大超過(guò)了傳統(tǒng)紙質(zhì)文檔。辦公計(jì)算機(jī)的使用，令員工電子文檔所存在的安全隱患，導(dǎo)致了整個(gè)企業(yè)所存在的安全隱患和管理漏洞：＞企業(yè)內(nèi)部重要電子資料沒(méi)有安全、可信的管理方法；＞企業(yè)內(nèi)網(wǎng)中受保護(hù)數(shù)據(jù)如何實(shí)現(xiàn)安全共享；＞企業(yè)內(nèi)部對(duì)文件有訪問(wèn)權(quán)限的員工，經(jīng)常通過(guò)郵件附件形式、及時(shí)聊天工具等對(duì)內(nèi)部受控文件進(jìn)行傳輸，導(dǎo)致公司核心文件流失、被泄密；＞臨時(shí)接入終端在瀏覽內(nèi)網(wǎng)信息的同時(shí)如何進(jìn)行設(shè)置；＞員工離職，把核心資料也“順便”帶走（USB存儲(chǔ)設(shè)備、郵件、刻錄盤等）；＞未經(jīng)授權(quán)用戶通過(guò)移動(dòng)存儲(chǔ)設(shè)備、Email、手提電腦將數(shù)據(jù)帶出公司，未經(jīng)許可將公司電腦主機(jī)、硬盤、服務(wù)器帶出公司，以獲取數(shù)據(jù)；＞企業(yè)文件流轉(zhuǎn)及操作情況無(wú)全程跟蹤記錄，信息泄密無(wú)據(jù)可查；＞……種種問(wèn)題、現(xiàn)象的存在，造成企業(yè)在面臨越來(lái)越國(guó)際化競(jìng)爭(zhēng)的今天不得不正面數(shù)據(jù)安全給企業(yè)帶來(lái)的運(yùn)營(yíng)和管理風(fēng)險(xiǎn)。如何有效地降低企業(yè)機(jī)密數(shù)據(jù)泄露給企業(yè)帶來(lái)的風(fēng)險(xiǎn)已經(jīng)成為每個(gè)有憂患意識(shí)的企業(yè)家所關(guān)心的重要問(wèn)題之一。、項(xiàng)目需求分析2.1項(xiàng)目需求全面嚴(yán)格的操作授權(quán)從網(wǎng)絡(luò)邊界、外設(shè)邊界以及桌面應(yīng)用三方面做以全方位控制，達(dá)到信息安全目標(biāo)中的“可控性”的要求，防止對(duì)信息的不當(dāng)使用和流傳，使得文檔不會(huì)輕易“看得到、改得了、發(fā)得出、帶得走”。安全可靠的透明加密為重要信息提供最有力的保護(hù)，它能夠保證涉密信息無(wú)論何時(shí)何地都是加密狀態(tài)，可信環(huán)境內(nèi)，加密文檔可正常使用，在非授信環(huán)境內(nèi)則無(wú)法訪問(wèn)加密文檔，在不改變用戶操作習(xí)慣的同時(shí)最大限度保護(hù)信息安全。審計(jì)不僅可以用作事后審計(jì)以幫助追查責(zé)任，更能夠幫助洞察到可能的危險(xiǎn)趨向，還能夠幫助發(fā)現(xiàn)未知的安全漏洞。2.2解決方案綜述通過(guò)對(duì)XX公司數(shù)據(jù)安全需求分析和對(duì)內(nèi)部業(yè)務(wù)部門了解，為對(duì)內(nèi)部的文件更好的管理保護(hù)，所以要對(duì)文檔本身加以保護(hù)，需要有一套安全可靠的文件安全管理管理軟件對(duì)其進(jìn)行管理。集團(tuán)要實(shí)現(xiàn)的目標(biāo):2.3數(shù)據(jù)安全管理整體解決方案2.3.1辦公人員日常工作數(shù)據(jù)加密保護(hù)（辦公文檔、設(shè)計(jì)圖紙、研發(fā)、工藝數(shù)據(jù)等）；整體解決方案采用驅(qū)動(dòng)級(jí)透明加密方式。不改變文件格式，不改變用戶使用習(xí)慣。對(duì)于受保護(hù)的程序所存儲(chǔ)的所有文件，在保存關(guān)閉的過(guò)程中被自動(dòng)加密保護(hù)；在雙擊打開的過(guò)程中被自動(dòng)解密以明文呈現(xiàn)。一切操作不會(huì)給用戶造成任何負(fù)擔(dān)，無(wú)須增加操作步驟，全透明化實(shí)現(xiàn)。系統(tǒng)專用的兼容性和易用性帶給用戶的體驗(yàn)優(yōu)勢(shì)：客戶端用戶只要會(huì)用鼠標(biāo)和Windows系統(tǒng)，無(wú)須學(xué)習(xí)就可使用。在合法環(huán)境下，用戶的文件操作方式與未安裝數(shù)據(jù)安全系統(tǒng)軟件前完全一致；一旦文件被帶出合法環(huán)境，用戶才會(huì)發(fā)現(xiàn)文件已被完全加密處理，打開時(shí)顯示亂碼格式。為了確保安全性，系統(tǒng)專用是對(duì)文檔的全部字節(jié)高強(qiáng)度加密處理，和只處理文件頭、屬性、隱藏等手段相比，安全性最高。＞由于整體解決方案采用的是驅(qū)動(dòng)層的加密技術(shù)，理論上能夠?qū)λ蓄愋偷奈募M(jìn)行自動(dòng)加密保護(hù)，目前通過(guò)資源方內(nèi)部測(cè)試與數(shù)據(jù)安全系統(tǒng)用戶實(shí)踐驗(yàn)證的透明加密軟件約80多種，其中機(jī)械制造業(yè)常用的如：office系列辦公文檔、PDF、CAD、patel、UG、ProE＞solidworks等軟件可以無(wú)縫兼容。如果是不在透明加密列表中的文檔類型，如需要進(jìn)行自動(dòng)加解密保護(hù)，可由資源方技術(shù)工程師進(jìn)行添加，視軟件復(fù)雜程度，添加周期為2-5個(gè)工作日不等。＞整體解決方案加密保護(hù)的文件通過(guò)郵件、即時(shí)通訊工具、共享、網(wǎng)盤、移動(dòng)存儲(chǔ)設(shè)備等方式進(jìn)行傳遞，首先判斷接收方是否合法用戶，企業(yè)外部的非法獲取數(shù)據(jù)無(wú)法打開。2.3.2重要文件進(jìn)行權(quán)限管理，在加密保護(hù)的同時(shí)限制文件使用范圍和權(quán)限；系統(tǒng)專用701系統(tǒng)采用獨(dú)立密鑰形式，即所有系統(tǒng)專用用戶的加密密鑰均不相同。在默認(rèn)狀態(tài)下，系統(tǒng)專用用戶B即使獲得了用戶A的加密文件，用戶B也無(wú)法打開加密文件查看其中的內(nèi)容。若用戶間需要共享文件，則必須使用“授權(quán)”功能實(shí)現(xiàn)。授權(quán)就是對(duì)用戶（文件作者以外的用戶）授予文件訪問(wèn)的權(quán)力，并同時(shí)限制文件訪問(wèn)的權(quán)限，授權(quán)可以針對(duì)每一具體用戶或者每個(gè)具體的文件，目前整體解決方案不支持針對(duì)某一特定角色來(lái)進(jìn)行授權(quán)，授權(quán)的權(quán)限有以下幾種如只讀、可打印、訪問(wèn)時(shí)間段限制等。具體如下圖4所示：

想智.泰克簡(jiǎn)蟹徽.........!Mi打開也）想智.泰克簡(jiǎn)蟹徽.........!Mi思智E就文件保護(hù)授儀.J更新所有授權(quán)信息更新蛆貌機(jī)榆樹激器加到壓縮宣件區(qū)）...避器加到"思智E就文件保護(hù)授儀.J更新所有授權(quán)信息更新蛆貌機(jī)榆樹激器加到壓縮宣件區(qū)）...避器加到"思智泰克簡(jiǎn)介圖4對(duì)加密文件進(jìn)行授權(quán)操作，選擇“授權(quán)”選項(xiàng)圖5加密文件訪問(wèn)人員與權(quán)限設(shè)置對(duì)于加密文件的授權(quán)操作，整體解決方案對(duì)此也制定了分級(jí)管理方式。整體解決方案策略庫(kù)中預(yù)定義了“授權(quán)自己文件”、“授權(quán)同組文件”和“授權(quán)所有文件”三條策略。具有“授權(quán)自己文件”策略的用戶，可以將自己的加密文件授權(quán)給其他用戶；具有“授權(quán)同組文件”策略的用戶，可以將同部門內(nèi)所有用戶的加密文件授權(quán)給除作者外的其他用戶；具有“授權(quán)所有文件”策略的用戶，可以將公司內(nèi)所有用戶的加密文件授權(quán)給除作者外的其他用戶。對(duì)文件權(quán)限的分級(jí)管理能夠保障員工的文件領(lǐng)導(dǎo)可以查看，領(lǐng)導(dǎo)的文件員工無(wú)法查看，從而保護(hù)了企業(yè)核心數(shù)據(jù)的機(jī)密性與安全性。針對(duì)自動(dòng)化事業(yè)部的管理需求，資源方工程師建議客戶實(shí)施先期采用部門共享的方式，即同一部門之間的加密文件部門內(nèi)部能相互打開操作，別的部門默認(rèn)情況下即使得到此文檔，也無(wú)法正常打開，如部門之間需要交互文件時(shí)，必須由部門領(lǐng)導(dǎo)對(duì)文件作授權(quán)操作，如設(shè)計(jì)部組長(zhǎng)對(duì)設(shè)計(jì)部文檔授權(quán)給業(yè)務(wù)科人員具備“只讀”權(quán)限，那么當(dāng)業(yè)務(wù)科得到這份文件時(shí)，也就無(wú)法任意修改此文件內(nèi)容，同時(shí)，離開業(yè)務(wù)科人員的機(jī)器文件權(quán)限失效無(wú)法打開。提供便捷可靠的文件解密審核流程管理；整體解決方案具有靈活的審批流程劃分方式，審批可以分多級(jí)遞交，且可以靈活的設(shè)定人員審批通過(guò)的條件，如下圖中所示，加密文件首先提交給張三、李四、王五三人，三人中兩人批準(zhǔn)，解密審批請(qǐng)求將繼續(xù)提交給趙六、沈七兩人，兩人全部批準(zhǔn)，加密文件方可被成功解密。此流程僅為示例流程，企業(yè)可根據(jù)實(shí)際情況定義更多級(jí)別更為復(fù)雜的審批過(guò)程。整體解決方案用戶與AD用戶對(duì)應(yīng)，所以審批人員也能夠與AD帳戶進(jìn)行對(duì)應(yīng)。需要進(jìn)行文件解密的員工可以根據(jù)不同文件類型和文件性質(zhì)，選擇不同的審批流程提交加密文件的解密請(qǐng)求。整體解決方案審批流程如下：1）客戶端通過(guò)狀態(tài)欄鎖標(biāo)選擇“申請(qǐng)解密”打開數(shù)據(jù)安全系統(tǒng)解密審批客戶端解面：

圖客戶端解密審批界面2）只有對(duì)應(yīng)該人的審批管理員才能收到該解密請(qǐng)求，并在管理員端有自動(dòng)提示，同時(shí)審批管理員在審批頁(yè)面可以查看加密文件內(nèi)容，包括提交用戶、文件作者、解密事由等信息；審核完成后對(duì)解密申請(qǐng)進(jìn)行“通過(guò)”或“駁回”處理：■審*岳息修理果13回區(qū)文怦甲窖一平落辨作當(dāng)C降口W"?■移**擊.沌廣i鏟］廣1HI1諱、■小莒理員的審按Hi怵辨面申注姓理總好I所有工I申跑間a成0~心1IM至商rx危晶1咨由美健字L二I列名5二"伯；4：全適缺｝±^1主成:訶執(zhí)日操作刷新m季知i:頊,、_g忘1A.->sWSfii點(diǎn).豐批援忙文件名中請(qǐng)者申律時(shí)間申i菖備在查舌詳期下盤回::七芝=..銷H批流程料.-iocUE4Tzoio-a3-oq23：<D.Q9誼立#不也含壯漏息』希至肯送給外?新客F.it君評(píng)割下牝亍炬：］■?:頁(yè)圖審批管理員進(jìn)行審批操作客戶端可以通過(guò)提示信息或打開查詢頁(yè)面查看解密申請(qǐng)?zhí)幚磉M(jìn)度，如解密請(qǐng)求通過(guò)后客戶端可以通過(guò)查詢頁(yè)面從服務(wù)器端下載一份明文，

下載已通過(guò)解密的文件:業(yè)務(wù)系統(tǒng)兼容，如：PLM、SAP等業(yè)務(wù)系統(tǒng)兼容，不影響業(yè)務(wù)系統(tǒng)的正常使用；系統(tǒng)專用能夠良好地與各類管理軟件系統(tǒng)無(wú)縫集成并提供文檔安全保障，可實(shí)現(xiàn)企業(yè)中現(xiàn)有管理軟件的兼容及使用，集中存儲(chǔ)于服務(wù)器中的文件以明文形式存在，但是文件下載到客戶端機(jī)器以后，是以密文形式存在，在不影響使用的基礎(chǔ)上保證了文件的安全性。方案說(shuō)明:1、在企業(yè)內(nèi)網(wǎng)環(huán)境部署系統(tǒng)專用服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)安全系統(tǒng)客戶端的身份認(rèn)證工作；2、在業(yè)務(wù)服務(wù)器前架設(shè)資源方安全網(wǎng)關(guān)，進(jìn)行訪問(wèn)控制，以檢測(cè)訪問(wèn)服務(wù)器的客戶端是否具有數(shù)據(jù)安全系統(tǒng)客戶端程序；3、在企業(yè)內(nèi)部員工計(jì)算機(jī)安裝數(shù)據(jù)安全系統(tǒng)客戶端系統(tǒng)，并與員工本地計(jì)算機(jī)進(jìn)行綁定對(duì)應(yīng)。方案效果說(shuō)明:1、員工本地生成的加密文件上傳至文件服務(wù)器前，會(huì)由本地客戶端執(zhí)行解密后上傳，即文件服務(wù)器上最終存儲(chǔ)的為明文文件。2、員工下載文件資源時(shí)，由安全網(wǎng)關(guān)對(duì)機(jī)器標(biāo)識(shí)進(jìn)行過(guò)濾，若為數(shù)據(jù)安全系統(tǒng)客戶端用戶，則下載允許，否則下載禁止。3、數(shù)據(jù)安全系統(tǒng)客戶端員工下載到本地的文件為密文形式，即落地為密文。員工通過(guò)公司內(nèi)其他未安裝客戶端機(jī)器進(jìn)行登錄時(shí)，下載操作將被禁止。加密文檔有備份冗余機(jī)制保證控制文件高可用，不能損壞，不能丟失。整體解決方案有獨(dú)立的文件備份模塊，配置后可支持文件遠(yuǎn)程自動(dòng)備份。根據(jù)用戶需要，為客戶端下發(fā)文件備份策略，如“office系列文件備份”、“CAD系列文件備份”等。確保了文件的安全性的同時(shí)，增強(qiáng)了文件的防破壞性。所有備份文件均以加密形式保存在文件備份服務(wù)器上。只有文件管理員能夠使用指定的查看工具，查看備份服務(wù)器上的加密文件。創(chuàng)建圖為用戶選擇“文件備份服務(wù)器”

圖為用戶下發(fā)文件備份策略圖文件管理員查看“文件備份服務(wù)器”上的備份文件完整的日志審計(jì)功能；整體解決方案擁有完善的日志功能，能夠記錄控制臺(tái)與客戶端的操作日志。除日志之外，整體解決方案還提供了十余張報(bào)表分析，以便于用戶更直觀的從日志信息中總結(jié)出需要關(guān)注的問(wèn)題。1）控制臺(tái)日志：能夠?qū)Τ?jí)管理員（admin）和所有部門管理員在控制臺(tái)的操作行為進(jìn)行審計(jì)。審計(jì)的內(nèi)容包括：創(chuàng)建用戶，修改用戶，刪除用戶，綁定用戶，刪除綁定信息，創(chuàng)建部門，撤消部門，調(diào)整部門，應(yīng)用策略，撤消策略，新建用戶策略，刪除用戶策略，修改用戶策略，導(dǎo)入導(dǎo)出策略，登陸登出等。2）客戶端日志：能夠?qū)λ袉T工進(jìn)行的文件操作行為進(jìn)行審計(jì)。審計(jì)的內(nèi)容包括：新建文件、復(fù)制文件、粘貼文件、保存文件、刪除文件、共享文件、文件名稱更改、文件路徑變更、文件手動(dòng)加解密、郵件發(fā)送、文件打印操作等。除此之外整體解決方案支持日志導(dǎo)出功能，能夠?qū)⑷罩拘畔?dǎo)出，以excel表格形式存儲(chǔ)。圖日志信息導(dǎo)出成excel表格3）報(bào)表：結(jié)合用戶的實(shí)際需要，整體解決方案現(xiàn)提供了統(tǒng)計(jì)報(bào)表、策略報(bào)表和預(yù)警報(bào)表三大類共十余張報(bào)表信息，其中包括文件解密失敗報(bào)表、安全文件服務(wù)器文件數(shù)量報(bào)表、策略使用頻率報(bào)表、非法登陸報(bào)表等。如果用戶需要，資源方相關(guān)技術(shù)人員可以根據(jù)用戶的不同關(guān)注情況，提供更多內(nèi)容的報(bào)表查詢功能。報(bào)表分折—預(yù)警展表報(bào)表類別耳骷登錄投表（按用戶名V查詢截吐日期2008-10^30■■■圖報(bào)表查詢界面三、設(shè)計(jì)及技術(shù)特點(diǎn)C/S+B/S的體系架構(gòu)資源方企業(yè)級(jí)安全管理解決方案采用了C/S+B/S的結(jié)構(gòu)設(shè)計(jì)，管理員在內(nèi)網(wǎng)中任意一臺(tái)可以連接服務(wù)器的機(jī)器上，即可以完成統(tǒng)一的瀏覽器界面操作，進(jìn)行企業(yè)的管理工作，方便相關(guān)管理人員使用。設(shè)計(jì)風(fēng)格上以“簡(jiǎn)潔方便”為宗旨，操作界面完全從用戶角度出發(fā)，減少獲取信息的操作層次。本系統(tǒng)界面友好、美觀，操作方便。在顏色、字體、標(biāo)題、操作提示信息等均采用了標(biāo)準(zhǔn)化、統(tǒng)一化的風(fēng)格，降低了對(duì)使用者計(jì)算機(jī)知識(shí)的要求，易學(xué)易用?？紤]到企業(yè)安全需求的變化性，本系統(tǒng)在設(shè)計(jì)上考慮到最小的修改來(lái)滿足企業(yè)在安全上的要求。整體上，系統(tǒng)采用了模塊化的設(shè)計(jì)，新的模塊可以進(jìn)行便捷地動(dòng)態(tài)加載，擴(kuò)展非常方便。系統(tǒng)客戶端安裝可以采用遠(yuǎn)程推送+本地安裝+域腳本安裝，多種安裝方式可以靈活選擇并組合使用，更大程度上提高了管理效率。資源方企業(yè)級(jí)安全管理解決方案的總體設(shè)計(jì)充分考慮了各類企業(yè)各種不同的實(shí)際需求和安全策略，并且考慮了其當(dāng)前各環(huán)節(jié)管理中數(shù)據(jù)處理的安全性和便利性。在設(shè)計(jì)中融入基于模塊化設(shè)計(jì)的思想，使整個(gè)系統(tǒng)具有高度的可擴(kuò)展性和可定制性。系統(tǒng)能夠與各類企業(yè)已有的基礎(chǔ)業(yè)務(wù)系統(tǒng)良好結(jié)合。同時(shí)在系統(tǒng)設(shè)計(jì)中使用可擴(kuò)展的設(shè)計(jì)方式，為系統(tǒng)將來(lái)的擴(kuò)展提供了一個(gè)良好的基礎(chǔ)。SSF的服務(wù)器架構(gòu)資源方企業(yè)級(jí)安全管理解決方案服務(wù)器采用級(jí)SSF（ScalableServiceFramework可擴(kuò)展服務(wù)框架）技術(shù)，能夠?qū)崿F(xiàn)可靠的且易于擴(kuò)展的服務(wù)器框架，包括可動(dòng)態(tài)規(guī)劃的主框架、底層通信、內(nèi)存管理、自定義協(xié)議的處理。資源方SSF服務(wù)器設(shè)計(jì)具有以下特點(diǎn)：可重用性：資源方SSF服務(wù)器把功能與功能之間相互獨(dú)立，降低各服務(wù)之間的偶合性，提高各功能代碼的可重用性，減少開發(fā)新功能的重復(fù)工作。穩(wěn)定性：資源方SSF采用相對(duì)獨(dú)立的組件實(shí)現(xiàn)每個(gè)服務(wù)要素，所有功能都可以從框架中單獨(dú)的剝離出來(lái)進(jìn)行單元測(cè)試，有利于開發(fā)自動(dòng)化測(cè)試工具來(lái)加快問(wèn)題排查的速度。可配置性：資源方SSF引用先有解決方案后有具體功能的思想，整個(gè)服務(wù)器框架的初始化模塊，根據(jù)配置腳本動(dòng)態(tài)生成，方便不同的部署環(huán)境配置不同的解決方案。可擴(kuò)展性：因?yàn)橘Y源方SSF組件對(duì)外開放功能是以接口的形式實(shí)現(xiàn)的，每個(gè)接口具體實(shí)現(xiàn)對(duì)于模塊之外是透明的，外部只需要知道以固定方式調(diào)用所需接口就能實(shí)現(xiàn)其功能，而被引用模塊的具體行為外部模塊并不關(guān)心，這樣更易于擴(kuò)展。>可靠性：資源方SSF的實(shí)現(xiàn)能夠減少對(duì)已穩(wěn)定階段性成果進(jìn)行修改，減少因?yàn)榘姹静患嫒荨⑴己闲詥?wèn)題等等所帶來(lái)的不穩(wěn)定因數(shù)。3.3分級(jí)管理架構(gòu)資源方企業(yè)級(jí)安全管理解決方案采用了分級(jí)管理的結(jié)構(gòu)設(shè)計(jì)，可以根據(jù)企業(yè)的實(shí)際組織結(jié)構(gòu)以及企業(yè)安全管理規(guī)章制度，建立不同級(jí)別的分級(jí)管理員。超級(jí)管理員可以根據(jù)企業(yè)組織結(jié)構(gòu)管理，建立不同級(jí)別的分級(jí)管理員，即部門管理員。系統(tǒng)對(duì)不同分級(jí)管理員，默認(rèn)有對(duì)應(yīng)的權(quán)限。超級(jí)管理員可以改變各管理員對(duì)應(yīng)權(quán)限。各級(jí)管理員登錄控制臺(tái)的菜單及功能由設(shè)置的對(duì)應(yīng)管理員權(quán)限決定。3.4驅(qū)動(dòng)級(jí)透明加解密技術(shù)資源方企業(yè)級(jí)安全管理解決方案采用了驅(qū)動(dòng)級(jí)透明加解密技術(shù)，以下為技術(shù)示意圖:思智ERM強(qiáng)制加解密技術(shù)文件安全策略對(duì)于某類受控制的應(yīng)用程序保存的文件，在從內(nèi)存寫入硬盤前，都將自動(dòng)進(jìn)行加密。思智ERM強(qiáng)制加解密技術(shù)文件安全策略對(duì)于使用受控制應(yīng)用程序打開的文件，讀入內(nèi)存前，首先進(jìn)行身份認(rèn)證及權(quán)限判定，對(duì)合法訪問(wèn)的用戶自動(dòng)進(jìn)行解密。驅(qū)動(dòng)級(jí)透明加解密應(yīng)用，不會(huì)改變用戶文件默認(rèn)打開方式，當(dāng)用戶選擇使用特定的應(yīng)用程序打開密文時(shí)，如該程序也屬于受保護(hù)程序范圍內(nèi)，在通過(guò)權(quán)限驗(yàn)證后，系統(tǒng)也將自動(dòng)解密，否則將不會(huì)自動(dòng)進(jìn)行解密操作。>文件透明加密過(guò)程不改變文件本身的格式和文件管理原有的操作方式。用戶在對(duì)文件進(jìn)行安全保護(hù)的過(guò)程中，不改變文件本身的格式。用戶在使用加密文件的過(guò)程中，也無(wú)需安裝特殊的文件閱讀器，只需要安裝有整體解決方案的客戶端程序。同時(shí)按照文件原有的使用習(xí)慣，打開和操作加密后的文件即可，所有的操作實(shí)現(xiàn)透明化。整個(gè)驅(qū)動(dòng)級(jí)透明加解密過(guò)程安全、簡(jiǎn)便、快捷，不會(huì)生成任何可能泄密的臨時(shí)文件，對(duì)用戶的操作也不會(huì)產(chǎn)生任何影響。當(dāng)用戶被應(yīng)用強(qiáng)制加解密策略之后，被加密保護(hù)的文件操作可以像操作普通文件一樣，文件的加解密轉(zhuǎn)換完全在系統(tǒng)后臺(tái)完成。在任何存儲(chǔ)介質(zhì)中，被加密過(guò)的文件將始終保持加密格式，只有授權(quán)用戶才能進(jìn)行解密和應(yīng)用。驅(qū)動(dòng)級(jí)透明加解密技術(shù)比應(yīng)用級(jí)透明加解密技術(shù)工作效率更高、獨(dú)立性更好、安全性更強(qiáng)。同時(shí)由于其涉及操作系統(tǒng)底層驅(qū)動(dòng)編程技術(shù)，技術(shù)難度也更大，目前國(guó)內(nèi)只有極個(gè)別信息安全企業(yè)擁有完整的該項(xiàng)技術(shù)。3.5剪貼板防護(hù)技術(shù)作為防止用戶主動(dòng)泄密的重要環(huán)節(jié)，系統(tǒng)專用文件安全管理系統(tǒng)采用了剪貼板保護(hù)技術(shù)。系統(tǒng)將受透明加解密模塊保護(hù)的應(yīng)用程序作為受信進(jìn)程，其它應(yīng)用程序作為不受信進(jìn)程，受信進(jìn)程內(nèi)及受信進(jìn)程之間，基于快捷鍵、鼠標(biāo)右鍵、拖拽操作等各種方式進(jìn)行的拷貝、剪貼操作，將不受任何限制；對(duì)從不受信進(jìn)程到受信進(jìn)程的拷貝、剪貼操作也不受限制；但系統(tǒng)禁止任何方式的從受信進(jìn)程到不受信進(jìn)程的拷貝、剪貼操作。見(jiàn)下圖所示:3.6用戶身份認(rèn)證技術(shù)對(duì)用戶身份認(rèn)證是企業(yè)級(jí)安全系統(tǒng)建設(shè)的基礎(chǔ)。只有首先區(qū)分出哪些用戶是經(jīng)過(guò)授權(quán)的，并且只允許經(jīng)過(guò)授權(quán)的用戶登錄內(nèi)部網(wǎng)絡(luò)和訪問(wèn)關(guān)鍵的數(shù)據(jù)信息，才能做到企業(yè)級(jí)文件安全系統(tǒng)的安全性。如果不對(duì)用戶身份進(jìn)行安全認(rèn)證，對(duì)任何人都開放權(quán)限的話，那么企業(yè)和機(jī)構(gòu)將面臨巨大的安全威脅和風(fēng)險(xiǎn)。“系統(tǒng)專用文件安全管理系統(tǒng)”采用了身份認(rèn)證技術(shù)，系統(tǒng)支持“一次一密”認(rèn)證，并能夠支持結(jié)合USB電子鎖、智能卡、指紋、聲紋、虹膜等多種先進(jìn)的終端用戶信息認(rèn)證方式。經(jīng)過(guò)身份認(rèn)證后，企業(yè)可以確保只有被授權(quán)的用戶可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，使用內(nèi)部網(wǎng)絡(luò)的資源（企業(yè)可以確保只有被授權(quán)的用戶可以打開和使用本地以及網(wǎng)絡(luò)中的加密文件）。在內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)中，計(jì)算機(jī)終端既是主要的組成部分，也是進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口。所以，我們?cè)趯?duì)內(nèi)部文件進(jìn)行安全管理的同時(shí)，首先要做的就是加強(qiáng)對(duì)終端登錄的安全管理和控制。企業(yè)中的用戶只有經(jīng)過(guò)合法身份認(rèn)證，才能進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)企業(yè)的內(nèi)部（加密）文件，從而有效避免企業(yè)機(jī)密文件泄密事件的發(fā)生。3.7軟件開發(fā)質(zhì)量保障體系資源方的軟件開發(fā)過(guò)程參照iso軟件質(zhì)量保證與評(píng)估體系標(biāo)準(zhǔn)，基于國(guó)內(nèi)外先進(jìn)開發(fā)管理方法，借鑒眾多軟件企業(yè)開發(fā)項(xiàng)目管理的實(shí)踐經(jīng)驗(yàn)，同時(shí)體現(xiàn)并蘊(yùn)含現(xiàn)代軟件工程管理理念、動(dòng)態(tài)的項(xiàng)目組織管理、過(guò)程控制的軟件質(zhì)量管理、過(guò)程控制的項(xiàng)目成本管理的思想。在最大程度上保證了項(xiàng)目的質(zhì)量控制。3.8多種技術(shù)保障系統(tǒng)健壯性系統(tǒng)采用“遠(yuǎn)程推送”技術(shù)，系統(tǒng)管理員在部署過(guò)程中，只需要在控制臺(tái)機(jī)器上遠(yuǎn)程安裝，即可以快速完成系統(tǒng)部署及便捷地配置用戶的組織結(jié)構(gòu)。所有部門變更、用戶刪除和用戶恢復(fù)操作均可輕松完成。整體解決方案通過(guò)進(jìn)程監(jiān)控、進(jìn)程守護(hù)、注冊(cè)表保護(hù)、時(shí)間同步、定時(shí)與服務(wù)器通訊、程序完整性檢測(cè)等方式，確?？蛻舳讼到y(tǒng)自身的安全?？紤]到用戶機(jī)器的環(huán)境多樣性，整體解決方案能夠與主流殺毒軟件（瑞星、江民、卡巴斯基、諾頓）、防火墻軟件、財(cái)務(wù)系統(tǒng)、OA系統(tǒng)等應(yīng)用系統(tǒng)保持兼容。四、采用企業(yè)級(jí)安全方案的優(yōu)勢(shì)4.1先進(jìn)性資源方企業(yè)級(jí)信息方案的總體設(shè)計(jì)充分考慮了各類企業(yè)各種不同的實(shí)際需求和安全策略，并且考慮了其當(dāng)前各環(huán)節(jié)管理中數(shù)據(jù)處理的安全性和便利性。在設(shè)計(jì)中融入基于模塊化設(shè)計(jì)的思想，使整個(gè)系統(tǒng)具有高度的可擴(kuò)展性和可定制性。系統(tǒng)能夠與各類企業(yè)已有的基礎(chǔ)業(yè)務(wù)系統(tǒng)良好結(jié)合。同時(shí)在系統(tǒng)設(shè)計(jì)中使用可擴(kuò)展的設(shè)計(jì)方式，為系統(tǒng)將來(lái)的擴(kuò)展提供了一個(gè)良好的基礎(chǔ)。本方案產(chǎn)品是采用可擴(kuò)展的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，研發(fā)完成的企業(yè)級(jí)的信息安全管理系統(tǒng)。系統(tǒng)在設(shè)計(jì)中將融入基于組建化和模塊化設(shè)計(jì)的思想，使整個(gè)系統(tǒng)具有高度的可擴(kuò)展性和可定制性。本方案產(chǎn)品采用C/S+B/S的結(jié)構(gòu)設(shè)計(jì)，管理員在內(nèi)網(wǎng)中任意一臺(tái)可以連接服務(wù)器的機(jī)器上，即可以完成統(tǒng)一的瀏覽器界面操作，進(jìn)行企業(yè)的管理工作，方便相關(guān)管理人員使用。設(shè)計(jì)風(fēng)格上以“簡(jiǎn)潔方便”為宗旨，操作界面完全從用戶角度出發(fā)，減少獲取信息的操作層次。本系統(tǒng)界面友好、美觀，操作方便。在顏色、字體、標(biāo)題、操作提示信息等均采用了標(biāo)準(zhǔn)化、統(tǒng)一化的風(fēng)格，降低了對(duì)使用者計(jì)算機(jī)知識(shí)的要求，易學(xué)易用。考慮到企業(yè)安全需求的變化性，本系統(tǒng)在設(shè)計(jì)上考慮到最小的修改來(lái)滿足企業(yè)在安全上的要求。整體上，系統(tǒng)采用了模塊化的設(shè)計(jì)，新的模塊可以進(jìn)行便捷地動(dòng)態(tài)加載，擴(kuò)展非常方便。系統(tǒng)客戶端安裝可以采用遠(yuǎn)程推送+本地安裝+域腳本安裝，多種安裝方式可以靈活選擇并組合使用，更大程度上提高了管理效率。4.2兼容性本方案產(chǎn)品支持Windows的各類系統(tǒng)。同時(shí)可訪問(wèn)各種大型關(guān)系數(shù)據(jù)管理系統(tǒng)，如Mysql、Oracle、Sybase、DB2、SQLServer等，實(shí)現(xiàn)各類系統(tǒng)和數(shù)據(jù)庫(kù)之間的信息交換。4.3安全性本方案產(chǎn)品運(yùn)用了PKI安全認(rèn)證技術(shù)解決系統(tǒng)中所涉及的授權(quán)問(wèn)題、加密問(wèn)題。系