文檔保密管理——電子文檔安全管理系統

來源:中國電科     作者:系統管理員     發布時間:2009年09月08日              

一、       背景

(一)       面向用戶

適用于各黨政機關的安全辦公需求,也可用于銀行、軍工單位、事業單位和企業單位的文檔安全管理。

(二)       形勢與需求

綜觀信息安全領域的發展趨勢,可以清晰的看到,原本以惡作劇、顯示計算機能力等為目的的網絡入侵,已經逐步的轉變成了直接以危害商業利益或國家安全為目的的情報竊取行為;在這種目的的驅使下,入侵目標網絡,獲取涉密文件數據信息的安全事件占了所有安全事件的80%之多。

涉及國家安全的機密文件,嚴重影響到國家的安全和利益。

涉及企業的機密文件,通常與企業的決策甚至生存有著密切的聯系,如產品設計圖面、產品開發相關數據、專利及工程計劃、市場開拓計劃等,這些文件的泄露輕則導致企業利潤下滑,信譽受損,嚴重的會導致企業破產。

二、       方案摘要

電子文檔安全管理系統網絡版(簡稱安全工作室或工作室)在信息安全領域中屬于文檔安全領域,保護了個人計算機及企事業單位網絡中最主要的存儲部分——文檔信息的安全,防止了用戶重要信息的意外泄密,極大地保障了用戶單位的信息安全因此,具有十分重要的地位。

本系統可以對企事業單位用戶文檔信息的安全保密起到很好的加強作用:

l       防止單位用重要電子文檔泄密,避免因硬件失竊而造成重大損失;

l       為電子文檔的泄密提供了追查依據。一旦發生泄密事件,可以判斷泄密事件是管理的問題還是技術的問題,采取對應的有效措施;

l       為機密電子文檔的管理提供了一套有效的管理辦法,解決了信息系統使用方便性和安全可控的難點。

l       本系統完全遵循國家密碼管理局《安全電子文件密碼應用規范》,且是第一款完全依照規范研發的產品,對規范化使用密碼,推廣規范起到了重要作用。

三、       方案構成、功能及特點

(一)       系統架構

該系統方案采用C/S架構,如下圖所示,通過安全工作室可以實現文檔文件的特殊保護,經過特殊保護后的文檔文件一旦離開企業/組織規劃的安全域網絡環境后便無法使用。這樣就將企業/組織中的一些核心數據牢牢限定在了安全可控的業務環境中,有效的保證了企業/組織中核心數據的安全性。

(二)       系統功能

1.       詳細的操作日志記錄

客戶端對文檔的各種關鍵操作,都將在服務器上生成詳細的操作日志,能夠完全回溯文檔和用戶操作流程。

2.       有效的離線文檔可控性

客戶端能夠及時地接收服務端下發的各種安全策略控制,同時存有自身的離線策略。文檔影子只能在在線狀態下被打開,而加密文檔能夠根據離線策略的控制,確保加密文檔只能在指定的電腦上被打開,并對其可操作權限有著嚴格的控制。

3.       完善的終端保護機制

采用了優秀的防屏幕捕獲技術,智能判斷和發現有保密內容當前處于被打開狀態,就杜絕一切捕獲屏幕的手段生效;其它情況下,不啟用該保護機制。使用專業的抓圖工具(例如:TechSmith CamtasiaSnagItHyperSnap-DX等著名軟件,經過實際測試過的錄屏、抓圖軟件超過500種,本系統均能防止其非法屏幕錄制、屏幕抓圖)進行屏幕捕獲時,未被安全工作室保護的區域都能夠正常被截圖,而被安全工作室所保護的文檔顯示區域則顯示全黑。

為了防止文檔在打開、編輯、查閱、存儲過程中,被惡意編程方式(例如:二次開發自動化接口)直接從內存中竊取文檔內容,本系統針對各種插件、宏、腳本和其它一些可能存在的文檔操作相關技術,都從破壞體制上進行了安全處理,成功阻止其后臺獲取文檔內容,杜絕了通過這種方式竊取文檔的可能性。在文檔編寫和錄入的過程中,具備鍵盤原始記錄功能的后臺惡意軟件,本系統加入了防鍵盤記錄功能,通過阻斷和鍵盤操作相關的系統函數的正常返回,能夠防止絕大多數常見的原始鍵盤記錄剽竊行為。本系統針對例如金山詞霸等軟件的鼠標取詞等捕獲內容的技術從機制上做了屏蔽。

本系統增強了防內存非法復制、轉儲等重要安全保護功能。

4.       阻止外泄電子文檔正常使用

機密電子文檔的泄漏,通常是內外勾結,通過正常的渠道將機密電子文檔傳播出去。在這種情況下,最重要的是使得獲取機密電子文檔的非授權人員無法對該文檔進行操作,通俗來說,就是“拿走了,也沒用”。

在本系統中,由于用戶所下載的文件是影子化文件,內容僅記錄加密的特殊格式信息,因此不存在被本地破解的可能性。

5.       文檔使用時間的控制

本系統能夠有效控制機密文檔的使用期限,用戶在使用期限之后將無法打開文檔。即使是位于安全域范圍內正常用戶在其離線的時候,也不能更改文檔有效使用時間;用戶在線的狀態下,客戶端自動獲取服務端標準系統時間,作為文檔有效期控制的時間參考,從而防止用戶對文件使用時間期限的更改。而在用戶離線狀態下,企業文檔將一律不允許被打開。

6.       關鍵功能透明化操作

用戶無需安裝特殊的文件閱讀器,直接按照原使用習慣打開和操作加密后的文件即可,操作實現透明化。

7.       兼容Windows操作習慣

本系統秉承“人機交互易用兼容”原則,各項功能操作完全兼容Windows操作習慣,界面風格簡單、菜單結構直觀、操作流程精簡。客戶端和服務端均支持文件拖放和快捷鍵操作,可適應各個層次用戶的操作習慣。

8.       廣泛的文件格式支持

支持廣泛的文件格式,包括:

Microsoft Office 系列文檔格式;

Adobe PDF 文檔格式;

TXT 文件格式;

AutoCAD 文件格式;

可以與Louts Domino辦公OA系統、面向WebB/S結構辦公OA系統進行整合;

客戶端支持Windows 2000/XP/2003

(三)       系統特點

通過采用獨創的電子文檔標簽技術,使文檔內容加密且文檔實體非本地化存儲(可以實現終端上不落地)。從用戶身份認證管理、訪問控制、文檔密級安全管理和綜合安全審計等多方面對文檔進行管理,確保文檔信息的完整性和保密性,有效地防止了單位內部機密信息泄漏擴散和非法盜取。

終端上采用了多重操作保護,在使用文檔時能有效防止另存、復制、粘貼、發送、截屏、錄屏、取詞和遠程監控等操作;并能防止人為通過電子郵件、移動硬盤、U盤、軟盤等途徑盜取數據文檔,保證了文檔安全。

(普華基礎軟件股份有限公司提供)

贵州体彩网