企业信息资产安全内控系统产品白皮书.docx

《企业信息资产安全内控系统产品白皮书.docx》由会员分享，可在线阅读，更多相关《企业信息资产安全内控系统产品白皮书.docx（40页珍藏版）》请在第一文库网上搜索。

1、企业信息资产安全内控系统产品白皮书1iSi+62系统简介93系统架构104系统特色114.1 软硬一体114.2 多维度权限控制114.3 精细化权限控制124.4 灵活的附散策略124.5 机密文彳杉卜蜂制124.6 适用范围广134.7 全面堵截漏洞134.8 零感觉客户端134.9 永煤统144.10 广泛兼容性144.11 全面日志审计141.1.1 系统自动加密151.1.2 人工手动加密161.1.3 扫描加密175.2 文档解密185.2.1 组织内机密文件使用时自动解密185.2.2 外发的机密文件使用时自动解密185.2.3 加密文件解密成普通文件195.3 防止泄密195.

2、3.1 防系统泄密195.3.2 防止其它泄密途径205.4 权限控制21541文件共享权限控制215.4.1 再授权225.4.2 密级控制225.4.3 用户授权机器组235.4.4 组内雕235.4.5 权限回收235.5 机密文彳杉卜发245.6 终端离网策略255.6.1 默认离线255.8 安全存储265.8.1 集中管理265.8.2 自主童勾的1inuX系统275.8.3 C)SS存储架构285.8.4 冗余存储295.8.5 磁盘安全策略295.8.6 数据备份295.8.7 监控中心295.9 客户端305.9.1 客户邮署305.9.2 客户端兼容性305.9.3 户全接

3、入315.9.4 客户簸全登录315.9.5 客户端防破解315.9.6 客户端资源占用325.10 献功能325.10.1 OffiCe系列多进程运行模式325.10.2 文件上传下载速度优化335.10.3 全文检索335.10.4 版本管理345.12 分布式授权355.13 系统扩容365.14 日志审计366系统螂376.1 单点单设备376.2 多点单设备376.3 多点多设备387系统应用蜘39关键词：文档安全、透明加解密、权限控制、机密文件外发控制、OSS、软硬一体、版本管理、全文检索、资源管理器整合、管理员漏洞、位错摘要：企业信息资产安全内控系统采用软硬一体的架构，能将分散在

4、各部门各终端电脑上的电子文件进行集中管理、安全的存储、保证文件可以用时可用;采用驱动级透明加解密技术，在组织内有权限的用户通过合法终端可正常使用相关文件，不改变用户使用习惯。非法外泄到组织外的机密文件将不能打开使用；在组织内通过多维的、精细化的权限控制使机密文件的知情范围始终处于受控状态；可对文件进行全生命周期的版本管理满足相关法规遵从通过便捷授权、协同工作、全文检索等有效提高员工的工作效率；以文件所有者为导向的授权机制、自主重构的操作系统、底层采用OSS存储架构有效规避管理员黑洞；系统在空闲时通过比对指纹码可修复因位错损坏的文件或通知相关的人员。缩略语清单:ADActiveDirectory

5、微软活动目录1DAP1ightweightDirectoryAccessProtoco1轻量级目录访问协议OSSObjectStorageSchema对象存储随着科技的发展，人类的进步，信息对个人的发展、组织间的竞争都会产生巨大的影响，有时甚至是决定性的因素；以前人们常说资产信息化，现在都在说信息资产化。信息安全是个耳熟能详的概念，基本上每个计算机系统都有信息安全系统,很多组织都已采用防火墙、杀毒软件、身份认证系统等进行信息安全系统建设。信息安全的内容很多，我们可以抽象的将信息安全的内容理解为外防和内控，前面说的防火强、杀毒软件、身份认证系统等，很大程度上都是防止外部因素对组织信息的窃取和破坏

6、。然而，正如我国信息安全专家沈昌祥院士所说，我国目前信息安全建设的最大问题是花重金购买老三样防外而忽略了防内；据FBI调查有83%的安全事故为内部人员或内外勾结所为。因此，今后一段时间内信息安全系统的建设应该转向“内控为主、内外兼防的模式。信息资产安全内控需要全方位考虑，根据我们的理解，信息资产安全内控整体解决方案至少需要考虑以下四个要素：集中管理:将各终端的电子文件进行集中管理,避免因终端电脑故障、病毒、位错、员工离职等原因造成重要文件的丢失、损毁或者外泄；让信息资产真正成为组织信息资产，而不是个人信息资产；用时可用：集中管理的文件安全储存、用时可用。文件因磁盘故障、磁盘位错或者病毒等因素造

7、成损坏，这类情况是一定会存在的，甚至损坏了也无人察觉，在真正需要使用的时候才发现，造成的损失无法弥补；在这个方面需要做到文件最好不损坏，即使损坏了也要马上知道，能尽快弥补，不要等到要用了才发现问题，真正做到用即可用；受控下使用：在组织内被授权用户通过合法终端正常使用机密文件，不改变用户使用习惯，非法外泄到组织外的文件将不能使用；在组织内机密文件的知情范围受控;外发的机密文件能进行有效的控制，使用时间段、打开次数、是否允许打印等；对文件的所有访问和操作要有详细的日志记录供事后审计。易用：上面三点主要都是解决信息资产的保护问题，但是保护信息资产的目的是为了让这些信息资产给组织带来更大的价值，所以要

8、充分高效的利用这些信息资产，只有易用才能让信息资产发挥更大的价值！企业信息资产安全内控系统就是全面考虑了以上四个要素，推出的信息资产安全内控整体解决方案，主要特点如下：软硬一体能将分散在各部门各终端上的文件进行集中管理底层采用OSS存储架构，实现对文件由于磁盘故障、磁盘位错和病毒可能损坏的情况下最大限度的保护，如果万一文件不幸损坏，可进行系统自动修复或通知相关人员，尽快采取补救措施。这个方面即使有备份系统也是于事无补的，因为如果文件坏了你不知道的话，备份系统里的备份也是坏了的文件！企业能够真正做到“用时可用。令不仅能够做到文件防扩散，在组织内通过多维的、精细化的权限控制使机密文件的知情范围受控

9、，同时由于采用以所有者为导向的权限管理机制，加上底层采用OSS架构的存储，即使系统管理员也无法不留痕迹的对任何文件超出其权限进行任何操作，避免系统管理员黑洞；令采用和资源管理器整合的操作模式，驱动级透明加解密不改变用户的使用习惯，易用性毋庸置疑。企业信息资产安全内控系统是一个全方位的解决方案，从集中管理、即时可用、安全防扩散和易用四个角度全面保护和高效利用组织的信息资产。企业是信息资产安全内控系统的整体解决方案，采用软硬一体的架构，将组织的信息资产进行集中管理；底层采用OSS存储架构、自主重构的操作系统及采用冗余存储技术使集中管理的信息资产安全存储;采用驱动级透明加解密技术,在组织内有权限的用

10、户通过合法终端可正常使用相关文件,不改变用户使用习惯,非法外泄到组织外的机密文件将不能打开使用。在组织内通过多维的、精细化的权限控制使机密文件的知情范围始终处于受控状态;系统在保证安全的同时兼顾易用性。企业信息资产安全内控系统采用软硬一体的架构，使用自主重构的操作系统,底层采用更适合海量的非结构化数据存储的OSS存储架构；终端客户机可通过IE或客户端两种方式访问服务器；适用于任何基于TCP/IP协议的网络体系，单点单设备的典型部署如下图：夏尔iFi1e信息资产安全内控系统单点单设备部署示意图认证过的合法移动终端设备夏尔。技IMahTetBdwxdogy4.1 软硬一体采用软硬一体的架构，可将分

11、散在各终端上的文件进行集中管理，安全存储。有效规避位错问题、管理员黑洞问题。系统易实施、易维护、易扩容。因受周围磁场变化、温差等因素影响，磁盘会产生位错，进而会损坏文件,系统在空闲时可通过比对指纹码找出因位错原因造成损坏的文件并进行系统自动修复或通知相关人员。一些纯软件的解决方案，系统管理员通过一些手段可查看、拷贝甚至破坏整个组织的信息资产。在企业安全内控系统中,系统管理员对文件的操作也必须要得到文件所有者的授权许可，无法通过系统镜像等手段非法镜像克隆系统，有效控制系统管理员安全漏洞。系统易实施、接入网络做好初始设置就可使用；系统易维护、通过管理监控界面可直观的查看系统内存、CPU及磁盘空间的

12、状态和使用情况。磁盘异常时系统可通过邮件等方式进行告警并调整自己的工作状态；系统易扩容、多台设备级联就可实现扩容，统一单个管理监控界面，每台设备具有单独运算能力，扩容不影响系统整体性能。4.2 多维度权限控制文件所有者可主动进行授权又受到授权许可范围和密级的被动限制,从而保证相关人员可正常使用相关文件又使机密文件的知情范围处于受控状态。文件所有者是文件的创建者或是文件创建者授予其为文件所有者的人，文件所有者拥有文件的所有权限并可将文件权限授予其他人。为防止文件所有者在组织内随意授权，可从组织层面限制文件所有者的授权范围，即被授权的人员必须在系统对其许可的授权范围内授权才有效。被授权人必须要具有

13、和文件相同或更高的密级权限才可使用相应的机密文件。文件所有者在进行文件共享时可进行精细化权限控制，可控制查看、下载、修改、覆盖、打印、截屏、再授权、删除以及权限截止时间。共率文件iFi1。内外网文科程波副决方案V2.1doc：r角笆、用户中的项目On1过M标双击或右束雨加到投枚列袤中.所有看翔有所有权PtnIe承父目景校PBfTW:-不夏尔科技 C小发事业HB今测试部门 今文档数字化处理中心今北京技术中心今大客户却6财务部今行取人部今市场部 今客户产业部 %产品乎业部 C业务发展HJC无部门用户授权防菊人角色：初发事业8P/软件开明及业部/软件测4学夏尔科技/!用尸&gD.1ph俎/D1ph曲

14、试&学产品事业部/郎（丁哲理员&9职发业部/管理员夏尔科技/BSfTK1理员都i1用户/通用尸49产晶业8B/*通用尸电Ja产品/，通用户内容理软件产品/49的试烟/测H工程纬49北京技术中心/部门JAVAiH/开发工程纬nHHkrT八32用户瞅iA显示加D用户）：是否执行共享授权列表所有才列表-15WWWptV*查诲条件用定”便.假止到4.4 灵活的防扩散策略灵活的防扩散设置策略满足组织各部门不同类型机密文件自动加密、手动加密的管理需求，通过系统设置可实现：让整个组织的某类文件强制自动加密，某类文件人为判定含有机密信息后进行手动加密；让某个部门的某类文件强制自动加密，某类文件人为判定含有机密

15、信息后进行手动加密；可将一些终端电脑设置成一个机器组，设置该机器组的某类文件强制自动加密，某类文件人为判定含有机密信息后进行手动加密、4.5 机密文件外发控制外发的机密文件可进行有效的控制以防止机密文件的二次扩散，可控制机密文件的使用时间段、打开次数、在那台终端设备上打开，是否允许打印，在那些设备上打印。企业安全内控系统支持对绝大多数应用程序的控制，OffiCe系列、Pro/E.AUTOCAD等，通过配置可实现对一些行业专用软件的控制。4.7全面堵截漏洞企业安全内控系统针对以下安全漏洞进行了全面堵截：系统操作漏洞（内容复制、屏幕截取、对象插入、内容拖拽等）打印控制漏洞（物理打印机、虚拟打印机文件转化等）