时代亿信文件盾系列文档权限管理产品(以下简称SecureDOC-R产品)专注于企业内部电子文件的细粒度权限管理,通过控制电子文件的阅读、复制、编辑、打印、截屏权限,以及分发、离线、外发、解密等高级权限,实现企业内部电子文件的安全共享及安全交换。
产品可解决的问题
它可为用户解决如下问题:
1. 企业内部电子文件的权限管理,可为军工、保密机关、金融、电信等行业以及其他对电子文档权限控制有需求的企事业单位提供细粒度权限控制服务,并提供详细的文件使用日志。
2. 企业内部用户之间文件安全交换,对需要小范围共享、交换的文件进行细粒度授权、使用权限控制及操作内容审计。
3. 企业内部电子文件集中存储与访问控制,提供企业共享文档库,以类似资源管理器的方式呈现和管理电子文档,并可设置不同用户的访问权限和使用权限。
产品功能组成
SecureDOC-R产品由文档安全管理服务器和文档安全客户端组成。
图1-1 SecureDOC-R功能组成
文档安全管理服务器:主要完成用户信息、文档密钥、文档权限及审计日志等存储和管理功能。
文档安全管理服务器具有多种文件保护服务:
a) 细粒度权限控制服务:控制文件的阅读、编辑、复制、打印、截屏、分发、离线、外发、解密权限;
b) 文档权限管理服务:追加或撤销对文件的授权;
c) 文档解密服务:根据用户请求对加密文档进行解密;
d) 文档离线服务:根据用户请求对加密文档授予离线权限,用户可在脱离文档安全环境中使用加密文档;
e) 文档外发服务:根据用户请求将文件制作为外发包,并设置外发包的保护措施及使用权限设置。
文档安全管理服务器提供了基于Web方式的管理平台,并提供基于三员分立的管理员管理体系,还具有管理员分级管理功能。管理员可以在平台进行下列工作:
a) 系统管理员:负责系统参数配置、用户帐户管理、细粒度权限控制策略配置、用户日志审计。
b) 文档管理员:为用户设定密级、文档权限修改。
c) 系统审计员:审计系统管理员操作日志、审计文档管理员操作日志。
文档安全客户端:包含文件加解密驱动、权限控制、文档授权、离线控制、文档外发、用户平台等组件。主要完成文档透明加解密、权限控制、文件离线、文件外发、日志记录等功能。
产品优势
对比其他同类产品,SecureDOC-R产品拥有下列优势:
· 驱动级透明加解密技术,没有文件格式限制;
· 与常见安全软件(杀毒软件、防火墙、防木马工具等)具有良好兼容性;
· 除控制阅读、编辑、复制、打印、截屏等基本权限外,还可控制分发、离线、外发、解密及硬件绑定、使用时间等延伸权限;
· 提供文件安全交换功能,即文档作者可以选择文件的发送对象并设置其细粒度使用权限,从而保证文档可以在小范围内的安全共享与交换;
· 提供企业共享文档库功能,以类似资源管理器的形式呈现和管理企业内部集中存储的电子文件,并确保不同用户对文件的访问权限和使用权限;
· 提供文件离线情况下的细粒度权限控制和离线天数控制功能;
· 提供文件外发功能,可控制外部用户的使用权限和使用天数。
2、产品功能特点
提供整体安全解决方案
文件盾系列产品是北京时代亿信科技有限公司为企业用户提供的文档安全整体解决方案。本方案专注于对各类文档的全面保护,针对传统文档保密方式的缺点,文件盾系列产品将驱动级透明加解密技术应用于文档的创建、编辑和使用的过程,利用透明加解密实现对文件的内容保护。通过透明加解密技术与主动/自动授权,可让任何位置上的保密文档都处于严格的管控当中,经过加密授权的文档,可以保存在文件服务器、文档库中,也可以通过应用系统进行流转或共享传递。加密保护和多达10种细粒度权限控制可以确保每个加密文档只能在适当的范围被适当的人执行适当的操作。
基于进程的控制方式,可以让用户在终端打开编辑器时就对编辑器进程进行过滤驱动保护。
通过进程保护、透明加解密等技术,结合应用系统与编辑控件的深度集成,对文档在创建、编辑、存储、流转、分发、外发等各个环节进行加密保护,全程保持密文状态。
图2-1 系统整体运行图
技术成熟稳定
文件盾系列产品拥有先进的用户身份认证服务、强大的透明加解密能力,完善的第三方应用接口,配合丰富实用的细粒度的权限控制以及友好的用户体验,在通信、金融等行业内,都拥有10万用户级的成功案例。文件盾系列产品早在2008年就进入运营商、金融行业,这些客户对于系统的性能、稳定性有着较为严格的要求。经过多年的积累,产品已经形成了如下优势:
· 系统支持10万级以上用户量
· 整合主流OA厂商产品与主流Office插件,提高用户使用体验
· 拥有完善的身份认证体系
· 10余种细粒度文档访问控制策略
· 可信进程保护技术从编辑器开始保护文档信息安全
· 主/被动结合的授权方式,简化用户使用流程
对于最终用户,在对文档进行正常操作时,无需过多关注产品本身,透明的加解密方式可以让用户毫无感觉的访问或保存加密文档。通过鼠标右键集成菜单,用户可以方便的对文档进行各种操作。
经过加密授权后的文档,会自动在其原有图标上增加一个小锁图标,方便用户区别加密文档与明文文档。
文件加解密
透明加解密:SecureDOC-R产品采用先进的驱动级文档加解密技术,默认采用128位AES对称加解密算法,可以根据应用需要替换算法和密钥长度。同时,密文和密钥分离,密钥在服务端加密存储,客户端通过加密通道从服务端获取文档密钥和权限。
图2-2 透明加解密示意
支持的文件格式:SecureDOC-R产品支持多种常见的办公文档格式和媒体文件格式,满足企业日常办公的需要。支持但不限于下列格式的文件:
· 金山WPS 2007/2009/2012办公软件文件扩展名wps、et;· Microsoft Office Word 2003/2007/2010文件扩展名doc、docx;
· Microsoft Office Excel 2003/2007/2010文件扩展名xls、xlsx;
· Microsoft Office PowerPoint 2003/2007/2010文件扩展名ppt、pptx;
· Microsoft Office Visio 2003/2007/2010文件扩展名vsd;
· Adobe Portable Document Format 5.0/6.0/7.0/8.0/9.0/10.0文件扩展名pdf;
· 记事本、写字板文件扩展名:txt;
· 流媒体格式:wmv、asf、rm;
· Photoshop系列文件扩展名psd;
· CorelDraw系列文件扩展名cdr;
· AutoCAD 系列文件扩展名dwg;
· ACDSee、Windows画图(Mspaint)文件扩展名:jpg、bmp、gif、png。
细粒度权限控制
SecureDOC-R产品对文件操作提供细粒度权限控制,具体如下:阅读:控制文档阅读
编辑:控制文档不允许被编辑
复制:控制剪切板,防止文档内容通过剪切板复制
打印:控制文档打印
打印水印:控制文档打印时是否加入水印
截屏:对常用的截屏软件和屏幕录像软件进行控制
在文件操作权限的基础上,还提供了如下用户延伸权限:
分发:控制用户是否可以对文件授权
离线:控制用户是否可以在脱离企业安全环境下使用加密文档
外发:控制用户是否可以发送文件到企业外部机构、客户、合作伙伴
解密:控制用户是否可以解密加密文件
通过上述细粒度授权策略,既保证文档在流转过程中的安全使用,又可以控制文档的使用权限,有效防止电子文件的非法传播。
文件安全交换
SecureDOC-R产品提供了文档中转站功能,用户登录到文档安全客户端后,即可在文件上使用右键菜单功能,选择文件接收对象并设置其使用权限,从而安全地在小范围共享和交换文件。
图2-3 设置接收对象及其使用权限
文档安全客户端在接收到文件后,会在右下角弹出消息提醒,用户点击消息就可以在文档中转站中查看已收到的文档,并按照被授予的权限使用。
权限申请审批
在文档的实际使用和权限控制过程中,经常会出现权限不满足使用的情况,为此,SecureDOC-R产品提供了权限申请审批机制,用户在使用文档过程中如果权限不够,可以向文档作者申请额外的使用权限,作者审批通过后,用户即可按照新权限来使用文档。
图2-4 用户提交权限申请
企业共享文档库
SecureDOC-R产品具有企业共享文档库功能,以类似资源管理器的界面方式呈现和管理企业内部集中存储的电子文件,还可控制不同部门或不同用户对文档库中文件的访问权限和使用权限。密文离线管理
SecureDOC-R产品不仅为企业内网提供了全面的文档安全保护,对员工出差、领导在家办公的实际情况,提供了专门的加密文档离线控制功能,做到既防止企业文档内容泄露,又可以满足加密文档脱离安全环境使用的实际需求。SecureDOC-R产品采用离线权限组的方式为用户添加离线权限,处于离线权限组的用户才可以在离线状态下使用具有离线授权的加密文档。
管理员可以为不同部门或用户设置不同的离线权限,满足不同部门、不同工作职责的用户使用需求。管理员还可以设置用户对离线文档的操作权限,或审批用户对离线文档的权限申请,并可设置允许的离线时间。
文件外发管理
SecureDOC-R产品对需要向合作伙伴、外部客户、上级单位发送内部文档的需求,提供了制作文档外发包功能。制作外发文档时自动判断用户是否有外发权限,如果没有外发权限,需要用户申请后才能进行外发操作。文档外发包接收方无需安装任何客户端,即可受控操作文档。外发包可控制外部用户对包内文档的阅读、阅读次数、复制、打印等权限,可设置外部用户使用凭证为口令,还可设置与外部用户的硬件信息(IP地址、MAC地址、机器码)进行绑定,提高外发文档安全性。
图2-5 外发文档的权限控制及外部用户硬件信息绑定
外发文档包可设置口令保护,外部用户必须输入正确的口令才能使用文档。外发包还可设置使用天数,在允许使用时间段过后,外发文档将不能再使用。
图2-6 外发文档的口令保护及允许使用时间段设置
良好的环境兼容性
SecureDOC-R产品能在以下环境中正常运行:(1)操作系统支持:32位和64位WINDOWS XP SP2/SP3、WINDOWS VISTA、WINDOWS 7;
(2)能够与目前常用的杀毒软件兼容:360、Symantec Endpoint Protection、金山毒霸、卡巴斯基、瑞星、江民、NODE32、McAfee等;
密钥备份机制
SecureDOC-R产品提供了完善的密钥备份机制,可以保证在系统遇到意外情况时,恢复用户文件密钥,确保所有密文都能正常打开。系统管理
SecureDOC-R产品提供了基于Web方式的管理平台,并提供基于三员分立的管理员管理体系,还具有管理员分级管理功能。管理员可以在平台进行下列工作:系统管理员:负责系统参数配置、用户帐户管理、细粒度权限控制策略配置、用户日志审计。
文档管理员:为用户设定密级、文档权限修改。
系统审计员:审计系统管理员操作日志、审计文档管理员操作日志。
全面的日志审计
1)用户日志审计SecureDOC-R产品全面记录用户的各项日志,系统所有的日志记录信息不可修改、不可手动删除。
2)管理员日志审计
系统主要记录各类管理员登录管理系统后执行的关键操作,如用户管理、用户密级设置、进程加密策略、授权策略等操作。
关于时代亿信
北京时代亿信科技有限公司是一家致力于企业应用整合及信息安全整体解决方案的专业技术服务公司。公司依托首都科技产业优势,专注于数字证书应用、企业应用安全、企业应用整合及相关领域的软件研发与技术服务,为客户提供整体的应用安全解决方案。凭借团队优势和综合技术能力,公司相继独立完成了身份认证、统一身份管理与访问控制、文档安全保护、SSLVPN等一系列创新产品的研发和推广,积累了丰厚的专业技术实力和成熟的客户服务经验,经过不断努力,已经成为企业应用安全及整合领域领先的解决方案提供商。
