产品背景
随着国内经济的不断发展,信息化已经成为了企业日常办公的重要手段,根据相关部门统计, 目前企业的数据 80%以上已经实现了电子化,在某些特定行业如制造业,金融业,通信行业等数 据电子化程度更高。数据电子化为企业带来了巨大的效率提升,与以往使用的纸质文件相比,电 子文件的流转不再受制于特定的传播途径和传播效率,可以通过内部网络,公网以及多种移动存 储介质进行便捷性使用,极大的提高了企业内部及同外部的信息沟通,减少了因信息传递而造成 的时间浪费及准确性等问题。 但随着高速网络的普及和终端应用的不断增加,也给制造企业的信息安全带来了较为严重的 威胁,从近年的富士康设计图纸泄露到韩国三星及 LG 公司内部设计资料外泄等事件,均在一定程 度上为制造业相关企业敲响了警钟。网络高速化发展为内部信息外泄提供了便捷的手段,终端应 用的不断丰富也为制造企业的内部防控带来了一定难度,传统的安全控制手段如桌面管理,上网 行为,网络防火墙等均无法有效的防止内部核心数据的外泄,因此信息安全,必须从信息源头抓 起,才能有效的实现信息全生命周期保护。作为国内数据泄露防护领域的第一品牌,专注 于数据安全研究,为企业提供最优的安全解决方案。
产品介绍
2.1 产品组成:
电子文档安全管理系统包括透明加密、权限管理、外发管理、应用安全网关、安全中 间件、智能移动终端、U 盘客户端七大核心组件,用于对用户电脑终端、移动办公、各类应用系 统上的数据,从生产、存储、流程、外发到销毁进行全生命周期保护。
(1) 电脑终端文档数据安全
透明加密 保证用户核心数据文档从产生开始一致处于加密状态,防止由于数据生产者泄密给企业带来 的数据安全风险。
权限管理 通过对文档加密授权及角色对应,控制文档在内部受控使用,避免越权使用带来的泄密风险。
外发管理 通过对文档加密、授权及封装,控制文档在外部传播和使用时造成的泄密风险。
(2) 应用系统数据安全
应用安全网关:
通过软硬一体化结合的方式为应用系统提供安全保障,应用安全网关可以为应用体统提供安 全准入和数据加解密双重防护。
安全中间件:
以接口的方式为应用系统提供加解密能力,提升应用系统的保密性,保障数据的安全性。安 全中间件基于标准 WebService 接口,不受协议和网络环境限制,只要应用系统具备二次开发能力, 通过调用接口快速完成与第三方应用系统无缝对接。
(3) 移动办公数据安全
U 盘客户端
将透明加密客户端植入 U 盘,合法用户可以根据需要将 U 盘插入任意电脑,即可打开和使用 加密文档,无需连网加密服务器,无需携带办公电脑,主要适用于员工回家加班、出差等情况。
智能移动终端:
为智能移动设备提供专属 APP 安全服务,保证通过移动设备下载到客户端的加密数据 可以正常查看,脱离受控范围无法使用。此模块一般与透明加密、应用安全网关或安全中间件等 配合使用。
2.2 设计原则
2.3 产品概述
文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品,系统包括透 明加密、权限管理、外发管理、应用安全网关、安全中间件、智能移动终端、U 盘客户端七个核 心组件。
主要通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据 资产。保护范围涵盖终端电脑(Windows、Linux 系统平台)、智能终端(Android、IOS)及各类应 用系统(OA、知识管理、文档管理、项目管理、PDM 等),根据用户需求可以对电子文档进行自 动加密、手动加密和文档细粒度权限控制,对文档的全生命周期进行安全管控,做到事前防御、 事中控制、事后审计,帮助企业搭建一套完善的文档防泄密体系。
2.3.1 实用性原刚:
系统采用先进的体系架构,充分与信息安全管理体系理论进行结合,对体系建设过程提供完 整的安全规划方法,有效提高安全规划的合理性和实用性。
在进行安全保密性设计的同时,以解决企业现有的安全隐患为基础,重点考虑系统的方便性、 合理性以及适应企业未来发展的需要,在加密算法、加密技术、网络安全基础架构和安全产品方 面均采用成熟先进的技术。系统已经支持市面上绝大部分的主流操作系统、应用软件。而且可以 自由配置需要支持的文件类型,完全满足公司未来发展的需要。
2.3.2 兼容性原则:
系统兼容主流的杀毒软件,如:360 安全卫士、麦咖啡、卡巴斯基、赛门铁克(诺顿、SEP)、 趋势、瑞星、江民等单机和网络版本杀毒软件和防火墙。
支持市面上绝大部分的主流操作系统、应用软件。具备良好的兼容性,在提高企业数据安全 防护性的同时,不会对公司现有的开发生产业务造成影响。
在与应用系统兼容方面,安全网关可实现与现有的 OA、代码配置管理平台以及其它应用系统 的兼容,并可与公司未来部署的大部分应用系统实现兼容。如有特殊需求,亦可通过提供文档加 密系统的二次开发接口实现与公司内各种应用系统的无缝集成。
2.3.3 安全性原则:
系统采用先进的安全防护技术,对软件本身提供高强度保护功能,必须有卸载口令才能对软 件进行卸载操作。可以防止用户采用非常规手段对软件进行修改、卸载、停止、删除或破解等行 为,同时可以对试图对软件进行的非法操作行为产生日志记录。方便管理人员进行审计。
2.3.4 可靠性原则:
本系统作为公司业务运营系统的重要组成部分,系统的可靠性和安全性和准确性同等重要。 采用计算机技术是为了提高业务处理能力,改善客户服务的水平,如果系统的可靠性无法保证, 就大大降低了该系统的可用性。因此,系统提供较强的容错、容灾能力、完善的系统安全机制、 可靠的纠错恢复能力。服务端可以采用双机备份方式部署,避免单点故障,客户端采用先进的内 核级加密技术,稳定性强,同时支持文件备份功能,最大限度上避免无故报错的情况产生,不会对数据、代码的完整性产生影响和破坏。系统采用灵活的部署方式,确保不会对现有的网络环境 和系统环境造成影响。 根据公司的实际需要,先建立基本稳定的安全体系,保证基本的、必须的安全性。随着今后 随着业务规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调 整或增强安全防护力度,保证整个业务网络最根本的安全需求。
2.3.5 成熟和先进行原则:
系统在架构设计、系统配置、系统管理、加密技术等方面均采用成熟、实用和先进的技术。 系统架构采用最适合企业现状的 C/S 与 B/S 相结合的架构设计,保证企业数据安全性的同时,在 系统配置与管理上提供简单方便而又灵活管理配置平台,方便管理人员进行维护。加密技术采用 目前最先进的第三代内核驱动层(虚拟文件系统:LayerFSD)智能动态加解密技术,完全适应企 业现状以及未来的发展。
2.3.6 规范性原则:
系统在采用成熟先进的技术,采用符合国际信息安全行业的标准和规范;具有良好的护展性, 可以提供二次开发接口和灵活的技术方案,为系统的扩展升级、与其它系统的集成互联提供良好 的基础。
2.3.7 可管理性原则:
系统采用了众多人性化的设计,界面友好、设计合理,管理操作简单,具备如下特点:
不影响各应用系统的正常使用;
不影响各应用系统检索功能等;
不改变用户对应用系统的操作习惯;
并可以进行远程管理和故障诊断,极大的降低了用户的工作量。系统提供运维管理、策略安 全管理、文档权限管理、日志审计管理及流程审核管理等核心功能,在数据安全级别设置和解密 审批流程上,操作十分简单,完全可以适合企业领导操作的同时进行监视和控制。
2.3.8 可扩展性原则:
系统在产品的软件架构和硬件架构方面,都重复考虑了其平滑扩展功能,可以在不影响使用的前提下可以自由扩展所需要使用的 License 和功能,不影响公司各种应用系统的使用,如果有特 殊的需求时,可通过提供加密系统的二次开发接口实现与公司内各种应用系统的接口无缝集成。 在整个集成过程中,不会影响应用系统的使用。
2.3.9 法规遵从原则:
信息安全技术电子文档安全管理产品安全技术要求 GA/T 989 -2012
产品架构
服务器端:
整个加密软件的核心是集中管理服务器,用以支持整体系统的安全策略管理、用户管理、系 统配置、终端管理、策略管理、密钥管理以及系统日志和审计管理等。
针对不同类型的终端文档通过终端加密和具体应用权限管理来统一实现支持和管控,通过与 终端部署的客户端控制软件进行交互配合完成终端使用用户身份识别,以及对不同类型的终端电 子文档的加解密控制、用户权限控制、文件外发、离网终端(暂时不能够连接到服务器的终端电 脑)控制和终端加密文档操作记录日志回收等功能。
对于加密软件的使用操作者身份认证是通过成员认证体系接口管理来完成的。在没有其它认 证体系的情况下,本系统将提供自建的用户认证支持体系,用于管理使用用户的身份注册、系统 角色、组织机构、安全策略分组等与用户身份相关的信息并提供运行状态下的动态认证支持服务; 同时成员认证体系接口管理还面向 MS-AD 域、LDAP 等标准准统一认证体系提供集成手段,以完 成使用用户身份识别能力;从而满足系统使用用户身份识别能力的要求。
系统自我管理功能是通过系统配置管理来支持的,主要面向系统控制台、一部分系统内部信 息报表查询、部分系统预警功能配置等方面提供管理通道;同时如果需要由其他系统对于本系统的管理功能进行无人值守配置,还可以通过本系统的配置接口管理和配置扩展管理来实现,这也 是基于系统配置管理完成的。
应用安全网关/安全中间件:
应用安全网关和安全中间件主要与第三方应用系统进行无缝集成,实现应用系统数据安全防 护。
应用安全网关可以为应用系统提供应用安全准入控制、数据加解密能力,支持旁路部署、串 联部署(桥连接),应用安全准入支持标准 TCP/IP 协议,数据加解密支持标准 HTTP 协议、FTP 协议。
安全中间件,可以为应用系统提供加解密能力、流程审批能力,不受协议和网络环境限制, 只要应用系统具备二次开发能力,通过调用接口快速完成与第三方应用系统无缝对接。
客户端:
客户端控制软件是文件加密系统执行系统功能的必备模块组,其主要承担文件加解密的执行, 终端应用程序的控制(另存、剪贴板、打印、截屏等等)、终端安全策略的控制(用户签入/签出, 用户对应策略获取和执行等等)以及跟踪和预警控制(什么用户在什么时间对什么文件做了什么, 哪些属于风险动作需要进行系统预警报告)。
客户端通过网络数据交换管理与策略集中管理服务器进行沟通,完成策略获取、日志上报以 及加解密关键信息接换等等功能操作,该操作是以终端“心跳”模式唤醒通讯及数据交换服务的, “心跳”频率是可配置的。
在终端离网状态下,客户端与服务器的沟通失败,将自行转向离网服务支持缓存,保证相关 业务功能的执行,当缓存过期系统解密功能将全面实效,离线使用期限可配置且可以通过多种方 式实现延时;当终端能够连接到服务器时网络数据交换恢复,离网日志会自行上报。
对于终端上需要进行加密管理的文件,客户端控制软件将主要从两个维度的结合进行管理控 制,其一是文件格式,本方案采用的是驱动层加密技术(参见技术基础章节中的加解密技术描述) 可以支持任意格式文件的加解密,文件格式约束主要是实现加密和解密动作本身的执行,其二是 特定文件格式对应的操作程序进程(例如:*.DOC 由 WinWord.EXE 来操作),这主要是为了实现 加密文档在容许被解密打开的情况下进行应用控制(诸如:另存、打印、剪贴板等等)。
核心功能
4.1 透明加密:
4.1.1 透明加密:
透明加密是一种自动加密技术(强制性),所谓透明是指文档加密、解密过程对使用者来说是 无感知的。主要用于解决用户核心数据文档在生产过程中,由于明文存储面临的众多泄密风险, 如离职人员拷贝、移动存储设备丢失、网络传输拦截等情况。
用户通过服务器平台下发透明加密策略(关联的应用软件进程及其产生的文件类型)后,客 户端根据策略实时监控应用程序对指定类型文件的读写操作(读解密、写加密),实现文档的实时 动态加解密,文档加密后,在受控范围(安装客户端的合法用户)内透明使用,脱离受控环境无 法使用,从而有效解决用户核心数据文档在生产过程中面临的数据泄密风险。
4.1.2 半透明加密:
半透明加密是一种主动加密技术,主要用于解决用户文档非强制性的加密需求,半透明加密 作为一种加密策略,可以独立使用,也可以根据客户需求与透明加密策略组合使用,实现不同部 门按需进行加密,在保障用户核心数据安全情况下,兼容文档交互效率。
用户通过服务器平台下发半透明加密策略(关联的应用软件进程及其产生的文件类型)后, 客户端根据策略实时监控应用程序对指定类型文件的读写操作(读解密、写加密),智能区分加密 文档和普通文档,对于加密文档进行全面控制,可以设置是否允许另存、拷贝粘贴、截屏、对象 插入、拖拽、网络发送等,对于普通文档(明文)可以随意使用,不受加密控制的影响。
4.1.3 智能加密:
智能加密是一种全新的加密技术,它融合了透明加密和内容智能识别技术,用户打开文档时, 客户端根据服务器下发的安全策略,对文档内容进行检测,如果检测到敏感文档中还有机密信息, 则会自动加密,整个过程对使用者来说是无感知的。
4.1.4 全盘扫描加解密:
全盘扫描加解密是一种批量加密或解密方式,主要用于用户对电脑终端历史资料一次性处理
(加密),或者用户更换电脑、终端数据不需加密保护情况对终端数据批量解密。
全盘扫描加解密根据设置的文档类型进行全盘扫描,用户通过服务器下发全盘扫描策略后,
客户端根据策略中设置的文档类型,自动完成全盘文档的批量加密或解密。
4.1.5 文件访问控制
文件访问控制是一种文档安全增强策略,主要用于防护用户重要数据被恶意删除。
文件访问控制策略可以实现防止非法删除目录、文档及更改文档后缀名,用户通过服务器管
理平台设置要保护的文档目录及文档类型,客户端根据策略对指定目录进行保护,从而防止用户
核心数据恶意被删除或更改文档后缀名绕过文档加密保护。
4.1.6 内容安全控制
内容安全控制是一种文档内容安全保护策略,主要用于对用户核心数据文档基于内容上安全
保护,防止数据使用者在使用文档内容过程中,通过复制、拖拽、另存、插入、连接(网络)、截
屏,造成的文件内容泄密风险。
内容安全控制策略包括复制、拖拽、另存、插入、连接(网络)、截屏控制,各项控制支持自
定义黑白名单,用户通过管理平台灵活配置内容安全控制策略,客户根据安全策略进行文档内容
安全防护,可以实现:
(1) 明文内容可以复制到密文,密文内容无法复制到明文,密文直接不受影响。
(2) 密文另存为任何文件类型都加密。
(3) 明文无法插入密文对象。
(4) 应用软件读取加密文档时,禁止网络传输密文文档内容。
(5) 禁止通过 QQ、截屏键等应用软件进行截屏、录屏(显示黑屏)。
4.1.7 打印控制
打印控制是一种文档打印控制策略,主要用于防止用户核心数据文档(加密文档)通过打印
方式引发的数据泄密风险。
打印控制策略支持虚拟打印机和物理打印机控制,用户通过服务器管理平台设置打印控制策
略,开启后,指定部门或用户则无法打印加密文档,物理打印控制支持自定义黑白名单,可实现
可信应用程序可以打印加密文档。
4.1.8 打印水印
用于用户打印加密文档时,根据需要添加文档浮水印,主要便于打印文档泄密事件追溯和警
示(文档保护用户姓名、IP 等信息)。
支持显水印和盲水印两种水印,水印显示位置包括文档中央、左上角、左下角、右上角、右
下角,水印内容支持图片或文字信息,文字信息包括计算机名、IP&MAC、打印日期、用户信息,
可自定义水印显示位置(全部显示或部分显示)、水印内容、水印深浅度、文字大小。
4.1.9 阅读水印
用于用户打开加密文档使用过程中,根据需要添加文档浮水印,主要便于通过手机拍照引发
的泄密事件追溯和警示。
支持屏幕和文档两种水印格式,水印内容包括计算机名、IP&MAC、打印日期、用户信息,
水印内容和显示位置支持自定义。
(1)屏幕水印
水印显示位置包括文档中央、左上角、左下角、右上角、右下角,水印内容支持图片或文字
信息,文字信息包括计算机名、IP&MAC、当前日期、用户信息,可自定义水印显示位置(全部
显示或部分显示)、水印内容、水印深浅度、文字大小。
(2)文档水印
文档水印显示在文档中央,水印信息包括公司名称、当前日期、用户信息,可自定义水印信
息、显示样式(斜式、水平)、字体大小和颜色。
4.1.10 邮件白名单
邮件白名单属于一种文档解密方式,主要用于安装客户端用户与未安装客户端用户之间文件
交互,实现用户通过邮件客户端(OUTLOOK、Foxmail)发送加密附件给指定用户自动解密,提
供用户文档交互效率。
用户通过服务器管理平台设置白名单邮箱地址,客户端根据下发的邮件白名单策略,自动识
别收件人是否是白名单用户,从而实现白名单收件人附件解密后发送,普通用户以密文附件进行
发送。
邮件白名单支持目的地址白名单和源地址白名单。
(1)目的地址白名单
用户通过邮件客户端,发送加密附件到指定邮箱地址时,附件自动解密。
(2)源地址白名单
指定用户邮箱地址,通过邮件客户端发送加密附件时,自动解密后再进行发送。
4.1.11 文件备份
文件备份是系统提供的一种容灾保护机制,主要用于一些不可抗因素(如病毒破坏、意外断
电、保存死机、人为操作等)情况下可能导致数据出现异常或损坏,保障核心数据文档的完整性。
用户通过管理平台设置文件备份策略(根据文档类型进行备份),客户端根据文件备份策略自
动完成对指定类型文档进行备份。
系统支持本地备份和远程备份,远程备份首次完整备份后续增量备份,支持自定义备份周期
(天、周月),本地备份采用循环滚动式备份,支持备份预警,硬盘小于指定空间后进行提示。
4.1.12 多密钥隔离
基于密钥的一种权限控制策略,主要用于解决用户不同部门数据隔离管控需求,如:
(1)某一部门数据只允许指定部门查看,其他部门无法查看。
(2)指定部门数据可以相互查看,其他部门无法查看。
通过灵活配置密钥,可实现部门间数据单向隔离、双向隔离,
系统提供智能密钥和主动密钥两种模式。
智能密钥模式情况下,用户打开文档时,客户端根据策略自动识别用户密钥权限,拥有权限
用户可以正常使用加密文档,没有权限则无法使用。
主动密钥模式,用户打开文档时,需要根据文档所属部门,自主选择对应密钥,才能正常使用加密文档。
4.1.13 进程签名:
用于对系统进程进行合法性校验,系统根据应用进程特征和属性,按照特有算法生成进程的 唯一标识,从而防止仿冒进程窃取加密文档内容或非法篡改合法进程逃脱加密保护。 系统支持手动签名和自动签名,用户启用签名后,客户端根据安全策略,对进程合法性进行 校验,当合法应用软件启动时,对进程进行合法性校验(完整校验只需一次,后续校验通过缓存 进行,保证安全性的情况下兼容效率),实现合法进程可以打开加密文档。
4.2 智能加密:
基于文档内容识别和透明加密技术,通过对文档内容进行智能识别,实现含有敏感内容数据 文档自动加密,从而解决用户核心数据资产在产生、存储、使用、传输等生命周期过程中面临的 数据泄密风险;
4.3 权限管理:
通过对文档加密授权及角色对应,控制文档在内部受控使用,避免越权使用带来的泄密风险。 数据作者可以根据需要设定数据的传播范围(用户、部门、项目组等)和查看权限(只读、打印、 修改、阅读次数、阅读时长),也可以根据企业需要建立权限模版,对文档批量授权。
4.4 外发管理:
通过对文档加密、授权及封装,控制文档在外部传播和使用时造成的泄密风险。数据作者可 以根据需要设定文档的查看权限(只读、打印、修改、阅读次数、阅读时长),外部用户拿到文档 后需要通过安全身份认证后才能查看该数据,没有通过认证的无法查看和使用数据。
4.5 应用安全网关:
通过软硬一体化结合的方式为应用系统提供安全保障,应用安全网关可以为应用体统提供安 全准入和数据加解密双重防护,安全准入通过终端身份识别、应用系统仿冒、传输隧道加密、终 端访问日志等多方面进行应用数据安全访问控制,数据加密通过对应用系统核心数据进行上传解 密、下载加密,解决企业核心数据离线安全使用。
4.6 安全中间件:
以接口的方式为应用系统提供加解密能力,应用系统可以根据需要选择加密接口、解密接口、 流程接口等进行联合开发,使加解密和业务系统融合为一体,提升应用系统的保密性,保障数据 的安全性。安全中间件基于标准 WebService 接口,不受协议和网络环境限制,只要应用系统具备 二次开发能力,通过调用接口快速完成与第三方应用系统无缝对接。
4.7 智能移动终端
为智能移动设备提供专属 APP 安全服务,保证通过移动设备下载到客户端的加密数据
可以正常查看,脱离受控范围无法使用。此模块一般与透明加密、应用安全网关或安全中间件等
配合使用。
4.8 U 盘客户端
将透明加密客户端植入 U 盘,合法用户可以根据需要将 U 盘插入任意电脑,即可打开和使用
加密文档,无需连网加密服务器,无需携带办公电脑,主要适用于员工回家加班、出差等情况。
4.9 全文检索
全文检索系统,通过对流程审批(解密流程、外发流程)的文档进行内容解析,建立文档数
据索引,日志管理员通过输入文档关键字内容,即可快速查询出包含相关内容的流程及文档,实
现文档附件与流程的动态关联与查询。
系统实施与部署
5.1 部署环境 :
5.1.1 服务器:
5.1.2 客户端:
5.2 部署架构:
产品采用 B/S(管理)和 C/S 相结合架构,从实施角度分为服务器管理平台、客户端、应用安
全网关/中间件(需二次开发)三大部分:
服务器管理平台:产品集中管理平台,用于系统管理及运维,建议双机热备。
应用安全网关:用于保护应用系统数据。
中间件:以接口方式为应用系统提供加解密能力,需二次开发。
客户端:用于对电脑终端(Windows、Linux)、智能移动终端(Android、Linux)数据进行安
全防护。
5.3 部署步骤概述
1) 服务器配置
安装服务器操作系统 WindowsServer2008
安装数据库 SQL2008
安装文档安全服务端
安装 FTP 服务、完成 FTP 服务配置
导入正式授权文件
建立系统组织架构(公司部门及用户信息录入)
系统策略制定、策略调试、策略下发
针对用户级建立策略组
用户管理角色建立
解密流程、密文外发流程建立
透明加解密策略、权限管理策略、外发策略下发
容灾策略、备份策略下发
系统维护设置(数据库及密钥备份)
2)网关基本配置
设备上架(机柜位置选取、网关上架、线缆连接、设备加电)
通过笔记本电脑直连网关调试
登录网关设置通讯口的 IP 地址、子网掩码、默认网关及 DNS 网络信息
使用网关的网络工具测试网关和业务服务器的网络连通性
网关策略配置 (逻辑拓扑设置、密钥同步、业务系统集成策略设置)
3)DLP 客户端配置
登陆客户端本地系统管理员
安装客户端软件
用户登陆软件
加解密策略应用
文档授权、解密、密文外发流程应用
电子文档备份、离线容灾应用
核心技术
6.1 文件级智能动态加解密技术:
是一种文件级过滤驱动编程技术,其发展历经三个阶段:单缓存过滤驱动技术、双缓存过滤 驱动技术和虚拟文件系统技术(LayerFSD)。目前商业市场上大多数内核级加密厂商均采用单缓存 过滤驱动技术,少量厂商已发展到双缓存过滤驱动技术,而发展到虚拟文件系统技术(LayerFSD) 并实现产品化的厂商则屈指可数,本公司早在 2009 年就实现 LayerFSD 技术。
电子文档安全管理系统采用文件过滤驱动技术,通过实时拦截文件系统的读/写请求, 对文件进行动态跟踪和透明加/解密处理。其主要优点:文件加/解密动态、透明,不改变使用者的 操作习惯;性能影响小,系统运行效率高;不改变原始文件的格式和状态,同时,部署和内部使 用非常方便。
显著特征为:加密强制性、使用透明性、保密彻底性、应用无关性、灵活拓展性。
该技术原理实现如下图所示:
6.2 网络级智能动态加解密技术:
是一种网络过滤驱动编程技术,俗称 NDIS 和 TDI 技术,可实现对网络传输协议及网络应用协议数据的过滤和控制。本公司于 2009 年成功研发并完善该技术,产品化为应用安全网关 FNS900、应用安全准入网关 APS-SAG60/80。目前该类技术主要应用于防火墙、VPN、网络准接 入等相关领域,本公司率先应用于数据安全领域并成功推广。
该技术原理实现如下图所示:
图 4 网络级智能动态加解密技术实现
6.3 文件虚拟磁盘技术:
是一种基于映像文件的虚拟磁盘技术,是使用一个映像文件来模拟物理磁盘存储数据,可以 通过加载虚拟盘操作,把映像文件虚拟成一个本地磁盘分区,像正常的物理分区一样进行读写操 作。卸载虚拟磁盘之后,该虚拟磁盘分区消失,唯一留下的就是映像文件。虚拟盘消失之后,系 统无法访问其中的文件,也不能对虚拟盘内存储的文件进行任何操作,因此可以达到保护数据安 全的目的。本公司于 2008 年成功研发并完善该技术,产品化为电子文件保险箱 HiderSEC 和 文档外发管理系统 ODM,其技术实现如下图所示:
图 6 文件虚拟磁盘技术实现
6.4 设备过滤驱动技术:
是一种设备过滤驱动编程技术,可实现对终端任意设备(USB 端口、打印机、光驱、软驱、红 外、蓝牙以及网卡等)的安全保护及控制。本公司于 2009 年成功研发并完善该技术,产品化为 可信介质管理系统 MediaSEC。
6.5 其他核心技术
(1) 是一种数字版权保护方法和系统 专利号:201110070536.7
(2) 是一种手机程序防破解方法及系统 专利号:201110076337.7
(3) 是一种 SAN 存储加密系统及系统 专利号:201110092437.9
产品优势
(1) 安全性好
有效防护进程查杀,文件信息及注册表删除,确保客户端文档运行。
采用进程签名、内存防护等多种数据安全防护手段,防止数据非法破解,安全模式仍可
正常运行
(2) 效率高
基于操作系统内核级加密技术,文档加密过程不产生临时明文文件,不增加 I/O 负担,性能损
耗低,支持超大型数据应用,单体文件最大可以支持 100G。
(3) 跨平台支持
支持 Windows、Linux、Android、IOS 多系统平台,任意平台加密文档可透明使用。
售后服务
对于软件版本升级及性能增强,本公司将对软件改进的性能予以详细说明,升级方式可
以采用下载/自行安装、远程指导安装或现场指导安装进行。功能发生重大变化的版本升级,除予
以详细说明外,在必要的时候本公司还将采取现场指导升级的方式为客户服务,并提供系统
的培训服务,以保证用户应用系统的正常运行。具体服务内容如下:
(1)主要设备(见附件清单)提供一年原厂的免费维保服务(含主要设备的易损件的免费更
换、定期巡检、现场故障排查维修等),需提供原厂维保服务证明材料;
(2)对项目各个系统提供一年的免费维保服务(含易损件的免费更换、定期巡检、现场故障
排查维修等);
(3)7*8 小时热线电话、传真技术支持(提供热线电话号码);
(4)7*8 小时网络支持服务。电子邮件、即时通讯工具等。
(5)7*8 小时现场支持服务(提供紧急联系人及联系方式);
(6)2 小时内响应用户提出问题;
(7)如远程无法解决故障,则故障发生后 48 小时内到达用户现场解决问题;
(8)如 5 小时内无法解决故障,则故障发生后 8 小时内提供同档次及以上备机备件服务支持;
(9)免费维护期内提供短期内的驻现场技术人员及时解决问题;
(10)其他个性化售后服务。
8.3.2 产品问题处理方式及机制
公司为科瑞集团提供全方位、周到的售后服务,对所服务的问题级别、服务方式和所执行的
服务流程、售后人员管理制度都有着明晰的说明。
8.3.2.1 问题级别
8.3.2.2 服务方式:
标签: 信息安全,网络安全,数据安全,信息网络安全,局域网管理软件,加密软件,文件加密,文档加密,文件夹加密,文件夹加密软件,文件夹怎么加密,电脑文件夹怎么加密,电脑文件加密软件,文件夹怎么加密码保护,移动硬盘加密,u盘加密,数据防泄漏,防泄密软件,文档加密软件,文件加密软件,电脑文件夹加密软件,加密系统,文件夹如何加密,加密文件,数据加密,桌面管理软件,企业文件加密,企业文件加密系统,公司文件加密软件