一、簡述
隨著社會經濟的發展,計算機的普及。各行各業都進入了計算機辦公化時代。如今電子文檔給大家帶來了方便的同時也帶來了嚴重的安全隱患。近年來發生的文檔泄密事件都在警示我們:文檔安全問題不容忽視、文檔安全保護刻不容緩!
政府機關、企事業單位都需要一套系統來保護電子文檔的安全。這套系統要填補網路安全系統在檔案數據保護層面的空白,還需要能與用戶的文檔安全制度配合,通過系統落實單位指定的文檔保護制度。
文檔安全管理系統能幫用戶解決的疑難有:防止重要文檔被非法帶離單位、防止由於文檔載體丟失造成的泄密、防止檔案越權使用、記錄涉及文檔安全的各種信息。
二、設計理念
由於電子文檔具有易於複製、易於傳輸的特點,電子檔案的管控一直是個難於解決的問題。電子檔案一旦被借閱,則借閱者對檔案就具有了完全的權利,無法向傳統媒介文檔一樣實施收回或歸還操作,客觀上造成秘密材料的無序傳播。很多時候,我們需要安全的傳送一些文檔到接收方,如果沒有專門的安全保護系統,我們很難找到很好的方式去保護這些檔案。
文檔的保護是基於文檔自身的屬性和使用對象來設計。文檔的自身屬性有四種:閱讀、編輯、複製、列印。哪些使用對象對文檔有哪些使用許可權。既要做到文檔安全的有效保護,同時還要做到不影響用戶的使用習慣。
黑匣子文檔安全管理系統讓用戶可以同時對檔案整個生命周期的安全進行管理。從檔案的創建、存儲、使用、流轉和銷毀全過程進行保護。
三、系統架構
黑匣子文檔安全管理系統是C/S架構,由客戶端BDMAgent、BDMServer、BDMNOC構成。
客戶端BDMAgent通過MOM(訊息中間件)與伺服器端BDMServer進行通訊。控制端BDMNOC通過控制台或者WEB的方式來設定各種文檔安全管理策略。
為了保障系統的穩定可靠的運行。伺服器可以做雙機熱備。
該系統可與第三方認證系統無縫集成,在用戶登錄時無需多次認證。
四、功能特點
1 、手動加密與自動加密結合
黑匣子文檔安全管理系統手自一體產品同時提供兩種加密方式:自動加密和手動加密。可按員工工作內容以及文檔內容敏感度設定不同的加密方式。
公司中可以按部門為單位劃分自動、手動加密區域;也可對每台計算機進行自動加密方式或手動加密方式的設定,例如對設計類套用使用自動加密方式,對辦公類套用使用手動加密方式,同時手動加密文檔與自動加密文檔可以實現實時無障礙互動。
這種手自一體的解決方案兼顧了安全性與易用性,滿足了用戶各種情況下的文檔保密需求。
2、文檔自動加密
動態硬碟掃描加密與新建文檔強制加密相結合。安裝系統後客戶機在第一次啟動時會自動將未加密文檔進行加密。另外,用戶創建的新文檔都會被自動加密。以上整個加密過程完全透明。
3、文檔手動加密
由文檔的作者對文檔進行加密,作者可以根據需求選擇哪些文檔需要加密哪些不需要加密。系統不對環境內的文檔進行自動加密。
4、計算機管理
客戶端計算機需要經過管理員審批後才能夠執行策略,以此來防止非法計算機接入本系統。對於進入黑匣子文檔安全管理系統的計算機,系統將記錄客戶端的操作日誌。
5 、授權管理
用戶在為自己的文檔授權時可根據文檔套用格式(如WORD、EXCEL等)進行批量授權,也可針對單個文檔進行授權,許可權策略靈活可控。七洲信息科技黑匣子文檔安全管理系統為客戶提供了詳細的檔案控制許可權,包括閱讀、編輯、列印、複製等許可權。
 可實現全單位統一授權;
 以部門、各級子部門為單位進行授權;
 針對用戶、用戶組進行靈活授權;
 可實現檔案單一授權與跨部門授權;
 可以實現管理台授權與客戶端授權;
 可以靈活賦予閱讀、編輯、列印、複製許可權;
 可設定多級管理員,實現各部門分級管理;
6、組策略管理文檔安全
系統可控制文檔的操作許可權,支持多種檔案密級策略,可按公司部門建立相應的組策略,進行文檔的安全管理。
 管理到用戶,可對用戶進行甄別、授權與記錄;
 解決一人多機、一機多人、人機不對應的複雜情況;
 從管理單元上實現與OA、CA、PDM等系統的統一;
 可實現對項目組的管理與授權;
 項目組成員與部門靈活對應;
 符合項目組工作方式;
 實現一人多組、多人多組;
7、文檔離線使用功能
可為離開辦公環境的計算機(已安裝七洲信息科技黑匣子文檔安全系統客戶端)提供加密文檔的使用授權,使工作人員可攜帶計算機在外部環境中使用加密文檔。
員工出差、加班:
 通過申請區域網路離線,可設定筆記本計算機離線使用的時間與許可權;
 離線時產生的文檔可自動加密;
 筆記本重新接入系統,離線時對文檔的操作日誌自動進行上傳;
 線上離線可實時切換,可為經常出差與加班的員工申請長時間離線通過申請區域網路離線,可設定筆記本計算機離線使用的時間與許可權;
 離線時產生的文檔可自動加密;
 筆記本重新接入系統,離線時對文檔的操作日誌自動進行上傳;
 線上離線可實時切換,可為經常出差與加班的員工申請長時間離線;
文檔外發給他人(業主、合作夥伴):可將密文綁定在載體上外發,文檔在指定時間內,可以在指定的載體上使用。超過時間或者將文檔拷離載體將不能使用。
外協單位對文檔的使用:通過網路鎖在外協單位虛擬出密文的使用環境,網路鎖(USB KEY)相當於虛擬的伺服器端。通過網路鎖可實現多人對密文的協同使用。
8、日誌管理
管理員可以隨時查找文檔訪問信息,可用來追蹤泄密渠道,也可用作電子取證。同時,系統管理員的操作也會被完整記錄下來,監督員可以進行查詢和分析。
 檔案日誌:記錄檔案使用信息,可以通過用戶所做的操作來查詢;
 部門日誌 :可以查看管理員設定的部門策略;
 計算機日誌:記錄某一台計算機作過哪些操作,如在控制台刪除計算機,撤銷審批等操作記錄;
 申請審批日誌:申請審批日誌記錄了郵件外發、檔案借閱、離線、解密這四種操作申請與審批的記錄;
 自動掃描日誌查詢:記錄了自動加密掃描是否完成。掃描了那些套用,針對套用又有哪些檔案被加密;
9 、防止螢幕拷貝
有效防範通過截屏鍵(print screen鍵)、截屏軟體與錄像軟體進行文檔內容截取。
10 、文檔區域網路完全傳輸
 客戶端之間可以通過訊息中間件交換文檔;
 客戶端採用手動或自動將檔案存儲到檔案伺服器上;
 在伺服器上可以配置檔案傳輸策略,如定義文檔傳輸中使用的加密算法、壓縮算法等;
 傳輸中的加密和壓縮操作對用戶來說是透明的;
 實現客戶端之間的安全快速文檔傳輸,支持文檔多播、單播、存儲轉發;
11、系統集成
可通過輕量級目錄訪問協定(LDAP)與目錄系統、群組系統進行整合(如AD、DOMINO),實現:
 單點登入;
 同步企業結構與資源信息;
 結構樹變更自動同步;
通過整合減少管理的花費,降低文檔安全系統管理出現故障的幾率,保證文檔安全系統向企業結構的統一。
12、WEB審批平台
用戶可以通過WEB審批平台向管理員提出“借閱”、“解密”、“離線”、“郵件”申請,在批准後就可將文檔解密或帶離系統環境。
 B/S結構,終端用戶對本機文檔提出各種操作申請,審批人在審批平台上可即時審批並生效;
 可對客戶端提出的申請進行即時線上審批;
 申請類型包括:解密、郵件外發、借閱、離線;
 可按審批類型設定審批人;
 可按部門設定審批人;
 可設定不需審批即可生效的特權人;
所有審批進行日誌記錄。