一、產(chǎn)品概述
TDSM-DSM是一款功能強大且易于使用的文檔安全管理軟件,該系統(tǒng)可采用128、256位高強度加密算法實時加密文件,綜合集成了動態(tài)文檔加密技術(shù)、身份認證技術(shù)、硬件綁定技術(shù)等多種技術(shù)對指定類型的文件進行實時、強制、透明的加解密。并能對文檔進行細分化的權(quán)限設(shè)置,確保加密信息在特定授權(quán)范圍內(nèi)進行指定操作。通過文檔強制加密和實時權(quán)限控制,為企業(yè)提供安全授權(quán)下的機密信息共享機制,有效防止數(shù)據(jù)丟失或泄露,有助于更深入、更全面地實施數(shù)據(jù)保護,從而確保企業(yè)機密數(shù)據(jù)的高度安全。
TDSM-DSM的加解密操作完全是動態(tài)的、后臺透明實現(xiàn)的,無需用戶手動操作,對用戶完全透明,不改變用戶操作習慣,只要用戶有改寫磁盤的操作,那么預(yù)先選定的文件類型就會被自動加密或是解密,用戶感覺不到加解密過程的存在。這樣既節(jié)省了用戶時間,同時也達到了保護文件的目的。同時,通過對核心文件進行權(quán)限控制,可以防止重要文件內(nèi)部擴散,未安裝客戶端的計算機無法查閱加密文檔,需要與外部用戶交流時,用戶可登錄出口管理將加密文件解密成明文外發(fā),也可登錄外發(fā)管理平臺以密文的形式外發(fā)。
TDSM-DSM采用B/S、C/S混合架構(gòu);系統(tǒng)由服務(wù)端(驗證服務(wù)、日志服務(wù)、更新服務(wù)、文件授權(quán)服務(wù)、系統(tǒng)管理控制臺)、運行客戶端組成。適用于任何基于TCP/IP協(xié)議的網(wǎng)絡(luò)體系(局域網(wǎng)或廣域網(wǎng))。C/S結(jié)構(gòu)是由客戶端軟件和服務(wù)控制臺構(gòu)成,而B/S結(jié)構(gòu)則是指客戶端及服務(wù)器端上通過瀏覽器(Browser)操作、維護TDSM-DSM服務(wù)器系統(tǒng),兼顧兩種結(jié)構(gòu)的優(yōu)點又方便用戶操作。
以下是系統(tǒng)結(jié)構(gòu)圖:
服務(wù)器負責系統(tǒng)的維護和管理,系統(tǒng)劃分系統(tǒng)管理員、終端管理員、日志管理員等多種角色,系統(tǒng)管理員負責終端的管理、用戶和組織結(jié)構(gòu)的劃分和維護、日志的查看、安全策略的制定,日志管理員負責日志的維護和報表輸出,終端管理員是二級管理員,負責部門的終端維護和加解密策略的分發(fā)。 在安裝有TDSM-DSM的客戶終端,使用者所生成的重要文件將自動加密保存。企業(yè)管理者可控制使用者對文檔的讀取、存儲、復(fù)制、拷屏、輸出的權(quán)限。從而防止使用者之間非法復(fù)制、外部發(fā)行、光盤拷貝。杜絕利用U盤、軟盤、光盤、電子郵件等輕易地拿走公司的技術(shù)文件、設(shè)計圖稿、財務(wù)帳目、戰(zhàn)略計劃、事業(yè)計劃、研究論文等機密文件。 TDSM-DSM采用分級管理模式,系統(tǒng)管理員可以設(shè)定不同的子管理員(如:超級管理員、文件管理員、分級管理員等)。客戶端登錄時,直接使用Windows當前登錄的域用戶帳號或者本機帳號作為TDSM-DSM文檔安全系統(tǒng)的帳號進行校驗??梢葬槍緝?nèi)部域管理模式設(shè)置系統(tǒng)的權(quán)限,也可以根據(jù)公司架構(gòu)設(shè)定多個子管理員進行管理。
二、產(chǎn)品功能
·智能透明加密
系統(tǒng)采用國際先進的高強度加密算法進行文檔加密,加解密過程智能透明,不會改變用戶的任何操作習慣,也不改變原有信息的格式和狀態(tài)。同時,系統(tǒng)還具備嚴格的進程簽名機制,能夠準確識別未經(jīng)授權(quán)的非法進程,大幅降低了數(shù)據(jù)泄露的風險。
·細粒度權(quán)限管理
系統(tǒng)具備完善的權(quán)限管理機制,授權(quán)方式相當靈活,可設(shè)定不同用戶的只讀、修改、復(fù)制、打印等權(quán)限,文件作者還可將部分文檔管理權(quán)限授予用戶。另外,作者可以根據(jù)需要設(shè)定文檔的使用時間和打開次數(shù),實現(xiàn)對文檔權(quán)限更為全面精準的控制。
·密級控制
企業(yè)在文檔安全管理系統(tǒng)中可以根據(jù)文件管理需要定義文檔密級,可按部門或角色設(shè)定密級,也可按文檔機密程度進行分級,如通用、保密、機密、秘密、絕密等,從而控制加密文檔在企業(yè)內(nèi)部的打開權(quán)限、打印權(quán)限、密級調(diào)整權(quán)限以及文檔解密權(quán)限。例如:可定義部門領(lǐng)導(dǎo)只能解密本部門文檔,而企業(yè)高層領(lǐng)導(dǎo)可解密所有密級文檔。
·終端離線辦公
TDSM-DSM可遠程制作、發(fā)放、更新與卸載離網(wǎng)許可,設(shè)定涉密客戶機離線策略,包括離網(wǎng)使用時效、次數(shù)等。
同時,TDSM-DSM提供文件離線外發(fā)功能,允許使用者將加密文件(無需解密)發(fā)送到企業(yè)外部,外部使用者可按規(guī)定的時間和次數(shù)來使用該加密文件而不能進行二次傳播。
·數(shù)據(jù)外發(fā)控制
與外界進行頻繁的信息溝通已成為公司必要的一種業(yè)務(wù)模式,這些交互的信息可能會涉及企業(yè)核心信息,而這些信息一旦流出企業(yè)就面臨著失控的風險。為了解決對外業(yè)務(wù)交互的后顧之憂,在企業(yè)文檔安全體系中,我們提供信息對外發(fā)布技術(shù)方案,其特點如下:
通過外發(fā)系統(tǒng)發(fā)布的信息,用戶可以自定義信息訪問密級,使外界嚴格按照預(yù)設(shè)密級權(quán)限使用信息,在加密的同時,對信息進行安全控制,防止信息擴散;
外界用戶無需安裝任何插件就可直接閱讀外發(fā)信息;
能夠嚴格控制外發(fā)信息的使用權(quán)限,如讀取次數(shù)、時間、打印控制等;
·詳細的日志審計
所有用戶(包括管理員在內(nèi))的任何操作,系統(tǒng)將自動監(jiān)控、跟蹤并進行記錄,通過日志審計功能,提供完備的日志管理,可記錄文件日志、管理日志、打印日志、授權(quán)日志等詳細日志,并提供日志查詢、導(dǎo)入、導(dǎo)出功能。管理員可以隨時查看系統(tǒng)運行情況,能夠及時發(fā)現(xiàn)一些異常操作,從根本上降低數(shù)據(jù)泄露的風險。
·故障容錯
TDSM-DSM允許在發(fā)生網(wǎng)絡(luò)連接意外(如交換機故障、服務(wù)器硬件故障或網(wǎng)線連接故障等)時,利用故障保持功能保證客戶機在故障期間的正常使用。同時,TDSM-DSM允許當主服務(wù)器發(fā)生硬件或系統(tǒng)故障時,所有客戶機自動連接至備用服務(wù)器,從而保障工作的順利進行。
·自動掃描
對涉密客戶機上的歷史文件,TDSM-DSM提供文件初始化加密功能。TDSM-DSM自動對涉密客戶機上的指定格式文件進行自動的全盤掃描并加密,無需人工干預(yù)。
三、產(chǎn)品優(yōu)勢與特點
·國密算法支持
TDSM-DSM采用數(shù)字版權(quán)保護(DRM)理論技術(shù),采用國家保密局指定的SSF33加密算法,以256位密鑰結(jié)合硬件環(huán)境,針對不同的操作系統(tǒng)和應(yīng)用軟件進行加密控制,同時允許企業(yè)自定義密鑰。TDSM-DSM所控制的文件在保存(和自動保存)過程中,自動給文件注入密鑰信息而形成加密文件。該種加密方式符合國際密匙原則,破解級別達到3級(說明:1級最高,5級最低)。
TDSM-DSM通過對內(nèi)存進行安全保護,防止非涉密程序的讀取操作,確保涉密信息不被泄漏。
TDSM-DSM保證企業(yè)密鑰全球唯一,即使是同樣安裝TDSM-DSM的另一家企業(yè),也無法瀏覽和操作本企業(yè)經(jīng)TDSM-DSM加密的文件。
同時,TDSM-DSM允許企業(yè)自定義密鑰。企業(yè)自定義密鑰后,即使開發(fā)商也無法解密該企業(yè)加密文件。
·自身安全性
在安全性方面,系統(tǒng)采用“驅(qū)動級終端保護技術(shù)”,對終端程序安裝目錄、常駐進程以及注冊表等進行安全保護,防止用戶惡意破壞終端運維服務(wù)和配置環(huán)境??蛻舳说男遁d必須通過嚴格的認證機制,一旦有用戶通過非法手段強制移除或終止客戶端,加密終端驅(qū)動將自動轉(zhuǎn)入安全自保護模式,系統(tǒng)進入只加密、不解密的安全保護狀態(tài),有效確保所有加密文檔的存儲和使用安全。同時系統(tǒng)還支持服務(wù)器統(tǒng)一下發(fā)安全補丁,實現(xiàn)客戶端的自動更新,及時修復(fù)可能存在的安全漏洞,加強數(shù)據(jù)安全防護力度。
· 權(quán)限動態(tài)控制
系統(tǒng)支持動態(tài)文檔權(quán)限控制,持久保護文檔安全,作者可以實時更改和回收文檔權(quán)限,實現(xiàn)對權(quán)限的動態(tài)控制。只有經(jīng)過授權(quán)的用戶才能在授權(quán)范圍內(nèi)使用機密文件,在沒有任何權(quán)限的情況下無法打開文檔。管理服務(wù)器集中保存文檔權(quán)限,客戶端只存放加密內(nèi)容,服務(wù)器與客戶端之間沒有過多的內(nèi)容交換,通過https建立安全連接僅僅是傳輸身份認證及權(quán)限信息,在保障系統(tǒng)高度安全的同時實現(xiàn)對文檔權(quán)限的實時控制。因為權(quán)限是保存在服務(wù)器上的,所以修改后可以馬上生效,避免出現(xiàn)權(quán)限無法回收的情況,真正做到文檔權(quán)限的高度實時可控。
·靈活的策略配置
系統(tǒng)配備強大的策略庫,用戶可根據(jù)業(yè)務(wù)需求進行編輯,策略配置也相當靈活簡單,企業(yè)可以針不同部門的實際情況配置特定的安全策略,多樣的策略組合方式使得企業(yè)在策略配置上擁有更多選擇,能夠同時滿足不同部門的安全需求。
·系統(tǒng)簡單易用
系統(tǒng)配備強大的策略庫,用戶可根據(jù)業(yè)務(wù)需求進行編輯,策略配置也相當靈活簡單,企業(yè)可以針不同部門的實際情況配置特定的安全策略,多樣的策略組合方式使得企業(yè)在策略配置上擁有更多選擇,能夠同時滿足不同部門的安全需求。
·具備容災(zāi)能力
系統(tǒng)具有雙機熱備功能,如果服務(wù)器出現(xiàn)故障停止運行,則備份服務(wù)器能立即接管,同時系統(tǒng)還具備容災(zāi)機制和數(shù)據(jù)庫備份還原功能,能夠有效應(yīng)對可能出現(xiàn)的各種特殊情況,很大程度保障系統(tǒng)穩(wěn)定可靠運行。
·良好的兼容性
系統(tǒng)具備良好的兼容性,能夠與企業(yè)工作域無縫集成,支持用戶信息自動同步。并且系統(tǒng)兼容目前主流的操作系統(tǒng)和殺毒軟件,支持對所有格式的文件進行加密,方便企業(yè)后續(xù)的需求升級和應(yīng)用拓展。系統(tǒng)只需通過簡單的策略配置就能滿足企業(yè)所有應(yīng)用需求,具備極強的擴展性,為企業(yè)的安全個性需求提供了有力的保障。
·適用范圍廣
TDSM-DSM系統(tǒng)默認已經(jīng)支持近百種應(yīng)用的加解密支持。如設(shè)計類的Pro/E、UG、CATIA、AutoCAD等,辦公類Office系列等,匯編類VC、VB系列等可以產(chǎn)生文件的程序,并且可以與PDM系統(tǒng)(如TeamCenter、SolidWorks等)完好的集成。如果需要快速添加新的應(yīng)用支持加解密,無需修改程序代碼即可完成。
·維護性好
TDSM-DSM采用集中管理方式,客戶端的策略變化、權(quán)限變化等操作均可在管理控制臺完成;當有新版本發(fā)布時,只需將新版本程序放入服務(wù)器,客戶端即可自動更新,無須人工更新每個客戶端,系統(tǒng)維護工作量非常小。
·易部署
TDSM-DSM支持遠程安裝、遠程卸載、客戶端遠程強制更新、客戶端開機自動更新等多種靈活的系統(tǒng)部署方式??纱蟠鬁p輕企業(yè)管理人員對該系統(tǒng)的維護工作量。
TDSM-DSM支持服務(wù)器的多級分布部署。對擁有多個廠區(qū)且分布在不同區(qū)域的大型企業(yè)而言,該功能可充分滿足其使用需求。服務(wù)器分布后,所有子服務(wù)器的用戶列表、用戶權(quán)限、系統(tǒng)操作日志等均可與主服務(wù)器保持同步。
·豐富的文檔支持格式
理論上可以支持*.*文件格式??芍С殖R?guī)應(yīng)用文件格式加密授權(quán)管理,如Office2000、2003、2007、文本;PDF;Visio2003、2007;AutoCAD2002、2004、2007;ProE、Matlab等常見類型。
"