文档安全系统产品白皮书
上海前沿科技
日期:2013年3月
目录
第1章前沿科技公司介绍 (4)
1.1 公司简介 (4)
1.2 公司所获奖励与资质 (5)
第2章产品定位与设计理念 (6)
2.1 产品概述 (6)
2.2 产品定位 (6)
2.3 设计理念 (6)
第3章产品简介 (8)
第4章技术架构 (9)
4.1 系统架构介绍 (9)
4.2 系统部署介绍(示例) (10)
第5章功能介绍 (11)
5.1 DSM 4.6自动加密版 (11)
5.1.1 文档自动加密 (11)
5.1.2 计算机管理 (11)
5.1.3 授权管理 (11)
5.1.4 文件密级管理 (11)
5.1.5 用户管理 (11)
5.1.6 内网用户离线功能 (12)
5.1.7 外网用户离线功能 (12)
5.1.8 网络锁外网用户离线方式 (12)
5.1.9 审计记录 (12)
5.1.10 防止屏幕拷贝 (12)
5.1.11 标准化技术接口 (12)
5.1.12 WEB审批平台 (12)
5.2 DSM 4.6手动加密版 (13)
5.2.1 文档手动加密 (13)
5.2.2 授权管理 (13)
5.2.3 文件密级管理 (13)
5.2.4 用户管理 (13)
5.2.5 内网用户离线功能 (13)
5.2.6 外网用户离线功能 (13)
5.2.7 网络锁外网用户离线方式 (14)
5.2.8 审计记录 (14)
5.2.9 防止屏幕拷贝 (14)
5.2.10 标准化技术接口 (14)
5.2.11 WEB审批平台 (14)
5.3 DSM 4.6手自一体加密版 (14)
5.3.1 手动加密与自动加密结合 (14)
5.3.2 授权管理 (15)
5.3.3 文件密级管理 (15)
5.3.4 用户管理 (15)
5.3.5 内网用户离线功能 (15)
5.3.6 外网用户离线功能 (15)
5.3.7 网络锁外网用户离线方式 (15)
5.3.8 审计记录 (16)
5.3.9 防止屏幕拷贝 (16)
5.3.10 标准化技术接口 (16)
5.3.11 WEB审批平台 (16)
第6章模块列表 (17)
第7章典型成功案例介绍: (18)
第8章成功案例 (20)
第1章前沿科技公司介绍
1.1 公司简介
上海前沿计算机科技有限公司成立于2002年6月。公司立足于IT高科技产业,响应国家“网络安全国产化”的政策号召,专注于信息安全领域,尤其是数字信息资产安全管理解决方案以及新技术、新途径的研究与开发。
前沿科技是国内最早专注于内容信息安全领域,专门从事电子文档与数字信息安全开发及服务的高科技公司。公司于2003年成功研发前沿电子文档安全管理产品,并且通过几年的技术积累,实现了FD-DSM4.6 自动加密版本,手动加密版本以及2007年初最新研发的手自一体版本。用以满足不同用户的各种需求。目前公司共有员工50余人,其中70%以上是研发及技术支持人员。前沿科技在上海、北京、广州等地分别设有分支机构,并且在全国各区域主要城市都设有技术服务中心,实现了技术服务的本地化。
作为国内文档信息安全的领跑者,公司具有雄厚的技术研发实力,拥有多项自主知识产权,产品达到了国际领先标准。公司通过了ISO9001:2000标准质量体系国家认证,并获得了公安部、国家密码管理委员会、国家保密局、解放军信息安全中心等权威机构的认证。
前沿科技也将继续关注产品安全性、易用性与先进性的平衡,使产品更人性化、合理化。我们相信,在大家的支持下,前沿文档安全系统将提升到更高的新层次。
再次感谢您对前沿科技的关注与信任,前沿科技期待与您的合作!
企业使命:精彩有你,安全有我
企业定位:因为专业,所以领先
服务理念:因为远虑,所以无忧
企业精神:挑战自我,占领前沿
经营理念:为客户创造价值是我们动力的源泉
公司目标:成为世界一流的数据与内容安全解决方案提供商
1.2 公司所获奖励与资质
软件著作权登记证书软件产品登记证书软件企业认定证
书
高新科技成果转化证书公安部销售许可证商用密码产品销售许可证
涉密信息系统产品检测证书质量管理体系认证证书军用信息安全产品认证证书
荣获2006年度中国信息安全市场优秀内网荣获2006年度中国信息安全市场
安全产品推荐品牌最具发展潜力企业
第2章产品定位与设计理念
2.1 产品概述
前沿科技文档保护系统——是采用国家密码管理机构认定的加密算法对重要电子文档进行多种不同密级的加密保护,并可根据文档保护策略对特定用户群赋予文档各种内容访问权限的文档保护、管理系统。
2.2 产品定位
前沿计算机科技文档安全管理系统(FD-DSM4.6)- 自动加密版本、手动加密版本、手自一体版本的定位是:同时满足中高端用户、企业级用户对文档的安全性和应用易用性的综合加密管理系统。
2.3 设计理念
用户最关注的莫过于文档安全系统的安全性与易用性。安全性的高低直接决定了文档保护的可靠性,而易用性决定了用户在使用系统时是否会影响到以前
安全性
安全性——前沿科技在设计产品时将产品安全性放在首位,力求做到为用户各种重要文档提供安全、可靠、万无一失的保护。
易用性——同时,易用性也是前沿科技关注的重点,在使用加密文档系统时用户依旧按照原有的操作习惯使用加密后的文档,文档保护系统不会为工作带来任何不便。
前沿科技文档案安全系统在设计上坚持注重文档安全性、文档使用易用性相结合的理念,将安全性与易用性进行完美结合。
第3章产品简介
各个单位、公司都会遇到文档安全问题,大家都关心如何行之有效的保护自己的重要文档不会外泄。由于各单位内部办公环境不同、单位规模不同、对文档的应用保管措施也不同。
有的用户仅在文档制作完成时需要加密保护,而在制作时由于传递、交流以及协同制作的原因,不需要对文档进行加密。以保证文档制作的便捷。用户的所有文档中有些需要进行加密保护,有些则不需要保护。
有的用户需要将终端机中所有的重要文档进行自动加密保护,同时需要在文档打开时就自动将文档进行加密保保护。
另外有些用户的应用需求比较复杂,在某些部门中需要自动统一加密;在另外一些部门需要个人手动加密。这种用户结合了上述两种用户的需求特点。
前沿科技针对以上不同用户的应用需求推出FD-DSM 4.6 自动系列、手动系列、手自一体加密系列。
●自动加密系列:本系列产品在不影响使用者的情况下,系统自动将所
有计算机中的电子文档进行加密,支持硬盘统一扫描加密与文档第一
次打开自动加密。本系列分为用户名/密码验证版和AD验证版。
●手动加密系列:本系列产品支持文档作者为自己的电子文档进行有针
对性的自主加密与授权,本系列分为用户名/密码验证版和AD验证版。
●手自一体加密系列:本系列产品将以上两个系列产品的功能特点无缝
整合,可按员工工作内容以及文档内容敏感度设置不同的加密方式。
您单位中的计算机可以按安全区域划分为手动加密方式或者自动加密方式;也可按不同的部门与应用进行设置,例如对设计类应用使用自动加密方式,对办公类应用使用手动加密方式,同时手动加密文档与自动加密文档可以实现实时无障碍交互。这种手自一体的解决方案兼顾了安全性与易用性,满足了用户各种情况下的文档保密需求。本系列分为用户名/密码验证版和AD验证版。
第4章技术架构
4.1 系统架构介绍
(系统架构图)
4.2 系统部署介绍(示例)
上图为前沿科技文档安全系统部署示意图,前沿文档系统部署的服务器组连接在负载均衡设备上,总公司办公环境中的客户端通过局域网与服务器相连;分公司办公环境通过VPN或光纤系统连接到总公司;带出办公环境的笔记本通过互联网与安全管理系统服务器相连。
前沿文档安全系统有如下部署特性:
●支持分布式部署;
●支持分公司、部门间的各种网络连接方式。如:VPN、光纤等;
●可与各种主流负载均衡设备整合,实现基于应用的负载均衡;
●系统支持SAN、NAS、DAS等主流存储方式;
●可与用户企业中的AD相结合;
第5章功能介绍
5.1 DSM 4.6自动加密版
5.1.1文档自动加密
动态硬盘扫描加密与新建文档强制加密相结合。安装系统后客户机在第一次启动时会自动将未加密文档进行加密。另外,用户创建的新文档都会被自动加密。以上整个加密过程完全透明。
5.1.2计算机管理
客户端计算机需要经过管理员审批后才能够执行策略,以此来防止非法计算机接入本系统。对于进入前沿文档安全管理系统的计算机,系统将记录客户端的操作日志。
5.1.3授权管理
用户在为自己的文档授权时可根据文档应用格式(如PPT、EXCEL等)进行批量授权,也可针对单个文档进行授权,权限策略灵活可控。前沿文档安全管理系统为客户提供了详细的文件控制权限,包括阅读、编辑、打印、复制等权限。
5.1.4文件密级管理
系统可控制文档的各种操作权限,支持多种文件密级策略,可灵活的针对部门、操作、密级进行文档安全设置。
5.1.5用户管理
可按公司部门建立用户管理树,可设置用户职位信息与职位关系。用户组织结构与信息可从企业AD中或者Domino服务器获得。
5.1.6内网用户离线功能
可为离开办公环境的计算机(已安装前沿文档安全系统客户端)提供加密文档的使用授权,使工作人员可携带计算机在外部环境中使用加密文档。
5.1.7外网用户离线功能
可将加密文档绑定在特定的载体上,如:U盘、光盘、笔记本(不需安装文档安全系统客户端),同时设定文档的允许访问时间。文档在指定时间内,可以在指定的载体上使用。超过时间或者将文档拷贝离载体将不能使用。
5.1.8网络锁外网用户离线方式
将客户端数、权限、时间等信息烧录至USB KEY中,在外网用户的网络环境中插入USB KEY,该网络环境中的各客户端就可以使用经企业授权的密文文件。
5.1.9审计记录
管理员可以随时查找文档访问信息,可用来追踪泄密渠道,也可用作电子取证。同时,系统管理员的操作也会被完整记录下来,监督员可以进行查询和分析。
5.1.10防止屏幕拷贝
有效防范通过截屏键(Print Screen键)、截屏软件与录像软件进行文档内容截取。
5.1.11标准化技术接口
前沿文档安全管理系统提供与AD、Domino整合的版本,同时可以与其他身份认证系统,办公系统等应用系统集成,降低管理成本,提高易用性。
5.1.12WEB审批平台
用户可以通过WEB审批平台向管理员提出“借阅”、“解密”、“离线”、“邮
件”申请,在批准后就可将文档解密或带离系统环境。
5.2 DSM 4.6手动加密版
5.2.1文档手动加密
由文档的作者对文档进行加密,作者可以根据需求选择哪些文档需要加密哪些不需要加密。系统不对环境内的文档进行自动加密。
5.2.2授权管理
用户在为自己的文档授权时可根据文档应用格式(如PPT、EXCEL等)进行批量授权,也可针对单个文档进行授权,权限策略灵活可控。前沿文档安全管理系统为客户提供了详细的文件控制权限,包括阅读、编辑、打印、复制等权限。
5.2.3文件密级管理
系统可控制文档的各种操作权限,支持多种文件密级策略,可灵活的针对部门、操作、密级进行文档安全设置。
5.2.4用户管理
可按公司部门建立用户管理树,可设置用户职位信息与职位关系。用户组织结构与信息可从企业AD中或者Domino服务器获得。
5.2.5内网用户离线功能
可为离开办公环境的计算机(已安装前沿文档安全系统客户端)提供加密文档的使用授权,使工作人员可携带计算机在外部环境中使用加密文档。
5.2.6外网用户离线功能
可将加密文档绑定在特定的载体上,如:U盘、光盘、笔记本(不需安装文档安全系统客户端),同时设定文档的允许访问时间。文档在指定时间内,可以在指定的载体上使用。超过时间或者将文档拷贝离载体将不能使用。
5.2.7网络锁外网用户离线方式
将客户端数、权限、时间等信息烧录至USB KEY中,在外网用户的网络环境中插入USB KEY,该网络环境中的各客户端就可以使用经企业授权的密文文件。
5.2.8审计记录
管理员可以随时查找文档访问信息,可用来追踪泄密渠道,也可用作电子取证。同时,系统管理员的操作也会被完整记录下来,监督员可以进行查询和分析。
5.2.9防止屏幕拷贝
有效防范通过截屏键(Print Screen键)、截屏软件与录像软件进行文档内容截取。
5.2.10标准化技术接口
前沿文档安全管理系统提供与AD、Domino整合的版本,同时可以与其他身份认证系统,办公系统等应用系统集成,降低管理成本,提高易用性。
5.2.11WEB审批平台
用户可以通过WEB审批平台向管理员提出“借阅”、“解密”、“离线”、“邮件”申请,在批准后就可将文档解密或带离系统环境。
5.3 DSM 4.6手自一体加密版
5.3.1手动加密与自动加密结合
前沿文档安全管理系统手自一体版同时提供两种加密方式:自动加密和手动加密。手自一体版将手动版和自动版的功能特点无缝整合。可按员工工作内容以及文档内容敏感度设置不同的加密方式。
单位中的计算机可以按安全区域划分为手动加密方式或者自动加密方式;也可按不同的部门与应用进行设置,例如对设计类应用使用自动加密方式,对办公
类应用使用手动加密方式,同时手动加密文档与自动加密文档可以实现实时无障碍交互。
这种手自一体的解决方案兼顾了安全性与易用性,满足了用户各种情况下的文档保密需求。
5.3.2授权管理
用户在为自己的文档授权时可根据文档应用格式(如PPT、EXCEL等)进行批量授权,也可针对单个文档进行授权,权限策略灵活可控。前沿文档安全管理系统为客户提供了详细的文件控制权限,包括阅读、编辑、打印、复制等权限。
5.3.3文件密级管理
系统可控制文档的各种操作权限,支持多种文件密级策略,可灵活的针对部门、操作、密级进行文档安全设置。
5.3.4用户管理
可按公司部门建立用户管理树,可设置用户职位信息与职位关系。用户组织结构与信息可从企业AD中或者Domino服务器获得。
5.3.5内网用户离线功能
可为离开办公环境的计算机(已安装前沿文档安全系统客户端)提供加密文档的使用授权,使工作人员可携带计算机在外部环境中使用加密文档。
5.3.6外网用户离线功能
可将加密文档绑定在特定的载体上,如:U盘、光盘、笔记本(不需安装文档安全系统客户端),同时设定文档的允许访问时间。文档在指定时间内,可以在指定的载体上使用。超过时间或者将文档拷贝离载体将不能使用。
5.3.7网络锁外网用户离线方式
将客户端数、权限、时间等信息烧录至USB KEY中,在外网用户的网络环
境中插入USB KEY,该网络环境中的各客户端就可以使用经企业授权的密文文件。
5.3.8审计记录
管理员可以随时查找文档访问信息,可用来追踪泄密渠道,也可用作电子取证。同时,系统管理员的操作也会被完整记录下来,监督员可以进行查询和分析。
5.3.9防止屏幕拷贝
有效防范通过截屏键(Print Screen键)、截屏软件与录像软件进行文档内容截取。
5.3.10标准化技术接口
前沿文档安全管理系统提供与AD、Domino整合的版本,同时可以与其他身份认证系统,办公系统等应用系统集成,降低管理成本,提高易用性。
5.3.11WEB审批平台
用户可以通过WEB审批平台向管理员提出“借阅”、“解密”、“离线”、“邮件”申请,在批准后就可将文档解密或带离系统环境。
第6章模块列表
第7章典型成功案例介绍:
中国石化工程建设公司(SEI)是中石化集团下最大的工程建设公司。该公司在长期的工程设计工作中积累了大量宝贵的设计图纸,质量标准,计算说明书以及财务报表等电子文档,这些电子文档都是设计院的重要数字资产,必须严格保护。
需求分析:
●保护归档的各种电子文档各种设计资料
●同一人员在不同的项目组中权限可能不同
●解决密文文件对外交流问题
●可以与AD域进行身份认证集成
案例分析:
针对其行业独有的知识密集、分散作业特点,前沿科技为SEI搭建了可靠的知识产权保护平台。应用前沿文档安全管理系统,与AD域进行集成,统一用户管理,并对重要文件进行加密以及详细的权限控制,保护设计院内部的数字资产。为出差人员提供内网用户离线方式,保证员工在出差期间可以正常工作。
大唐移动通信设备有限公司是大唐电信科技产业集团的核心成员之一。大唐移动作为高科技行业的大型企业,对于其多年的研发成果的保护尤为重视。
需求分析:
●保护企业内部所有电子文档,如:设计资料、测试报告、财务报表等
●保证总公司与各地分公司可以共享密文文件
●长期驻外人员可以使用密文并与公司进行文档交互
●支持同时与多个域进行集成
案例分析:
应用前沿文档安全管理系统的自动加密技术对电子文档做透明加密,扫描加密各计算机中所有已存在的文件,并且强制加密所有计算机上新建文档。应用统一安全策略,使总
公司与各分支机构之间可以共享文件。为长期出差用户提供离线工作站功能,它的内外网状态自动切换功能可保证用户脱离内网环境后继续使用密文。由于大唐移动员工较多,为方便维护,前沿文档安全管理系统同时与大唐移动各分支机构的多个域集成,减少管理成本。
中航二集团某公司是以研制、生产航空发动机为主的大型国有企业。
需求分析:
●强制保护重要研发文档和企业机密
●严格控制文档内容访问权限
●记录用户详细操作日志
案例分析:
对该公司所有人员的计算机上的文件做强制扫描加密,并自动加密所有公司文件。通过细致的授权设置规范用户对文档内容的访问权限,将用户权限和其工作岗位挂钩,保证涉密文档的安全。用户和管理员的详细操作将形成日志上传至前沿文档安全管理系统的日志系统中,保留操作痕迹,监督用户操作。
第8章成功案例
部分典型成功案例清单:
1.中国石化工程建设公司(SEI)
2.中国石化集团上海工程有限公司
3.中国石化集团宁波工程有限公司
4.山东齐鲁石化工程有限公司
5.中国石油天然气华东勘察设计研究院
6.中国石油集团工程设计有限责任公司东北分公司
7.京鼎工程建设有限公司
8.中国寰球工程公司
9.中国成达工程有限公司
10.海洋石油工程股份有限公司
11.中冶焦耐工程技术有限公司
12.胜利油田胜利工程设计咨询有限责任公司松南气田项目总承包项目部
13.哈尔滨勘查测绘研究院
14.福建省电力勘测设计研究院
15.江苏省电力设计院
16.湖南省交通规划勘察设计院
17.湖南省水利水电勘测设计研究总院
18.天津市化工设计院
19.上海工程化学设计院有限公司
20.哈尔滨天源石化工程设计有限责任公司
21.化学工业第二设计院
22.杭州信凯化工有限公司
23.建德市新化化工有限责任公司
24.浙江新安化工集团股份有限公司
25.西安华江冶金化工设备有限公司
26.北京德厚朴化工技术有限公司