亿赛通文档安全网关DLP-NetSec1.0简介

文档编号：归档人：归档时间：文档安全管理系统产品介绍北京亿赛通科技发展有限责任公司项目管理中心二〇一一年六月文档说明文档属性文档历史目录1.产品介绍 (4)1.1.设计原则 (4)1.2.遵循标准 (4)1.3.系统特点 (4)1.3.1.三权分离 (4)1.3.2.管理分级 (4)1.3.3.部署分级 (5)2.资质证明 (6)3.功能特性 (8)1.1.智能透明加密 (8)1.2.内容安全防护 (8)1.3.细粒度权限控制 (8)1.4.流程审核及代办通知 (8)1.5.安全浮水印支持 (8)1.6.开放式策略库 (8)1.7.统一身份认证集成 (9)1.8.离线办公支撑 (9)1.9.工作模式切换 (9)1.10.详尽日志审计 (9)1.11.其他靓点功能 (9)4.应用效果 (10)5.产品规格 (11)6.应用范围 (13)1.产品介绍亿赛通文档安全管理系统（简称：DLP-CDG），是国内最早的可为企业核心电子数据资产提供全方位内容安全防护的信息安全防护系统。

DLP-CDG以数据加密技术为核心，通过将技术平台与管理体系有效结合，实现对用户核心信息资产的全方位保护；通过建立信息安全边界，降低核心信息资产如源代码、设计图纸、财务数据、经营分析以及其他任意信息资产的有意或无意泄密风险；配合完善的信息安全咨询服务，通过对企业的业务梳理和流程建立，保障企业核心业务正常运转的同时，不过多影响用户工作习惯及业务效率。

1.1.设计原则♦将事前防御、事中控制、事后审计理念作为系统实现原则；♦致力于不过多改变终端用户的操作习惯来提高系统可用性；♦引入核心数据全生命周期安全管理来加强组织体系管理完整性；♦采用信息加密技术手段控制信息内容扩散保障资产保密性；♦建立与核心应用系统安全集成加固方法完善体系兼容性。

1.2.遵循标准♦BS7799(ISO/IEC17799):即国际信息安全管理标准体系(ISO 17799/BS 7799 Information Security Certification)1.3.系统特点1.3.1.三权分离DLP-CDG实现对系统管理、文档管理和日志管理权限及职责的有效分离，在保障体系协同运转的同时实现管理制约及监督。

加密系统终端用户使用相关说明亿赛通文档透明加密系统DLP-SmartSec是针对内部数据进行强制加密/解密的软件产品。

该系统在不改变用户使用习惯、计算机文件格式和应用程序的情况下，采取“驱动级智能动态加解密技术”，对指定类型的文件进行实时、强制、透明的加解密。

在正常使用时，计算机内存中的文件是以受保护的明文形式存放，但硬盘上保存的数据却是加密状态。

如果没有合法的使用身份、访问权限、正确的安全通道，所有加密文件都是以密文状态保存。

所有通过非法途径获得的数据，都以乱码文件形式表现。

一、使用范围：硬件开发部、软件开发部，生产（约5人）。

二、使用方法：1、服务器管理由总办信息系统管理员负责策略制定、授权、备份。

2、客户端登录帐号密码：由管理员分配。

3、客户端接受加密保护的开发工具和文件类型参见文档最后附录：加密开发工具和文件类型一览表4、客户端业务申请4.1、关于解密申请方式一：安装了加密系统后，在系统桌面右下角的任务栏里有如图所示图标：在该图标上使用鼠标右键，弹出功能菜单，如下图：选择“解密申请”，进入文件选择对话框，单个文件解密选择【增加文件】，批量解密选择【增加目录】，将目标指定到要解密的文件或目录即可：点击【确定】后，解密申请流程结束。

此后请等待相关解密管理员进行审核。

方式二：对于需要解密的文件，直接在该文件上使用鼠标右键，弹出菜单如下图：选择【密文解密申请】，在备注中输入解密申请理由后，【确定】即可。

用户提交的文件解密申请，通过管理员的审批后，客户端机器桌面右下角会有如下冒泡窗口提示：文件解密前后的状态对比：解密前的文档图标显示图下图：解密后文档显示如下图：4.2 关于离线申请1、员工因公出差或其他原因不能上网时，需要申请离线使用工作电脑，以保障应用程序的正常使用，离线申请流程如下：安装了加密系统后，在系统桌面右下角的任务栏里有如图所示图标：在该图标上使用鼠标右键，弹出功能菜单，如下图：2、当离线使用超时后，用户可以以电话或其他方式向相关管理员发起离线补时申请，由管理员审核通过后，将生成的补时码以邮件或其他方式发送给用户，用户在客户端图标的右键菜单里选择【本机信息】，在【脱机认证码认证】一栏将补时码输入并确定即可，如下图：4.3 关于卸载申请员工因电脑维护或其他原因需要卸载加密软件客户端时，需要进行客户端卸载申请，卸载申请流程操作如下：安装了加密系统后，在系统桌面右下角的任务栏里有如图所示图标：在该图标上使用鼠标右键，弹出功能菜单，如下图：4.4 用户密码修改用户需要修改密码时，请在BHOA的首页修改。

亿赛通内网数据泄露防护产品测试方案二〇〇九年九月版本历史Copyright © 2009 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information ofESAFENET Corporation and is not to be disclosed orused except in accordance with applicableagreements.Due to update and improvement of ESAFENETproducts and technologies，information of thedocument is subjected to change without notice.目录1适用范围 (2)2参考资料 (2)3系统简介 (2)3.1 DLP-CDG系统简介 (3)3.2 DLP-FileNetSec系统简介 (3)4环境准备 (4)4.1 系统环境 (4)4.2 环境拓扑 (4)5测试计划 (5)6测试用例 (6)6.1 EST-01：用户认证与帐号管理(AD集成认证、用户绑定) (6)6.2 EST-02：文档透明加密保护(文档透明保护、策略定义和下发) (8)6.3 EST-03：内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制) (10)6.4 EST-04：流程化支撑(解密审批流程、离线审批流程、卸载审批流程) (14)6.5 EST-05：例外需求处理(邮件外发自动解密审批流程、文档外发控制) (17)6.6 EST-06：设备安全管理(设备安全准入控制、安全U盘功能) (19)6.7 EST-07：DLP终端安全防护(用户异常状态审计、终端自我防护) (21)6.8 EST-08：系统日志审计(系统日志在线审计、报表导出) (23)6.9 EST-09：系统兼容(操作系统、应用软件、防病毒体系等兼容) (24)6.10 EST-10：应用系统集成整合(安全网关透明加密，安全准入整合) (25)6.11 EST-11：文档主动授权控制(授权文档制作，批量授权) (27)6.12 EST-12：文档权限细粒化控制(复制粘贴，只读，打印，修改，再授权) (29)6.13 EST-13：权限文件流程支持(权限蛮更申请，还原) (32)1 适用范围内网数据泄露防护项目。

杨洋 2011103358 档案管理亿赛通数据防泄露DLP 系统系列文档安全管理系统 CDG北京亿赛通科技发展有限责任公司成立于2003年，是国内最具实力的、拥有完全自主知识产权的终端安全产品、文档安全产品、网络数据安全产品、涉密安全产品与数据泄露防护（DLP）解决方案的综合提供商。

亿赛通总部位于北京中关村科技园，是“国家高新技术企业”、“双软认证企业”。

目前，公司在全国各省市自治区设立分支机构，构建了全国十大区、近三十个省市的营销与服务网络，拥有覆盖全国的渠道和售后服务体系。

亿赛通致力于文档加密、内容安全、数据泄露防护相关技术的研究和开发，基于客户需求，持续创新，推出中国首款文档安全管理系统，前瞻性推出全球首个文档加解密网关，引领内容安全、数据泄露防护（DLP）解决方案的新时代。

凭借多年来的潜心研发，拥有最高级别的涉及国家秘密数据安全的各类资质，荣获部级科技进步奖等多项荣誉，在标准制定、重大专项等方面同政府部门、国内顶级院校积极配合，与国内外顶级IT厂商长期保持战略合作关系，尤其是与Intel芯片级的合作产品已投放市场，在PC机防丢失市场空间巨大；公司全力打造“内容安全”“数据泄露防护（DLP）解决方案”知名品牌“亿赛通”。

亿赛通数据泄露防护产品在国家级、世界级重大会议安全保障体系中做出贡献，为2010年上海世博会、2010广州亚运会等国际大型活动提供文档安全产品及服务。

亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系以数据加密为核心,秉承"事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏的安全目标。

DLP 体系从终端(数据源头)、网络(数据通路)和存储(存储状态)三个层次入手,安全管控核心数据的形成、存储、使用、传输、归档及销毁全生命周期,结合企业组织特有的业务需求、业务模式和管理文化,为企业组织提供完整的数据泄漏防护解决方案。

1.文档安全管理系统CDG——核心信息防泄露防扩散CDG是针对组织内部各业务部门差异化的安全管理需求，通过强制加密与主动加密授权相结合的方式，保护文档全生命周期安全，实现重要信息安全流转，防止重要信息泄露和扩散的综合解决方案。

功能特点灵活的加密方式针对不同用户，可配置强制加密策略，也可配置主动加密策略，还可采取主动加密与强制加密相结合策略。

科学的人员管理基于企业组织结构，通过本地认证或与AD域、ED域结合的统一身份认证等方式，建立人员管理的树型结构。

灵活的角色管理自主定义多种角色，并赋予不同的权限，模块化角色管理。

全面的文档控制可对文档进行“权限归档”、“权限冻结”、“权限解冻”、“权限下载”、“权限转移”、“权限收回”和“生成离线权限文件”等操作。

高效的流程控制在线完成各类业务流程审批，包括文档解密、终端离线、客户端卸载、文档权限变更和邮件解密申请等。

强大的策略配置策略配置包括智能动态加解密、打印、脱机、终端安全强度、磁盘初始化、文件自动备份和邮件白名单等策略。

实时的业务通报业务审批结果通过终端冒泡提醒。

细粒度权限设置文档权限细分为阅读、修改、复制、打印、阅读次数、阅读时间和打印水印。

严密的终端控制采用离线安全控制、离线补时、在线使用和内容安全等多项措施保证终端安全。

多样化日志审计详细记载服务器端和客户端日志，所有操作日志报表在线审计并可自动导出。

容灾管理采用文档自动备份和数据库容灾管理技术，确保业务连续性。

2.文档透明加密系统SmartSec——核心信息防外泄SmartSec是对任意指定类型文档进行强制、实时、透明加解密，兼具强大的安全性和易用性，防止核心信息外泄的强制加密软件产品。

功能特性智能透明加密系统采用国际先进的高强度加密算法进行文档加密，加解密过程智能透明，不会改变用户的任何操作习惯，也不改变原有信息的格式和状态。

同时，系统还具备严格的进程签名机制，能够准确识别未经授权的非法进程，大大降低了数据泄露的风险。

主流国产加密软件测试报告加密软件测试报告2011.6⼀、前⾔随着我公司PDM项⽬的实施，将会⼤⼤提⾼公司的研发效率和⽔平，同时也会产⽣⼤量的图纸、技术⽂档等资料，这些资料对公司来说就是命脉，是我们的竞争砝码，如果这些资料被⾮法流出，将会对我公司造成重⼤的损失，甚⾄会使某些新产品的研制计划夭折，因此加强对图⽂档的保密就变得⾮常重要了。

⽽⽬前信息⽹络⼜⽆处不在，公司的电脑也没有做加强的防护，因此现在的泄密途径很多，⽐如⽤笔记本电脑、U盘、USB硬盘等移动存储设备就可以将图纸全部拷贝带出，或者⽤邮件也可以将资料外送，或者通过互联⽹都可以将资料发送到外部。

除了研发资料外，公司其他⼀些资料也是机密的，⽐如我们的财务报表、供应商资料、客户资料、项⽬资料、成本及价格资料等等都是需要保密的。

近⼏年，因为企业机密被泄露⽽导致严重损失的例⼦经常见诸报端、⽹络，所以很多公司都已经开始部署加密软件来保护内部的重要资料，通过把机密⽂件进⾏加密存储，即使⽂件被拷贝带出了，离开了原公司的加密环境是不能打开的。

为提升信息管理⽔准，保障机密电⼦⽂档的安全，我公司也应部署⼀套⽂档安全管理系统，使公司内部的⽂档安全可靠，管理规范。

⽽为了保证重要信息的安全，需要在内部和外部的边界处建⽴起⼀道可靠的⽂档信息安全防线，以使这些重要的数据信息⾃由流动的范围仅限制在公司内部。

⼆、测试说明我公司部署的PDM系统是PTC的Windchill系统，是基于JA V A的B/S架构模式，本次测试主要测试加密软件与Windchill系统的兼容。

经过与PDM的实施⼯程师交流和实际加密的简单测试，最终确定PDM系统的加密原则：PDM服务器不进⾏加密，访问PDM系统的客户端进⾏加密，不装客户端的电脑不允许访问PDM系统。

PDM服务器不进⾏加密是因为Windchill系统⾥⾯有些功能与加密不兼容，如果服务器上存储的⽂档进⾏了加密，Windchill的有些功能将不能使⽤，⽐如缩略图功能，另外还考虑万⼀加密出现问题后，服务器上的⽂档将⾯临失效的危险，因此确定服务器上不进⾏加密；客户端进⾏加密，凡是从PDM系统上下载下来的⽂档都进⾏加密存储，⽤设计软件绘制的图纸进⾏加密存储，检⼊到PDM系统时进⾏解密；上传到PDM系统的⽂档⾃动进⾏解密；因为PDM服务器是明⽂存储的，所以要对访问进⾏控制，不允许没安装加密客户端的电脑进⾏访问。

文档类型：文档编号：亿赛通数据泄露防护（DLP）系统安装手册北京亿赛通科技发展有限责任公司1.1.1.1.1二O一三年十月三十日文档说明更新历史编写人日期版本号变更内容董伟杰2013-10-30 V1.0 初稿、更新目录1.引言 (5)1.1编写目的 (5)1.2系统背景 (5)1.3术语定义 (5)1.4参考资料 (5)1.5版权声明 (5)1.6最终用户许可协议 (6)1.6.1授权许可 (6)1.6.2知识产权保护 (6)1.6.3有限保证 (7)1.6.4您应保证 (7)2.软件兼容性 (9)2.1服务端的支持情况 (9)2.1.1.对操作系统的支持 (9)2.1.2.对IE浏览器的支持 (9)2.1.3.对数据库的支持 (9)2.1.4.文档权限支持如下应用软件及文件格式（透明加密支持*.*文件类型） (9)2.2客户端的支持情况 (10)2.2.1.对操作系统的支持 (10)2.2.2.文档权限支持如下应用软件及文件格式（透明加密支持*.*文件类型） (10)3.软件安装 (11)3.1.服务器安装 (11)3.2.FTP服务器部署 (15)3.3.客户端安装 (15)4.系统运行前的准备 (19)4.1.检查CDG Server (19)4.2.配置SQL数据库 (19)4.3.检查SQL Server (21)5.软件卸载 (23)5.1.服务器卸载 (23)5.2.客户端的卸载 (25)5.2.1.服务器终端卸载 (25)5.2.2.输入卸载码卸载 (28)1.引言1.1编写目的本手册指导使用者进行软件安装、数据库配置等保证亿赛通数据泄露防护（DLP）系统运行的基本操作。

本手册的使用对象：公司技术支持部、销售部、市场部、测试部和使用亿赛通数据泄露防护（DLP）系统产品的客户。

1.2系统背景系统名称：亿赛通数据泄露防护（DLP）系统版本号：V300R008C01SPH530任务提出者：北京亿赛通科技发展有限责任公司；任务承接者及实施者：北京亿赛通科技发展有限责任公司；系统使用者：使用亿赛通数据泄露防护（DLP）系统产品的用户；1.3术语定义DLP ：Data Leakage Prevention，数据泄露防护；1.4参考资料编写本手册时参考的文档如下：《亿赛通数据泄露防护（DLP）系统_DLP需求规格说明书》《亿赛通数据泄露防护（DLP）系统_DLP概要设计规格说明书》《亿赛通数据泄露防护（DLP）系统_DLP详细设计规格说明书》《亿赛通数据泄露防护（DLP）系统_DLP技术白皮书》1.5版权声明本手册以及所提及的数据、图标、名称等信息，所有权皆属于亿赛通公司所有。

亿赛通文档安全网关产品介绍文档加密安全网关产品概述随着电子信息化建设力度的不断加大，企业越来越多的利用各种应用系统来实现信息的共享和交换，以提高其商务竞争能力和办公效率。

在当今这个信息经济时代，除了要能够随时随地获取信息之外，确保信息的机密性和完整性显得更为重要。

日益加剧的市场竞争和层出不穷的病毒木马，使得数据的安全性受到极大威胁。

亿赛通FileNetSec（文档安全网关）系统是从文件在企业的使用流程入手，将数据泄露防护与企业现有OA系统、文件服务系统、ERP 系统、CRM系统等企业应用系统完美结合，有效解决文档在脱离企业应用系统环境后的安全问题。

应用范围FileNetSec广泛用于保护各类文档服务器、资源管理服务器、OA、ERP、PDM 等应用服务器的数据安全可控。

功能特性智能透明加密文件安全网关为集成硬件设备，硬件部分采用性能强大的网关设备，内置加固、精简的Linux内核系统，系统采用国际先进的高强度加密算法进行文档加密，加解密过程智能透明，不会改变用户的任何操作习惯，也不改变原有信息的格式和状态。

超强文档保护文档被强制加密后，只有具备相应密钥的用户才能正常打开，但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息；在密钥不匹配的情况下，文档打开后将以乱码形式呈现，无论通过何种非法途径均无法读取文档内容。

精确访问控制FileNetSec文档安全网关支持远程用户访问公司资源，它通过国际先进的加密技术提供基于网络的访问途径，通过与企业各种应用系统的集成，用户可以访问基于Web的各种数据资源以及共享文件。

并且系统可以实现功能强大的访问控制，通过策略配置可以实现只允许可信的用户和连接访问，拒绝具有安全威胁的用户和连接访问，从而大幅提高整体网络的安全性。

支持双机热备FileNetSec文档安全网关可以根据用户网络的特点和具体要求，在保证网络架构高效简洁的前提下，同时实现网络的负载均衡。

当出现高峰突发访问时，FileNetSec到服务器的连接数并不会突然增加，从而对服务器起到一定的压力缓解作用。