下载文档原格式
时代亿信证书管理系统功能简介1.1 认证中心(CAServer)CAServer是ETCA数字证书管理系统的核心,负责所有证书的签发、注销以及证书注销列表的签发等管理功能。
证书管理在CAServer系统中,只有拥有证书管理角色的管理员才能进行证书管理的操作。
证书管理主要包括证书的申请、下载、发布、申请并下载、更新、更新并下载、冻结、解冻、授权码更新、证书查询、证书实体查询及证书撤销列表的发布等操作。
✓证书申请系统提供基于WEB的申请方式,简单易用,帮助用户方便、安全、快捷的进行证书申请。
用户可以根据自己的需要选择相应的证书模板进行证书申请操作,如果申请成功,系统将返回下载证书所需的凭证。
✓证书签发对于通过审核的证书申请,CA Server可以为其签发证书。
签发的证书符合相关标准,并且支持扩展。
签发时使用的系统密钥得到高强度的安全保护,系统支持硬件主机加密服务器及PKCS#11接口。
✓证书发布对于签发好的证书,系统进行自动发布,发布方式可以为文件方式或者目录服务方式。
系统支持所有符合LDAP V3标准的目录服务,支持主/从目录服务器机制。
✓证书下载证书申请通过审核之后,用户可以通过下载凭证安全的下载证书。
系统提供基于WEB的下载方式,支持多种加密算法和密钥长度,支持文件、智能卡、USB-KEY等多种存储介质。
✓证书申请并下载申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一步完成的功能。
✓证书更新系统提供证书更新功能,用户可以根据需要对正在使用中的证书进行有效期的更改,更新成功后,用户可以下载新的证书。
✓证书更新并下载证书更新并下载是为了方便用户,将证书更新和下载更新后的证书两项操作一步完成的功能。
✓证书查询系统提供证书查询功能,用户可以通过查询条件查询出符合条件的证书信息,支持精确查询。
✓证书下载凭证更新对一些申请成功但是没有下载的证书,CA Server可以为用户重新生成下载凭证,用户使用新的下载凭证进行证书下载。
文件盾SecureDOC-A产品1. 第一页1.1 产品简介时代亿信文件盾系列产品面向企事业单位及个人用户提供电子文件的加密保护、可控流转、权限控制和使用审计,为电子文件防泄密提供整体解决方案。
文件盾SecureDOC-A产品(文档自动加密系统)从文档源头进行管理,对任意指定类型文档实现强制自动加密和权限控制,不影响企事业单位内部文档正常使用,严格限制文档外带、离线等脱离企事业单位许可环境时的使用,有效防止电子文件的主动或被动外泄。
1.2 工作机制SecureDOC-A产品由服务器和客户端组成,通过服务器设置下发策略、客户端自动强制加密文件、客户端文件操作防控等机制实现企业电子文件防泄密。
●管理员通过服务器端设置策略,指定自动加密的应用程序和文件类型●客户端接收下发的策略,按策略对文件进行自动强制加密●加密文件在企业内部或部门内部正常使用,部门之间授权使用●加密文件未经许可脱离企业安全环境无法使用;经许可才能离线或外发,按限定权限受控使用加密文件2. 第二页2.1 电子文件防泄密SecureDOC-A产品提供文件自动强制加密功能和多重防泄密措施,保证内部用户正常使用,而在企业外部无法使用,有效防止文件内容的泄露隐患。
多重防泄密措施:●防控文件内容的复制操作,禁止复制出明文内容●防控文件内容的打印和虚拟打印操作,打印时可强制添加水印信息●防控文件内容的屏幕截屏和屏幕录像操作●内存防护,禁止从内存中直接读取文件内容●未经许可,离线的文件无法操作●未经许可,发送或外带至外部的文件无法操作●客户端自我防护:禁止退出或非法结束客户端程序;禁止卸载或非法删除客户端程序;操作系统安全模式下,客户端仍然保持正常运行2.2 加密文件组内共享及组间授权SecureDOC-A产品可以满足企业内部部门或用户组内用户共享加密文件的需求,即本部门或本用户组内的任意用户创建的文件,本部门或本用户组内的所有用户都可以正常使用,而其他部门或用户组则需要经过文档的授权转换才能打开和使用。
时代亿信文件盾产品系列EETRUST® Wise FileShield Series——技术白皮书文件盾产品系列概述电子文件是企业信息存储的主要方式,是企业内部、外部之间信息交换的主要载体。
电子文件在传输、流转、存储等过程中,极易受到黑客、木马、竞争对手的窃取,以及内部员工有意无意的泄密,这些不受控的活动严重威胁着企业各类信息资源、企业知识产权、用户个人隐私的安全。
文件盾系列产品(EETRUST® Wise FileShield Series)专注于电子文件的安全存储、加密传输、可控流转、权限控制、跟踪审计,在保持用户使用习惯的同时,最大限度地保护电子文件资源。
图文件盾系列产品全方位的电子文件保护文件盾系列产品可集成CA智能卡身份认证、终端计算机安全登录等扩展功能,并同时可与企业OA公文流转等应用系统无缝集成,全面提升企业主机和信息系统访问的安全保护等级,有效保护企业电子文件等信息资源。
1. 文件盾产品系列分类文件盾产品系列根据产品形态、应用场景不同,划分为以下版本:1.1 文件保险箱单机版文件保险箱单机版(WFS-SFB1000)为用户计算机提供虚拟磁盘、文件/文件夹透明加解密,设置加密文件夹等本机电子文件的安全存储功能,拒绝非法用户和非法进程访问,有效防止木马和黑客的侵袭。
1.2 文件保险箱企业版文件保险箱企业版(WFS-SFB2000)在文件保险箱单机版的基础上,结合企业目录、CA数字证书认证和数字信封加密,为企业内部的涉密文件提供本机安全存储、端到端的安全交换、文件操作审计功能。
1.3 网络文件保险箱网络文件保险箱(WFS-SFB3000):用户的文件保险箱加密并集中存储在服务器端,用户以本地磁盘方式使用网络文件保险箱,客户端与服务器端采用加密通道通讯,同时提供企业共享文件夹功能,并可对用户访问进行授权,满足企业电子文件集中存储、安全交换的需求。
1.4 SecureDOC企业文档安全保护系统SecureDOC企业文档安全保护系统(WFS-SD-EE)采用驱动级文件透明加解密技术,与企业应用无缝结合,控制应用流程中的电子文件权限,对文件的阅读、编辑、复制、打印、截屏、分发等进行细粒度授权和控制,文件操作权限可实时追加和收回,同时支持离线权限控制。
1.文档安全管理系统CDG——核心信息防泄露防扩散CDG是针对组织内部各业务部门差异化的安全管理需求,通过强制加密与主动加密授权相结合的方式,保护文档全生命周期安全,实现重要信息安全流转,防止重要信息泄露和扩散的综合解决方案。
功能特点灵活的加密方式针对不同用户,可配置强制加密策略,也可配置主动加密策略,还可采取主动加密与强制加密相结合策略。
科学的人员管理基于企业组织结构,通过本地认证或与AD域、ED域结合的统一身份认证等方式,建立人员管理的树型结构。
灵活的角色管理自主定义多种角色,并赋予不同的权限,模块化角色管理。
全面的文档控制可对文档进行“权限归档”、“权限冻结”、“权限解冻”、“权限下载”、“权限转移”、“权限收回”和“生成离线权限文件”等操作。
高效的流程控制在线完成各类业务流程审批,包括文档解密、终端离线、客户端卸载、文档权限变更和邮件解密申请等。
强大的策略配置策略配置包括智能动态加解密、打印、脱机、终端安全强度、磁盘初始化、文件自动备份和邮件白名单等策略。
实时的业务通报业务审批结果通过终端冒泡提醒。
细粒度权限设置文档权限细分为阅读、修改、复制、打印、阅读次数、阅读时间和打印水印。
严密的终端控制采用离线安全控制、离线补时、在线使用和内容安全等多项措施保证终端安全。
多样化日志审计详细记载服务器端和客户端日志,所有操作日志报表在线审计并可自动导出。
容灾管理采用文档自动备份和数据库容灾管理技术,确保业务连续性。
2.文档透明加密系统SmartSec——核心信息防外泄SmartSec是对任意指定类型文档进行强制、实时、透明加解密,兼具强大的安全性和易用性,防止核心信息外泄的强制加密软件产品。
功能特性智能透明加密系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
同时,系统还具备严格的进程签名机制,能够准确识别未经授权的非法进程,大大降低了数据泄露的风险。
SecureDOC文档安全系统技术解决方案一、应用背景随着In ternet技术的高速发展,企业、政府等组织信息化的建设也逐步得到推进。
电子文档是企业信息存储的主要方式,是企业内、外部之间进行信息交换的重要载体。
现在黑客、木马和员工泄密等是信息安全的主要威胁。
如何最大限度的保护电子文档的安全性、完整性,也开始越来越受到企业的关注与重视。
网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。
据调查显示:有超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,在各种安全漏洞造成的损失中,30% - 40% 是由电子文件的泄露造成的,防火墙或专网,可以防止外部人员非法访问,但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。
这种二次传播就是造成电子文档泄密的主要途径。
二、解决问题那么怎样才能防止电子文档的传播泄密呢?这就需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护。
防止内部重要电子文档被泄密,灵活设置用户使用电子文档的权限(包括:阅读、打印、保存、另存为、打印、截屏等),并且实时权限回收,防止离职或辞职人员泄密。
1.防止内部重要电子文档被泄密,灵活设置用户使用电子文档的权限(包括:阅读、打印、保存、另存为、打印、截屏等),并且实时权限回收,防止离职或辞职人员泄密。
2.为电子文档的泄密提供了追查依据。
从而判断泄密事件的问题所在,以方便快速的采取有效的相应措施。
3.适用于各种文档管理方式,同一文档对不同人的使用权限不同,体现了管理层次;4.为机密电子文档的管理提供了一套有效的管理办法,解决了信息系统使用方便性和安全可控性,为深入信息化建设提供了技术保障。
5.不限制网络和移动存储设备的正常使用采用密钥和文档分离管理技术,密钥与密文分离存储,密钥的下放与解密由系统控制。
企业核心文件,进行驱动级加密。
只有通过文档安全系统的强身份认证之后,才能获取密钥,对机密文件进行解密。
时代亿信文件盾-SecureDOC电子文档安全管理产品
1.1 产品简介
SecureDOC电子文档安全管理产品面向企业机构的电子文件防泄密需求,实现电子文件内容的加密保护、文件权限的管理和控制,文件操作的跟踪审计,既保持合法用户对电子文件的合理使用和使用习惯,又有效防止黑客、木马、竞争对手的窃取,以及内部用户有意无意的泄密,从而最大限度地保护企业机构的电子文件资源和知识产权。
SecureDOC电子文档安全管理产品主要包括:文档安全管理服务平台(SDMS)、文档安全用户服务平台(SDSC)、文档安全客户端(SDClient)、文档安全控件(SDCOM)等组件。
1.2 产品功能介绍
SecureDOC电子文档安全管理产品基于驱动级透明加解密技术,对文档内容进行加密保护,并对文档的阅读、编辑、内容复制、打印、截屏、分发等权限进行实时控制和跟踪审计,实现对文档传输、存储、流转、使用过程的全方位保护,防止主动和被动泄密。
1.2.1 高强度的文件透明加解密
在用户计算机操作系统的文件过滤驱动层,采用AES 128位的对称加密(算法可替换),加密密钥随机产生,并且每个文件的加密密钥均不相同。
在用户计算机操作系统的文件过滤驱动层,自动对文件的读写数据进行加解密处理,与具体的文件格式无关,不改变文件的扩展名、不改变文件的关联应用程序、不改变用户的文件操作方式,即文件的加解密对用户透明。
对于文件的加密,既可以由作者根据文件的密级属性手动加密,也可以根据需求设定某类应用程序产生的文件均自动加密。
对于文件的解密,在内存中进行并防止内存拷贝,不在用户计算机磁盘上产生明文文件。
1.2.2 精确的可信进程管理
产品对访问密文文件的应用程序进程进行管理,只有被添加为可信进程,才能访问相应类型的密文文件。
产品对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式,从而阻止木马等未受信进程对文件的非法访问。
1.2.3 细粒度的文件权限控制
产品在用户计算机操作系统级API层面对密文文件的操作进行
细粒度控制,阻止任何未授权的操作行为,而不依赖具体的应用程序。
产品有效控制文件的阅读、编辑、内容复制、打印(包括虚拟打印)、带水印打印、截屏、屏幕录像、脱密等操作。
合法用户只有在指定的环境中,才能获取被授予的文件操作权限,并在授予的权限范围内操作文件。
产品提供文件的离线权限控制,以满足特定用户在无法连接授权环境时对文件的合理使用需求。
产品提供文件的外发权限控制,以满足企业外部用户、合作伙伴对文件的使用需求。
对制作的外发文件,可以设定相应的操作权限、时间期限,并可以绑定智能卡或外部主机的硬件信息。
1.2.4 动态的文件权限管理
产品提供文件的权限管理,文件作者在客户端、文档管理员在管理端,均可以随时对用户的文件操作进行授权、权限追加、权限撤销,而无需对文件本身进行回收、修改和重发。
同时,文件作者和文档管理员也可以向特定用户授予文件分发权限,并指定其可以分发哪些具体的权限,从而有效控制文件的流转权限和流转范围。
1.2.5 便捷的文件授权方式
产品提供便捷的文件授权方式,既可以对用户、用户组、组织机构、职务/角色等进行授权,也可以通过权限模板对批量用户进行授权。
同时,用户也可以通过客户端进行文件权限申请。
1.2.6 详细的文件操作审计
产品提供详细的文件授权日志和文件操作日志,以方便对用户的文件操作行为进行审计。
用户在线对密文文件的各类操作信息,将由客户端实时记录到服务器进行存储。
用户离线时对密文文件的各类操作信息,将由客户端加密保存在用户计算机上,当用户在线时,离线日志将自动上传至服务器进行存储。
文件操作日志记录的信息包括:用户、用户客户端主机IP地址、MAC地址、操作时间、操作的文件和具体的操作行为。
1.2.7 完善的产品安全机制
产品支持USB智能卡数字证书认证,充分结合挑战-响应机制和数字证书加密、数字签名机制,增强认证信息的随机性、保密性、真实性,有效地防止认证过程中的机密信息泄露、窃听和重放攻击,保证了身份认证的高度安全性和可靠性。
产品客户端与服务器端之间采用SSL加密通信方式,保证了文件加密密钥和用户文件权限信息获取的安全性。
产品采用AES 128位对称密钥对文件进行加密,文件过滤驱动只在内存中进行解密操作,不在磁盘上产生明文文件,并且对内存中的解密数据进行保护,阻止对内存数据的非法拷贝。
产品采用三权分立的管理机制,分为系统管理员、文档管理员、审计管理员,三者自成体系并相互制约,分别完成系统管理维护、文档权限管理、管理行为审计。
1.3 产品规格与功能
SecureDOC-A(独立应用型):该产品独立部署和应用,为企业机构提供电子文件的发布上传、加密、集中存储、接收下载、权限管理、权限控制和审计服务。
SecureDOC-B(集成应用型):该产品提供文档安全管理集成服务,与企业OA、知识管理(KM)、文件管理、档案管理等系统集成应用,实现企业文件流转、存储和访问过程中的加密、权限管理、权限控制和审计,支持企业组织机构和用户数据的同步。
该产品同时可根据企业文档安全管理的特定需求提供定制开发服务。
文件授权√√细粒度文件操作权限控制
√√
(阅读、编辑、内容复制、打印、
水印打印、截屏、屏幕录像、脱密)
文件分发权限控制√√
文件离线权限控制√√
文件外发权限控制√√文件权限模板√√
文件操作审计√√
文件集中存储√
文件发布上传/接收下载√
文件权限的申请/审批√
文件及权限相关消息通知√
可信进程管理√√客户端主机信息管理√√管理员分级管理和三权分立√√用户名/口令认证√√
外部数据源认证√√USB智能卡数字证书认证√第三方认证集成√
单点登录集成√组织机构和用户同步服务√文件加密/解密服务√文件授权服务√文件权限查询服务√OA、KM等第三方应用集成√支持手机移动办公√支持特定需求的定制开发√
符号说明:
表示选择文档安全用户服务平台(SDSC)时具有的可选功能
表示不具备该功能
1.4 成功案例
金融行业:
民生银行文档安全项目
中国民生银行于1996年1月12日在北京正式成立,是中国首家主要由非公有制企业入股的全国性股份制商业银行,同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。
时代亿信采用SecureDOC电子文档安全管理产品构建民生银行
文档安全系统,对民生银行所产生的电子文档进行加密授权处理,所有文档以密件形式保存在服务器上,同时支持用户对计算机终端上的文件进行加密授权。
SecureDOC电子文档安全管理产品与民生银行OA、KM等应用系统无缝集成,不改变用户使用应用系统的操作系统,全部加密授权操作在后台自动完成。
用户可以通过文档安全用户服务平台接收和处理加密后的公文,具备离线授权使用、文档外发、文档彻底销毁功能。
民生银行文档安全系统解决方案帮助用户建立了完善的文档安
全管理体系,实现了对文档本身的安全保护及对文档传输途径的有效管理,满足国家机要文件及民生银行内部的商业保密文档在传输、保存、利用方面的保密需求。
电信行业:
时代亿信SecureDOC电子文档安全管理产品目前已经成功应用
于中国电信集团公司、海南、山东、湖南、天津省公司,针对各公司的具体需要实现了不同方式的数据安全加密保护,集团公司与OA系统无缝集成,可对公文正文和附件进行细粒度加密授权,并对用户提供个人终端安全保密存储区,存储保护所有密文文档;海南、山东、
湖南、天津省公司也实现了与OA系统的无缝集成,但分别根据自身需要选择了显式授权和静默授权
方式,显式授权由部门文员手工指定公文的授权用户及权限,静默授权按照事先制定好的授权规则进行授权;湖南电信更进一步与邮件系统集成,对用户指定的邮件内容进行加密保护,提升了邮件系统的数据安全性。
SecureDOC电子文档安全管理产品的驱动级透明加解密、应用系统无缝集成的特性获得了中国电信用户的普遍好评,已经成为企业应用系统的安全基础设施之一,在今后必将继续对中国电信企业发展发挥重大作用。
.。
