投标文件(技术部分).docVIP

正本正本 金丰环球设计院防泄密系统金丰环球设计院防泄密系统 投标文件投标文件 （技术部分）（技术部分） 投标方：南通网盛网络技术有限公司 2012 年 7 月 投标文件（技术部分） 北京思智泰克技术有限公司 i 目目 录录 第一部分 项目说明.2 第一章 项目概况2 1.1 招标公司概况.2 1.2 背景 .3 第二章 项目目标5 2.1 系统定位.5 2.2 具体目标.5 第三章 投标公司介绍 9 3.1 北京思智泰克技术有限公司介绍9 第二部分 项目建设方案16 第四章 功能需求分析 16 第五章 网络拓扑分析 17 第六章 项目组成及设计.18 6.1 系统组成18 6.2 解决问题19 6.3 系统功能列表.23 6.4 实施方案29 6.5 网络支持30 6.6 部署支持31 6.7 具体需求应答.32 第七章 设计及技术特点.41 7.1 B/S+C/S 的体系架构.41 7.2 SSF 电信的服务器架构.42 7.3 分级管理架构43 7.4 驱动级透明加解密技术43 7.5 剪贴板防护技术 45 7.6 特征码识别技术 46 7.7 用户身份认证技术.46 7.8 软件开发质量保障体系47 投标文件（技术部分） 北京思智泰克技术有限公司 ii 7.9 多种技术保障系统健壮性47 第八章 系统性能47 8.1 兼容性.47 8.2 安全性.48 8.3 稳定性.48 8.4 兼容性.48 8.5 可维护性.49 8.6 可移动性.49 8.7 可重组性.49 8.8 可管理性.49 第三部分 项目实施方案52 第九章 项目实施计划 52 第十章 项目实施方法 52 第十一章 项目培训53 11.1 目标 .53 11.2 培训对象54 11.3 培训质量54 11.4 培训内容54 第十二章 技术支持及售后服务54 12.1 目标 .54 12.2 服务人员55 12.3 服务内容55 12.4 产品质量保证56 第十三章 项目风险56 13.1 解决方案风险及控制.56 13.2 人员风险及控制 57 13.3 技术风险及控制 57 投标文件（技术部分） 北京思智泰克技术有限公司 1 第一部分第一部分 项目说明项目说明 第一章 项目概况 第二章 项目目标 第三章 投标公司介绍 投标文件（技术部分） 北京思智泰克技术有限公司 2 第一部分第一部分 项目项目概况概况 1.1 公司简介公司简介 中南控股集团起步于 1988 年，已发展成为拥有各类员工 40000 余人、总 资产 514 亿元、2011 年综合产值 270 亿元的大型集团化上市企业。目前中南 集团拥有“房地产业” 、 “建设产业” 、 “土木工程产业” 、 “工业产业”等产业板 块，下辖江苏中南建设集团股份有限公司（证券代码：000961.SZ） 、中南房地 产业有限公司、南通建筑工程总承包有限公司、南通市中南建工设备安装有限 公司、北京城建中南土木工程集团有限公司、金丰环球装饰工程（天津）有限 公司等 30 多个子公司，以及专注于社会公益慈善事业发展的江苏中南慈善基金 会。集团现有各类经济技术管理人才 6000 余人，其中博士 6 人，硕士 200 多 人，本科及大专学历人才 4000 多人，各类中、高级职称人员近两千人。 中南控股集团是江苏省最具知名度的民营企业之一，旗下建设产业长期位 居江苏省民营建筑行业前列，南通建筑工程总承包有限公司具有房屋建筑工程 施工总承包特级资质；“中南世纪城”品牌是江苏省最具知名度的房地产品牌 之一，南通金石国际大酒店和中南城超级购物中心在南通 CBD 宏张开业，迈出 了向高端商业、服务业进军的坚实步伐；北京城建中南土木工程集团有限公司 是全国最早从事地铁工程研发与施工的专业公司；中南全预制装配式楼宇产业 化（NPC）生产装配技术达到国内领先水平。2011 年中南集团成功入选中国企 业 500 强名列第 304 位，成功入选 2011 年中国房地产上市公司综合实力百强 榜单，名列第 48 位；2011 年位列中国房地产开发企业 500 强第 76 位，同时 荣获中国房地产开发企业区域运营十强第 6 名和综合发展十强第 9 名。2012 年 又成功晋升中国房地产开发企业 500 强第 47 位。 十二五期间，中南集团将紧紧围绕“一个中南” ，以控股集团为核心，优化 整合旗下四大产业全链条优势，夯实“八大联动”项目，高举“人本、责任、 拼搏、创新”的新铁军旗帜，深入打造城市综合体，全面实现“做新城新区的 投资商、开发商、建设商、运营商”的“四商建设”战略目标。 投标文件（技术部分） 北京思智泰克技术有限公司 3 1.2 项目背景项目背景 随着中南集团各地分公司的增加，越来越多的重要资料以电子文档的形式 存储在计算机中，并且借助互联网络和各种移动存储设备进行快速的传播和共 享，其中不泛公司重要的设计文件。 本次项目涉及到中南集团子公司金丰环球装饰工程（天津）有限公司，分 为南北两院，北院位于天津装饰公司总部，南院位于南通体育会展中心，北院 配置共享 10M 电信光纤，南院配置独享 6M 电信光纤。 装饰设计院组织架构图 目前现状：目前现状： 1、设计图纸没有统一归档，且可以随意拷贝转移，网上传送，存在较大的 风险。 2、终端文档打印没有控制、只要得到数据文件，可以使用纸面打印，带出 物理文档资料。 3、目前数据文档资料，没有进行加密，任何人只要得到文件就可以自由查 阅。 故公司需要通过技术手段实现：对设计文件及相关重要文件进行保护，如防泄 投标文件（技术部分） 北京思智泰克技术有限公司 4 密、文件加密、防拷贝、防非法打印等。 第二章第二章 项目目标项目目标 2.1 系统定位系统定位 公司文件加密系统项目建设的目标是在企业内部提供系统，能够实现企业 内部电子数据文档的有效保护，同时能够逐步强化企业内部数据的安全。 2.2 具体目标具体目标 公司具体内部电子数据文档的加密目标如下： 1.1 文件加密 针对设计图纸、重要文档进行加密，加密过的文件如果没有进行授权， 则打开后显示乱码。外部引入的文档一旦进入涉密环境会自动强制加密， 在涉密环境可以自由打开使用，但是一旦脱离加密环境即是乱码。 1.2 文件授权 通过服务器安装客户端，可以对文件进行授权处理，对于加密的图纸或 文档可以查看，修改，保存等操作。可按组织机构、人员等权限分配不 同的操作权限。 1.3 打印归口 所有图纸不可直接打印，必须在传送指定电脑上进行打印，且打印记录 一律留存。包括打印时间、打印地址、打印电脑归属人、打印文件名等。 1.4 文件解密 因特殊情况，图纸需外带进行投标，或是供甲方参考，则由指定人员进 行图纸解密工作。图纸解密必须走审批流程，由设计院领导同意后方可 解密。如果外发文件比较重要担心第三方造成数据二次扩散可以对外发 文件制作成生命周期文件，即文件阅读的权限、阅读的次数、阅读的时 间都可以根据需要进行详细的设定。(增加时效性，即文件外传可限制时 间或者次数) 1.5 离网授权 投标文件（技术部分） 北京思智泰克技术有限公司 5 电脑离开办公网络后,失去认证无法打开图纸等相应保密文件。如需出差 及外带需走审批流程，相关领导同意后开通离线授权功能方可使用。完 善的离线使用数据策略，离线管理和在线管理的方式一样，只是操作日 志缓存在终端本地，一旦回到公司即可以强制回收离线日志，方便查看 员工离开公司期间对加密数据使用的痕迹。确保加密文档的安全。 1.6 文档统一管理 针对操作的文件可实现自动备份。文档可存储在本地、亦可上传服务器 进行集中管理，资料统一保存，防止文件丢失，删除或恶意操作。 第三章第三章 投标公司介绍投标公司介绍 3.1 北京思智泰克技术有限公司介绍北京思智泰克技术有限公司介绍 北京思智泰克技术有限公司通过长期的市场摸索和技术整合，推出了最为 适合中国企业用户的安全解决方案思智企业安全管理系列产品。无论在安 全性、易用性以及易管理性方面，思智企业用户安全解决方案均被认为是中国 市场上最为优秀的企业安全管理产品，并具备丰富的企业信息安全项目咨询、 实施、服务经验。思智泰克是一家专业从事企业信息安全管理市场的高技术企 业。公司核心团队由清华大学、北京大学、中国科学院专家及美国、加拿大的 归国精英构成，并且拥有经中国、美国和欧盟批准的数十项信息安全技术专利。 思智泰克从成立之初，就致力于以信息安全技术及产品的研发为主要方向， 长期对企业数据信息安全领域的不断研究，已经掌握了企业数据信息安全管理 的核心技术和关键流程。经过多年的努力，目前已获得美国、欧盟、日本及中 国的多项技术发明专利，成为全球信息安全领域拥有自主核心知识产权的专业 厂商。并于 2005 年获得美国数据集团（IDG）公司的战略投资。 作为企业数据安全保护领域的领军企业，为了更好地满足中国企业和机构 在企业安全管理领域的应用需求，推出了最适合中国企业使用的思智企业级数 据安全管理解决方案。思智泰克正在为越来越多的机构提供信息安全保护，将 投标文件（技术部分） 北京思智泰克技术有限公司 6 为中国企业提供最为理想的安全产品！ 公司领导人高瞻远瞩的意识到企业信息安全对企业持续发展的重要性，决 定建立健全企业的信息安全保护系统。我们非常感谢公司能够给我们思智泰克 提供这样一个机会，希望通过我们的努力，能够为公司的企业信息安全系统的 建设作出贡献。 投标文件（技术部分） 北京思智泰克技术有限公司 7 第二部分第二部分 项目建设方案项目建设方案 第四章 项目组成及设计 第五章 系统功能和性能要求 第六章 系统业务功能需求分析 第七章 网络拓扑分析 投标文件（技术部分） 北京思智泰克技术有限公司 8 第二部分第二部分 项目建设方案项目建设方案 第四章第四章 功能需求分析功能需求分析 根据对公司“文件加密系统招标项目”招标书中功能需求的详细分析，思 智泰克认为公司内部企业文件加密系统主要是能够提供企业内部电子数据文档 的有效加密，防止内部数据文档的主动泄露。 思智泰克安全专家通过对公司文件加密系统安全管理的需求分析，以及对 国内外众多典型企业在各自领域内对信息安全的需求整理，结合多年的研发经 验总结出企业文件安全管理存在几乎相同的产品需求：需要集数据的强安全保数据的强安全保 护、管理权限的灵活分级管理、文件权限灵活可控、实时的文件备份、完善的护、管理权限的灵活分级管理、文件权限灵活可控、实时的文件备份、完善的 日志管理日志管理、周密的协同管理、极强的易用性周密的协同管理、极强的易用性、高适应的兼容性高适应的兼容性于一体的解决方 案。 数据强安全保护：数据强安全保护：所有企业控制的机密文件在创建、存储、应用、传输等 环节中均以加密形式存在，杜绝使用黑客等工具的窃取，即使窃取也无法使用。 不同于平常的加解密技术，强制自动加密企业中的机密文件。加密支持常用的 文件格式。使企业关心的、易泄露的机密文件，自动并强制加密。只有通过合 法身份认证的用户才能够正常使用，从而防止用户对机密文件的拷贝、复制粘 贴、打印、传输等非法操作。 管理权限的灵活分级管理：管理权限的灵活分级管理：根据企业实际的组织结构和管理制度，可以由 管理员设置不同级别的分级管理员的权限及对应的管理者，方便企业在实际管 理过程中的灵活设置和应用。 文件权限灵活可控：文件权限灵活可控：可以控制企业中机密文件信息的访问权限，对于设置 了访问权限的文件，企业员工只能在自己业务范围内，并在有权限许可的情况 下使用该文件，且只具有相匹配的应用权限，无法访问权限以外的机密文件。 文件权限可以细化，不同组不同用户权限不同、软件可以防止卸载。 实时的文件备份：实时的文件备份：拥有实时的文件备份功能，以便管理员在系统故障或者 服务器崩溃的情况下，能够保证企业机密文件信息的安全备份，并能够恢复， 投标文件（技术部分） 北京思智泰克技术有限公司 9 使文件正常使用。同时能够由企业设置需要备份的文件类型，备份需要备份的 文件格式。机密文件备份到文件服务器之后，可以由文件管理员在文件备份服 务器上进行管理，而且，所有上传到文件服务器上的文件都是加密存储。 完善的日志管理：完善的日志管理：拥有完善的日志记录功能，帮助管理人员及时了解系统 运行的各种状况及受保护文件的安全生命周期。记录客户端启动、关闭等行为， 同时对客户端所有关于文件的操作进行详细的记录，包括：文件新建、打开、 关闭、文件复制、重命名、删除、共享等行为。系统管理员可以对日志进行归 档，可以方便的搜索和查看日志信息，支持日志信息导出。 周密的协同管理：周密的协同管理： “思智安全协同管理模块”核心是针对企业文件在传播、协作、使用过程 的安全保护。通过对企业核心数字文件的加密安全保护，从技术上保障数字文 件内容的合理使用，使得最终使用文件的企业外部用户，必须在得到授权后才 能对数字文件的内容进行相应操作（如阅读、打印、复制、粘贴等） 。外部协作 用户对数字文件的合理使用包括：保证没有授权的外部协作用户无法获取对企 业数字文件的使用权限，保证被授权的外部协作用户按照授予的且匹配的使用 权限使用文件。 “思智安全协同管理模块”可以应用于企事业的电子文件需要发 布、流通、外协等过程的文件安全保护。 极强的易用性：极强的易用性：系统安装、卸载简单、快捷，操作方便。不改变用户使用 习惯。支持扩展、升级。系统服务故障紧急处理快速、可靠。 高适应的兼容性：高适应的兼容性：支持复杂的网络应用环境。支持多种操作系统。灵活与 其他系统结合应用。与主流杀毒软件无冲突。 第五章第五章 网络拓扑分析网络拓扑分析 通过对公司的实际网络拓扑和业务结构分析，了解到其内部主要是结合 WINDOWS 域的应用，另外各部门通过工作组方式进行管理。同时，由于公司 垮地域的业务范围，可能会应用 VPN、专线等网络连接结构。 因此，思智 ERM 文件加密安全管理系统的部署关键要支持并解决与 WINDOWS 域的结合应用。 投标文件（技术部分） 北京思智泰克技术有限公司 10 目前思智泰克的产品能够支持以下方式工作： 1.支持导入原有域机构 新建多个 ERM 帐户分别对应指定的 windows 帐户 新建一个 ERM 用户依次绑定到不同机器的 windows 帐户 新建一个 ERM 用户依次绑定到同一机器的不同 windows 帐户 2.如果需要可以定制开发，可以满足授权用户在域内不同机器登录域帐 户。 3.如果需要可以定制开发，满足“2”的基础上，支持应用系统与活动目 录界面统一。 第六章第六章 项目组成及设计项目组成及设计 6.1 系统组成系统组成 思智泰克准备的“文档安全管理及主机监控审计系统项目内网安全项目” 的系统由“思智 ERM 文件安全管理子系统”和“思智内网管理子系统”两部 分组成。 思智 ERM 文件安全管理子系统由服务器、控制台、客户端三部分组成。 思智 ERM 系统服务器端与客户端以 C/S 结构工作，控制台即对系统的管理是 以 B/S 方式工作。见下图所示系统结构示意图： 图 6-1 服务器 服务器是该 ERM 系统运行的基础。服务器主要包括认证服务、文件自动 投标文件（技术部分） 北京思智泰克技术有限公司 11 备份服务、负载均衡服务、升级服务四部分服务。 控制台 为了实现集中统一管理的目的，思智 ERM 系统采用集中化的管理方式和 基于角色的权限管理体系，是整个系统管理和维护的平台，是客户端与服务器 连接的桥梁。 控制台可以完成客户端管理、机构用户管理、策略配置、策略应用、服务 器远程管理、日志审计管理、文件访问权限管理、文件安全审批管理、文件备 份管理、消息管理、系统设置的配置及维护的工作。 客户端 客户端软件以身份认证技术、驱动级透明加解密技术、剪贴板保护技术和 文档权限控制技术为核心，通过执行控制台各角色管理者制定的各种安全管理 策略，实现对本地机密文件的安全管理，为企业员工提供易用、稳定、安全的 安全信息终端。为企业用户提供易用、稳定、安全的安全信息终端。 6.2 解决问题解决问题 “思智 ERM 系统” 全面整合了网络访问控制、强身份认证、数据通讯机 密性、数据存贮机密性、数据使用可控性等多项先进的信息安全技术，为企业 用户开发的全新的电子文档安全管理解决方案。系统通过采用 DLM（Data Lifecycle Management）数据生命周期管理技术，可以确保企业的数据信息从 初期生成、分发使用、编辑、直到最终数据被删除等生命周期的安全性，数据 无论是在企业内部网络中，还是在企业外部，均可防止泄密和窃密事件的发生。 换句话说，通过应用“思智 ERM 文件安全管理子系统”企业不但可以确保数 据信息的安全性，可以将数据资源的应用权限进行全面的细分管理和分配，企 业中获得数据信息的一般用户将不在拥有完全的权限，而只将拥有在规定时间 内完成某一项特定工作所需的数据信息使用权。 1.实现企业内部数据的强安全保护实现企业内部数据的强安全保护 企业控制的机密文件在创建、存储、应用、传输等环节中均以加密形式存 投标文件（技术部分） 北京思智泰克技术有限公司 12 在，杜绝使用黑客等工具的窃取，即使窃取也无法使用。 思智采用驱动级的强制自动加密技术，将企业关心的、易泄露的机密文件 加密保护。 加密文件保护支持常用文件格式。 只有通过合法身份认证的用户才能够正常使用企业加密的文件，从而防止 用户对机密文件的拷贝、复制粘贴、打印、传输等非法操作。 在对文件实行透明加密保护的基础上，提供对剪贴板保护功能。系统将受 透明加解密保护应用程序作为受信进程，其它应用程序作为不受信进程， 受信进程内及受信进程之间的基于快捷键、鼠标右键、拖拽操作等各种方 式进行的拷贝、剪贴操作，将不受任何限制；对从不受信进程到受信进程 的拷贝、剪贴操作也不受限制；但系统禁止任何方式的从受信进程到不受 信进程的拷贝、剪贴操作。 2.实现企业机密文件的权限的灵活可控实现企业机密文件的权限的灵活可控 细粒度控制企业机密数字文件信息的访问权限 企业只能在权限权限范围内使用文件，且只具有相匹配的应用权限，无法 访问权限以外的机密文件。 文件权限可以细化，不同组不同用户权限不同、软件可以防止卸载。 3.离线文件的安全使用管理离线文件的安全使用管理 提供一系列离线策略。客户端支持用户离线使用加密文档，通过控制台可 以按组或用户设定文件的离线使用权限。 只能在离线策略允许范围内访问文件。在拥有“离线打开自己的加密文件” 和是否能够“离线打开共享的加密文件”的情况下，管理员可以设置用户 离线打开加密文件的时间，超出设置的时间，则无法离线访问加密的文件。 离线策略脚本生成器。当员工带笔记本外出办公，规定员工某一时间使用 受保护的文件，但是在规定的时间内没有完成工作，这时可以通过离线策 投标文件（技术部分） 北京思智泰克技术有限公司 13 略脚本生成功能对离线客户端定制新的策略下发。 离线文件权限安全使用。结合驱动级透明加密策略，在用户离线状态下， 可以将文件的共享，并设置共享文件的使用权限，然后通过常用的文件传 输工具 QQ、MSN 等，使用企业的机密文件。 4.企业机密文件实时备份企业机密文件实时备份 管理员在客户端系统故障或者服务器崩溃的情况下，保证企业机密文件信 息的安全备份，并能够恢复，使文件正常使用。 能够由企业设置需要备份的机密文件类型，备份需要备份的文件格式。 机密文件备份到文件服务器之后，可以由文件管理员在文件备份服务器上 进行管理。 所有上传到文件服务器上的文件都是加密存储。 5.企业与外界协同办公周密管理企业与外界协同办公周密管理 在企业的实际应用过程中，由于企业主要业务以及工作流程的不同，经常 需要针对同一个文件，由多个协作企业来共同完成的情况。因此在对企业机密 文件进行安全保护的同时，需要实现对这些外协企业使用文件的安全，才能够 保证文件的全生命周期的安全保护。 “思智安全协同管理模块”就是针对这种应用而提出的，该系统可以帮助 企业解决以下问题： 企业的机密文件在任意授权的外协厂家为加密保护存储； 防止企业的机密文件在外协厂家的非授权扩散； 支持企业常用的文件格式； 企业的同一机密文件对不同的外协厂家，使用权限都可以不同，访问权限 完全由企业自己来制定； 企业可以控制外协使用者的访问权限，只有经过授权的用户才可以使用文 件。在权限区分的基础上再对文件权限细分控制，对文件细分访问权限： “只读” 、 “只读可打印” 、 “只读可复制” 、 “只读可打印可复制” 、 “完全控 投标文件（技术部分） 北京思智泰克技术有限公司 14 制” 、 “访问日期限制” 、 “访问时间限制” 。这样可以让指定的用户，在指定 的时间，对指定的数据信息，进行指定的权限应用操作； 即使曾经是合法的授权外协厂家，其访问企业机密文件的授权也是可以 “回收”的； 企业的机密文件在外协厂家的使用有全面的日志记录，一旦文件内容被其 他非授权单位盗用，可以为企业提供追查依据； 企业机密文件适用于各种文件传输或管理方式（QQ 、 MSN 、 E-mail 及 附件、共享、网站发布） ，文件的使用习惯不会改变； 合法外协用户无法通过 QQ 、MSN 、E-mail 等工具，泄漏该企业授权文 件的内容。 6.完善的日志管理完善的日志管理 帮助管理人员及时了解系统运行的各种状况及受保护文件的安全生命周期。 记录客户端启动、关闭等行为。 对客户端所有关于文件的操作进行详细的记录，包括：文件新建、打开、 关闭、文件复制、重命名、删除、共享等行为。 系统管理员可以对日志进行归档，可以方便的搜索和查看日志信息，支持 日志信息导出。 6.3 系统功能列表系统功能列表 6.3.1 用户管理 模块模块功能功能功能简述功能简述 用用 户户 建立、修改与维护用户、 部门的信息及其隶属关系 建立与企业真实组织结构完全相同的组织结构关系， 对用户、部门的基本信息进行维护。 当企业实际人员、部门调整时，管理者可以灵活修 投标文件（技术部分） 北京思智泰克技术有限公司 15 改组织结构信息。 建立、修改、维护 不同角色的管理者 根据企业需要，由默认超级管理员建立并维护登陆控制 台的不同角色，例如：日志管理员、文件管理员、部门 管理员、普通用户等。 分级管理功能 分级管理功能由特权管理组和用户管理员来实现： 可以建立超级管理员，对全体员工进行管理。 可以建立高级部门管理员，对多个部门的员工进行 管理。 可以建立部门管理员，对本部门的员工进行权限管 理。 用户绑定 对组织结构图中建立的用户与实际操作客户端机器的用 户进行绑定，使其建立一一对应关系。绑定之后，管理 者才能进行统一管理。通过绑定： 可以解决多个不同用户使用同一台电脑的管理情况。 可以解决一个用户有多重职务身份的管理情况。 Logadmin 审计功能 默认的日志管理员，可以对默认的超级管理员在控制台 的所有操作进行审计。 客户端用户、机器信息查询 查询客户端用户和机器的基本信息与绑定信息。包括客 户端机器名、IP 地址、当前使用系统的用户名、是否绑 定、绑定用户等相关信息。 管管 理理 模模 块块 用户状态查询查询已绑定用户的状态为在线或者离线。 投标文件（技术部分） 北京思智泰克技术有限公司 16 组织结构备份 当更新服务器或对服务器进行迁移时，无需重新建立组 织结构，通过企业的组织结构导出导入功能便可实现。 域用户导出、导入 从域服务器上导出域用户的组织结构信息，然后导入思 智 ERM 系统中，再与真实用户绑定即可，从而避免重复 操作。 6.3.2 策略管理 模块模块功能功能功能简述功能简述 默认用户策略列表 默认策略可分为 5 大类，多达 30 多种，其中包括自动加解 密、自动备份、禁用端口、显示图标等等。根据用户的实际 需求，也可以定制更多的默认策略内容。 维护默认用户策略列表内 容 对于策略列表中的默认策略，可以根据不同企业的实际需要， 由管理员设置策略的具体参数。 组合默认用户策略 可以组合策略列表中的默认策略，减少下发策略的重复性， 实现对企业便捷管理的目的。 如新建“开发部策略组” ，可将下发给开发部成员的常用策 略收集在该策略组中，无需逐条下发，直接对部门成员下发 该策略组即可简单完成策略设置工作。 用户策略应用 设置好策略之后，管理者根据企业管理制度，把相应策略应 用于适用的员工或者部门，起到系统管理的目的。 策策 略略 管管 理理 模模 块块 高级策略下发 客户端的升级或者卸载需要通过高级策略进行控制，只有经 过管理员批准，并向客户端下发高级策略，该客户端才能够 进行正常的升级或者卸载。 投标文件（技术部分） 北京思智泰克技术有限公司 17 策略导出、导入 系统维护变更过程中，可以把已经制订好的策略导出， 防止数据丢失，以便今后使用。 当系统维护完成后，可以把之前导出的策略导入新的系 统中，避免再次配置，从而方便管理。 离线策略脚本生成功能 （可批量生成） 对于已经脱离 ERM 系统环境的客户端用户，即该客户端呈 离线状态，需要调整策略时，可以通过生成离线策略脚本功 能完成。 例如员工带笔记本外出办公，规定该员工可在某一时间段内 使用受保护的文件，但是在规定的时间内没有完成工作，这 时可以通过离线策略脚本生成功能对离线客户端下发新的策 略，以帮助其顺利完成工作。 6.3.3 文件访问权限管理 模块模块功能功能功能简述功能简述 文文 件件 访访 问问 权权 限限 管管 理理 文件权限设置（在线，离线） 客户端用户可以对自己的加密文件灵活设置给他人的访 问权限。 结合企业的实际组织结构，文件作者可以设置文件 访问者对文件的访问权限。 文件访问权限包括“只读”、“只读可打印”、 “只读可复制”、“只读可打印可复制”、“完全 控制”等细粒度权限管理。 文件访问时间限制精确规定了用户可打开文件的具 体日期、时间区间。 投标文件（技术部分） 北京思智泰克技术有限公司 18 离线文件共享 在线客户端用户可以给离线客户端用户进行文件共享。 例如甲员工带笔记本在外办公，在公司内部的乙员工可 以将文件脱机共享给甲员工，甲员工在外使用这份文件 同样会受到与在企业内部使用这份文件相同的权限控制。 文件权限使用模版 用户可以将常用的文件授权设置保存成模版，在需要使 用同样授权设置的时候直接调用该模版，此功能是为了 使授权操作更为方便。 用户按照文件的权限查看文件 客户端用户按照文件的访问权限和访问时间限制来访问 受控的加密文件。 文件访问权限不受文件传输方 式影响 设置完文件访问权限后，文件的传输和共享方式完全无 需改变，用户可按照原有的操作习惯传输共享文件。 6.3.4 日志审计管理模块 模块模块功能功能功能简述功能简述 记录控制台日志 记录系统管理员对控制台的登录、登出以及对用户、部门的创建、 修改、删除等操作的所有日志。 记录客户端日志记录客户端所有在线、离线日志。 日日 志志 管管 理理 模模 块块 记录文件操作日志 记录所有受控文件在客户端的所有操作日志： 文件内容操作信息记录包括：新建、复制、粘贴、保存、另存 为等操作的详细记录。 文件操作信息记录包括：复制文件、删除文件、共享文件、文 投标文件（技术部分） 北京思智泰克技术有限公司 19 件名称更改、文件路径变更、文件加解密等操作的详细记录。 日志维护定期维护日志信息，如导出、删除等。 自定义日志查询可以通过日志记录时间、人员、日志类型进行查询。 6.3.5 文件备份管理 模块模块功能功能功能简述功能简述 设置文件备份服务器 由管理者设置文件备份服务器的信息，文件备份服务器可以 是一台也可以是多台。 文件备份类型设置 通过应用文件备份策略，选择企业需要备份的加密文件类型， 将其自动备份到文件备份服务器上。 备份文件恢复 客户端遇到意外情况，如文件被误删、故意删除，或客户端 机器硬盘损坏等造成文件丢失的情况下，可以通过文件备份 服务器将丢失的文件进行恢复。 文件统一管理 文件备份服务器上的文件可以有专门的人员对企业所有受保 护的加密文件进行统一集中管理。 文文 件件 备备 份份 管管 理理 模模 块块 文件管理员管理备份文件 文件管理员可以通过“备份文件管理工具” ，查看备份到文件 服务器上的所有文件的相关信息及具体内容。 6.3.6 系统远程管理 模块模块功能功能功能简述功能简述 系系远程推送安装 当客户端处于异地或客户端数量较多时，逐一安装客户端操作十分繁琐， 系统管理员可以对客户端进行远程推送安装及维护操作，并且在此操作 投标文件（技术部分） 北京思智泰克技术有限公司 20 的进行过程中不会影响到员工的办公效率。 域用户透明安装可以通过域管理服务器对域用户透明安装客户端。 服务器远程管理 由 B/S 结构实现对服务器的远程管理，管理员可以在任意一台能够连接 服务器的电脑上登陆控制台，对客户端进行远程集中统一的管理。 统统 远远 程程 管管 理理 软件特征码功能 启用软件特征码功能之后，当客户端改变受控制应用执行程序，试图想 摆脱加密保护时，被修改的进程会自动搜集到控制台，要求审批，经过 审批的执行程序，客户端才可以正常使用，未经过审批的进程则无法使 用。 6.3.7 客户端管理 模块模块功能功能功能简述功能简述 执行策略执行并应用控制台下发的各种策略。 文件剪贴板控制 受自动加密保护的文件，具有剪贴板防护的功能和控制。 例如，WORD 为受保护的文件，无法将 WORD 文件中的内容拷 贝到聊天对话框和其它编辑工具内，但是可以将其他类型的文件 内容复制到 WORD 文件中来。 客客 户户 端端 文件加解密 手动 自动 自动：按照透明加解密策略，自动加解密文件。对于加密保 护的文件，无法通过任何复制、粘贴、拖拽等方式，利用邮 件、及时通讯工具、论坛等非受信任的执行程序带出到企业 以外。 手动：根据控制台下发的手动加解密策略执行，进行手动加 密和解密文件。 投标文件（技术部分） 北京思智泰克技术有限公司 21 客户端本地文件备份 客户端加密文件具有本地备份机制，每次打开均会自动在本地进 行文件备份，以防止客户端文件丢失或者遭受恶意破坏。若重要 文件遭受意外，可由控制台下发策略“显示本地备份菜单” ，使 客户端右键菜单中增加“打开本地备份文件夹”选项，对文件进 行恢复。 客户端安全保护 防止客户端非法卸载，对客户端实行进程监控、进程守护、注册 表保护、时间同步、定时与服务器通讯、程序完整性检测，以确 保客户端程序安全完整。 客户端冒泡提示 客户端设置不显示托盘图标时，可以通过冒泡提示客户端目前呈 在线或离线状态。 客户端离线策略导入脚本 客户端离线后，需要通过离线方式来调整控制策略时，可以通过 控制台下发的离线策略导入脚本来更改。 6.4 实施方案实施方案 思智 ERM 文件加密安全管理系统部署在企业中： 客户端终端到服务器进行文件编辑工作，经过编辑的文件始终以密文 形式存储。 管理者可以通过控制台对内部网络终端进行安全策略下发和管理工作。 节省管理者的工作时间和强度。 另：分级管理控制另：分级管理控制 1)管理员可以创建用户 2)管理员可以创建组 3)管理员可以创建下级管理员 4)下级管理员的权限无法超级管理员的权限范围 5)下级管理员可以对本部门及子部门用户所下策略的列表进行维护 投标文件（技术部分） 北京思智泰克技术有限公司 22 6)如果子管理员的部分或全部权限被撤消，他下级管理员的相应权限 （如果有的话）也将被撤消。 思智泰克企业级文件加密安全管理部署方案可以在企业内部网络中彻底实 现企业数据文件信息的安全管理。 6.5 网络网络支持支持 思智 ERM 系统可以适用于多种网络环境，可以确保在不更改各企业已建立 的网络构造的基础上，满足企业的不同需求。ERM 系统能够在域、 VLAN、VPN、内网物理隔离的环境中正常安装。 网络环境网络环境支持情况支持情况 域支持域用户网络环境 VLAN支持跨网段用户网络环境 VPN支持 VPN 方式的网络环境 内网物理隔离支持企业内部多个内网物理隔离网络环境 注：内网物理隔离是指企业有两个内网，一个内网可以访问 Internet，一个内 网不可访问，两个内网之间物理隔离。 6.6 部署支持部署支持 思智 ERM 系统服务器是基于数据库的平台进行工作的，所以在安装服务器 之前需要先确保数据库已经成功安装。ERM 系统的部署方式灵活多样，可以结 合各企业的人员网络结构和需求，进行适用于该企业的部署配置。 支持类型支持类型支持情况支持情况 部部1.支持常用数据库支持 MYSQL、SQL-SERVER 数据库，其他数 投标文件（技术部分） 北京思智泰克技术有限公司 23 据库也可以定制。 2.支持多级部署当企业用户量较多或者担心服务器瘫痪的情况 下，可以通过多级部署实现集中统一管理的目 的。 3.支持主从服务器（内网物理隔 离） 内网相互隔离时，可同步进行身份识别、文件 策略控制、文件权限下发，确保在隔离的情况 下控制策略同步。 署署 支支 持持 4.数据库文件备份提供 MYSQL 数据库文件备份，SQL- SERVER 自带数据库备份功能。 6.7 具体需求应答具体需求应答 通过对客户实际需求的分析，结合思智 ERM 文件加密安全管理系统的产 品规划，有如下应答。 1.已有技术证书列表如下（证书图片见附件）： 软件著作权登记证书 国家权威机构检测报告 软件产品登记证书 国家密码管理办公室销售许可证 公安部信息安全产品检测报告 公安部信息安全产品销售许可证 国家保密局涉密信息系统安全认证检测证书 国家保密局涉密信息系统安全认证证书 中国人民解放军军用信息安全产品认证报告 2.系统适用环境 目前在思智泰克的测试环境中，系统的认证服务最多能够 8000 个客户端 的连接，最大并发连接客户端数量至少为 200 个客户端。但就产品目前服务器 投标文件（技术部分） 北京思智泰克技术有限公司 24 的设计思路（电信级 SSF） ，同时在测试环境足够先进的情况下，服务器最大 连接数和最大并发连接数理论上没有上限。所选择的数据库类型对于服务器的 稳定性影响最大，mysql 最多可以支持 2000 个客户端的连接但连接稳定性较 sqlserver 略有不足，sqlsever 最多可以支持 8000 个客户端的连接，且在 60 小 时持续 8000 客户端的高强度连接情况下表现出较好的稳定性（以上均为单台 认证服务器且与数据库安装在同台主机的情况下的测试数据） 3.性能、稳定性数据 服务器测试配置为 CPU：Pentium 4 3.0GHz，内存：1G，操作系统： Windows 2000 server。 并发数并发数20050020008000 CPU 占用率占用率23%27%35%45% 内存使用内存使用22MB29MB56MB247MB 加密文档测试，为了确保系统正常稳定的工作不影响客户的文档使用、文 档打开时间，以及工作效率。以 word 应用为例，作 5M 、10M、 50M 和 100M 的 .doc 格式文档应用测试。分别生成 4 个 5M 、10M、 50M 和 100M 的加密文档，并通过客户端对其打开，计算打开时间，并与打开明文文档所用 时间进行比较。测试工具为 Ms Word 2003。系统服务器，配置为 CPU Pentium 4 1.5GHz、内存 1G、操作系统 Windows 2003 server，客户端配置 为 CPU Pentium 4 1.5GHz、内存 512M、操作系统 Windows XP professional sp2、杀毒软件瑞星 2007。 文档大小文档大小5 M10 M50 M100M 明文文档明文文档5(s)5(s)11(s)15(s) 有杀毒软件有杀毒软件5(s)6(s)11(s)15(s) 密文文档密文文档13(s)20(s)25(s)55(s) 支持网络连接要求不小于 1G。测试环境为 100M 带宽、服务器（P4 3G 内存 1G 硬盘 120）、客户端（P4 1.8G 内存 512M 硬盘 80）。客户端与 服务器连接网络流量如下表： 投标文件（技术部分） 北京思智泰克技术有限公司 25 客户端数量客户端数量网络负荷（网络负荷（mbps）网络负荷在网络负荷在 100M 网络中的百分比网络中的百分比 200.050.05% 500.080.08% 1000.120.12% 2000.160.16% 5000.230.23% 注：以上占用带宽都是在收发策略时产生，如果没有任何策略占用的网络带宽 很小，可以忽略不计。 下表为文件备份时的网络流量表： 客户端数量客户端数量文件大小（文件大小（GB） 网络负荷网络负荷 （MBPS） 网络负荷在网络负荷在 100M 网络中的百分比网络中的百分比 5010M3737% 5050M4848% 50100M6464% 10010M5353% 10050M5757% 100100M6868% 注：以上网络带宽数据都是在多台客户端同时备份的最大峰值。 4.基本功能 “思智 ERM 系统”是针对于企业级的信息安全管理系统。系统通过对企 业中各类机密数据信息的加密安全保护，可以显著提高企业中核心数据资产的 安全防护。同时在对文件安全保护的基础上，通过对剪贴板的控制，可以有效 切断内部人员泄漏企业机密信息的途径，防止内部窃密事件的发生。而且一旦 发生窃密事件，管理者能够通过日志功能，详细追查窃密的途径，避免窃密事 件的再次发生。从而提高企业对机密数据信息的安全管理。 5.加密算法、安全可靠的加密机制 “思智 ERM 系统”采用国家密码管理办公室允许的数据加密算法，基于 驱动级对数据文件进行安全保护。思智泰克在供货时提供给企业固定的加密算 法（按照客户的要求提供不同长度、不同的算法），然后由企业的管理端为每 个普通用户建立不同的加密密钥。整个加密过程安全、简便、快捷，不会生成 投标文件（技术部分） 北京思智泰克技术有限公司 26 任何可能泄密的临时文件，对用户的操作也不会产生任何影响。用户可以像操 作普通文件一样地应用被加密保护的文件，文件的加解密转换完全在系统后台 完成。 6.加密方式 “思智 ERM 系统”的文件加密完全符合用户的实际操作习惯，能够支持 文件、文件夹批量的手动、自动加密方式。 同时，思智文件加密方式不改变文件本身的格式和文件管理原有的操作方 式。 用户在对文件进行安全保护的过程中，不改变文件本身的格式。 用户在使用加密文件的过程中，也无需安装特殊的文件阅读器，只需 要安装有思智 ERM 系统的客户端程序。 按照文件原有的使用习惯，打开和操作加密后的文件即可，所有的操 作实现透明化。 7.文件保密原则 安装部属并应用“思智 ERM 系统”后，企业已有的需要保护数据文件， 可以通过“全盘加密”工具进行整体迁移保护，迁移之后，能够保证 所有的文件是加密存储。 之后对加密文件的所有改变、编辑等操作，受保护文件会自动加密。 文件加密之后，结合思智对加密文件的剪贴板保护技术，未经授权的 人员，将无法把加密文件带离企业以外进行正常使用。 如工作需要，将加密文件带离企业以外的使用，需要通过管理员的审 批，并下发一系列“离线使用加密文件策略”来正常使用，或者通过 下发“解密策略”来完成对文件的审批授权。 同时对带离公司的文件的访问权限可以通过“文件管理员”权限的用 户，统一对需要外发的文件进行审批，并设置访问权限。 思智泰克在对企业内部文件加密管理的同时，考虑到企业的实际应用， 经常需要其他外协厂家的工作协助，为了实现在这些外协厂家使用企 业机密文件的安全，涉及并开发了“思智协同管理模块” 。使用该模块 在企业内部文件加密安全管理的同时，能够保证企业的机密文件在外 投标文件（技术部分） 北京思智泰克技术有限公司 27 协厂家的安全管理。 8.保密管理功能 通过“USB 存储设备策略” ，控制 U 盘等存储设备外设的允许和禁止 使用。 通过“打印机设备策略”和对文件“打印”权限的设置，控制打印操 作的允许和禁止应用。 通过下发某种类型“透明加解密策略” ，禁止或者允许通过“拷贝” 、 “拖动” 、 “另存为” 、 “另存为网页”等操作，把加密文件的内容拿到 非加密文件中去。并且能够支持常用的企业信息化系统的应用，例如： OA、ERP、PDM 等。 通过下发“透明加解密策略” ，可以控制通过键盘上对屏幕拷贝加密文 件内容，而泄露文件的内容。至于限制对截屏软件的操作，永远也无 法彻底防止，而且市面上的截屏软件有很多，假设把目前的截屏软件 都限制住了，但如果用户自己有技术力量，自己开发了一款截屏工具， 那我们相信，任何安全管理工具都无法控制。因此防止安装截屏软件， 需要结合整个公司的管理制度来共同完善。企业的信息安全管理，并 非只要安全系统就能够彻底实现，需要同时有企业的安全管理制度来 约束配合。 下发“透明加解密策略”之后，可以控制允许或者禁