绿盾通用解决方案.doc

绿盾图纸加密解决方案绿盾信息安全管理软件解决方案广东南方数码科技有限公司2012年7月版权所有南方数码科技有限公司SOUTH | 南方数码4目 录一、背景简介11.现状12.绿盾简介22.1系统架构22.2系统概述22.3绿盾主要功能32.4建议绿盾运行环境3二、需求分析及对策41.需求分析42.需求场景42.1电子文件生产过程安全需求42.2电子文件内部传播安全需求42.3电子文件外发安全控制需求52.4电子文件应用控制审计需求52.5系统下载离线文件安全管理需求52.6电子文件可移动存储安全管理62.7技术现状分析62.8实现模式比较63.技术路线选择84.需求实现84.1电子文件生产过程安全管理84.2电子文件内部传播安全管理94.3电子文件外发安全控制管理94.4电子文件应用控制审计管理104.5系统下载离线文件安全管理104.6电子文件可移动存储安全管理105.总结11三、绿盾功能介绍121文件自动加密121.1文件自动加密121.2文件外发途径管理121.3文件审批流程131.4文件自动备份131.5离线管理141.6终端操作员管理142外网安全管理152.1网页浏览监控152.2上网规则152.3流量统计162.4邮件内容监控163内网安全管理163.1屏幕监控163.2实时日志163.3聊天内容记录163.4程序窗口变化记录163.5文件操作日志173.6应用程序限制173.7远程操作173.8资源管理器174设备限制175USB存储设备认证17四、绿盾优势181.产品优势182.功能优势182.1高强度的加密体系182.2完全透明的文件自动、实时加密182.3文件外发管理功能192.4灵活的自定义加密策略192.5强大的文件备份功能192.6全面的内网管理功能192.7良好的平台兼容性193.技术优势203.1驱动层加密技术203.2自主研发性能优越的数据库213.3可自定义的受控程序214.实施优势214.1整个企业一台服务器管理解决方案214.2优秀的实施团队215.服务优势22五、实施方案231.实施计划及流程232.成员组成233.实施步骤及工期243.1调研阶段243.2部署实施阶段253.3测试阶段263.4试运行阶段273.5培训阶段273.6运行支持阶段283.7实施的工期28六、服务体系291.技术支持服务内容292.响应时间293.维护29七、关于南方数码30八、关于合作伙伴30九、典型客户案例311.乔丹体育股份有限公司312.广西南南铝加工有限公司333.其他成功案例34 绿盾图纸加密解决方案 南方数码科技有限公司 一、 背景简介1. 现状随着计算机网络技术和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的小型业务系统逐渐向大型、关键业务系统扩展，大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略来保护机密数据信息。而事实上，随着企业信息化进程的加速，内部泄密正在成为企业内部数据安全的最大威胁之一。企业信息面临的主要问题: 主动泄密： 内部人员将资料通过U盘或移动硬盘从电脑中拷出带走； 内部人员通过互联网将资料通过电子邮件发送到自己的邮箱； 内部人员直接将文件内容通过复制粘贴到聊天工具上传送出去； 内部人员将文件内容打印并带走。 被动泄密： 外部人员通过黑客手段攻入公司局域网窃取资料； 电脑转手或丢失后，硬盘上的资料没有处理，导致泄密； 存放有资料的移动存储设备借给他人使用，导致他人获取资料； 恶意破坏：员工离职恶意删除或格式化硬盘，破坏重要资料 越权读取：公司机密信息无法设置阅读权限绿盾信息安全管理软件，采用国际先进的透明加解密驱动技术，在不改变企业用户工作习惯的情况，不知不觉中完成文件的加密。作为国内最优秀的企业级文件加密系统，绿盾能够从根本上保护企业重要资料文件的安全。2. 绿盾简介2.1 系统架构2.2 系统概述绿盾信息安全管理软件，旨在通过对企业重要的文件数据进行加密处理，从根本上有效地保护企业的知识产权和商业机密。在数据通讯和文件存储手段高速发展、人员流动更为频繁的今天，经过加密的文件不再担心被复制或外传，企业的管理者也可以不用再为企业技术机密的泄漏而头疼不已了。绿盾采用国际最先进的Windows底层文件驱动过滤技术，通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。采用透明加解密技术，在不改变企业用户原有工作习惯和工作流程的情况下，对指定的应用程序和指定后缀的文件进行自动加解密密处理，不需要人工输入加解密密码。同时，通过灵活的加密策略的配置、分组和分级权限控制，完全达到企业对文件安全性和管理人性化的双重性。 2.3 绿盾主要功能通过透明加解密、控制传播途径可以防止单位内部机密电子信息泄露；通过设置文件阅读权限可以防止单位内部不同部门越权使用文档；通过详尽的日志记录可追查信息泄露的渠道；内核层的加解密可以普遍适用于各种格式的电子文档；通过文件外发控制从根本上解决文档的二次传播，有力保障企业信息安全；通过对计算机操作的监控可以有效管理员工电脑的使用，提升办公效率；通过对网页记录及程序端口限制，规范员工的上网行为。2.4 建议绿盾运行环境 服务端程序控制台程序终端程序CPUPentium4 2.0 以上Pentium4 1.8以上Pentium4 1.0 以上系统Windows 2000/XP/2003、Windows Vista/7Windows 2000/XP/2003、Windows Vista/7Windows 2000/XP/2003、Windows Vista/7内存1G1G512M以上硬盘80G以上40G以上40G以上 二、 需求分析及对策1. 需求分析对于集团化企业，业务种类繁杂，重要数据也比较分散，机密的企业文件、项目文件等一旦泄漏，将会给企业带来巨大的损失，因此需要一个有效的文件安全管理手段来防止文件非法流出企业。2. 需求场景解决企业电子文件安全的主要目标有两个方面：一是散落在终端PC上的电子文件需要进行安全保护，使其在未经授权许可的情况下，任何人不能获得文件的内容；二是集中存放于各种管理或应用系统中的数据资源以文件形式被下载离线时需要进行安全保护。对于这两方面内容进行以下具体总结:2.1 电子文件生产过程安全需求企业的电子文件，如技术委托、研究报告、设计图纸、管理资料等，基本上都是通过多人协作生产而得到的数据资产，均投入大量的人力、财力、物力，在众多员工努力下长期积累下来的智慧结晶，但是，企业目前生产的所有信息均以明文方式存储于各类终端和应用系统中，无法保护这些核心数据，这些信息一旦被泄露会使企业顿失市场竞争优势，甚至会遭受巨大损失。2.2 电子文件内部传播安全需求目前，企业各级单位之间文件传递采用企业内部邮箱和内部即时通的方式来实现信息传递，传递过程中的文件都是以明文的方式，文件也没有细粒度控制，具体如下：l 传输链路的数据是明文控制，在链路获取数据；l 文件放到共享服务器上供下载的时候，被人窃取；l 被没有权限的人员窃取文件；l 通过黑客技术获得邮件。2.3 电子文件外发安全控制需求企业需要与外界进行数据交互，这些交互的信息可能会涉及企业内部核心信息，可是与外部交互的文件都是以明文方式发出，对发出的数据失去了控制，具体如下：l 没有对外发送的文件防止被篡改和复制；l 没有对外发的文件流传其他用户的防护；l 没有对外发的文件打印控制；l 没有对外发的文件的次数或使用时间限制。2.4 电子文件应用控制审计需求对于有价值的电子文件，必须能够做到能够监督、跟踪、记录所有用户的全部操作，实时查看系统的使用情况，实现最高的系统安全。也必须可以从庞大的记录数据中抽取有用的信息，对用户的某些操作进行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。也需要做到通过跟踪用户操作，能及时发现用户的危险操作，在泄密事件发现前就获得警报，制止泄密事件的发生。一旦泄密事件发生，通过用户操作记录, 可以第一时间拿出最有力的证据。2.5 系统下载离线文件安全管理需求B/S系统：企业部署有诸多基于B/S结构的应用，这些系统经常会与终端产生一些数据交互，一方面，必须保证应用系统功能正常运行（如检索、导出等），另一方面亦要保障文件在离线后（即通过在线导出或下载的方式到达终端）的安全性。C/S系统：基于C/S架构的应用系统同样存在数据安全交互的问题，文件在上传下载过程中同样面临着数据泄露的风险，需要一种能够同时满足功能应用和内容保护要求的技术。2.6 电子文件可移动存储安全管理保障特定存储着核心重要信息的设备和介质载体的使用安全，防止可移动存储载体上的核心信息通过非法复制、篡改、盗窃、遗失等途径非法泄露也是非常明显的需求。2.7 技术现状分析面对电子文件内容安全需求，国内外不同的解决方案供应商有着不同的解决方案，本章节将对其中的主要技术路线进行说明。2.8 实现模式比较当前解决电子文件内容安全管控主要有三种方式，如图所示： 通过下表进行比较：监察型（流动监控）囚笼型（物理隔离）枷锁型（文件加密）实现方法通过深度内容分析，按照中央策略，识别、监控和保护静态存储的数据、使用中或动态传输的数据；通过对数据终端、数据网络体系隔离实现数据物理范围控制；对数据文件体的加密控制文件内容扩散，结合身份认证控制内容传播部署DLP网关B/S和C/S结合B/S和C/S结合关键特征深度内容分析；自然语言识别；中央策略管理；宽泛的内容覆盖；物理上控制和阻断；控制设备接入；内容不可移出；文件数据的加密控制；与身份认证相结合；细颗粒的内容使用能力制约；方案优点保护内容宽泛；提供对数据的洞察力；部署容易；实现逻辑容易理解；能够在数据之外提供设备管理；操作相对简单；即使设备，存储介质丢失，也不会导致泄密；技术优势与文件格式和类型无关；与网络协议无关；支持内容、关键字匹配；支持统计、关联分析；策略可根据敏感数据类型分类，并预置大量分类策略模板；与文件格式和类型无关；与网络协议无关；从网络层面直接控制接入设备；可以管理终端设备资产；可以管控终端的应用软件；根本上管控数据内容；不影响数据体本身的流动性；结合身份认证可支持安全管理制度体系；细颗粒的内容权限控制；可以控制脱离组织机构的内容；技术缺点对中文的自然语言识别存在分词的基础技术弱点；仅具备基本的主动式防泄漏能力，不善于阻止；不符合用户最直接的思维习惯；无文字特征的数据类型无法监管（设计图纸等）；阻断式防御，无法解决信息外交流控制；终端代理实效，可以导致系统整体安全策略失败；部署较为复杂数据文件一旦脱离，完全无法控制内容扩散；对数据损毁的担忧；终端应用兼容性（操作系统，应用软件）；部署实施的管理成本高；文件加密引发的关联系统整合问题；通过上述比较可以看出，每一种方式都有自己的优势和弱点，没有一种方案可以解决全部问题，各种方式的有效结合才能对内容安全的管理起到积极作用。3. 技术路线选择结合现阶段企业本身的安全状况，选择“枷锁型”（文件加密）技术模式，是解决电子文件内容安全管理的良好策略，一方面拓展现有技术体系的安全边界，另一方面也充分保护过去安全管控方面的投资。4. 需求实现绿盾利用“枷锁型”（文件加密）技术模式进行内容安全管理可以解决电子文件内容泄露不同方向上的应用需求4.1 电子文件生产过程安全管理生产过程电子文件内容管理示意绿盾通过透明加模式，实现了电子文件无论是由人工生产还是由应用系统生成的，只要写在磁盘上就是加密存储的；文件生成的参与者被系统授权许可使用这些加密的文件，可以接触操作这些内容；如果未经合法许可将加密文件数据体带走，加密文件内容将不能够被正常打开，文件内容不会因为文件数据体扩散而扩散。4.2 电子文件内部传播安全管理绿盾采用分级授权模式控制敏感内容文件在企业内部的传播过程，不同身份的人只能按照自己所获得授权使用加密文件；任何未得到文件访问授权的人将因无法打开密文而不能接触到文件内容。财务部张三业务部采购部电子文件内部权限示意4.3 电子文件外发安全控制管理绿盾通过加密封装技术，对于离开企业内部的电子文件进行加密管理，外界的使用者必须获得合法接触内容的许可才能打开封装的加密文件，而对内容的使用能力必须遵循发文件者的约束，甚至包括阅读时长、阅读次数。电子文件外发安全管理示意4.4 电子文件应用控制审计管理内部加密文件生周期可管理，文件在内部使用过程中主要依靠系统的安全策略和权限进行生命周期控制，对于文件的使用者而言，有权使用的情况下，必须遵照授权使用；如果失去了对特定文件的操作权限，这个文件对于这个使用者相当于被销毁。4.5 系统下载离线文件安全管理通过文档安全网管，在通讯链路上实现文件的加解密，可以使应用系统中文件处于明文状态不影响应用系统的使用，而文件脱离应用系统时，文件本身被加密到达终端，避免终端电子文件内容被扩散。4.6 电子文件可移动存储安全管理通过磁盘级别的加密，对于可移动存储介质的存储结构进行加密，使非法用户靠获取存储介质本身来试图获取存储内容的想法被彻底击破。5. 总结绿盾采用“枷锁型”电子文件内容安全管理，将事前防御、事中控制、事后审计理念作为体系实现原则；不改变终端用户的操作习惯提高体系可用性；将电子文档传递过程关键环节置于管理之下加强体系完整性；采用加密技术手段控制信息内容扩散保障体系保密性；建立应用系统的安全加固方法完善体系兼容性；同时利用存储加密控制保障体系的边界能力。绿盾信息安全管理系统，是适合于企业发展需要的一种信息安全控制手段，值得在企业内部进行实践。三、 绿盾功能介绍1 文件自动加密1.1 文件自动加密绿盾信息安全管理软件主要是针对企业的重要文件进行加密。杜绝使用U盘、软盘、光盘，电子邮件等方式窃取企业的机密技术文件、设计图稿、会计帐目、战略计划书、研究论文等文档。当授权员工在企业内部打开受保护文件时，他可以像操作普通文件一样的通过鼠标左键双击，或者右键的“打开”命令来应用这个文件。在文件打开的过程中，透明解密过程在系统后台完成，对用户操作习惯没有任何影响。如果这个加密文件被利用MSN、QQ、电子邮件、移动存储设备等手段传输到企业授权范围以外（企业外部），那么它将无法被打开和应用，并且始终保持加密状态。将文件拷贝到网络外或者没有安装绿盾终端的电脑上，将显示乱码。1.2 文件外发途径管理绿盾信息安全管理软件可针对一些需脱离公司网络使用，或业务往来时需外发给客户的文件进行解密。1.2.1 申请解密员工可在线的管理人员（自动显示有受理解密申请权限的在线终端）发出申请，管理人员可以查看该文件的内容并选择是否同意解密，同意解密后，员工终端点击“下载解密文件”下载文件即可。1.2.2 批量解密具有批量解密权限的员工可点击任务栏终端图标，选择“批量解密”，在弹出的“批量解密”窗口中选择要解密的文档，点确定即可。1.2.3 外发文件制作绿盾信息安全管理软件的外发制作功能主要是针对一些重要文件需脱离公司网络外发给客户时，对这些外发文件的安全性具有很高的要求而设置的，外发制作功能可对外发文件进行阅读时效、阅读次数、阅读权限或只允许在一台电脑上打开等限制，有效地提高这些文件的安全性。有两种外发功能可供选择：一是“打印外发”，即做成类似PDF的只读文件，只能阅读，不能修改，也不能打印，这种适用于纯文本信息以及对图像质量要求不高的文件；二是“直接外发”，即保持原文件的格式以及加密状态，外部电脑通过运行微型终端来打开文件。1.3 文件审批流程审批流程，是为了使终端解密申请、离线申请、打印外发申请和直接外发申请的受理更加规范和安全而设计的。原本的解密、离线、打印外发申请，终端可以自行选择授权操作员来受理，直接外发文件必须有允许制作直接外发文件的权限才可以制作，不能申请。审批流程改为由管理员设置相应的流程来处理解密、离线、打印外发和直接外发申请。审批流程可以针对不同的分组、终端以及不同的申请功能设置多个流程，由多个操作员审批，按照需求决定哪些操作员执行哪些既定的流程。1.4 文件自动备份文件备份记录这一功能主要用于防范重要文件遭破坏或遭恶意删除等情况。在绿盾终端电脑上操作过的加密文件均会在绿盾服务端的指定目录（此目录可由管理员自由设置路径）下有备份，预防重要文档遭恶意删除或破坏。注意：备份的文件是以绿盾终端上的文件路径为标志，即终端电脑上不同路径下保存的相同文件名的文件在服务器上均有备份（在不同终端上的同名文件也有分别备份）。1.5 离线管理绿盾终端根据事先配置好的规则完成加解密操作，从加解密本身来说，不管终端与服务端的网络是否联通，都是能正常工作的。但为了提高安全性，防止长时间脱网，所以终端需要定时与服务端通信。对于离线的管理，绿盾提供两种方式：短期离线 和 长期离线。1.5.1 永久离线终端永久离线终端也就是离线终端。主要运用于脱离总部，长期或永久在外面使用的电脑，一般是分公司或办事处。使用离线终端，可保证总部与分部之间的资料都是加密的，可以互相访问，又可以控制分部的资料，防止外泄。1.5.2 短期离线短期离线策略适用于公司内部笔记本电脑的日常移动使用，如每天下班后笔记本电脑带回家，可以在脱离公司网络后的一段时间内正常使用电脑上的加密文件。还可以用于处理一些特殊情况，如服务器关机或发生故障导致终端不能与服务器通信时，终端还可以在一段时间内正常进行文件的加解密（解密是针对有批量解密权限的终端，没有权限的无法申请解密），确保办公不会因此中断。短期离线策略是和终端类型绑定的，不用每次都设置。短期离线策略在终端类型的安全选项中设置，短期离线策略的时间最长可设置为32767小时。1.6 终端操作员管理1.6.1 终端操作员设置每个终端操作员都可以设置成属于某种终端类型。绿盾默认有两种终端类型：“普通终端（默认）”和“高级管理人员”。主要的区别在于“加密类型”的不同。加密类型包括：只解密不加密和透明加解密。终端类型可以添加、修改、删除。1.6.2 终端操作员管理权限绿盾信息安全管理软件具有“操作员权限”的管理功能。a) 阅读文档权限：当企业要求某一部门的文档只能在指定部门内流通，禁止其他部门的终端操作员使用该文档时，可以使用软件的“阅读文档权限”功能。该功能可以授权终端操作员允许使用指定部门的文档，而无法阅读、使用其他部门的文档；同理，其他部门的中断操作员也无法查看未经授权的部门内部的文档。b) 受理解密申请权限：当终端用户需要外发文件时必须将文件解密后才能外发，这时可在线向拥有“受理解密申请”权限的终端操作员发送“申请解密文件”；c) 受理外发文件申请权限：当终端用户需要外发机密文件时，想对外发文件进行设置阅读时效、阅读次数、打开密码等权限，这时可在线向拥有“受理外发申请”权限的终端操作员发送“申请外发文件”；d) 受理离线申请权限：当终端用户需要带笔记本电脑出差时，需要向拥有“受理离线申请”权限的终端操作员发送“离线申请”才可在脱离公司网络后正常使用加密文件；e) 权限的设置：“阅读文档权限”、“受理解密申请”、“受理离线申请”均可在“终端操作员”的添加、修改的时候设置。2 外网安全管理2.1 网页浏览监控主要是针对员工网页浏览操作日志进行监控，可对某条网页浏览记录直接打开阅读，也可将员工网页浏览日志导出到excel文件。2.2 上网规则可对终端的上网行为进行限制，包括禁止或只允许浏览制定网站、端口限制。2.3 流量统计可以对终端电脑进行流量观察、查询和统计。这里说的流量，可以包含内网传输数据的流量，也可以过滤掉内网流量，只记录上网流量。2.4 邮件内容监控绿盾可以监控终端收发邮件（指通过Outlook、Foxmail 收发的邮件）的信息，包括邮件的标题、大小、发件人地址、收件人地址、邮件正文内容以及附件内容。3 内网安全管理3.1 屏幕监控远程实时监视屏幕并录像，可后台播放所有记录屏幕影像；屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕。3.2 实时日志可以在控制台上实时监视终端的窗口切换记录、文件操作记录、聊天记录、程序启动/关闭记录、报警事件记录等。3.3 聊天内容记录绿盾可以实时记录目前流行的大部分聊天工具（QQ、MSN、SKYPE、贸易通等）的文本聊天内容，还能够导出、备份、保存、打印这些实时记录，且支持根据关键字查询。3.4 程序窗口变化记录可以在控制台查看指定时间段、全体/指定分组/终端的程序窗口变化记录。3.5 文件操作日志可以在控制台上查看指定时间段、全体/指定分组/终端的文件操作记录。包括文件/文件夹创建、重命名、复制、删除，打开文件、编辑文件的操作；并支持移动磁盘、光盘刻录文件、网上邻居等。3.6 应用程序限制提供应用程序白名单和黑名单功能，方便地限制员工可以运行哪些程序，不能运行哪些程序。3.7 远程操作可以对终端进行远程协助、远程注销Windows、远程重启、远程关机、修改服务器连接地址以及远程发送消息。3.8 资源管理器可以在控制台上列出终端电脑上的文件列表，可选择列出所有文件或选择只列出加密文件。4 设备限制可以禁止终端使用指定设备，包括打印机限制和驱动器限制。其中，打印机限制可以设置禁止使用打印机，或只允许使用指定打印机、只允许指定程序使用打印机；驱动器限制包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制，都可以设置成允许使用、禁止使用或只读。5 USB存储设备认证USB存储设备认证功能是在禁止所有的USB存储设备使用的情况下，允许指定分组/终端可以使用指定的USB存储设备，即指定分组/终端只能使用经过服务器认证的USB存储设备，没经过认证的USB存储设备将不能被识别。 四、 绿盾优势1. 产品优势绿盾信息安全管理软件，采用“事前主动防御、事中全程控制、事后有据可查”的设计理念，在通过对企业重要文件数据的加密，从源头上有效的防范企业信息数据泄密。绿盾采用Windows内核的文件过滤驱动实现透明加解密，随Windows开机而启动，关机而停止，无法手动停止，在不改变用户原有的工作习惯和工作流程的基础上实现透明加解密。同时，灵活的策略配置、权限控制及良好的兼容性，完全达到企业对文件安全性和管理人性化的双重要求。2. 功能优势2.1 高强度的加密体系1) 绿盾密钥由三部分组成：由本公司为每个客户提供的全球唯一的主密钥、企业可以随时修改的企业密钥、每个文件不同的文件密钥。在每个文件解密时，必须三个密钥同时验证才能完成。这是国内首创三重密钥体系，保证软件厂家无法解密用户的加密文件，其他的加密软件都无法提供此功能。2) 绿盾是采用银行的加密算法，是采用256位密钥来管理的，其安全性位于国内前列。2.2 完全透明的文件自动、实时加密终端人员在打开文件时，绿盾根据权限自动解密；在新建文件或编辑文件时，绿盾自动加密存储。保证存放在硬盘上的文件为密文，无需要用户手动干预。这些加密过的软件，在企业以外的网络均无法打开。2.3 文件外发管理功能绿盾提供打印外发和直接外发两种方式，针对不同的文件类型可以采用最合适的方法，是其他软件不具备的。打印外发是把各种格式文件转换成.EXE格式的文件，外发一些图片文件往往会失真；直接外发，不改变文件的格式，相当于直接把原文件拷贝一份发出去。外发AutoCAD、Solid Works和Pro-E等需要精确度比较高的文件，采用直接外发效果就会比较好。打印外发直接运行.exe文件就可以查看文件，而直接外发需要先运行下外发终端才能打开文件。外发文件限制参数包括：时间限制、次数限制、密码验证、打印限制、修改限制、截屏限制、过期自毁等。2.4 灵活的自定义加密策略即使工作或出差需要外带笔记本离开企业环境，可通过离线授权功能（包括永久离线、中长期离线、短期离线等）及设定资料正常使用的时间及自动销毁时间，从而加强数据的安全性，避免外出时有意无意的信息泄漏。2.5 强大的文件备份功能绿盾强大的备份功能，可防止人为有意或无意的把资料删除，甚至是格式化硬盘；绿盾的备份功能能保证终端操作过的数据都可以备份到服务器。2.6 全面的内网管理功能绿盾产品的模块包括：上网行为管理模块、屏幕监控模块、聊天内容监控模块、应用程序管理模块、移动设备管理模块（限制打印机、U盘等的使用权限）、ARP防火墙、资产管理模块、文件加解密模块等。2.7 良好的平台兼容性1) 绿盾支持Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7等多种操作系统。2) 绿盾兼容国内外近20种杀毒软件，包括“诺顿、卡巴斯基（Kaspersky）、McAfee、瑞星、江民、金山毒霸、360安全卫士、Nod32、趋势等。3. 技术优势3.1 驱动层加密技术绿盾采用文件过滤驱动加密技术，驱动层加密工作在Windows内核，加解密动作都是在文件打开的时候动态解密，文件保存的时候自动加密，不产生临时文件，安全性更好，效率更高。驱动层开发难度相对应用层要高。应用层加密，通常都采用文件重定向技术实现，换句话说，就是在每次打开密文的时候，要先把密文的整个文件解密到硬盘上的某个地方，然后使用重定向技术定向到这个没有加密的文件上。这种办法有两个比较大的缺点： 效率低、不安全，因为每次打开文件的时候，都要先把整个文件解密，文件小的时候可能没有感觉，一旦文件比较大，感觉就会很明显，影响使用。另外由于在打开文件的时候，需要将文件解密到临时目录，虽然加密软件会对这个临时目录进行保护，但用一些工具软件很容易找到这个临时目录，并从这个目录下复制到明文。3.2 自主研发性能优越的数据库绿盾自主研发的数据库，存取速度快，兼容性好，安全稳定。同时降低企业投资成本。3.3 可自定义的受控程序绿盾信息安全系统提供了目前市面上大部份图档编辑应用程序，但实际上，市面上的图档编辑应用程序远不止这些，而且还在不断地推陈出新中。为了满足企业的正常应用，绿盾信息安全管理系统提供了自定义受控程序的功能，系统管理员只需将该应用程序的可执行程序添加到绿盾系统中就可以了，如果该应用程序有多个可执行程序，则把所有的可执行程序都添加就可以了，操作非常的灵活简单，并且用户不必担心后续应用程序升级而导致加密不能使用的问题。4. 实施优势4.1 整个企业一台服务器管理解决方案绿盾信息安全管理软件对整个企业形成统一管理，整个企业只需一台服务器就可以了（也可以增加一台服务器存放备份文件），减少公司硬件上的投入，同时采用集中式管理，便于管理员更好地管理整个公司，企业所有的安全策略都由超级管理员制定，形成整个公司管理上的一致性。4.2 优秀的实施团队我们坚持以人为本，以技术为核心，目前技术骨干团队由美国留学归国博士及来自清华大学、厦门大学、福州大学等著名学府的专业人士组成，实施过程以客户需求为中心展开调研、方案设计及部署实施，部署实施后，客户进行试运行以确定软件的适用性及稳定性。技术人员会对客户进行产品的相关培训，以确定客户可以完全的掌握产品的功能。5. 服务优势客户至上，是南方数码的核心价值观，也是我们一贯信守的服务宗旨。作为数据安全防泄密研发企业，我们专注信息安全领域，并将从立项、调研、安装、测评、实施、售后等各个环节为客户提供全方位的专业技术支持。对客户，我们将最大限度地发挥本地域研发技术团队优势，提供快速、细致、多样的专业化、人性化的服务。经过20余年的发展，南方公司已经拥有30家省级分公司，100多家地市级分公司。全国所有省会城市和大中城市几乎均已铺设了我们的销售服务网点。南方公司400多位销售人员和100多位专职技术服务人员将竭诚为用户提供及时、周到、专业的“星级”服务，完全能解除用户的后顾之忧。五、实施方案1. 实施计划及流程实施绿盾信息安全管理软件，对机密文件进行保护，系统在尽量不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的进程生成的文件进行强制加密保护。软件实施的计划如下：阶段主要工作阶段预期成果启动及准备阶段确定实施目标、成立实施小组、确定实施计划实施小组成员名单、实施计划表调研阶段对客户公司进行基本资料、信息化、部门分布、服务器等相关的调研根据调研结果了解客户的需求，从而确定实施部署计划实施部署阶段系统安装、配置对系统进行部署测试及试运行阶段测试软件功能的完整性。确保软件与系统的兼容性及稳定性软件功能能够完整的在系统上体现，有良好的兼容及稳定性培训阶段培训客户公司员工使不同级别的员工能够了解软件功能并可以独立使用运行支持阶段提供技术支持实施人员撤离后，依旧提供技术上的支持，确保软件在客户公司里的正常运行。2. 成员组成南方数码科技项目小组：指定项目实施经理、技术人员、商务经理。其中，商务经理配合项目小组将企业用户的信息转交给项目小组，并将项目小组介绍给企业用户。企业用户：成立项目实施组织，配合前期调研签署相关的项目协议。3. 实施步骤及工期3.1 调研阶段本阶段主要是对客户的情况进行调研分析，根据汇总，进行需求分析。1）前期调研通过与客户交流、实地调研，主要了解用户对软件系统的要求，了解用户公司基本情况；了解用户实际运行硬件环境、软件环境；同时了解用户网络部署情况。以便设计符合用户的最佳解决方案。公司基本情况调研公司基本信息；是否有分公司，后续是否会有所变动；公司（分公司）的网络拓扑详情；公司（分公司）是否有域环境，现有的域结构拓扑图；公司（分公司）的网络连接情况如何，是否有VPN相连接，带宽是否有剩余。公司信息化程度调研是否有实施过其他的信息安全软件；是否有ERP、OA等办公系统；公司是否有外发业务往来或需求；部门情况调研部门的名称、人员数量和结构。部门的有哪些设备，部门网络拓扑情况；部门的常用软件及其文件的后缀，有无特殊的文件不需要加密；部门内是否使用一些不常用的软件，并且这些软件也要加入到受控程序中；部门间是否设置阅读权限；部门内部的解密审批流程，部门文件是否需要向上级部门进行审批。部门内部文件是否经常外发，文件和外部的交互情况如何。服务器及网络环境调研服务器配置、是否准备好；服务器运行标准，247或者更高标准；网络环境是否准备好；网络环境是否有vpn、网络是否划分VLAN等；绿盾系统管理员权限调研控制台的Admin账户的掌管是否绑定USBKEY。是否划分控制台管理账户进行多级管理。具有批量解密权限的操作员是否进行USBKEY绑定。2）调研汇总及需求方案调研分析段完成后，通过调研汇总，与乔丹体育相关人员沟通，逐渐形成清晰的需求分析。根据客户的实际需求，制定相应的需求方案、部署总体框架、服务器部署情况。3.2 部署实施阶段绿盾实施按照遵循一定的步骤，提高实施的成功率，防止外界因素干扰。安装服务端服务器安装后，打开控制台，根据调研表采集的部门信息，在本地网络（正式用户注册完后会显示相应的公司名称）处，添加部门（分组）信息。打开控制台直接进入“规则中心”，终端类型在绿盾出厂时默认有“普通终端”和“高级管理人员”两种类型，实施人员根据客户调研表，分类整理出不同权限的终端类型，在终端类型界面添加相应的终端类型（即策略模式），同时，在终端类型里把所有的终端类型的加密类型设置为“只解密不加密”。(防止终端刚安装，策略未设置好时，用“透明加解密”出现未知问题，如编辑文件后自动加密了，再打开却打不开之类)。注册控制台里点“关于”看用户编号，如果是刚要开始试用，需要向卖方申请开通相应用户数的试用，然后重新点一下注册即可。如果已经购买，用正式版的序列号注册即可。（注意，服务器必须能上公网才能注册成功！）安装终端需要一台一台安装，一般来说电脑越多需要的时间越长。在安装终端前，可以在控制台上设置好接入默认的部门和终端类型。这样，接下来安装的终端会自动分配到指定分组中,并且自动默认了选择的终端类型。（注：安装完终端后，要重启一下计算机，确保正常运行。）绿盾在新环境下磨合安装完绿盾系统后，不要开启透明加解密，最好把文件加解密模块、文件操作日志、文件备份、屏幕录像等功能都过滤掉。让绿盾系统在客户电脑上进行适应性的运行，观察绿盾与客户环境的兼容、稳定等情况，提高绿盾实施的安全性。添加受控程序策略绿盾在新环境下运行良好，这时，可以从调研表知道客户使用到的软件，哪些文档需要进行加密。这里需要对调研表中使用到的各款软件进行受控程序添加，即添加受控程序策略，使得绿盾支持这些软件、信任这些软件工作。比如：添加AutoCAD为受控的进程，这样，绿盾就会对AutoCad产生的文件进行加密，AutoCad 也能打开加密的AutoCad文件。3.3 测试阶段测试文件加解密功能新建一个临时的终端类型（测试终端类型），其中安全选项-加密类型设置成“透明加解密”，同时，把上一步添加的受控程序策略应用到该终端类型中；选择一台测试电脑，把试用电脑设置成该终端类型。在试用电脑上，对受控程序的文档进行编辑、修改、编译等，充分使用该受控程序的功能，看绿盾与该受控程序结合使用情况，是否出现加密文件打不开、文件乱码、编译通不过等现象。比如AutoCAD的.dwg文件、Pro/E的.prt文档等，把这种类型的文件右键-批量加密一下，看加密后打开、编辑、编译有没有问题。在试用电脑上开启透明加解密功能选择一些电脑来测试新添加的策略，保证绿盾与新策略运行的稳定性，确保绿盾在客户的环境下安全、稳定运行，通常开启后观察一天（或数天）。3.4 试运行阶段测试完后，绿盾系统就具备试运行条件，开启绿盾系统加密功能，观察其运行情况，期间，可能还会碰到一些问题，必须通过回归方式，回到测试初期，进行排查问题、解决问题。最后提供安全可靠的稳定运行绿盾安全管理软件系统。3.5 培训阶段一般来说，绿盾信息安全软件分为二个层次，第一层为一般的使用操作培训；第二层为日常维护培训。a.使用操作培训对象：全体绿盾信息安全软件使用者。内容：绿盾系统功能介绍、绿盾终端操作说明、审批申请操作预期效果：能够使用绿盾终端的一切功能，满足正常工作需要。b.日常维护培训对象：系统管理员、网管人员内容：绿盾控制台使用、绿盾系统策略配置、绿盾服务器日常维护预期效果：能够简单使用绿盾系统，包括配置相应策略，使用控制台的管理功能，能够简单的日常维护工作。3.6 运行支持阶段运行支持阶段的目的是：系统上线后的运行支持，对出现的问题进行分类并快速解决，在实施人员撤离后，绿盾技术人员继续提供技术上的支持，确保绿盾系统在客户公司里的正常运行。六、服务体系1. 技术支持服务内容软件运行维护服务（远程、现场）；软件版本升级和新产品发布通告服务；系统运行后，需由专人负责该项目技术支持，远程、现场解答产品技术问题；提供网络直接技术反馈及网上维护服务。 2. 响应时间在系统试运行阶段初期，至少有一名技术工程师派驻现场，随时解决系统的维护和正常运行； 在系统上线之后， 我们提供：(1)长期免费的电话、EMAIL、QQ、MSN、SKYPE等方式的远程技术支持；(2)软件升级：软件购买2年内免费升级。(3)享有软件的长期使用权。3. 维护我们提供远程技术支持，指定1名专人负责维护，包括现场； 七、 关于南方数码广东南方数码科技有限公司成立于2003年，总部位于广州，是一家集数据、软件、服务于一体的中国领先的地理信息产业供应商和数字城市技术解决方案供应商，是信息产业部认定的“软件企业”，同时也是广东省认定的“高新技术企业”、“广东省优秀自主品牌”，具有ISO9001：2008“国际质量体系”认证、“CMMI3级认证”、“测绘资质”和“系统集成资质”。公司全面面向数字城市，以数据为基础，以基础测绘、房产、国土、市政、规划等行业为核心发展地理信息产业，产品服务贯穿产业链。公司拥有遍布全国的数码专业分公司，专业、专注、就近服务。目前，公司已有数百个政务管理系统稳定运行在各级政府和行业管理部门。公司承担了多项省、市、区科技攻关项目，并多次获国家、省、市政府和科技部门的奖励。自主开发的50多个软件产品获得“ 软件产品登记” 和“著作权登记” 。其中南方地形地籍成图与建库软件（ CASS）拥有全国90%的市场份额，并成为业界事实标准；房测之友BMF成为房地产测绘行业唯一通过权威机构评测的专业软件，居同类软件市场占有率之首；CMS成为国土资源部推荐使用的城镇建库软件。秉承“以人为本、专业专注、和谐共赢”的理念，南方数码始终坚持以“数据软件服务”为核心，以提升地理信息价值为已任，愿与同行一起，推动中国的信息化建设事业！南方数码，做中国最大的数字城市建筑商，努力成为世界级地理信息产业供应商。八、合作伙伴：天锐科技厦门天锐科技有限公司总部位于厦门珍珠湾软件园，是“国家高新技术企业”、“双软认证企业”，公司始终专注于研发具有自主核心技术和知识产权的信息安全软件产品，专业从事数据防泄密产品的研究、开发和销售。公司坚持以人为本，以技术为核心，历经数年积淀，目前技术骨干团队由美国留学归国博士及来自于清华大学、厦门大学、福州大学等著名学府的专业人士组成。在现有的研发人员中，硕士以上学历占60%以上。作为国内数据防泄密领域的领导者，公司已有多个产品取得了著作权登记证书、软件产品登记证书、信息安全产品销售许可证、涉密产品认证证书、军工产品认证证书。产品广泛应用于金融、政府、军队军工、管理咨询、设计开发、贸易、制造业等诸多行业。在研发创新技术领先的同时，凭着对市场的精心耕耘，目前已在浙江、广东成立分公司，北京、天津、上海、苏州、南京、西安等多个直辖市和省会城市设立办事处，并在全国各地建立50多个经销网点，为终端客户提供满意周到的服务，以专业、热忱的信念持续为