石中剑电子文档安全管理系统(网络版)解决方案.doc

石中剑电子文档安全管理系统（网络版） 产品概述石中剑电子文档安全管理系统是一套高扩展性、可定制化的文档安全防护解决方案。系统集进程控制、文件透明加解密、分块加解密、磁盘加密、身份认证、打印控制、外发控制、USBKEY认证、在线编辑、自动备份等多种技术于一身，对企业内部的重要文档、项目文稿、图纸、数据库、开发源代码等敏感电子文件从创建、分发、乃至销毁的全过程进行控制和保护，确保这些文件即使被黑客盗取或内部员工恶意传播、丢失等行为，获得者也无法打开，为企业信息化建设提供了有利的安全保障。系统体系架构 在企业内网或城域网中部署石中剑电子文档安全管理系统以便对网内所有的计算机中的电子文档进行管理，具体部署如下：系统功能描述业务支撑程序开发： 深入底层，无限控管。深入到代码开发的编译过程，在不影响正常实时编译的情况下，能同时支持对生成的文件加以保护，并可将保护范围延伸到开发方案、设计文档和测试报告等开发过程数据。能有效保护用户长期积累的代码库与项目文档，支持环境包括（不仅限于）：VisualStudio、Delphi、Java、WingIDE等；图形设计： 实时分块，安全高效。利用分块加解密技术，保证制作过程与输出结果实时加密的同时，不影响渲染速度。支持环境包括（不仅限于）：CoreIDRAW、PhotoShop、Illustrator、Adobe After Effects、Corel Painter IX；Invertor、Rhino、Lightscape SketchUP、FreeHand、Lightwave等；财务防护： 锁定用户，内外有别。确保只有指定的人员能够访问财务数据，无论主机丢失、强行发送、甚至感染木马，得到的都将是不可访问的密文数据。支持包括（不仅限于）：金蝶、用友、润衡、华兴等财务软件。办公管理： 实时保护，惬意共享。能支持NetBIOS和Samba方式共享。能将文件权限细分到某一用户针对某一文件，并定义赋予的权限。支持环境包括（不仅限于）：Microsoft Office、WPS Office、Open Office、记事本、写字板等；媒体版本： 授权使用，流畅播放。对于被加密的流媒体大文件，在授权实时使用的同时，保证清晰流畅的不失真播放。支持环境包括（不仅限于）：Media Player、暴风影音、迅雷播放器、Emplayer、Real Player等；自定义应用程序支持： 我行我素，自由扩展。系统采用全底层驱动设计，对上层应用全透明，电子文档安全管理系统未收录的应用程序或版本，用户可自行添加定义控制，无需厂家进行二次开发。例如：将ceshi.exe设置为受保护程序，那么由ceshi.exe生成的文件都将自动加密，且不依赖于文件的后缀名；集中管控 企业文档库统一管理，上收企业级文档管理权限，重要数据不再散落在各个终端计算机上。被提升为企业级的数据，将受到特殊管控，保护企业数据的安全；明密分明，对本地明文文件不做任何处理，只对集中控制文档服务器流转的密文文件进行强制保护；外发控制 不限制外发控制文件的类型，支持所有应用程序的外发管理； 可绑定阅读主机的身份信息，确保加密外发文档只在指定的计算机上被正常访问； 可将外发加密文档与硬件USB-KEY绑定，确保涉密文档只被可信任的伙伴阅读； 可限制外发文档的访问次数和有效使用时间； 外发文档同样受到编辑、拷贝和另存为等权限的控制。不影响客户本地文档的正常使用；安全策略 采用对称与非对称双重加密算法和分块加解密技术，保证在大数据量下高速加密运算的同时，达到对文件的授权定义； 支持外部认证方式，包括：AD域认证、LDAP和Radius认证，在节省用户投资的同时，最大程度的方便了管理员对系统的统一管理和配置； 支持出差和离线控制模式，在客户端与服务器无法通讯的情况下，能同样受到文档安全系统的保护； 支持应用黑名单功能，禁止客户端运行企业不允许使用的应用软件； 支持外设控制，能实时启用和禁用：USB存储设备、光驱、软驱、红外设备、1394接口和蓝牙设备等； 具备打印控制功能，实现企业内部对用户使用打印权限的管理； 支持解密文件强制备份和文件水印功能，为泄密情况发生后提供追溯证据；系统管理 提供内部开发平台、OA、电子公文等流程管理的开发接口，实现与企业现有业务系统的无缝结合； 多样、细致的用户管理，支持按部门划分、按权限划分、按组织结构划分、按临时项目组划分，不同的划分方式为用户提供不同管理使用体验，满足各种复杂情况下对权限管理的不同需求； 灵活的策略配置，支持自定义多样化的用户管理策略、文档加解密策略、系统管理策略、解密审批策略； 丰富的日志审计功能，记录管理员和终端用户对系统与文件的操作，内容包括用户、对象、行为、主机和结果； 多层分布式部署，实现多级管理与大用户量环境下的负载均衡；技术优势内核动态加/解密技术 在操作系统中，I/O（输入输出）管理器负责处理所有设备的I/O操作。I/O管理器通过设备驱动程序、中间驱动程序、过滤驱动程序、应用系统驱动程序等完成I/O操作。石中剑电子文档安全管理系统的驱动程序位于操作系统I/O层之下，系统文件驱动层之上。当有需要受控的应用程序在运行时，系统将会监视该程序的I/O动作，当应用程序进行文件写操作时，系统将会将其自动加密，然后交给下层设备驱动程序来完成真正的磁盘写入动作。当监视到有读的动作时，首先识别此文件是否是已经加密的文件，如果是加密文件，则在读取时自动对读取到内存的数据进行解密。这样在应用程序看起来，就像是什么事都没有发生，真正实现驱动级的透明加解密，保证用户的工作和使用习惯不受影响。端口复用技术 整个系统只有服务端开放一个TCP通讯端口，客户端通过倒连的方式与服务端通讯。所有的消息通讯、策略下发、集中管理都共同使用该端口。使得用户可以通过端口影射的方式将服务器在公网上发布，只要客户端在任何能够上网的地方，就能接受服务器的管理。使得跨广域网部署成为可能。全球的任何角落，只要网络物理可达，都可接受服务期的管理。意外文件保护技术 当对大文件进行加密处理时，由于所需时间较长，在处理未完成的情况下，系统意外中断（如停电），将导致数据文件处于一半加密，另一半未加密的状态，这将直接导致数据文件的损坏，基于以上因素考虑系统采用世界领先的文件实时快照技术，在系统发生异常中断的情况下能保证加/解密文件的正常使用，彻底杜绝由于意外情况导致的用户文件损坏。分块加解密技术 系统采用分块加/解密技术，所有的加/解密操作都在内存中分块完成。系统从硬盘中读取或写入多少数据，就加/解密多少数据，用户在打开文件时感觉不到加解密带来的延迟。文件识别技术 系统采用了智能文件识别技术，根据文件内容而不是文件扩展名来识别文件类型，并由此确认该文件是否需要保护。避免了采用文件扩展名来识别