技术文件防泄漏解决方案技术规格书.docx

技术文件防泄漏解决方案技术规格书项目名称：技术文件防泄漏解决方案与实施招标人：XXXXXXXXXXXXXXXXXXXX1、 投标人资质要求（1） 具有五年以上该类软件研发经验；（2） 熟悉制造行业实施经验，并具备制造行业类似项目成功案例，提供近几年制造行业应用软件研发业绩；（3） 近五年无行贿等违法记录；（4） 近3年财务报表；（5） 投标厂商产品具有国家权威部门认证，须提供以下资质证明：a. 国家密码管理局颁发的商用密码产品销售许可证；b. 国家版权局颁发的计算机软件著作权登记证书；c. 公安部颁发的计算机信息系统安全专用产品销售许可证；d. 国家保密局颁发的涉密信息系统产品检测证书；2、建设目标描述通过加密软件的建设实施，从技术上实现对设计所重要文档的通用防护和分级防护，做到非法带出的数据不可使用，尽量少改变使用习惯，做到安全性和易用性的合理平衡。达到“进不来、授权用、带不走、读不懂、留痕迹”的总体目标。进不来，必须经过身份认证才能登录使用重要文档防泄漏系统或者通过身份认证登录计算机终端，使非授权者无法进入防泄漏系统或计算机系统；授权用，只有合法授权人，经过合法授权，才能使用文档，包括阅读、修改、拷贝、粘贴、打印等拿不走，未经授权，任何人拿不走文档，包括下载、拷贝、刻录、打印等一切方式，都拿不走受保护的文档。看不懂，所有未经授权拿走的受保护文档均打不开，看不懂。留痕迹，对保护文档的所有操作都留有记录，由文档操作审计系统追踪泄露源。2.1系统的基本建设目标通用防护：采用默认的防护策略，对范围内的数据按策略进行防护。采用通用防护保护的数据，应符合原来的操作习惯，不影响原来的操作行为。是分级防护的最低级别之下的通用防护方法。通过通用防护系统的建设，提供一个基础的透明的加密解密层，根据管控策略对一定格式的文档和操作文档的进程进行监控，实现透明的加解密功能，在系统内部，经过身份验证的用户，感觉不到文件是加密处理的，文件被非法复制出系统，将保持为加密状态。通过透明加解密层的防护，可以有效的防止非人为的泄露发生，防止被摆渡攻击而泄露的文件被打开利用，授权外带解密后的文档，需要经过审批，系统将自动记录日志，以便跟踪取证。分级防护：对图文档系通中的文档可要重要程度进行分级，可按照不同的防护策略控制文档的离线防护，对重要文档下载需要进行加密控制，对应用系统做边界加固，防止非法用户的接入和数据获取。项目目标是在使得数据信息顺畅交流，不影响员工工作效率的基础上，有效的控制内部核心数据资产的安全与防护。具体实现：1. 与现有的AD系统实现用户统一认证集成或实现终端单点登录。合法用户受控访问，非法用户无法访问，非法流出文档无法打开；2. 能够对所内部圈定范围内的所有里要数据做安全管控（包括现有的及以后新增的），能和图文档等核心应用系统进行安全集成，实现数据的加解密控制，并保持业务系统的操作和使用习惯不改变；系统集成要求投标方可提供相关的中间件服务供应用系统调用，实现对指定的重要数据进行下载加密控制，实现分级管理的要求。3. 严格管理和控制内部以及外部文件，确保机密文件不被二次扩散使用，控制文档的知悉范围；结合客户端控制模块，可有效防止电子文档被非法访问、非法拷贝复制、打印、拷屏等，杜绝二次泄露；4. 不改变使用者对协同工作中的信息文件的使用操作习惯（如：使用习惯的应用程序操作、浏览信息文件；信息文件的加解密操作对于使用者来说是透明的等）；5. 离线控制，通过对终端进行脱机设置，使得终端能在预设时间范围内脱离本单位环境并且能够正常处理业务流程，超出预设期限将不再解密任何数据信息，保证终端外出的使用安全。也可根据需要对超出预设期限的离线终端进行离线补时继续使用。6. 文件外发，对于发到单位以外的文件可进行特殊控制。包括使用期限设定、打开次数、操作权限控制，会议结束后文档可自动销毁，减少信息泄露的风险。7. 批量加密解密，可批量、高效的对指定的文件或文件夹进行批量加、解密操作。8. 计算机端口管理功能：可查询、封闭、打开计算机端口状态。9. 邮件白名单：支持发送含加密文档到邮件白名单自动解密功能10. 在保证数据安全的同时，还要保证各项工作持续性，并最小化效率损失，对多种场景（如员工出差、主机操作系统重装、部门调整、离职等）具备完善的解决方案，建立建全文档安全管理的规范及流程；11. 能够对应用系统进行边界安全防护，防止非法终端接入应用系统获取数据，对应用系统下载的数据可进行加密控制；12. 满足未来的数据安全要求，系统具备兼容、扩展要求，满足新增的数据和文档类型。2.2系统性能要求重要文档在加密软件中采用透明加解密手段和重要程度分级标志绑定加密双重措施来保护文档，因此对文档进行操作时需要先行进行加解密操作，肯定会对文档操作性能造成一定的影响。如果采用软件密码服务，对于小于100MB的文档，其文档操作对操作人来说不会有明显的感知，但对于超过100MB的文档，操作人可能会感知稍许延迟，文档越大延迟也越大；3、主要规格和技术参数3.1 设计平台支持3.1.1操作系统要求支持以下操作系统：服务器端；Windows98、Windows2000、Windows 2003 R2、Windows2008 R2；客户端：Windows 2000、Windows XP（32位、64位）、Windows 7 （32位、64位）、Windows 8（32位、64位）、Vmware虚拟化3.1.2应用软件应用系统、ERP系统AutoCAD Microsoft Office Microsoft Office SolidwordsCaxaProject 2007Adobe acrobat 9.0 professional输入法等，但不限于上述软件，不限于版本。3.2 整体技术要求（1）高可靠性：要求技术文件防泄漏系统在程序设计及架构部署上具有高可靠性，能够提供不间断服务；（2）易管理性：要求服务器端具有丰富的设置选项、并可进行灵活的策略设置以满足管理需要；客户端简单易用。（3）高可用性：要求技术文件防泄漏系统提供高强度数据防护能力，低资源占用率；（4）可扩展性：方便后期系统的扩展，可以实现在线扩容，不影响服务的正常使用；（5）高集成性：要求技术文件防泄漏系统能与公司现有的图文档等业务系统无缝集成；（6）高兼容性：要求技术文件防泄漏系统能与现有的应用系统、应用程序及杀毒软件完全兼容；3.5系统管理功能要求（1）用户管理可与AD服务器进行集成，形成统一用户认证及管理模块。系统提供：用户登陆及认证、策略下发及同步、角色权限分配与回收以及AD组织架构信息同步等功能。（2）权限管理系统提供角色权限及特殊权限管理模块。角色权限管理模块包含对系统角色权限定义和下发，如系统管理员角色、日志审计员角色、流程审核员角色以及其他组合权限角色等；特殊权限管理模块包含对特权用户权限的开放与回收，如用户特权解密、特权外发等。（3）策略管理提供安全策略管理模块。策略管理模块包含对常用设计软件和通用软件的策略维护和安全策略管理功能；包含对策略类型组合信息的增、删、改、查等常规维护手段。同时系统需要提供对文件内容的安全保障，包含如下控制：剪切板控制：只允许将加密文档内容复制至其他加密文档中，非加密文档间内容复制无影响。拖拽控制：和剪切板控制类似，只允许将加密文档内容拖拽至其他加密文档中，非加密文档间内容拖拽无影响；另存为控制：加密文档通过另存为方式保存出其他任意副本均进行强制加密保护；非加密文档另存为无影响；打印控制：可对加密文档的打印权限进行控制，如禁止指定程序执行打印，或允许程序执行打印时自动添加打印水印等，方案控制决策如下： 物理打印：允许用户连接打印机并正常打印，客户端进行打印日志记录，日志信息包含：打印机器名称、打印用户ID、打印文件名、打印时间及打印文件大小备注信息等； 虚拟打印：允许用户连接虚拟打印器并正常打印为电子文件，DLP客户端将对虚拟打印生成的电子文件进行加密保护，防止虚拟打印副本泄密。对象插入控制：可对允许打开加密文档的指定程序进行防注入保护，防止非法程序通过程序注入方式获取明文数据内容；截屏控制：禁止对加密文档内容进行屏幕拷贝，防止明文数据内容通过截屏图片方式进行泄密，方案控制决策如下： 明文截屏不受控：允许用户仅开启明文文档时可进行截屏，截屏方式不限，如通过键盘Print Screen键、标准化截图工具等； 密文截屏受控：允许用户在开启密文文档时通过指定标准截屏软件进行截屏，并允许将截取的明文剪切板内容粘贴只密文文档中，同时截屏内容保存为图片时将进行加密保护；上述安全控制均可根据业务需要进行开放和调整，管理员可灵活配置，可针对不同的用户组或用户进行灵活的策略设置，符合管理要求。（4）终端管理提供客户端信息管理模块。包含对合法客户端机器的升级管理、离线管理以及卸载管理、版本号管理等。（5）流程管理流程管理模块包含有离线审批流程、解密审批流程、外发加密审批流程、卸载审批流程等；可根据项目后期的建设要求提供接口及管理协同，实现与已有电子流审批平台的无缝集成。（6）日志管理日志管理模块提供日志审核及管理功能；系统将对所有管理变更、操作过程以及特权用户操作等行为进行详细记录。（7）分级管理为管理用户提供分级管理要求，系统部署可实现集中部署，但对业务的管理要求可下放到各部分级机构或部门，可实现对本部门或组织机构的用户管理、审批管理、客户端管理、日志管理等。（8）介质及端口管理 可提供对移动介质端口管理的要求，可实现数据拷贝到移动介质中自动加密，同时可实现对U口的控制，实现打开/禁用，注册管理，限制U盘的使用范围，对未注册的U盘无法识别和使用。3.6应用系统安全集成要求与现有系统集成，实现对应用系统的加固和数据安全防护。（1）协议管理提供基于TCP/IP协议的数据链路加密保护功能，与数据防泄漏客户端配合，实现对应用系统的安全准入控制。（2）策略管理提供基于IP和端口管理的安全准入策略配置及管理功能，与Iptable机制配合，实现对应用系统的安全准入策略控制。（3）传输数据管理根据应用系统安全集成需要，可提供传输协议加解密、传输数据加解密管理支撑，确保应用系统数据传输及交互安全。（4）数据加密管理 可根据业务管理要求，对图文档的数据进行分级防护，对重要的数据实现下载加密管理，可通过中间件服务的方式对指定的文档进行加密，加密文档上传时可进行解密上传，投标厂家需要提供标准的接口服务。3.7管理规定及支撑流程配套完整的系统使用规定及管理制度，主要内容包括：l 角色的定义：普通用户、系统管理员、日志管理员等角色的定义；l 基本使用原则：如客户端禁止破坏；l 解密原则：什么场景下使用何种解密方式；l 特殊场景使用原则：如加班办公、终端离线、文档加密、邮件外发等；3.8关联系统设计对核心应用系统如：图文档管理系统、OA系统、PDM系统、文件服务器等无缝集成，实现核心应用系统访问明文上传、密文下载安全集成目标关键需求场景，保证上传到服务器的数据以明文的形式存放，下载到本地后进行加密存储。3.9 具体技术参数要求招标技术要求序号功能及指标技术规格及详细参数品牌规格技术文件防泄漏系统1产品结构产品必须采用C/S+B/S架构；2产品性能满足500用户同时使用。3操作系统1.服务器支持：WINDOWS2003SERVER、2008SERVER等系统；2.客户端应支持：WINDOWSXP、WIN7、WIN8等32位、64位操作系统。4数据库支持sqlserver2000、sqlserver2005、sqlserver2008、sqlserver2012等数据库功能要求5文档加密1.支持AES、RC4、SM4等通用加密算法；2支持用户自主设置高强度加密密钥，同时支持系统随机创建高强度加密密钥；4支持在安全模式下工作，也需提供同等加密保护；5支持用户可自主设置需要加密保护的数据类型和应用；6支持通过策略灵活控制实现文件是否区分加密文档；7支持打开文件时，不改变用户工作习惯，不改变应用软件界面和菜单形态；6模式切换为方便用户使用，提高工作效率，提供两种模式切换，工作模式与个人模式，工作模式下文件均于加密状态，个人模式下文档不加密，个人模式无法查看工作模式下的加密文档；7文件格式支持*.*文件格式，支持任意应用程序8密钥管理1. 支持用户自定义256位以内高强度密钥2. 算法需要经过国家相关部门认证3. 密钥可进行备份，防止丢失9用户认证1支持自主创建用户及组织结构、支持批量录入用户及组织结构2支持与AD等统一身份认证平台无缝集成，并支持基于Ldap标准协议的其他第三方认证平台集成。3支持对所有用户设置统一初始化密码，用户在使用加密系统时，必须强制修改初始化密码，防止账号盗用或设置简单口令所带来的泄密隐患4. 支持自动定期同步统一身份管理平台的组织结构信息，无需管理人员参与，保障信息的安全运行。5.支持实时显示用户连接状态，如在线、异常离线、正常离线、卸载等状态。10安全防护1. 必须采用驱动级智能动态加解密技术，具备有强制、透明、无感知等特点2. 支持对被保护文档另存为强制加密保护，防止泄密3. 支持对被保护文档进行打印控制及水印装填4. 支持对被保护文件实行禁止拷屏控制5. 支持对被保护文档内容的复制粘贴进行安全控制，能够禁止将保护内容粘贴至其它非受控文档6. 支持对剪切板内容进行保护7. 支持对被保护文档进行宏安全控制，能够防止用户通过宏泄密8. 支持被保护文档内容的拖拽进行安全控制，能够禁止将保护内容拖拽至其他非受控文档9. 支持终端强制对指定格式文档进行全盘加密10. 能够防止一系列内存转储指令，内存分段安全化处理11. 支持安全模式下能够正常加密，保证文件不泄露12. 支持用户不能中断或删除终端13 提供高强度身份校验控制，防止非法用户通过暴力破解、重装系统等方法窃密；14 能支持Ukey客户端的方式进行文件的动态加解密控制；11外发控制可以对外发文档的权限进行回收可以控制外发到客户文档的权限（如修改、打印、时间、自动销毁），使用方支持插件/无插件两种方式。12策略化管理1支持所有加密安全控制均通过策略配置实现；2可以针对用户、部门定制安全策略；13开放式策略库1加密系统需完全对用户开发策略库编辑功能，用户可自主完成策略的定义和下发；2新应用策略的拓展无需加密系统厂商定制化，应采用通用化设计；3应用环境的升级、变更时，加密系统无需开发，可支持兼容支持或调整策略配置即可支持；14系统升级和技术服务1支持本地化服务2支持系统级在线升级；15内容安全1支持剪切板白名单，防止敏感数据内容拷贝至指定应用文件中；2能够控制剪切板白名单容量，防止用户利用例外策略恶意泄密；16流程支撑1.支持自动解密审批流程，对用户提交的解密申请，审批员在线审批通过后文档将自动解密并存档；2.支持文档外发审批流程，可通过流程自动制作外发文档；3.支持离线审批流程，支持终端离线审批，设置离线时长；4.支持卸载审批流程，终端可进行卸载申请和审批；17管理分级1支持设置分级系统管理员，并可设置分级系统管理员权限和管理范围；2支持设置分级日志管理员，实现对安全日志的分级审计功能；3支持设置分级流程审批员，实现对业务流程的分级审批功能；18例外业务1.支持特权策略，提供文件加密、落地解密、落地加密等策略配置，方便对用户特殊应用的支持；2.支持邮件白名单，能够实现对指定邮件账号用户发送加密文件自动解密；19应用系统防护1、 控制应用系统的安全接入，实现安全准入的控制要求；2、 对应用系统的数据进行安全防护，实现“上传解密、下载加密”效果3、 对应用系统访问可进行细颗粒的权限控制，可提供标准接口。20日志审计1.支持对所有敏感数据的使用进行全生命周期审计；2满足最小颗粒度审计要求，可审查如用户、文件、时间、载体、动作等信息；21管理方式支持B/S模式的管理，界面友好，支持基于Web的图形用户界面（GUI），能够以简单、直观的方式显示信息，简化配置。22资质证明国家密码管理局颁发的商用密码产品销售许可证；国家版权局颁发的计算机软件著作权登记证书；公安部颁发的计算机信息系统安全专用产品销售许可证；国家保密局颁发的涉密信息系统产品检测证书；军用信息安全产品认证证书23实施案例生产厂家至少有制造业成功实施经验；（提供和客户签订的销售合同复印件及验收报告复印件，且加盖厂家公章）。注：为必须满足项，否则视为不满足技术要求。3.10关键需求场景3.10.1关键数据防外泄需求l 强制加密对文件进行强制加密处理，从文件创建开始即可自动加密保护。通过对核心数据进行全生命周期保护，确保核心数据只可在公司内安全域内正常、透明使用，通过任意方式将数据非法带离内部环境将无法正常使用。l 透明使用核心数据在加密前后对于数据合法使用者无任何差异，不增加用户负担、不改变任何工作流程及使用习惯。文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。l 灵活拓展可支持对任意文件类型、应用程序进行加密保护。完全开放式策略库配置，当新引进设计软件或变更安全控制策略时，企业可以完全自主进行安全策略配置；当应用程序或设计软件升级换代时，无需升级和二次开发，通过安全策略变更即可无缝兼容支持。l 出口管理 可对正常的业务需求设置数据出口，支持终端的离线使用，可对文档进行解密外发、加密外发，3.10.2关键数据内容保护需求（1）剪切板/拖拽控制合法用户打开加密文件时，系统将对合法程序的剪切板行为进行监控，受控程序之间可以进行内容的复制、粘贴、剪切等操作，但是受控程序的内容不允许粘贴至非受控程序中。（2）另存为控制合法用户打开加密文件后，根据工作需要进行副本及格式另存为；也可能出于泄密目的，将文件保存为任意不规则格式（包括无格式）副本。系统平台可完全识别另存为行为，自动完成数据强制加密存储，确保核心数据存储安全。（3）拷屏/录屏合法用户打开加密文件后，系统将实时监控用户的截屏及录屏行为，当用户发起截屏请求时(比如键盘PrintScreen以及其他截屏工具等)，系统会自动拦截截屏请求，实现屏幕黑屏保护；而当用户未打开任意加密文件时，系统不对用户截屏行为进行任何控制。（4）打印控制系统可对用户的打印行为进行灵活控制，即可实现“开/关式”打印控制，控制用户是否允许或禁止打印加密文件，也可实现打印精细化管理，控制用户对指定文档的阅读、打印权限，如使用次数和时限等。为保障核心数据的打印安全及可追溯，可进行打印水印进行设置，水印包括文字信息和水印图片，例如可以自动强制添加公司名称以及公司LOGO图片等版权标识，并可自动添加打印用户ID、打印时间、打印机器IP等信息。3.10.3 核心数据外发安全需求（1）加密保护采用高强度加密技术对外发数据进行加密保护，防止非法用户暴力破解泄密。（2）身份校验外发文件提供多种安全身份认证机制，包括：密码口令认证、机器绑定认证、UKEY认证等，在身份认证通过后才可正常、安全打开外发文件。（3）权限控制外发文件提供细粒度权限控制保护，包含文档使用权限如只读、打印、修改等控制；阅读次数、阅读时限及过期自动销毁等保护；文档协同权限如修改、还原以及文档内容保护、打印水印等控制。（4）内容安全控制为防止使用者恶意将文件内容扩散，系统对其内容进行高强度安全控制，如内容剪切保护、禁止截屏、禁止另存为及打印控制等。3.10.4数据解密审批需求（1）流程支撑可根据现有工作流程制定符合管理模式的解密流程，可实现单点或多级审批管理要求。（2）安全身份认证各审批节点在进行解密审批时均需进行身份认证，防止仿冒用户进行解密审批操作，满足方便性的同时杜绝申请人可接触到解密后文件的可能。（3）日志审计追溯所有流程执行及审核均可进行日志审计和追溯。3.10.5离线办公管控需求（1）脱机冗余服务器宕机、网络瘫痪情况发生时，为防止因网络瘫痪而无法正常开展加密业务，系统需提供脱机冗余控制功能，在预设的冗余时间范围内系统将自动启用客户端离线缓存策略，正常提供加解密业务支撑。（2）出差办公提供出差申请流程，用户可以根据出差需要提交出差申请并预估出差时长，流程审核通过后安全策略将自动完成离线缓存，用户可在离线状态开正常开展加解密业务。（3）出差延期由于客观原因，实际出差周期与出差申请计划存在出入，为了确保用户出差业务连续，系统提供出差补时支撑，策略管理员可为用户生成出差补时码，通过邮件或短信等方式发送给出差用户，用户完成补时码输入及验证后即可完成离线补时。（4）出差解密在外出办公过程中，由于网络条件的限制，无法通过流程对文件进行审批解密，尤其是特殊领导在外办公中，为了提高工作效率，可通过定制的终端解密工具对文件进行手动解密，解密过程中通过插入Ukey对指定的文件进行解密操作。3.10.6 邮件发送安全需求邮件传递是目前比较常见的文档交互方式，针对所内重要的数据加密后，数据以附件的形式通过邮件发送给其他非加密的用户可正常的使用，系统可提供相应的技术手段实现业务连续：n 邮件白名单：可对指定的邮件白名单文档自动解密，在对指定的用户邮件地址发送邮件时，文档可自动解密，针对部分特殊用户使用；n 文档半透明应用：对非强制加密的终端用户，系统可设置半透明策略，本地文档不加密，但可正常打开加密文档使用，如：公司A用户本地不采用强制加密策略，但设计所B用户发送了一个加密的dwg文件给A用户，A用户在本地终端上可正常打开使用，但A用本地自身生成的dwg不做加密处理。3.10.7 加密区域隔离需求实现不同单位/部门使用不同的加密密钥进行隔离，同时又能够使数据依照策略在不同的加密区域之间进行数据交换。如：A部门使用A密钥加密，B部门使用B密钥加密，A部门和B部门之间相互隔离，不能打开相互的加密文件，Z是A和B部门的主管领导，Z可以打开A部门和B部门发送来的加密文件。可满足父子密钥的树型结构关系，满足分级管理的要求。3.10.8 终端设备管理需求系统可对终端端口与设备进行启用与禁用控制。主要包括：打印控制、调制解调器、串口、并口、1394、红外、蓝牙、无线等的使用控制。支持多种移动存储设备注册方式，对已经注册的移动存储设备提供分组管理与移动存储设备状态管理（正常使用、锁定）。只有经过授权的移动存储设备才能在内网使用，未授权的移动存储设备无法在内网使用。内网专用移动存储设备只能在内网使用，在外网无法使用。防止因非法使用移动存储设备造成数据泄密。控制移动存储设备的只读、读写使用权限，同时可以控制移动存储设备的可使用范围，控制移动存储设备只能在授权的范围内使用。3.10.9 应用安全加固需求针对公司内部应用的各类应用系统，如何在保障业务高效及连续性的同时，防止核心信息资产外泄。l 保障应用系统核心数据访问及存储安全，实现后端明文安全存储