F6-DSM文档安全管理系统介绍V1.3

F6DSM文档平安管理系统介绍文档全生命周期平安防护解决方案目录背景分析1系统介绍2实现功能3企业文档使用现状明文保存企业内部的文件以明文保存，仅限制浏览文件的用户易造成泄密！粗放的权限控制权限管理粗放，易失去对外发文档的控制而造成泄密！拥有时间无期限文档外发后，接收方就永远拥有此资料的所有权，易造成泄密！不可靠身份认证文档无需身份认证，任何人都可以自由使用，造成泄密！使用追踪若出现信息泄密事故，人工追查事故责任人的周期过长，加大企业损失！

平安隐患分析文档生命周期的每一个环节都存在着平安的隐患！文档创建文档存储文档访问文档传输文档使用文档销毁纸质文件文件保险柜申请登记保管外携复印打印文件销毁电子文件PC存储目录打开端口外联编辑/外发/打印文件粉碎①②③④⑤⑥⑦目录背景分析1系统介绍2实现功能3系统设计系统基于内核层的透明加解密技术，帮助企业核心数据资产平安管理解决相关应用系统的数据平安防护要求，实现文档内容保护、权限控制、USB移动存储介质管理、日志管理等功能，解决文档全生命周期的平安使用问题。非法出口合法出口合法离网脱机密文外发明文外发合法离网正常使用单位内部透明使用非法离网无法使用非法人员窃取离职人员拷贝非法外联泄密系统漏洞泄密内容不当行为乱码在涉密文档开始创立时即被动态透明加密保护，内部协同办公可任意使用，脱离保护环境将密文呈现！系统架构身份认证外部接口模块系统根底功能策略配置组织账号管理平安审计移动存储管控审批管理出差控制流转控制内容保护通讯控制日志记录移动存储介质进程分类控制权限控制内核透明加解密接入层管理层控制层数据处理层部署方式核心技术—基于内核层的透明加解密系统采用内核层的透明加解密技术，工作于操作系统底层。透明化操作不改变用户习惯，保证用户感知；强制平安加解密，使用户和应用产生的文件自动被强制加密目录背景分析1系统介绍2实现功能3实现功能实现功能用户管理身份认证文档内容保护文档流转控制外设控制进程控制移动存储管理日志审计3.1用户管理系统支持与现有用户管理系统等直接同步用户信息，也可以支持手动和模板导入两种方式创立组织机构和用户信息。3.2身份认证系统支持静态口令认证、USBKEY、动态口令〔短信/邮件〕等多种认证方式，并且支持与用户已有身份认证进行整合；登陆方式分为：在线、离线、出差登陆三种，离线登陆提供离线时间段限制，和出差登陆一样，日志在本地缓存而不提交到日志效劳器。应用系统1应用系统N…F6文档安全管理设备3.3文档内容保护〔1〕自动加解密基于进程和用户身份对使用的文档进行透明的加解密操作，并且提供对大文件的快速加密密文保护只允许从密文复制内容至密文，非授权用户无法访问加密文档，同时禁止OLE拖拉和DLL注入CBR先备份后再加解密，任务完成删除备份，任务失败恢复数据。水印控制支持屏幕、打印水印，支持自定义截屏录像控制支持对截屏软件的控制，避免因为截屏录相软件导致加密文件泄密。打印控制支持打印权限控制，提供打印审批功能3.4文档流转控制〔1〕密文外发信任邮件，自动解密外发密文附带阅读器可执行加密文件密文外发时对文件的控制内容：时间、读取次数、打印、水印保护、内容保护，截屏控制密文外发提供三种方式：邮件、密文附带阅读器和可执行加密文件，支持对外发的密文进行时间、读取次数、打印、水印保护等相关控制操作。3.4文档流转控制〔2〕明文外发

在文档的全生命周期中，流转控制是非常重要的一个环节，本方案针对明文外发有3种解密方式：手动解密：由具备手动解密权限的用户解密解密申请、审批流程解密

通过邮件白名单发送进行自动解密密文解密当前用户具备手动解密的权限吗？密文被解密成明文文件解密审批流程申请解密环节审批人全部批准了吗？YN等待、延迟密文被解密成明文YN发送带有密文附件的邮件收件人E-mail地址是信任的地址吗？直接发送解密附件后发送YN3.4文档流转控制〔3〕密钥加密方式加密效果（可读/写人员）用户密钥加密用户+部门领导+公司领导+超级管理员工作组密钥加密部门全体成员+公司领导+超级管理员站点级密钥加密公司全体成员内局部发密文档创立文档创立者密内部用户用户A只读用户B只读/打印部门读写/打印内局部发控制主要针对密文进行分级管理，对内部重要文档实现细粒化的权限控制，以确保敏感信息只给有需要的人使用。3.5外设控制采用内核层驱动方式对各种类型的外设进行，包括光驱、软驱、红外线、蓝牙、USB总线连接的存储设备、1394总线连接的存储设备等。针对外部存储设备，提供加密控制，以设备和身份为依据，为用户使用设备执行加密，只读，只写，读写等控制。！3.6进程控制进程控制针对用户使用的软件进行监控管理，设置不同的进程类型，对于不同的部门，可以设置不同的模板，再对其进行模板绑定。明文进程：工作软件，创立的数据自动加密，具备权限的用户读取加密文件自动解密。密文进程：通讯类工具设置为密文进程，可以访问〔发送〕加密文件，但不予解密。禁止进程：转移泄密类程序，如屏幕截图、录相等，禁止其启动。信任进程：辅助类程序，允许其嵌入明文程序完成辅助功能。杀毒软件：平安软件，允许其扫描加密文件内容并注入到涉及平安的关键进程。明文效劳进程：效劳类程序，只读不写的效劳程序。3.7移动存储介质管理〔1〕集中注册分发使用审核赋权自助注册管理员用户管理台移动存储介质的管理方式：集中管理：管理员登陆管理端界面对当前插入的USB介质进行注册、对已注册介质进行修改或删除、对用户提交注册进行审批。自助管理：用户可在客户端自助进行注册、对USB移动存储介质挂失或解除挂失管理。3.7移动存储介质管理〔2〕管理员可对移动存储介质进行透明加解密、私有磁盘格式、分区加密管理，可设置全局、离线和在线介质策略。离线策略指介质与效劳器无法正常连接时，在离线时间段以本地最后缓存的策略进行管控。介质策略中介质的存储方式有：文件不加密文件加密读写控制磁盘加密(私有格式)磁盘分区加密操作记录管理员策略导出已安装客户端主机非授权用户授权用户未安装客户端主机离线状态注册+授权USB介质注册+未授权USB介质注册+授权USB介质注册USB介质F6文档管理设备交换机不可读/写可读/写不可读/写可读/写3.8日志审计系统对文档全生命周期进行跟踪日志，并建立启发式的日志挖掘分析系统，进行日志查询、日志合并、日志分析、预警和警告，以及追踪和问责。同时为平安审计管理员提供条件过滤搜寻，触发条件告警，以邮件，短信息等方式通知平安审计员，做到主动平安管理。文档创建文档存储文档访问文档传输文档使用文档销毁文档