软件授权: 满足2000点终端使用。
系统架构
系统采用B/S和C/S相结合的架构。
实施部署
系统支持集中式和分布式两种部署方式,支持VPN和在广域网的安装部署。
支持服务器集群
本项目需服务器支持集群灾备。
支持服务器备份恢复
能够按策略对服务器进行自动备份,支持手动备份和自动备份,自动备份可设置备份周期(小时、天、月)。
统一管理
支持WEB访问式的统一管理平台,所有功能模块一个客户端支持完成,支持对终端的远程升级、策略管控、终端统计。
多平台支持
服务器系统支持
支持跨平台的服务端部署,支持Windows Server操作系统和Linux操作系统。
数据库支持
支持多种数据库平台:Mysql、MongoDB。
客户端系统支持
▲客户端支持Windows2000以上的全部操作系统(包含32位和64位),以及Android、iOS移动平台,且语言包括中文、英文等。
设备类型支持
客户端支持32位以及64位应用软件。
组织机构及权限管理
用户权限
加密策略针对用户设置,策略跟随用户。
三权分立
▲支持“三权分立”的安全概念,默认具有三种角色的管理员,系统管理员:主要负责组织管理、流程管理、系统维护、系统角色;安全管理员:主要负责安全策略模板、密钥管理、用户组及用户策略;日志管理员:主要负责系统日志管理与审计。
加密域
支持多加密域,支持不同加密区域的单向可信自动解密。
加密功能
★支持透明加解密,应用相同加密策略的用户之间,在内部交流时不需要进行解密便能正常交流。
密级管理
支持企业对文档涉密等级(如:绝密、机密、秘密等)的配置,策略跟着指定人员。能够对不同项目角色,不同人员应用不同的加密策略,同密级用户之间能够互相正常打开加密文档,不同密级用户之间,由高密级用户降低密级后转给低密级用户使用密文。
组织机构管理
支持机构合并、拆分、人员调动等情况的处理。
域同步
与公司的Windows域账号信息同步,实现单点登陆,人员离职、转岗后,系统可重新同步,及时调整或关闭用户权限。
稳定性和可靠性
可靠性
已加密的文档不能被非授权用户打开,不能被暴力破解,被加密的文档不能被损坏。
唯一性
针对不同企业采取不同的密钥和加密验证机制,确保加密文件互不通用。支持企业内部按安全域设置多个加密区域,从而灵活的实现向上、平级加密区域的互通和禁通。不能出现跨企业客户以外的“通用的解密工具”。
稳定
保证加密软件的安装简便、卸载不存在问题(避免卸载不干净,卸载后出现错误,机器速度变慢等)。
部署方式
支持AD域控服务器及其他安全系统的统一推送安装,支持静默安装。
防卸载
在未被安全管理员授权的情况下,无论客户端在线或者离线,客户端程序都不会被用户私自卸载或者非法终止。
性能
加密软件客户端占本机CPU资源不能大于5%。
兼容性和易用性
透明
加密软件安装后,在不改变用户操作习惯的情况下实现数据信息的强制加密管理。
易用性
加密软件在安装、配置、升级、维护等管理方面简单快捷。
兼容性
加密软件与现有各应用软件系统不能冲突,保证企业信息化系统(如协同办公系统、PDM系统、ERP系统、外网邮件系统等)的正常运行。
加密软件应能兼容各类安全软件。
加密软件应能稳定支持现在我公司所使用的各类设计、分析软件。
应用软件管理
支持分类详尽的软件支持列表,支持对新增应用软件的保护,用户可以定义应用软件的进程空间,并可定义进程的加密扩展名信息。
扩展性
加密软件必须能稳定支持现今主要的Windows各版本操作系统,所采用的技术架构应能对未来新出现的Windows操作系统提供最快速的支持。
系统具有良好的扩展性,系统自身的升级换代不影响原有版本的系统架构和公司的数据安全,对于部分功能新增和管理范围的扩展不影响原有系统的架构。
系统加密功能
应用软件管理
系统能对设计、分析类软件(包括不限于Auto CAD,Caita,ProE等)及办公软件(包括不限于Office,Acrobat等)产生的文件进行加密。
历史文件加密
加密软件安装后,支持全盘扫描,可设置对已存在的核心明文文档进行批量加密,特定用户可自主选择手动加密。
强制加密
加密软件安装后,对所有新生成的指定类型文档按策略自动强制透明加密。
工作模式
支持多种加密工作模式,要求有个人模式:该模式下用户创建的文件不加密,原来的密文不解密;加密模式:该模式下用户创建的文件执行动态透明加解密;智能模式:该模式下用户本地明文不加密,根据用户行为与受保护应用软件系统交互进行智能判断,决定是否加密明文。
手动加密
支持对单一文档进行右键手动加密,支持对多个文档、文件夹进行批量手动加密。
不改变源文件
加密不得对原始文件的内容有任何改变,解密后文件能恢复到未加密前的状态。
复制粘贴
对文件之间的数据交换过程(包括剪切、复制和粘贴、对象的链接与嵌入(OLE)、鼠标的拖动、截屏等操作)进行控制,允许加密文件之间进行正常的数据交换,允许将明文文件的数据交换到加密文件中,不允许将加密文件的数据交换到明文文件中。
临时文件保护
对加密受控的软件产生的Windows临时文件,也是加密的。
大文件加解密
支持100G以上超大文件的加密,不会影响文件使用的效率。
系统解密功能
解密
解密只能由具有解密权限的人才能完成解密。
手动解密
支持本地右键手动解密。
邮件外发
支持外发流程结合绑定邮箱解密文件,同时要求申请人无法下载申请解密后的明文,通过审批后直接发给客户。
本地解密
本地解密可选择日志记录的方式有三种:1)不做任何日志审计,2)仅审计文件名,3)审计文件名和文件内容。
流程解密
支持流程审批解密,并且有细粒度的日志(如解密的文件名、文件内容、时间、文件大小、批准者、解密者是谁等)可查。
批量解密
具有批量解密功能。可对多个文件或者文件夹进行批量解密。
历史文件解密
支持远程指定计算机全盘扫描解密,对已加密文档的计算机进行批量解密,要求我司具有全部脱密的自主权。
文档外发控制
审批模式
审批流程支持自动审批和人工审批模式。
工作流
系统支持按照用户情况自定义工作流,流程支持多级并发,支持会签(流程节点中的每位审批人员需都同意)和普通模式(流程某节点多人中,任意一人同意即可)。
委托审批
流程支持审批人权限委托及回收。
外发文件控制
加密软件具有灵活方便的外发文档权限控制功能,可对外发文档的打开机器、打开次数、打开时间、是否允许编辑、是否允许打印等权限进行设置,需防止多份拷贝造成控制失控。
一体化浏览器
▲系统提供一体化外发浏览器,无需安装,直接运行即可打开外发文件
消息提醒
支持审批消息通知,通过弹窗口等方式提醒用户。
多端审批
支持通过移动智能终端(安卓、iOS、WEB)进行流程审批。
客户端离线控制
离线使用
★被加密的文档只能被授权用户在授权环境中应用,对暂时需离开加密环境的计算机,可以设置离线时间使之脱离加密环境也能正常工作,离线时间可以由管理员自行设定。
离线延时
对于设定离线时间的计算机,如脱离加密环境时间超过设定时间,加密软件必须提供方便的离线延长策略的方式继续延长脱机时间。在脱机时间过期后,该计算机不能打开原有加密文档。
时长控制
离线控制支持时间长度和截止日期两种控制。
系统集成
域集成
文档加密系统与AD域集成,通过自动同步AD域的用户信息即可保持用户的及时更新。通过登录AD域就能同时登录到文档加密系统中,完成单点登录。需保证该系统具有与我公司后续统一身份认证系统的集成能力。
系统集成
▲文档加密系统与OA、PDM、ERP等业务应用系统集成,在不使用硬件网关等任何硬件设备的情况下,保证PDM、ERP服务器中数据不加密,加密文件上传到服务器时自动解密,下载的文件自动加密。
应用安全认证
可实现控制不装加密客户端的电脑不能访问OA、PDM、ERP等业务应用系统。
进程准入
实现对指定业务系统,只能有信任的应用程序访问,如:只能IE浏览器访问OA系统。
集成接口
文档加密系统需提供接口,可在我公司协同办公系统中直接登录加密系统,完成加密文件的解密申请、解密审批等动作。
文件服务器集成
与文件服务器集成,可自动对文件服务器中指定文件夹及其子文件夹存储的数据解密。
邮箱白名单
支持邮件外发自动解密,通过邮件源地址和目的地址白名单,实现发件人和收件人发送接收到的附件自动解密。
智能防泄密
智能加密U盘
具备加密U盘支持,授权的加密U盘插上电脑后,可打开加密文件,此计算机可以无需安装加密客户端。
移动端功能
系统兼容
Android、iOS移动端能稳定支持各种品牌手机以及平板电脑,所采用的技术架构应能对未来新出现的Android、iOS操作系统提供最快速的支持。
部署方式
用户安装Android、iOS软件时需要授权,安装完成后客户端显示一个App图标,方便用户使用;
密文阅读
用户可以将电脑本地加密文档拷贝到Android、iOS操作系统的移动终端上,在属于同一公司的情况下,可以即时正常打开加密文档,以明文形式显示,方便外出人员办公。
打开方式
对于打开加密文档,用户可以选择从加密客户端程序入口中打开或者直接从App入口中进行透明打开。
系统日志功能
系统日志
各类和个级别管理员对系统的任何操作,均会有详细记录,且只能由具有日志管理员权限的角色进行查看。
外发日志
★可记录所有流程日志,解密操作日志,可按照外发目的单位、时间、申请人等进行查询统计。
解密日志
可审计终端加解密日志,包含通过右键特权解密、手动加密、批量扫描加解密的行为等;
日志检索
所有日志均具备检索功能,能够对包括日期、用户、IP地址、操作类型、操作结果等内容进行搜索。
日志导出
支持日志导出。
安全可视化
支持安全保护效果可视化,显示终端在线率饼图及版本分布柱状图,通过柱状图显示加密安全策略、外发安全策略在一段时间内的使用规律情况。
数据防泄漏
软硬资产统计
▲支持终端软硬件资产的统计记录;
移动存储管控
能够禁止移动外设运行,包括移动硬盘、U盘、移动光驱、无线网卡等;
授信设备使用
支持授权客户端使用指定移动存储设备,未经授权的移动存储则无法在客户端计算机上使用,包括U盘、移动硬盘、手机的存储等管控;
移动存储设备审计
可审计终端的移动存储设备使用记录,包含插拔记录、复制粘贴记录等;
打印审计
可审计终端的打印行为,包含打印人、打印时间、打印文件名、打印文件内容和打印水印等;
邮件审计
可审计终端邮件发送、接收的日志,以及根据关键字、密级等条件过滤邮件内容进行记录;
文件外传审计
可审计终端通过微信、QQ等即时通讯工具对外发送的文件日志,并根据关键字、密级等条件进行告警和阻断;
文件拷贝审计
可审计终端拷贝到U盘、共享文件服务器等的文件日志,并根据关键字、密级等条件进行告警和阻断;
文件操作审计
可审计终端的进程复制粘贴记录,记录终端的应用程序之间的复制粘贴操作行为;
网址管控
支持禁用指定网站的访问,并可审计终端上网行为记录;
流量管控
可记录终端的所有流量使用日志;
应用程序管控
支持禁用指定应用程序的使用。
文件追溯
屏幕水印
支持屏幕电子水印,水印显示内容支持自定义文字、图片和终端信息,并支持自定义水印显示风格和显示条件。
支持点阵水印,水印显示以点阵图代替明文信息,并支持自定义水印显示风格,不影响用户对正文的阅读。
外发文件电子标签
▲支持对外发审批通过后的明文写入电子标签,标签内容包含:申请人、审批人、解密时间等关键因素。
最新评论