咨询热线:020-85550310  /  ENGLISH

新闻中心

您现所在的位置:首页 > 新闻中心 > 产品观察

产品观察

中软防水坝业务数据保护管理系统
时间:2016-03-02   

导读:针对企业对核心数字资产保护的需求,本系统可以对企业核心资产进行强有力的保护

新闻中心

产品概述

针对企业对核心数字资产保护的需求,本系统可以对企业核心资产进行强有力的保护,而且不会中断业务系统的流程,不会造成过量的数据加密,也不会因为过度的保护而影响用户对个人文档等不涉及机密信息的数据的使用。因此,中软企业核心业务资产防泄密系统是满足企业安全需要,符合用户使用期望的完美产品。

产品组成

业务数据管理.jpg
服务器:包括服务器端软件、支持数据库和授权硬件。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储,并处理文档审批相关的工作流程。建议在专用主机上安装安全文档服务器。支持操作系统为Microsoft Windows 2000、Windows XP、Windows Server 2003系列,推荐Windows 2000 Advanced Server版本。
控制台:控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式,以提高系统的安全性和用户管理的灵活性,保证监测信息的保密性。系统运行平台为Microsoft Windows 2000、Windows XP、Windows Server 2003系列,Windows 7 x86。
客户端:客户端是安装于受控主机上的监测软件。客户端可远程自动升级,并采用了严密措施防止本地用户自行卸载、关闭监控程序。客户端的工作平台目前支持Microsoft Windows系列操作系统,包括32位Windows 2000系列版本、Windows XP系列版本、Windows 2003系列版本、Windows 7以及64位Windows 7。
文档审批平台:文档审批平台包括系统管理平台、审批工作台和用户下载中心,其中,系统管理平台负责对用户、角色、客户信息、文档、审批流程、日志信息等进行管理;审批工作台提供文档的申请、审批、创建授权文档等功能;用户下载中心为有权限的用户提供登陆下载已授权文档的功能。文档审批平台无需部署,可直接通过通用的浏览器与服务器建立连接并使用文档审批相关的功能,支持的操作系统包括32位Windows 2000系列版本、Windows XP系列版本、Windows 2003系列版本、Windows 7以及64位Windows 7,支持的浏览器包括IExplorer7.0、8.0、9.0。

产品功能

在线访问控制:在线访问控制主要用于控制用户对业务系统数据的访问,具体包括以下功能:
加密控制 根据安全规则对涉密数据进行实时加密。安全规则可由用户根据企业需求灵活配置,比如指定特定类型的文档属于涉密范围。当终端用户从业务系统上获取涉密信息时,获取到本地的涉密信息将自动加密,保证终端用户在本地存储的是密文。加密过程在后台自动完成,对用户透明。
解密控制 根据安全规则对涉密数据进行实时解密。当终端用户将本地涉密信息提交到业务系统上时,如果涉密信息是加密的,本系统将自动解密,保证业务系统上存储明文。解密过程在后台自动完成,对用户透明。
保护警戒 终端用户在访问受保护的业务系统时,本系统将以标签和红框的方式提醒用户进入受保护状态。
数据追踪 终端用户在从业务系统上取文档到本地,或者在线阅读文档时,本系统将记录用户操作文档的行为,并将日志上传到本系统的服务器上,以备数据的追踪审计。
存储控制 控制终端用户访问涉密数据,包括如下三种方式:限制其只能在线访问数据,禁止将数据存储到本地;限制其只能将数据保存到安全存储箱;允许存储到本地任意设备。
屏幕水印控制 终端用户在访问业务系统涉密数据的过程中,可显示屏幕水印。屏幕水印的内容、字体、颜色可由企业配置,支持用户、时间、IP地址、MAC地址、计算机名的显示。当用户通过拍照等恶意行为窃取数据时,屏幕水印也会同时被摄取,这样被窃取的数据在传播时可以追踪责任人。
打印控制 终端用户在访问涉密数据时,可分虚拟打印、物理打印对打印行为进行控制,同时,支持打印水印。
防拷贝控制 终端用户在访问涉密数据时,禁止通过块拷贝、拖拽等方式将涉密数据转存到非涉密文档中。
截录屏控制 终端用户在访问涉密数据时,禁止通过截屏键、截屏软件、录屏软件以及带有截录屏功能的软件,将涉密数据转存到非涉密文档中。
本地访问控制:本地访问控制主要用户控制用户对终端PC上数据的访问,具体包括以下功能:
涉密数据保护 终端用户在从业务系统取涉密数据到本地后,需通过授权进程访问涉密数据。在使用涉密数据的过程中,受到以下保护:保护警戒、屏幕水印控制、打印控制、防拷贝控制、截录屏控制等。
非涉密数据控制 终端用户在本地存储的非涉密数据,如个人创建的文档,或者通过网络途径获得的信息,不会被过量的加密。本系统对终端用户的非涉密数据,不产生任何影响。
安全存储箱 终端用户可以将涉密数据存储到安全存储箱中,存储到安全存储箱的文档与外部环境完全分离,只有授权进程才能访问,且安全存储箱中的文档被移动到外部环境中时,将强制加密。
防伪冒控制:根据企业的需求,在业务系统中存放的涉密数据,是不加密的。如果非法用户恶意伪造一个业务系统,然后将数据直接传输到伪冒的业务系统上,此时伪冒的业务系统上就会存储明文的涉密数据,导致泄密。防伪冒控制,就是阻止通过伪造业务系统的方式非法获得涉密数据。
审批管理:加密的文档,如果直接带出到企业外部,操作者不能获取到文档内容。如果用户需要将文档合法带出外部使用,则需要通过解密或审批后才能正常使用文档。
自解密控制通过策略控制允许某些客户端在本地自解密涉密文档,生成非加密文档。解密过程会产生日志记录,以便审计。
审批控制本系统支持通过在线审批的方式将涉密文档提交到审批平台,进行审批和脱密。
备份管理:系统错误或软件故障等外部因素,有可能给文件带来损坏,通过备份功能,可以为用户保留加密文件的完好版本,以避免因一些不可预知的外部错误影响涉密文档的正常使用。
本地备份 根据策略配置,将涉密文档自动或手动备份到本地指定的存储设备上。备份策略支持指定备份文档类型,备份时间等条件。
远程备份 通过策略配置,对终端用户的涉密文档进行智能的备份,备份数据自动存储到指定的文件服务器上。
离线控制:存储在终端用户计算机中的涉密文档,只有授权进程才能访问。而在一些企业中,计算机如笔记本等便携设备,有可能需要脱离企业环境使用,如出差。此时,企业希望涉密文档不要再被访问。离线控制根据终端用户客户端在线/离线状态,决定当前用户是否可使用涉密文档。离线策略包括禁止使用涉密文档,只读访问涉密文档,打印控制,离线策略生效时间控制等;支持离线策略延迟、离线策略动态修改等功能。
白名单控制:默认策略下,涉密文档的内容是禁止通过快拷贝、拖拽、截屏等方式转储到非涉密文档中的。白名单控制,就是满足企业在某些特定场景下允许将涉密文档的内容转储到非涉密文档中。
隔离管理 :隔离管理重点解决企业内部不同安全级别的用户间文档的隔离问题。
隔离策略 隔离管理是对业务系统涉密文档进行隔离,按照隔离方式的不同分为个人隔离和部门隔离。个人隔离策略下,终端用户从业务系统获取的涉密文档只能由本人使用,其他用户无权访问;部门隔离策略下,部门内部的用户所获得的涉密文档,部门的用户间可以互相访问,但其他部门无权访问。
特殊访问控制 在隔离策略下,终端用户所使用的业务系统涉密文档是被隔离的。对于一些特殊用户,如管理者,可能需要具有访问其他用户隔离文档的权限。此时,可为管理者指定特殊访问权限,以便访问被隔离的用户的文档。

产品特性

保持业务系统流程的持续不间断性;
提供数据下载加密服务,有效防止业务系统涉密数据的泄漏;
提供数据上传解密服务,保障业务系统上数据的状态一致性;
非涉密数据不会过量加密,对终端用户无影响;
构建虚拟安全工作域,保障涉密数据全程安全;
提供隔离功能,防止内部不同安全级别的人员间的越权访问;
进程签名服务,保障关键进程的不可篡改性,确保非法窃取关键数据;
基于时间、用户安全策略,进行细粒度的访问控制和日志审计;
内核级驱动,支持任意应用程序加解密服务;支持任意存储设备,包括硬盘、U盘、光盘,软盘、磁带机、网络存储等;
文档透明加解密系统,加密、解密服务都是在内存中进行,不会产生任何临时文档;
资源占用率一般低于3%,支持多CPU;
强大的自我保护机制。可以防止黑客或其他用户(包括超级用户)关闭安全文档系统进程;
强大的审计和跟踪功能;
广泛的平台支持。32位Windows 2000和Windows XP、Windows2003、Windows 7操作系统以及64位Windows 7 操作系统;

中软数据加密防泄漏系列产品