docguarder技術(shù)方案.doc

DocGuarder系統(tǒng)簡介 DocGuarder系統(tǒng)簡介文檔加密系統(tǒng)DocGuarder 系統(tǒng)簡介杭州華途軟件有限公司26目錄1.設(shè)計理念12.系統(tǒng)簡介13.系統(tǒng)特色24.系統(tǒng)組成35.系統(tǒng)功能45.1 文檔加密45.1.1 實(shí)時加密45.1.2 掃描加密45.1.3 管理端加密45.2 防止泄密55.2.1 防系統(tǒng)泄密55.2.2 防打印泄密65.2.3 防郵件泄密75.2.4 防U盤泄密85.3 文件安全95.4 文檔解密95.4.1 系統(tǒng)管理端解密95.4.2 客戶端權(quán)限解密105.4.3 安全郵箱解密115.4.4 審批流程解密115.5 權(quán)限等級設(shè)置135.6 文檔備份165.7 離網(wǎng)策略175.7.1 軟授權(quán)設(shè)置175.7.2 硬授權(quán)設(shè)置185.8 文件外發(fā)195.9 文件配置245.10 特殊功能265.10.1 大文件支持265.10.2 穿透壓縮包加密26DocGuarder系統(tǒng)簡介1. 設(shè)計理念好的軟件讓企業(yè)從中受益，不好的軟件讓企業(yè)失去信心。大多數(shù)加密軟件在設(shè)計時考慮更多的可能是如何去實(shí)現(xiàn)加密，如何防止泄密，但俗語說世上沒有不透風(fēng)的墻，華途從另一角度出發(fā)，幫助企業(yè)在文件管理上實(shí)現(xiàn)集中化，在流動控制上實(shí)現(xiàn)有案可查。對加密文件進(jìn)行有效管理和做到有備無患，才是華途加密軟件設(shè)計的最終目的。華途加密軟件DocGuarder(以下簡稱DocGuarder)采用的是不改變使用者原來的操作習(xí)慣和計算機(jī)操作方式，使文檔于無形中被加密，同時對所有加密文檔進(jìn)行密級重組，使企業(yè)內(nèi)部文檔的流通是始終處于受控狀態(tài)。同時DocGuarder對于文件的打印和U盤的拷貝采用多種控制方式，企業(yè)完全可以根據(jù)自己的需要來實(shí)現(xiàn)文檔外流的方式，實(shí)時的日志記錄能有效的追溯所有解密、打印等敏感操作。針對企業(yè)控制力較弱的環(huán)節(jié)，如設(shè)計人員外出或者招標(biāo)文件的保密，甚至于對外發(fā)文件的控制，DocGuarder均提供一套完整的解決方案。DocGuarder的目標(biāo)是實(shí)現(xiàn)企業(yè)“管理先行，文檔保密，事發(fā)追溯”。2. 系統(tǒng)簡介DocGuarder采用C/S架構(gòu)。所有的客戶端安裝盤均在服務(wù)端按企業(yè)需求進(jìn)行定制。DocGuarder采用等級管理模式，系統(tǒng)管理員可以設(shè)定不同的子管理員（如：超級管理員、文件管理員、等級管理員等），客戶端登錄時，直接使用Windows當(dāng)前登錄的域用戶帳號或者本機(jī)帳號作為DocGuarder加密系統(tǒng)的帳號進(jìn)行校驗(yàn)?？梢葬槍緝?nèi)部域管理模式設(shè)置系統(tǒng)的權(quán)限。也可以根據(jù)公司架構(gòu)設(shè)定多個子管理員進(jìn)行管理。DocGuarder采用128位高強(qiáng)度加密算法實(shí)時加密文件，在企業(yè)特定的環(huán)境內(nèi)，所有的文檔操作一切正常，但是文檔一旦離開企業(yè)，文檔就無法打開，可以幫助企業(yè)有效防止用戶通過電子郵件、移動硬盤、優(yōu)盤、USB接口等途徑泄密企業(yè)圖紙，財務(wù)數(shù)據(jù)，招投標(biāo)文件等重要文檔，力保企業(yè)知識財產(chǎn)的安全。DocGuarder不會改變用戶原來的任何習(xí)慣。軟件對于用戶而言是透明的，是不存在的，但實(shí)際上為企業(yè)修建了一道嚴(yán)密的防御體系，時時刻刻守護(hù)著企業(yè)寶貴的知識財產(chǎn)。3. 系統(tǒng)特色 適用范圍廣DocGuarder支持所有應(yīng)用程序控制，如設(shè)計類的Solid Works、Pro/E、UG、CATIA、AUTOCAD等，辦公類Office系列等，匯編類VC、VB系列等 可靠的安全性DocGuarder采用128位高強(qiáng)度加密算法，企業(yè)可自定義密鑰，所有密鑰都保存在硬件鎖中。客戶端采取先進(jìn)的運(yùn)行保護(hù)措施。 零感覺的客戶端DocGuarder支持無感覺安裝，在不改變用戶任何操作的前提下對企業(yè)重要文件實(shí)行加密，可按照用戶需求區(qū)分加密文檔和非加密文檔圖標(biāo)類型。 便捷的管理方式DocGuarder支持遠(yuǎn)程自動部署，集成域管理模式，統(tǒng)一的網(wǎng)絡(luò)加解密處理，完善的離線授權(quán)策略。 文檔密級管理企業(yè)在DocGuarder中可以根據(jù)文件管理需要定義文檔密級，控制內(nèi)部文件的打開權(quán)限、打印權(quán)限、文件解密權(quán)限以及文件刪除權(quán)限。 廣泛兼容性DocGuarder完全兼容現(xiàn)有硬件系統(tǒng)，如路由器、網(wǎng)關(guān)及防火墻；也完全兼容已知的安全軟件。 速度更快DocGuarder經(jīng)測試對計算機(jī)運(yùn)行速度無影響，在保證加密安全的基礎(chǔ)上大力優(yōu)化系統(tǒng)速度，避免對用戶的正常使用有任何影響。 用戶權(quán)限分級控制企業(yè)在DocGuarder中可以定義用戶或組的權(quán)限級別，定義相應(yīng)的使用權(quán)限，如打印、解密、離線等，實(shí)現(xiàn)不同密級文件之間的受控管理。 全面的日志監(jiān)控DocGuarder提供完備的監(jiān)控管理和日志管理，詳細(xì)的日志查詢功能。確保文件操作可追溯性。4. 系統(tǒng)組成DocGuarder由系統(tǒng)管理工具、運(yùn)行客戶端、加密硬件鎖三部分組成，支持備份服務(wù)器功能，5. 系統(tǒng)功能5.1 文檔加密5.1.1 實(shí)時加密通過系統(tǒng)管理端的“應(yīng)用配置”選項(xiàng)可以選擇需要受控制的程序，其程序產(chǎn)生的任何文件將會自動加密5.1.2 掃描加密通過系統(tǒng)管理端的“初始化掃描”選項(xiàng)實(shí)現(xiàn)在計算機(jī)第一次安裝加密客戶端時對計算機(jī)上的磁盤進(jìn)行掃描加密，加密的文檔類型在空格框內(nèi)添加。如需要掃描加密WORD文件和AUTOCAD文件則添加*.doc；*.dwg注：此功能有兩個版本，一個是對所有文件類型掃描加密；二是對非只讀文件類型掃描加密。5.1.3 管理端加密通過系統(tǒng)的“加解密”模塊可以對服務(wù)器本機(jī)或者網(wǎng)絡(luò)內(nèi)共享的文件進(jìn)行遠(yuǎn)程解密。同時可以過濾文件類型，設(shè)置文件內(nèi)的文檔加解密對象。另外也可以通過服務(wù)器對網(wǎng)絡(luò)內(nèi)的文件進(jìn)行加密等級修改。如下圖：設(shè)置文件過濾類型修改文件等級5.2 防止泄密5.2.1 防系統(tǒng)泄密系統(tǒng)運(yùn)行后針對系統(tǒng)的一些漏洞進(jìn)行封堵，具體如下： 文件復(fù)制把文件從受控制的程序中復(fù)制到不控制的程序中去。 屏幕截屏系統(tǒng)受控后防止個別人員采用鍵盤上的“PRINTSCRN”鍵或是“CTRL+PRINTSCRN”組合鍵，或者是采用一些抓屏軟件將企業(yè)的重要文件通過圖片的方式保存起來傳出去。 OLE對象插入系統(tǒng)受控后防止個別人員使用一些軟件中的OLE對象插入功能將加密的文件通過此功能插入到還沒有加密的文件中保存起來傳出去。 對象拖放系統(tǒng)受控后防止個別人員在打開加密文檔的時候，抓住一些重要內(nèi)容直接拖出程序放到桌面上。5.2.2 防打印泄密為有效控制企業(yè)文件打印節(jié)約企業(yè)耗材成本，防止企業(yè)人員將重要資料通過打印方式以紙質(zhì)方式帶出去。Docguarder系統(tǒng)對系統(tǒng)使用用戶進(jìn)行了打印控制，需要打印的人員允許打印，對不需要打印的人員禁止打印，并且對所有能夠打印的計算機(jī)和人員進(jìn)行實(shí)時監(jiān)控，詳細(xì)記錄了打印的用戶名、計算機(jī)名、打印的文檔名、IP地址及打印時間。點(diǎn)擊此按鈕查看打印內(nèi)容對于打印的內(nèi)容我們也采用抓圖的方法將打印的文檔內(nèi)容通過圖片的格式上傳到服務(wù)器上，所采用的圖片格式為最小的JPG格式5.2.3 防郵件泄密為有效控制企業(yè)解密文件采用郵件的方式發(fā)送出去，Docguarder系統(tǒng)通過對用戶進(jìn)行“允許郵件”設(shè)置實(shí)現(xiàn)是否允許發(fā)送郵件。另外對于企業(yè)認(rèn)為可靠的接收郵箱采用安全郵箱的方式使企業(yè)內(nèi)部發(fā)送過去的郵件附件自動解密。并且對所有未發(fā)送成功或者已經(jīng)發(fā)送成功的郵件進(jìn)行自動抄送備份該郵件副本到指定的服務(wù)器郵箱上保存，確保企業(yè)發(fā)現(xiàn)郵件泄密后可以進(jìn)行歷史追蹤，查看發(fā)送時間和發(fā)送的郵件內(nèi)容及附件。點(diǎn)擊次按鈕彈出對話框5.2.4 防U盤泄密為防止企業(yè)重要文檔資料通過U盤拷貝的方式泄露出去，通過對用戶進(jìn)行“不控制U盤”設(shè)置實(shí)現(xiàn)是否允許U盤操作。華途軟件對U盤的控制方式分為三類：第一類直接禁止運(yùn)行USB功能；第二類對USB端口進(jìn)行監(jiān)控，企業(yè)內(nèi)部所有重要資料一旦通過USB端口進(jìn)行拷貝等操作，系統(tǒng)將視其為泄密，所有文件都將被加密；第三類對所有插入USB端口的外設(shè)進(jìn)行磁盤掃描處理，盤內(nèi)所有文件都將被加密。勾選該權(quán)限后，系統(tǒng)不對U盤的操作作任何處理。5.3 文件安全為防止員工在離職前或其他特定場合惡意刪除企業(yè)文檔，Docguarder系統(tǒng)提供了防止刪除文件功能。只有具有刪除文件權(quán)限的用戶才能刪除客戶端上的本地文件。系統(tǒng)管理端的“用戶管理”模塊中設(shè)置了“允許刪除“按鈕，沒有選擇該功能的用戶，不能對操作系統(tǒng)內(nèi)的任何文件進(jìn)行刪除操作。5.4 文檔解密5.4.1 系統(tǒng)管理端解密通過系統(tǒng)的“加解密”模塊可以對服務(wù)器本機(jī)或者網(wǎng)絡(luò)內(nèi)共享的文件進(jìn)行遠(yuǎn)程解密。同時可以過濾文件類型，設(shè)置文件內(nèi)的文檔加解密對象。另外也可以通過服務(wù)器對網(wǎng)絡(luò)內(nèi)的文件進(jìn)行加密等級修改。設(shè)置文件過濾類型修改文件等級此等級修改具體能修改那些文件等級需要通過對當(dāng)前登陸系統(tǒng)用戶如“sa”的等級調(diào)整權(quán)限來設(shè)置。文件過濾舉例說明：如對文件夾進(jìn)行加解密時只需要對WORD文件和AUTOCAD文件進(jìn)行加解密則在空格框內(nèi)填入*.doc；*.dwg勾上“啟用過濾設(shè)置”即可。5.4.2 客戶端權(quán)限解密計算機(jī)安裝系統(tǒng)客戶端后會在右鍵中出現(xiàn)如下選項(xiàng)：選擇文件處理，彈出如下對話框：輸入具有文件加解密權(quán)限的用戶如“sa”，點(diǎn)擊確定后彈出如下對話框：點(diǎn)擊進(jìn)入設(shè)置口令選擇解密選項(xiàng)點(diǎn)擊確定完成解密。注：為了保護(hù)文檔安全解密人員可設(shè)置解密口令以防止自己帳號密碼泄露后被人利用進(jìn)行文檔解密。5.4.3 安全郵箱解密通過受信任的安全郵箱發(fā)送郵件時，系統(tǒng)自動對郵件所附文件進(jìn)行解密。詳情參閱5.2.3防郵件泄密。5.4.4 審批流程解密提示：首先要確保企業(yè)bigant系統(tǒng)已安裝。計算機(jī)安裝系統(tǒng)客戶端后會在右鍵中出現(xiàn)如下選項(xiàng)：選擇解密審批，彈出如下對話框：選擇解密人員，再點(diǎn)擊確定，彈出如下對話框：輸入解密理由填入解密審批理由，點(diǎn)擊“發(fā)送”：則申請解密者的操作完成，下面講述解密者的操作步驟：申請解密者點(diǎn)擊“發(fā)送”后，在解密者右下會彈出如下對話框：點(diǎn)擊此對話框，彈出如下對話框：此處查看解密理由需要查看一下相關(guān)文件內(nèi)容則點(diǎn)擊“查看文件”，認(rèn)為可以解密則點(diǎn)擊“同意”成解密操作。注：如果系統(tǒng)安裝完成后點(diǎn)擊“解密審批”沒有反應(yīng)則查看右鍵功能中是否具有bigant快發(fā)項(xiàng)目，則需要注冊。注冊方法：regsvr32 +AntSend.dll文件的安裝目錄和BigAnt.exe文件安裝目錄+（-regsererver）。5.5 權(quán)限等級設(shè)置點(diǎn)擊桌面“系統(tǒng)管理工具”圖標(biāo)，啟動加密管理端輸入帳號level_sa 密碼level_sa。登錄后出現(xiàn)如下設(shè)置界面：勾選進(jìn)入修改狀態(tài)方可修改勾選“進(jìn)入修改狀態(tài)”后方可對企業(yè)文件等級進(jìn)行設(shè)置，具體設(shè)置可根據(jù)企業(yè)的實(shí)際需求或根據(jù)企業(yè)的組織結(jié)構(gòu)或根據(jù)企業(yè)的用戶角色進(jìn)行，以下就以企業(yè)的部門結(jié)構(gòu)進(jìn)行設(shè)置說明。 新建點(diǎn)擊“新建”出現(xiàn)如下所示界面：輸入等級名“海之帆”和等級號“1”（每個等級的等級號都為唯一）點(diǎn)擊“確定”完成一個等級新建，其他組織添加也如此。 刪除如需刪除相應(yīng)等級，只要選擇該等級再點(diǎn)擊“刪除”即可 打開權(quán)限打開權(quán)限主要是為了設(shè)置該等級能打開的文件等級，如技術(shù)副總可以打開企業(yè)組織內(nèi)那幾個部門的文件，則選擇相應(yīng)的等級權(quán)限，具體設(shè)置如下圖：勾上的等級為可打開的等級 調(diào)整權(quán)限調(diào)整權(quán)限功能適用于調(diào)整默認(rèn)狀態(tài)下無權(quán)限，但臨時需要某些權(quán)限授予的情況。如某一部門對某些文件原本不可以看但現(xiàn)在卻需要能夠查看，即可由對這些文件擁有相應(yīng)權(quán)限的人員，使用該功能對這些文件的權(quán)限進(jìn)行調(diào)整修改，則該部門對這些文件即能行使被授予的相應(yīng)權(quán)限。 打印權(quán)限為確保企業(yè)內(nèi)部文件打印的部門限制，系統(tǒng)通過對等級策略中的打印權(quán)限進(jìn)行設(shè)置，使得有打印權(quán)限的人只能打印本部門文件，或者是打印系統(tǒng)允許的文件等級。 解密權(quán)限為某一設(shè)定的等級賦予解密權(quán)限。通過該功能，可為每部門的領(lǐng)導(dǎo)均設(shè)定解密權(quán)限，但只能解密本部門或本職責(zé)范圍內(nèi)的文件。 保存等級設(shè)置完成后保存。點(diǎn)擊此按鈕保存設(shè)置5.6 文檔備份為防止企業(yè)文檔丟失，備份企業(yè)內(nèi)的重要文件資料，Docguarder系統(tǒng)通過“實(shí)時監(jiān)控”模塊可以對已經(jīng)安裝了客戶端的計算機(jī)進(jìn)行遠(yuǎn)程備份。具體操作如下選擇備份客戶機(jī)，點(diǎn)擊“文件備份”彈出如下對話框：輸入需要備份文件類型，如圖對AUTOCAD文件進(jìn)行遠(yuǎn)程備份，點(diǎn)擊確定完成文件備份。5.7 離網(wǎng)策略系統(tǒng)對離網(wǎng)策略采用兩種方式：軟授權(quán)和硬件授權(quán)。5.7.1 軟授權(quán)設(shè)置選擇授權(quán)用戶如下“sa”用戶，再設(shè)置離網(wǎng)時間24小時，則該用戶離網(wǎng)累積可以使用的時間為24小時，超過24小時則顯示通訊失敗，無法打開受控程序。為了保護(hù)企業(yè)安全我們對離網(wǎng)用戶可以進(jìn)行2次等級授權(quán)，防止離開網(wǎng)絡(luò)后打開文件太多，把重要資料泄露。具體操作為：點(diǎn)擊上圖中的“離網(wǎng)策略”按鈕，出現(xiàn)如下對話框：設(shè)置打開的文檔等級權(quán)限。5.7.2 硬授權(quán)設(shè)置華途軟件除了一個服務(wù)器狗以外還有一種時鐘狗，它具有時間校對功能，可限制狗在某一時間范圍內(nèi)使用。具體設(shè)置如下：插入硬件時鐘狗，通過服務(wù)器設(shè)置使用時間，則外帶的筆記本在設(shè)置的時間段內(nèi)可以打開允許的文件等級。為防止多狗之間串插，系統(tǒng)可進(jìn)行硬件綁定，如下圖對網(wǎng)卡、硬盤綁定。此外為了防止硬件被盜或是丟失了，我們還可以事先設(shè)置密碼綁定，使別人在打開加密文件的同時需要輸入加密口令。5.8 文件外發(fā)文件外發(fā)功能的具體操作步驟如下：1. 選擇外發(fā)對象外發(fā)選擇對象為企業(yè)內(nèi)部的加密文件，以下以word文件為例說明：選擇單個或者多個word文件點(diǎn)擊鼠標(biāo)右鍵，在右鍵選項(xiàng)卡上選擇“Docguarder文件外發(fā)”；2. 登錄在“步驟2”中選擇了文件外發(fā)后會出現(xiàn)如下圖登錄框：輸入有文件外發(fā)權(quán)限的用戶，點(diǎn)擊“確定”；3. 設(shè)置控制方式完成“步驟3”操作后，出現(xiàn)如下圖對話框：根據(jù)企業(yè)的實(shí)際需要設(shè)置外發(fā)文件的打開次數(shù)或者是打開天數(shù)，以及是否允許該外發(fā)文件進(jìn)行打印操作，點(diǎn)擊“確定”；4. 打包外發(fā)文件完成“步驟4”操作后，出現(xiàn)如下圖編輯框：單個選擇文件，點(diǎn)擊下方的“生成文件”按鈕，出現(xiàn)如下圖對話框：選擇外發(fā)授權(quán)方式，可以使用密碼方式或者是激活方式打開。（說明：1. 采用密碼方式打開，不限制外發(fā)打開的計算機(jī) 2. 采用激活方式打開，限制外發(fā)文件打開的計算機(jī)）選擇相關(guān)授權(quán)方式后，點(diǎn)擊“確定”，出現(xiàn)如下圖對話框：輸入保存的文件名，點(diǎn)擊“保存”完成文件外發(fā)操作，最后得到文件如下圖：5. 外發(fā)文件登錄方式一、采用密碼方式打開如果我們前面選擇口令授權(quán)方式，打開外發(fā)的文件后出現(xiàn)如圖對話框：輸入授權(quán)密碼，點(diǎn)擊“確定”，即可打開該外發(fā)文件。方式二、采用激活方式打開如果我們前面選擇激活授權(quán)方式，打開外發(fā)的文件后出現(xiàn)如圖對話框：輸入授權(quán)激活碼，點(diǎn)擊“確定”，即可打開該外發(fā)文件。注：激活碼獲取方法 確定外發(fā)文件打開的計算機(jī)（注意：一旦對方確定了運(yùn)行計算機(jī)后外發(fā)文件只能在該計算機(jī)上運(yùn)行，如需在其他計算機(jī)上運(yùn)行需要從新獲取激活碼）； 獲取特征碼和請求碼，在確定的計算機(jī)上打開外發(fā)文件后會出現(xiàn)如上圖登錄框，記錄下特征碼和請求碼，將他們發(fā)送到外發(fā)文件的發(fā)出單位獲取登錄的激活碼； 企業(yè)在收到對方發(fā)過來的特征碼和請