企業(yè)防水墻內(nèi)外網(wǎng)數(shù)據(jù)安全解決方案

1、企業(yè)防水墻內(nèi)外網(wǎng)數(shù)據(jù)安全解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc55918437 1產(chǎn)品功能模塊 PAGEREF _Toc55918437 h 3 HYPERLINK l _Toc55918438 1.1產(chǎn)品功能之多模加密技術(shù) PAGEREF _Toc55918438 h 4 HYPERLINK l _Toc55918439 1.2產(chǎn)品功能之剪貼板控制技術(shù) PAGEREF _Toc55918439 h 5 HYPERLINK l _Toc55918440 1.3產(chǎn)品功能之文件密級技術(shù) PAGEREF _Toc55918440 h 6 HYPERLINK

2、l _Toc55918441 1.4產(chǎn)品功能之文檔權(quán)限技術(shù) PAGEREF _Toc55918441 h 7 HYPERLINK l _Toc55918442 1.5產(chǎn)品功能之離線管理技術(shù) PAGEREF _Toc55918442 h 8 HYPERLINK l _Toc55918443 1.6產(chǎn)品功能之審批管理技術(shù) PAGEREF _Toc55918443 h 9 HYPERLINK l _Toc55918444 1.7產(chǎn)品功能之審批流定制技術(shù) PAGEREF _Toc55918444 h 12 HYPERLINK l _Toc55918445 1.8產(chǎn)品功能之外設(shè)管理技術(shù) PAGEREF

3、_Toc55918445 h 14 HYPERLINK l _Toc55918446 1.9產(chǎn)品功能之安全網(wǎng)關(guān)&TPM防護技術(shù) PAGEREF _Toc55918446 h 15 HYPERLINK l _Toc55918447 1.10產(chǎn)品功能之密文明送技術(shù) PAGEREF _Toc55918447 h 17 HYPERLINK l _Toc55918448 1.11產(chǎn)品功能之打印管理技術(shù) PAGEREF _Toc55918448 h 19 HYPERLINK l _Toc55918449 1.12產(chǎn)品功能之屏幕水印&文檔水印技術(shù) PAGEREF _Toc55918449 h 20 HYPE

4、RLINK l _Toc55918450 1.13產(chǎn)品功能之燒錄管理技術(shù) PAGEREF _Toc55918450 h 21 HYPERLINK l _Toc55918451 1.14產(chǎn)品功能之U盤防水墻技術(shù) PAGEREF _Toc55918451 h 22 HYPERLINK l _Toc55918452 1.15產(chǎn)品功能之上網(wǎng)行為管理技術(shù) PAGEREF _Toc55918452 h 22 HYPERLINK l _Toc55918453 1.16產(chǎn)品功能之自主分發(fā)安裝技術(shù) PAGEREF _Toc55918453 h 24 HYPERLINK l _Toc55918454 1.17產(chǎn)品

5、功能之服務(wù)器容災(zāi)管理技術(shù) PAGEREF _Toc55918454 h 24 HYPERLINK l _Toc55918455 1.18產(chǎn)品功能之文件備份和刪除管理技術(shù) PAGEREF _Toc55918455 h 25 HYPERLINK l _Toc55918456 1.19產(chǎn)品功能之IT資產(chǎn)管理技術(shù) PAGEREF _Toc55918456 h 25 HYPERLINK l _Toc55918457 1.20產(chǎn)品功能之日志管理技術(shù) PAGEREF _Toc55918457 h 261產(chǎn)品功能模塊產(chǎn)品功能多維闡述模塊序號功能模塊通俗解釋專業(yè)解釋效果模擬1多模透明加密模塊實現(xiàn)客戶端加密方式多

6、樣化如全盤加密、目錄加密、程序加密等功能的模塊支持防水墻客戶端采用多種加密模式而不僅僅是加密程序變化的管理模塊控制臺可以按照用戶組、用戶的方式對具體的用戶（組）設(shè)置不同的加密策略，該用戶登陸防水墻加密系統(tǒng)將按照對應(yīng)的策略被約束；2密文明送管理模塊對發(fā)送到用戶客戶的明文文件進行閱讀次數(shù)、閱讀時間等進行控制的模塊對用戶外發(fā)到客戶處的特殊明文進行權(quán)限控制的管理模塊，又稱作外發(fā)控制；用戶客戶對需要密文明送的文件進行審批，在審批同意之后，該文件將發(fā)送出去之后即具有預先設(shè)置的控制屬性；3多級審批管理模塊對用戶申請解密的審核者先后次序可以進行自定義設(shè)置的模塊實現(xiàn)對解密流程按照用戶管理結(jié)構(gòu)、管理需要進行設(shè)置的

7、管理模塊；管理人員按照需要對用戶的審批流程進行設(shè)置，則用戶提交的解密審批文件就會按照設(shè)置的流程自動由對應(yīng)的管理人員審核，審核的時候可以支持串行，也可以支持并行；5可信程序管理模塊實現(xiàn)本地密文上傳到OA等應(yīng)用系統(tǒng)上自動加密、下載自動加密的模塊通過一系列參數(shù)的設(shè)置，實現(xiàn)密文上傳到應(yīng)用系統(tǒng)自動解密、下載自動加密的管理模塊通過控制臺對可信程序管理模塊的設(shè)置，實現(xiàn)密文上傳到應(yīng)用系統(tǒng)自動解密、下載自動加密1.1產(chǎn)品功能之多模加密技術(shù)系統(tǒng)內(nèi)核透明加密功能：可以應(yīng)企業(yè)現(xiàn)有任何軟件產(chǎn)生之文件的加密需求；加密模式為實時進行，并對用戶透明，不需要用戶的任何干預；企業(yè)現(xiàn)有軟件的加密，包括常用office類軟件、可能的

8、設(shè)計類軟件如CAD等、可能的編程類軟件如c+、java等、可能的燒錄類軟件，如PLC類軟件等。加密軟件滿足對綠色軟件的加密，滿足對RAR等壓縮軟件的加密。這些加密均不通過二次開發(fā)即可滿足。加密模式的多樣選擇功能：山麗防水墻系統(tǒng)采用加密3.0技術(shù)多模透明加密技術(shù)，領(lǐng)先于加密1.0環(huán)境加密技術(shù)，加密2.0文件格式加密技術(shù)，技術(shù)處于業(yè)界領(lǐng)導地位。在多模加密模式中，用戶創(chuàng)建密文的方式支持主動和被動兩種方式，至少包含如下模式：特定格式加密模式、特定目錄加密模式、特定格式不加密模式、特定用戶空加密模式（但可以修改和查看別人的密文的高級別模式）、特定用戶不加密模式（可以查看別人但不能修改別人密文的閱讀者模式

9、）、U盤外設(shè)加密模式、網(wǎng)上鄰居網(wǎng)絡(luò)加密模式、手動加密、全盤加密等等；這些加密模式可以賦予不同的用戶或者用戶組。一文一密鑰透明加密功能：采用對稱加密和非對稱加密技術(shù)，實現(xiàn)任何文件的加密密鑰均不一樣，防止被破解，安全性能大大優(yōu)先于單密鑰或者多密鑰產(chǎn)品。文件格式無關(guān)透明加密技術(shù)：山麗網(wǎng)安承諾，因為用戶新使用的應(yīng)用軟件產(chǎn)生的數(shù)據(jù)不能加密的，終生免費開發(fā)，絕不再次收費。通訊加密：該功能可以實現(xiàn)防水墻客戶端和服務(wù)器端間流轉(zhuǎn)的賬號、密碼、策略等內(nèi)容無法被監(jiān)聽到或者監(jiān)聽到的均是加密的；U盤加密：采用U盤客戶端管理模塊，系統(tǒng)認定的管理策略將指向U盤，這樣，在任何一臺電腦上防水墻將自動執(zhí)行，并對用戶的加密數(shù)據(jù)執(zhí)行

10、對應(yīng)的加密和管控策略；7、密文圖標：通過控制臺的設(shè)置，可以讓客戶端的密文顯示、或者不顯示、或者不同級別密文顯示不同的圖標8、文件格式無關(guān)的加密功能的二次開發(fā)保障：在用戶文檔格式發(fā)生變化時候不需要任何二次開發(fā)或者需要的二次開發(fā)才能加密的，乙方承諾終生不收取任何費用（即不受合同時間的約束）；1.2產(chǎn)品功能之剪貼板控制技術(shù)剪貼流程的控制技術(shù)：加密數(shù)據(jù)以明文形式存在于內(nèi)存中顯示給用戶閱讀，存在被用戶采用復制黏貼方式泄密可能，山麗防水墻剪貼板控制技術(shù)可以保證復制黏貼的數(shù)據(jù)無法被保存在非受信區(qū)域，在受信區(qū)域中，被黏貼的數(shù)據(jù)也將以密文形式存在。剪貼流程的控制技術(shù)：管理人員也可以設(shè)置可信的程序，讓剪貼、復制的

11、行為僅僅發(fā)生在信任的程序之內(nèi)，這樣，在防止剪切泄密的前提下，又可以有效的保證了工作人員的效率；剪貼流程的控制技術(shù)：可以對剪貼行為進行控制，以復制粘貼方式將無法復制到QQ、Webmail、BBS中。對于行為的控制可以在源頭上避免一些員工的泄密行為，同時這種禁止操作的行為也會實時的提醒員工哪些行為可以做，哪些行為不可以做，從而在潛意識層面對員工的信息安全意識進行了有效的培養(yǎng)。剪貼流程的控制技術(shù)：使得用戶通過QQ截屏發(fā)送，發(fā)送出去是黑屏、通過QQ遠程，將看到是的是白屏；隨著遠程辦公的日益發(fā)展，越來越多的云服務(wù)、遠程協(xié)助出現(xiàn)在日常生活中，遠程連接的方式將成為一條嚴重的數(shù)據(jù)泄密途徑。1.3產(chǎn)品功能之文件

12、密級技術(shù)文件密級的分類：企業(yè)可以根據(jù)泄露會使企業(yè)的經(jīng)濟利益遭受損害的程度，確定核心商業(yè)秘密、普通商業(yè)秘密兩級或者更多商業(yè)密級級別標準，或者其他類型如國家秘密級別的標準，文檔可以按照管理人員設(shè)置自動強制將密級標注統(tǒng)一為“核心商密”、“普通商密”等密級標志，文檔還可按照使用者設(shè)置，將密級標注為用戶認為合適的密級級別。文件密級的期限：用戶可以自行設(shè)定商業(yè)秘密的保密期限?？梢灶A見時限的以年、月、日計,不可以預見時限的應(yīng)當定為“長期”或者“公布前”。文件密級期限也可以按照管理人員設(shè)置自動強制統(tǒng)一標注為“長期”或者“公布前”。文件密級的標志：企業(yè)商業(yè)秘密的密級和保密期限經(jīng)管理人員或者用戶設(shè)定后,在秘密載體

13、文件上就會出現(xiàn)明顯標志。標志由權(quán)屬（單位規(guī)范簡稱或者標識等）、密級、保密期限三部分組成。文件密級的知悉范圍：企業(yè)可以根據(jù)工作需要嚴格確定商業(yè)秘密知悉范圍。知悉范圍可以限定到具體崗位或者人員,并按照涉密程度實行分類管理。防水墻系統(tǒng)會按照BLP模型的基本安全策略“下讀上寫”進行干預，能杜絕高密級的文件分發(fā)給低密級的用戶，從而禁止“上讀下寫”的發(fā)生。文件密級的變更流程：商業(yè)秘密需變更密級、保密期限、知悉范圍或者在保密期限內(nèi)解密的,可以由用戶提出申請,由主管領(lǐng)導審批,得到審批后系統(tǒng)將其變更，審批結(jié)果會在系統(tǒng)中有詳細的記錄，以備保密辦公室或者保密委員會查驗。對不同密級的文檔，防水墻系統(tǒng)支持審批過程自動執(zhí)

14、行預設(shè)的不同審批流程。文件密級的變更標志：當商業(yè)秘密的密級、保密期限變更后, 原標志將自動更新為新標志。保密期限內(nèi)解密的,保密文件就會自動以解密或者脫密的形態(tài)體現(xiàn)。密級文件的安全生命周期：對商業(yè)秘密載體的制作、收發(fā)、傳遞、使用、保存、銷毀等過程均可實施控制,可確保秘密載體安全。密級文件的存儲設(shè)備、存儲系統(tǒng)防護：商業(yè)秘密數(shù)據(jù)在計算機信息系統(tǒng)、通訊及辦公自動化等信息設(shè)施、設(shè)備的流轉(zhuǎn)時候，均可進行保密控制,保障商業(yè)秘密信息安全。1.4產(chǎn)品功能之文檔權(quán)限技術(shù)權(quán)限顆粒度：只讀、編輯控制、復制控制、打印控制、截屏控制、下載控制、離線控制、時間控制、次數(shù)控制。相鄰關(guān)系：設(shè)置發(fā)布權(quán)限（設(shè)置作者的加密文檔發(fā)布給

15、其他用戶后他們所擁有的權(quán)限。）、上級權(quán)限（設(shè)置作者作為上級對其他用戶的加密文檔的權(quán)限。）、作者權(quán)限（設(shè)置作者對自己的加密文檔的權(quán)限）等功能。用戶為角色進行管理：山麗防水墻的文檔權(quán)限控制，可以基于腳色進行相互之間的關(guān)系設(shè)置，一旦設(shè)置之后，各個腳色新產(chǎn)生、原來的秘文均按照這種相鄰關(guān)系進行約束；這些腳色可以是一個用戶、一個用戶組、一個部門、一個分公司等等。基于腳色控制，完全不需要將這些文檔預先上傳到服務(wù)器上去追加權(quán)限，權(quán)限和文檔處于的位置不需要預設(shè)限制條件。文檔為角色進行管理：在基于腳色之外，山麗防水墻的文檔權(quán)限還可以設(shè)置給特定用戶自行改變文檔權(quán)限的能力，即自行設(shè)置權(quán)限文件夾，設(shè)置該文件夾的訪問權(quán)限

16、，當用戶訪問這些文件夾中文件的時候，將按照用戶新設(shè)置的權(quán)限進行控制。1.5產(chǎn)品功能之離線管理技術(shù)離線登陸管理：當用戶在離網(wǎng)時候需要使用加密系統(tǒng)的時候，可以通過離線登陸來實現(xiàn)。離線登陸支持智能卡和離線證書兩種方式，智能卡表現(xiàn)為電子鑰匙式樣，用戶離開硬件電子鑰匙將無法使用加密系統(tǒng)；使用離線證書方式將采用軟證書方式登陸，同樣，用戶不使用軟證書將無法使用加密系統(tǒng)。處于信息安全策略控制需要，離線證書和智能卡均只能在特定電腦上使用，并且只能在管理人員設(shè)置的時間范圍內(nèi)使用。在使用的時候，具有證書體系和用戶PIN碼雙層保護。離線策略管理：在離線登陸模式下，用戶所有的控制策略均和在線時候一樣，即：在離線登陸成功

17、模式下，對用戶的加密策略控制等各種策略如同在網(wǎng)。離線模式可以實現(xiàn)即滿足對用戶安全管控又可以方便用戶移動辦公。1.6產(chǎn)品功能之審批管理技術(shù)郵件外發(fā)：用戶可以使用山麗防水墻系統(tǒng)的郵件發(fā)送工具對數(shù)據(jù)進行發(fā)送前審核，在得到審核同意之后，用戶即會得到系統(tǒng)氣泡提醒，而后被審核密文就會自動變成明文被發(fā)送至審核同意的郵件地址。此過程中，用戶手中的文件永遠是密文，但審核同意的特定郵件地址將得到明文文件。明文導出：用戶也可以通過防水墻對數(shù)據(jù)進行申請解密的操作，同樣，在得到審核同意之后，用戶即會得到系統(tǒng)氣泡提醒，這個時候，用戶將審核同意的文件下載到本地即自動變成明文，用戶可以根據(jù)需要對該明文進行任何處理。郵件白名單

18、：用戶也可以對一批的郵件地址進行申請，以希望享受到“郵件白名單”的功能，即提出申請后，在得到審核同意之后，用戶即會得到系統(tǒng)氣泡提醒，這個時候，用戶將任何密文發(fā)送到這些郵件地址，數(shù)據(jù)都將自動解密。郵件白名單方式適合給固定用戶發(fā)送明文文件。密文明送：用戶可以使用山麗防水墻系統(tǒng)的密文明送模塊進行文件外發(fā)控制申請，在得到審核同意之后，用戶即會得到系統(tǒng)氣泡提醒，而后用戶即可得到一份系統(tǒng)制作成功的密文明送式外發(fā)控制文件。此過程中，用戶手中的文件永遠是密文，用戶外發(fā)的將是使用次數(shù)、使用時間等屬性得到限制的文件。外設(shè)使用：在外設(shè)禁止使用的情況下，用戶可以對外設(shè)申請使用，在申請得到審核同意后，用戶即可在約束時間

19、內(nèi)，使用外設(shè)進行數(shù)據(jù)的拷進拷出，時間過后，用戶將無法使用此功能，除非重新申請；外設(shè)發(fā)送：在外設(shè)禁止使用的情況下，用戶可以對密文文件進行外設(shè)發(fā)送使用，在申請得到審核同意后，用戶即可在約束時間內(nèi)，和約定次數(shù)內(nèi)，將密文數(shù)據(jù)拷進外設(shè)中，則數(shù)據(jù)將自動變成明文，時間或者次數(shù)過后，用戶將無法使用此功能，除非重新申請；外設(shè)信任：在用戶可以使用外設(shè)的情況下，用戶將數(shù)據(jù)拷貝至外設(shè)中均為密文（外設(shè)加密策略約束），外設(shè)信任功能即為在此種情況下，用戶申請外設(shè)信任，在申請得到審核同意后，用戶即可在約束時間內(nèi)，使用外設(shè)進行數(shù)據(jù)的拷進拷出，此時，拷出的密文數(shù)據(jù)均將變成明文，時間過后，用戶將無法使用此功能，除非重新申請；審批提

20、醒：采取流程解密、手工解密等多種方式靈活組合運用，滿足不同單位的業(yè)務(wù)需求。并且實現(xiàn)審批流選擇、自定義審批流設(shè)置、管理層審批流設(shè)置、審批提醒等功能。尤其是提供了多種方式的審批提醒：審批流程圖示：申請審核者可清晰看到具體流程的節(jié)點，并清楚目前待審核文件流轉(zhuǎn)的進度；以了解之后和審核者進行線下溝通和督促；審批氣泡提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到氣泡提醒，用戶按照氣泡引導即可進行審核，審核后即可進入審批的下一節(jié)點，但審核完成后，原申請者即可得到審核結(jié)果的氣泡提醒，如此種種，可確保第一時間得到審批訊息；審批郵件提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到郵件提醒，用戶登陸系統(tǒng)進

21、行審核，審核后即可進入審批的下一節(jié)點，審核完成后，原申請者即可得到審核結(jié)果的氣泡或者郵件提醒，如此種種，可確保第一時間得到審批訊息；審批短信提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到短信提醒，用戶登陸系統(tǒng)進行審核，審核后即可進入審批的下一節(jié)點，審核完成后，原申請者即可得到審核結(jié)果的氣泡或者短信提醒，如此種種，可確保第一時間得到審批訊息；1.7產(chǎn)品功能之審批流定制技術(shù)1、標準審批：對加密后的密文進行審批解密的標準流程，按照國家檢測部門要求，審批需要通過兩級審批進行：控制臺進行形式審批、安全管理員進行實質(zhì)審批。實現(xiàn)密文解密為明文需要經(jīng)過的審批流程，該流程是系統(tǒng)初始化定義的流程，即標準流程

22、。2、（2）自定義審批：管理人員按照需要對用戶的審批流程進行設(shè)置，則用戶提交的解密審批文件就會按照設(shè)置的流程自動由對應(yīng)的管理人員審核，審核的時候可以支持串行，也可以支持并行。（3）自動審批流程選擇：管理人員可以以關(guān)鍵字、文檔信息正則表達式、文檔類型、文檔密級為準則設(shè)置不同的審批流，當申請人提交對應(yīng)的密文進行審批的時候，系統(tǒng)即會自動或者強制采取對應(yīng)的審批流程提交審批，以大大節(jié)省審批流程中的時間，或者對特殊的文件類型、對應(yīng)的文檔密級執(zhí)行嚴格的審批流程。9、審批提醒：采取流程解密、手工解密等多種方式靈活組合運用，滿足不同單位的業(yè)務(wù)需求。并且實現(xiàn)審批流選擇、自定義審批流設(shè)置、管理層審批流設(shè)置、審批提醒

23、等功能。尤其是提供了多種方式的審批提醒：審批流程圖示：申請審核者可清晰看到具體流程的節(jié)點，并清楚目前待審核文件流轉(zhuǎn)的進度；以了解之后和審核者進行線下溝通和督促；審批氣泡提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到氣泡提醒，用戶按照氣泡引導即可進行審核，審核后即可進入審批的下一節(jié)點，但審核完成后，原申請者即可得到審核結(jié)果的氣泡提醒，如此種種，可確保第一時間得到審批訊息；審批郵件提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到郵件提醒，用戶登陸系統(tǒng)進行審核，審核后即可進入審批的下一節(jié)點，審核完成后，原申請者即可得到審核結(jié)果的氣泡或者郵件提醒，如此種種，可確保第一時間得到審批訊息；審批短

24、信提醒：在申請人提出申請后，按照流程設(shè)置的審核人將收到短信提醒，用戶登陸系統(tǒng)進行審核，審核后即可進入審批的下一節(jié)點，審核完成后，原申請者即可得到審核結(jié)果的氣泡或者短信提醒，如此種種，可確保第一時間得到審批訊息；形式審批：對用戶審批的時候是否查看瀏覽附件作為一個選項即在審批流程中，用戶審批時候可以查看附件進行審批但如果不給該用戶審批時候看文件的權(quán)限的時候，僅僅給形式審批權(quán)限，則該用戶只能進行形式審批并在點擊附件時候提示“僅具有形式審批權(quán)限”。閉環(huán)審批和開環(huán)審批：閉環(huán)審批模式流程是誰申請誰解密解密動作不假借他人之手在現(xiàn)實中對明文導出（僅限于明文導出一項解密流程）還可以提供一種開環(huán)式審批流程即申請解

25、密的人和下載下來解密的人不是一個用戶而是最后審批者的那個角色即其他用戶提請明文導出申請中間經(jīng)過了若干用戶審批進入到最后一個用戶他審批同意，然后就可以將審批完成的文檔下載下來自動解密從而就實現(xiàn)了開環(huán)式的審批考慮到其他審批模式均需要申請者本人在得到申請同意后進行有關(guān)操作因此并不適合開環(huán)式申請。1.8產(chǎn)品功能之外設(shè)管理技術(shù)移動數(shù)據(jù)存儲設(shè)備權(quán)限管理：對移動硬盤、U盤等數(shù)據(jù)存儲設(shè)備可以支持禁止使用、只讀使用、讀寫使用幾種模式；移動數(shù)據(jù)存儲設(shè)備數(shù)據(jù)管理：對移動存儲設(shè)備拷貝進入客戶端電腦的數(shù)據(jù)、拷貝出客戶端電腦的數(shù)據(jù)可以設(shè)置將拷貝的內(nèi)容進行記錄并上傳到審計系統(tǒng)的服務(wù)器上，實現(xiàn)對拷貝數(shù)據(jù)行為和內(nèi)容全面法規(guī)遵從

26、式審計。移動數(shù)據(jù)存儲設(shè)備注冊管理：可以將移動存儲設(shè)備在加密系統(tǒng)中進行“注冊”，注冊后的外設(shè)按照設(shè)置的策略在企業(yè)內(nèi)部內(nèi)部綁定的機器上或者組內(nèi)機器上使用，注冊移動存儲設(shè)備可以在企業(yè)以外地方使用。移動數(shù)據(jù)存儲設(shè)備認證管理：可以將移動存儲設(shè)備在加密系統(tǒng)中進行“認證”，認證后的外設(shè)按照設(shè)置的策略在企業(yè)內(nèi)部內(nèi)部綁定的機器上或者組內(nèi)機器上使用，認證移動存儲設(shè)備不能在企業(yè)以外地方使用。認證后設(shè)備里面數(shù)據(jù)以密文形式存在。其他外設(shè)管理（紅外、藍牙、1394、串口、并口、刻錄等）：對這些外設(shè)進行管控策略設(shè)置。同時實現(xiàn)管理功能，包括了認證、注冊、一般、標準、非標準等。1.9產(chǎn)品功能之安全網(wǎng)關(guān)&TPM防護技術(shù)有一種需求

27、場景：用戶希望上傳到服務(wù)器上的數(shù)據(jù)是明文的，但希望從服務(wù)器上下載下來的數(shù)據(jù)會被自動加密，而且包括了中間產(chǎn)生的臨時文件。山麗防水墻系統(tǒng)在滿足這種需求上有兩種實現(xiàn)方案：策略設(shè)置的TPM防護方案，和硬件安全網(wǎng)關(guān)方案。1、TPM的實現(xiàn)：啟用了山麗防水墻的客戶端可以自由的訪問應(yīng)用系統(tǒng)服務(wù)器，實現(xiàn)在服務(wù)器上打開文件、下載文件均會被加密保護，即使是臨時文件也一樣會被加密防護。未啟用防水墻的客戶端的用戶將無法訪問應(yīng)用系統(tǒng)服務(wù)器。這種嚴密的服務(wù)器安全防護，可以最大限度避免終端與服務(wù)器之間數(shù)據(jù)傳輸?shù)男姑軉栴}。TPM方式的實現(xiàn)，可以完全不需要更改網(wǎng)絡(luò)結(jié)構(gòu)，僅僅通過山麗防水墻控制臺設(shè)置即可實現(xiàn)；2、TPM的實現(xiàn)場景：

28、特別適合對OA服務(wù)器、CRM服務(wù)器、VSS服務(wù)器、CVS服務(wù)器、SVN服務(wù)器、PDM服務(wù)器、PLM服務(wù)器等。由于企業(yè)可能存在著基于不同信息系統(tǒng)和部門的服務(wù)器，為了能在各個場景下都實現(xiàn)最好的安全服務(wù)，山麗的TPM實現(xiàn)了多場景的支持，免去了企業(yè)二次開發(fā)的煩惱。3、安全網(wǎng)關(guān)：通過在應(yīng)用服務(wù)器前面部署安全網(wǎng)關(guān)，采用網(wǎng)絡(luò)過濾技術(shù)，對通過該服務(wù)器的數(shù)據(jù)進行加密、解密等操作，實現(xiàn)對應(yīng)用服務(wù)器數(shù)據(jù)的安全防范。具體功能如下：（1）通過調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，在用戶需要保護的應(yīng)用服務(wù)器前面，部署硬件網(wǎng)關(guān)，實現(xiàn)用戶下載數(shù)據(jù)的時候，數(shù)據(jù)被安全網(wǎng)關(guān)加密，上傳數(shù)據(jù)的時候，數(shù)據(jù)被安全網(wǎng)關(guān)解密；（2）沒有安裝加密系統(tǒng)客戶端的電腦，雖然

29、可以通過網(wǎng)關(guān)瀏覽網(wǎng)頁或者可以瀏覽文件目錄，但數(shù)據(jù)下載到本地是密文，無法進行數(shù)據(jù)的閱讀；（3）安裝加密系統(tǒng)客戶端的電腦，可以通過網(wǎng)關(guān)瀏覽網(wǎng)頁或者可以瀏覽文件目錄，數(shù)據(jù)下載到本地也是密文，但可以進行數(shù)據(jù)的閱讀編輯等操作，在將數(shù)據(jù)上傳到應(yīng)用服務(wù)器的時候，又將通過網(wǎng)關(guān)被解密；（4）通過安全網(wǎng)關(guān)存儲在應(yīng)用服務(wù)器上的文件均是明文；（5）部署一臺安全網(wǎng)關(guān)，可以在網(wǎng)關(guān)網(wǎng)絡(luò)流量允許的情況下，對后臺多臺應(yīng)用服務(wù)器進行安全防護；1.10產(chǎn)品功能之密文明送技術(shù)密文明送（文檔外發(fā)控制）：當用戶需要外發(fā)文件時，用戶可以采用山麗防水墻密文明送技術(shù)實現(xiàn)給文檔設(shè)置口令、打開次數(shù)、累計時間、打印權(quán)限、環(huán)境設(shè)置、復制、截屏等使用限

30、制功能。密文明送（文檔外發(fā)控制）：目前國內(nèi)外唯一一款可以精確限制時間的文件外發(fā)控制軟件，即用戶不管如何修改系統(tǒng)時間、不管將收到的密文明送文件復制為多少版本，一旦到截至時間，則所有的版本均將失效。密文明送（文檔外發(fā)控制）：完全和格式無關(guān)的文件外發(fā)控制軟件，即任何應(yīng)用軟件產(chǎn)生的數(shù)據(jù)、包括可執(zhí)行程序均可被設(shè)置為密文明送文件。和其他只能支持特定格式文件外發(fā)控制的軟件大有區(qū)別。山麗網(wǎng)安再次鄭重承諾：任何應(yīng)用程序產(chǎn)生的數(shù)據(jù)無法制作密文明送文件的，都將終生免費開發(fā)，絕不二次收費。密文明送（文檔外發(fā)控制）：可以同時支持對多個文件、多層目錄設(shè)置為一個總包的密文明送文件，尤其適合提供設(shè)計總裝圖的使用場景，使用時絕

31、不破壞總裝圖內(nèi)部數(shù)據(jù)相互之間的調(diào)用關(guān)系。密文明送（文檔外發(fā)控制）：密文明送文件因為是將“類”明文外發(fā)用戶，雖有控制，但數(shù)據(jù)仍可為使用者閱讀，因此一般制作密文明送文件需得到審核同意。對企業(yè)高管，可自行定制而無須進行審批。6、密文明送（文檔外發(fā)控制）：當采用文件夾密文明送外發(fā)控制模塊時候，就可以對特定文件夾里面的所有文件實現(xiàn)全面的外發(fā)控制，而無需一個一個設(shè)置和制作；1.11產(chǎn)品功能之打印管理技術(shù)作為對所有文檔進行管理的打印控制管理模塊，可以實現(xiàn)對密文的打印管理，也可以實現(xiàn)對明文的打印管理。用戶打印放行：對特殊的用戶，打印管理模塊的執(zhí)行效果如同不存在，既不控制也不審計，更不需要申請打印，用戶打印行為

32、不受任何的限制；用戶打印審計：對另外的用戶，其打印行為受系統(tǒng)的審計管理，其打印的文檔也會被作為審計記錄存在于山麗防水墻系統(tǒng)中。此項功能可以全面的記錄打印痕跡，讓管理層可以輕松地查詢被打印文檔，同時安全管理也可以根據(jù)這些日志和痕跡分析安全隱患，從而預警一些潛在的安全威脅。用戶打印審批：對需要更嚴格監(jiān)管的崗位或者人員，打印任何文檔均需要經(jīng)過審核同意后才能選擇對應(yīng)的打印機進行打印；這種審核式的打印管理可以讓用戶在打印效率完全不受影響的同時，為打印工作提供打印前的安全保障和打印后的日志記錄，為打印安全管理提供條件。山麗防水墻打印審批系統(tǒng)，可以支持用戶在提交不同密級文檔的打印申請的時候，自動啟用預設(shè)的對

33、應(yīng)密級的審批流程。用戶打印水?。嚎梢詾橹付ǖ拇蛴∥臋n提供強制或特定呈現(xiàn)方式的水印安全服務(wù)。水印的強制添加讓打印的文檔標記企業(yè)屬性，從而提高了文檔的安全性和獨有性；打印的時候可以增加打印時候的用戶名（防水墻系統(tǒng)中的用戶信息）、IP地址、MAC地址、打印時間、密級。1.12產(chǎn)品功能之屏幕水印&文檔水印技術(shù)強制水?。和ㄟ^控制臺的設(shè)置，可以強制用戶打印的密文出現(xiàn)特定的水印。這種強制水印的效果，大大提高了企業(yè)文檔機密性，并且減少員工利用打印或者其他輸出形式的漏洞來竊取公司的機密資料。同時，作用于文檔上的強制水印，讓文檔即使落入他人之手，由于水印的存在也無法使用。并且讓企業(yè)在牽涉到泄密問題司法訴訟過程中有

34、了鐵一般的證據(jù)。用戶特定水?。嘿x予特定用戶指定水印為特定文件的權(quán)限；對于某些特權(quán)的用戶，或者特殊的文件，山麗還提供了用戶自決定水印加載服務(wù)。這種定向制定的水印安全服務(wù)，可以讓企業(yè)用戶更好區(qū)分文檔安全等級，從而更好的區(qū)分防護等級，做到安全資源的有效防護。用戶打印水?。嚎梢詾橹付ǖ拇蛴∥臋n提供強制或特定呈現(xiàn)方式的水印安全服務(wù)。水印的強制添加讓打印的文檔標記企業(yè)屬性，從而提高了文檔的安全性和獨有性；打印的時候可以增加打印時候的用戶名（防水墻系統(tǒng)中的用戶信息）、IP地址、MAC地址、打印時間、密級。用戶屏幕水印：屏幕水印，可以出現(xiàn)在屏幕的特定位置，從而防止通過照相造成數(shù)據(jù)泄密；管理員可定義；大小，位置

35、，管理員可定義，透明程度管理員可定義屏幕水印的顯示應(yīng)該不會對進行的工作產(chǎn)生明顯的影響； 1.13產(chǎn)品功能之燒錄管理技術(shù)燒錄管理：對使用燒錄軟件進行燒錄情況管理；自動化設(shè)備中的代碼燒錄行為對于信息安全把控尤為關(guān)鍵，對于燒錄的監(jiān)控可以有效的確保代碼數(shù)據(jù)靈活而有把控和監(jiān)管，并安全地燒錄進某些特定自動化設(shè)備中，在頻繁有數(shù)據(jù)解密燒錄的同時大大提高了數(shù)據(jù)的安全性。離線燒錄：將燒錄軟件管理策略定制在離線電子鑰匙里面即可支持離線情況下的燒錄管理；在一些現(xiàn)場維保代碼燒錄情況中，離線功能的支持可以確保代碼燒錄的有序執(zhí)行，從而擺脫燒錄環(huán)境的束縛，在確保代碼燒錄的效率同時，由于安全設(shè)置和策略仍然存在，燒錄過程中的安全

36、同樣可以得到保障。聯(lián)機燒錄：在聯(lián)機的情況下，不用使用離線電子鑰匙也可以滿足如上的效果。在聯(lián)機場合，山麗防水墻的燒錄管理支持開發(fā)、測試、調(diào)試環(huán)境代碼燒錄的安全管理。在頻繁有數(shù)據(jù)解密燒錄的同時大大提高了數(shù)據(jù)的安全性。燒錄功能二次免費開發(fā)保障：企業(yè)使用的燒錄軟件是不斷變化，但代碼燒錄需求始終不變，山麗網(wǎng)安承諾：在用戶使用的燒錄軟件發(fā)生變化時候不需要任何二次開發(fā)或者需要的二次開發(fā)才能實現(xiàn)燒錄管理的，乙方承諾終生不收取任何費用（即不受合同時間的約束）。1.14產(chǎn)品功能之U盤防水墻技術(shù)使用場景：在實際工作使用中，有的用戶需要臨時將機密數(shù)據(jù)帶回家加班，而家中的電腦又是不確認的，也就是說用戶可能需要將加密數(shù)據(jù)

37、在不同的不確認電腦上使用。使用效果：采用U盤客戶端管理模塊，系統(tǒng)認定的管理策略將指向U盤，這樣，在任何一臺電腦上防水墻將自動執(zhí)行，并對用戶的加密數(shù)據(jù)執(zhí)行對應(yīng)的加密和管控策略。策略管理：山麗防水墻中U盤客戶端可由購買產(chǎn)品的用戶自行制作；并且可以完全和正?？蛻舳艘粯訄?zhí)行完全一樣的控制策略。1.15產(chǎn)品功能之上網(wǎng)行為管理技術(shù)1、上網(wǎng)記錄管理：實現(xiàn)對用戶所有上網(wǎng)行為的審計；這種全面的審計功能，可以大量的記錄用戶的上網(wǎng)行為，從而在企業(yè)內(nèi)部范圍大大提高用戶在上網(wǎng)時的安全監(jiān)控，為企業(yè)作出安全預警和發(fā)現(xiàn)安全隱患提供有力的支持。2、聊天記錄管理：記錄員工的聊天記錄并進行管理；聊天記錄往往是最容易被人忽視的安全隱

38、患，不僅是那些缺乏安全意識的員工，就是對于安全意識很有把控的員工也有可能在聊天中不小心泄露公司機密。所以實時而全面的記錄是聊天安全防護的關(guān)鍵。郵件記錄管理：記錄員工的郵件收發(fā)記錄并進行管理；郵件作為企業(yè)間最常用的交流手段，它的安全防護尤為關(guān)鍵，同時由于現(xiàn)在企業(yè)間的交流越來越頻繁，黑客技術(shù)也越來越狡猾，郵件安全急待全面且有針對性的安全防護。而有效的記錄和管理正是這針對性的最好體現(xiàn)。軟件限制管理：限制特定軟件的安裝與使用；由于企業(yè)存在著大量的IT設(shè)備和系統(tǒng)，對于規(guī)模巨大的大型企業(yè)來說更是如此，所以面臨的軟件也是更為復雜和多樣，所以對于一些業(yè)內(nèi)不安全的軟件進行有效的限制安全和管理，是提高企業(yè)數(shù)據(jù)安全

39、防護的基礎(chǔ)。5、對于上網(wǎng)時間的控制：通過上網(wǎng)行為管理模塊，實現(xiàn)對員工上網(wǎng)時間的控制。由于大型企業(yè)，不同員工的上班時間往往都不盡相同，而在非上班時間開放上網(wǎng)行為會大大提高企業(yè)的泄密風險，所以對于員工上網(wǎng)時間有效控制和區(qū)分能大大提高企業(yè)在上網(wǎng)安全行為管理上面的防護效果。1.16產(chǎn)品功能之自主分發(fā)安裝技術(shù)自主分發(fā)：通過防水墻的功能分發(fā)安裝包到各個客戶端；這種自主分發(fā)的功能可以大大提高防水墻的實施效率，在防水墻客戶端沒有被部署之前，一般預先通過域控或者其他工具實現(xiàn)對防水墻客戶端的部署?？蛻舳松墸豪梅浪畨ψ灾鞣职l(fā)功能對遠程客戶端實現(xiàn)自主或者指定升級；這種遠程服務(wù)功能的實現(xiàn)不僅提高了用戶在安裝防水墻產(chǎn)品時對可能出現(xiàn)的情況作出反應(yīng)的速度，也為軟件遠程調(diào)試提供了有效的輔助支持，為更快速更有效的實現(xiàn)防水墻客戶端用戶遠程服務(wù)提供了條件。1.17產(chǎn)品功能之服務(wù)器容災(zāi)管理技術(shù)實時備份：通過控制臺預先對服務(wù)器數(shù)據(jù)中的類型進行時間實時設(shè)置，系統(tǒng)將會在主機有任何更改后即時