永涵電子企業(yè)安全衛(wèi)士技術(shù)白皮書(正式版)

1、永涵電子企業(yè)安全衛(wèi)士技術(shù)白皮書汕頭市永涵電子科技有限公司版權(quán)聲明本手冊的所有內(nèi)容，其版權(quán)屬于汕頭市永涵電子科技有限公司（以下簡稱永涵電子）所有，未經(jīng)永涵電子許可，任何人不得仿制、拷貝、轉(zhuǎn)譯或任意引用。本手冊沒有任何形式的擔(dān)保、立場傾向或其他暗示。若因本手冊或其所提到的任何信息引起的直接或間接的資料流失、利益損失，永涵電子及其員工恕不承擔(dān)任何責(zé)任。本手冊所提到的產(chǎn)品規(guī)格及資訊僅供參考，有關(guān)內(nèi)容可能會隨時更新，永涵電子恕不承擔(dān)另行通知之義務(wù)。版權(quán)所有 不得翻印 2010-2011永涵電子目 錄 TOC o 1-2 h z u HYPERLINK l _Toc234922628 1產(chǎn)品背景. PAG

2、EREF _Toc234922628 h 1 HYPERLINK l _Toc234922629 1.1企業(yè)信息安全現(xiàn)狀 PAGEREF _Toc234922629 h 1 HYPERLINK l _Toc234922630 1.2產(chǎn)品定位 PAGEREF _Toc234922630 h 3 HYPERLINK l _Toc234922631 1.3系統(tǒng)運行環(huán)境 PAGEREF _Toc234922631 h 3 HYPERLINK l _Toc234922632 2產(chǎn)品概述. PAGEREF _Toc234922632 h 4 HYPERLINK l _Toc234922633 2.1產(chǎn)品簡

3、介 PAGEREF _Toc234922633 h 4 HYPERLINK l _Toc234922634 2.2產(chǎn)品架構(gòu) PAGEREF _Toc234922634 h 4 HYPERLINK l _Toc234922635 2.3產(chǎn)品布署拓?fù)鋱D PAGEREF _Toc234922635 h 6 HYPERLINK l _Toc234922636 3產(chǎn)品主要功能. PAGEREF _Toc234922636 h 7 HYPERLINK l _Toc234922637 3.1實時透明加密技術(shù)應(yīng)用. PAGEREF _Toc234922637 h 7 HYPERLINK l _Toc23492

4、2638 3.2實時透明解密技術(shù)應(yīng)用. PAGEREF _Toc234922638 h 7 HYPERLINK l _Toc234922639 3.3客戶端策略集中管理 PAGEREF _Toc234922639 h 7 HYPERLINK l _Toc234922640 3.4客戶端離線管理 PAGEREF _Toc234922640 h 7 HYPERLINK l _Toc234922641 3.5身份、身份組認(rèn)證技術(shù)的應(yīng)用 PAGEREF _Toc234922641 h 7 HYPERLINK l _Toc234922642 3.6靈活的審批流程. PAGEREF _Toc2349226

5、42 h 8 HYPERLINK l _Toc234922643 3.7掉電文件保護技術(shù)應(yīng)用 PAGEREF _Toc234922643 h 8 HYPERLINK l _Toc234922644 3.8打印機控制 PAGEREF _Toc234922644 h 8 HYPERLINK l _Toc234922645 3.9黑名單技術(shù)的應(yīng)用. PAGEREF _Toc234922645 h 8 HYPERLINK l _Toc234922646 3.10支持網(wǎng)絡(luò)文件系統(tǒng). PAGEREF _Toc234922646 h 9 HYPERLINK l _Toc234922647 3.11強制水印技

6、術(shù)的應(yīng)用. PAGEREF _Toc234922647 h 9 HYPERLINK l _Toc234922648 3.12文件外發(fā)控制. PAGEREF _Toc234922648 h 9 HYPERLINK l _Toc234922649 4技術(shù)特點 PAGEREF _Toc234922649 h 10 HYPERLINK l _Toc234922650 4.1設(shè)計思想. PAGEREF _Toc234922650 h 10 HYPERLINK l _Toc234922651 4.2技術(shù)原理. PAGEREF _Toc234922651 h 10 HYPERLINK l _Toc23492

7、2652 4.3技術(shù)實現(xiàn). PAGEREF _Toc234922652 h 11 HYPERLINK l _Toc234922653 5技術(shù)支持 PAGEREF _Toc234922653 h 12產(chǎn)品背景企業(yè)信息安全現(xiàn)狀 近年來，隨著互聯(lián)網(wǎng)在中國的迅速發(fā)展，政府、經(jīng)濟、社會、文化和人們生活等各方面都越來越依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)經(jīng)濟的興起和發(fā)展，極大地改變了人們的生活、工作和思維方式，促進了經(jīng)濟的發(fā)展。但在這個發(fā)展潮流中，網(wǎng)絡(luò)信息安全隱患越來越突出，信息泄密事件時有發(fā)生。黑客攻擊或商業(yè)間諜入侵、木馬病毒肆虐、內(nèi)部員工有意或無意的泄密行為，以及存儲大量數(shù)據(jù)的硬件被盜或丟失，都可能直接導(dǎo)致泄密情況發(fā)生，

8、并給企業(yè)和單位造成大量的經(jīng)濟與聲譽上的損失。信息安全也成為各網(wǎng)絡(luò)應(yīng)用單位面臨的難點問題，同時隨著各單位與個人對網(wǎng)絡(luò)和電腦依賴程度越來越大，這種安全威脅和影響也不斷擴大，甚至已經(jīng)成為當(dāng)今網(wǎng)絡(luò)應(yīng)用中最敏感的問題之一。 為解決這些問題，許多單位采取拆除光驅(qū)、軟驅(qū)、封閉USB外設(shè)接口、限制上網(wǎng)等方法來盡可能的減少信息交換，以達到信息保密的目的；或者安裝監(jiān)控軟件，監(jiān)控員工的日常工作，使其不敢輕舉妄動；或者安裝各種網(wǎng)絡(luò)信息安全防護產(chǎn)品，如防火墻、入侵檢測、防病毒產(chǎn)品等來防范黑客攻擊和病毒侵襲。但人們很快發(fā)現(xiàn)，網(wǎng)絡(luò)信息安全不是絕對的，沒有任何一個產(chǎn)品或者技術(shù)能夠絕對確保自己的網(wǎng)絡(luò)不被黑客攻擊和病毒入侵。同時

9、，限制上網(wǎng)、封閉USB接口、拆除光驅(qū)軟驅(qū)、安裝監(jiān)控軟件等等做法一方面嚴(yán)重影響工作的高效性，同時容易引起員工的抵觸情緒；另一方面還是無法根本杜絕有意的內(nèi)部泄密行為。大量事實也證明這些方法效果不是很好，重要的文件依舊會泄漏。 美國的執(zhí)法機構(gòu)FBI和CSI曾對數(shù)百家企業(yè)進行了調(diào)查。該調(diào)查結(jié)果認(rèn)為絕大多數(shù)泄密事件是由內(nèi)部人員所為，或者由內(nèi)外勾結(jié)造成的。IDC 的報告也得出了類似的結(jié)論：70%的安全損失是由內(nèi)部造成的。這些都印證了中國的一句古話 “家賊難防”。由于內(nèi)部人員熟悉文件的存放，還可以接觸到密級高、范圍廣的文件，所以一旦發(fā)生內(nèi)部人員故意泄密事件，其危害程度將大大超過外部人員的盜取?？梢姡瑥臄?shù)據(jù)保

10、密角度來講，要內(nèi)外兼防、甚至要防內(nèi)甚于防外。 因此不難看出，目前企業(yè)對于數(shù)據(jù)安全面臨的問題是： 企業(yè)中各種內(nèi)部文件無法受到強制加密保護，員工可以隨意的把公司中的內(nèi)部文件非法拿到公司之外。 一些企業(yè)已經(jīng)通過簡單的加密工具，主動加密企業(yè)內(nèi)部的機密文件，但是對于管理者來說，無法實現(xiàn)對員工的主動管理，實現(xiàn)對內(nèi)部機密文件的被動強制加密保護。 員工在外地辦事處或者分公司通過VPN等方式訪問企業(yè)內(nèi)部的機密文件的同時，無法保證文件的安全。 一些企業(yè)已經(jīng)有自己的內(nèi)部文件服務(wù)器，也有相應(yīng)的文件管理員對文件訪問權(quán)限進行管理，但無法保證文件服務(wù)器上存儲的文件的安全。 企業(yè)中利用WINDOWS或者VSS等文件管理系統(tǒng)來

11、管理文件及文件訪問權(quán)限時，只能夠設(shè)置簡單的文件訪問權(quán)限，無法根據(jù)企業(yè)中員工的實際業(yè)務(wù)需要，提供細(xì)粒度的訪問權(quán)限。 企業(yè)中為了控制員工通過一些硬件存儲設(shè)備，私自拷貝內(nèi)部的機密文件，通常是在員工的機器上貼封條或者徹底禁用設(shè)備端口的方式，來杜絕員工非法把企業(yè)中的內(nèi)部機密文件帶出到企業(yè)以外，無法通過人性化的管理方式，既能夠在正常工作時使用這些設(shè)備，為工作帶來方便，又不允許非法使用這些設(shè)備。 一些對企業(yè)不滿的員工，在離開企業(yè)時，經(jīng)常把使用的機器上的文件都故意銷毀。員工工作中形成的內(nèi)部文件，無法實時進行備份，造成對企業(yè)資產(chǎn)的一定損失。 企業(yè)中日常的辦公，經(jīng)常使用郵件系統(tǒng)、及時通訊工具等與客戶進行業(yè)務(wù)上的溝

12、通，在使用這些工具進行方便工作的同時，無法控制使用這些工具對企業(yè)內(nèi)部機密文件的泄漏。 企業(yè)已經(jīng)有一些文件安全的管理方法，但是對于出差或者外出辦事的員工，無法控制在離開企業(yè)內(nèi)網(wǎng)環(huán)境下，其筆記本上存儲的企業(yè)內(nèi)部機密文件的安全。 對于企業(yè)在文件安全管理過程中，出現(xiàn)的文件安全事件無法追蹤。在企業(yè)中，一旦出現(xiàn)文件泄密事件，沒有追蹤的依據(jù)。產(chǎn)品定位永涵電子企業(yè)安全衛(wèi)士可以廣泛應(yīng)用于需要限制文檔訪問范圍的領(lǐng)域：黨政機關(guān)：涉及國家機密的的文檔（公文、機密文件、會議紀(jì)要、統(tǒng)計數(shù)據(jù)、情報等）金融機構(gòu)：包含大量敏感信息和商業(yè)秘密的文檔（投資信息、大客戶信息、上市公司年報等）；醫(yī)療行業(yè)：帶有不允許泄漏敏感信息的文檔（

13、醫(yī)案、病案、病人信息、圖片等）；咨詢行業(yè)：含有商業(yè)秘密信息的文檔（調(diào)查報告、咨詢報告、商業(yè)計劃、客戶資料等）；制造行業(yè)：需要限制共享對象的企業(yè)文檔（設(shè)計圖紙、財務(wù)預(yù)算、商業(yè)計劃、價格體系、采購成本、合同定單、物流信息、管理制度等）研發(fā)行業(yè)：需要保護知識產(chǎn)權(quán)的文檔（源代碼、設(shè)計文檔、知識庫等）。系統(tǒng)運行環(huán)境硬件環(huán)境推薦配置CPU：P4 2.0以上； 內(nèi)存：512MB以上；硬盤：2G以上； 分辨率：1024*768；軟件環(huán)境服務(wù)端： 支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003的各個版本。 支持?jǐn)?shù)據(jù)庫 SQL Server 2000/2005、MySQL5.

14、0客戶端： 支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003、Vista的各個版本。 郵件代理：支持操作系統(tǒng)Windows 2000、Windows XP、Windows 2003的各個版本。產(chǎn)品概述產(chǎn)品簡介永涵電子企業(yè)安全衛(wèi)士是一套高擴展性、可定制化的解決方案。本系統(tǒng)集身份認(rèn)證、文件自動加解密、打印控制、程序控制、外發(fā)控制等多種技術(shù)于一身，對單位內(nèi)部的圖紙、文件、設(shè)計文稿、數(shù)據(jù)庫或信息等敏感電子文件從創(chuàng)建、分發(fā)乃至銷毀的全過程進行控制和保護，確保這些文件即便被黑客盜取或內(nèi)部員工惡意外泄，獲得者也無法打開，切實保障企業(yè)的信息安全。產(chǎn)品架構(gòu)永涵電子企業(yè)安全衛(wèi)士

15、的組成包括服務(wù)端、客戶端、郵件代理。以下是體系結(jié)構(gòu)圖：服務(wù)端：服務(wù)端對企業(yè)的文檔保護策略進行集中管理，主要功能包括：企業(yè)組織結(jié)構(gòu)樹的維護：用戶組、用戶信息維護；用戶權(quán)限配置：包括基本控制，外設(shè)控制，進程控制，自定義進程，文件接收者權(quán)限配置；客戶端用戶組、用戶策略配置和下發(fā)；系統(tǒng)參數(shù)設(shè)置：包括一次性密碼設(shè)置，客戶端水印參數(shù)設(shè)置，數(shù)據(jù)的備份和恢復(fù)，公司信息導(dǎo)入、導(dǎo)出；設(shè)置用戶離線時段；解密及出差審核流程的配置；對客戶端進行遠(yuǎn)程目錄加解密；客戶端身份驗證和密鑰管理客戶端卸載監(jiān)控日志審計管理及離線人員查詢郵件信任列表必定加密文件類型，全盤加密文件類型客戶端：安裝于受控主機上，執(zhí)行服務(wù)器端的各種安全管理

16、策略，實現(xiàn)對本地機密文件的安全管理，為企業(yè)員工提供易用、穩(wěn)定、安全的安全信息終端。一般用戶不可手動停止與卸載，只能由管理員通過服務(wù)端遠(yuǎn)程卸載，主要功能包括：信息泄露防護，為本機文件提供透明的加解密服務(wù)接收服務(wù)端下發(fā)的工作策略，并按照該策略控制客戶端的工作模式記錄文件操作日志，并上傳至服務(wù)端通過服務(wù)器進行身份認(rèn)證向服務(wù)器申請離線預(yù)設(shè)文件所有者；設(shè)置“我的工作目錄”；調(diào)整文件接收者；手動加解密文件；出差申請，出差文件升級，結(jié)束出差；郵件代理：對于經(jīng)常往來的客戶，可以根據(jù)不同的用戶設(shè)定不同的信任郵件地址，郵件代理會自動的將加密附件解密后投遞給可信的用戶。同時郵件代理會對解密的文件保留一份副本，以備日

17、后檢查，主要功能包括：對文件進行自動解密操作備份郵件附件內(nèi)容產(chǎn)品布署拓?fù)鋱D產(chǎn)品主要功能實時透明加密技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用內(nèi)核動態(tài)加密技術(shù)，當(dāng)用戶保存文件時，文件將被自動強制加密，加密過程不使用臨時文件，不影響用戶使用習(xí)慣。若將加密的文件拷貝至其他沒有安裝永涵電子企業(yè)安全衛(wèi)士的機器上或非本單位機器時，文件將無法正常打開使用。實時透明解密技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士使用實時解密技術(shù)，所有的加解密操作都在內(nèi)存中分塊完成。系統(tǒng)從硬盤中讀取或?qū)懭攵嗌贁?shù)據(jù)，就加/解密多少數(shù)據(jù)，使得用戶在打開文件時感受不到加解密帶來的延遲?？蛻舳瞬呗约泄芾碛篮娮悠髽I(yè)安全衛(wèi)士通過服務(wù)端的集中控制臺可以對全公司、

18、部門、小組甚至每個客戶端進行管理，配置不同的安全策略。同時能實時上收客戶端的操作日志和審計日志到服務(wù)端集中管理，降低了整個系統(tǒng)的運維管理成本?？蛻舳穗x線管理永涵電子企業(yè)安全衛(wèi)士提供了很好的離線控制機制。當(dāng)客戶端與服務(wù)器端由于網(wǎng)絡(luò)故障無法連接或者用戶需要出差而無法實時連接服務(wù)端，客戶端可以根據(jù)預(yù)設(shè)的策略被授權(quán)在一定時間內(nèi)正常使用受控文件，超過限定時間系統(tǒng)將鎖定客戶端，文件將無法打開。身份、身份組認(rèn)證技術(shù)的應(yīng)用永涵電子企業(yè)安全衛(wèi)士是基于身份驗證的基礎(chǔ)上對電子文件進行保護的，系統(tǒng)管理員可以指定（通過加密方式，而不是許可控制方式）一個文件只能由哪些人(身份)/哪些部門(身份組)使用其明文，不具備授權(quán)身

19、份的用戶即使得到了文件也不能得到其明文。 永涵電子企業(yè)安全衛(wèi)士安裝后會為每個單位用戶生成一個唯一的密鑰，各單位也可以再自行設(shè)置一個用戶密鑰，由兩把密鑰來共同完成加密工作。不同的單位之間由于無法得知對方的用戶密鑰，相互間無法解密對方文件，保證了文件的安全性。靈活的審批流程針對企業(yè)各種OA流程控制的需求，永涵電子企業(yè)安全衛(wèi)士提供了豐富的業(yè)務(wù)審批流程。能支持文檔解密和出差的審批流程。可自定義單人審批即可通過，或多人同時審批才能通過，或者任意審批人同意即可通過。同時能支持審批代理人功能，即審批主管離開或出差時，能下發(fā)權(quán)限給某一人員，代理其行使審批的權(quán)限。掉電文件保護技術(shù)應(yīng)用當(dāng)對大文件進行加密處理時，由

20、于所需時間較長，在處理未完成的情況下，系統(tǒng)意外中斷（如停電）。將導(dǎo)致數(shù)據(jù)文件處于一半加密，另一半未加密的狀態(tài)，這將直接導(dǎo)致數(shù)據(jù)文件的損壞。基于以上因素考慮永涵電子企業(yè)安全衛(wèi)士采用世界領(lǐng)先的文件實時快照技術(shù)，在系統(tǒng)發(fā)生異常中斷的情況下能保證加/解密文件的正常使用，徹底杜絕由于意外情況導(dǎo)致的用戶文件損壞。同時，當(dāng)系統(tǒng)恢復(fù)正常后能利用文件快照，從中斷的位置繼續(xù)進行加密。即保證了數(shù)據(jù)的安全，也提高了效率。打印機控制永涵電子企業(yè)安全衛(wèi)士可以對某個組或某臺終端電腦設(shè)置禁止使用打印機策略，同時能通過打印水印來審計打印的內(nèi)容。黑名單技術(shù)的應(yīng)用永涵電子企業(yè)安全衛(wèi)士可以設(shè)定客戶端禁止使用某些應(yīng)用程序（如MSN、Q

21、Q、游戲類軟件、股票類軟件等等），當(dāng)發(fā)現(xiàn)用戶使用了這些被禁止使用的應(yīng)用程序，系統(tǒng)將自動關(guān)閉這些應(yīng)用程序，并彈出消息提示。同時用戶通過任何方式修改進程屬性也無法執(zhí)行禁止的程序。支持網(wǎng)絡(luò)文件系統(tǒng)永涵電子企業(yè)安全衛(wèi)士在訪問文件共享服務(wù)器上的文件時，能自動加解密服務(wù)器上的文件，而不因為文件服務(wù)器沒有安裝客戶端，而導(dǎo)致另存到服務(wù)器上的文件不被加密。強制水印技術(shù)的應(yīng)用加密文檔的內(nèi)容仍然有可能通過截圖、拍照、打印的手段被泄密，通過設(shè)置水印功能，可以把加密文檔使用者姓名的水印設(shè)定在該文檔上。這樣，可以通過它追查到泄密者，從而提醒使用者增強安全防范意識。文件外發(fā)控制文件外方控制手段多樣，包括：客戶端解密后進行外

22、發(fā)、通過郵件代理服務(wù)器進行解密外發(fā)、不解密外發(fā)。客戶端解密后進行外發(fā)需要經(jīng)過流程審核，如逐級地領(lǐng)導(dǎo)審批，這個流程是可以由管理員進行自由配置的。通過郵件代理服務(wù)器進行解密外發(fā)，郵件代理服務(wù)器提供了白名單(信任的郵件地址)功能，當(dāng)通過該郵件代理服務(wù)器發(fā)送加密文件時，如果該郵件中描述的所有的接收者郵件地址都在管理員定義的白名單中，那么郵件代理服務(wù)器將自動將該郵件中的加密文件(以附件形式存放在郵件中)解密。系統(tǒng)會記錄郵件代理服務(wù)器自動解密的整個過程的日志，以備日后審查跟蹤。不解密外發(fā)，需要使用閱讀器軟件來使用外發(fā)過來的文件。外部合作伙伴可以通過這個工具來閱讀合作伙伴所發(fā)的加密文件。技術(shù)特點設(shè)計思想永涵

23、電子企業(yè)安全衛(wèi)士是一個向整個計算機系統(tǒng)提供安全、便捷、廣泛的反商業(yè)泄密解決方案的信息安全產(chǎn)品，在任何時間地點都可以安全地保護企業(yè)文件數(shù)據(jù)不被侵犯，讓機密文件得到最周全的保護。本系統(tǒng)可以無縫地嵌入操作系統(tǒng)，實現(xiàn)便捷、透明的安全保護，為企業(yè)提供一個低成本、高可靠的反商業(yè)泄密解決方案。特定的文件（并非所有的文件）在生成（或保存）之時，就被加密，且加密由計算機自動地進行，不依靠人工執(zhí)行；文件的加密和解密，不依賴人工設(shè)定的密碼或口令；被加密的文件在被涉密計算機使用時，就被解密，且解密由計算機自動地進行，無需人工操作，文件的使用者也無需知道“密碼”；被加密的文件在被非涉密計算機使用時，自動報錯、顯示亂碼或

24、者其他方式以阻止文件內(nèi)容被傳播；文件需要被外部人員（或非涉密計算機）讀取，應(yīng)該由專人來審查并解除其保密狀態(tài)；內(nèi)部人員交流需要授權(quán)，非法越權(quán)訪問獲得的文件無法打開使用。技術(shù)原理永涵電子企業(yè)安全衛(wèi)士需要在每一臺涉密計算機上安裝客戶端程序?？蛻舳顺绦驎姆?wù)器得到密鑰（類似于人工設(shè)定的密碼），而這個密鑰不會也無需被涉密計算機的使用人員所掌握。涉密計算機的使用人員如果試圖保存一個文件，那么客戶端會根據(jù)服務(wù)器判斷此文件的加密屬性，自動將其加密后再保存到存儲介質(zhì)上，做到“強制加密”。為保證使用方便，涉密計算機的使用人員在試圖打開一個加密文件時，客戶端也會根據(jù)服務(wù)器設(shè)定的加密屬性，自動解密。由于沒有安裝永涵

25、電子企業(yè)安全衛(wèi)士的非涉密計算機沒有自動解密機制，自然也就無法打開加密文件了。而如果將文件拷至其他也安裝有永涵電子企業(yè)安全衛(wèi)士的公司，則因為其密鑰不正確，也無法將其打開。如果我們需要將一份密文交給我們的客戶或者供應(yīng)商，那么該文件的外傳則必須通過管理員。管理員在審批通過之后，在服務(wù)端或用解密端進行手動解密，將文件變成明文交給客戶或供應(yīng)商。技術(shù)實現(xiàn)文件識別技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用了智能文件識別技術(shù)，通過在文件加密時往文件內(nèi)容中添加指紋信息來標(biāo)識文件。這樣，可以通過文件內(nèi)容而不是文件擴展名來識別文件類型，即使加密文件改名后，一樣可以被正確識別為加密文件。這種基于文件內(nèi)容的識別技術(shù)可以克服基于文件名識別技術(shù)存在的種種弊端，如：修改了加密文件后綴名，導(dǎo)致這個加密文件因為不能被識別為加密文件，而無法得到透明加解密服務(wù)。在保存文件時強制將文件保存為不同的擴展名，采用擴展名識別文件類型的系統(tǒng)將無法保護該文件。進程識別技術(shù)應(yīng)用永涵電子企業(yè)安全衛(wèi)士采用智能進程特征識別技術(shù)對受控進程進行識別而不僅依賴應(yīng)用程序名，無論如何修改應(yīng)用程序名，都能夠被正確的識別出來。假如僅依賴進程名來確定受控應(yīng)用程序，則當(dāng)用戶手工修改程序名時，如將E