XXX銀行數(shù)據(jù)防泄密平臺技術(shù)方案

-PAGE5-XXX銀行數(shù)據(jù)防泄密平臺技術(shù)方案目錄1技術(shù)解決方案 41.1項目背景 41.2企業(yè)泄密風險 41.3XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目背景 51.4XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目網(wǎng)絡(luò)現(xiàn)狀和信息安全需求分析 52山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)解決方案 72.1產(chǎn)品功能對透明加密管理的滿足 82.2產(chǎn)品功能對加密模式本地策略管理的滿足 92.3產(chǎn)品功能對多種加密模式管理的滿足 102.4產(chǎn)品功能對一文一密鑰安全性管理的滿足 122.5產(chǎn)品功能對加密系統(tǒng)剪貼板管理的滿足 132.6產(chǎn)品功能對加密系統(tǒng)多種登錄方式管理的滿足 132.7產(chǎn)品功能對出差筆記本防泄漏（加密客戶端離網(wǎng)使用）管理的滿足 142.8產(chǎn)品功能對文件解密申請管理的滿足 152.9產(chǎn)品功能對密文明送文件外發(fā)控制管理的滿足 182.10產(chǎn)品功能對文件權(quán)限管理的滿足 19基于用戶為腳色的文檔權(quán)限控制 20基于文檔為角色的自定義文檔權(quán)限控制 21文檔權(quán)限控制的精細化管理 222.11產(chǎn)品功能對基于B/S應(yīng)用服務(wù)器和防水墻系統(tǒng)融合方案的滿足 242.12產(chǎn)品功能對PDM、FTP服務(wù)器和防水墻系統(tǒng)融合方案的滿足 24產(chǎn)品功能和應(yīng)用服務(wù)器融合的原理 25產(chǎn)品功能和應(yīng)用服務(wù)器融合的方案 262.13產(chǎn)品功能對文件交互管理的滿足 28分支機構(gòu)和總部的交流 28產(chǎn)品功能對分支機構(gòu)和供應(yīng)商管理的滿足 292.14產(chǎn)品功能對計算機外設(shè)管理的滿足 30終端外設(shè)管理范圍 30外設(shè)管理在線、離線策略 31注冊移動存儲設(shè)備管理策略 31認證移動存儲設(shè)備管理策略 322.15產(chǎn)品功能對服務(wù)器災(zāi)難恢復(fù)功能的滿足 342.16產(chǎn)品功能對審計功能的滿足 35對加密文件的各種操作行為進行審計 35對加密系統(tǒng)各種操作行為的自動預(yù)警式審計 362.17產(chǎn)品功能對系統(tǒng)管理功能的滿足 39防水墻加密系統(tǒng)三員分立管理模式 39防水墻加密系統(tǒng)系統(tǒng)管理員管理模式 402.18產(chǎn)品功能對安全性要求的滿足 422.19產(chǎn)品功能對客戶端自我防護的滿足 432.20產(chǎn)品功能對加密客戶端授權(quán)管理的滿足 432.21產(chǎn)品功能對客戶端自動升級的滿足 433產(chǎn)品部署方法和部署效果 443.1部署方法 443.2部署效果 443.2.1法規(guī)的遵從 443.2.2管理的視角 453.2.3用戶的視角 454技術(shù)優(yōu)勢 455售后服務(wù)體系 465.1系統(tǒng)售后服務(wù)內(nèi)容 465.2售后服務(wù)的關(guān)鍵是處理應(yīng)急服務(wù) 485.3售后服務(wù)流程 506產(chǎn)品培訓 506.1培訓計劃 506.2培訓對象 516.3培訓時間 516.4培訓師資 516.5培訓考核 527項目實施 527.1項目實施流程 527.2實施進度安排 537.3風險管理 551技術(shù)解決方案1.1項目背景2012年1月16日，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布《第29次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，報告顯示，截至2011年12月底，中國網(wǎng)民規(guī)模突破5億，達到5.13億。網(wǎng)民的生活、信息交流、辦公已經(jīng)無法離開互聯(lián)網(wǎng)；基于網(wǎng)絡(luò)的工作、創(chuàng)新、仿真、制造、管理已經(jīng)是當代企業(yè)生存的必要條件。但因為國際、國內(nèi)企業(yè)之間的進一步加劇、各個國家保護產(chǎn)權(quán)創(chuàng)新的力度和范圍大有不同，基于個人或者企業(yè)的信息泄密事件時時在發(fā)生中……其中，超過80%是由內(nèi)部員工故意或無意地泄漏和破壞引起的……對IT資產(chǎn)中電腦硬件的終端管理，和對電腦硬件里面的數(shù)據(jù)管理成為信息泄密安全管理問題亟待解決的兩大問題。信息安全的核心是內(nèi)部信息安全的問題，是對內(nèi)部電腦資源設(shè)備的管控和電腦資源設(shè)備上的數(shù)據(jù)文檔的管控。1.2企業(yè)泄密風險可能的泄密途徑，應(yīng)該來講主要包括：服務(wù)器上泄密、工作站泄密、移動設(shè)備泄密、網(wǎng)絡(luò)泄密、輸出設(shè)備泄密、客戶泄密、合作單位員工轉(zhuǎn)發(fā)泄密等主要的表現(xiàn)形式如下：服務(wù)器泄密：網(wǎng)絡(luò)維護人員在進行維護時使用移動硬盤將服務(wù)器上的資料自備一份。2、維護人員知道服務(wù)器密碼，遠程登陸上，將服務(wù)器上的資料完全的拷到本地或者自己家里的機器上。

工作站泄密：乘同事不在，開啟同事電腦，瀏覽，復(fù)制同事電腦里的資料。內(nèi)部人員將資料通過軟盤、U盤或移動硬盤從電腦中拷出帶走。將筆記本（或者臺式機）帶出管控范圍重裝系統(tǒng)或者安裝另外一套系統(tǒng)從而將資料拷走。將筆記本（或者臺式機）帶出管控范圍利用GHOST程序進行資料盜竊。將筆記本（或者臺式機）的硬盤拆回家盜竊資料，第二天早早來裝上。將辦公用便攜式電腦直接帶回家中。將筆記本（或者臺式機）帶出管控范圍使用光盤啟動的方式，使用磁盤管理工具將資料完全拷走。將筆記本（或者臺式機）的硬盤或整機送修，資料被好事者拷走。電腦易手后，硬盤上的資料沒有處理，導(dǎo)致泄密。筆記本（或者臺式機）遺失或者遭竊，里面的資料被完整的竊取。網(wǎng)絡(luò)泄密：內(nèi)部人員通過互聯(lián)網(wǎng)將資料通過電子郵件發(fā)送出去。內(nèi)部人員通過互聯(lián)網(wǎng)將資料通過網(wǎng)頁bbs發(fā)送出去。隨意將文件設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料。將自己的筆記本帶到公司，連上局域網(wǎng)，使用各種手段如PDM、FTP、telnet竊取資料隨意點擊不認識的程序、上不熟悉的網(wǎng)站導(dǎo)致中了木馬產(chǎn)生的泄密。輸出設(shè)備（移動設(shè)備）泄密：移動存儲設(shè)備共用，導(dǎo)致非相關(guān)人員獲取資料。移動設(shè)備包括：u盤、移動硬盤、藍牙、紅外、并口、串口、1394等將文件打印后帶出?？蛻粜姑埽嚎蛻魧⒐咎峁┑奈募杂没蛘呓o了競爭對手。客戶處管理不善產(chǎn)生的泄密。員工收到文件后將文件發(fā)送給其他人員產(chǎn)生的泄密。1.3XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目背景XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目已經(jīng)采取了積極的手段對重要文檔加以保護，能夠有效地防止外部威脅入侵竊取公司敏感信息，但仍存在一定的文檔泄密風險。1.4XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目網(wǎng)絡(luò)現(xiàn)狀和信息安全需求分析企業(yè)大量機密數(shù)據(jù)均以電子文檔的形式存在，其傳播方式也是多種多樣?；ヂ?lián)網(wǎng)時代的快速發(fā)展推進了企業(yè)信息化進程，同時也將企業(yè)機密數(shù)據(jù)置于巨大的風險之中，保護機密數(shù)據(jù)和敏感信息免遭惡意或意外泄露，是當今企業(yè)所面臨的最大安全問題之一。目前，XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目已經(jīng)在內(nèi)部采用了一些管理措施，就數(shù)據(jù)安全方面，公司的基本情況和需求如下：基于上述對XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目項目需求的分析，結(jié)合山麗信息安全有限公司在數(shù)據(jù)泄露防護領(lǐng)域多年信息安全項目建設(shè)經(jīng)驗，我們建議部署山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)來保護XXX銀行關(guān)于認證部文檔安全管理系統(tǒng)采購項目數(shù)據(jù)的安全性。-PAGE13-2山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)解決方案山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)是一套包含了數(shù)據(jù)透明加密、剪貼板截屏控制、文件外發(fā)控制、USB存儲設(shè)備控制、信息資產(chǎn)查詢、文檔權(quán)限控制、數(shù)據(jù)備份管理的綜合性信息安全管理系統(tǒng)。系統(tǒng)的各個模塊廣泛用于企業(yè)、政府、金融、軍工等單位，為服裝、設(shè)計、制造、集成電路、軟件開發(fā)、船舶、航空等各行業(yè)提供著強大的信息安全防護。山麗防水墻數(shù)據(jù)安全保護系統(tǒng)軟件部署與效果2.1產(chǎn)品功能對透明加密管理的滿足山麗防水墻采用基于操作系統(tǒng)內(nèi)核的處理技術(shù),并不使用Hook技術(shù),滿足對不同軟件的加密需求。目前可以設(shè)置成支持所有格式的加密（全盤加密，包括綠色軟件的加密，隨意壓縮格式文件的加密，所有數(shù)據(jù)庫格式文件的加密），可以設(shè)置為支持特定格式的加密，可以設(shè)置為支持具體目錄的加密等等。一般公司的加密軟件無法支持所有格式的加密，無法支持綠色軟件的加密，甚至都不能支持特定目錄的加密。市場上所見的加密技術(shù)，或者是采用了個鉤子（Hook）技術(shù)、或者采用了驅(qū)動技術(shù)，但這些軟件或者只能達到和文件格式有關(guān)，或者實際上是硬盤加密，市場上許多硬盤如seagate硬盤已經(jīng)自帶硬盤加密，實際上互聯(lián)網(wǎng)上已經(jīng)有了這些加密軟件的破解工具！而且和文件格式有關(guān)的軟件無法適應(yīng)未來的文件格式，更無法解決軟件格式被加殼的情況，而互聯(lián)網(wǎng)上基本有4000余種加殼工具。山麗加密功能不采用Hook技術(shù)體現(xiàn)在即使將防水墻客戶端程序終止了用戶仍會在加密環(huán)境中，而許多加密軟件只要將進程終止后加密效果就失效了，而從原理上，么有不能禁止的進程！山麗防水墻支持穿透壓縮包功能，可以實現(xiàn)對壓縮文件的穿透加密。（所有壓縮格式均可）山麗防水墻支持對所有格式的加密，包括所有壓縮文件的加密，經(jīng)過加密的壓縮文件，壓縮包里面的內(nèi)容也都是密文，即使被解壓縮出來也是密文，除非是在加密環(huán)境里面解壓縮。文件的操作者和平常一樣，對文件進行正常操作。他們不會感覺到WindowsI/O及底層發(fā)生的一切變化。文件經(jīng)過WindowsI/O、透明加密技術(shù)平臺和Windows文件系統(tǒng)的處理，最后存放在磁盤上的文件是經(jīng)過加密的。同時，加密策略（算法、密鑰和加密文件的指定）是內(nèi)置在透明加密技術(shù)平臺中的，由系統(tǒng)管理員集中管理的，文件操作者是無權(quán)獲取或更改的。透明加密效果示意圖2.2產(chǎn)品功能對加密模式本地策略管理的滿足山麗防水墻完全和文件格式無關(guān)，山麗防水墻的透明加解密模塊處于系統(tǒng)內(nèi)核里面，隨系統(tǒng)啟動而啟動，隨系統(tǒng)關(guān)閉而關(guān)閉?？梢詰?yīng)對未來產(chǎn)生的文件格式，更能應(yīng)對被加殼的文件。管理人員可以自由定義用戶（組）的加密模式或策略：全盤加密、目錄加密、特定格式加密、特定格式不加密、自主加密等。用戶在登陸進入加密系統(tǒng)后，本地即執(zhí)行對應(yīng)加密策略。管理人員也可以設(shè)置系統(tǒng)為自動登陸或者開機登陸，滿足用戶不需要輸入密碼的使用體驗。（實際上，有時候為了安全，在實踐中又往往是在企業(yè)內(nèi)部選擇采用自動登陸在企業(yè)外部采用秘密登陸的方式）達到效果：1、內(nèi)部的用戶，管理的需要，可以加載全盤加密方式、目錄加密方式、程序加密方式、空加密方式，滿足對不同角色用戶的管理；2、內(nèi)部資料，不經(jīng)過公司允許，通過各種途徑外發(fā)的均是密文，對大多數(shù)用戶而言，需要審批批準方可解密，對特殊用戶，可以自行解密外發(fā)；2.3產(chǎn)品功能對多種加密模式管理的滿足山麗網(wǎng)安的多種客戶端加密模式，管理人員可以自由的組合，以應(yīng)用與任何組，或者組的成員；區(qū)別于一般公司的產(chǎn)品不同的是，山麗網(wǎng)安的產(chǎn)品的這些模式是同時提供給用戶的，而不是僅僅只能提供其中一種加密模式，不會造成用戶的適用性、擴展性無法滿足的現(xiàn)狀。另外，互聯(lián)網(wǎng)上已經(jīng)有公開的加密軟件解密工具可以得到。這些工具可隨意的對格式加密類軟件進行破解。這也是山麗防水墻提供了多種加密模式的原因。多種加密模式示意圖具體來講，山麗防水墻對數(shù)據(jù)的加密提供動態(tài)加密和靜態(tài)加密兩種。其中，動態(tài)加密有7種方式，可以根據(jù)管理目標-用戶或者用戶組，進行設(shè)置，具體包括：1、加密特定的格式，如用戶所列出的各種軟件，這個是市面上一般企業(yè)可以提供的加密模式；這種模式的優(yōu)點是簡單，但存在著被破解的可能性，目前網(wǎng)上已經(jīng)出現(xiàn)了破解工具；這種方式的另外特點是應(yīng)對未來的發(fā)展性較差；2、某些格式不加密，其他格式均被加密，這個目前僅只有山麗網(wǎng)安提供；這種方式的特點也是簡單，同時安全性相比1有所提高，對未來的擴展性也有很好的適應(yīng)，因為未來的均會被加密；3、目錄加密，這種模式可以做到和文件格式無關(guān)，即文件放到加密目錄下面即自動被加密，這種模式主要的應(yīng)用對象是企業(yè)的高級管理人員，其本人可以自主將資料解密，而不需要申請；目前僅有山麗網(wǎng)安提供有這種模式；4、空加密模式，這種模式顯然是應(yīng)用與企業(yè)或者組織的最高級領(lǐng)導(dǎo)的，即：最高級的領(lǐng)導(dǎo)本身的資料不進行任何的加密，但其本人又可以自由的閱覽任何密文；目前僅有山麗網(wǎng)安提供有這種模式；5、網(wǎng)絡(luò)加密模式，這種模式可以決定以網(wǎng)絡(luò)形式存在于服務(wù)器上的數(shù)據(jù)的加密屬性，可以自由的決定數(shù)據(jù)存在于服務(wù)器是密文還是明文，而不管其本身原來是何狀態(tài)；目前，僅有山麗網(wǎng)安提供有此模式；6、外設(shè)加密模式，這種模式是為了滿足工作內(nèi)部、外部自由交流的方便性而設(shè)，可以自由的決定數(shù)據(jù)存在于外設(shè)是密文還是明文，而不管其本身原來是何狀態(tài)；目前，僅有山麗網(wǎng)安提供有此模式的高級功能—其他軟件只能加密，山麗防水墻可自由設(shè)置是否加密；7、全盤加密模式，這種模式最嚴格，一般應(yīng)用與研發(fā)人員或設(shè)計人員，這些人員的創(chuàng)造成果對企業(yè)的發(fā)展具有舉足輕重的作用，有時侯，為了平衡使用者的心理，有些管理人員也主動采用這種模式進行防護；目前，僅有山麗網(wǎng)安提供有此模式；所有的動態(tài)加密，文件一旦被修改或者新創(chuàng)建（包括復(fù)制等操作），文件就會按照既定的策略被加密。在靜態(tài)加密上，山麗防水墻提供有兩種，用戶右手點擊某文檔決定是否加密（有權(quán)限的也可以直接點擊右鍵解密）8、手動加密，這種模式目前有美國airzip提供，同時山麗網(wǎng)安也提供有這種模式；這種模式的特點就是完全依賴作者本人的行為，比較適用高層管理人員；9、批量加密，控制臺操作，對歷史的文件進行一次性的處理，文件變成密文。這種方式的目的一般是對服務(wù)器上的文件進行加密操作。山麗網(wǎng)安的8種客戶端加密模式，管理人員可以自由的組合，以應(yīng)用與任何組，或者組的成員；區(qū)別于一般公司的產(chǎn)品不同的是，山麗網(wǎng)安的產(chǎn)品的這些模式是同時提供給用戶的，而不是僅僅只能提供其中一種加密模式，不會造成用戶的適用性、擴展性無法滿足的現(xiàn)狀。2.4產(chǎn)品功能對一文一密鑰安全性管理的滿足山麗防水墻采用的是國際先進的對稱加密和非對稱加密相結(jié)合的方式，在管理中，并不進行密鑰許可，這是極為不安全的。因為加密軟件必須采用國家規(guī)定的加密算法，如果密鑰可以拿到。用戶即使拿到密文也是可以被解密的。在山麗防水墻系統(tǒng)中，文檔的加密密鑰是動態(tài)變化的，這一點可以從密文另存為相同幾份密文后，在加密環(huán)境外打開密文內(nèi)容不一樣得到確認。山麗防水墻用戶并不持有文件加密密鑰，而持有PKI證書中自己的私鑰，這個私鑰只是確認自己是一個合法的用戶而已，當用戶合法后，本地的加解密驅(qū)動開始工作，實現(xiàn)對文件的動態(tài)、實時、透明加解密。山麗防水墻的用戶相鄰可以查看彼此文件的關(guān)系就是通過PKI體系來管理的，而不是通過文件加密密鑰實現(xiàn)。因為那樣安全風險是非常大的?！硗膺€需要注意的是：※山麗防水墻系統(tǒng)基于腳色管理的權(quán)限系統(tǒng)，對文件的流轉(zhuǎn)途徑?jīng)]有任何限制，也就是說，一旦腳色相互之間的關(guān)系確認，通過u盤、qq、mail、應(yīng)用系統(tǒng)等等方式流轉(zhuǎn)的文件均接受這樣的管控權(quán)限的約束。在市場上，有的公司的產(chǎn)品加密和權(quán)限是兩套系統(tǒng)，對文檔的權(quán)限控制需要將文檔上傳到特定的服務(wù)器進行設(shè)置才行，這個管理帶來了巨大的挑戰(zhàn)，畢竟，用戶購買產(chǎn)品的目的是使用產(chǎn)品，不是增加自己的管理成本的。如果實施加密產(chǎn)品而不考慮產(chǎn)品的安全性，那信息化管理人員就不是在買安全產(chǎn)品了。因此，加密產(chǎn)品的安全性應(yīng)該成為產(chǎn)品購買和實施的重點考慮對象。目前的加密產(chǎn)品，按照國家管控的要求，加密算法必須是采用國家指定的加密算法（也是公開的），否則產(chǎn)品不能在國內(nèi)進行銷售。這個也是國外的安全產(chǎn)品遲遲不能今進入中國境內(nèi)進行銷售的原因。但國外安全產(chǎn)品的安全性往往又非常高，這個又是什么原因呢？這個是因為，有的數(shù)據(jù)加密產(chǎn)品，在產(chǎn)品交付給用戶的時候，往往供應(yīng)商會講，是給用戶提供一個密鑰，或者說給一個部門一個密鑰。不要相信什么不能破解的神話。沒有不能破解的。當其他人一旦獲得了公司的密鑰或者一個部門的密鑰，加密算法是公開的（也不用費神破解加密算法了），企業(yè)的數(shù)據(jù)還有什么不能破解的。因此，一文一密鑰是安全的基本保證。國外產(chǎn)品的安全性高的原因就是一文一密鑰（一個文件一個密鑰）。這樣，破解者即使得到了一個產(chǎn)品的密鑰，也不會對數(shù)據(jù)安全產(chǎn)生根本性的影響要實現(xiàn)一文一密鑰，必須采用對稱加密和非對稱加密的相結(jié)合的方法。目前pdf的加密、windows的efs的加密是這樣的，國內(nèi)也有山麗防水墻是這樣的。因此，采用對稱加密和非對稱加密，并實現(xiàn)一文一密鑰是產(chǎn)品安全性的保證。2.5產(chǎn)品功能對加密系統(tǒng)剪貼板管理的滿足用戶組用戶剪貼板管理復(fù)制和粘貼功能：防止重要的文件內(nèi)容從受控程序中直接復(fù)制到非受控程序中，如需復(fù)制和粘貼，則可以指定復(fù)制、拷貝到某一應(yīng)用程序中。山麗防水墻的剪貼板管理也有獨立的模塊進行管理。山麗防水墻對剪切板具有精細化的管控：或者全開，或者關(guān)閉，兩種模式；在管理模式情形下，又可以設(shè)置剪貼板可信的程序，從而可以copy內(nèi)容進入；具體的管理細則如下;1、所有的受控程序相關(guān)的內(nèi)容均不得copy進入非受控進程；2、所有的非受控程序的內(nèi)容均可copy進入受控進程具有寫入權(quán)限的文件；3、具有只讀權(quán)限的密文內(nèi)容不得copy進入任何其他文件，只讀權(quán)限之間亦然；4、受控程序之間的內(nèi)容可以自由copy，只讀除外；5、如果放開了剪貼版控制，則以上不再管理，但只讀密文仍在管控范圍；6、如果禁止了剪貼板管理，則遵行以上原則；7、如果設(shè)置了某程序剪貼板可信進程，則內(nèi)容仍可copy進入之；2.6產(chǎn)品功能對加密系統(tǒng)多種登錄方式管理的滿足山麗防水墻系統(tǒng)可以提供多種登陸進入加密系統(tǒng)的方式。包括：1、域結(jié)合登陸：和域控賬號結(jié)合的登陸方式，用戶登陸域即自動進入加密系統(tǒng)；2、自動登陸：山麗防水墻提供有自動進入加密系統(tǒng)的選項，可以在開機即隨之進入加密系統(tǒng)而無需用戶輸入密碼；用戶也可以取消自動登陸的功能；3、標準登陸：對有的用戶，在需要看密文的時候再進行登陸也是一種選擇；2.7產(chǎn)品功能對出差筆記本防泄漏（加密客戶端離網(wǎng)使用）管理的滿足用戶有將電腦帶回家辦公或者到客戶現(xiàn)場辦公的實際需要，對這種需求，山麗防水墻提供了多種解決方案。方案一：采用VPN聯(lián)入內(nèi)網(wǎng)后登入加密系統(tǒng)，適合可以通過互聯(lián)網(wǎng)連接進入公司內(nèi)網(wǎng)的情況；方案二：采用軟件Key證書在沒有任何網(wǎng)絡(luò)情況下進入加密系統(tǒng)；方案三：采用硬件Key證書在沒有任何網(wǎng)絡(luò)情況下進入加密系統(tǒng)；使用硬件key的安全性要大于軟件key；具體來講，對不同的用戶，出差時候管控策略也可以不一致，一個用戶，也可以在不同的場景下采用不同的策略；策略可以包含如下：1、為用戶發(fā)放離線電子鑰匙（硬件Key或者軟件key），用戶在沒有網(wǎng)絡(luò)的情形下使用該電子鑰匙登錄進入加密環(huán)境，對密文進行操作；說明：筆記本丟失后，拾遺者沒有電子鑰匙和登錄口令將無法查看和處理密文；軟件離線證書可在證書過期后重新發(fā)放；硬件離線證書在證書過期前可以將時間延長；2、對使用燒錄軟件進行燒錄的情況，將燒錄軟件管理策略定制在離線電子鑰匙里面即可；這樣，用戶在進行代碼編輯仍然可以進行，但需要將代碼燒錄到設(shè)備里面的時候則燒錄時即會自動解密燒錄進入PLC等設(shè)備，不需要現(xiàn)場進行任何解密操作；但這些代碼文件單純的使用U盤（移動存儲設(shè)備）拷貝出去的時候還可以是密文；3、為部分用戶提供3G上網(wǎng)卡，這些用戶可以通過VPN方式登錄進入防水墻服務(wù)器系統(tǒng)，像在公司局域網(wǎng)一樣接受管控；在登錄一次防水墻之后，只要用戶不重啟機器，安全策略就一直有效；對出差員工的管理，因為不能做到實時有效的反饋需求，因此，離線管理是一種優(yōu)選方案；同時，通過VPN提供遠程登陸也是一種可以參考的方案；其次，通過對燒錄軟件的管理，也實現(xiàn)了安全和方便的要求；部署結(jié)構(gòu)：2.8產(chǎn)品功能對文件解密申請管理的滿足密文發(fā)送給用戶需要解密處理，密文解密需要通過審批流程互動；文件的加密是處于防范泄密的需要，但企業(yè)也有數(shù)據(jù)解密的需要。審批流程圖山麗防水墻提供了多種文件解密的方式，其中一種是使用電子鑰匙由管理人員對文件進行解密,，以用于特殊目的，比如大批量文件的解密等等。如圖發(fā)放解密工具發(fā)放解密工具必須要對應(yīng)工作站用戶的電子鑰匙，可以按用戶發(fā)放也可以按工作站發(fā)放；區(qū)別在于給用戶發(fā)放的可以在多臺工作站上使用，給工作站發(fā)放的只能在一臺工作站上使用。很多數(shù)據(jù)加密軟件廠商在綜合型企業(yè)設(shè)置審批文件者往往都固定在一個人或者一個部門，隨著企業(yè)不斷發(fā)展壯大，公司內(nèi)部業(yè)務(wù)越來越多，文件審批外用的申請也會隨之增加，隨時會有泄密的風險。在管理方面，綜合型企業(yè)具有跨地域、跨行業(yè)等特點，面臨的管理問題更多，更為復(fù)雜由于管理跨度大、層次多，綜合型企業(yè)對下屬公司的控制乏力。由于信息不能及時、準確地收集和傳遞，導(dǎo)致集團決策滯后、市場反饋遲緩。綜合型企業(yè)的內(nèi)網(wǎng)是一個信息點較為密集的高速網(wǎng)絡(luò)系統(tǒng)，且網(wǎng)絡(luò)中運行重要業(yè)務(wù)系統(tǒng)，如ERP、OA、財務(wù)等業(yè)務(wù)，有多個分支機構(gòu)與主體相連。在如此龐大的樹形結(jié)構(gòu)中，審批管理的快速與方便顯得尤為重要！山麗網(wǎng)安在自身的審批管理模塊中添加了審批流的技術(shù)創(chuàng)新概念。將公司業(yè)務(wù)流程如同生產(chǎn)流水線般針對工作需求進行審批管理，這在信息安全行業(yè)可謂是首創(chuàng)！山麗網(wǎng)安在自身產(chǎn)品設(shè)計上已經(jīng)實現(xiàn)了串行審批、自動審批、委托審批。山麗網(wǎng)安開創(chuàng)的多級審批流程在原有基礎(chǔ)上開創(chuàng)了4個全新的功能：平行審批：可同時設(shè)置兩條或者以上平級審批人此功能可以同時設(shè)置兩個或者以上平級一審批人，當其中一條線的審批人不在公司時，另外一條線可以審批文件，這樣就可以將文件傳遞下去，進行接下來的第二、第三人審批。同樣的，我們也可以同時設(shè)置第二、第三審批人也為兩人。單線審批：當某一層的審批人不在時，可設(shè)置此功能兩條不同的審批線，但最后的審批結(jié)果是一樣的，是一個審批通道。單線效果：當其中一條線中的某個審批人不在時，第二條線的審批人就可以進行審批。例如，誰先看到有審批的文件就可以審批。當其中一條線審批不通過審批時，另外一條審批線還是可以根據(jù)自己的決定批準或者拒絕，即第二線審批人審批通過，那么文件就能進行使用，無需兩條線同時進行審批。全線審批：根據(jù)文件的機密性來進行設(shè)置全線也分為兩條線進行審批，全線的重點在于審批的文件一定要全部審批人都通過審批才能使用。反之，如果其中一個人沒有審批通過，那么就無法使用這個文件。這就是全線審批與單線審批的區(qū)別。單線是其中一條不通過審批，另外一條線可以通過審批。全線更能反映出企業(yè)機密文件的重要性。全線審批，可以設(shè)置所有的審批人為并行，這個時候就是無順序的會審效果，誰先拿到誰審批，全部審批才算通過。提審：根據(jù)需審批的文件的緊急程度來設(shè)置高級權(quán)限的擁有者是整個公司的高機領(lǐng)導(dǎo)人員。當文件已經(jīng)審批的情況下，此時最高領(lǐng)導(dǎo)人員看到了這個文件的緊急程度，可以把文件提前出來，進行審批通過。在高級領(lǐng)導(dǎo)人員審批通過的同時，無論是單線審批還是全線審批的審批成員都會收到消息，告知其他審批成員此文件已經(jīng)審批通過，無需再次審批。審批模式示意圖山麗網(wǎng)安作為獨領(lǐng)信息安全行業(yè)的翹楚企業(yè)，在山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)的多模審批管理模塊中不斷創(chuàng)新，為廣大企業(yè)用戶開創(chuàng)新的管理理念！2.9產(chǎn)品功能對密文明送文件外發(fā)控制管理的滿足為了應(yīng)對許多客戶機器沒有安裝客戶端的時候也想看到受限制的“密文”。

“山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)”可對外發(fā)到企業(yè)外部的機密文件進行控制，包括設(shè)置外發(fā)文件的生命周期，只讀、打印等所有使用期限?！吧禁惥W(wǎng)安”則將內(nèi)部保護和外發(fā)保護無縫結(jié)合，一套系統(tǒng)即可解決兩類問題，合力構(gòu)建了一個全方位的文件權(quán)限體系。也就是說：密文明送管理（俗稱外發(fā)控制），可以實現(xiàn)：給客戶一種特殊的明文，客戶只能看，但看到時間、次數(shù)、打印、截屏、復(fù)制均被設(shè)置了管理限制；必要的時候，還會被限制在特定的電腦上才能打開；文件也可以設(shè)置用戶無法破解的密碼。2.10產(chǎn)品功能對文件權(quán)限管理的滿足山麗防水墻產(chǎn)品可以實現(xiàn)密文的權(quán)限管理，滿足平級關(guān)系、上下級關(guān)系文檔權(quán)限管理；產(chǎn)品可以實現(xiàn)對企業(yè)標準化文件的精細化管理，可以實現(xiàn)特定的標準化文件只能在特定的服務(wù)器上只讀，不能修改，不能下載到本地可以讀?。粚镜墓芾矸椒?，就是把一個個公司當作一個組來進行管理即可，組內(nèi)的用戶就是公司的員工。文檔權(quán)限管理示意圖按層級進行密級授權(quán)管理，不同密級的管理者擁有不同的管理權(quán)限，上級擁有查看下級文檔的權(quán)限，下級無權(quán)查看上級文檔，如需查看需經(jīng)上級進行授權(quán)；可針對部門或不同使用人群設(shè)置不同密級，未經(jīng)授權(quán)相互之間無法訪問。山麗防水墻的文檔權(quán)限控制可以用戶腳色之間的關(guān)系進行設(shè)置。設(shè)置之后，可以滿足上級可以自由查看下級文件，下級無權(quán)查看上級文件，如需查看，需要上級進行許可。山麗防水墻采用的是國際先進的對稱加密和非對稱加密相結(jié)合的方式，在管理中，并不進行密鑰許可，這是極為不安全的。因為加密軟件必須采用國家規(guī)定的加密算法，如果密鑰可以拿到。用戶即使拿到密文也是可以被解密的。在山麗防水墻系統(tǒng)中，文檔的加密密鑰是動態(tài)變化的，這一點可以從密文另存為相同幾份密文后，在加密環(huán)境外打開密文內(nèi)容不一樣得到確認。山麗防水墻用戶并不持有文件加密密鑰，而持有PKI證書中自己的私鑰，這個私鑰只是確認自己是一個合法的用戶而已，當用戶合法后，本地的加解密驅(qū)動開始工作，實現(xiàn)對文件的動態(tài)、實時、透明加解密。山麗防水墻的用戶相鄰可以查看彼此文件的關(guān)系就是通過PKI體系來管理的，而不是通過文件加密密鑰實現(xiàn)。因為那樣安全風險是非常大的。山麗防水墻系統(tǒng)基于腳色管理的權(quán)限系統(tǒng)，對文件的流轉(zhuǎn)途徑?jīng)]有任何限制，也就是說，一旦腳色相互之間的關(guān)系確認，通過u盤、qq、mail、應(yīng)用系統(tǒng)等等方式流轉(zhuǎn)的文件均接受這樣的管控權(quán)限的約束。在市場上，有的公司的產(chǎn)品加密和權(quán)限是兩套系統(tǒng)，對文檔的權(quán)限控制需要將文檔上傳到特定的服務(wù)器進行設(shè)置才行，這個管理帶來了巨大的挑戰(zhàn)，畢竟，用戶購買產(chǎn)品的目的是使用產(chǎn)品，不是增加自己的管理成本的?；谟脩魹槟_色的文檔權(quán)限控制山麗防水墻的文檔權(quán)限控制，可以基于腳色進行相互之間的關(guān)系設(shè)置，一旦設(shè)置之后，各個腳色新產(chǎn)生、原來的秘文均按照這種相鄰關(guān)系進行約束；這些腳色可以是一個用戶、一個用戶組、一個部門、一個分公司等等。基于腳色控制，完全不需要將這些文檔預(yù)先上傳到服務(wù)器上去追加權(quán)限，權(quán)限和文檔處于的位置不需要預(yù)設(shè)限制條件。設(shè)置用戶平級腳色的共享關(guān)系圖設(shè)置用戶的下級、上級、自我權(quán)限關(guān)系圖基于文檔為角色的自定義文檔權(quán)限控制在基于腳色之外，山麗防水墻的文檔權(quán)限還可以設(shè)置給特定用戶自行改變文檔權(quán)限的能力，即自行設(shè)置權(quán)限文件夾，設(shè)置該文件夾的訪問權(quán)限，當用戶訪問這些文件夾中文件的時候，將按照用戶新設(shè)置的權(quán)限進行控制。對有些文檔，屬于一定的機密文檔，需要對其擴散范圍進行限制。比如，A和B屬于一個部門的，有些文件只能在A和B之間流轉(zhuǎn)，安全策略規(guī)定不能共享給C使用，用戶A需要在本地加密目錄中建一個目錄，然后對目錄設(shè)置對應(yīng)的用戶權(quán)限，當將文件往這個文件夾里一丟，這個文件的權(quán)限控制就變成了和這個文件夾一樣的權(quán)限屬性了。然后，A將這個文件給B（任何方式），B只能在權(quán)限限制的范圍內(nèi)閱覽了。這個時候，即使C拿到這個文件，也無法閱覽—因為沒有權(quán)限。文檔權(quán)限控制的精細化管理除了可以控制剪切板、截屏、錄屏軟件之外，山麗防水墻對文檔的精細化管理可以達到：只讀、寫入、下載、離線、刪除、重命名、打印等等。包括了可以禁止另存、格式轉(zhuǎn)換之后還是秘文，虛擬打印還是秘文等等。山麗防水墻對客戶端產(chǎn)生的文件、服務(wù)器上存在的文件，有多種權(quán)限可以供靈活設(shè)置，權(quán)限控制包括了權(quán)限顆粒度和用戶之間的相互權(quán)限限制兩個方面。權(quán)限顆粒度包括并不限于：只讀、文件對特定用戶而言只能閱讀，并且不能編輯、另存、修改。對沒有只讀權(quán)限的人顯示的就是亂碼了。編輯、文件可以采用各種方式被修改。文件修改后，文件的作者將變成了修改者本人。復(fù)制、文件可以在特定的地方打開，不能copy到另外的地方使用。打印、文件沒有打印權(quán)限，用戶打印即提示沒有特定的權(quán)限。用戶需要打印，必須經(jīng)過一個審批流程。截屏、用戶可以對文件進行合法操作，但無法通過截屏的方式將文件通過QQ等方式泄密。下載、文件只能在特定的服務(wù)器上使用，復(fù)制到本地無法使用。離線、文件僅僅能在組織內(nèi)部使用，帶出組織環(huán)境（即使在合法的離線筆記本上）也無法使用。次數(shù)、文件有打開時間的限制。時間、文件有打開此次數(shù)的限制。截屏控制策略文件其他權(quán)限顆粒度文件無權(quán)限打開的提示次數(shù)和時間2.11產(chǎn)品功能對基于B/S應(yīng)用服務(wù)器和防水墻系統(tǒng)融合方案的滿足用戶部署有較多的ASP/Php開發(fā)的B/S架構(gòu)的應(yīng)用服務(wù)器系統(tǒng)，用戶希望密文文件上傳到這些服務(wù)器系統(tǒng)上附件直接轉(zhuǎn)化為明文，但用戶電腦的密文在用戶發(fā)送到私人的webmail中（如qqmail）還是保持原狀，即密文還是密文。利用山麗防水墻網(wǎng)絡(luò)可信程序的設(shè)計，滿足當密文發(fā)送到基于ASP/Php開發(fā)的B/S應(yīng)用服務(wù)器系統(tǒng)上時，文件自動解密；但文件發(fā)送到自己的私人webmail中則保持原狀—密文還是密文；這種設(shè)計滿足：IE6、IE7、IE8、IE9等；支持打開一個IE進程后關(guān)閉再打開另外一個進行進行分別文件傳遞，支持同時打開兩個IE進程分別進行文件傳遞，也支持打開一個IE進程使用不同的選項卡分別進行文件傳遞（一共三種狀態(tài)）。2.12產(chǎn)品功能對PDM、FTP服務(wù)器和防水墻系統(tǒng)融合方案的滿足也有的用戶有許多的PDM、FTP服務(wù)器，使用的PDM、FTP程序也是五花八門，用戶希望能夠?qū)崿F(xiàn)使用任何PDM、FTP程序從PDM、FTP服務(wù)器上下載下來的任何文件都是密文，但上傳到服務(wù)器上就是明文。當然，已經(jīng)加密的文件發(fā)送到不信任的PDM、FTP服務(wù)器上又必須是密文了。利用山麗防水墻網(wǎng)絡(luò)可信程序的設(shè)計，設(shè)置特定的PDM、FTP服務(wù)器是可信的，則通過任何PDM、FTP程序從該服務(wù)器上下載下來的文件（包括導(dǎo)出的文件）均是密文；如果用戶指定了特定的端口或者固定的PDM、FTP程序，在防水墻的設(shè)置中，也可以設(shè)置為該特定的程序下載下來的任何文件均是密文（包括導(dǎo)出的文件）。產(chǎn)品功能和應(yīng)用服務(wù)器融合的原理為避免機密數(shù)據(jù)泄露和協(xié)同管理，加密系統(tǒng)必須與公司協(xié)同工作平臺等兼容。山麗防水墻在設(shè)計上充分考慮了系統(tǒng)邊界的問題，在底層執(zhí)行的技術(shù)可以確保和各種應(yīng)用系統(tǒng)完美兼容。系統(tǒng)邊界原理圖在應(yīng)用中，山麗防水墻和PDM、FTP、OA、CAD管理軟件等系統(tǒng)有許多靈活應(yīng)用。在應(yīng)用系統(tǒng)融合的方案部署中，山麗防水墻可以在可信模塊的支持下，發(fā)送密文或者明文數(shù)據(jù)到PDM、FTP、OA、CAD管理軟件系統(tǒng)服務(wù)器端。當發(fā)送密文到PDM、FTP、OA、CAD管理軟件服務(wù)器端的時候，希望看到服務(wù)器上數(shù)據(jù)的客戶端就必須在客戶端進入防水墻系統(tǒng)（不然打開是密文），從而保護了PDM、FTP、OA、CAD管理軟件系統(tǒng)上的數(shù)據(jù)不會產(chǎn)生任何泄密。當發(fā)送明文到PDM、FTP、OA、CAD管理軟件服務(wù)器端的時候（在實際部署中，客戶選擇此種方案的數(shù)量還比較多），希望看到PDM、FTP、OA、CAD管理軟件服務(wù)器上數(shù)據(jù)的客戶端必須在客戶端進入防水墻系統(tǒng)，不然無法連接進入PDM、FTP、OA、CAD管理軟件、服務(wù)器端，這是因為山麗防水墻依據(jù)自己服務(wù)器的TPM裝置，天然的在自己的客戶端建立了一個自動可信的環(huán)境，而沒有安裝防水墻的客戶端無法連接進來，從而保護了PDM、FTP、OA、CAD管理軟件、系統(tǒng)上的數(shù)據(jù)不會產(chǎn)生任何泄密。即使在PDM、FTP、OA、CAD管理軟件服務(wù)器上以明文形式存在的情況下，也可以通過可信設(shè)置，設(shè)置特定的用戶端不安裝防水墻客戶端就可以連上來，以滿足跨區(qū)域用戶的需要。PDM、FTP、OA、CAD管理軟件等系統(tǒng)兼容部署圖注：本方案不需要添加硬件設(shè)備。產(chǎn)品功能和應(yīng)用服務(wù)器融合的方案因為山麗防水墻可以實現(xiàn)在不增加任何設(shè)備的情況下客戶端上傳到服務(wù)器上即自行解密，下載即自行加密，而且和使用的程序無關(guān)，需要加密的文件格式無關(guān)，這種方式也滿足對任何應(yīng)用系統(tǒng)的支持。但用戶可能在不啟用加密系統(tǒng)的情況下，登陸進入應(yīng)用系統(tǒng)，從而造成安全隱患。山麗防水墻推薦如下四種方案：在應(yīng)用系統(tǒng)服務(wù)器上部署山麗防水墻認證端在windows應(yīng)用系統(tǒng)服務(wù)器上，防水墻的處理方案是在windows系統(tǒng)上安裝防水墻認證客戶端，從而實現(xiàn)不安裝并且登陸防水墻的客戶端機器不能登陸windows應(yīng)用系統(tǒng)服務(wù)器；在應(yīng)用系統(tǒng)服務(wù)器上一樣，也安裝防水墻認證客戶端，從而實現(xiàn)不安裝并且登陸防水墻的客戶端機器不能登陸windows應(yīng)用系統(tǒng)服務(wù)器；方案優(yōu)點：不需要在網(wǎng)絡(luò)環(huán)境中增加任何硬件設(shè)備，僅僅需要輕量級的安裝即可滿足對所有服務(wù)器的防護；而且沒有任何的安全縫隙；方案缺點：需要在服務(wù)器上安裝防水墻認證客戶端，有工作量，尤其是服務(wù)器多的情況下。在企業(yè)內(nèi)部部署網(wǎng)絡(luò)準入設(shè)備隨著企業(yè)終端規(guī)模的擴大，哪些客戶端工作站可以連接哪些服務(wù)器是企業(yè)管理的重點，任何外來的電腦、手持設(shè)備不能肆意接入公司網(wǎng)絡(luò)是企業(yè)網(wǎng)絡(luò)邊界管理的重點；因此，許多企業(yè)已經(jīng)完成了網(wǎng)絡(luò)準入設(shè)備的部署。在解決非window應(yīng)用系統(tǒng)服務(wù)器數(shù)據(jù)防護方面，采用防水墻+網(wǎng)絡(luò)準入設(shè)備也可以滿足這個管理需求，而且一樣，可以實現(xiàn)沒有任何的安全縫隙。即：在部署的時候，可以將是否登陸了防水墻客戶端作為客戶端電腦連接到對應(yīng)服務(wù)器的安全策略（正如是否安裝和啟用了殺毒軟件、是否打了補丁一樣）。在用戶沒有部署網(wǎng)絡(luò)準入設(shè)備的情況下，用戶可以采用山麗網(wǎng)安的網(wǎng)絡(luò)準入設(shè)備。實際上，網(wǎng)絡(luò)準入設(shè)備的安全范疇要遠遠大于本處描述的作用，正如一個國家需要管理自己的邊境線一樣，網(wǎng)絡(luò)準入設(shè)備是網(wǎng)絡(luò)邊界安全的必備設(shè)備。在應(yīng)用系統(tǒng)服務(wù)器前部署山麗防水墻系統(tǒng)安全網(wǎng)關(guān)對應(yīng)用系統(tǒng)服務(wù)器的防護，也可以采用加密安全網(wǎng)關(guān)進行防護。在實踐中，將安全網(wǎng)關(guān)部署在應(yīng)用系統(tǒng)服務(wù)器前面，文件上傳到安全網(wǎng)關(guān)時候進行解密，文件從應(yīng)用系統(tǒng)服務(wù)器下載到客戶端工作站的時候，在安全網(wǎng)關(guān)上進行加密；“安全網(wǎng)關(guān)”和山麗防水墻客戶端之間形成一個安全域的堡壘，所有想訪問安全網(wǎng)關(guān)后面服務(wù)器的客戶端首先需要部署山麗防水墻客戶端才能通過安全網(wǎng)關(guān)進行通訊；沒有安裝山麗防水墻客戶端的電腦將無法和后面的服務(wù)器進行通訊；用戶通過安全網(wǎng)關(guān)，將實現(xiàn)數(shù)據(jù)下載加密、上次解密的效果，這樣，數(shù)據(jù)在應(yīng)用系統(tǒng)服務(wù)器仍然是明文，但用戶下載下來就是密文了。優(yōu)點：實現(xiàn)了對應(yīng)用系統(tǒng)服務(wù)器的防護缺點：所有經(jīng)過應(yīng)用系統(tǒng)服務(wù)器的數(shù)據(jù)均需經(jīng)過安全網(wǎng)關(guān)的處理；網(wǎng)絡(luò)中需要新增加硬件設(shè)備，會改變網(wǎng)絡(luò)拓撲；數(shù)據(jù)加密網(wǎng)關(guān)拓撲在應(yīng)用系統(tǒng)服務(wù)器和山麗防水墻系統(tǒng)之間進行數(shù)據(jù)接口開放，二次開發(fā)具體的二次開發(fā)需要依據(jù)具體應(yīng)用系統(tǒng)來進行分析。山麗防水墻在中控股份、思源電氣方面進行的是二次開發(fā)的方式。2.13產(chǎn)品功能對文件交互管理的滿足分支機構(gòu)和總部的交流在防水墻管理架構(gòu)下，分支機構(gòu)和總部交流方式有以下幾種（用戶可以選擇并行或者固定采用其中一種）：⑴總部每次發(fā)送附件的時候，先行解密然后發(fā)送方案優(yōu)點：分支機構(gòu)辦公方式無須任何的改變，工作方式和原來一樣；分支機構(gòu)自己起草的任何文件均不會有加密的情況，可以自由的外發(fā)自己的客戶；方案缺點：總部外發(fā)文件前需要先將文件申請解密；在交流過于頻繁的情下會增加一定程度的工作量；⑵總部每次發(fā)送附件的時候，設(shè)置分公司的mail地址為綠色信任郵箱，這樣，通過山麗防水墻的專用工具發(fā)送給這些用戶的mail附件將會自動解密，方案優(yōu)點：分支機構(gòu)辦公方式無須任何的改變，工作方式和原來一樣；分支機構(gòu)自己起草的任何文件均不會有加密的情況，可以自由的外發(fā)自己的客戶；方案缺點：總部外發(fā)文件前需要先申請信箱解密，因為是一次申請，多次解密，存在一定的安全隱患；⑶總部人員將外發(fā)文件放到服務(wù)器上，分支機構(gòu)人員自行登陸上來在自己被管控的目錄中自由獲取（分支機構(gòu)人員連接公司服務(wù)器的方式有VPN、NAT兩種形式可以采納）方案優(yōu)點：分支機構(gòu)辦公方式改變很小，工作方式和原來基本一樣，獲取文件的方式略有改變；分支機構(gòu)自己起草的任何文件均不會有加密的情況，可以自由的外發(fā)自己的客戶；方案缺點：獲取文件需要連接到公司的服務(wù)器，mail方式收到公司的附件是密文的；⑷將分支機構(gòu)人員納入防水墻管理范圍，分支機構(gòu)人員也安裝加密軟件，需要分支機構(gòu)人員在線登陸防水墻系統(tǒng)才能辦公（登陸一次即可，重啟機器需要重新登陸），本方案依賴VPN或者NAT通訊方式存在方案優(yōu)點：將公司全體成員納入和統(tǒng)一的安全管理體系；在公司內(nèi)部所有人員之間的交流不存在任何問題；方案缺點：分支機構(gòu)人員進入加密系統(tǒng)需要和公司的網(wǎng)絡(luò)連接一次，（如果存在現(xiàn)有業(yè)務(wù)系統(tǒng)也是這樣，則此項不算缺點）；分支機構(gòu)人員文件外發(fā)需要進行申請解密（可以給分支機構(gòu)人員目錄加密方式，這樣可以由其自行解密）；⑸將分支機構(gòu)人員納入防水墻管理范圍，分支機構(gòu)人員也安裝加密軟件，但分支機構(gòu)人員全部通過離線方式授權(quán)和登陸，不依賴其他條件；方案優(yōu)點：將公司全體成員納入和統(tǒng)一的安全管理體系；在公司內(nèi)部所有人員之間的交流不存在任何問題；方案缺點：分支機構(gòu)人員文件外發(fā)需要進行解密（可以給分支機構(gòu)人員目錄加密方式，這樣可以由其自行解密）；上面描述的情景，對先實施分部、后實施總部的方法也是一樣的。例如：1、對公司客戶端發(fā)送到服務(wù)器上的文件以明文形式發(fā)送，保證分公司也可以閱讀這些文件；（有VPN的情況）2、對通過mail交流的形式，設(shè)置分公司的mail地址為綠色信任郵箱，這樣，通過山麗防水墻的專用工具發(fā)送給這些用戶的mail附件將會自動解密，從而滿足和集團公司交流的情況；達到效果：和集團內(nèi)部的交流可以實現(xiàn)密文發(fā)給他們自動是明文（山麗mail工具），通過服務(wù)器交流的數(shù)據(jù)是明文。產(chǎn)品功能對分支機構(gòu)和供應(yīng)商管理的滿足在防水墻管理架構(gòu)下，供應(yīng)商和公司交流方式有以下幾種（用戶可以選擇并行或者固定采用其中一種）：⑴發(fā)送文件給供應(yīng)商的時候，先行解密然后發(fā)送方案優(yōu)點：和原來的管理方式一致；方案缺點：自己的供應(yīng)商往往可能自己競爭對手的供應(yīng)商，外發(fā)給供應(yīng)扇的資料可能被流傳到競爭對手中；⑵發(fā)生文件給供應(yīng)商的時候，制作成秘文明送文件發(fā)送方案優(yōu)點：和原來的管理方式基本一致；供應(yīng)商收到的文件將按照自己要求的管控條件進行約束，如打印、只讀、密碼等等方案缺點：該方案主要應(yīng)用于生成的文件供對方閱讀和不進行修改；⑷將供應(yīng)商特定電腦納入防水墻管理范圍，通過離線方式授權(quán)和登陸；方案優(yōu)點：和原來的管理方式基本一致；供應(yīng)商收到的文件將按照自己要求的管控條件進行約束，如打印、只讀、密碼等等，也可以進行編輯，以有利于相互之間的交互方案缺點：尚無；2.14產(chǎn)品功能對計算機外設(shè)管理的滿足終端外設(shè)管理范圍對計算機終端所有的硬件執(zhí)行管理，管理的范圍包括移動存儲設(shè)備；可以管控的外設(shè)包括：紅外、藍牙、1394、串口、并口、刻錄等；這些外設(shè)的管控策略為可以使用或者禁止使用；對移動數(shù)據(jù)存儲設(shè)備的管理比禁止和允許使用要復(fù)雜，包括了認證usb、注冊usb、一般usb、標準usb、非標準usb等。工作站外設(shè)、端口管理設(shè)置圖外設(shè)管理在線、離線策略對移動存儲設(shè)備的管理策略必須包括：禁止、只讀、讀寫和加密。對除移動存儲設(shè)備之外的管理策略包括禁止和允許。對移動存儲設(shè)備以及其他所有的終端均可以執(zhí)行在線策略和離線策略；離線策略用來滿足網(wǎng)絡(luò)異常或者終端離開網(wǎng)絡(luò)的需要。在線權(quán)限是客戶端在聯(lián)機登陸時被控制設(shè)備所具有的權(quán)限，其中有“關(guān)閉”,“只讀”，“讀寫”?！瓣P(guān)閉”狀態(tài)，是被控制的設(shè)備在客戶端環(huán)境內(nèi)不能使用，該狀態(tài)是軟件安裝后默認的狀態(tài)；“只讀”狀態(tài)，是被控制的設(shè)備在客戶端環(huán)境內(nèi)只能被讀取，比如設(shè)備是Ｕ盤，設(shè)置了該狀態(tài)后，在客戶端環(huán)境內(nèi)Ｕ盤中不能被寫入，只能讀取“讀寫”狀態(tài)，是被控制的設(shè)備在客戶端環(huán)境內(nèi)可以被讀寫，比如設(shè)備是Ｕ盤，設(shè)置了該狀態(tài)后，在客戶端環(huán)境內(nèi)不僅可以讀取U盤信息而且可以向U盤寫入信息。離線權(quán)限是客戶端離線使用電子鑰匙登陸時外接設(shè)備所具有的權(quán)限，可以選擇“關(guān)閉”和“保持原狀”，；“關(guān)閉”狀態(tài)是待控制的設(shè)備不能被使用；“保持原狀”是保持和在線權(quán)限一致的設(shè)置。注冊移動存儲設(shè)備管理策略可以對特定的移動存儲設(shè)備進行注冊，注冊后的移動存儲設(shè)備才能在公司特定的電腦上使用。使用的策略也包括：禁止、只讀和續(xù)寫。注冊的移動存儲設(shè)備也可以在公司之外的電腦上使用，但沒有注冊的移動存儲設(shè)備將不被允許使用。管控還可以根據(jù)需求，將客戶移動存儲設(shè)備、公司員工移動存儲設(shè)備、公司移動存儲設(shè)備盡心分類管理；實現(xiàn)對數(shù)據(jù)的無縫隙審計；可以將移動存儲設(shè)備在外設(shè)管理系統(tǒng)中進行“注冊”，注冊后的外設(shè)按照設(shè)置的策略在企業(yè)內(nèi)部綁定的機器上或者組內(nèi)機器上使用，注冊移動存儲設(shè)備可以在企業(yè)以外地方使用；注冊后的設(shè)備，還可以在企業(yè)網(wǎng)絡(luò)以外的電腦上使用。注冊的原理是根據(jù)數(shù)據(jù)存儲外設(shè)中的唯一序列值而進行登記確認的。注冊還可以和現(xiàn)有的部門或者部門里的某臺電腦綁定，以實現(xiàn)僅僅是注冊的外設(shè)可以在公司指定的電腦上使用。注冊設(shè)置示意圖注冊設(shè)置示意圖認證移動存儲設(shè)備管理策略可以對特定的移動存儲設(shè)備進行認證，認證后的移動存儲設(shè)備才能在公司特定的電腦上使用。使用的策略也包括：禁止、只讀和續(xù)寫。認證后的移動存儲設(shè)備無法在公司之外的電腦上使用?？梢詫⒁苿哟鎯υO(shè)備在加密系統(tǒng)中進行“認證”，認證后的外設(shè)按照設(shè)置的策略在企業(yè)內(nèi)部綁定的機器上或者組內(nèi)機器上使用，認證移動存儲設(shè)備不能在企業(yè)以外地方使用；認證后設(shè)備里面數(shù)據(jù)以密文形式存在，注冊后設(shè)備里面數(shù)據(jù)的存在形式取決于客戶端聯(lián)動的外設(shè)加密策略；數(shù)據(jù)門衛(wèi)工作站設(shè)備認證：設(shè)備被認證后，就不能被工作站環(huán)境外的電腦以及未安裝工作站的電腦正常使用，保證了數(shù)據(jù)的安全性。需要設(shè)備認證時，插入相關(guān)外接存儲設(shè)備，然后選擇“數(shù)據(jù)門衛(wèi)工作站設(shè)備認證”，彈出窗口，如圖5.2.9:設(shè)備認證界面在選擇磁盤中找到待認證的磁盤，點擊“確定”按鈕，當描述框提示“認證成功！”時，即為該設(shè)備認證成功，如圖：設(shè)備認證成功被認證的設(shè)備只能在工作站環(huán)境內(nèi)使用，在工作站環(huán)境外使用時提示“磁盤未格式化”，如圖所示：設(shè)備認證后在工作站環(huán)境外使用提示出錯注意：如果選擇“綁定工作站”，選擇待綁定的工作站綁定后，該設(shè)備就只能在被綁定的工作站環(huán)境內(nèi)使用。工作站設(shè)備認證管理圖2.15產(chǎn)品功能對服務(wù)器災(zāi)難恢復(fù)功能的滿足山麗防水墻提供有系統(tǒng)實時備份工具，備份支持策略、log的分開備份；選擇備份路徑，輸入數(shù)據(jù)庫用戶名和密碼，點“備份”；備份工具主界面可以設(shè)置自動備份路徑以及指定的時間設(shè)置自動備份備份的結(jié)果是：當系統(tǒng)出現(xiàn)暫時性災(zāi)難問題的時候，可以通過定時備份保證在30分鐘內(nèi)進行系統(tǒng)恢復(fù)，通過實時備份，可以實現(xiàn)系統(tǒng)在說秒時間內(nèi)的切換，從而防止給公司運行帶來影響。實時備份需要另外一臺硬件或者虛擬機的支持。實施策略：進行實時、定時備份（可以二者同時進行）達到效果：防止出現(xiàn)災(zāi)難性后果。2.16產(chǎn)品功能對審計功能的滿足對加密文件的各種操作行為進行審計在防水墻系統(tǒng)，安全管理員端是一個具有豐富內(nèi)容的管理端。安全管理員可以進行靜態(tài)管理和動態(tài)管理，靜態(tài)管理如查看日志，文檔管理，文件監(jiān)控，動態(tài)管理如對工作站所進行的申請進行審批，離席委托等。防水墻系統(tǒng)中獨特的管理員和安全管理員分開的特點使得日志只能為更高管理級別的人員查閱，具體管理人員卻無法察看，起到了更加有效的管理效果。山麗防水墻各端的操作都會被記錄下來存為日志，日志系統(tǒng)可對日志進行詳細分類統(tǒng)計讓用戶迅速了解防水墻日常使用情況，同時也可以定制多種搜索條件進行組合查詢來得到特定的日志信息，搜索出的日志信息可直接導(dǎo)出成xls、htm等多種格式，同時還有圖表統(tǒng)計功能可迅速生成多種直觀的圖表。不僅僅如此，在短信平臺的支持下，山麗防水墻安全審計端還可以提供日志預(yù)警，即：在滿足設(shè)定條件的情況下，當管理人員或者用戶實施了某種行為，這種行為會被采用短信、郵件等方式進行報警。所有對用戶和管理人員的審計結(jié)果，僅僅由特殊的客戶端才能查看—安全管理員。安全管理員登錄安全管理員端，可以查詢相關(guān)日志。對加密系統(tǒng)各種操作行為的自動預(yù)警式審計安全管理員還可以登錄日志報警端，設(shè)置條件，當條件觸發(fā)后，安全管理員還可以自動收到短信、郵件、報表等，以實時了解用戶和管理人員的操作。日志系統(tǒng)主界面日志系統(tǒng)-條件設(shè)置日志導(dǎo)出成htm、txt、xls各種格式直接打印日志統(tǒng)計圖設(shè)置預(yù)警系統(tǒng)安全管理人員自動收到的報表2.17產(chǎn)品功能對系統(tǒng)管理功能的滿足防水墻加密系統(tǒng)三員分立管理模式實現(xiàn)系統(tǒng)管理“三員”分立功能，包括系統(tǒng)管理員、安全審計員、保密管理員。山麗防水墻電子文檔加密系統(tǒng)設(shè)計思路即遵循“三員”分立的概念。所有軟件主體和細節(jié)無不體現(xiàn)了互相制約、便捷管理的思想。具體來說包含如下：1、系統(tǒng)設(shè)立有保密管理客戶端，所產(chǎn)生的文件可以根據(jù)需要進行保密和權(quán)限設(shè)置，達到主動防泄密和被動防泄密的雙重功效；2、系統(tǒng)設(shè)立有系統(tǒng)管理員，系統(tǒng)管理的工作職責就是設(shè)置管理策略，系統(tǒng)管理員只能對機器和用戶進行策略設(shè)置，并不能查你看用戶的文件內(nèi)容；即僅僅進行策略管理，而不進行內(nèi)容管理；3、安全審計員，不能對用戶策略進行任何的設(shè)置，但可以查看用戶按照這種策略執(zhí)行的日志，更重要的是還可以查看所有管理員操作策略的日志；通過上面“三員”，在事前、事中、事后全面的進行管理，滿足分員式系統(tǒng)化管理的效果。防水墻加密系統(tǒng)系統(tǒng)管理員管理模式在前面，已經(jīng)詳細的介紹了保密管理員的加密策略，和安全審計員的日志策略，下面重點談?wù)勏到y(tǒng)管理員內(nèi)部的管理策略。1、系統(tǒng)管理員可以創(chuàng)建其他系統(tǒng)管理員。創(chuàng)建管理員2、在創(chuàng)建管理員的時候，可以分配這個管理員管理的組員和被分配的管理權(quán)限。管理員分配組別和權(quán)限管理員進行管理同時，山麗防水墻系統(tǒng)在管控分級方面具有著極其強大的功能。管控分級首先體現(xiàn)在山麗防水墻的系統(tǒng)維護人員僅僅具有系統(tǒng)按安裝維護的權(quán)利，并無對系統(tǒng)管理的權(quán)利，并且在維護過程中根本無法讀取瀏覽數(shù)據(jù)，不會發(fā)生任何的泄密；管控分級還體現(xiàn)在對管理人員管理用戶、用戶組的權(quán)限上，即更高一級的管理員可以分配用戶或用戶組給低一級的管理員，依次類推；產(chǎn)生、修改、刪除次一級管理員管理員管理不同的組管控分級更體現(xiàn)在有超級安全管理員會將所有的管理員分配給不同的安全管理員進行管理，達到業(yè)務(wù)管理和審計管理的分離，在“三員分立”的思想體系下實現(xiàn)對公司的有效管理，最終服務(wù)于組織根本的利益價值；安全管理員對應(yīng)管理管控分級的進一步層面還在于當需要對管理員進行授權(quán)的時候，可以按照需要授予不同的權(quán)限，而不是無節(jié)制的授予任何管理員相同的最大的權(quán)利。當任何管理員具有了最大的權(quán)利之后，帶來的只有災(zāi)難。授所有權(quán)利予以任何一個管理者是管理的無奈，技術(shù)的乏力，山麗防水墻完美的解決了這個問題。管理員權(quán)限劃分管控分級的理念還體現(xiàn)在用戶相互之間交換文檔可對文檔的各種權(quán)限進行設(shè)置，達到管控放于終端，系統(tǒng)管理著重于系統(tǒng)本身維護的目的。2.18產(chǎn)品功能對安全性要求的滿足基于山麗防水墻的“環(huán)境指紋”原理，防水墻加密系統(tǒng)在加密密鑰、加密密文的保護方面有嚴格的防護措施。防水墻加密軟件使用的加密算法應(yīng)該是國家相關(guān)可機構(gòu)認可的，加密密鑰不是一個或者是幾個，更不是有些服務(wù)廠家自身為本企業(yè)的生成的，而且文件的加密密鑰是隨機的，不可猜測的，即使在一個文件的加密密鑰泄密后，也不能影響其他密文文件的密鑰安全性；加密軟件的密鑰在保存的時候，也是加密狀態(tài)，即：密鑰也是加密保存的；加密密文在可以打開后不進行修改的情況下進行多次保存，每次保存的密文其在加密環(huán)境之外打開的內(nèi)容均完全不一樣；保證了在破解了一個加密文檔之后，相同部門或者權(quán)限的文件也不能有被大面積被破解的可能性；網(wǎng)上流傳的透明加密軟件的破解工具不能破解本加密軟件系統(tǒng)，不管此破解軟件是在本企業(yè)內(nèi)部使用還是在本企業(yè)外部使用，可以實現(xiàn)既防范外部人員破解，也防范內(nèi)部人員破解的效果；基于程序產(chǎn)生的文件格式的復(fù)雜性，加密系統(tǒng)需要保證某款軟件被加密，其產(chǎn)生的任何格式的文件均也是密文；同時，因為程序之間的互通性，還可以保證這個程序產(chǎn)生的密文不能為其他不加密的軟件所讀取和使用；2.19產(chǎn)品功能對客戶端自我防護的滿足山麗防水墻采用的透明加密技術(shù)，可以實現(xiàn)對文檔的強制加密，同時，山麗防水墻又采用了系統(tǒng)不能退出、無法卸載、注冊表保護、安全模式管控等技術(shù)實現(xiàn)了系統(tǒng)的自我防護；對歷史文件，山麗防水墻提供有客戶端和控制臺端兩種批量處理加密功能，以供用戶部署實施時候進行選擇。2.20產(chǎn)品功能對加密客戶端授權(quán)管理的滿足用戶安裝了防水墻之后，是否就可以自行登陸使用，有三種情況需要考慮：1、大規(guī)模實施時候的授權(quán)使用；2、日常管理時候的授權(quán)使用；3、離網(wǎng)用戶的授權(quán)使用；對大規(guī)模實施時候的授權(quán)使用，山麗防水墻可以做到自動授權(quán)；對日常管理時候的授權(quán)使用山麗防水墻可以做到獨立授權(quán)，授權(quán)之后才能使用；對離網(wǎng)用戶的授權(quán)使用，因為用戶網(wǎng)絡(luò)無法和公司防水墻服務(wù)器進行連接，山麗防水墻可以提供用戶電腦信息提取工具，將用戶的電腦參數(shù)（環(huán)境指紋）提取后導(dǎo)入防水墻服務(wù)器進行授權(quán)；這種方式特別適合對外包企業(yè)的管理。2.21產(chǎn)品功能對客戶端自動升級的滿足加密系統(tǒng)支持對網(wǎng)絡(luò)內(nèi)全部的加密客戶端進行升級；加密系統(tǒng)支持對網(wǎng)絡(luò)內(nèi)指定的加密客戶端進行升級；加密系統(tǒng)可以先進行種子安裝，然后依賴種子對全網(wǎng)系統(tǒng)進行自動分發(fā)；加密系統(tǒng)支持通過域控進行種子或者系統(tǒng)進行分發(fā)；3產(chǎn)品部署方法和部署效果3.1部署方法山麗防水墻的部署方法：安裝服務(wù)器端軟件，分發(fā)客戶端軟件，并進行策略設(shè)置即可。項目實施難度小，過程中最主要的問題是用戶需要對自己公司的安全管理策略進行一個梳理過程3.2部署效果通過部署山麗防水墻，可以滿足對企業(yè)信息安全的管理需求。3.2.1法規(guī)的遵從山麗防水墻中所蘊含的管理規(guī)范符合國內(nèi)、國際有關(guān)法律規(guī)范的規(guī)定，部署該產(chǎn)品可以滿足對有關(guān)法律的遵從和滿足檢查、審核的標準。產(chǎn)品符合如下有關(guān)法律規(guī)范：信息安全法律中華人民共和國憲法相關(guān)信息安全部分中華人民共和國刑法相關(guān)信息安全部分中華人民共和國保守國家秘密法中華人民共和國標準化法中華人民共和國國家安全法行政法規(guī)中華人民共和國計算機安全等級保護條例商用密碼管理條例中華人民共和國產(chǎn)品質(zhì)量認證管理條例信息安全部門規(guī)章及規(guī)范性文件計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法計算機病毒防治管理辦法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法科學技術(shù)保密規(guī)定注冊信息安全專業(yè)人員認證程序企業(yè)內(nèi)部控制基本規(guī)范商業(yè)銀行信息科技風險管理指引信息安全國際、國內(nèi)技術(shù)標準基礎(chǔ)類標準物理安全標準系統(tǒng)與網(wǎng)絡(luò)標準應(yīng)用與工程標準管理標準信息安全框架開放系統(tǒng)安全框架ISO10181-1)鑒別框架(ISO10181-2)訪問控制框架(ISO10181-3)抗抵賴框架(ISOl0181-4)完整性框架(ISO1018l-5)保密性框架(ISOl018l-6)不安全審計框架(ISO1018l-7)管理框架(ISO7498-4)安全保證框架(ISO/IECWDl5443:1999)3.2.2管理的視角對管理人員而言，部署了山麗防水墻之后，并不去限制用戶對機密資料的學習和創(chuàng)造，加快了新技術(shù)對員工的開放程度，提高了員工進步的速度，并最終有效地促進了企業(yè)生產(chǎn)勞動率的提高，最終將帶來企業(yè)效益的提高。山麗網(wǎng)安的企業(yè)文化“文以山麗，山以文傳”正生動的詮釋了這個道理?！皠?chuàng)造、提升用戶的安全收益”也正是我們的企業(yè)最終目標！3.2.3用戶的視角對所有被管理的用戶而言，在被加載了安全策略之后，原來的工作習慣并不會被改變，唯一變化的是不能將公司的機密信息隨意外傳和擴散，如需外傳，必得授權(quán)。這也僅僅是強化了原來的管理模式和思路，并最終為用戶所理解和遵守。4技術(shù)優(yōu)勢根本上來講，防水墻數(shù)據(jù)加密系統(tǒng)（數(shù)據(jù)防泄漏系統(tǒng)）具有以下重要特點：1、加密方式和文件格式無關(guān)山麗防水墻可以支持對所有文件的加解密，并提供有客戶端8種加密方式，滿足現(xiàn)在和將來文件加密解密的需求；因此，山麗防水墻系統(tǒng)可以支持未來的格式加密?；诖?，山麗信息安全有限公司承諾：因為文檔格式發(fā)生變化需要的二次開發(fā)才能加密的，不收取任何費用（該條不受合同時間的約束）。2、加密系統(tǒng)和用戶的應(yīng)用系統(tǒng)無關(guān)山麗防水墻系統(tǒng)，可以通過控制臺自由設(shè)置用戶（組）上傳到各種應(yīng)用系統(tǒng)（包括內(nèi)部網(wǎng)絡(luò)的mail系統(tǒng)）文件的密文和明文之間的變化。這種方式，大大提供了用戶操作的便捷性，帶來的好處就是一個分局和總部之間的交流可以自動變成明文，而不需要再進行任何的申請了。同時，這種部署，還不會對對網(wǎng)絡(luò)結(jié)構(gòu)做任何的變更。不會增加用戶的實施難度。更重要的是，這種部署方式，不會增加單點故障。有的廠商是依賴增加一臺硬件設(shè)備來實現(xiàn)，一旦硬件設(shè)備出現(xiàn)故障，將會給組織帶來不能挽回的損失。3、加密系統(tǒng)全方位支持windows操作系統(tǒng)山麗防水墻支持win2000到win7的所有系統(tǒng)，支持winxp到win7的所有64位系統(tǒng)，支持win2003到win2008的所有服務(wù)端系統(tǒng)。全方位操作系統(tǒng)的支持，保證了用戶的適用和不留死角的部署。4、加密系統(tǒng)和域控等第三方系統(tǒng)完美融合山麗防水墻系統(tǒng)客戶端登陸方式支持多種類型，尤其支持和域控的動態(tài)結(jié)合，用戶僅僅需要輸入域控賬號即可自由的進入系統(tǒng)，大大降低了培訓和用戶操作的復(fù)雜度。尤其是，降低了管理人員的重復(fù)勞動，降低了管理平臺的切換復(fù)雜度。其他略。5售后服務(wù)體系5.1系統(tǒng)售后服務(wù)內(nèi)容山麗網(wǎng)安一直將用戶的產(chǎn)品使用體驗作為終極的產(chǎn)品開發(fā)追求目標。因此，提供完備的售后服務(wù)是售后服務(wù)技術(shù)支持中心（ASSC）山麗信息安全工程師(SanlenInformationSecurityEngineer)簡稱SISE1、培訓；包括本產(chǎn)品以及和本產(chǎn)品相關(guān)的安全知識的培訓，培訓在客戶現(xiàn)場和其他集中場地執(zhí)行。在免費服務(wù)期內(nèi)提供分別針對項目管理人員和具體使用用戶各不多于12次的技術(shù)培訓。即：培訓有分別針對用戶項目管理人員的培訓，還有針對具體使用者的培訓。2、技術(shù)支持；技術(shù)支持指的是實施安裝軟件后解決軟件bug的特定行為。本項目提供一年現(xiàn)場支持服務(wù)和軟件新版本升級服務(wù)。一年的計算時間為項目驗收后一年。免費服務(wù)期過后，提供有償現(xiàn)場服務(wù)和有償軟件升級。3、軟件升級；本項目的服務(wù)包含軟件升級，軟件升級包括：因為操作系統(tǒng)升級而產(chǎn)生必須要進行的升級；因為客戶應(yīng)用類軟件升級、變更產(chǎn)生的必須要進行的升級；本軟件因為技術(shù)功能發(fā)展產(chǎn)生的升級。本項目軟件升級提供驗收后一年免費升級。4、二次開發(fā)；提供一年免費二次開發(fā)服務(wù)，二次開發(fā)內(nèi)容限制為：目的在于完善原來產(chǎn)品的功能或者滿對用戶優(yōu)化性的需求。但用戶提出全新的功能二次開發(fā)則另行收費。并且，因為文檔格式發(fā)生變化需要的二次開發(fā)才能加密的，不收取任何費用（該條不受合同時間的約束）。5、服務(wù)形式；現(xiàn)場服務(wù)。800電話。Mail。遠程支持服務(wù)。6、服務(wù)年限：提供一年免費上門服務(wù)含一年免費升級服務(wù)，；7、售后服務(wù)要求:1）一年內(nèi)系統(tǒng)故障報修響應(yīng)時間為：所有緊急事項立即響應(yīng)，當日抵達現(xiàn)場（4小時內(nèi)，特殊事項2小時內(nèi)），常規(guī)事項第二個工作日抵擋現(xiàn)場（8工作小時之內(nèi)），計劃事項按照計劃抵達現(xiàn)場進行處理；用戶接受遠程并且遠程有利于售后服務(wù)的，可以立即采用遠程方式進行。2）一年免費升級巡更式服務(wù)：每周電話回訪；每半年度提供升級包；3)項目實施期間，投標方提供產(chǎn)品現(xiàn)場安裝、調(diào)試和咨詢服務(wù)；在防水墻項目實施期間，山麗網(wǎng)安的項目實施團隊會提供實施調(diào)研、策略提供、產(chǎn)品安裝、產(chǎn)品調(diào)試、產(chǎn)品培訓等一系列產(chǎn)品使用和咨詢服務(wù)。并在項目驗收之前和驗收之后1-2個月內(nèi)駐廠服務(wù)，對項目的上線和穩(wěn)固運行承擔所有責任。4)產(chǎn)品售后第一年內(nèi)，提供總計不多于12次的培訓服務(wù)；在山麗防水墻產(chǎn)品售出的第一年內(nèi)，愿意提供分別針對項目管理人員和具體使用用戶各不多于12次的培訓服務(wù)。5)對軟件產(chǎn)品應(yīng)保持自售出之日起不少于5年的產(chǎn)品支持能力；本次銷售給貴處的是山麗防水墻5.0版本，該版本我們承諾技術(shù)支持服務(wù)不晚于2017年12月31日。如果用戶在一年免費升級后使用了山麗防水墻其他更新版本，其版本的服務(wù)時間也不晚于2017年12月31日。山麗網(wǎng)安承諾“在2017年12月31日以前，不以山麗防水墻5.0版本已經(jīng)不再更新，不對外提供產(chǎn)品支持服務(wù)，從而要求貴處購買更新的版本。同時在一年免費升級內(nèi)使用了山麗防水墻其他更新版本也遵守該承諾?！?.2售后服務(wù)的關(guān)鍵是處理應(yīng)急服務(wù)在提供以上服務(wù)之外，在相同的組織架構(gòu)下，山麗信息安全有限公司同時提供有其他方面的網(wǎng)絡(luò)安全應(yīng)急服務(wù)。1、組織結(jié)構(gòu)及制度保障嚴格的管理，是保證企業(yè)信息安全的關(guān)鍵。這需要成立由主管領(lǐng)導(dǎo)和其他相關(guān)部門經(jīng)理與成員等共同組成的工作小組，全面負責實施故障應(yīng)急方案，制定和完善相關(guān)的規(guī)章制度，不斷改進和完善網(wǎng)絡(luò)安全系統(tǒng)，對網(wǎng)絡(luò)安全進行定期和不定期的安全檢查，定期組織有關(guān)人員進行應(yīng)急計劃的演練，規(guī)定應(yīng)急計劃工作小組成員的聯(lián)系方式應(yīng)在公司內(nèi)公布，并保證在系統(tǒng)出現(xiàn)故障時能夠及時聯(lián)系。堅持“預(yù)防為主，嚴加管理，出現(xiàn)問題及時解決”的原則，保證網(wǎng)絡(luò)的安全、暢通和高效。2、應(yīng)急實施的準備工作建立完整的各相關(guān)軟、硬件的管理文檔、使用文檔等技術(shù)文檔，以備查詢。建立完整的各相關(guān)軟、硬件供應(yīng)商和外部單位信息檔案，張貼緊急熱線聯(lián)系方法及采取應(yīng)急措施時需要對方支持的內(nèi)容。對重要資料進行嚴格監(jiān)控，并進行必要的備份。3、山麗公司應(yīng)急措施本著“質(zhì)量第一、服務(wù)第一，想用戶所想，急用戶所急”的宗旨，山麗公司根據(jù)系統(tǒng)的特點，建立特別事件服務(wù)中心，調(diào)動和發(fā)揮人的積極性與主動性，并且充分結(jié)合了前沿的尖端技術(shù)，融合了網(wǎng)絡(luò)安全工作的"防"與"護"、"靜"與"動"，設(shè)立四個機構(gòu)：緊急響應(yīng)部、咨詢培訓部、研究中心、管理服務(wù)部。4、山麗公司應(yīng)急服務(wù)組織機構(gòu)應(yīng)急服務(wù)組織機構(gòu)圖5、應(yīng)急中心部門職能管理服務(wù)部建立詳細的事件檔案并將事件記錄提交到研究中心；根據(jù)突發(fā)事件的性質(zhì)和實際情況啟動應(yīng)急方案；受理投訴，協(xié)調(diào)處理投訴事件，形成書面資料，并呈送用戶存檔管理，以便用戶日后防范和處理類似事件；促進與國內(nèi)、國際計算機網(wǎng)絡(luò)安全應(yīng)急處理機構(gòu)間的交流與合作。緊急響應(yīng)部處理網(wǎng)絡(luò)安全緊急事件；發(fā)布應(yīng)急處理處理結(jié)果，總結(jié)經(jīng)驗，為用戶提供各種病毒和黑客入侵的預(yù)警信息和技術(shù)防范措施；對已造成的計算機安全事故進行災(zāi)難恢復(fù)和善后處理工作。研究中心研究網(wǎng)絡(luò)安全技術(shù)，黑客攻擊手段，分析緊急事件，提供技術(shù)支持；按時、保質(zhì)、保量地完成用戶緊急需求的開發(fā)，堵阻安全漏洞；咨詢培訓部提供事件前后的安全評估并提交相關(guān)方案；提供事件前后免費或收費的安全技術(shù)培訓；提供應(yīng)急中心所有服務(wù)的業(yè)務(wù)咨詢。6、數(shù)據(jù)及系統(tǒng)的恢復(fù)措施當系統(tǒng)硬件或軟件崩潰，經(jīng)過檢查，確認無法立即修復(fù)時，將按下列步驟處理：?由應(yīng)急工作小組和技術(shù)維護人員，按照應(yīng)急計劃處理；?檢測或修復(fù)硬件，經(jīng)檢查和測試確認無誤；?恢復(fù)系統(tǒng)軟件，經(jīng)檢查測試確認無誤后，再恢復(fù)數(shù)據(jù)；?用最近一次備份的系統(tǒng)和數(shù)據(jù)恢復(fù)，系統(tǒng)能正常運行，業(yè)務(wù)人員確認數(shù)據(jù)無誤后，投入正式使用；?如果最近一次備份的系統(tǒng)和數(shù)據(jù)不能正常運行，應(yīng)用上一次備份的系統(tǒng)和數(shù)據(jù)來恢復(fù)；上述恢復(fù)過程完成后，立即進行系統(tǒng)和數(shù)據(jù)的完整備份，記錄處理過程，向應(yīng)急小組領(lǐng)導(dǎo)和用戶相關(guān)領(lǐng)導(dǎo)匯報。5.3售后服務(wù)流程售后服務(wù)流程圖6產(chǎn)品培訓6.1培訓計劃計算機系統(tǒng)是一項人機系統(tǒng)的工程，人員與技術(shù)的有效結(jié)合必須通過培訓和長期實踐來實現(xiàn)。一個系統(tǒng)運行的好壞，不只是與軟、硬件產(chǎn)品和應(yīng)用系統(tǒng)的質(zhì)量有關(guān)，而且和用戶在計算機應(yīng)用、維護及操作方面的素質(zhì)有著密切關(guān)系，因此，用戶培訓工作是一件極其重要的工作。山麗公司歷來重視幫助用戶對新產(chǎn)品及其有關(guān)的前沿技術(shù)的培訓，以便用戶迅速掌握目前最先進的產(chǎn)品知識和技術(shù)，建立可靠、穩(wěn)定的維護隊伍并及時得到優(yōu)質(zhì)的售后服務(wù)，維護用戶投資的長期利益，我們會不斷地向用戶推出相關(guān)產(chǎn)品的技術(shù)課程培訓及系統(tǒng)