時(shí)代億信文件盾產(chǎn)品電信行業(yè)解決方案.doc
《時(shí)代億信文件盾產(chǎn)品電信行業(yè)解決方案.doc》由會(huì)員分享,可在線(xiàn)閱讀,更多相關(guān)《時(shí)代億信文件盾產(chǎn)品電信行業(yè)解決方案.doc(13頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
時(shí)代億信文件盾產(chǎn)品電信行業(yè)解決方案 (安全產(chǎn)品,數(shù)據(jù)防泄露,文檔加解密,權(quán)限控制,用戶(hù)授權(quán)) 1. 電信行業(yè)數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)概述 運(yùn)營(yíng)商信息系統(tǒng)體系形成了對(duì)企業(yè)管理、運(yùn)營(yíng)、維護(hù)等方面支撐的大量應(yīng)用系統(tǒng),也產(chǎn)生了大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù),這些數(shù)據(jù)是企業(yè)的重要資產(chǎn)之一,是現(xiàn)代企業(yè)的命脈,關(guān)乎企業(yè)的生存與發(fā)展。與此同時(shí),各類(lèi)數(shù)據(jù)信息在處理、共享和使用過(guò)程中也面臨數(shù)據(jù)信息被違規(guī)越權(quán)使用或數(shù)據(jù)信息被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險(xiǎn)。一方面,應(yīng)用系統(tǒng)數(shù)據(jù)處理過(guò)程中涉及到的商業(yè)秘密需要保護(hù);另一方面,運(yùn)營(yíng)過(guò)程中收集和使用的大量的用戶(hù)信息、用戶(hù)業(yè)務(wù)使用信息等個(gè)人隱私數(shù)據(jù),以及數(shù)據(jù)統(tǒng)計(jì)分析所形成的各類(lèi)報(bào)表作為企業(yè)重要的經(jīng)營(yíng)信息也需要保護(hù)。 針對(duì)商業(yè)秘密,國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)頒布了《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》,國(guó)資委保密委員會(huì)頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》,對(duì)中央企業(yè)的商密秘密保護(hù)進(jìn)行規(guī)范和指導(dǎo),確保中央企業(yè)正常經(jīng)營(yíng)利益不受侵害。針對(duì)用戶(hù)隱私數(shù)據(jù),全國(guó)人大頒布了《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,工信部起草了《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定(征求意見(jiàn)稿)》面向社會(huì)公開(kāi)征求意見(jiàn)。因此,加強(qiáng)企業(yè)數(shù)據(jù)信息安全保護(hù),既是企業(yè)自身發(fā)展的客觀(guān)要求,也是國(guó)家法律法規(guī)的要求。 據(jù)權(quán)威機(jī)構(gòu)近幾年調(diào)查數(shù)據(jù)顯示,企業(yè)內(nèi)部用戶(hù)非授權(quán)的訪(fǎng)問(wèn)和濫用導(dǎo)致有意或無(wú)意的信息泄露所造成的損失持續(xù)居于企業(yè)信息安全風(fēng)險(xiǎn)的最前列。目前各IT系統(tǒng)的內(nèi)部用戶(hù)很容易就可以導(dǎo)出系統(tǒng)重要數(shù)據(jù)或者下載系統(tǒng)中的各種電子文檔,而且數(shù)據(jù)和電子文檔的流轉(zhuǎn)渠道多元化,內(nèi)部用戶(hù)可以很輕松地把系統(tǒng)內(nèi)的許多重要信息傳遞到網(wǎng)絡(luò)外部,但是根據(jù)管理規(guī)范這些重要的信息資料,不能輕易離開(kāi)公司的網(wǎng)絡(luò)環(huán)境,甚至不能在公司網(wǎng)絡(luò)內(nèi)部隨意地傳遞與交流。 2. 電信行業(yè)數(shù)據(jù)信息泄露風(fēng)險(xiǎn)點(diǎn)分析 電信行業(yè)運(yùn)營(yíng)商在日常經(jīng)營(yíng)過(guò)程中,容易出現(xiàn)的信息泄露風(fēng)險(xiǎn)依據(jù)應(yīng)用系統(tǒng)用途主要分為兩大類(lèi):管理類(lèi)應(yīng)用系統(tǒng)和業(yè)務(wù)支撐類(lèi)應(yīng)用系統(tǒng)。管理類(lèi)應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)最為典型,也包括財(cái)務(wù)、合同管理、采購(gòu)、CRM等系統(tǒng),業(yè)務(wù)支撐類(lèi)應(yīng)用系統(tǒng)則包括計(jì)費(fèi)、經(jīng)營(yíng)分析、數(shù)據(jù)倉(cāng)庫(kù)等BOSS系統(tǒng)。針對(duì)不同用途的應(yīng)用系統(tǒng),其數(shù)據(jù)信息泄露風(fēng)險(xiǎn)分別分析如下: 2.1 管理類(lèi)應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn) 以O(shè)A系統(tǒng)為例,公文內(nèi)容通常包含企業(yè)戰(zhàn)略決策、市場(chǎng)營(yíng)銷(xiāo)策劃、財(cái)務(wù)報(bào)表、工程設(shè)計(jì)方案、重大會(huì)議紀(jì)要等內(nèi)容,均屬于商業(yè)秘密的范疇。在這些公文處理過(guò)程中出現(xiàn)的風(fēng)險(xiǎn)點(diǎn)主要有: 1)內(nèi)部人員的越權(quán)和違規(guī)操作,如:非法攜帶、非法發(fā)送、非法打??; 2)商業(yè)秘密公文明文存儲(chǔ)和流轉(zhuǎn); 3)黑客/木馬的信息竊??; 4)商業(yè)秘密公文的可流轉(zhuǎn)渠道多,流轉(zhuǎn)不可控。 而OA系統(tǒng)的常見(jiàn)安全措施僅涉及到身份認(rèn)證、日志統(tǒng)計(jì)方面,對(duì)公文內(nèi)容缺乏保護(hù)能力,上述風(fēng)險(xiǎn)點(diǎn)都可能造成公文內(nèi)容的泄露,給企業(yè)經(jīng)營(yíng)造成損失。 2.2 業(yè)務(wù)支撐類(lèi)應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn) 業(yè)務(wù)支撐類(lèi)應(yīng)用系統(tǒng)的數(shù)據(jù)有客戶(hù)資料信息(個(gè)人客戶(hù)、企業(yè)客戶(hù)、渠道客戶(hù))、計(jì)費(fèi)帳務(wù)數(shù)據(jù)(賬單、詳單)、統(tǒng)計(jì)分析數(shù)據(jù)(統(tǒng)計(jì)報(bào)表、經(jīng)營(yíng)分析報(bào)告)等內(nèi)容,均屬于敏感數(shù)據(jù)的范疇,也得到了運(yùn)營(yíng)商的重視,一般均采取了以下幾方面的保護(hù)措施: 1)應(yīng)用系統(tǒng)訪(fǎng)問(wèn)頁(yè)面中信息的混淆,如查詢(xún)出客戶(hù)個(gè)人信息中的姓名、住址、身份證號(hào)碼等信息,只顯示開(kāi)頭和結(jié)尾的字符,中間字符采用***顯示的方式,有效避免了頁(yè)面中敏感內(nèi)容的泄露使用; 2)應(yīng)用系統(tǒng)運(yùn)維的訪(fǎng)問(wèn)控制,通常采用堡壘機(jī)的方式,對(duì)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員進(jìn)行身份認(rèn)證、訪(fǎng)問(wèn)控制和操作行為審計(jì),防止他們進(jìn)行違規(guī)越權(quán)的操作,惡意修改數(shù)據(jù)或超范圍獲取數(shù)據(jù)內(nèi)容。 但上述保護(hù)措施也存在不足,對(duì)敏感數(shù)據(jù)保護(hù)還存在欠缺: 1)應(yīng)用系統(tǒng)訪(fǎng)問(wèn)頁(yè)面中通常都具有數(shù)據(jù)導(dǎo)出功能,可將系統(tǒng)內(nèi)的數(shù)據(jù)形成數(shù)據(jù)文件保存到計(jì)算機(jī)本地,數(shù)據(jù)文件就可以被任意使用; 2)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的備份、數(shù)據(jù)導(dǎo)出都可以將系統(tǒng)內(nèi)的數(shù)據(jù)以文件形式保存到計(jì)算機(jī)本地,數(shù)據(jù)文件就可以被任意使用。 對(duì)業(yè)務(wù)支撐類(lèi)應(yīng)用系統(tǒng)數(shù)據(jù)文件內(nèi)容缺乏保護(hù),會(huì)造成敏感信息的泄露,給企業(yè)的生產(chǎn)經(jīng)營(yíng)造成重大損失。 2.3 泄露風(fēng)險(xiǎn)的應(yīng)對(duì)措施 通過(guò)上述分析,可見(jiàn)數(shù)據(jù)文件存在的主要問(wèn)題有: 1)文件以明文方式存儲(chǔ),任何人員只要得到文件即可輕易打開(kāi)讀取或復(fù)制內(nèi)容; 2)文件與當(dāng)前人員無(wú)任何關(guān)聯(lián),可以任意發(fā)送給內(nèi)部或外部人員,文件的分發(fā)和流向不可控; 3)文件的使用環(huán)境以及編輯、復(fù)制、打印等使用操作上無(wú)任何限制,無(wú)任何使用記錄,無(wú)法審計(jì)。 其應(yīng)對(duì)措施主要有: 1)數(shù)據(jù)文件明文存儲(chǔ)、內(nèi)外部人員的信息竊?。和ㄟ^(guò)對(duì)數(shù)據(jù)文件進(jìn)行加密,形成密文文件; 2)內(nèi)部人員的越權(quán)和違規(guī)操作:使用安全的身份認(rèn)證方式,對(duì)文檔操作進(jìn)行細(xì)粒度授權(quán)和管控,對(duì)文檔的授權(quán)和使用進(jìn)行詳細(xì)審計(jì); 3)數(shù)據(jù)文件的流轉(zhuǎn)渠道不可控:對(duì)文檔在內(nèi)部的分發(fā)授權(quán)進(jìn)行控制,對(duì)文檔向外部發(fā)送的權(quán)限進(jìn)行控制,云桌面/虛擬化移動(dòng)辦公控制文檔不落終端; 4)導(dǎo)出數(shù)據(jù)文件的使用和處理:數(shù)據(jù)文檔加密保護(hù),數(shù)據(jù)文檔權(quán)限控制、使用審計(jì),數(shù)據(jù)文檔安全交換、安全處理。 3. 解決方案 3.1 管理類(lèi)應(yīng)用數(shù)據(jù)保護(hù) 管理類(lèi)應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)使用最為廣泛,應(yīng)用最為典型,下面將以O(shè)A系統(tǒng)為例,說(shuō)明數(shù)據(jù)保護(hù)的方案,其他管理類(lèi)應(yīng)用系統(tǒng)均適用。 OA系統(tǒng)是各類(lèi)公文的流轉(zhuǎn)平臺(tái),其中涉及一般商密、核心商密的公文在流轉(zhuǎn)過(guò)程中亟需加密保護(hù),一旦OA內(nèi)部重要的文檔被非法帶出公司,或在電腦中被病毒、木馬等盜取,文檔的內(nèi)容就將泄露,給公司造成重大損失。因此,需要對(duì)相關(guān)人員的公文操作權(quán)限進(jìn)行控制和操作審計(jì),以防止有意無(wú)意的泄密。 通過(guò)OA文檔安全系統(tǒng)的建設(shè),可實(shí)現(xiàn)對(duì)OA系統(tǒng)中重要公文的加密保護(hù),實(shí)現(xiàn)重要公文在OA系統(tǒng)流轉(zhuǎn)過(guò)程中的授權(quán),以及對(duì)重要公文使用權(quán)限的有效控制和審計(jì),在內(nèi)部辦公網(wǎng)中逐步形成“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的涉密公文和重要信息文件的安全保護(hù)體系。 用戶(hù)信息同步 文檔安全系統(tǒng)可通過(guò)Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶(hù)管理系統(tǒng)中同步用戶(hù)信息和組織機(jī)構(gòu)信息,用戶(hù)無(wú)需記憶新的帳號(hào),直接使用現(xiàn)有帳號(hào)信息。 系統(tǒng)用戶(hù)登錄認(rèn)證信息強(qiáng)制檢測(cè) 用戶(hù)訪(fǎng)問(wèn)OA系統(tǒng)時(shí),強(qiáng)制檢測(cè)是否已安裝并登錄了文檔安全客戶(hù)端,如未安裝或未登錄則不允許訪(fǎng)問(wèn)系統(tǒng);同時(shí),檢測(cè)登錄用戶(hù)和登錄主機(jī)信息的一致性,如果不一致,則也不允許訪(fǎng)問(wèn)系統(tǒng),從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪(fǎng)問(wèn)控制。 (一)文檔安全客戶(hù)端登錄及主機(jī)信息的獲取 用戶(hù)主動(dòng)登錄文檔安全客戶(hù)端或者通過(guò)OA系統(tǒng)單點(diǎn)登錄文檔安全客戶(hù)端成功后,文檔安全客戶(hù)端搜集用戶(hù)主機(jī)信息,包括:客戶(hù)端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱(chēng)、文檔安全客戶(hù)端的版本及當(dāng)前用戶(hù)名和用戶(hù)登錄時(shí)間,提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ),用戶(hù)狀態(tài)標(biāo)記為已登錄。當(dāng)用戶(hù)注銷(xiāo)文檔安全客戶(hù)端時(shí),用戶(hù)狀態(tài)將更新為未登錄。 (二)OA系統(tǒng)登錄認(rèn)證信息的強(qiáng)制檢測(cè) 1) 用戶(hù)通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪(fǎng)問(wèn)OA系統(tǒng); 2) 系統(tǒng)通過(guò)JavaScript腳本調(diào)用文檔安全客戶(hù)端的COM組件接口,檢測(cè)文檔安全客戶(hù)端是否已登錄; 如果文檔安全客戶(hù)端未安裝,則捕獲錯(cuò)誤信息,提示用戶(hù)“必須先安裝文檔安全客戶(hù)端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交; 如果COM組件接口返回值表明客戶(hù)端未登錄,則提示用戶(hù)“必須先登錄文檔安全客戶(hù)端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交; 如果COM組件接口返回值表明客戶(hù)端已登錄,則通過(guò)COM組件接口獲取主機(jī)的IP和MAC地址,并隨登錄/單點(diǎn)登錄信息一起提交至OA系統(tǒng)服務(wù)端; 3) OA系統(tǒng)收到信息后,驗(yàn)證登錄的用戶(hù)名/密碼或單點(diǎn)登錄信息是否正確,如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng); 4) 如果登錄/單點(diǎn)登錄信息驗(yàn)證正確,則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口,校驗(yàn)客戶(hù)端提交的當(dāng)前用戶(hù)主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶(hù)最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致;如果不一致,則拒絕登錄系統(tǒng),否則登錄成功。 (三)通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性 在通過(guò)VPN訪(fǎng)問(wèn)OA系統(tǒng)時(shí),OA系統(tǒng)服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶(hù)端訪(fǎng)問(wèn)IP地址均為VPN服務(wù)器IP地址,無(wú)法獲得客戶(hù)端真實(shí)IP地址,因而登錄信息的一致性檢測(cè)不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。 本方案采用文檔安全客戶(hù)端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址,并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶(hù)和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn),不受網(wǎng)絡(luò)、應(yīng)用部署和訪(fǎng)問(wèn)方式的影響,同時(shí)便于準(zhǔn)確追查。 OA系統(tǒng)文檔安全集成 OA系統(tǒng)與文檔安全系統(tǒng)集成,主要包括:組織機(jī)構(gòu)/用戶(hù)信息的同步、單點(diǎn)登錄、文檔的自動(dòng)加密和自動(dòng)授權(quán)。通過(guò)集成將安全隱藏在OA公文流程之中,不改變用戶(hù)使用習(xí)慣,兼顧安全性與易用性。 圖1: OA系統(tǒng)文檔安全集成功能流程示意圖 (一)客戶(hù)端認(rèn)證和單點(diǎn)登錄 文檔安全系統(tǒng)與OA系統(tǒng)通過(guò)接口實(shí)現(xiàn)組織機(jī)構(gòu)和用戶(hù)的同步。當(dāng)用戶(hù)登錄訪(fǎng)問(wèn)OA系統(tǒng)時(shí),調(diào)用文檔安全控件的單點(diǎn)登錄接口實(shí)現(xiàn)文檔安全客戶(hù)端的自動(dòng)登錄,用戶(hù)無(wú)需進(jìn)行二次認(rèn)證。 (二)發(fā)文/收文過(guò)程中的密級(jí)文檔加密 在發(fā)文擬稿或收文登記時(shí),OA系統(tǒng)調(diào)用文檔安全控件的加密接口,自動(dòng)對(duì)公文正文和上傳的附件進(jìn)行加密。 公文一旦加密,在流轉(zhuǎn)的各個(gè)環(huán)節(jié),無(wú)論是閱讀還是再次編輯,均保持加密狀態(tài),用戶(hù)對(duì)公文的使用操作方式不變。 (三)發(fā)文/收文過(guò)程中的密級(jí)文檔授權(quán) 在發(fā)文擬稿、審批、核稿、成文以及收文閱辦等階段, OA系統(tǒng)調(diào)用文檔安全系統(tǒng)授權(quán)接口,自動(dòng)對(duì)公文下一處理環(huán)節(jié)所涉及的用戶(hù)、用戶(hù)組、組織機(jī)構(gòu)進(jìn)行授權(quán)。 在發(fā)文擬稿、審批、核稿、成文階段,對(duì)于公文正文,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶(hù)授予閱讀、編輯、復(fù)制、水印打印權(quán)限;對(duì)于公文附件,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶(hù)授予閱讀、水印打印權(quán)限。 在成文后或收文閱辦階段,對(duì)于公文正文和附件,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶(hù)授予閱讀權(quán)限。 圖2: 在OA流程各節(jié)點(diǎn)中配置相應(yīng)權(quán)限示例 各級(jí)文檔管理員可以在SecureDOC文檔安全保護(hù)系統(tǒng)的管理系統(tǒng)(SDMS)中隨時(shí)追加或撤銷(xiāo)用戶(hù)對(duì)公文的操作權(quán)限,而無(wú)需回收公文。 對(duì)VPN遠(yuǎn)程辦公的支持 電信省公司使用VPN實(shí)現(xiàn)遠(yuǎn)程辦公,通過(guò)在VPN服務(wù)器上配置接入文檔安全服務(wù)器,實(shí)現(xiàn)員工在企業(yè)辦公環(huán)境之外,通過(guò)VPN接入企業(yè)辦公環(huán)境,對(duì)加密文檔進(jìn)行受控使用操作。 對(duì)手機(jī)/平板電腦移動(dòng)辦公的支持 為支持手機(jī)/平板電腦對(duì)OA加密公文的閱讀,在移動(dòng)辦公服務(wù)器上調(diào)用文檔安全解密接口,當(dāng)手機(jī)/平板電腦查看密級(jí)公文時(shí),自動(dòng)解密公文推送至移動(dòng)終端并打開(kāi),當(dāng)文檔關(guān)閉時(shí),自動(dòng)刪除移動(dòng)終端上的解密文檔,不在移動(dòng)終端上存儲(chǔ)。 對(duì)OA公文互通的支持 通過(guò)公文互通接收集團(tuán)總部向省公司下發(fā)的公文時(shí),OA系統(tǒng)自動(dòng)調(diào)用文檔安全系統(tǒng)加密和授權(quán)接口,實(shí)現(xiàn)集團(tuán)來(lái)文的自動(dòng)加密和流轉(zhuǎn)的自動(dòng)授權(quán),從而實(shí)現(xiàn)對(duì)集團(tuán)下發(fā)公文在省公司OA系統(tǒng)流轉(zhuǎn)各環(huán)節(jié)的保護(hù)。 用戶(hù)本機(jī)重要文檔的保護(hù)(可選) 文檔安全客戶(hù)端提供右鍵菜單,為用戶(hù)本機(jī)的重要文檔提供加密保護(hù),加密后的文檔,用戶(hù)自己(作者)擁有所有權(quán)限,自己的操作不受任何限制。當(dāng)用戶(hù)將本機(jī)加密的文檔發(fā)送給企業(yè)內(nèi)其他人員時(shí),需要通過(guò)右鍵菜單對(duì)接收人予以授權(quán),文檔的發(fā)送渠道不受限制。 3.2 業(yè)務(wù)支撐類(lèi)應(yīng)用數(shù)據(jù)保護(hù) 用戶(hù)信息同步與轉(zhuǎn)換 文檔安全系統(tǒng)可通過(guò)Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶(hù)管理系統(tǒng)中同步用戶(hù)信息和組織機(jī)構(gòu)信息,用戶(hù)無(wú)需記憶新的帳號(hào),直接使用現(xiàn)有帳號(hào)信息。 業(yè)務(wù)支撐類(lèi)應(yīng)用如果具有獨(dú)立的用戶(hù)登錄信息,建議與統(tǒng)一用戶(hù)管理系統(tǒng)或企業(yè)目錄中存儲(chǔ)的用戶(hù)信息建立映射關(guān)系,當(dāng)調(diào)用文檔安全系統(tǒng)集成接口時(shí),可以通過(guò)該映射關(guān)系完成用戶(hù)身份信息的轉(zhuǎn)換,得到與文檔安全系統(tǒng)一致的用戶(hù)名。 系統(tǒng)用戶(hù)登錄認(rèn)證信息強(qiáng)制檢測(cè) 用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應(yīng)用時(shí),強(qiáng)制檢測(cè)是否已安裝并登錄了文檔安全客戶(hù)端,如未安裝或未登錄則不允許訪(fǎng)問(wèn)系統(tǒng);同時(shí),檢測(cè)登錄用戶(hù)和登錄主機(jī)信息的一致性,如果不一致,則也不允許訪(fǎng)問(wèn)系統(tǒng),從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪(fǎng)問(wèn)控制。 (一)文檔安全客戶(hù)端登錄及主機(jī)信息的獲取 用戶(hù)主動(dòng)登錄文檔安全客戶(hù)端或者通過(guò)業(yè)務(wù)支撐類(lèi)應(yīng)用單點(diǎn)登錄文檔安全客戶(hù)端成功后,文檔安全客戶(hù)端搜集用戶(hù)主機(jī)信息,包括:客戶(hù)端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱(chēng)、文檔安全客戶(hù)端的版本及當(dāng)前用戶(hù)名和用戶(hù)登錄時(shí)間,提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ),用戶(hù)狀態(tài)標(biāo)記為已登錄。當(dāng)用戶(hù)注銷(xiāo)文檔安全客戶(hù)端時(shí),用戶(hù)狀態(tài)將更新為未登錄。 (二)業(yè)務(wù)支撐類(lèi)應(yīng)用登錄認(rèn)證信息的強(qiáng)制檢測(cè) 1) 用戶(hù)通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應(yīng)用; 2) 系統(tǒng)通過(guò)JavaScript腳本調(diào)用文檔安全客戶(hù)端的COM組件接口,檢測(cè)文檔安全客戶(hù)端是否已登錄; 如果文檔安全客戶(hù)端未安裝,則捕獲錯(cuò)誤信息,提示用戶(hù)“必須先安裝文檔安全客戶(hù)端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交; 如果COM組件接口返回值表明客戶(hù)端未登錄,則提示用戶(hù)“必須先登錄文檔安全客戶(hù)端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交; 如果COM組件接口返回值表明客戶(hù)端已登錄,則通過(guò)COM組件接口獲取主機(jī)的IP和MAC地址,并隨登錄/單點(diǎn)登錄信息一起提交至業(yè)務(wù)系統(tǒng)服務(wù)端; 3) 業(yè)務(wù)系統(tǒng)收到信息后,驗(yàn)證登錄的用戶(hù)名/密碼或單點(diǎn)登錄信息是否正確,如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng); 4) 如果登錄/單點(diǎn)登錄信息驗(yàn)證正確,則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口,校驗(yàn)客戶(hù)端提交的當(dāng)前用戶(hù)主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶(hù)最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致;如果不一致,則拒絕登錄系統(tǒng),否則登錄成功。 (三)通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性 在通過(guò)VPN訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)時(shí),業(yè)務(wù)系統(tǒng)服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶(hù)端訪(fǎng)問(wèn)IP地址均為VPN服務(wù)器IP地址,無(wú)法獲得客戶(hù)端真實(shí)IP地址,因而登錄信息的一致性檢測(cè)不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。 本方案采用文檔安全客戶(hù)端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址,并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶(hù)和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn),不受網(wǎng)絡(luò)、應(yīng)用部署和訪(fǎng)問(wèn)方式的影響,同時(shí)便于準(zhǔn)確追查。 系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù) 業(yè)務(wù)支撐類(lèi)應(yīng)用前臺(tái)業(yè)務(wù)人員可通過(guò)Web頁(yè)面查詢(xún)數(shù)據(jù)并導(dǎo)出為文件進(jìn)行下載。文檔安全系統(tǒng)在服務(wù)端為業(yè)務(wù)支撐類(lèi)應(yīng)用提供文檔的發(fā)布、加密、授權(quán)等Java服務(wù)接口,實(shí)現(xiàn)對(duì)導(dǎo)出文件的加密和對(duì)當(dāng)前用戶(hù)的文檔授權(quán),不依賴(lài)于文檔安全客戶(hù)端。即使終端主機(jī)上未安裝文檔安全客戶(hù)端或文檔安全客戶(hù)端未登錄,導(dǎo)出下載的數(shù)據(jù)文件仍為加密文件。 圖3: 業(yè)務(wù)支撐類(lèi)應(yīng)用前臺(tái)數(shù)據(jù)文件加密下載和使用控制功能流程示意 系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過(guò)程如下: (1)業(yè)務(wù)支撐類(lèi)應(yīng)用前臺(tái)業(yè)務(wù)人員,通過(guò)Web頁(yè)面查詢(xún)系統(tǒng)數(shù)據(jù)或進(jìn)行數(shù)據(jù)分析之后,點(diǎn)擊頁(yè)面上的導(dǎo)出/下載相關(guān)功能按鈕; (2)系統(tǒng)服務(wù)端根據(jù)請(qǐng)求,將數(shù)據(jù)生成為文件(如:Excel、CSV文件); (3)系統(tǒng)在服務(wù)端調(diào)用文檔安全系統(tǒng)Java服務(wù)接口,實(shí)現(xiàn)數(shù)據(jù)文件信息的發(fā)布和文件內(nèi)容加密,并調(diào)用文檔安全系統(tǒng)Java服務(wù)接口對(duì)當(dāng)前用戶(hù)進(jìn)行授權(quán),默認(rèn)只授予閱讀權(quán)限;對(duì)于個(gè)別需要處理的數(shù)據(jù)文件,可授予閱讀和編輯權(quán)限;對(duì)于需要發(fā)送給其他人員的數(shù)據(jù)文件,可授予閱讀和分發(fā)權(quán)限; (4)加密后的數(shù)據(jù)文件返回給客戶(hù)端進(jìn)行下載保存。 系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù) ODS系統(tǒng)后臺(tái)管理維護(hù)人員可以根據(jù)省市相關(guān)部門(mén)提交的數(shù)據(jù)導(dǎo)出申請(qǐng)和審批結(jié)果,通過(guò)數(shù)據(jù)庫(kù)客戶(hù)端工具(如:PLSQL或SQL Plus)直接連接系統(tǒng)數(shù)據(jù)庫(kù),進(jìn)行數(shù)據(jù)查詢(xún)并導(dǎo)出為文件(如:Excel、CSV、TXT),然后再發(fā)送給相關(guān)申請(qǐng)人員進(jìn)行處理。 由于部分維護(hù)人員可能是外部代維人員,因此需要在文檔安全系統(tǒng)中為這部分人員建立帳號(hào)。 (一)無(wú)堡壘主機(jī)情況下的保護(hù)方案(改成云桌面加文件中轉(zhuǎn)站方式) 需要結(jié)合制度規(guī)定,要求管理維護(hù)人員對(duì)數(shù)據(jù)庫(kù)客戶(hù)端工具導(dǎo)出的數(shù)據(jù)文件進(jìn)行手工加密和授權(quán)工作: (1)管理維護(hù)人員在數(shù)據(jù)庫(kù)客戶(hù)端工具導(dǎo)出的數(shù)據(jù)文件上,點(diǎn)擊右鍵,從彈出的右鍵菜單中選擇“加密”,完成對(duì)數(shù)據(jù)文件的手工加密操作; (2)管理維護(hù)人員在加密后的數(shù)據(jù)文件上,點(diǎn)擊右鍵,從彈出的右鍵菜單中選擇“授權(quán)”,并在彈出的授權(quán)界面中的企業(yè)組織機(jī)構(gòu)/用戶(hù)目錄樹(shù)中選擇相應(yīng)的接收人員,設(shè)置具體的操作權(quán)限; 對(duì)于接收到數(shù)據(jù)文件后,需要將數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫(kù)進(jìn)行分析的情況,在授權(quán)時(shí),可對(duì)接收人員授予閱讀和解密權(quán)限,并綁定主機(jī)信息;接收人員只有在綁定的主機(jī)上登錄文檔安全客戶(hù)端,才能解密數(shù)據(jù)文件,導(dǎo)入數(shù)據(jù)庫(kù),同時(shí)文檔安全系統(tǒng)將記錄操作日志。 (二)有堡壘主機(jī)情況下的保護(hù)方案 通過(guò)堡壘主機(jī)防護(hù),限定管理維護(hù)人員只有在堡壘主機(jī)上才能通過(guò)數(shù)據(jù)庫(kù)客戶(hù)端工具對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行導(dǎo)出操作,限定地市業(yè)務(wù)人員只有在堡壘主機(jī)上才能將數(shù)據(jù)導(dǎo)入到地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)中并進(jìn)行相關(guān)分析工作。 對(duì)于地市申請(qǐng)導(dǎo)出的數(shù)據(jù),管理維護(hù)人員在堡壘機(jī)上導(dǎo)出后,通過(guò)文檔安全系統(tǒng),將數(shù)據(jù)文件加密上傳至文檔安全系統(tǒng)文檔中轉(zhuǎn)站,并由管理維護(hù)人員對(duì)地市業(yè)務(wù)人員進(jìn)行授權(quán),通過(guò)文檔安全系統(tǒng)高級(jí)權(quán)限設(shè)置中的IP/MAC/機(jī)器碼綁定功能,實(shí)現(xiàn)地市業(yè)務(wù)人員只能在指定的堡壘主機(jī)上進(jìn)行數(shù)據(jù)文件解密和導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)的操作。 圖4: 基于堡壘主機(jī)的系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件保護(hù)功能流程示意 系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過(guò)程如下: (1)管理維護(hù)人員登錄堡壘主機(jī); (2)管理維護(hù)人員在堡壘主機(jī)上,通過(guò)數(shù)據(jù)庫(kù)客戶(hù)端工具查詢(xún)系統(tǒng)數(shù)據(jù)庫(kù)導(dǎo)出數(shù)據(jù)文件; (3)管理維護(hù)人員通過(guò)文檔安全系統(tǒng)客戶(hù)端的文檔中轉(zhuǎn)站功能,選擇導(dǎo)出的數(shù)據(jù)文件,將自動(dòng)加密上傳至文檔中轉(zhuǎn)站; 管理維護(hù)人員從企業(yè)組織機(jī)構(gòu)/用戶(hù)目錄樹(shù)中選擇地市業(yè)務(wù)人員進(jìn)行文檔授權(quán),授予閱讀和解密權(quán)限,并在高級(jí)權(quán)限設(shè)置中綁定地市業(yè)務(wù)人員可登錄使用的堡壘機(jī)的IP/MAC/機(jī)器碼(也可通過(guò)在文檔安全系統(tǒng)服務(wù)端設(shè)置,完成自動(dòng)綁定) (4)地市業(yè)務(wù)人員登錄相關(guān)的堡壘主機(jī); (5)地市業(yè)務(wù)人員在堡壘主機(jī)上,登錄文檔安全系統(tǒng),從文檔中轉(zhuǎn)站中下載接收到的數(shù)據(jù)文件(由于綁定了堡壘主機(jī)信息,如果在其他主機(jī)上下載該數(shù)據(jù)文件,則無(wú)法打開(kāi)); (6)地市業(yè)務(wù)人員在堡壘主機(jī)上,解密數(shù)據(jù)文件(文檔安全客戶(hù)端校驗(yàn)綁定信息和權(quán)限并記錄日志),導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)并進(jìn)行分析。 4. 建設(shè)效果 通過(guò)電子文檔安全系統(tǒng)的建設(shè),以及與MBOSS相關(guān)應(yīng)用系統(tǒng)的集成,實(shí)現(xiàn)對(duì)含有商業(yè)秘密的流轉(zhuǎn)公文與系統(tǒng)生成的敏感數(shù)據(jù)文件的加密保護(hù)、權(quán)限控制和使用審計(jì),防止敏感數(shù)據(jù)文件的非授權(quán)訪(fǎng)問(wèn)和違規(guī)使用,有效保各類(lèi)用戶(hù)信息和企業(yè)重要經(jīng)營(yíng)信息的安全。 具體目標(biāo)主要包括: (1)實(shí)現(xiàn)與省公司OA系統(tǒng)的無(wú)縫集成,對(duì)于OA系統(tǒng)中的所有公文進(jìn)行自動(dòng)加密、自動(dòng)授權(quán); (2)實(shí)現(xiàn)OA公文在流轉(zhuǎn)過(guò)程中以及本地操作過(guò)程中的全程受控操作和日志審計(jì); (3)增強(qiáng)EDA域相關(guān)系統(tǒng)登錄和訪(fǎng)問(wèn)控制機(jī)制,不安裝文檔安全客戶(hù)端則不允許登錄訪(fǎng)問(wèn)業(yè)務(wù)支撐類(lèi)應(yīng)用,并檢查登錄人員及客戶(hù)端主機(jī)信息的一致性; (4)對(duì)前臺(tái)人員導(dǎo)出的數(shù)據(jù)文件自動(dòng)進(jìn)行加密和授權(quán)處理,控制當(dāng)前人員對(duì)數(shù)據(jù)文件的閱讀、編輯、復(fù)制、打印、截屏等操作權(quán)限并記錄日志; (5)前臺(tái)人員將下載的加密數(shù)據(jù)文件帶至企業(yè)外部,或者直接發(fā)送給任何內(nèi)部或外部人員,均無(wú)法打開(kāi)閱讀,必須經(jīng)過(guò)許可授權(quán); (6)后臺(tái)人員根據(jù)申請(qǐng)審批結(jié)果導(dǎo)出的數(shù)據(jù)文件,由后臺(tái)人員按要求進(jìn)行加密,并授權(quán)給相關(guān)接收人員,接收人員只能在許可范圍內(nèi)受控操作數(shù)據(jù)文件,如需解密需經(jīng)許可授權(quán)。 (7)實(shí)現(xiàn)“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的文檔安全體系; (8)既保證內(nèi)部合法用戶(hù)對(duì)重要文檔的合理使用,又控制文檔的傳播范圍和使用權(quán)限,防范企業(yè)內(nèi)部和外部的各種泄密風(fēng)險(xiǎn); 4.1加密文件的使用控制和審計(jì) 文檔的透明加解密 圖5: 文檔透明加解密和操作權(quán)限控制 文檔安全客戶(hù)端對(duì)文檔采用驅(qū)動(dòng)級(jí)透明加解密: (1)加密后的文檔,文檔擴(kuò)展名不變、文檔圖標(biāo)不變(只在原圖標(biāo)右下角自動(dòng)加上“鎖”圖標(biāo),以方便用戶(hù)區(qū)別明文文檔和密文文檔)、文檔的關(guān)聯(lián)程序不變、用戶(hù)對(duì)文檔的操作方式不變; (2)加密后的文檔,有權(quán)限的用戶(hù)在打開(kāi)時(shí)自動(dòng)在內(nèi)存中解密,不在磁盤(pán)上產(chǎn)生明文文檔;用戶(hù)再次編輯保存時(shí),文檔自動(dòng)加密; 支持Office系列、WPS系列、Acrobat、福昕、記事本、寫(xiě)字板等常見(jiàn)軟件的文檔格式。 文檔權(quán)限的細(xì)粒度控制 SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)以文檔加密為基礎(chǔ),實(shí)現(xiàn)文檔操作權(quán)限的細(xì)粒度控制。加密文檔和權(quán)限分離,在操作加密文檔時(shí),首先需要通過(guò)身份認(rèn)證,然后根據(jù)當(dāng)前用戶(hù)身份從文檔安全服務(wù)器獲取當(dāng)前用戶(hù)對(duì)該文檔的操作權(quán)限。因此,加密的文檔在未被授權(quán)或未經(jīng)許可脫離企業(yè)辦公環(huán)境時(shí)將無(wú)法使用。 SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)客戶(hù)端在用戶(hù)終端的操作系統(tǒng)層面控制文檔的操作權(quán)限,不依賴(lài)于具體的應(yīng)用軟件。對(duì)文檔操作權(quán)限的具體控制如下: 閱讀——控制文檔是否可以打開(kāi)閱讀 編輯——控制文檔內(nèi)容是否可以被編輯保存 復(fù)制——控制系統(tǒng)剪貼板,防止文檔內(nèi)容通過(guò)剪貼板復(fù)制/剪切 打印——控制文檔是否可以打印,包括虛擬打印 水印打印——控制文檔打印時(shí)自動(dòng)加入水印信息 截屏——對(duì)常用的截屏軟件和屏幕錄像軟件進(jìn)行控制 分發(fā)——控制對(duì)文檔是否可以再授權(quán),從而控制文檔的傳播范圍 離線(xiàn)——控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用 外發(fā)——控制文檔是否可以發(fā)送到企業(yè)外部機(jī)構(gòu)、客戶(hù)、合作伙伴 解密——控制文檔是否可以被解密為明文 文檔閱讀權(quán)限控制 用戶(hù)未安裝文檔安全客戶(hù)端時(shí),無(wú)法打開(kāi)加密文檔或打開(kāi)只能看到亂碼。 用戶(hù)安裝了文檔安全客戶(hù)端并登錄,但對(duì)文檔無(wú)權(quán)限,雙擊文檔時(shí)提示“您沒(méi)有該文檔的閱讀權(quán)限”,拒絕打開(kāi)文檔或打開(kāi)只能看到亂碼。 文檔編輯權(quán)限控制 通過(guò)客戶(hù)端文件過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)對(duì)文檔寫(xiě)權(quán)限的控制,當(dāng)用戶(hù)有編輯權(quán)限時(shí),可以對(duì)文件進(jìn)行編輯,編輯后可以保存或者另存,同時(shí)客戶(hù)端文件過(guò)濾驅(qū)動(dòng)對(duì)保存或另存的文檔實(shí)現(xiàn)自動(dòng)加密。 當(dāng)用戶(hù)沒(méi)有編輯權(quán)限時(shí),即使對(duì)文件進(jìn)行了修改操作,通過(guò)客戶(hù)端文件過(guò)濾驅(qū)動(dòng)也將禁止保存和另存。 文檔復(fù)制權(quán)限控制 對(duì)文檔復(fù)制權(quán)限的控制方式有兩種:一種是如果沒(méi)有權(quán)限,則完全禁用復(fù)制功能,系統(tǒng)剪貼板中將無(wú)任何內(nèi)容;另一種則允許在受控進(jìn)程之間復(fù)制內(nèi)容。 文檔打印權(quán)限控制 用戶(hù)對(duì)文檔無(wú)打印權(quán)限時(shí),將禁止對(duì)文檔的打印和虛擬打印操作; 用戶(hù)對(duì)文檔有打印權(quán)限時(shí),也可以在打印時(shí)根據(jù)當(dāng)前用戶(hù)信息強(qiáng)制加入水印信息(比如,公司名稱(chēng)、當(dāng)前用戶(hù)、打印時(shí)間等)。 文檔截屏權(quán)限控制 實(shí)現(xiàn)對(duì)鍵盤(pán)截屏的阻止,同時(shí)阻止常用截屏軟件(如:QQ等)、屏幕錄像軟件(如:紅蜻蜓、屏幕錄像專(zhuān)家等)對(duì)加密文檔的截屏操作,保護(hù)文檔內(nèi)容。 文檔離線(xiàn)權(quán)限的控制 用戶(hù)如果擁有離線(xiàn)權(quán)限,在無(wú)法連接網(wǎng)絡(luò)或無(wú)法連接企業(yè)辦公環(huán)境時(shí),可以在離線(xiàn)策略許可的權(quán)限范圍內(nèi),操作加密文檔。 文檔客戶(hù)端定時(shí)從服務(wù)器自動(dòng)同步離線(xiàn)策略到用戶(hù)本機(jī)并加密存儲(chǔ);用戶(hù)也可以向文檔管理員申請(qǐng)?jiān)诠芾硐到y(tǒng)中導(dǎo)出自己的離線(xiàn)策略,并在文檔安全客戶(hù)端中導(dǎo)入離線(xiàn)策略。 文檔外發(fā)權(quán)限控制 用戶(hù)如果擁有外發(fā)權(quán)限,可以將相應(yīng)的加密文檔發(fā)送給企業(yè)外部機(jī)構(gòu)、客戶(hù)、合作伙伴,但需要通過(guò)文檔安全客戶(hù)端制作文檔外發(fā)包。 制作文檔外發(fā)包時(shí),可以設(shè)定密碼,可以設(shè)定閱讀的時(shí)間段和次數(shù),以及其它操作權(quán)限。 文檔外發(fā)包為雙擊自解壓文檔,接收方無(wú)需手工安裝任何客戶(hù)端,即可受控操作文檔。 文檔權(quán)限的高級(jí)策略設(shè)置 SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)對(duì)合法用戶(hù)的文檔操作權(quán)限可以設(shè)置高級(jí)策略進(jìn)一步進(jìn)行限定,具體策略如下: 使用期限——控制文檔只能在有效起止時(shí)間內(nèi)使用; IP地址/地址段——控制文檔只能在指定IP地址/地址段的主機(jī)上使用; MAC地址——控制文檔只能在指定MAC地址的主機(jī)上使用; 機(jī)器碼——控制文檔只能在指定機(jī)器碼的主機(jī)上使用。 文檔自動(dòng)增加閱讀水印 加密文檔通過(guò)SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)的細(xì)粒度權(quán)限控制功能,已經(jīng)可以在很大程度上控制合法用戶(hù)對(duì)文檔內(nèi)容的使用權(quán)限,但對(duì)于使用電腦技術(shù)以外手段獲取文檔內(nèi)容的方法,例如采用手機(jī)、相機(jī)拍攝已經(jīng)打開(kāi)加密文檔的屏幕手段,卻無(wú)法起到作用。 為此,SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)特別提供了加密文檔自動(dòng)增加閱讀水印功能,在合法用戶(hù)打開(kāi)加密文檔時(shí)水印信息自動(dòng)浮現(xiàn)在文檔內(nèi)容中,水印信息可由管理系統(tǒng)定義,顯示當(dāng)前閱讀者的身份信息等,從而有效阻止對(duì)屏幕內(nèi)容的拍攝,保護(hù)文檔內(nèi)容的安全。 文檔操作的日志記錄 用戶(hù)在線(xiàn)對(duì)加密文檔進(jìn)行操作時(shí),文檔安全客戶(hù)端將實(shí)時(shí)記錄各項(xiàng)操作日志并上傳至服務(wù)器。 用戶(hù)離線(xiàn)對(duì)加密文檔進(jìn)行操作時(shí),文檔安全客戶(hù)端將記錄各項(xiàng)操作日志,并在客戶(hù)端加密存儲(chǔ);當(dāng)用戶(hù)下次在線(xiàn)登錄時(shí),將自動(dòng)上傳離線(xiàn)操作日志至服務(wù)器。 日志內(nèi)容包括:客戶(hù)端IP地址、操作用戶(hù)、操作時(shí)間、操作的文檔、具體操作等。 4.2加密文件的動(dòng)態(tài)權(quán)限管理 文檔權(quán)限的追加和撤銷(xiāo) 文檔管理員在服務(wù)端可以隨時(shí)追加或撤銷(xiāo)授權(quán)對(duì)象的文檔操作權(quán)限,而無(wú)需回收或重發(fā)加密文檔。 文檔授權(quán)對(duì)象的管理 文檔的授權(quán)對(duì)象可以支持用戶(hù)、組織機(jī)構(gòu)、用戶(hù)組,以方便精確快速授權(quán)。 文檔權(quán)限的存儲(chǔ)和查詢(xún) 文檔安全服務(wù)端為客戶(hù)端提供文檔權(quán)限的接收存儲(chǔ)和查詢(xún)服務(wù),所有對(duì)用戶(hù)的文檔授權(quán)信息,將在服務(wù)端進(jìn)行集中存儲(chǔ);當(dāng)用戶(hù)操作文檔時(shí),客戶(hù)端可以從服務(wù)端實(shí)時(shí)獲取當(dāng)前用戶(hù)對(duì)所操作文檔的權(quán)限列表,以按照該列表控制用戶(hù)對(duì)文檔的操作。 文檔日志審計(jì)與備份 文檔安全服務(wù)端接收客戶(hù)端上傳的文檔操作日志信息并存儲(chǔ),并對(duì)文檔授權(quán)日志、文檔操作日志等進(jìn)行審計(jì),并可以導(dǎo)出成EXCEL文檔以進(jìn)行備份。 詳情請(qǐng)登錄時(shí)代億信官網(wǎng):http://www.eetrust.com/ 或關(guān)注時(shí)代億信微博:http://e.weibo.com/shidaiyixin # # # 關(guān)于時(shí)代億信 北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專(zhuān)業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢(shì),專(zhuān)注于數(shù)字證書(shū)應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶(hù)提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢(shì)和綜合技術(shù)能力,公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪(fǎng)問(wèn)控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專(zhuān)業(yè)技術(shù)實(shí)力和成熟的客戶(hù)服務(wù)經(jīng)驗(yàn),經(jīng)過(guò)不斷努力,已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。 聯(lián)系我們 聯(lián)絡(luò)人:李雪 電話(huà): 010-82053091 傳真: 010-82055353-8818 郵箱: lix@eetrust.com 地址: 北京市海淀區(qū)西直門(mén)北大街32號(hào)院(楓藍(lán)國(guó)際)A座804室(100082) 網(wǎng)址:http://www.eetrust.com/ 微博:http://e.weibo.com/shidaiyixin- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 時(shí)代 文件 產(chǎn)品 電信行業(yè) 解決方案
鏈接地址:http://italysoccerbets.com/p-8882799.html