一、項(xiàng)目簡介

某銀行在線辦公系統(tǒng)由門戶系統(tǒng)、OA系統(tǒng)和KM系統(tǒng)組成，日常產(chǎn)生和存儲(chǔ)了大量企業(yè)重要文檔，涉及企業(yè)運(yùn)營的核心信息，是十分重要的核心電子資產(chǎn)。這些系統(tǒng)只有簡單的保密存儲(chǔ)、權(quán)限保護(hù)技術(shù)措施，但不能滿足對(duì)重要文檔的安全保密需求，也無法保護(hù)用戶終端所存儲(chǔ)的重要文檔。

 

同時(shí)，與辦公網(wǎng)段一樣，處于生產(chǎn)網(wǎng)段的核心系統(tǒng)也會(huì)有重要文檔的產(chǎn)生與存儲(chǔ)使用保護(hù)需求。員工通過客戶端軟件進(jìn)行網(wǎng)絡(luò)切換，在同一臺(tái)電腦終端上同時(shí)具有不同網(wǎng)段的文檔，如何進(jìn)行保護(hù)也是一個(gè)重要問題。

 

二、項(xiàng)目需求

時(shí)代億信會(huì)同銀行科技部門認(rèn)真分析系統(tǒng)現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀，總結(jié)文檔安全保護(hù)系統(tǒng)的建設(shè)目標(biāo)如下：

實(shí)現(xiàn)對(duì)文檔的透明加解密，不改變文件格式，用戶易于接受和使用。

實(shí)現(xiàn)對(duì)文檔的細(xì)粒度權(quán)限控制，防止用戶獲得文檔后不受限制的任意使用文檔內(nèi)容。

詳細(xì)記錄用戶對(duì)文檔的操作內(nèi)容，實(shí)現(xiàn)全面的日志審計(jì)。

實(shí)現(xiàn)文檔的離線使用，脫離企業(yè)安全環(huán)境下也能夠受控的使用。

實(shí)現(xiàn)對(duì)企業(yè)外部用戶的文檔使用權(quán)限控制。

實(shí)現(xiàn)與應(yīng)用系統(tǒng)的無縫集成，對(duì)應(yīng)用系統(tǒng)產(chǎn)生的文檔自動(dòng)加密、自動(dòng)授權(quán)。

實(shí)現(xiàn)對(duì)不同網(wǎng)段應(yīng)用系統(tǒng)的保護(hù)，兼容現(xiàn)有客戶端網(wǎng)段切換程序。

 

三、項(xiàng)目建設(shè)效果

3.1整體體系結(jié)構(gòu)

 

圖：文檔安全體系結(jié)構(gòu)

 

體系組成說明：

辦公網(wǎng)段和生產(chǎn)網(wǎng)段各部署文檔安全系統(tǒng)，負(fù)責(zé)管理本網(wǎng)段的客戶端文檔安全服務(wù)和本網(wǎng)段應(yīng)用系統(tǒng)的文檔安全服務(wù)。由于辦公網(wǎng)段和生產(chǎn)網(wǎng)段互相隔離，但又有統(tǒng)一的數(shù)據(jù)庫網(wǎng)段，因此采用連接同一個(gè)數(shù)據(jù)庫服務(wù)器的方式實(shí)現(xiàn)跨網(wǎng)段信息交互。

 

每個(gè)網(wǎng)段的文檔安全系統(tǒng)都負(fù)責(zé)管理本網(wǎng)段的組織機(jī)構(gòu)、用戶和用戶組信息，并對(duì)本網(wǎng)段用戶本地文檔的加密/授權(quán)、授權(quán)信息存儲(chǔ)、權(quán)限控制和日志信息進(jìn)行存儲(chǔ)。每個(gè)網(wǎng)段的文檔安全系統(tǒng)均提供根據(jù)文檔來源查詢不同文檔權(quán)限庫的文檔鑒權(quán)接口服務(wù)；根據(jù)文檔來源向不同文檔權(quán)限庫記錄授權(quán)信息的授權(quán)接口服務(wù)和記錄文檔操作日志的日志存儲(chǔ)接口服務(wù)。

 

3.2一文一密的透明加解密

 

圖：透明加解密

 

銀行文檔安全系統(tǒng)采用先進(jìn)的驅(qū)動(dòng)級(jí)文檔加解密技術(shù)，默認(rèn)采用128位AES對(duì)稱加解密算法，可以根據(jù)應(yīng)用需要替換算法和密鑰長度。同時(shí)，每個(gè)文件均采用不同的密鑰進(jìn)行加密，真正做到一文一密。

 

用戶可以將任意類型的文件加密成密文形式，而不需要改變文件的擴(kuò)展名，同時(shí)也不需要專用的客戶端程序。合法用戶雙擊加密后的文件，仍然使用該類型文件原來相關(guān)聯(lián)的應(yīng)用程序打開密文文件，因此加解密過程對(duì)用戶透明，不改變用戶使用習(xí)慣。

 

合法用戶在雙擊查看密文過程中，文件自動(dòng)解密，并且本機(jī)磁盤上不會(huì)生成任何可能泄密的臨時(shí)文件，對(duì)用戶的操作也不會(huì)產(chǎn)生任何影響。密文被編輯保存，或者拷貝到任何存儲(chǔ)介質(zhì)中，將始終保持加密狀態(tài)，只有授權(quán)用戶才能進(jìn)行訪問。

 

3.3細(xì)粒度權(quán)限控制

 

圖：文檔安全細(xì)粒度權(quán)限控制原理

 

銀行文檔安全系統(tǒng)對(duì)加密文檔細(xì)粒度的權(quán)限控制，主要包括閱讀、編輯、復(fù)制、打印、打印水印、拷屏等權(quán)限，延伸出來的離線、分發(fā)、外發(fā)、脫密權(quán)限，以及配合上述權(quán)限所使用的綁定硬件信息、MAC地址、IP地址、IP地址段的高級(jí)權(quán)限控制策略。

 

閱讀：控制文檔閱讀

編輯：控制文檔不允許被編輯

復(fù)制：控制剪切板，防止文檔內(nèi)容通過剪切板復(fù)制

打印：控制文檔打印及打印時(shí)是否加入水印

截屏：對(duì)常用的截屏軟件和屏幕錄像軟件進(jìn)行控制

分發(fā)：控制文檔是否可以再授權(quán)

離線：控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用

外發(fā)：控制文檔是否可以發(fā)送到企業(yè)外部機(jī)構(gòu)、客戶、合作伙伴

解密：控制文檔是否可以被解密

智能卡綁定：綁定USB智能卡身份識(shí)別

主機(jī)綁定：計(jì)算機(jī)主機(jī)信息（IP、MAC、機(jī)器唯一標(biāo)識(shí)）

時(shí)間控制策略：可使用的時(shí)間段

分發(fā)高級(jí)策略：可分發(fā)哪些權(quán)限

離線高級(jí)策略：離線可具有哪些權(quán)限

外發(fā)高級(jí)策略：外發(fā)可設(shè)定哪些權(quán)限

 

3.4文檔離線控制

銀行文檔安全系統(tǒng)通過設(shè)置離線權(quán)限組來控制用戶是否可以在脫離企業(yè)環(huán)境的情況下使用加密文檔，用戶在文檔安全客戶端登錄或退出時(shí)，自動(dòng)從服務(wù)器同步離線權(quán)限策略。

 

客戶端在離線狀態(tài)下使用時(shí)，自動(dòng)啟用離線權(quán)限策略，控制加密文檔在離線狀態(tài)下的使用權(quán)限。

管理員可以通過文檔安全管理系統(tǒng)對(duì)個(gè)別人臨時(shí)生成離線策略文件，文檔安全客戶端可以導(dǎo)入相應(yīng)策略文件。

本地自己加密的文檔，離線默認(rèn)有所有權(quán)限。

 

3.5文檔外發(fā)控制

銀行文檔安全系統(tǒng)通過客戶端方式，可使用右鍵菜單制作外發(fā)文檔包，如果文檔中有密文，客戶端自動(dòng)判斷用戶是否對(duì)該文檔有外發(fā)權(quán)限。如果沒有外發(fā)權(quán)限，需要用戶申請(qǐng)后才能進(jìn)行外發(fā)操作。如果文檔是明文，客戶端直接本地生成外發(fā)文檔包。

 

外發(fā)包可控制外部用戶對(duì)包內(nèi)文檔的閱讀、復(fù)制、打印等權(quán)限，可設(shè)置外部用戶使用憑證為口令，還可設(shè)置與外部用戶的硬件信息（IP地址、MAC地址、CA智能卡）進(jìn)行綁定，提高外發(fā)文檔安全性。

 

外發(fā)文檔包如果需要時(shí)間控制，可在制作時(shí)設(shè)置起始時(shí)間和結(jié)束時(shí)間，當(dāng)外發(fā)文檔被查看時(shí)，外發(fā)文檔包判斷本地時(shí)間是否在設(shè)置時(shí)間范圍內(nèi)，每次打開記錄最后打開時(shí)間，下次打開時(shí)根據(jù)該時(shí)間做判斷。

 

文檔外發(fā)包為雙擊自解壓文檔，接收方無需手工安裝任何客戶端，即可受控操作文檔。

 

3.6靈活的授權(quán)策略

銀行文檔安全系統(tǒng)設(shè)置了多種授權(quán)策略，以滿足企業(yè)多種使用環(huán)境，包括：可信進(jìn)程授權(quán)策略

 

基于進(jìn)程的控制方式，可以讓用戶在終端打開編輯器時(shí)就對(duì)編輯器進(jìn)程進(jìn)行過濾驅(qū)動(dòng)保護(hù)。在完成文檔創(chuàng)建或編輯后，創(chuàng)建者通過“文檔安全客戶端”對(duì)文檔進(jìn)行基于組織機(jī)構(gòu)的細(xì)粒度訪問授權(quán)，客戶端通過向 “文檔安全服務(wù)端” 實(shí)時(shí)獲取組織機(jī)構(gòu)信息以及全局策略，允許用戶向保密文檔進(jìn)行超過10種訪問策略授權(quán)。

 

經(jīng)過加密授權(quán)的文檔，不論存在于終端本地或各類業(yè)務(wù)系統(tǒng)中，任何人需要正確閱讀、使用該文檔時(shí)都需要符合創(chuàng)建者的授權(quán)方可進(jìn)行。

 

特定文件格式授權(quán)策略

可對(duì)指定格式文檔的創(chuàng)建、修改和刪除操作進(jìn)行監(jiān)控，實(shí)現(xiàn)文檔創(chuàng)建之后的自動(dòng)加密、按默認(rèn)密級(jí)授權(quán)、合法用戶瀏覽文檔自動(dòng)解密等功能。自動(dòng)加解密的過程對(duì)用戶來說是完全透明的，不改變用戶的操作習(xí)慣，也不影響合法用戶的正常使用。

 

用戶授權(quán)模型

通過對(duì)單一用戶或用戶組的細(xì)致授權(quán)，完全滿足不同用戶級(jí)別和不同工作崗位對(duì)操作權(quán)限的不同要求。同時(shí)，系統(tǒng)通過對(duì)用戶進(jìn)行用戶組劃分，滿足對(duì)用戶批量授權(quán)或默認(rèn)授權(quán)的要求。這樣，既保證文檔在流轉(zhuǎn)過程中的安全使用，又可以控制文檔的使用權(quán)限，有效防止電子文件的非法傳播。

 

終端授權(quán)策略

通過對(duì)終端進(jìn)行計(jì)算機(jī)主機(jī)信息（IP、MAC、機(jī)器唯一標(biāo)識(shí)）授權(quán)，使指定的文檔與指定的主機(jī)綁定，即使非法獲得文件也無法打開。

 

3.7與應(yīng)用系統(tǒng)無縫集成的文檔保護(hù)

銀行文檔安全系統(tǒng)與OA系統(tǒng)與SVN系統(tǒng)均進(jìn)行了無縫集成，滿足了用戶使用應(yīng)用系統(tǒng)過程中對(duì)文檔的保護(hù)需求。

 

與OA系統(tǒng)的無縫集成

文檔安全系統(tǒng)提供加密、解密和授權(quán)接口，完成對(duì)OA中流轉(zhuǎn)公文批量或單個(gè)的加密、解密和授權(quán)。當(dāng)OA中已有或新建公文需要加密時(shí)，可通過在OA中選擇加密，通過調(diào)用此接口的加密方法，完成對(duì)該文檔的加密；當(dāng)OA中已有或新建文檔需要解密時(shí)，可通過在OA中選擇解密，通過調(diào)用此接口的解密方法，完成對(duì)該文檔的解密；當(dāng)OA中已有加密文檔的權(quán)限信息需要與文檔安全系統(tǒng)同步時(shí)，可通過調(diào)用此接口的授權(quán)方法，完成對(duì)已有加密文檔的權(quán)限信息同步；當(dāng)在OA中對(duì)加密文檔進(jìn)行權(quán)限信息變更時(shí)，也可通過調(diào)用此接口的授權(quán)方法，完成與文檔安全保護(hù)系統(tǒng)權(quán)限信息的同步。

 

與SVN系統(tǒng)的無縫集成

集成后對(duì)SVN目錄和文檔的維護(hù)均在文檔安全系統(tǒng)完成，用戶在本地提交上傳文檔到SVN時(shí)，文檔安全客戶端截獲判斷該文檔是否已經(jīng)發(fā)布，如果沒有，則將該文檔對(duì)應(yīng)SVN的路徑發(fā)布到文檔安全系統(tǒng)，文檔安全系統(tǒng)判斷該目錄是否已經(jīng)存在，如果不存在，新建目錄，同時(shí)建立該文檔與目錄的關(guān)聯(lián)有關(guān)系。

 

同時(shí)，文檔安全客戶端對(duì)用戶提交上傳的文檔也會(huì)進(jìn)行自動(dòng)加密，確保文檔在服務(wù)器上存儲(chǔ)和使用的安全。文檔授權(quán)同時(shí)支持目錄授權(quán)和用戶授權(quán)，用戶可以在本地同步SVN文檔后，右鍵對(duì)單個(gè)或多個(gè)文檔/目錄進(jìn)行授權(quán)，文檔安全系統(tǒng)根據(jù)該文檔的權(quán)限信息，將SVN對(duì)應(yīng)的讀、寫權(quán)限實(shí)時(shí)同步到SVN系統(tǒng)。

 

文檔管理員可登錄文檔安全系統(tǒng)對(duì)SVN單個(gè)文檔/目錄進(jìn)行授權(quán)。同時(shí)根據(jù)該文檔的授權(quán)信息，將SVN對(duì)應(yīng)的讀、寫權(quán)限實(shí)時(shí)同步到SVN系統(tǒng)。

 

四、經(jīng)驗(yàn)總結(jié)

“某銀行文檔安全工程”的成功經(jīng)驗(yàn)總結(jié)如下：

1.采用時(shí)代億信SecureDOC文檔安全產(chǎn)品，具有成熟、穩(wěn)定的驅(qū)動(dòng)級(jí)透明加解密技術(shù)，用戶易于接受和使用。

2.采用一文一密、密鑰和密文分離存儲(chǔ)、客戶端與服務(wù)器端安全通道通訊等技術(shù)最大限度增強(qiáng)系統(tǒng)整體安全。

3.支持多種安全策略，并可與硬件信息、網(wǎng)絡(luò)信息進(jìn)行綁定。

4.明密文同時(shí)使用，互不影響。

5.與應(yīng)用系統(tǒng)無縫集成，在用戶使用應(yīng)用系統(tǒng)文檔過程中自動(dòng)進(jìn)行保護(hù)，無需用戶手工操作。

6.具有文檔外發(fā)功能，接收方無需安裝客戶端即可按照被授予的權(quán)限使用文檔。

7.時(shí)代億信SecureDOC文檔安全產(chǎn)品通過國家保密局、公安部產(chǎn)品檢測，滿足計(jì)算機(jī)等級(jí)保護(hù)技術(shù)規(guī)范。

 

詳情請(qǐng)登錄時(shí)代億信官網(wǎng)：http://www.eetrust.com/

或關(guān)注時(shí)代億信微博：http://e.weibo.com/shidaiyixin

 

# # #

關(guān)于時(shí)代億信

北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢(shì)，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢(shì)和綜合技術(shù)能力，公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實(shí)力和成熟的客戶服務(wù)經(jīng)驗(yàn)，經(jīng)過不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。