電(diàn)子文檔防洩密安全管理(lǐ)完整解決方案

一、應用背景

随着Internet技(jì)術(shù)的高(gāo)速發展，企業、政府等組織信息化的建設也逐步得(de)到推進。電(diàn)子文檔是企業信息存儲的主要方式，是企業內(nèi)、外部之間(jiān)進行(xíng)信息交換的重要載體(tǐ)。現在黑(hēi)客、木馬和(hé)員工洩密等是信息安全的主要威脅。如何最大(dà)限度的保護電(diàn)子文檔的安全性、完整性，也開(kāi)始越來(lái)越受到企業的關注與重視(shì)。

網絡的普及讓信息的獲取、共享和(hé)傳播更加方便，同時(shí)也增加了重要信息洩密的風險。 據調查顯示：有(yǒu)超過85%的安全威脅來(lái)自組織內(nèi)部，有(yǒu)16%來(lái)自內(nèi)部未授權的存取，在各種安全漏洞造成的損失中，30% - 40% 是由電(diàn)子文件的洩露造成的，　防火(huǒ)牆或專網，可(kě)以防止外部人(rén)員非法訪問，但(dàn)不能防止內(nèi)部人(rén)員通(tōng)過Mail或者U盤将一些(xiē)敏感文件發送給其他人(rén)。這種二次傳播就是造成電(diàn)子文檔洩密的主要途徑。

二、解決問題

那(nà)麽怎樣才能防止電(diàn)子文檔的傳播洩密呢?這就需要綜合加密技(jì)術(shù)、權限控制(zhì)技(jì)術(shù)、身份認證技(jì)術(shù)等多(duō)種技(jì)術(shù)對電(diàn)子文檔進行(xíng)保護。

防止內(nèi)部重要電(diàn)子文檔被洩密，靈活設置用戶使用電(diàn)子文檔的權限(包括：閱讀、打印、保存、另存為(wèi)、打印、截屏等)，并且實時(shí)權限回收，防止離職或辭職人(rén)員洩密。

三、系統體(tǐ)系架構圖

四、網絡部署

應用系統和(hé)信息安全建設以PKI為(wèi)基礎，基于公開(kāi)密碼體(tǐ)系，完成信息的保密性、完整性、不可(kě)否認性和(hé)身份認證功能；為(wèi)應用系統開(kāi)發商提供一個(gè)調用簡單、安全可(kě)靠的密碼安全子系統，簡化應用系統開(kāi)發商的開(kāi)發難度；完成用戶的統一管理(lǐ)、統一授權和(hé)統一認證，提供一個(gè)安全可(kě)靠的認證服務和(hé)授權服務平台。同時(shí)自帶一個(gè)獨立的認證管理(lǐ)系統(CA)，幫助用戶進行(xíng)證書(shū)管理(lǐ)和(hé)密鑰管理(lǐ)。應用系統開(kāi)發商不必了解密碼技(jì)術(shù)、複雜的PKI協議，通(tōng)過調用基礎密碼安全服務提供的簡單的API函數(shù)就可(kě)以為(wèi)應用系統提供密碼安全保護，增強應用系統的安全性。

認證管理(lǐ)中心CA：管理(lǐ)數(shù)字證書(shū)和(hé)加密密鑰（PKI CA公鑰基礎實施），管理(lǐ)用戶數(shù)字證書(shū)、證書(shū)吊銷列表和(hé)加密公私鑰對。

用戶管理(lǐ)：從CA獲得(de)基本用戶信息，并分解成用戶所在的行(xíng)政區(qū)劃、單位信息，配置用戶所屬部門(mén)、職務、崗位、級别、組織機構代碼（身份證号碼）、級别、秘密等級等用戶信息。

授權管理(lǐ)：配置用戶角色，配置角色可(kě)以訪問的IP地址、服務等粗粒度資源，向應用系統、單點登錄系統和(hé)下級統一用戶信息和(hé)授權信息管理(lǐ)系統發布用戶信息、用戶角色信息和(hé)角色資源授權信息。

認證網關安全域訪問控制(zhì)系統：身份認證（網關式單點登錄）、訪問控制(zhì)、防止高(gāo)密級資源流向低(dī)密級、不可(kě)僞造的文檔标識，防止數(shù)據在傳輸的過程中外洩。

單點登錄系統：統一身份認證（非網關式單點登錄）和(hé)資源訪問控制(zhì)，對用戶登錄應用系統進行(xíng)基于PKI密碼技(jì)術(shù)的強認證，從用戶和(hé)授權信息管理(lǐ)系統獲得(de)IP、服務端口等資源授權信息，進行(xíng)資源訪問控制(zhì)決策，禁止非法用戶訪問單點登錄系統所保護的網絡信息資源。

密碼安全服務：進行(xíng)業務數(shù)據數(shù)字簽名、加密密碼等應用安全服務，确保業務數(shù)據和(hé)文檔的真實性，防止竊取敏感信息和(hé)涉密信息。

客戶端數(shù)據加密防洩密：使用加密文件櫃及其打開(kāi)策略防止硬盤存儲的內(nèi)容被盜取。

防擴散信息資源管理(lǐ)：使用專用文檔閱讀器(qì)，配合授權管理(lǐ)系統，控制(zhì)文檔的閱讀、打印、複制(zhì)等權限，防止文檔非法擴散。