时代亿信文件盾-SecureDOC电子文档安全管理产品白皮书

1背景随着互联网技术的不断发展，网站系统成为了政务公开的门户和企事业单位互联网业务的窗口，在“政务公开”、“互联网+”等变革发展中承担重要角色，具备较高的资产价值。

但是另一方面，由于黑客攻击行为变得自动化和高级化，也导致了网站系统极易成为黑客攻击目标，造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。

其安全问题受到了国家的高度关注。

近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查，并推出了一系列政策文件。

据权威调研机构数据显示，近年来，中国网站遭受篡改攻击呈增长态势。

其中2018 年，我国境内被篡改的网站数量达到13.7万次，15.6万个网站曾遭到CC攻击。

2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。

中国反钓鱼网站联盟共处理钓鱼网站51198个，平均每月处理钓鱼网站4266个。

同时，随着贸易战形势的不断严峻，境外机构针对我国政府网站的攻击力度也不断的加强，尤其是在重要活动期间，政府网站的安全防护成为了重中之重。

为了帮助企业级客户及政府机构保障网站的安全，解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力，深信服云盾提供持续性的安全防护保障，同时由云端专家进行7*24小时的值守服务，帮助客户识别安全风险，提供高级攻防对抗的能力，有效应对各种攻击行为。

2产品体系架构深信服利用云计算技术融合评估、防护、监测和响应四个模块，打造由安全专家驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户代管业务安全问题，交付全程可视的安全服务。

客户端无需硬件部署或软件安装，只需将DNS映射至云盾的CNAME别名地址即可。

全程专家参与和值守，为用户提供托管式安全防护。

安全防护设施部署在深信服安全云平台上，安全策略的配置和调优由深信服安全专家进行，用户仅需要将用户访问的流量牵引至深信服安全云。

所有的部署和运维工作全部由深信服安全专家在云上完成，更简单，更安全，更省心。

提供安全保密的邮件解决方案——时代亿信安全保密邮件系统技术白皮书V ersion 1.0北京时代亿信科技有限公司在线代理|网页代理|代理网页|目录1前言 (1)1.1产品应用背景 (1)1.2需求分析 (1)2术语和缩略语 (2)2.1术语 (2)2.2缩略语 (2)3产品概述 (3)3.1产品简介 (3)3.2产品技术原理 (4)4产品功能特点 (7)4.1基于PKI的强身份认证 (7)4.2邮件全程加密 (7)4.3邮件信息跟踪 (8)4.4邮件及附件权限控制 (8)4.5地址簿浏览权限控制 (8)4.6邮件转发控制 (9)4.7邮件密级控制 (9)4.8邮件分区存储 (9)4.9邮件有效期设置 (10)5安全保密邮件收发流程 (11)5.1邮件发送流程 (11)5.2邮件接收流程 (12)6系统管理 (13)6.1日志审计 (13)6.2分级管理 (13)7系统部署 (14)7.1网络部署环境 (14)7.2推荐配置和性能指标 (14)在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|1前言1.1产品应用背景随着Internet技术的高速发展，电子邮件系统已经成为一个普遍的通信工具，应用非常广泛，可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。

跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性。

但随着电子邮件被广泛应用，随之而来的安全问题日渐突出，机密泄漏、信息欺骗、假冒地址等令人烦恼不堪，相应的安全保密防护需求越来越迫切。

电子邮件一般是以明文的方式来发送和存储的，很容易被盗取、篡改和冒名，同时，现有邮件系统对脱离邮件系统后的附件缺乏有效的权限控制，存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。

因此，如何建立一套安全保密邮件系统，成为政府部门及企事业单位信息化建设的一大难题。

1.2需求分析根据时代亿信在信息安全领域长期的研究成果和用户的实际应用情况，我们认为大致需要通过如下几条途径来确保电子邮件及附件的安全、可控： 能够对用户进行强身份验证，确保邮件来源的合法性以及邮件内容的完整性；能够对邮件内容及附件的传输和存储进行加密，防止邮件内容及附件被窃取、监听或篡改；能对邮件及附件进行细粒度的授权管理，并能对下载到本地的附件控制阅读、编辑、复制、打印、转发等权限；能够根据需求对用户、邮件以及终端进行密级划分，并结合用户属性设置通讯规则，严格控制邮件的知悉范围；能够对邮件及附件的流转记录操作日志，及时掌握邮件的流向及用户的操作。

文件盾SecureDOC-A产品1. 第一页1.1 产品简介时代亿信文件盾系列产品面向企事业单位及个人用户提供电子文件的加密保护、可控流转、权限控制和使用审计，为电子文件防泄密提供整体解决方案。

文件盾SecureDOC-A产品（文档自动加密系统）从文档源头进行管理，对任意指定类型文档实现强制自动加密和权限控制，不影响企事业单位内部文档正常使用，严格限制文档外带、离线等脱离企事业单位许可环境时的使用，有效防止电子文件的主动或被动外泄。

1.2 工作机制SecureDOC-A产品由服务器和客户端组成，通过服务器设置下发策略、客户端自动强制加密文件、客户端文件操作防控等机制实现企业电子文件防泄密。

●管理员通过服务器端设置策略，指定自动加密的应用程序和文件类型●客户端接收下发的策略，按策略对文件进行自动强制加密●加密文件在企业内部或部门内部正常使用，部门之间授权使用●加密文件未经许可脱离企业安全环境无法使用；经许可才能离线或外发，按限定权限受控使用加密文件2. 第二页2.1 电子文件防泄密SecureDOC-A产品提供文件自动强制加密功能和多重防泄密措施，保证内部用户正常使用，而在企业外部无法使用，有效防止文件内容的泄露隐患。

多重防泄密措施：●防控文件内容的复制操作，禁止复制出明文内容●防控文件内容的打印和虚拟打印操作，打印时可强制添加水印信息●防控文件内容的屏幕截屏和屏幕录像操作●内存防护，禁止从内存中直接读取文件内容●未经许可，离线的文件无法操作●未经许可，发送或外带至外部的文件无法操作●客户端自我防护：禁止退出或非法结束客户端程序；禁止卸载或非法删除客户端程序；操作系统安全模式下，客户端仍然保持正常运行2.2 加密文件组内共享及组间授权SecureDOC-A产品可以满足企业内部部门或用户组内用户共享加密文件的需求，即本部门或本用户组内的任意用户创建的文件，本部门或本用户组内的所有用户都可以正常使用，而其他部门或用户组则需要经过文档的授权转换才能打开和使用。

我目录1. ESET NOD32 Smart Security 4.0 (3)1.1 新特性 (3)1.2 系统要求 (4)2. 安装 (4)2.1 开始安装 (4)2.2 计算机扫描 (4)3. 入门指南 (5)3.1 用户界面介绍 (5)3.2 更新设置 (5)3.3 设置信任域 (5)3.4 设置密码保护 (5)4. 运行ESET NOD32 Smart Security 4.0 (6)4.1 病毒和间谍软件防护保护 (6)4.1.1文件系统实时防护 (6)4.1.2 电子邮件客户端防护 (6)4.1.3 Web访问防护 (6)4.1.4 计算机扫描 (6)4.1.6 ThreatSense ® 引擎参数设置 (6)4.2 个人防火墙 (6)4.2.1 过滤模式 (6)4.2.2阻止所有网络通信：断开网络 (7)4.2.3 禁用过滤:允许所有通信 (7)4.2.4配置和使用规则 (7)4.2.5 区域的设置 (7)4.2.6 创建连接-侦测 (7)4.2.7 日志 (7)4.4 计划任务 (8)4.5 隔离 (8)4.6 日志文件 (8)4.7 用户界面设置 (8)4.8 ThreatSense .Net (8)5. 高级设置 (8)5.1 导出设置 (8)5.2 导入设置 (8)5.3 ESET SysInspector (8)5.4 ESET 应急工具 (8)1.ESET NOD32 Smart Security4.0ESET NOD32 Smart Security 4.0 是第一款真正高.0 是第一款真正高度集成的计算机安全系统，引领了整合式安全软件的新兴潮流。

内置新版TheatSense®扫描引擎，继承了ESET NOD32 安全套装的快速和精准优势，量身定制的个人防火墙模快紧密结合。

一套智能的防御系统，对危害计算机安全的恶意软件和攻击，保持着时刻的警惕。

护系统免于病毒、间谍软件、木马、蠕虫、广告程序、 ESET NOD32 Smart Security 4.0绝不像某些产品那样，只是对多款功能性产品进行简单堆砌和捆绑。

电子文档安全技术方案—SecureDOC为电子文档安全保驾护航1. 概述1.1 系统现状XX部委日常办公进行公文流转时，全部采用的都是纸质文档，造成工作处理较慢，不利于提高工作效率。

同时，又因为工作性质的关系，纸质文档如果以电子形式进行传输和存储，其安全性必须得到保证，防止机密数据信息的外泄。

这样，如何安全地进行公文数据信息传递和交换成为XX部委关心的一个问题。

1.2 系统需求及目标XX部委为了达到公文安全传输的目的，需要从以下几方面进行保护：1. 电子文档加密XX部委的公文在电子形式下必须加密，在文档的传输环节、存储环节、应用环节和共享环节都以密文形式存在。

2. 细粒度的权限控制XX部委的公文可以进行权限管理，根据使用者的不同权限，公文可以呈现不同的权限。

3. 公文打印限制XX部委的电子公文可以打印成纸质资料，但打印权限将受到严格控制，即使是授权用户也不能随意打印，打印次数将会有限制。

4. 使用追踪XX部委的电子公文在使用中可以进行实时监控，任何对公文的操作都将被记录，供日后审计追踪使用。

2. 方案详述2.1 系统总体结构时代亿信采用SecureDOC文档安全管理系统构建XX部委公文安全系统。

系统的体系架构图如下：SecureDOC文档安全管理系统功能结构图：2.2 工作原理时代亿信SecureDOC文档安全管理系统所倡导的设计理念并不是限制文件的传播形式和渠道，而只是限制文件的使用，这是文件保护的根本所在。

它以数据为中心，所有重要密钥、权限、文件属性等相应数据都存储在数据库中，所有文件均以加密形式存放，所有数据通讯均使用加密通信协议，从而彻底保证数据安全。

另外，加密文件本身不存储权限信息和文档属性信息，而是存放于在数据库中，用户只有在线访问文档安全服务器并通过认证后才可以获得相应授权文档信息，并根据权限信息对文档进行使用。

SecureDOC把所有网络都看作是一个不安全的应用环境，全面加以保护，文件无论发送到何地均受到严格保护。

亿仕安全优盾移动介质安全与防摆渡攻击版本 V2.0内容索引1. 引言 (3)2. 移动介质安全性分析 (3)3. 安全优盾功能简介 (4)4. 产品组成与特性 (6)4.1. 产品组成 (6)4.2. 性能参数表 (6)4.3. 运行环境参数表 (7)1.引言通过互联网来实施渗透和窃密，在境外情报机关的对华间谍行动中正日益增多，现在网络间谍的方法花样种类繁多而且越来越隐蔽，如：伪造“上级机关”发送包含间谍木马的电子邮件；采取“蛙跳”方式攻击真正目标从而隐藏真正的攻击者；针对移动办公人员的所使用的便携式设备进行攻击等。

“涉密电脑不上网，上网电脑不涉密！”，我国保密单位的内部工作网络是不允许与互联网连通的，但有关部门做安全检测时仍然从中发现了境外情报部门的木马，调查表明，一个重要的途径是摆渡攻击。

利用的是像优盘、移动硬盘之类的移动介质，境外间谍部门专门设计了各种各样的摆渡木马，并且搜集了我国大量保密工作人员的个人网址或者邮箱，只要这些人当中有联网使用优盘等移动介质的，摆渡木马就会悄悄植入移动介质，一旦这些人在内部工作网的电脑上插入优盘等移动介质，摆渡木马立刻就感染内网，把保密资料下载到移动介质上，完成这样的摆渡后，只要使用者再把这个移动介质接入联网电脑，下载的情报就会自动传递到控制端的网络间谍那里。

目前我国正处在一个快速发展的战略机遇，反华势力出于遏制中国的战略企图，渗透窃密活动会愈演愈烈，我们防奸保密的任务也会越发艰巨。

当今是网络时代，网络安全是国家安全的重要组成部分，而内部网络的安全更是负有重大保密责任的机构和单位不容忽视和急迫需要解决的问题。

2.移动介质安全性分析移动存储介质使用灵活、方便，使它在信息化的过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给信息资源带来相当大的安全隐患。

具体表现在：1、对计算机存储介质的管理不规范，甚至未被纳入保密管理的范畴，导致无法对内部使用的移动存储介质进行统一管理；2、私人的优盘、移动硬盘等，可以在单位的计算机上随意使用，容易造成计算机病毒感染和泛滥，导致内部网络运行出现故障；3、使用移动存储介质，内部人员可以随意将单位内部涉密信息复制出去，容易造成单位敏感信息泄密；4、内部使用的移动存储介质被随意带出，在外网中使用时容易造成失泄密；5、移动存储介质在使用时，缺乏身份认证和访问控制，导致任何人可以使用任何介质在任何机器上进行文件拷贝，造成内部文件流失；6、移动存储介质被内部人员在非涉密计算机上使用，容易遭受“摆渡攻击”，导致涉密数据流失；7、内部人员在使用移动存储介质进行文件交换时，无法对文件流向进行审计和控制，在出现文件流失时难以对责任人进行追究；8、移动存储介质使用时存在明密不分、公私不分的现象，导致内部文件出现失泄密；9、移动存储介质在被盗或遗失时，会导致内部数据丢失。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

时代亿信文件盾产品系列EETRUST® Wise FileShield Series——技术白皮书文件盾产品系列概述电子文件是企业信息存储的主要方式，是企业内部、外部之间信息交换的主要载体。

电子文件在传输、流转、存储等过程中，极易受到黑客、木马、竞争对手的窃取，以及内部员工有意无意的泄密，这些不受控的活动严重威胁着企业各类信息资源、企业知识产权、用户个人隐私的安全。

文件盾系列产品（EETRUST® Wise FileShield Series）专注于电子文件的安全存储、加密传输、可控流转、权限控制、跟踪审计，在保持用户使用习惯的同时，最大限度地保护电子文件资源。

图文件盾系列产品全方位的电子文件保护文件盾系列产品可集成CA智能卡身份认证、终端计算机安全登录等扩展功能，并同时可与企业OA公文流转等应用系统无缝集成，全面提升企业主机和信息系统访问的安全保护等级，有效保护企业电子文件等信息资源。

1. 文件盾产品系列分类文件盾产品系列根据产品形态、应用场景不同，划分为以下版本：1.1 文件保险箱单机版文件保险箱单机版（WFS-SFB1000）为用户计算机提供虚拟磁盘、文件/文件夹透明加解密，设置加密文件夹等本机电子文件的安全存储功能，拒绝非法用户和非法进程访问，有效防止木马和黑客的侵袭。

1.2 文件保险箱企业版文件保险箱企业版（WFS-SFB2000）在文件保险箱单机版的基础上，结合企业目录、CA数字证书认证和数字信封加密，为企业内部的涉密文件提供本机安全存储、端到端的安全交换、文件操作审计功能。

1.3 网络文件保险箱网络文件保险箱（WFS-SFB3000）：用户的文件保险箱加密并集中存储在服务器端，用户以本地磁盘方式使用网络文件保险箱，客户端与服务器端采用加密通道通讯，同时提供企业共享文件夹功能，并可对用户访问进行授权，满足企业电子文件集中存储、安全交换的需求。

1.4 SecureDOC企业文档安全保护系统SecureDOC企业文档安全保护系统（WFS-SD-EE）采用驱动级文件透明加解密技术，与企业应用无缝结合，控制应用流程中的电子文件权限，对文件的阅读、编辑、复制、打印、截屏、分发等进行细粒度授权和控制，文件操作权限可实时追加和收回，同时支持离线权限控制。

时代亿信认证访问控制墙――技术白皮书Version 2.31. 总述时代亿信认证访问控制墙是一款提供认证和访问控制的硬件设备，为企业B/S和C/S业务系统、网络设备、主机、数据库等企业资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。

产品能够满足不同企业集中认证、访问控制和安全管理的需求。

认证访问控制墙通过网络层和应用层联动，采用网络层协议分析与应用层访问策略相结合的访问控制技术，形成用户信息、协议号、目的IP地址、目的端口的用户身份动态资源访问控制策略；在不改动用户应用的前提下，通过协议分析，实现资源的细粒度访问控制；使用流量限速的差异化访问技术，克服传统只能针对应用进行QoS 设定的缺陷，实现了用户身份与应用绑定的流量控制功能，提高系统性能；同时，本产品可应用到WLAN无线网络，实现基于无线网络的统一认证与访问控制。

本产品已在中国电信总部OA统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。

认证访问控制墙着眼于应用层和网络层两个层面的认证与访问控制联动，为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务，详见下图。

图时代亿信认证访问控制墙服务架构时代亿信推出的认证访问控制墙，是当前市场中唯一整合了CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术，综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品，能有效整合各种应用系统用户资源，增强应用资源安全性，提高工作效率，降低沟通成本，是对多种信息安全技术、身份认证技术和访问控制技术的综合应用，可广泛满足用户的多种需求，而无须进行二次开发，快速部署和应用。

文件盾SecureDOC-M产品1. 第一页1.1 产品简介时代亿信文件盾系列产品面向企事业单位及个人用户提供电子文件的加密保护、可控流转、权限控制和使用审计，为电子文件防泄密提供整体解决方案。

文件盾SecureDOC-M产品（文档安全管理系统）为企事业单位内部OA、档案、工程建设、经营分析等应用系统构建电子文件安全管控平台，通过完善的应用集成接口，实现企业应用系统中文件创建、存储、传输、流转、使用过程的全方位加密保护、自动授权、细粒度权限控制和审计，有效保护企事业单位核心应用系统中流转的电子文件安全。

1.2 工作机制SecureDOC-M产品与企业应用系统集成，通过集成接口实现应用系统流转过程中的文件自动加密保护和自动授权，并对文件操作进行细粒度权限控制，即使文件脱离了应用系统，仍保持加密受控状态，满足了企业应用系统中的文件，尤其是密级文件的差异化权限控制和可控流转需求。

●文件在应用系统中通过集成接口自动加密●加密文件在应用系统流转过程中始终保持加密状态●应用系统根据需要配置各流程节点的权限●加密文件在应用系统流转过程中通过集成接口自动授权●管理员可随时追加或撤销用户对加密文件的操作权限，而无需回收文件●审计员可随时对加密文件的用户操作进行追踪审计2. 第二页2.1 应用系统文件安全保护无缝集成SecureDOC-M产品提供完善的应用集成接口，实现与应用系统的无缝集成，将认证、加密、授权、控制等安全保护措施隐藏在应用系统文件流转过程中，不改变用户对应用系统和文件的使用习惯，兼顾安全性和易用性。

2.2 文件权限适配和细粒度权限控制应用系统可根据流转环节的需要，设置流转过程中各节点的文件权限，当加密文件向该节点流转时，将调用文档安全授权接口，自动对该节点相关的用户、组织机构、用户组进行授权，控制文件的阅读、编辑、复制、打印、截屏、离线、分发、外发、解密等权限。

既保证文件的合理流转使用，又有效防止文件的越权使用和非法传播。

SecureDOC文档安全系统技术解决方案一、应用背景随着In ternet技术的高速发展，企业、政府等组织信息化的建设也逐步得到推进。

电子文档是企业信息存储的主要方式，是企业内、外部之间进行信息交换的重要载体。

现在黑客、木马和员工泄密等是信息安全的主要威胁。

如何最大限度的保护电子文档的安全性、完整性，也开始越来越受到企业的关注与重视。

网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。

据调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，在各种安全漏洞造成的损失中，30% - 40% 是由电子文件的泄露造成的，防火墙或专网，可以防止外部人员非法访问，但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。

这种二次传播就是造成电子文档泄密的主要途径。

二、解决问题那么怎样才能防止电子文档的传播泄密呢？这就需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护。

防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限（包括：阅读、打印、保存、另存为、打印、截屏等），并且实时权限回收，防止离职或辞职人员泄密。

1.防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限（包括：阅读、打印、保存、另存为、打印、截屏等），并且实时权限回收，防止离职或辞职人员泄密。

2.为电子文档的泄密提供了追查依据。

从而判断泄密事件的问题所在，以方便快速的采取有效的相应措施。

3.适用于各种文档管理方式，同一文档对不同人的使用权限不同，体现了管理层次；4.为机密电子文档的管理提供了一套有效的管理办法，解决了信息系统使用方便性和安全可控性，为深入信息化建设提供了技术保障。

5.不限制网络和移动存储设备的正常使用采用密钥和文档分离管理技术，密钥与密文分离存储，密钥的下放与解密由系统控制。

企业核心文件，进行驱动级加密。

只有通过文档安全系统的强身份认证之后，才能获取密钥，对机密文件进行解密。

时代亿信认证墙-UAP统一认证与访问控制产品3.1 产品简介UAP统一认证与访问控制产品(以下简称UAP产品)集数字证书、动态口令、指纹、短信等强身份认证方式于一身，是一个针对B/S、C/S架构应用系统的强身份认证及资源整合解决方案，对各类信息系统均可提供统一认证、单点登录、用户授权和统一身份管理功能，可统一制定企业安全策略，有效降低企业应用系统管理维护量，提高系统安全水平。

UAP统一认证与访问控制产品还可作为企业内部应用系统、服务器主机、网络设备等资源的访问控制入口，基于包过滤技术，集成强身份认证、会话审计、集中管理等功能,对企业内部用户应用访问进行访问控制和会话审计，实现网络资源分级管理，对访问机密数据库等密级较高的网络资源进行隔离保护，完全杜绝内网信息安全问题。

3.2 产品功能介绍UAP统一认证与访问控制产品提供全面的认证、授权和审计服务。

支持多种认证方式，包括：数字证书、动态口令、指纹、短信等强认证方式及临时口令、用户名口令等普通认证方式。

3.2.1 身份认证3.2.1.1. 数字证书认证基于PKI理论体系，采用CA数字证书和加密签名等技术进行身份识别，完成敏感信息以密文形式在网络中传输，企业应用可利用数字信封、数字签名等非对称密钥加密技术，实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性；无缝集成ETCA、CTCA、CFCA，同时支持第三方CA；支持智能卡形态及软证书形态；集成了证书申请、下载、重新申请、吊销等操作。

3.2.1.2. 动态口令认证采用国际OATH联盟标准技术算法，每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令，与系统范围内合法用户的令牌信息作同步信任认证运算对照，构成一个安全、可靠的认证系统，保护计算机网络授权用户的合法利益，避免系统或网络受到非授权用户的非法访问；原样机令牌通过国家标准（GB/T2423）例行试验及欧盟CE认证和美国FCC认证，并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验；集成了令牌同步、激活、替换等操作。

绿盟远程平安评估系统之蔡仲巾千创作产品白皮书【绿盟科技】■文档编号■密级完全公开■版本编号■日期2015-10-19■撰写人尹航■批准人李晨©2021绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法呵护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一. 攻防威胁的变更1二. 环境变更带来的问题1三. 新一代漏洞管理产品必备特性2四. 绿盟远程平安评估系统24.1产品体系结构34.1.1 基础平台层功能34.1.2 系统服务层功能44.1.3 系统核心层功能44.1.4 系统接入层功能44.2产品特色54.2.1 多种检查能力合一，全面系统脆弱性发现54.2.2 风险统一分析64.2.3 灵活的安排方案74.2.4 独创便携工控设备，随时监督检查74.2.5 结合资产从海量数据快速定位风险74.2.6 融入并促进平安管理流程84.2.7 识别非尺度端口，准确扫描服务漏洞84.2.8 丰富的漏洞、配置知识库94.3典型应用方式94.3.1 监督检查或小规模网络平安运维94.3.2 中小规模多子网平安运维104.3.3 网络访问受限的子网平安运维104.3.4 大规模跨地区网络平安运维11五. 结论12插图索引图 4.1 NSFOCUS RSAS整体架构图3图 4.2 NSFOCUS RSAS单机安排9图 4.3 NSFOCUS RSAS单机多网口多子网接入10图 4.4 NSFOCUS RSAS代理扫描11图 4.5 NSFOCUS RSAS大规模安排12一. 攻防威胁的变更利用平安漏洞进行网络攻击的互联网平安问题，好像阳光下的阴影，始终陪伴着互联网行业的应用发展。

近些年，网络平安威胁的形式也出现了分歧的变更，攻击方式从单个兴趣快乐喜爱者随意下载的简单工具攻击，向有组织的专业技术人员专门编写的攻击程序转变，攻击目的从证明个人技术实力向商业或国家信息窃取转变。

AnyShare3.5产品白皮书AnyShare3.5产品白皮书前言文档在每个人日常工作、学习中有着举足轻重的作用，但是在移动时代，每个人学习、工作和生活都在发生巨大的变化，随时随地通过任意设备访问文档和信息已经必不可少，而对于组织机构，却需要确保文档资料的安全和风险。

所以，在提升组织内用户的文档使用效率的同时，也需要确保文档中心的文档资料安全和可管理性。

本白皮书通过解析文档的发展现状，从设计理念、产品特色、产品功能特性等多个角度，全方位呈现爱数AnyShare文档云。

本白皮书适用于正在寻找基于云的文档中心解决方案、私有网盘解决方案，也适用于正在建设桌面虚拟化、BYOD的解决方案IT管理者，提供文档的集中存储共享和管理方案，适用于努力改善当前文档管理现状的任何企业、教育单位和政府机构。

如果您需要了解更加详细的技术运行原理，请参考《AnyShare 3.5 技术白皮书》。

版权信息版权所有?2003—2014爱数软件有限公司未经本公司许可，任何单位或个人不得以任何形式，复制、传播、摘抄本文档内容的部分或全部。

本文档内容上可能会有增删和修改，爱数软件有限公司会定期将修订后的内容纳入新版本中，如有更改恕不另行通知。

目录前言 (2)版权信息 (3)第一章：移动时代的文档访问共享需求 (7)1.1 文档的移动访问和共享已经必不可少 (7)1.2 确保组织文档数据安全已经成为IT建设必需品 (8)1.3 面向移动办公的文档中心建设势在必行 (8)第二章：爱数AnyShare 3.5，创新文档云 (9)2.1 产品简介 (9)2.1.1 AnyShare工作模型 (9)2.1.2 AnyShare系统部署架构 (10)2.1.3 产品规格与模块 (11)2.2 产品特色 (12)2.2.1 产品核心优势 (12)2.2.2 面向用户，简单高效的文档体验 (12)2.2.3 面向IT，值得信任的文档安全 (13)第三章简单高效的文档体验 (14)3.1 文档组织与分类基础 (14)3.2 网页访问功能特性 (15)3.2.1 WEB全文检索 (16)3.3 移动客户端功能特性 (16)3.4 创新共享特性 (17)3.4.1 权限即共享与发现共享 (17)3.4.2 共享协作提醒 (18)3.4.3 安全外链共享 (18)3.4.4 离线访问 (18)3.4.5 远程访问 (18)3.5 PC客户端文档操作体验 (19) 3.5.1 网盘体验的文档操作 (19)3.5.2 文件检索与定位 (20)3.6 PC客户端端缓存与同步特性 (20) 3.6.1 缓存与触发下载机制 (21)3.6.2 自动同步机制 (21)3.6.3 冲突处理机制 (21)3.6.4 文档协作机制 (21)第四章值得信任的文档安全 (22) 4.1 可视化集群与运营管理 (22)4.1.1 多副本冗余安全 (22)4.1.2 集群性能监控与叠加扩展 (23) 4.1.3 集群状态与服务高可用 (24) 4.1.4 灾难恢复与备份安全 (24)4.1.5 运营统计 (26)4.1.6 访问日志 (26)4.2 历史版本管理 (26)4.3 云端文件回收站 (27)4.4 多用户组织与权责分离机制 (27) 4.4.1 用户组织结构与管理 (27)4.4.2 用户角色与权责分离 (28)4.5 权限管理与访问控制 (29)4.5.1 基本介绍 (29)4.5.2 权限原则 (30)4.6 安全访问管理控制 (31)4.6.1 域用户认证与同步特性 (31)4.6.2 远程数据擦除 (32)4.6.3 选择性安全边界 (32)4.6.4 与桌面虚拟化结合的安全特性 (32)4.7 开放与扩展 (32)第一章：移动时代的文档访问共享需求1.1 文档的移动访问和共享已经必不可少无论是在企业、政府、还是教育机构中，数据资产是最具有价值的无形资产。

时代亿信文件盾-SecureDOC电子文档安全管理产品时代亿信文件盾-SecureDOC电子文档安全管理产品1.1 产品简介SecureDOC电子文档安全管理产品面向企业机构的电子文件防泄密需求，实现电子文件内容的加密保护、文件权限的管理和控制，文件操作的跟踪审计，既保持合法用户对电子文件的合理使用和使用习惯，又有效防止黑客、木马、竞争对手的窃取，以及内部用户有意无意的泄密，从而最大限度地保护企业机构的电子文件资源和知识产权。

SecureDOC电子文档安全管理产品主要包括：文档安全管理服务平台（SDMS）、文档安全用户服务平台（SDSC）、文档安全客户端（SDClient）、文档安全控件（SDCOM）等组件。

1.2 产品功能介绍SecureDOC电子文档安全管理产品基于驱动级透明加解密技术，对文档内容进行加密保护，并对文档的阅读、编辑、内容复制、打印、截屏、分发等权限进行实时控制和跟踪审计，实现对文档传输、存储、流转、使用过程的全方位保护，防止主动和被动泄密。

1.2.1 高强度的文件透明加解密在用户计算机操作系统的文件过滤驱动层，采用AES 128位的对称加密（算法可替换），加密密钥随机产生，并且每个文件的加密密钥均不相同。

在用户计算机操作系统的文件过滤驱动层，自动对文件的读写数据进行加解密处理，与具体的文件格式无关，不改变文件的扩展名、不改变文件的关联应用程序、不改变用户的文件操作方式，即文件的加解密对用户透明。

对于文件的加密，既可以由作者根据文件的密级属性手动加密，也可以根据需求设定某类应用程序产生的文件均自动加密。

对于文件的解密，在内存中进行并防止内存拷贝，不在用户计算机磁盘上产生明文文件。

1.2.2 精确的可信进程管理产品对访问密文文件的应用程序进程进行管理，只有被添加为可信进程，才能访问相应类型的密文文件。

产品对应用程序进程的识别采用进程名和进程特征值相结合的精确判断方式，从而阻止木马等未受信进程对文件的非法访问。