神州数码易安文件保密系统技术白皮书

神州数码易安-文件保密系统技术白皮书

本文阐述神州数码易安-文件保密系统的技术要领及功能，如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员，您可以从本文中得到技术上的参考和帮助。神州数码Digital China拥有所有版权。

一、神州数码易安-文件保密系统实现原理

I、原理图

II、神州数码易安-文件保密系统原理

（1）实现原理

通过“神州数码易安-文件保密系统”加载到Windows的内核，我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程，从而对非法访问进行控

制，并对敏感的数据进行实时的加密。

（2）安全性

神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统，当安装了神州数码易安-文件保密系统后，用户无法看到神州数码易安-文件保密系统在运行，但用户的任何动作，如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。

用户试图关闭神州数码易安-文件保密系统是不可能的，就象Windows运行时您不可能关闭Windows内核一样，除非您关闭计算机。

（3）稳定性

神州数码易安-文件保密系统的实现采用了32位（并可以支持64位系统）软件代码，并在Windows内核执行前实现监控并触发少量必要的加密动作，因此，该系统在运行时，并不损耗系统资源，且能“安静而忠诚”的工作着。只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。安装完神州数码易安-文件保密系统后，对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。

III、实时强制加密

神州数码易安-文件保密系统采用的加密方式为实时加密。即操作人员在文件写入或修改完成时，易安-文件保密系统会实时对文件进行加密，确保文件的安全性。

神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。即对于客户的特殊要求，例如，对不同的客户端的加密应用程序有不同的要求（有的客户端控制Office 应用程序所产生的文件，而有的客户端则控制AutoCAD应用程序所产生的文件），我们可以根据客户的不同需求，通过不同的加密策略的配置来达到客户要求的控制效果

即使不同企业都采用神州数码易安-文件保密系统，不同的企业也不能打开其它企业的图文档。因为易安-文件保密系统是通过软件加硬件的方式进行加密，不同的硬件网络有不同的加密格式。图文档一旦离开了本公司的办公网络就会失效。

二、神州数码易安-文件保密系统功能简介

神州数码易安-文件保密系统是综合利用密码、访问控制及加密及审计等技术手段，对机密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护的软件系统。

神州数码易安-文件保密系统能最大限度地防止敏感信息的泄漏、被破坏的违规外传、并完整记录涉及敏感信息的操作日志以便审计。

I、机密文件防外泄

防止机密外泄是易安-文件保密系统最重要的功能。文件外泄主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。神州数码易安-文件保密系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁用，同时还可以记录日志以备事后追踪。神州数码易安-文件保密系统在用户对机密文件读写时自动对文件进行加密，用户即使拷走文件，也无法在企业外部打开该文件。

II、文件安全服务

文件安全服务提供了对敏感文件和安全防护，采用了不对称RSA算法，确保用户只能在授权的计算机上才能打开机密文件，这些机密文件一旦离开指定的计算机，文件将无法打开。

III、周密的监控保护体系

集中配置和管理。系统使企业内部的个人计算机系统集中在易安-文件保密系统的管理之下，集中配置管理安全策略。

神州数码易安-文件保密系统使用服务器多层结构，并能支持internet进行使用和管理，真正实现了分布式防护、集中式分级管理功能。

IV、系统组成功能

神州数码易安-文件保密系统壁系统由易安-文件保密系统服务器，易安-文件保密系统客户端两部分构成。

（1）神州数码易安-文件保密系统服务器

神州数码易安-文件保密系统使用后台数据库（如SQL Server），具本功能如下所述：✓存储系统组织结构，用户信息和系统工作配置参数

✓保存客户端用户信息，加密[密钥

✓存储策略，并接收控制台的指令向客户端下发策略

✓存储客户端上传的日志信息

✓参数设置，包括服务器的工作参数

✓用户管理，包括添加、删除、修改用户、每个用户都有自己的授权的工作范围和管理权限

✓安全工作域结构管理。包含创建多层组织结构以及添加、删除系统组织结构等功能

✓密钥管理中心生成、导入和导出客户端的密钥对

✓客户端的添加、安装和卸载

✓客户端策略的配置和下发

✓监测曰志的查看。分析和审计

✓客户端黑匣子的导入、审计和分析

（2）神州数码易安-文件保密系统客户端

易安-文件保密系统客户端是安装于受监控主机上的软件系统，一经安装无法在本

地卸载、只能通过服务器远程卸载。

客户端主要功能如下：

✓在服务器端注册本机硬件地址

✓接收服务器下发的工作策略，并按照该策略控制客户端的工作模式

✓信息泄露防护，该模块包括：文件读写操作、网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护

✓运行监测，实时记录文件的删除、重命名、进程。服务、驱动、用户和组的变化情况

✓资源获取，接受服务器的指令，上传系统的软件硬件信息

✓文件安全服务加密目标文件，指定密文发送范围并将加密曰志上传到服务器。解密授权密文，同时向服务器发送文件解密曰志

✓通过服务器进行身份认证

IV、神州数码易安-文件保密系统拓扑图

三、神州数码易安-文件保密系统适用范围

I、制造企业

随着公司规模扩大，企业信息化建设也逐渐覆盖各个部门。长期以来，由于个人桌面系统的数量众多，覆盖面大，内部办公人员的电脑使用状况及技术背景相差较大，缺乏统一管理与监控的有效途径。