《企业信息安全加密系统项目需求分析》由会员分享,可在线阅读,更多相关《企业信息安全加密系统项目需求分析(8页珍藏版)》请在金锄头文库上搜索。
1、企业信息安全加密系统项目需求分析 1.服务器管理与部署: a)操作系统: Windows Server2003/2008/ 或以上;支持 32/64 位操作系统。 b)客户端标准平台: XP 、win7、Win8、Win10;支持 32/64 位; Linux 32/64系统。 c)数据库: MS SQL Server 2005/2008/2012 d)程序架构: C/S 架构(Client/Server),B/S 管理( Browser/Server ) e)杀毒软件: 支持 360杀毒、360 安全卫士、 瑞星杀毒、金山毒霸、趋势杀毒、 赛门铁 克 SEP 、卡巴斯基 f )语言:服务器端
2、、客户端提供中文、英文语言包。 2.系统加解密应用模式: 按照系统配置策略,在用户操作过程中,系统终端启动时会将从服务器获取 对应的安全策略和密钥,安全策略保护范围之内的文件被存储时,客户端将自动 对其进行加密(而不论其打开时是明文还是密文),被合法进程读取时,客户端将 自动对其解密,因而用户使用过程中无感知,不改变用户的原有的使用习惯和模 式。如果加密文件通过MSN 、QQ 、电子邮件、移动存储设备等方式传输到企业授 权范围以外(企业外部或企业内没有安装加解密终端的电脑),那么将无法正常打 开使用,显示乱码,并且文件始终保持加密状态。 3.文档加密模式: 系统针对用户电子文档的加密模式: a
3、)强制加密模式: 通过策略设置, 对受控格式文件 (即通过策略配置的文件类型文档) ,会 在写入的时候自动进行加密。 b)主动加密模式: 对于外部流转的加密文件可以正常解密使用,并且保证使用过程中不能 以复制、另存、打印等方式泄密;同时个人电脑上的非加密电子文档不会被 强制加密,但是提供使用者手动选择非加密文件进行加密,加密文件边框要 求高亮显示,用以区别非加密文件。 c)全盘扫描加密 支持对指定文件类型,进行文件全盘扫描加密。 d)移动存储介质落地加密 支持任意格式文档存储到移动存储设备时自动加密 e)指定共享目录落地加密 支持任意格式文档存储到网络指定共享目录自动加密 f )终端指定目录落
4、地加密 支持任意格式文档存储到电脑指定目录自动加密 g)最低加密 只要受控文件中有字符即可保存加密,无论字符数多少。 4.文件解密模式 a)文件审批解密 支持解密审批流程管控范围,即定义此审批流程的用户范围,范围内用户如 需解密文件, 只能够走此审批流程, 如将此文件拿到其他解密审批流程中,则无 法解密; 在解密审批流程管控范围内,可以继续设置审批流程可审批文件密级; 例如:研发部机密文件审批流程;研发部绝密文件审批流程。 解密审批流程可以设置根据用户需要,设置无限级的多级审批;并且:每层 审批可以设置“与”“或” “选”三种方式。 为防止提交人终端留取明文,以及提交人提交解密理由与实际用途不
5、符,还 有提交人与审批人串通获取明文,文件解密审批流程最终审批结果,可以设置提 交审批人接收;流程模板指定;审批人指定;提交人指定,来进行监管。 b)右键特权解密 可以通过右键,对指定文件或文件夹或磁盘解密,并且要求必须支持如下版 本穿透压缩包解密,(压缩包范围: RAR 、ZIP、7Z,RAR5.0 )穿透解密。 c)全盘扫描解密 根据安全策略对全盘文档进行扫描解密,策略支持文件类型、必须支持如下 压缩包版本( RAR 、ZIP 、7Z,RAR5.0 )穿透加密 d)移动存储设备落地解密 支持指定格式文档存储到移动存储设备自动解密。 e)指定共享目录落地解密 支持指定格式文档存储到网络指定共
6、享目录自动解密。 f )终端指定目录落地解密 支持指定格式文档存储到电脑指定目录自动解密 g)邮件(白名单)解密 可以设置哪种密级类型文件发送到对方地址上自动解密。 支持邮件客户端:OUTLOOK(支持 SMTP 、 Exchange协议) 、 Foxmail (支持 SMTP 协议) 5.加解密文档类型: a) 主要针对办公类文档类型,包含但不限于: 微软 office word、excel 、powerpoint 以及 WPS 相关和 PDF文档。 b)针对压缩包,可进行压缩包内部的文件的加解密。 支持穿透压缩包加密,要求必须支持RAR 、ZIP 、7Z,RAR5.0 版本。 6.加密终端
7、类型: 根据业务需要可设定多种加密方式加密终端必须含有两种形态: a)安装在个人电脑上,通过用户名和密码验证登陆使用; b)安装在移动 U盘上,通过 U盘客户端进行使用。 7.加密 U 盘客户端: 要求加密产品提供加密U盘,可以实现加密 U盘通过认证才能使用, 对于写 入 U盘的数据强制进行加密。 加密 U盘可以实现 U盘客户端的功能, 即对于外来人员, 配发加密 U盘,可 以有效的使用加密数据,并保证数据的安全性。 除了提供正常的数据防泄漏功能,U盘客户端还需要实现: 防“丢失” :通过 身份认证,捡到U盘也无法使用;防“盗版” :通过硬件绑定,即使复制U盘程 序,也无法正常运行;防“抵赖”
8、 :通过离线时间控制,加密U盘可以配置使用 有效期,过期后,不能使用加密文档。 使用专用安全优盘,将U 盘客户端程序写到引导分区,实现防删除,防破 坏,提高 U 盘的可用性。 8.用户认证方式: 提供多种用户认证方式,满足不同应用需求: 用户名和密码登录 绑定电脑自动登录 USBKEY 绑定登录 域结合登录 9.文件密级管理: 公司内部文件可通过不同密级来划分,对应密级的人可查看当前密级和比当 前密级低的文件;部门之间可以通过阅读权限控制来限制不同部门之间加密文件 的流通; 根据用户岗位级别,可以自定义(公开、普通、秘密、机密、绝密)等密 级但不限上述密级。 可以根据岗位级别,设置用户可以操作
9、的文件密级及密级权限。 例如:总经理定义为绝密、副总经理为机密、研发经理为秘密、研发工程师 为普通。 文件加密总经理副总经理研发经理研发工程师 绝密 机密 秘密 普通 机密权限总经理副总经理研发经理研发工程师 打开 打印 加/解密 密级调整 用户右键点击文件属性,可以查看到文件密级和文件权限。 用户可根据自己的岗位权限,向下兼容密级;同时,高密级用户操作低密 级用户文件,密级未经审批或自定义调整的前提下,密级保持原密级不 动。 10. 手机客户端: 支持 IOS和安卓两种手机的客户端, 在手机上可以直接阅读加密文档,并且 相关的审批流程也可以在手机上进行审批。 11. 外发管控: a)可以设置
10、终端用户自主外发权限, 即不经审批,便可以拥有的外发权限; 例如:设置用户 A,未经审批外发最大权限为1 天,3 次。 b)接收外发文件使用方,无需安装外发插件或特定浏览器。 c)外发审批管理 支持外发审批流程管控范围,即定义此审批流程的用户范围,范围内 用户如需外发文件,只能够走此外发审批流程,如将此文件拿到其他 解密审批流程中,则无法解密; 在外发审批流程管控范围内,可以继续设置外发审批流程可制作外发 文件密级; 例如:研发部机密文件外发审批流程;研发部绝密文件外发审批流 程。 外发审批流程可以设置根据用户需要,设置无限级的多级审批;并 且:每层审批可以设置“与”“或”“选”三种方式。 为
11、防止提交人提交外发申请理由与实际用途不符,还有提交人与审批 人串通获取外发受控文件,可以设置提交审批人接收;流程模板指 定;审批人指定;提交人指定,来进行监管。 d)特权外发:赋予某用户可以不经审批,自主制作外发文件。 e)外发安全管控设置 密码检验:设置打开外发文件时是否使用的密码。 硬件绑定:设置外发文件制作时做硬件绑定,文件打开时需要绑定硬件 做校验。 打开次数:设置外发文件充许打开次数,在设定的次数内可以打开,用 完次数后外发文件无法打开。 打开天数:设置外发文件允许打开天数,在设定的时间内可以打开,超 时后外发文件将无法打开。 打印控制:设置外发文件是否可打印。 等级限制:控制员工充
12、许外发指定的文件等级。 编辑控制:设置外发文件是否可修改编辑。 12. 邮件白名单功能: 支持装有客户端的电脑,发送给指定邮箱的文档自动进行解密,支持 outlook 和 foxmail两种邮件客户端,不改变原有邮件首发习惯。 13. 实用、灵活的审批流程 流程审批即时消息提醒,提高了流程审批效率; 审批人员审批时需要输入合法口令,提高审批安全性; 审批可以在线查看或者下载文件内容; 支持 Web 审批方式,提高流程审批便捷性; 支持移动终端(如: iPad、iPhone、手机)流程审批; 支持审批人在线、离线、全部状态时自动审批; 可查询所有发起审批、待审批、已审批等信息。 14. 水印控制
13、 a)针对所有文件类型, 即*.* 格式,均可以设置窗口浮水印, 即水印始终在 窗口范围内显示。 b)水印内容可以设置计算机名、时间、公司名称、用户名称。 c)水印内容可以设置字体、颜色,并且可以进行预览。 d)水印的显示方式可以设置为平铺或斜式。 15. 终端的离线管理: 为满足员工出差或回家办公, 系统支持对终端离线管理, 对于电脑终端, 可 以设置离线时长,时长范围内,可以正常使用,超过离线时长,不可以使用加密 文件,但系统具有离线补时申请审批功能。 16. 截屏管控: a)能够控制住目前所有截屏工具(360 浏览器、 QQ截屏、红蜻蜓等等 ) 。 b)截屏管控不能影响到远程协助,必须要
14、求窗口管控,非窗口部分正常截 屏。 17. 文件打印管控: a)打印权限:控制用户是否可以打印文件的权限。 b)打印水印:控制打印是否显示水印信息,水印信息支持自定义。 c)打印快照上传:控制客户端在加密文件打印时是否上传快照日志,提高 审计的可溯性。 d)打印机黑白名单:根据打印机型号设置打印机是能否正常打印涉密文档。 e)打印内容记录:打印受控文件时,系统可以将所打印文件以高密度压缩 (如:压缩高清图片)的形式备份在服务器端,以便于后期查询审计。 18. 支持分布式部署模式: 鉴于公司多地分布的特点,未来可能需要在当地设立加密服务器。因此,要 求系统支持 “分布式” 部署方式, 采用一个引
15、擎服务器管理多个数据采集服务器 的方式,理论上可以实现无数终端用户数统一平台化管理。 19. 审计管理: 可以呈现完整的安全审计管理内容。 各种类型的应用日志, 可以对系统操作、 打印、加解密、外发、客户端故障、 客户端卸载等业务操作进行记录,为业务管理和日后审计提供支撑。 20. 系统性能和兼容性: 对于加密和解密较高的单独文档(如:1G ) ,要求系统应用达到无感知。 安装加密客户端的电脑,不出现卡顿、慢、延迟、死机等问题 21. 支持 Liunx环境下文件加密: 除了支持 windows 全系列系统外, 为了保障未来应用, 要求还支持 Liunx 环 境下的信息安全防护。 22. 系统分
16、级安全管理: 基于 “三员分立”原则, 系统要求体现出不同环境条件下的多层级分级管理, 保障系统应用安全。 23. 流程管控 流程类型 解密审批流程 提供解密对流程审批要求的支持,实现文档解密过 程的风险控制。 外发审批流程 提供外发对流程审批要求的支持,实现文档外发过 程的风险控制。 离网审批流程 提供加密客户端(终端设备)出差离网对流程审批 要求的支持,实现设备外出的风险可控。 邮件审批流程提供对邮件方式发起流程申请、审批的支持。 文件等级审批 流程 提供加密文件等级调整对流程审批要求的支持,以 提高等级调整的风险控制。 串码补时审批 流程 提供出差离网终端PC超出申请时限时,实现以串 码补时审批流程方式的支持,方便追加补时时间。 权限申请审批 流程 提供对 DRM 权限文档的在线申请发起以及流程审批 的支持。 流程定义 流程步骤自定 义 提供流程步骤设置自定义,以应对各种与加密系统 相关的审批应用要求。 文件接收人自 定义 灵活应对企业对文件接收人的管理要求。 审批工作模式 自定义 针对多人审批,提供“与”、“或”、“选择”多 种审批
