《ERM系统文档安全管理项目建议书》由会员分享,可在线阅读,更多相关《ERM系统文档安全管理项目建议书(32页珍藏版)》请在金锄头文库上搜索。
1、 文档安全管理项目建议书文档安全管理项目建议书安徽XX科技有限公司 i目 录一、系统开发背景11.1 安全重点由外到内的转变11.2 信息泄露事件愈演愈烈21.3 机密信息管理薄弱31.4 企业需要建立数据安全管理3二、企业需求分析4三、思智ERM系统组成及设计53.1 系统组成53.2 解决问题63.3 实施方案7四、设计及技术特点104.1 C/S+B/S的体系架构104.2 SSF的服务器架构114.3 分级管理架构114.4 驱动级透明加解密技术114.5 剪贴板防护技术134.6 用户身份认证技术134.7 软件开发质量保障体系134.8 多种技术保障系统健壮性14五、系统性能145
2、.1 兼容性145.2 安全性145.3 稳定性155.4 可维护性155.5 可移动性155.6 可重组性155.7 可管理性16六、技术支持及售后服务166.1 支持及服务内容166.2 产品质量保证16附录:思智泰克简介17北京思智泰克技术有限公司介绍17典型成功客户18资质列表20一、系统开发背景1.1 安全重点由外到内的转变为了实现企业内部的机密数据文件信息的安全管理,通过设置防火墙,入侵检测,防病毒软件等手段,对来自于外部网络的攻击和入侵做到了有效的防御。但是,传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏,对于企业网络内部的信息泄漏(如内部人员泄密或其他未授权
3、人员直接接入内部网络导致的泄密等),却没有引起足够的重视。据2006年CSI调查显示,在所有的安全技术应用中,以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。通过这一调查,我们可以看到数据加密技术正在成为传统安全技术防病毒、防火墙、VPN、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化,我们可以看到针对于机密信息的安全保护正在成为更多企业的新关注方向。因此,信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比,这种来自内部的恶意泄露更具有针对性,隐蔽性,给企业造成的
4、损失也更大。1.2 信息泄露事件愈演愈烈据CSI调查显示,2006年,内部安全事件所占比率为68%。2007年这一数据依然保持,为64%。2007年,由于内部人员窃取机密信息所造成的经济损失累计为1515万美元,2006年的这一数据为2329万美元。这一数据的变化说明越来越多的企业开始重视企业内部的机密数据安全。同时,财务数据的安全性问题日益涌现。对于财务数据来讲,安全和连续性是最为重要的因素。企业信息安全已不再单属于技术专家、情报局及学术机构所关注的问题。企业中机密的数据信息的泄漏已经严重影响了企业正常的业务流程。一次数据泄漏事件会严重损失公司的声誉,甚至导致无法预知的成本损失。1.3 机密
5、信息管理薄弱企业的核心机密数据就是影响企业发展的关键数据信息。企业通常都有自己的数据安全管理制度和管理流程,但公司在具体执行管理制度和流程中,策略的执行和监控等多个方面存在很大的缺陷。高级员工的联系方式及工资待遇、技术部门的设计数据、企业信息化数据、公司的服务操作流程、规章制度等信息的泄漏,都会对企业造成意想不到的损失。而且,大多公司的业务流程已不再是狭窄孤立的,而是非常具有动态性,协作性和广泛性的合作过程。例如:在企业的日常办公过程中,可能需要公司内外的人员通过电子邮件、演示文稿、电子表格或文档的形式来共享机密文件等信息,当然每个人都担任不同的角色,从而对机密数据也就有不同的访问和使用权限。
6、这种信息的公开性就给数据的泄漏造成了巨大的威胁,但是公司最具价值的信息又不能被封锁或拒绝流通。这就需要公司的信息安全管理人员在不影响公司竞争优势的前提下,采取积极的措施深刻理解和解决机密文件信息流失的问题。虽然防火墙、访问控制、网关过滤等技术,能够控制用户准许或拒绝访问机密数据。但这些技术对用户不能提供更加细分化的策略权限控制,也就是说它们不能限定用户具体的使用权限。因此,这种静态的提供“全部或零”权限的安全工具已经不能满足当今动态的业务需求了。1.4 企业需要建立数据安全管理在2006年,国内信息安全等级保护管理办法,美国萨班斯奥克斯利法案的正式实施对于信息安全产业产生了标志性的影响。这两部
7、法规都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。作为国家“十一五”计划的开局,2007年将是国家各机关部委及企事业单位规划五年发展计划的关键时间,又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行,无论从产业发展阶段、国家政策、外部环境来看,还是借鉴国外的发展规律,都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。思智泰克在这样的大环境下,把握当前信息安全产业的形势,从关注用户的业务安全需求出发,借助千载难逢的发展机会,通过整合自身数据加密技术、数据生命周期管理技术等方面的优势,定位于以数据信息本身的安全保护和应用权限管理为核心,以文件安全策略管理、文件审批流程管理
8、、日志和审计管理、文件自动备份管理为主要组成部分,构建了一个安全、高效、智能化的企业应用办公环境思智ERM系列产品,从而实现了企业数据信息的完整安全保护和权限管理,实现了企业数据安全管理的新安全!二、企业需求分析思智泰克安全专家通过对企业文件安全管理的需求分析,以及对国内外众多典型企业在各自领域内对信息安全的需求整理,结合多年的研发经验总结出企业文件安全管理存在几乎相同的产品需求:需要集数据的强安全保护、文件权限灵活可控、管理权限的灵活分级管理、实时的文件备份、完善的日志管理、极强的易用性、高适应的兼容性于一体的解决方案。数据强安全保护:所有企业控制的机密文件在创建、存储、应用、传输等环节中均
9、以加密形式存在,杜绝使用黑客等工具的窃取,即使窃取也无法使用。不同于平常的加解密技术,强制自动加密企业中的机密文件。加密支持常用的文件格式。使企业关心的、易泄露的机密文件,自动并强制加密。只有通过合法身份认证的用户才能够正常使用,从而防止用户对机密文件的拷贝、复制粘贴、打印、传输等非法操作。文件权限灵活可控:可以控制企业中机密文件信息的访问权限,对于设置了访问权限的文件,企业员工只能在自己业务范围内,并在有权限许可的情况下使用该文件,且只具有相匹配的应用权限,无法访问权限以外的机密文件。文件权限可以细化,不同组不同用户权限不同、软件可以防止卸载。管理权限的灵活分级管理:根据企业实际的组织结构和
10、管理制度,可以由管理员设置不同级别的分级管理员的权限及对应的管理者,方便企业在实际管理过程中的灵活设置和应用。实时的文件备份:拥有实时的文件备份功能,以便管理员在系统故障或者服务器崩溃的情况下,能够保证企业机密文件信息的安全备份,并能够恢复,使文件正常使用。同时能够由企业设置需要备份的文件类型,备份需要备份的文件格式。机密文件备份到文件服务器之后,可以由文件管理员在文件备份服务器上进行管理,而且,所有上传到文件服务器上的文件都是加密存储。完善的日志管理:拥有完善的日志记录功能,帮助管理人员及时了解系统运行的各种状况及受保护文件的安全生命周期。记录客户端启动、关闭等行为,同时对客户端所有关于文件
11、的操作进行详细的记录,包括:文件新建、打开、关闭、文件复制、重命名、删除、共享等行为。系统管理员可以对日志进行归档,可以方便的搜索和查看日志信息,支持日志信息导出。极强的易用性:系统安装、卸载简单、快捷,操作方便。不改变用户使用习惯。支持扩展、升级。系统服务故障紧急处理快速、可靠。高适应的兼容性:支持复杂的网络应用环境。支持多种操作系统。灵活与其他系统结合应用。与主流杀毒软件无冲突。三、思智ERM系统组成及设计3.1 系统组成思智ERM文件安全管理子系统由服务器、控制台、客户端三部分组成。思智ERM系统服务器端与客户端以C/S结构工作,控制台即对系统的管理是以B/S方式工作。见下图所示系统结构
12、示意图:l 服务器服务器是该ERM系统运行的基础。服务器主要包括认证服务、文件自动备份服务、负载均衡服务、升级服务四部分服务。l 控制台为了实现集中统一管理的目的,思智ERM系统采用集中化的管理方式和基于角色的权限管理体系,是整个系统管理和维护的平台,是客户端与服务器连接的桥梁。控制台可以完成客户端管理、机构用户管理、策略配置、策略应用、服务器远程管理、日志审计管理、文件访问权限管理、文件安全审批管理、文件备份管理、消息管理、系统设置的配置及维护的工作。l 客户端客户端软件以身份认证技术、驱动级透明加解密技术、剪贴板保护技术和文档权限控制技术为核心,通过执行控制台各角色管理者制定的各种安全管理
13、策略,实现对本地机密文件的安全管理,为企业员工提供易用、稳定、安全的安全信息终端。为企业用户提供易用、稳定、安全的安全信息终端。3.2 解决问题“思智ERM文件安全管理子系统” 全面整合了网络访问控制、强身份认证、数据通讯机密性、数据存贮机密性、数据使用可控性等多项先进的信息安全技术,为企业用户开发的全新的电子文档安全管理解决方案。系统通过采用DLM(Data Lifecycle Management)数据生命周期管理技术,可以确保企业的数据信息从初期生成、分发使用、编辑、直到最终数据被删除等生命周期的安全性,数据无论是在企业内部网络中,还是在企业外部,均可防止泄密和窃密事件的发生。换句话说,
14、通过应用“思智ERM文件安全管理子系统”企业不但可以确保数据信息的安全性,可以将数据资源的应用权限进行全面的细分管理和分配,企业中获得数据信息的一般用户将不在拥有完全的权限,而只将拥有在规定时间内完成某一项特定工作所需的数据信息使用权。1. 实现企业内部数据的强安全保护 企业控制的机密文件在创建、存储、应用、传输等环节中均以加密形式存在,杜绝使用黑客等工具的窃取,即使窃取也无法使用。 思智采用驱动级的强制自动加密技术,将企业关心的、易泄露的机密文件加密保护。 加密文件保护支持常用文件格式。 只有通过合法身份认证的用户才能够正常使用企业加密的文件,从而防止用户对机密文件的拷贝、复制粘贴、打印、传
15、输等非法操作。 在对文件实行透明加密保护的基础上,提供对剪贴板保护功能。系统将受透明加解密保护应用程序作为受信进程,其它应用程序作为不受信进程,受信进程内及受信进程之间的基于快捷键、鼠标右键、拖拽操作等各种方式进行的拷贝、剪贴操作,将不受任何限制;对从不受信进程到受信进程的拷贝、剪贴操作也不受限制;但系统禁止任何方式的从受信进程到不受信进程的拷贝、剪贴操作。2. 实现企业机密文件的权限的灵活可控 细粒度控制企业机密数字文件信息的访问权限 企业只能在权限权限范围内使用文件,且只具有相匹配的应用权限,无法访问权限以外的机密文件。 文件权限可以细化,不同组不同用户权限不同、软件可以防止卸载。3. 离线文件的安全使用管理 提供一系列离线策略。客户端支持用户离线使用加密文档,通过控制台可以按组或用户设定文件的离线使用权限。 只能在离线策略允许范围内访问文件。在拥有“离线打开自己的加密文件”和是否能够“离线打开共享的加密文件”的情况下,管理员可以设置用户
