文檔安全

市場的需求、人的安全意識、環境的諸多因素促使着我國的信息安全高速發展，信息安全經歷了從傳統的單一防護如防火牆到信息安全整體解決方案、從傳統的老三樣防火牆、入侵檢測、殺毒軟件到多元化的信息安全防護、從傳統的外部網絡防護到內網安全、主機安全等。

信息安全傳統的老三樣（防火牆、入侵檢測、防病毒）成為了企事業單位網絡建設的基礎架構，這已經遠遠不能滿足用户的安全需求，新型的安全防護手段逐步成為了信息安全發展的主力軍。例如主機監控、文檔加密、UniBDP防泄露等技術。

在新型安全產品的隊列中，主機監控主要採用外圍圍追堵截的技術方案，雖然對信息安全有一定的提高，但是因為產品自身依賴於操作系統，對數據自身沒有有效的安全防護，所以存在着諸多安全漏洞，例如：最基礎的手段拆拔硬盤、winpe光盤引導、USB引導等方式即可將數據盜走，而且不留任何痕跡；此技術更多的可以理解為企業資產管理軟件，單一的產品無法滿足用户對信息安全的要求。

文檔加密是現今信息安全防護的主力軍，採用透明加解密技術，對數據進行強制加密，不改變用户原有的使用習慣；此技術對數據自身加密，不管是脱離操作系統，還是非法脱離安全環境，用户數據自身都是安全的，對環境的依賴性比較小。市面上的文檔加密主要的技術分為磁盤加密、應用層加密、驅動級加密等幾種技術，應用層加密因為對應用程序的依賴性比較強，存在諸多兼容性和二次開發的問題，逐步被各信息安全廠商所淘汰。

我們所能常見到的主要就是磁盤加密和驅動級解密技術：

磁盤加密技術：主要是對磁盤進行全盤加密，並且採用主機監控、防水牆等其他防護手段進行整體防護，磁盤加密主要為用户提供一個安全的運行環境，數據自身未進行加密，操作系統一旦啓動完畢，數據自身在硬盤上以明文形式存在，主要靠防水牆的圍追堵截等方式進行保護。

磁盤加密技術弊端：

驅動級技術：是信息加密的主流技術，採用進程+後綴的方式進行安全防護，用户可以根據企事業單位的實際情況靈活配置，對重要的數據進行強制加密，大大提高了系統的運行效率。

驅動級加密技術與磁盤加密技術的最大區別就是驅動級技術會對用户的數據自身進行保護，驅動級加密採用透明加解密技術，用户感覺不到系統的存在，不改變用户的原有操作，數據一旦脱離安全環境，用户將無法使用，有效提高了數據的安全性。

另外驅動級加密技術比磁盤加密技術管理可以更加細粒度，有效實現數據的全生命週期管理，可以控制文件的使用時間、次數、複製、截屏、錄像等操作，並且可以對文件的內部進行細粒度的授權管理和數據的外出訪問控制，做到數據的全方位管理。

驅動級技術弊端：驅動級加密技術在給用户的數據帶來安全的同時，也給用户的使用便利性帶來一定的問題，驅動級加密採用進程加密技術，對同類文件進行全部加密，無法有效區別個人文件與企業文件數據的分類管理，個人電腦與企業辦公的並行運行等問題。

俗話説“知己知彼，百戰不殆”，如何保護企業自身重要情報不被競爭對手竊取，使企業在使用網絡來提高工作效率的同時避免企業重要的知識產權遭受侵害，將是文檔安全管理的一個重要課題。

Chinasec（安元）文檔安全解決方案從客户端的身份認證管理、電子文檔的手動/自動加密、電子文檔的密級權限控制、日誌審計等環節進行綜合安全防護，構成多層次、全方位的文檔終端安全管理體系。為提供安全的移動信息安全服務，為用户提供了強有力的文檔信息安全支撐。

♦用户身份管理，通過加強終端使用者的身份認證，包括口令認證，UKEY認證等不同的認證強度來確保終端當前使用者的身份，並且可以與AD域賬户同步管理，按公司部門建立用户管理樹，可設置用户職位信息與職位關係；

♦文檔密級管理，可控制文檔的各種操作權限，支持多種文件密級策略，可靈活的針對部門、操作、密級進行文檔安全設置。例如，對文檔劃分“秘密”、“機密”、“絕密”等密級，用户只有系統賦予相應密級使用權限後，才能查看對應密級的文檔，有效保證了文檔的分級保密管理安全；

♦文檔權限管理，對於各密級的文檔可賦予不同的管理權限，權限策略靈活可控，包括讀、寫、另存、複製、截屏、打印、打印水印、使用次數、使用時間等。

♦文檔使用權限提權管理，當使用者在文檔使用中需要提升權限時，提供簡便流暢的文件提權審批流程；

♦文檔加密（手動/自動），系統提供手動和自動兩種加密模式。手動加密模式如下：由文檔的作者對文檔主動進行加密，文檔作者可以根據需求選擇哪些文檔需要加密，哪些不需要加密。加密權限和密級由系統下發策略提供；

♦文檔自動加密，由系統下發策略，可設置對特定存儲環境下（如整個硬盤、某個分區、某個文件夾等）的常見電子文檔進行自動加密，並可根據需要對不同文檔賦予不同密級和權限。

♦文檔外帶審批，當加密電子文檔需要外發至第三方人員處進行交流時，系統提供一套簡單流暢的文檔審批外帶流程，可對文檔進行解密審批，並可控制文檔外發後的第三方人員使用該文檔的權限（包括身份認證、讀、寫、另存、複製、截屏、打印、打印水印、使用次數、使用時間等）；

審計記錄，系統可自動記錄客户端電腦加密並使用電子文檔的記錄，管理員可以隨時查找文檔訪問信息，可用來追蹤泄密渠道，也可用作電子取證。同時，系統管理員的操作也會被完整記錄下來，監督員可以進行查詢和分析。

部署方式

Chinasec文檔安全管理系統部署圖

♦提供強有力的用户身份管理，根據人員身份限定使用文檔使用權限，賬户信息可與企業現有AD域賬户管理相結合，一套企業用户體系實現系統賬户管理；

♦對文檔使用進行細粒度的密級和權限劃分，保證了文檔再複雜的使用環境下，根據使用人的權限而呈現出不同的權限，提高高安全級別人員的

♦使用便捷性，限定低安全級別用户對文件的使用權限，結合文件操作審計可完整的控制重要電子文檔的生命週期。

♦管理靈活，加密方式多樣，提供手動、自動模式，簡單易用，可充分滿足不同使用人員的文檔安全管理需求；

♦方案成熟，部署簡單，可通過內部管理軟件如：AD域推送靜默安裝。

隨着人們對信息安全意識的不斷提高，簡單的驅動級加密技術已經無法滿足用户的基本安全需求，如何解決個人文件與企事業單位文件的隔離，實現對部分數據加密，部分數據不加密，多人使用一台電腦，這就成了信息安全的一大難題，如何有效的解決用户的安全需要，同時滿足用户的使用便利呢？

博睿勤公司專注信息安全技術的研究，緊跟信息安全的發展脈搏，採用國際先進技術，開發完成了酷衞士數據安全綜合管理平台，在滿足企業對數據安全要求的同時，解決用户使用的便利性。

酷衞士數據安全管理平台採用國際最先進的虛擬化技術、沙盒技術、驅動級加密等技術：

首先平台採用虛擬化技術，虛擬化最接近用户的還是要算的上桌面虛擬化了桌面虛擬化主要功能是將分散的桌面環境集中保存並管理起來，包括桌面環境的集中下發，集中更新，集中管理。桌面虛擬化使得桌面管理變得簡單，不用每台終端單獨進行維護，每台終端進行更新。

終端數據可以集中存儲在中心機房裏，安全性相對傳統桌面應用要高很多。桌面虛擬化在用户原有的操作系統上虛擬出一個全新的安全桌面，這樣用户就擁有一個電腦桌面與安全桌面，用户可以實現在電腦桌面進行個人文件操作，在安全桌面進行辦公操作，用户只有在安全桌面才可以訪問企業的業務系統，電腦桌面無法訪問，兩個桌面的操作具有無關性，用户可以在兩個不同桌面同時處理個人文件與辦公文件。

同時在安全桌面的所有操作數據將保存在虛擬磁盤裏，虛擬磁盤採用加密技術進行安全防護，用户一旦退出安全桌面，虛擬磁盤將自動退出，所有數據將不可見，有效保障了數據的安全性。

沙盒技術可以算是虛擬機的一種發展，其技術原理似乎也和虛擬機大致相同，但它們仍有很大區別。沙盒是一種更深層的系統內核級技術，在一個程序運行時，沙盒會接管程序調用接口或函數的行為，並會在確認攻擊行為後實行“回滾”機制，讓系統復原。

沙箱通過重定向技術，把安全桌面內應用程序生成和修改的文件，定向到自身文件夾中，這些數據的變更，包括註冊表和一些系統的核心數據。通過加載自身的驅動來保護底層數據，屬於驅動級別的保護。

沙箱通過虛擬化技術創建的隔離系統環境。您可以在沙箱中運行包含風險程序的程序（如未知文件、病毒木馬等），沙箱會記錄程序運行過程中的各種操作行為。

在沙箱中的程序有下列限制：不能運行任何本地的的可執行程序。不能從本地計算機文件系統中讀取任何信息，也不能往本地計算機文件系統中寫入任何信息。所有操作都是虛擬的，真實的文件和註冊表不會被改動，這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。

沙箱內的文件操作，包括可執行文件和非可執行文件：安全桌面內的進程所對文件和系統的修改，全部被重定向。並且重定向後的文件是經過加密的，即使重定向的文件被泄露，也沒有安全隱患。用户註銷後，重定向文件全部被刪除，即所有在安全桌面下進行的文件操作對於默認桌面沒有任何改變。

在安全桌面中，所有的通訊也被嚴格控制，安全桌面與電腦桌面之間通信也會被重新定向而進行控制，防止用户把資料泄露出去。包括Socket通訊、安全桌面內的進程與電腦桌面的進程通過本機IP進行通信，避免數據泄漏。

沙箱技術具有以下特點：

1. 完全隔離並輕量的虛擬化技術；

2. 自動識別特定有風險軟件隔離運行；

3. 所有的磁盤操作放置在一個緩衝區，沒有真正寫入；

4. 安全不留痕跡，用的省心更安心。

沙箱主要為用户的安全桌面提供一個安全的運行環境，將電腦桌面與安全桌面進行安全隔離。

關於驅動加密技術，在前面的分析中我們已經介紹過了，在這裏不再重複。

博睿勤數據安全管理平台還具有以下特點：

1. 用户操作可以實現電腦桌面與安全桌面的平滑切換，不需要進行系統重啓操作，大大提高了用户的辦公效率和用户體驗度；

2. 平台不但可以實現在線登陸功能，同樣為用户提供離線和外出登陸功能，滿足用户的不同安全需求；

3. 平台可實現安全桌面可以訪問電腦桌面，電腦桌面禁止訪問安全桌面功能，可以大大提高數據的訪問效率；

4. 平台同時可以實現電腦桌面與安全桌面的同步安全管理，可根據安全需求靈活控制策略；

5. 平台可實現文件的集中管控，本地不留文件的安全功能，數據全部集中存儲在服務器上；

6. 平台可滿足用户的複雜環境的需求，可在一套系統內實現主機管理、賬號管理、集中管理、桌面管理等強大功能；

7. 平台具有防水牆的功能，可實現設備管理、U盤管理、上網行為管理、文檔加解密功能、軟硬件資產管理、非法外聯、准入管理、文件備份、打印管理、授權管理、外發管理功等38項功能；

8. 產品不但解決了用户的數據安全性問題，同時降低了管理難度、實施難度和用户的牴觸心理；

9. 平台可以實現一個人多個桌面，從事不同的工作；

10. 平台有效解決多人使用一台電腦的安全問題。

博睿勤公司專業從事數據安全保密十年，十年誠信品質見證，自主研發的產品均有軟件著作權，國家保密局、軍隊、公安部、國家密碼管理局榮譽資格證書。產品在湖南全省統配、甘肅全省統配，福州全市統配、中國船舶重工全國統配、中國船舶工業全國統配、中國航空工業指定品牌、中國人民銀行供貨廠商、安全部紅網指定產品、國防科工委十一五、十二五指定供貨商，產品在軍工、軍隊、政府、企事業單位，金融、能源、製造業，上市公司等得到大量應用，得到客户一致好評和口碑。

博睿勤是一家研發、生產、銷售、服務於一體的高新技術企業，公司依託於黨政軍，立足於千萬家企業的數據安全專業公司，公司擁有強大的技術後盾和科研力量，產品研發不斷推陳出新，緊跟國際信息安全的發展脈絡，為廣大客户提供可持續化的安全服務。

公司在西安、成都分別成立了研發基地，公司參與國家重點新產品，火炬計劃、國家863工程，研製的政府軍工統配項目“三合一”研製軍隊列裝項目“文檔集中管控系統”國內首家研發出基於BIOS硬盤鎖產品，國內首家研製手機泄密防範教育演示系統，是一家有研發實力的公司，可以做定製化的服務。

博睿勤的不僅是文檔安全管理系統，提供的是數據安全整體解決方案，平台每個功能模塊都由國家主管部門的單項資格認證及檢測報告，數據安全管理平台以文檔安全管理為核心、將終端身份認證安全登陸、桌面安全管理系統、移動介質安全管理系統、光驅監控刻錄審計、打印審批、快照及水印、上網行為管理系統七大系統整合於一體，構建數據安全整體防泄密平台，實現了從核心文件的安全、物理層安全到網絡層安全的全方位、立體化、多角度的安全防護體系。

博睿勤擁有豐富的大型項目的服務經驗，通過服務全省、全市、全行業的項目，公司總結出了一整套的項目管理、項目實施、項目服務體系，並在軍工、軍隊、政府、企事業單位，製造業，設計院、生產企業、能源、金融、上市公司等大型成功案例應用，得到客户的認可及好評

博睿勤為客户提供的不只是產品在提供產品的同時為客户提供定製化的配套服務；例如安全諮詢安全培訓安全制度安全策略等

博睿勤公司同樣是用友、江民、啓明星辰、天融信、中興通訊、英特爾、德勤、聯想的戰略合作伙伴。

按照管理三七原則，一個好的產品在管理中只佔三成，七成的管理如何配合、保障都是至關重要的，安全產品的推廣實施難度大、影響多是所有管理員頭痛的問題，如何採取有效的培訓機制和管理措施將員工的抵制心態轉變為支持，這恰恰是博睿勤公司為您提供的貼心服務，與博睿勤的合作，你不只是買的產品，你同樣會深刻體驗到博睿勤給您帶來的客户價值。