SecDocx数据安全保护系统

血荐轩辕

21世纪是信息化飞速发展的时代，企业的核心数据的存储方式都以电子数据代替了原来的纸质文件存储。随着市场竞争的日趋激烈，对这些核心信息资产进行保护变得犹为重要，数据安全防护已经成为企业信息安全建设的当务之急，为了帮助企业消除数据泄漏的隐患，南方信息安全产业基地数据安全保护系统以国家计算机等级保护理念为依托，采用“一个中心、三层防护”的安全架构，以信息资产作为载体——数据文档为重点保护对象，通过对数据文档的安全管控来构建企业的信息泄漏防护体系。

    通过实施南方信息安全产业基地数据安全保护系统，企业核心数据在新建后就自动加密保护，帮助企业建立完善的数据安全管理体系。

产品特点：

1、透明加解密保护

内核过滤驱动： 在Windows操作系统中，存在一个管理系统输入输出的内核模块，I/O 管理器。程序在发送操作请求（如读写请求）到目标设备对象（如文件）之前，I/O 管理器会检查挂载在设备对象上的驱动程序，如存在这一对象，I/O 管理器把请求先发向驱动程序。驱动程序对象以栈的形式存在，因此可在驱动程序对象中加入定制的过滤驱动程序对象。
   
   本系统使用内核过滤驱动技术，对管理员设置的文档类应用程序，产生的数据文档进行强制的透明加密保护，并在用户和程序访问这些加密文档时，校验其合法性，如果合法，则进行透明解密，否则不对其解密。该加解密过程不会影响现有程序和用户习惯。

2.泄密保护

系统对指定的数据文档提供了高强度的加密保护。为防止内部人员使用不当或其他非法工具手段窃取加密文档内容，本系统提供了泄密保护控制功能。

（1）打印控制：系统在操作系统内核驱动层，控制加密文档的打印，当程序向打印机发送打印请求时，内核驱动拦截该打印请求，若为可信的打印操作，驱动将允许打印，并记录该打印事件，否则禁止打印并记录该打印事件。

（2）内存窃取控制：系统在操作系统内核驱动层，保护应用程序的内存数据，当加密文档数据被加载到内存中，内核驱动对存储机密数据的内存区域进行读写保护，其他程序不能通过内存访问窃取加密文档数据，解决了内存窃取重要数据的问题。

（3）其他控制：系统在操作系统内核驱动层，防止用户利用操作系统的拖拽和复制功能，泄露加密文档数据。当用户进行拖拽和复制操作时，驱动程序将分析该操作是否为策略进程，如果同为策略进程，则允许相互拖拽和复制否则禁止。

3.双因子认证

WINDOWS操作系统在用户登录时，通过GINA来进行登录认证。这种方法只有身份和口令保护在高安全要求的业务环境中，这种身份认证并不安全。本系统强制客户端使用USB-KEY进行身份认证。当用户身份认证成功后，系统自动下载用户的安全策略。

4.安全通信协议

系统中，客户端与服务器的网络通信采用了私有的安全通信协议，采用ECC算法簇的加密签名算法确保网络数据无法窃听或篡改。网络数据，无论是密钥、日志和策略等数据，都采用本协议传输，保障网络通信的安全性。
本协议提供了以下特性：密钥传输安全、密钥访问权限控制（只有正确的用户才能够正确获取密钥）策略完整性、日志机密性等。

应用范围

    数据安全保护系统的保护对象主要是政府及企业的各种敏感数据文档，包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密和企业商业秘密的文档，可以广泛应用于政府研发、设计、制造等行业。

功能用途

1、用户鉴权：系统集成了统一的用户鉴权管理，用户统一使用USB-KEY进行身份认证，客户端支持双因子认证产品是基于用户的管理体系，在人员、角色、权限三者之间建立的对应关系。在实际应用中完全匹配企业中的人员、职位及权限。

2、泄密控制：系统对打开加密文档的应用程序进行如下控制：打印、内存窃取、拖拽和剪贴板等防止用户主动或被动地泄漏机密数据。

3、审批管理：系统支持文档的共享、离线和外发操作，管理员可以按照实际工作需要，配置是否对这些操作强制执行审批流程。

4、精细管控：系统对文档的操作权限进行细分，包括文档的读取、共享、存储、分发、打印等管控同时对文档的时效性做到了有效管控。为用户提供了人性、科学、安全、有效的管理机制。

5、全面审计：系统对加密文档的常规操作，进行详细且全面的审计。控制台提供了基于WEB的管理方式。审计管理员可以方便地通过浏览器进行全系统的审计管理。

6、离线支持：离线功能是应对客户端在没有与服务器联网的状态下实现的有限管控。具体体现的情况如：公司人员出差、回家加班、服务器网络中断等情况。

7、文档外发：系统中，非授权人员不能阅读加密文档的内容。本功能制作的外发文档，可以在未安装客户端的机器上正常访问。外发的文档，和内部使用一样，受到加密保护和泄密控制，不会造成文档内容泄露。

8、文档加密：系统对指定应用程序所生成的文档进行强制加密保护。用户文档将被强制加密，并且只能在连接上服务器时访问自己创建的文档。该过程完全透明，不影响现有应用和用户习惯。通过共享离线和外发管理可以实行更多的访问控制。

官方主页：www.china-isi.com