佳为网络应用

图文档卫士DG

    在社会分工日益明细、经济往来日益密切、信息技术日新月异的今天，如何有效保护您的企业的知识产权，降低因数据外泄造成的风险，是每个企业不得不面对的一个严峻考验。

据调查，企业商业秘密泄露中30%-40%是由电子文件的泄露造成的。

l         Fortune排名前1千家的公司，每次电子文件泄露造成损失平均是50万美元

l         国内500家大型企业对电子文档有保护措施不到3%

l         因图纸被盗、技术人员跳槽所引起的经济案件逐年增多

FBI和CSI对484家公司调查，发现： 超过 80%的安全威胁来自企业内部。

由于电子文档具有易于复制、易于传输的特点，电子文件的管控一直是个难于解决的问题。电子文件一旦被借阅，则借阅者对文件就具有了完全的权利，无法向传统媒介文档一样实施收回或归还操作，客观上造成秘密材料的无序传播。新模式软件自2003年推出国内第一款知识产权保护软件产品——DG （Document Guard®）– 图文档卫士，一直受到广大用户的热力支持。DG采用的是一种主动的安全策略。在从文件创建到删除的整个生命周期都对其进行安全保护。这有别于防火墙等被动的“堵”的安全策略。DG与防火墙、VPN等安全产品完全不冲突，DG从“内部控制”的层面对现有安全系统进行了重要的补充。只要系统内部还存在不加密的电子文档，在理论上以往的各种安全系统（防火墙等）就无法杜绝机密文件被泄密。由于DG可以做到系统内部不再存在没有加密的重要电子文档，因此DG从信源上保证了安全，在安全系统中DG的安全作用将是不可替代的，DG结合其他的安全系统使用能够为用户构造更严密的信息安全体系。新模式不断总结用户需求，如今我们又推出新一代图文档卫士DG6.0。DG6.0提供更加完善的审计功能、更加丰富的安全策略，为您企业的文档提供全生命期（创建、保存、修改、拷贝、外发、删除）的安全保护。

DG6.0能为您解决

一、涉密文件强制加密

DG6.0首先秉承了DG所倡导的强制加密技术。DG6.0采用先进的进程进程识别技术、强大的自身防护体系、操作系统内核驱动技术、更加安全可靠的加密算法，继续保持了DG在稳定性、安全性、运算性能等方面的绝对优势地位。

一切操作都不变。DG6.0运行在操作系统的底层，整个加密、解密过程无需用户介入，不改变用户操作习惯。

自动强制加密。能够智能识别计算机所运行的涉密数据，并自动强制对所有涉密数据进行加密操作，而不需要人的参与。体现了安全面前人人平等。

组织内部畅通交流。虽然组织内部的文件交流都是在密文状态下进行，但是不会对您的内部交流造成任何障碍。因为我们为每一个组织提供一个全球唯一的密钥。该密钥放在我们提供的防破解加密狗里面。

非法获得无法破解。如果您希望通过暴力破解的方式获得明文，权威机构告诉我们，以现在的硬件技术，一个文件大概只要用300年左右的时间。

支持软件种类多，且用户可自定义。目前DG已经应用在汽车、火车机车、航空、军工、机械装备、冶金、科研院所、化工、纺织、政府等多个行业，支持软件种类达数百种，而且以每年近百种的速度在增加。而且DG提供了良好的用户自定义功能，允许用户自行进行扩展。

安全策略丰富完善。DG提供是否允许截屏、是否允许打印、是否允许拷贝、是否允许FTP传输、是否允许脱机、密级设置、外发权限设置、日志审计等等功能，满足用户的不同需求。

丰富的接口。DG可以和PDM、OA、ERP等信息化系统紧密集成，目前DG6.0已经和数十种主流管理软件进行了紧密集成。

二、外发文件权限控制

企业不可避免的会与外部进行文件交互，以往都是通过明文进行交互，将文件交给对方后就完全丧失了控制权，文件可能被无限制的分发、打印、使用。这种方式我们把它称作明文外发。

新模式DG6.0又为用户提供了一个更加安全的信息交流方式，密文外发！在这样一种交流方式中所有的文件交流都是在可控的状态。

如上图所示：

企业A外发文件给企业B和企业C都是密文状态，企业B和企业C都可以打开企业A发送给他们的密文。但是他双方不能打开对方的文件。

DG6.0还可以控制外发文件的使用权限，是否允许修改、是否允许打印、允许使用多少次、允许使用多少时间等等。这样我们就可以控制企业的所有外发文件，不会再次扩散。

三、组织内部密级控制

前面两节我们看到了DG把企业当作一个整体进行保护时所具备的优异表现。当然在一个真实的企业中对涉密文件拥有的权限是不一样，如：设计部门的图纸和财务部门的财务报表都是企业的涉密文件，但是设计部门没有权限查看财务部门的财务报表，财务部门也无权浏览图纸，公司总经理拥有查看公司的所有文件。

DG6.0系统可以设定多台计算机的加密根密钥相同（或一台一个密钥）。同时也可设定某台机器具备浏览多个密钥产生的文件。这样我们就可以将企业的计算机按照需要的方式进行组织。DG6.0支持一下几种权限控制模型：

企业内部不分密级

按照组织机构划分

按照项目组方式组织

 四、文件外发审批流程管理

作为企业的管理制度，文件不论是明文外发、密文外发，都是需要进行审批的，原来这些操作都需要手工拷贝文件到管理机，由具有相关权限的人员进行解密操作，然后再把明文文件拷贝给申请外发的人。在这种模式下不但操作复杂而且安全性低。

DG6.0增加了文件的外发审批流程管理功能，这样不但简化了文件外发过程，而且增强了系统的安全性，避免了更多人涉及到明文。

如下图所示，为一个典型的文件外发审批流程：

审批流程

针对每个人的审批流程是不同的，可由用户根据实际管理需要进行自行定制。

在这个流程中部门经理、分管副总都只是告诉DG服务器同意或者拒绝，具体的解密动作部门经理、分管副总并不参与，而且申请时的密文与通过后的明文（或者外发密文），以及审批过程信息都在系统中进行了保存，可以随时进行审计。

DG6.0功能概述

一、 DG6.0功能架构图

DG6.0系统包含：DG内核加密模块、客户端控制模块、外发控制模块、注册服务器、策略管理服务器、行为监控服务器、自动升级服务器、备份服务器等功能模块。

客户端功能架构图

服务器功能架构图

二、DG6.0功能介绍

1、DG6.0客户端

DG6.0客户端没有界面即对用户透明，不需要对终端用户进行任何操作培训。大大简化了文件加密的过程。因为用户不需要考虑：

n         哪些文件需要加密。每个DG客户端的加密策略由企业根据需要统一制定，客户端没有选择的机会，只有被动的执行。

n         不需要记忆密码。每个DG客户端的拥有哪些解密密钥也是由服务器统一制定下发的。

n         不需要考虑网络断开对加密的影响。每个DG客户端都设置时间长短不同的脱机时间，在脱机时间内DG客户端正常工作不受任何影响。

n         不需要考虑性能影响。DG客户端的运行效率非常高，占用系统资源很少，经过大量测试DG对应用软件影响的范围控制在3%~10%以内。

DG6.0对客户端的安全控制策略中包括：

n         约300类常用软件加密策略。

n         是否允许客户机脱机使用及使用时间、使用次数（开机重启动）。

n         是否允许客户机进行打印操作。

n         是否允许客户机进行拷屏操作。

n         是否允许客户机进行涉密复制操作。

n         是否允许客户机插入OLE对象操作。

n         是否记录客户机涉密行为。可选 创建、打开、保存、复制、删除、打印、重命名、截屏等操作行为。

2、DG6.0服务器

DG6.0服务器主要是提供如下功能：

n         企业组织架构定义。可对应企业组织架构模型，或者跟据需要定义。该架构会被用在设定策略、定义权限、定义流程等地方。

n         企业解密流程定义。系统提供按组织架构、统一流程、个性定义等多种方式满足客户关于解密流程的需求。

n         客户机策略管理。DG6.0系统内置了如下策略，并且企业可根据自身情况进行自定义。

u       约300类常用软件加密策略。

u       是否允许客户机脱机使用及使用时间、使用次数（开机重启动）。

u       是否允许客户机进行打印操作。

u       是否允许客户机进行拷屏操作。

u       是否允许客户机进行涉密复制操作。

u       是否允许客户机插入OLE对象操作。

u       是否记录客户机涉密行为。可选 创建、打开、保存、复制、删除、打印、重命名、截屏等操作行为。

n         客户机注册服务。

n         备份服务器管理。DG6.0支持备份服务器管理机制，在主服务器宕机时可自动切换到备份服务器。增强了系统的安全性。

n         涉密文件库。DG6.0所有外发涉密文件及解密过的文件都会集中统一存放在服务器上。以备审计使用。

n         密级管理。DG6.0可将企业内部根据需要划分成不同部分，每个部分相互之间能否打开文件是可设定的，这样可实现密级管理，如企业共划分为三个密级：普通（密级1）、部门经理（密级2）、总经理（密级3）。密级高的可以打开密级低的，密级低的打不开密级高的。

3、DG6.0外发管理端

DG6.0外发管理端是管理从文件外发申请开始到外发申请结束整个过程的管理工具。它具备如下功能：

n         文件外发申请。有文件外发需求时，文件外发申请人填写申请单，并附上需要外发的文件。如果是通过安全邮件外发的话需要填写外发目的邮件地址。

n         待审批文档通知。当文件外发申请人提交申请后，系统会根据规则确定是否需要审批，以及审批人是谁，系统会将申请通知发送到他的桌面上。审批人可根据文件内容确定是否通过并提交。

n         已审批文档列表。已审批文档列表是审批人所审批过的所有涉密文件外发审批清单。可以随时调出察看历史。

n         审批完成通知。当外发文件审批完成后，系统会根据要求把文件解密成明文或者转换为外发密文。并通知申请人已经审批完成。

 4、DG6.0外发文件阅读器

外发文件阅读器是用来控制密文外发给企业客户的，安装控制形式有如下几种方式：

n         放开安装：这种安装模式密级最低，只要拿到该安装程序就可以在自己的机器上安装，安装过后，就可以浏览发给该企业的所有密文文件。

n         按密码安装：这种安装模式密级较高，在安装时必须输入，授权密码。安装成功后，就可以浏览发给该企业的所有密文文件。

n         按照机器认证码方式安装：这种安装模式密级最高，接受方企业安装时，安装程序提取计算机的硬件信息，该计算机在发出方系统作备案。以后文件外发时只要选择相应的计算机，即可达到，只有这几台计算机能打开，其他计算机即使安装也不能打开。