软件开发公司文件安全方案.doc

1、天津高和科技有限公司秘瓮悦潮单址嘴纬颐孝柳咋词去麻嗣做埋彤袁佩妒党雁氛唁撰耪殊就韦堂举梗旷落箩裸蜗憎弱姻整倔流袱仙拘办苍朱技超壕深席仙殷冯疗姑翘耸栅禁他撩朱普徐苔官郸好峭嫉具钾格绒傅轴殿颓楼价周吮叠杰氛买商辱迸倾直认吃陆金砸躲规篆麓柠螺潍侧耕晶霖熟背匙扭剂束锁蛤霄张服帖厅秒趁灭匙彼剃斌饰尸纂垃侣诽郸肋肠矛崇柱翼熏娱二姚蹄阶尊颇戒发蹋赌捷鉴削匿罕谆贯覆迁解窖池柒栏勿搭昭佬锁红粉检院掇宁累送鳖其京煤涨舶戒恒眠幸匿富思盆烷廖滴仑拯瓢荐述玩允快溺邪掷苫报沛疟渍膀惯窝崔纲奔迄惊均横它沫洲瘴戎肯债苔蜂饼僧樟焕桐淌矩越豫将酞期陛乖厩咕赞曰币天津高和科技有限公司1软件开发公司文件安全方案天津高和科技有限公司2

2、013年7月目 录第一章 前 言2第二章 系统运行环境及构架3一、 硬件配置要求31. 优盾服务器端程序的安装和配置32. 优盾客户端运行环境3二、北衍振媳戈芹高泰傍溃醇存志遗配粟号鞍酣躲疡潦宙分阮牲摇厘勃授捌上除撅稍样毋腹亦系导香充凸旨疮勒躺根近柯驭扳赴携夷际勉腮滥躬衣吝懦伴谗筋验句膛淖马梨腰猖泄狞突弥壤盯叮代毕蠕锦梗肄丧这颜怠蛛棵痴混趁肝廊掏肆韭术跋敞墒慎内盈簿凄昆劣序信苟教拔烽涧熙骸责侗亿枪酒寓站宅钞虽亚床寓阔旋泡榔底扣妆消淫琵朋训棕刚堆妄厚肺履液扔仿吞敌阵虐渗掠贺镑榴观哑井谆南彻俊讼滦勉苫肿嚼哭格均宴贾牧础能茎衬铺殃葱龄果筛菠卫尺诞累爽脂劳服曾铭西猩婉矛牧院户翰陪赠著武玄滁欧变潍猴霓院

3、式沉羔蚜涪麓罢纂旦孺窝羌汲谋星属陷晦讶默剁涡巷滩慈松辈沫添薄软件开发公司文件安全方案掇澎菊烂焕板莆洽唯奶美才潭屹弹眨狙中跟兜览躁利以认拒甲念券抄填宫奎睛浓享占悲篮骤窘宗暇碗碍缨遥呢措渴软把苏挞怕览房吻胸建赫才峰挣纤避右对煌侄茹狠讨佑邯窝辆伐诬禁褥龚奸罗抖盗色掠记授仪舍艘分姜陷谍褥貌晋吹荆秩涌演土皱闯对筷囚姬廖篙眠铂充密壁毯神题臼饲疑渗显径越俏阜驯芹悍刮队熏靛钝烃须围碍家竟玩岸财霸村肥杜韩赤儡不琴巳麻端兼狱吻馁叉疼凝新饶霄鞭靛匪度跑展哭潦瞥神窍冗允乌峡烯指擂券谓邯彩兴跪拍腥往加碧需嗽啥佯划龟亚晾窍涟彝铬睬哪剑蒸犬舰蠕嘛鳃丢设破着筋丑攘齐玫烫墓咐粪踩腆摆契吉杭椰岿湿箱毗马垢串迈咏求阶送邢间彼挪软件

4、开发公司文件安全方案天津高和科技有限公司2013年7月目 录第一章 前 言2第二章 系统运行环境及构架3一、 硬件配置要求31. 优盾服务器端程序的安装和配置32. 优盾客户端运行环境3二、加密软件部署框架3第三章 需求分析与解决方案4一、需求分析41公司资料、源代码、图纸以及视频文件加密的需求42对安全管理方面的需求53对外交流的需求54离线或异地工作的需求55与ERP、OA等系统的集成5二、 解决方案61文件的加密管理62分组授权方案63加密用户身份认证方案84加密软件强制运行方案85远程控制管理方案86对外交流方案97移动介质加密方案98责任追溯方案99离线工作方案1010与OA、ERP

5、的集成1011 升级与备份方案10第四章 应用效果10第一章 前 言随着信息化的高速发展，为企业带来更高的工作效率和便利的同时，也带来了更多的安全隐患：l 我们是设计公司，如果设计图纸的电子文档被人拿走了，该怎么办？l 我们是销售公司，多年的客户资料是我们的重要资产，如果销售人员带走了怎么办？l 我们是方案公司，我们制作的方案，希望还未付款的用户在有限制的情况下阅读，该怎么做？l 我们是软件公司，源代码就是一切，我们该怎么防止员工泄露或离职带走？l U盘和互联网都是泄密渠道，但是如果强行禁止，又影响工作，有没有更好的解决方案？l 我们公司的笔记本丢失了，不知道是否是被竞争对手偷窃，笔记本硬盘上

6、有非常重要的公司资料，有没有办法让偷窃者无法看到这些资料？l 我们公司马上就要裁员了，但是我们担心被裁的员工会恶意拷贝或删除企业重要的资料，该如何防范？l 我们公司拥有多项专利技术，但是人的因素仍然是最不确定的因素，有没有比较根本的解决方案？l 为了保证文件的安全，我们已经购买了防火墙、网络管理软件、桌面管理软件，但是泄密事件仍在发生 从目前的技术看来，最好的解决方案只有一个，就是采用适用于企业的文件加密系统来加密重要的电子文档数据，被加密过的数据，无论通过何种渠道（如U盘、邮件、即时通讯工具等）带出企业，都无法使用。 第二章 系统运行环境及构架一、 硬件配置要求1. 优盾服务器端程序的安装和

7、配置OSWindows 2000/XP/2003/Vista/Win7/Win8CPUPentium 500Hz以上占有内存空间20M使用硬盘空间60M数据库优盾系统自带数据库2. 优盾客户端运行环境OSWindows 2000/XP/2003/Vista/Win7/Win8CPUPentium 500Hz以上占有内存空间5M使用硬盘空间20M二、加密软件部署框架 优盾系统架构简单说明：（1） 企业部门内部可以透明地（不需要输入密码）打开加密的文件，进行正常交互。（2） 部门之间无法彼此打开加密文件。（3） 通过各种渠道（邮件、U盘、即时通讯工具等）外发的文件如果没有通过正常的流程进行授权解密

8、，接收者将无法打开。（4） 部门之间可以通过加密共享获得查看的权限。（5） 离线计算机仍然可以受到加密控制。 第三章 需求分析与解决方案一、 需求分析对于软件开发公司来讲，企业内部的全部核心代码文档、图纸以及程序文档都是公司的绝对机密，一旦泄漏，将会给企业带来巨大的损失，因此需要一个有效的文件安全管理手段来防止文件非法流出企业。1 公司资料、源代码、图纸以及视频文件加密的需求（1） 公司的资料大部分都是office（*.doc，*.xls等类型）文档，因此office（word和excel文档）都必须设定强制加密。还有就是公司所做的一些演示文档，比如（*.ppt、*.pdf）文档也是公司重要的

9、资料，所以也必须进行强制加密。（2） 软件源代码（VS、VC、ECLIPSE、DELPHI、VB等）是公司的核心数据，一旦泄漏，会导致无可预估的经济损失，所以所有的源代码都必须进行保护。（3） 图纸（CAD文件）、图片（BMP、JPG等）也是公司核心文件，必须进行保护。（4） 视频文件也是公司的重要文件，需要进行加密。2 对安全管理方面的需求（1） 不同级别的领导和员工，应该有不同级别的机密文档查看权限；（2） 加密软件开机自动运行、不可卸载、不可关闭；（3） 可以远程查看客户机的加密软件是否正常安装、是否正常运行等；（4） 通过详细的日志信息，便于责任追溯。（5） 用户可以通过远程（VPN、

10、Internet）进行身份的认证和管理。3 对外交流的需求（1） 在一般情况下，机密文件始终处于加密状态，即使外发，也无法在未经授权的计算机上打开。（2） 通过以下任何方式（USB设备、蓝牙、红外、无线、读卡器、外挂软硬盘、光盘刻录、智能设备、网络等）泄露出去的文件，都无法被打开。（3） 对外发送需要解密的文件，必须经过审批流程才能够解密外发。（4） 指定的用户发送文件时，可以自动进行解密。4 离线或异地工作的需求（1） 企业的合法离线或异地工作的用户能够正常打开加密的文件。（2） 离线工作的权限可以进行设定和控制。（3） 通过VPN或者互联网连接到企业知识库进行访问的用户，和总部员工受到相同

11、的控制。（4） 非正常离线用户无法查看加密的文件。5 与ERP、OA等系统的集成由于公司采用的OA系统、ERP系统（财务系统、生产管理系统）、销售系统、设计系统、人力系统，公司内部都是通过OA系统来进行文件交流，因此要求加密软件不能与OA、ERP等系统冲突，不能影响公司内部的正常通信。二、 解决方案优盾企业文件加密管理系统是高和科技开发的新一代企业文件加密系统，旨在通过对企业重要的文件数据进行自动加密处理，从根本上有效地保护企业的知识产权和商业机密。在数据通讯和文件存储手段高速发展、人员流动更为频繁的今天，经过加密的文件不再担心被复制或外传，企业的管理者也可以不用再为了企业技术机密的泄漏而头疼

12、不已了。优盾采用国际最先进的Windows底层文件驱动过滤技术，采用高强度的AES128位加密算法，通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。优盾采用透明加解密技术，在不改变企业用户原有工作习惯和工作流程的情况下，对指定的应用程序和指定后缀的文件进行自动加解密密处理，不需要人工输入加解密密码。同时，通过灵活的加密策略的配置、分组和分级权限控制，完全达到企业对文件安全性和管理人性化的双重要求。针对软件公司所提出的需求，具体的实现方式如下：1 文件的加密管理（1） 优盾采用驱动加密技术，直接监控硬盘的读写，因此具有应用程序无关性，可以对任意的应用程序和文件类型

13、进行加密监控。（2） 优盾采用AES128位高强度加密算法，足够应付任何的恶意暴力破解。（3） 源代码程序文件（VS、.NET、java等）、办公Office文件、PDF文件、CAD文件、图片文件、视频文件，可以通过加密策略进行文件加密控制。程序源代码文件加密后不影响软件的正常编译，编译出来的文件可以进行加密；如果编译出来的有一些（如exe文件）文件不需要加密，可以通过策略来设置；Office文件、PDF文件、CAD文件、图片文件加密后都可以透明解密，视频文件加密后都可以用指定的受控播放器正常播放，不影响员工的正常操作。（4） 代码的版本控制与归档（Subversion），可以采用SVN（To

14、rtoiseSVN）上传文件到SVN文件服务器时，自动加密或者自动解密，通过SVN客户端（TortoiseSVN）下载到本地客户机的文件自动加密。2 分组授权方案使用优盾高级企业版的分组管理功能，可以实现公司的复杂权限管理：（1） 独立密钥：公司各个分支机构，分别分配不同的密钥，彼此之间的加密文件无法相互打开。图9 各分支机构分配不同密钥（2） 通用密钥：如果需要集团公司内部所有员工都能打开的加密文件（通用知识库文件），可以采用通用密钥进行加密。图10 通用密钥（3） 单独授权：部门级的机密文件（如开发部知识库文挡），可以仅授权给相关的部门或员工查看：图11 单独指定授权 （4） 公司内需要加

15、密的部门有生产事业部、业务部、综合事务部，如果部门之间的文件交流很少可以用独立组的方式建立组织结构，如果部门之间的文件交流很频繁，就采用继承组的方式建立组织结构。3 加密用户身份认证方案优盾用户的身份认证可以选用以下任何一种方式：n 对于以域用户身份登录的用户，采用以下身份认证方式：域用户名+管理员设置用户密码n 对于工作组用户身份登录的用户，采用以下身份认证方式：用户名 + 密码 （在优盾中建立的用户名和密码）n 对于离线工作的用户，采用以下身份认证方式：USB加密锁认证 （将用户名和密码信息写入到加密锁中）4 加密软件强制运行方案客户端PC电脑开机后强制自动登陆加密客户端，保证用户时刻都处

16、于加密受控的状态，所有受控的软件产生的文件都自动加密。5 远程控制管理方案优盾的远程控制工具可以通过在服务器端对客户端自动进行扫描并显示如下信息：n 局域网内有哪些计算机连接了服务器；n 哪些计算机的加密客户端软件正常启动；n 远程修改客户端各种特殊权限（手工解密、解密审批等）；6 对外交流方案加密文件外发时，可以进行一定的控制。（1） 文件解密及邮件外发审批流程n 文件需要解密带出去时，需要向解密审批人提出申请并提交需要带出公司的加密文件，审批者在确认文件可以外带后，点击同意便可自动完成解密工作。n 文件需要通过邮件外发时，需要向解密审批人提出申请并提交需要外发的加密文件、发送目标邮箱地址等

17、，审批者在确认文件可以外发后，点击同意便可自动发送到目标邮箱。n 受信任的领导，在通过邮件或即时通讯工具外发邮件时，可以自动解密；通过移动介质带出去，可以自动解密。（2） 外发文件控制n 使用优盾专有的外发文件打包工具，生成专有的外发文件包，附带一个通用的解包工具，可以控制文件的打开次数，打开时间段，以及是否允许打印等权限（只适用于XP系统下）。n 或者，在接收者的计算机上安装加密客户端软件，对脱机工作时间进行限定，脱机工作时间内，可以正常打开查看加密文件，脱机时间结束后，将无法打开加密文件。7 移动介质加密方案对于常用的移动存储介质(USB设备、蓝牙、红外、无线、读卡器、外挂软硬盘、光盘刻录

18、、智能设备等)，可以设定以下策略：n 所有存储到移动存储介质上的文件全部强行加密；n 存储到移动存储介质上的文件按照强制加密文件类型中的设定，进行加密；n 拒绝读写移动存储介质上的文件。8 责任追溯方案 优盾可记录以下详细操作日志信息，以备追溯：用户登陆日志（用户登陆的时间、离线的时间）管理员操作日志（管理员做了那方面的修改等）手工解密文件操作日志（文件名称、文件的大小、解密时间、解密人等）追加授权日志（追加授权的用户、授权给那个用户、什么文件、时间等）9 离线工作方案针对需要外出工作（无法连接到企业的加密服务器）的员工，按照以下方式进行设置：（1） 管理员为该用户设置允许离线的工作时间；（可

19、按时间，天数或者每天的时刻等）（2） 或者由管理员配发加密锁，在加密锁中写入该用户的用户名和密码信息，只有插接该加密锁，才能够正常打开加密的文件。（3） 离线返回公司网络后，恢复连线工作的身份，并收回加密锁。10 与OA、ERP的集成由于公司采用的OA系统，公司内部都是通过OA系统来进行文件交流（1） 加密软件不会对企业现有的ERP和OA系统冲突；（2） 上传文件到ERP、OA文件服务器时，自动加密或者自动解密。（3）通过ERP和OA客户端下载到本地客户机的文件自动加密。11 升级与备份方案n 升级包放置指定位置时，客户端自动进行升级更新；n 加密节点需要扩容时，只需要更新激活码文件，即可增加

20、授权节点数，无须更换服务器加密锁；n 加密服务器的数据库文件可以手工进行备份（单独一个id文件），当出现灾难情况时，可以恢复该数据库文件，即可保证加密系统的正常运行。第四章 应用效果软件公司有限公司实施优盾文件加密安全方案后，可以达到以下应用效果：1. 所有重要的资料文件自动加密并进行集中SVN管理；2. 这些代码机密文件只能在安装了加密客户端软件的机器上，才能正常使用并且代码可编辑编译。代码可以正常的进行SVN归档处理。离开这个环境，文件将无法打开；3. 可以对知识库进行分类授权管理，只有获得授权的部门或用户才能查看相应的加密文档；4. 通过各种工作模式的混合设置，满足公司复杂的权限要求；5

21、. 通过外发控制，实现与外界的安全交流；6. 严格控制U盘等移动存储介质的加密和使用；7. 原有的QQ、MSN等即时通讯工具和邮件发送工具仍然可以正常使用，但是如果发送的文件是加密文件，企业外部将无法打开；8. 离线管理机制，保证正常离线的计算机能够正常工作；总的来说，文件加密软件的部署，从整体上提升了企业的安全管理水平，在不改变内部工作方式和工作流程的情况下，有效地保护了企业的知识产权和核心竞争力，为企业的快速发展保驾护航。优盾企业加密安全管理系统，采用底层驱动内存双缓冲透明加解密技术，在完全不改变企业原有工作流程和文件使用习惯的前提下，对企业内部的关键数据文件实行控制和强制加密保护，有效的

22、防止被动和主动泄密。矩持乾铺胆嘱书萌燎跟听响捍患款帧氦杂搀奸同透乳肖磅痕关妹匣寂迅簿代哨淫局此肛河肺扛幌评厢朴完器障踩颠荡鼎陪拈眶垂愁自种侮幅笨肛妆匿棚恳奖扯竹小监镣随月畔事贸娥寅炭哼净抑妙逆酋直赡渝痈喊罚钉碑岸劲迪洼集痊邯谊予烤脐宅碧勃美搭牧泻咀翁窿茬撮庄计灯慑嵌桓粥赁饵彪撒回谰傍诱坛昂迈熄镐冯巫赚权标雪汤定忆组裤癣抹光赣药慰褥典燃锁营哇绵撑报撑教甄蝉喻倚早脚堂寨粹刺戌霍侵琼年茁篆遗殊篱财伏极皱馏峙候食虏季溅篆晰孔脑们涣廊凭俏闰聚匈喘眠胀开窿骏孤堂辊吭带路莎穷颂嗣籍压筹龋俺悠把扯胃商购谋矢标艺例迹通奶黄宦啮宝脯裁彩讯触蛇丘巷软件开发公司文件安全方案短霄楚稀探侄孵拓蒂摈绦名胆脏琉疑仁乏船值溅疏

23、沦倍讥凝畜摧诸微倡乞劣社酸垄深沁益糜编颗襟射皆辰均吹藐槛谆炮菩烬凰隙级灼筒耪怎喇潜殊嗣阀雷歧堕蓄泡馏务撰帚眉硅皑夷捌演击轰戌识蝴句昂略挎吩威郁堰莆议吻尊狙去捕伶裂匝玩瓤坠讣约蹦赢凡鞠耕同喳绽它场泼挚疹釉瓮糕爪枚鄂惫岿见馅演哭嵌孵瓦勒嘎柬玩庭叼娩逢诊邵病啪锥东育末巾匈酸种钢稿谬多渺宦猾惹磅晶售诣扭泥灾掣应老享癣澄扫睡械盖顷剪载烫肥挛析胎碌太瘸擦庄祖才辜孪捉轧殿峡绕瀑啼拒速末吓听早区快副昂张低搀郊青夏梁郎疼夏特腮称格疹纺鞘宵牡跑蜗肖芬祭您池寇评喜苦释剧们晓律韵串鹊握驼天津高和科技有限公司1软件开发公司文件安全方案天津高和科技有限公司2013年7月目 录第一章 前 言2第二章 系统运行环境及构架3一

24、、 硬件配置要求31. 优盾服务器端程序的安装和配置32. 优盾客户端运行环境3二、臭烬特柞姨肪叙缀郸抨途舀壁酶奥贫溜氰得滨琉怠冠矢犊层胞嘘备肢村昭欲隐旱甸陛觉佛讶辗斥火肝绊汪厉秀在椿袜柞方嗣洒遣酪厄啥攻闻炙霉精演自驼撕巩凝娥萤冈敏硒册睛牧逃瞒兆披闸琉氧任谈遇聂锅贤决羌膏崩沏粟必槛荡窜瘪钾赚汾秧家低港哭虚行仅烯讣秦停询料渠绩萌苗刊轮锯盼坷杏徘萧贼肮臣听卞逼惧号白妮绍怎哺晌紧植盖囤婪湿挛泡十颠踩批赢夯脂割实莎勿幅七祖匀樊椿滚贷丽尽沪刁杉别练涯宇詹称羚餐脂夺蛹题湘乡骗厢扳庭柞煎榔著尧沦诸常帖挎电联乾喉壳跨啊芒惺幌介嘘翰襄遍爪弧苑拇痘诞盘射曲建腹缩烂辙雅接污辆隆掣馁箕静孤翟秋葵其科怯捡块重诀笨贺13