山丽防水墙内外网网络数据安全解决方案.doc

1、 山丽防水墙内外网数据安全 解决方案 目 录 1项目背景 4 2网络场景 4 3用户需求情况 4 3.1 网络情况 5 3.2 工作场景 5 3.3 目前安全措施 5 3.4 用户信息安全需求 5 4安全风险 7 5监管政策 9 5.1 信息安全法律 9 5.2 行政法规 9 5.3 信息安全部门规章及规范性文件 9 5.4 信息安全国际、国内技术标准 10 5.5 行政法规信息安全框架 10 6产品方案 10 7加密1.0环境加密和其生存现状 11 6.2加密2.0格式加密和其生存现状 11

2、 6.3加密3.0多模加密和其生存现状 11 7解决方案 11 7.1产品功能之多模加密技术 12 7.2产品功能之剪贴板控制技术 14 7.5产品功能之离线管理技术 15 7.6产品功能之审批管理技术 16 7.7产品功能之审批流定制技术 19 7.9产品功能之TPM防护技术 21 7.10产品功能之密文明送技术 22 7.12产品功能之屏幕水印&文档水印技术 23 7.14产品功能之U盘防水墙技术 24 7.16产品功能之自主分发安装技术 25 7.17产品功能之服务器容灾管理技术 25 7.18产品功能之文件备份和删除管理技术 26 7.20产品功能之日志管

3、理技术 26 8产品优势 27 9售后服务 31 1项目背景 在国家安全部门，政府部门，国家社科院校，国家科研单位，以及注重核心信息资产的企业因为互联网愈发变得普及，电脑、网络已经成为了政府部门或者科研院校或者企业单位对外工作的主要途。 如何确保办公网络数据的安全，如何确保外发数据的安全，以及如何确保内外网数据交互时候的安全成为了摆在IT系统安全管理人员面前一道棘手的问题。 本方案目的在于寻求解决内网数据安全，外网数据安全，以及内外网数据交互安全。 2网络场景 图：用户网络结构图 图：用户部署结构图 3用户需求情况 在内网、外网存在多种场景的应用程序，这些应用

4、程序采用BS或者CS的方式部署，为使用者提供丰富多彩的业务，是企业IT信息系统的核心组成部分，而且，随着全球数据大集中和云计算技术的发展，基于云服务方式的应用将成为IT系统提供应用的最重要方式，这种方式在服务器端往往不进行内外网的区分，只是用户在因为处于不同网络环境从而只能允许使用不同的应用而已。 本方案用户的实际情况如下： 3.1 网络情况 当前公司正处于发展壮大中，构建有办公用的局域网，同时在外建设有分公司分公司和总部共用相同的ERP服务器； 3.2 工作场景 现场PLC操作平台数据修改，操作 文档制作，各种业务运行数据分析等 笔记本可以链接外网，笔记本可以上网。 服务器交

5、互： 数据会存储保存在图库等应用服务器上。 3.3 目前安全措施 目前企业内部暂时未部署有任何对应信息安全产品。 3.4 用户信息安全需求 1， 数据可以自由进入，非经过允许，不能随意出； 2， 在内部的数据，存在服务器上，电脑上，笔记本电脑上，云盘或者网盘上，均处于加密状态，无法被非授权泄露； 3， 对不同角色的用户，执行不同的安全加密策略:空加密，目录加密，格式加密，全盘加密等；加密技术效果需要达到一文一密钥，和格式无关，采用多模加密技术； 4， 在需要将这些数据脱密的时候，可以经过自主脱密、绿色邮箱脱密、自动审核、人工审核； 5， 数据还可以进行半脱密处理，防止数据发给

6、用户的时候，用户造成的二次泄密，即：用户收到收据后，对数据的使用接收次数、时间、打印、水印、绑定U盘电脑等的设置； 6， 在带入公司内部的U盘、移动硬盘等外设进行注册、认证处理，确保这些数据设备只能在公司内部或者内部制定的电脑上使用； 7， 在员工出差的时候，可以给用户设置固定时间离线的工作模式； 8， 在员工临时回家加班的时候，可以为员工提供U盘客户端，然员工在家里电脑也可以自由处理涉密数据而不会造成泄密； 9， 当数据加密系统服务器崩溃的72小时内，客户端可以切换为本地登录，让员工仍然可以自由的处理涉密数据； 10， 对公司ERP服务器数据进行防护，防止通过ERP等应用系统产生的

7、数据泄密； 用户特殊信息安全需求： 1，程序的防泄密：山丽防水墙采用多模加密中全盘加密实现防护 2，程序的到时禁止使用：山丽防水墙的离线控制使用； 3，数据往PLC设备里面的烧录：山丽防水墙的烧录管理模块的使用； 4，个别文件的时间控制：山丽防水墙的密文明送控制使用； 防护方式： 在用户提交的设备上，安装部署山丽防水墙软件，实现对整体的数据防护。 4安全风险 数据泄密存在被动和主动两类，既要放置数据主动泄密，也要防止数据被动泄密。更要方法数据在无意识之间造成的泄密。 可能的泄密途径，应该来讲主要包括： ü 服务器上泄密、 ü 工作站泄密、

8、 ü 移动设备泄密、 ü 网络泄密、 ü 输出设备泄密、 ü 客户泄密、 ü 合作单位员工转发泄密等 主要的表现形式如下： 服务器泄密： 1、 网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。 2、 维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机器上。 工作站泄密： 1、 乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。 2、 内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。 3、 将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。 4、 将笔记本（或者台式机）带出管

9、控范围利用GHOST程序进行资料盗窃。 5、 将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来装上。 6、 将办公用便携式电脑直接带回家中。 7、 将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走。 8、 将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走。 9、 电脑易手后，硬盘上的资料没有处理，导致泄密。 10、 笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。 网络泄密： 1、 内部人员通过互联网将资料通过电子邮件发送出去。 2、 内部人员通过互联网将资料通过网页bbs发送出去。 3、 随意将文件设成共享

10、导致非相关人员获取资料。 4、 将自己的笔记本带到公司，连上局域网，使用各种手段如ftp、telnet窃取资料 5、 随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。 输出设备（移动设备）泄密： 1、 移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等 2、 将文件打印后带出。 客户泄密： 1、 客户将公司提供的文件自用或者给了竞争对手。 2、 客户处管理不善产生的泄密。 3、 员工收到文件后将文件发送给其他人员产生的泄密。 5监管政策 5.1 信息安全法律 l 中华人民共和国宪法相关信息安全

11、部分 l 中华人民共和国刑法相关信息安全部分 l 中华人民共和国保守国家秘密法 l 中华人民共和国标准化法 l 中华人民共和国国家安全法 5.2 行政法规 l 中华人民共和国计算机安全等级保护条例 l 商用密码管理条例 l 中华人民共和国产品质量认证管理条例 5.3 信息安全部门规章及规范性文件 l 计算机信息网络国际联网安全保护管理办法 l 计算机病毒防治管理办法 l 计算机信息系统国际联网保密管理规定 l 计算机信息系统安全专用产品检测和销售许可证管理办法 l 科学技术保密规定 l 注册信息安全专业人员认证程序 l 企业内部控制基本规范 l 商业银行信息科

12、技风险管理指引 5.4 信息安全国际、国内技术标准 l 基础类标准 l 物理安全标准 l 系统与网络标准 l 应用与工程标准 l 管理标准 5.5 行政法规信息安全框架 l 开放系统安全框架ISO 10181-1) l 鉴别框架(ISO 10181-2) l 访问控制框架(ISO 10181-3) l 抗抵赖框架(ISO l0181-4) l 完整性框架(ISO 1018l-5) l 保密性框架(ISO l018l-6) l 安全审计框架(ISO 1018l-7) l 管理框架(ISO 7498-4) l 安全保证框架(ISO /IEC WD l5443:199

13、9) 6产品方案 数据防泄密，有多种解决方案，信息行业共识的方案为：以裁剪后的信息安全标准为规范，结合行政、管理制度，采用数据透明加密是目前最彻底的防护方案。 在数据透明加密方面，以加密3.0多模透明加密技术，一文一密钥加密效果，对称加密和非对称加密相结合加密密钥机制成为目前透明加密技术的主流。 本解决方案推荐采用山丽防水墙数据防泄密系统5.0来实现数据防护。该产品采用加密3.0多模透明加密技术。 7加密1.0环境加密和其生存现状 环境加密的本质是硬盘引导区的加密，数据本身不加密；全公司采用一个密钥；可以采用引导区重建工具等破解； 目前国内还剩一家公司在执行这种技术，已经被大多数

14、公司抛弃。 6.2加密2.0格式加密和其生存现状 格式加密的本质是采用驱动级别或者应用程序级别的hook技术，监控具体程序的操作，将该程序特定进程和后缀的文件进行加密； 目前国内大部分公司采用的是这个技术。因为这种技术需要用户频繁升级，频繁设置，虽有一定应用但诟病严重，采用单个或者人工干预的多个密钥，无法实现一文一密钥； 6.3加密3.0多模加密和其生存现状 多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合，可以实现一文一密钥； 目前的代表产品：Windows的EFS、win7的BitLock、Adobe的PDF、山丽网安的防水墙数据防泄漏系统； 多

15、模加密的多场景：全盘、格式、目录、空加密、外设加密、网络加密。 7解决方案 产品功能多维阐述 模块序号 功能模块 通俗解释 专业解释 效果模拟 1 多模透明加密模块 实现客户端加密方式多样化如全盘加密、目录加密、程序加密等功能的模块 支持防水墙客户端采用多种加密模式而不仅仅是加密程序变化的管理模块 控制台可以按照用户组、用户的方式对具体的用户（组）设置不同的加密策略，该用户登陆防水墙加密系统将按照对应的策略被约束； 2 密文明送管理模块 对发送到用户客户的明文文件进行阅读次数、阅读时间等进行控制的模块 对用户外发到客户处的特殊明文进行权限控制的管理模块，又称作外

16、发控制； 用户客户对需要密文明送的文件进行审批，在审批同意之后，该文件将发送出去之后即具有预先设置的控制属性； 3 多级审批管理模块 对用户申请解密的审核者先后次序可以进行自定义设置的模块 实现对解密流程按照用户管理结构、管理需要进行设置的管理模块； 管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以支持并行； 5 可信程序管理模块 实现本地密文上传到OA等应用系统上自动加密、下载自动加密的模块 通过一系列参数的设置，实现密文上传到应用系统自动解密、下载自动加密的管理模块 通过控制台

17、对可信程序管理模块的设置，实现密文上传到应用系统自动解密、下载自动加密 7.1产品功能之多模加密技术 1，系统内核透明加密功能：可以应企业现有任何软件产生之文件的加密需求；加密模式为实时进行，并对用户透明，不需要用户的任何干预；企业现有软件的加密，包括常用office类软件、可能的设计类软件如CAD等、可能的编程类软件如c++、java等、可能的烧录类软件，如PLC类软件等。加密软件满足对绿色软件的加密，满足对RAR等压缩软件的加密。这些加密均不通过二次开发即可满足。 2，加密模式的多样选择功能：山丽防水墙系统采用加密3.0技术—多模透明加密技术，领先于加密1.0环境加密技术，加密2.0

18、文件格式加密技术，技术处于业界领导地位。在多模加密模式中，用户创建密文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户空加密模式（但可以修改和查看别人的密文的高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文的阅读者模式）、U盘外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。 3，一文一密钥透明加密功能：采用对称加密和非对称加密技术，实现任何文件的加密密钥均不一样，防止被破解，安全性能大大优先于单密钥或者多密钥产品。 4，文件格式无关透明加密技术：山丽网安承诺

19、因为用户新使用的应用软件产生的数据不能加密的，终生免费开发，绝不再次收费。 5，通讯加密：该功能可以实现防水墙客户端和服务器端间流转的账号、密码、策略等内容无法被监听到或者监听到的均是加密的； 6，U盘加密：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将登录后执行，并对用户的加密数据执行对应的加密和管控策略； 7、密文图标：通过控制台的设置，可以让客户端的密文显示、或者不显示、或者不同级别密文显示不同的图标 8、文件格式无关的加密功能的二次开发保障：在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费

20、用（即不受合同时间的约束）； 7.2产品功能之剪贴板控制技术 1，剪贴流程的控制技术：加密数据以明文形式存在于内存中显示给用户阅读，存在被用户采用复制黏贴方式泄密可能，山丽防水墙剪贴板控制技术可以保证复制黏贴的数据无法被保存在非受信区域，在受信区域中，被黏贴的数据也将以密文形式存在。 2，剪贴流程的控制技术：管理人员也可以设置可信的程序，让剪贴、复制的行为仅仅发生在信任的程序之内，这样，在防止剪切泄密的前提下，又可以有效的保证了工作人员的效率； 3，剪贴流程的控制技术：可以对剪贴行为进行控制，以复制粘贴方式将无法复制到QQ、Webmail、BBS中。对于行为的控制可以在源头上避免一

21、些员工的泄密行为，同时这种禁止操作的行为也会实时的提醒员工哪些行为可以做，哪些行为不可以做，从而在潜意识层面对员工的信息安全意识进行了有效的培养。 4，剪贴流程的控制技术：使得用户通过QQ截屏发送，发送出去是黑屏、通过QQ远程，将看到是的是白屏；随着远程办公的日益发展，越来越多的云服务、远程协助出现在日常生活中，远程连接的方式将成为一条严重的数据泄密途径。 7.5产品功能之离线管理技术 1，离线登陆管理：当用户在离网时候需要使用加密系统的时候，可以通过离线登陆来实现。离线登陆支持智能卡和离线证书两种方式，智能卡表现为电子钥匙式样，用户离开硬件电子钥匙将无法使用加密系统；使用离线证书方

22、式将采用软证书方式登陆，同样，用户不使用软证书将无法使用加密系统。处于信息安全策略控制需要，离线证书和智能卡均只能在特定电脑上使用，并且只能在管理人员设置的时间范围内使用。在使用的时候，具有证书体系和用户PIN码双层保护。 2，离线策略管理：在离线登陆模式下，用户所有的控制策略均和在线时候一样，即：在离线登陆成功模式下，对用户的加密策略控制等各种策略如同在网。离线模式可以实现即满足对用户安全管控又可以方便用户移动办公。 7.6产品功能之审批管理技术 1，邮件外发：用户可以使用山丽防水墙系统的邮件发送工具对数据进行发送前审核，在得到审核同意之后，用户即会得到系统气泡提醒，而后被审核密文

23、就会自动变成明文被发送至审核同意的邮件地址。此过程中，用户手中的文件永远是密文，但审核同意的特定邮件地址将得到明文文件。 2，明文导出：用户也可以通过防水墙对数据进行申请解密的操作，同样，在得到审核同意之后，用户即会得到系统气泡提醒，这个时候，用户将审核同意的文件下载到本地即自动变成明文，用户可以根据需要对该明文进行任何处理。 3，邮件白名单：用户也可以对一批的邮件地址进行申请，以希望享受到“邮件白名单”的功能，即提出申请后，在得到审核同意之后，用户即会得到系统气泡提醒，这个时候，用户将任何密文发送到这些邮件地址，数据都将自动解密。邮件白名单方式适合给固定用户发送明文文件。 4，密文明送

24、用户可以使用山丽防水墙系统的密文明送模块进行文件外发控制申请，在得到审核同意之后，用户即会得到系统气泡提醒，而后用户即可得到一份系统制作成功的密文明送式外发控制文件。此过程中，用户手中的文件永远是密文，用户外发的将是使用次数、使用时间等属性得到限制的文件。 5，外设使用：在外设禁止使用的情况下，用户可以对外设申请使用，在申请得到审核同意后，用户即可在约束时间内，使用外设进行数据的拷进拷出，时间过后，用户将无法使用此功能，除非重新申请； 6，外设发送：在外设禁止使用的情况下，用户可以对密文文件进行外设发送使用，在申请得到审核同意后，用户即可在约束时间内，和约定次数内，将密文数据拷进外设中，

25、则数据将自动变成明文，时间或者次数过后，用户将无法使用此功能，除非重新申请； 7，外设信任：在用户可以使用外设的情况下，用户将数据拷贝至外设中均为密文（外设加密策略约束），外设信任功能即为在此种情况下，用户申请外设信任，在申请得到审核同意后，用户即可在约束时间内，使用外设进行数据的拷进拷出，此时，拷出的密文数据均将变成明文，时间过后，用户将无法使用此功能，除非重新申请； 8，审批提醒：采取流程解密、手工解密等多种方式灵活组合运用，满足不同单位的业务需求。并且实现审批流选择、自定义审批流设置、管理层审批流设置、审批提醒等功能。尤其是提供了多种方式的审批提醒： ⑴ 审批流程图示：申请审核者可

26、清晰看到具体流程的节点，并清楚目前待审核文件流转的进度；以了解之后和审核者进行线下沟通和督促； ⑵ 审批气泡提醒：在申请人提出申请后，按照流程设置的审核人将收到气泡提醒，用户按照气泡引导即可进行审核，审核后即可进入审批的下一节点，但审核完成后，原申请者即可得到审核结果的气泡提醒，如此种种，可确保第一时间得到审批讯息； ⑶ 审批邮件提醒：在申请人提出申请后，按照流程设置的审核人将收到邮件提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者邮件提醒，如此种种，可确保第一时间得到审批讯息； ⑷ 审批短信提醒：在申请人提出申请后，按照流程设置的

27、审核人将收到短信提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者短信提醒，如此种种，可确保第一时间得到审批讯息； 7.7产品功能之审批流定制技术 1、标准审批：对加密后的密文进行审批解密的标准流程，按照国家检测部门要求，审批需要通过两级审批进行：控制台进行形式审批、安全管理员进行实质审批。实现密文解密为明文需要经过的审批流程，该流程是系统初始化定义的流程，即标准流程。 2、（2）自定义审批：管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以

28、支持并行。 （3）自动审批流程选择：管理人员可以以关键字、文档信息正则表达式、文档类型、文档密级为准则设置不同的审批流，当申请人提交对应的密文进行审批的时候，系统即会自动或者强制采取对应的审批流程提交审批，以大大节省审批流程中的时间，或者对特殊的文件类型、对应的文档密级执行严格的审批流程。 9、审批提醒：采取流程解密、手工解密等多种方式灵活组合运用，满足不同单位的业务需求。并且实现审批流选择、自定义审批流设置、管理层审批流设置、审批提醒等功能。尤其是提供了多种方式的审批提醒： ⑸ 审批流程图示：申请审核者可清晰看到具体流程的节点，并清楚目前待审核文件流转的进度；以了解之后和审核者进行线下

29、沟通和督促； ⑹ 审批气泡提醒：在申请人提出申请后，按照流程设置的审核人将收到气泡提醒，用户按照气泡引导即可进行审核，审核后即可进入审批的下一节点，但审核完成后，原申请者即可得到审核结果的气泡提醒，如此种种，可确保第一时间得到审批讯息； ⑺ 审批邮件提醒：在申请人提出申请后，按照流程设置的审核人将收到邮件提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成后，原申请者即可得到审核结果的气泡或者邮件提醒，如此种种，可确保第一时间得到审批讯息； ⑻ 审批短信提醒：在申请人提出申请后，按照流程设置的审核人将收到短信提醒，用户登陆系统进行审核，审核后即可进入审批的下一节点，审核完成

30、后，原申请者即可得到审核结果的气泡或者短信提醒，如此种种，可确保第一时间得到审批讯息； 10、 形式审批：对用户审批的时候是否查看浏览附件作为一个选项'即'在审批流程中，用户审批时候可以查看附件进行审批'但如果不给该用户审批时候看文件的权限的时候，仅仅给形式审批权限，'则该用户只能进行形式审批'并在点击附件时候提示“仅具有形式审批权限”。 11、 闭环审批和开环审批：闭环审批模式流程'是谁申请谁解密'解密动作不假借他人之手'在现实中'对明文导出（仅限于明文导出一项解密流程）'还可以提供一种开环式审批流程'即申请解密的人和下载下来解密的人不是一个用户'而是最后审批者的那个角色'即其他用户提请

31、明文导出申请'中间经过了若干用户审批'进入到最后一个用户'他审批同意，然后就可以将审批完成的文档下载下来自动解密'从而就实现了开环式的审批'考虑到其他审批模式'均需要申请者本人在得到申请同意后进行有关操作'因此'并不适合开环式申请。 7.9产品功能之TPM防护技术 有一种需求场景：用户希望上传到服务器上的数据是明文的，但希望从服务器上下载下来的数据会被自动加密，而且包括了中间产生的临时文件。山丽防水墙系统在满足这种需求上有两种实现方案：策略设置的TPM防护方案，和硬件安全网关方案。 1、TPM的实现：启用了山丽防水墙的客户端可以自由的访问应用系统服务器，实现在服务器上打开文件、下

32、载文件均会被加密保护，即使是临时文件也一样会被加密防护。未启用防水墙的客户端的用户将无法访问应用系统服务器。这种严密的服务器安全防护，可以最大限度避免终端与服务器之间数据传输的泄密问题。TPM方式的实现，可以完全不需要更改网络结构，仅仅通过山丽防水墙控制台设置即可实现； 2、TPM的实现场景：特别适合对OA服务器、CRM服务器、VSS服务器、CVS服务器、SVN服务器、PDM服务器、PLM服务器等。由于企业可能存在着基于不同信息系统和部门的服务器，为了能在各个场景下都实现最好的安全服务，山丽的TPM实现了多场景的支持，免去了企业二次开发的烦恼。 （1）通过策略设置，对用户需要保护的应用服务

33、器，实现用户下载数据的时候，数据被自动加密，上传数据的时候，数据被自动解密； （2）没有安装加密系统客户端的电脑，无法访问服务器； （3）安装加密系统客户端的电脑，数据下载到本地是密文，但可以进行数据的阅读编辑等操作，在将数据上传到应用服务器的时候，又将自动被解密； （4）根据策略：存储在应用服务器上的文件均是明文； （5）对应用服务器上的文件，包含数据库文件，可以进行如下的防护：1）数据通过外设、网络外拷的时候均为密文；2）在加载了本地加密策略后，数据库文件在你本地是加密存储，但是不影响应用系统的运行； 7.10产品功能之密文明送技术 1、 密文明送（文档外发控制）：当用户需

34、要外发文件时，用户可以采用山丽防水墙密文明送技术实现给文档设置口令、打开次数、累计时间、打印权限、环境设置、复制、截屏等使用限制功能。 2、 密文明送（文档外发控制）：目前国内外唯一一款可以精确限制时间的文件外发控制软件，即用户不管如何修改系统时间、不管将收到的密文明送文件复制为多少版本，一旦到截至时间，则所有的版本均将失效。 3、 密文明送（文档外发控制）：完全和格式无关的文件外发控制软件，即任何应用软件产生的数据、包括可执行程序均可被设置为密文明送文件。和其他只能支持特定格式文件外发控制的软件大有区别。山丽网安再次郑重承诺：任何应用程序产生的数据无法制作密文明送文件的，都将终生免费开发

35、绝不二次收费。 4、 密文明送（文档外发控制）：可以同时支持对多个文件、多层目录设置为一个总包的密文明送文件，尤其适合提供设计总装图的使用场景，使用时绝不破坏总装图内部数据相互之间的调用关系。 5、 密文明送（文档外发控制）：密文明送文件因为是将“类”明文外发用户，虽有控制，但数据仍可为使用者阅读，因此一般制作密文明送文件需得到审核同意。对企业高管，可自行定制而无须进行审批。 6、密文明送（文档外发控制）：当采用文件夹密文明送外发控制模块时候，就可以对特定文件夹里面的所有文件实现全面的外发控制，而无需一个一个设置和制作； 7.12产品功能之屏幕水印&文档水印技术 1、 强制水印

36、通过控制台的设置，可以强制用户打印的密文出现特定的水印。这种强制水印的效果，大大提高了企业文档机密性，并且减少员工利用打印或者其他输出形式的漏洞来窃取公司的机密资料。同时，作用于文档上的强制水印，让文档即使落入他人之手，由于水印的存在也无法使用。并且让企业在牵涉到泄密问题司法诉讼过程中有了铁一般的证据。 2、 用户特定水印：赋予特定用户指定水印为特定文件的权限；对于某些特权的用户，或者特殊的文件，山丽还提供了用户自决定水印加载服务。这种定向制定的水印安全服务，可以让企业用户更好区分文档安全等级，从而更好的区分防护等级，做到安全资源的有效防护。 3、 用户打印水印：可以为指定的打印文档提供

37、强制或特定呈现方式的水印安全服务。水印的强制添加让打印的文档标记企业属性，从而提高了文档的安全性和独有性；打印的时候可以增加打印时候的用户名（防水墙系统中的用户信息）、IP地址、MAC地址、打印时间、密级。 4、 用户屏幕水印：屏幕水印，可以出现在屏幕的特定位置，从而防止通过照相造成数据泄密；[管理员可定义；大小，位置，管理员可定义，透明程度管理员可定义]屏幕水印的显示应该不会对进行的工作产生明显的影响； 7.14产品功能之U盘防水墙技术 1、 使用场景：在实际工作使用中，有的用户需要临时将机密数据带回家加班，而家中的电脑又是不确认的，也就是说用户可能需要将加密数据在不同的不确认电

38、脑上使用。 2、 使用效果：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将自动执行，并对用户的加密数据执行对应的加密和管控策略。 3、 策略管理：山丽防水墙中U盘客户端可由购买产品的用户自行制作；并且可以完全和正常客户端一样执行完全一样的控制策略。 7.16产品功能之自主分发安装技术 1、 自主分发：通过防水墙的功能分发安装包到各个客户端；这种自主分发的功能可以大大提高防水墙的实施效率，在防水墙客户端没有被部署之前，一般预先通过域控或者其他工具实现对防水墙客户端的部署。 2、 客户端升级：利用防水墙自主分发功能对远程客户端实现自主或者指定升级

39、这种远程服务功能的实现不仅提高了用户在安装防水墙产品时对可能出现的情况作出反应的速度，也为软件远程调试提供了有效的辅助支持，为更快速更有效的实现防水墙客户端用户远程服务提供了条件。 7.17产品功能之服务器容灾管理技术 1、 实时备份：通过控制台预先对服务器数据中的类型进行时间实时设置，系统将会在主机有任何更改后即时对数据在备机上进行备份，这样，在服务器因为各种原因如硬盘损坏的时候，备机就可以立即启动提供服务。 2、 定时备份：通过控制台预先对服务器数据中的类型进行时间定时设置，系统将会在确认时间内进行备份，这样，在服务器因为各种原因如硬盘损坏的时候，就可以对系统在3-5分钟内进行恢复

40、 3、 负载均衡：对用户分支结构或者客户端数量众多的情况下，山丽防水墙系统部署时候可以不依赖任何外部条件构建系统自身的负载均衡体系，从而满足多服务器部署同时系统的0宕机的实现。 7.18产品功能之文件备份和删除管理技术 1、 删除管理：当用户有意或者无意对数据进行删除处理的时候，山丽防水墙系统可以对删除的数据进行安全防护，让被删除的数据可以被重新恢复。删除管理可以支持在企业内部联网时候的数据恢复，也可以支持用户将电脑带离环境后的数据恢复。 2、 键盘鼠标删除：对用户通过键盘、鼠标、直接彻底删除操作行为均可以进行管理并恢复。 3、 命令行删除：对用户通过命令行方式直接彻底删除操作行为

41、均可以进行管理并恢复。 4、 自主备份：用户可以选择对本地密文或者明文进行文件或者文件夹的备份，从而在本地文件失灭的时候，可以从山丽防水墙系统中再次获取得到。 5、 自动备份：管理人员也可以设置用户在本地需要监控备份的目录或者盘符，当本地文件发生变化的时候，文件就将按照版本管理的时间顺序自动备份，以让用户可以随时查询到被备份的文件。 7.20产品功能之日志管理技术 1、服务器日志记录维护：对山丽防水墙服务器上面日志文件过大、硬盘空间不足进行维护。 2、三种脚色：按照三权分立的原则，山丽防水墙系统中存在三种脚色，用户、系统管理员、安全管理员，系统管理员（控制台）负责各种安全策略的设定，

42、用户在使用防水墙安全系统的时候接受这些策略的约束，系统管理员进行的任何操作、用户创建的任何文件的记录，安全管理员均可通过特定平台查看。将用户进行各种审批的时候，所有审批均按照两层流程进行，即先有系统管理员进行形式审核，然后到安全管理员处进行内容上的实质审核，用户的申请只能在审核同意后才能达到欲达效果。 3、日志审计管理：通过安装管理员的日志系统，即可查询到对具体用户、具体管理人员日志的审计。对用户、管理人员的操作进行记录的管理。常态记录为今后进行数据安防防护总结提供了数据支持，同时为企业找寻可能存在的安全隐患提供了数据依据。在司法层面上，对于一些泄密行为企业有了更有利的实体证据。 4、操作

43、预警：安全管理员还可以登录日志报警端，设置条件，当条件触发后，安全管理员可以自动收到短信、邮件、报表等，以实时了解用户和管理人员的操作。依据警报功能，管理人员可以定时收到管理人员或者用户的周、月操作行为统计报表、图标，以更有利于对企业信息安全现状的把握。 8产品优势 根本上来讲，防水墙数据加密系统（数据防泄漏系统）具有以下重要特点： 1、采用第三代技术：多模加密技术，加密方式和文件格式无关 山丽防水墙可以支持对所有文件的加解密，并提供有客户端8种加密方式，满足现在和将来文件加密解密的需求； 因此，山丽防水墙系统可以支持未来的格式加密。 基于此，山丽信息安全有限公司承诺：

44、因为文档格式发生变化需要的二次开发才能加密的，不收取任何费用（该条不受合同时间的约束）。 2、采用第三代技术：一文一密钥加密技术，加密密钥动态变化，防止被破解 山丽防水墙可以支持对文件采用一文一密钥技术，采用对称加密和非对称加密技术，文件安全可以得到保证。 3、加密系统和用户的应用系统无关 山丽防水墙系统，可以通过控制台自由设置用户（组）上传到各种应用系统（包括内部网络的mail系统）文件的密文和明文之间的变化。 这种方式，大大提供了用户操作的便捷性，带来的好处就是一个分局和总部之间的交流可以自动变成明文，而不需要再进行任何的申请了。 同时，这种部署，还不会对对网络结构做任何的变更

45、不会增加用户的实施难度。 更重要的是，这种部署方式，不会增加单点故障。有的厂商是依赖增加一台硬件设备来实现，一旦硬件设备出现故障，将会给组织带来不能挽回的损失。 4、加密系统全方位支持windows操作系统 山丽防水墙支持win2000到win7的所有系统，支持winxp到win7的所有64位系统，支持win2003到win2008的所有服务端系统。 全方位操作系统的支持，保证了用户的适用和不留死角的部署。 5、加密系统和域控等第三方系统完美融合 山丽防水墙系统客户端登陆方式支持多种类型，尤其支持和域控的动态结合，用户仅仅需要输入域控账号即可自由的进入系统，大大降低了培训和用户操

46、作的复杂度。 尤其是，降低了管理人员的重复劳动，降低了管理平台的切换复杂度。 6、加密系统不受合同时间约束的三个方面： 有关应用软件升级、更换的问题 在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能加密的，乙方承诺终生不收取任何费用（即不受合同时间的约束）； 有关烧录软件升级、更换的问题 在用户使用的烧录软件发生变化时候不需要任何二次开发或者需要的二次开发才能实现烧录管理的，乙方承诺终生不收取任何费用（即不受合同时间的约束）； 有关外发控制文件对应的应用软件升级、更换的问题 在用户文档格式发生变化时候不需要任何二次开发或者需要的二次开发才能实现外发控制的，山丽

47、网安承诺终生不收取任何费用（即不受合同时间的约束）@@并且不需要接收用户安装任何插件； 7、加密系统和应用系统集成方案多案可选、方式灵活、操作简单 有关和应用系统的集成 效果： 1）、上传解密、下载加密； 2）、没有启动加密软件无法登陆使用应用系统； 山丽网安提供两解决方案： 1）、TPM解决方案； [无需更改网络结构] 2）、安全网关解决方案； [需要更改网络结构] 3）、开放系统接口，实现融合时二次开发；[无需更改网络结构] 8、加密系统使用场景全覆盖，使用面广泛，满足全局面信息安全监管 场景1： 总公司或分公司使用的BS信息系统、非BS系统，用IE访问或者用客户端

48、程序访问，上面一些excel、pdf、word文件等下载时需要加密，上传的时候需要解密； 解决方案： 使用山丽防水墙网络可信程序模块满足 场景2： 应用系统服务器的登录保护：企业具有的应用系统服务器均存有大量核心数据，加密系统需要提供客户端机器不进入加密系统即却无法进入服务器的TPM式保护方式，以防止没有加载加密策略的用户进入系统获取数据；同时，对特殊用户还需要有放行功能； 解决方案： 使用山丽防水墙网络可信环境模块满足 场景3： 设计人员需要将设计文稿带到用户现场进行交流、评审，并带回公司修正，周而复始； 解决方案： 使用山丽防水墙离线登陆管理模块满足 场景4： 电气

49、/电器开发人员需要使用串口、并口、USB协议设备、网口将代码烧录到PLC等自动化设备中，但又不可能进行频繁的解密操作； 解决方案： 使用山丽防水墙烧录程序管理模块满足 场景5： 电气/电器开发人员需要使用串口、并口、USB协议设备、网口将代码烧录到PLC等自动化设备中，但又不可能进行频繁的解密操作；并且可能是在无网络情况下 解决方案： 使用山丽防水墙烧录程序管理模块+离线登陆管理模块满足 场景6： 工程师加工产生的文件别的部门人员无法直接查看，需审批授权后查看； 解决方案： 使用山丽防水墙权限管理模块满足 场景7： 设计程序升级后或者使用新的软件，文件如何加密； 解决

50、方案： 使用山丽防水墙透明加密模块满足（一文一密钥、和文件格式无关） 9、山丽防水墙加密系统功能模块完善，管理平台简易，适合全方位信息安全管理 山丽防水墙具有多达40余种模块，可以满足多途径信息安全管理，是目前国内最全面的信息安全管理平台。 9售后服务 1、培训； 包括本产品以及和本产品相关的安全知识的培训，培训在客户现场和其他集中场地执行。在免费服务期内提供分别针对项目管理人员和具体使用用户各不多于12次的技术培训。 即：培训有分别针对用户项目管理人员的培训，还有针对具体使用者的培训。 2、技术支持； 技术支持指的是实施安装软件后解决软件bug的特定行为。 本项目提供一年