神州数码易安-文件保密系统技术白皮书
本文阐述神州数码易安-文件保密系统的技术要领及功能，如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员，您可以从本文中得到技术上的参考和帮助。

神州数码Digital China拥有所有版权。

一、神州数码易安-文件保密系统实现原理
I、原理图
II、神州数码易安-文件保密系统原理
（1）实现原理
通过“神州数码易安-文件保密系统”加载到Windows的内核，我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程，从而对非法访问进行控
制，并对敏感的数据进行实时的加密。

（2）安全性
神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统，当安装了神州数码易安-文件保密系统后，用户无法看到神州数码易安-文件保密系统在运行，但用户的任何动作，如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。

用户试图关闭神州数码易安-文件保密系统是不可能的，就象Windows运行时您不可能关闭Windows内核一样，除非您关闭计算机。

（3）稳定性
神州数码易安-文件保密系统的实现采用了32位（并可以支持64位系统）软件代码，并在Windows内核执行前实现监控并触发少量必要的加密动作，因此，该系统在运行时，并不损耗系统资源，且能“安静而忠诚”的工作着。

只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。

安装完神州数码易安-文件保密系统后，对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。

III、实时强制加密
神州数码易安-文件保密系统采用的加密方式为实时加密。

即操作人员在文件写入或修改完成时，易安-文件保密系统会实时对文件进行加密，确保文件的安全性。

神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。

即对于客户的特殊要求，例如，对不同的客户端的加密应用程序有不同的要求（有的客户端控制Office 应用程序所产生的文件，而有的客户端则控制AutoCAD应用程序所产生的文件），我们可以根据客户的不同需求，通过不同的加密策略的配置来达到客户要求的控制效果
即使不同企业都采用神州数码易安-文件保密系统，不同的企业也不能打开其它企业的图文档。

因为易安-文件保密系统是通过软件加硬件的方式进行加密，不同的硬件网络有不同的加密格式。

图文档一旦离开了本公司的办公网络就会失效。

二、神州数码易安-文件保密系统功能简介
神州数码易安-文件保密系统是综合利用密码、访问控制及加密及审计等技术手段，对机密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护的软件系统。

神州数码易安-文件保密系统能最大限度地防止敏感信息的泄漏、被破坏的违规外传、并完整记录涉及敏感信息的操作日志以便审计。

I、机密文件防外泄
防止机密外泄是易安-文件保密系统最重要的功能。

文件外泄主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。

神州数码易安-文件保密系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁用，同时还可以记录日志以备事后追踪。

神州数码易安-文件保密系统在用户对机密文件读写时自动对文件进行加密，用户即使拷走文件，也无法在企业外部打开该文件。

II、文件安全服务
文件安全服务提供了对敏感文件和安全防护，采用了不对称RSA算法，确保用户只能在授权的计算机上才能打开机密文件，这些机密文件一旦离开指定的计算机，文件将无法打开。

III、周密的监控保护体系
集中配置和管理。

系统使企业内部的个人计算机系统集中在易安-文件保密系统的管理之下，集中配置管理安全策略。

神州数码易安-文件保密系统使用服务器多层结构，并能支持internet进行使用和管理，真正实现了分布式防护、集中式分级管理功能。

IV、系统组成功能
神州数码易安-文件保密系统壁系统由易安-文件保密系统服务器，易安-文件保密系统客户端两部分构成。

（1）神州数码易安-文件保密系统服务器
神州数码易安-文件保密系统使用后台数据库（如SQL Server），具本功能如下所述：✓存储系统组织结构，用户信息和系统工作配置参数
✓保存客户端用户信息，加密[密钥
✓存储策略，并接收控制台的指令向客户端下发策略
✓存储客户端上传的日志信息
✓参数设置，包括服务器的工作参数
✓用户管理，包括添加、删除、修改用户、每个用户都有自己的授权的工作范围和管理权限
✓安全工作域结构管理。

包含创建多层组织结构以及添加、删除系统组织结构等功能
✓密钥管理中心生成、导入和导出客户端的密钥对
✓客户端的添加、安装和卸载
✓客户端策略的配置和下发
✓监测曰志的查看。

分析和审计
✓客户端黑匣子的导入、审计和分析
（2）神州数码易安-文件保密系统客户端
易安-文件保密系统客户端是安装于受监控主机上的软件系统，一经安装无法在本
地卸载、只能通过服务器远程卸载。

客户端主要功能如下：
✓在服务器端注册本机硬件地址
✓接收服务器下发的工作策略，并按照该策略控制客户端的工作模式
✓信息泄露防护，该模块包括：文件读写操作、网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护
✓运行监测，实时记录文件的删除、重命名、进程。

服务、驱动、用户和组的变化情况
✓资源获取，接受服务器的指令，上传系统的软件硬件信息
✓文件安全服务加密目标文件，指定密文发送范围并将加密曰志上传到服务器。

解密授权密文，同时向服务器发送文件解密曰志
✓通过服务器进行身份认证
IV、神州数码易安-文件保密系统拓扑图
三、神州数码易安-文件保密系统适用范围
I、制造企业
随着公司规模扩大，企业信息化建设也逐渐覆盖各个部门。

长期以来，由于个人桌面系统的数量众多，覆盖面大，内部办公人员的电脑使用状况及技术背景相差较大，缺乏统一管理与监控的有效途径。

企业内部都拥有大量需要保护的涉密信息，如产品开发资料，公司财务信息，市场策略等等，因此需要严格控制这些桌面系统失泄密的源途及途径，并对内部办公人员电脑使用状况进行有限的管理。

神州数码易安-文件保密系统能最大限度地防止敏感信息的泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。

神州数码易安-文件保密系统部署简单、功能强大，性能优越，管理范围全面，可为企业提供信息安全的保障，阻止公司的信息外泄事件，使公司的管理制度更加严谨，更加完善，解决公司最大的、最头痛的一件事情。

II、军政部门
军政部门内部网络中有大量需要保护的涉密信息，这些重要信息一旦被泄漏出去，将使国家遭受不可估量的损失。

神州数码易安-文件保密系统产品安全性较好，产品解决方案能很好的、很方便的解决军政部门困惑已久的保密信息安全问题。

金融机构：
许多敏感信息需要严格控制，防止商业秘密泄露的文档（融资投资信息、董事会
决议、大客户信息、上市公司中报/年报等）。

知识型企业：
调查报告、咨询报告、招投标文件、专利、远程教育的教案等重要内容的版权保护。

其他：
对于电子文件数据安全有较高要求的单位、组织和个人。