加密实施方案
数据保密需求
传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏以及对病毒的防范，对于企业网络内部的信息泄漏，却没有引起足够的重视。

内部信息的泄漏包；如内部人员泄密、其他未授权人员直接接入内部网络导致的泄密。

显然，对于企业内部的信息泄密，传统手段显然无法起到有效的预防和控制作用。

美新微纳收购美国Xbow WSN业务后，大量的核心源代码、设计图纸、电路原理图以及算法都是公司的重要信息资产，必须需要严格的管理和控制。

同时新开发项目的核心信息的安全管理都是企业安全管理工作的重要内容。

以下方案是通过数据加密的方法对公司的核心机密信息进行安全保护。

数据加密办法
一、信息加密系统数据管理办法
系统分为三层架构，服务器、管理机、客户机组成。

加密系统架构示意图
1.服务器
服务器主要功能：
管理根密钥。

服务端管理加密狗中的根密钥信息，以此产生全球唯一的密钥，并分
发给各个管理端，客户端用以解密文件；
自动升级功能，通过服务端可以导入最新的升级包，通过自动下发策略可以实现自
动升级加密环境；
注册、管理管理端，企业中所有的管理机需要在服务端进行注册并分配权限；注册
管理机、加密管理机器；
监控管理机的工作状态，汇总管理机的工作日志，可以随时调用查看；
备份、恢复数据库功能，提供手动进行数据库备份，恢复功能，一旦服务器出现故
障可以随时恢复保证运行不影响工作；
配置管理机的脱机策略。

服务器具有设置管理机的脱机时间功能，在设置了脱机时
间后，管理机和服务器未连接的状态下，管理机能正常运行的时间限制；
设置卸载码。

设置客户端、管理机卸载时的授权码，如果授权码不能正确即使有安
装程序也无法卸载程序。

自定义密钥。

客户可自行设置私有密钥，增加安全性。

备用服务器。

提供主服务器无法正常工作的应急机制，可保证系统的正常工作
2.管理机
管理机主要功能
客户机注册管理。

企业中所有客户机需要统一在管理机上进行注册，方能运行；
解密文件并记录日志，根据服务器的授权，管理机可以解密权限范围内的加密文件，与此同时记录下来解密文件的日志信息；
管理客户机策略。

系统内置约300类常用软件加密策略；
是否允许用户脱机使用及脱机使用时间；
是否允许用户进行打印操作，并可对使用的打印机类型进行控制(主要用于控
制各类虚拟打印机)；
是否允许用户进行拷屏操作；
是否允许用户进行复制涉密文件内容操作；
是否允许用户执行OLE插入涉密文件对象操作；
是否允许用户进行涉密文件的FTP操作。

是否允许客户机加密文件图标显示，该功能可以在客户端把加密文件，明文文
件用不同的图标显示。

密级管理。

可将公司内部根据需要划分不同密级，每个密级相互之间能否打开是可
设定的，这样可实现密级管理。

如企业共划分三个密级；普通（密级1）部门经理
（密级2）总经理（密级3）密级高用户可以打开密级低的用户所做的涉密文件，
密级低的用户打不开密级高的用户所涉密文件，以保证普通涉密文件交流无障碍，
而高级别涉密文件则处于更加严密的保护中。

域集成功能。

系统可集成公司的AD域，可把AD域的相关信息（用户，计算机等组
织机构）导入到系统，公司可统一对AD域进行管理，同时通过域集成功能，管理
机可以针对计算机或域用户设置不同的客户端策略。

并可针对加密文件授权给不同
的用户使用。

组织机构管理。

系统可根据实际的企业组织机构进行对用户及计算机的划分，并可
以设置对应的管理人员，同时分配相应的管理权限。

角色管理。

可针对管理人员的角色不同，设置不同的权限。

管理人员的使用权限包
括：解密、注册客户机、角色管理、定义策略模版、管理同级用户、管理下级用户、定义下级组织机构及日志审计等权限。

策略模版。

系统提供了丰富的安全策略，可通过策略模板对这些安全策略进行组
合自定义。

定义好的策略模板可以直接应用到部门。

部门内的计算机或者用户将
自动继承策略模板的策略。

日志审计。

系统会详细记录系统使用的各类日志，并进行汇总。

通过日志审计能
够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

3.客户机
客户端在管理人员的授权下，可在三种安全桌面策略下进行工作：强制加密桌面模式、手动加密桌面模式及个人桌面模式
强制加密桌面模式下的客户端没有界面，即对用户透明，不需要对终端用户进行任
何操作培训。

大大简化了文件加密的过程。

因为用户不需要考虑：
哪些文件需要加密。

每个客户端的加密策略由企业根据需要统一制定，客户端
没有选择的机会，只有被动的执行；
不需要记忆密钥。

每个客户端的拥有哪些解密密钥也是由服务器统一制定下
发的。

不需要考虑网络断开对加密的影响。

每个客户端都设置时间长短不同的脱机
时间，在脱机时间内客户端正常工作不受任何影响。

不需要考虑性能影响。

手动加密桌面模式是系统提供的一种 VIP 用户模式，在该模式下，用户生产的文
件不加密，但是能够打开加密文件。

同时客户端可以通过鼠标右键，把明文文件
进行加密。

个人桌面模式，该模式下，等同于没有安装客户端软件。

生成的文件不加密，同时
无法打开加密文件。

二、系统部署方式
由于加密系统采取服务器、管理机、客户机三层架构模式，所以可根据客户的特点实现两种部署方式：集中式部署和分布式部署。

集中部署适合地理分布相对集中，所有部门都在一个局域网内的。

分布式部署，适合由地理分布较分散的集团型企业，集团成员企业与集团总部之间
通过VPN等方式连接，一般情况下带宽较窄，且在这条链路上传输的数据也比较
多。

所以，分布式部署模式下，在集团统一安装 DG 服务端，在集团及各个下属企
业安装管理机，各个下属企业的加密客户端及加密策略由各个企业信息中心管理员
统一管理，整个集团可采用同一根密钥和不同子密钥的方式进行管理。

三、美新微纳传感系统有限公司实施部署
系统方面：MTS进行分布式部署
1.服务端、管理机都部署到一台服务器，管理各客户机。

MTS
2.客户端为20个点(MTS和MEMSIC)每个客户端分配不同的权限；
权限分配开放流程，
使用人申请由部门经理审批后需总经理核准后IT按要求安装加密和分配权
限；
客户机权限：
1.所有客户机都执行强制加密桌面模式；
2.加密密钥都由服务器保管并下发即MTS机房和MEMSIC机房；
3.所有的加密客户端不允许打印；
4.所有的加密客户端不允许网络发送（MAIL、QQ、SKYPE等）；
5.所有的加密客户端不允许拷屏；
6.所有的加密客户端不允许进行涉密文件的FTP操作；
7.所有的加密客户端脱离服务器连接的时间为30分钟。

断开服务器连接即自动
加密，如果需要现场调试则另行许可；
四、实施效果
1.运行平台：windows XP、windows7、、Linux、
2.
解释：
加密服务器是公司定义哪些数据需要加密;
加密客户端为公司使用这些加密的数据终端(PC)；
加密过的数据只能在装有加密客户端的PC端打开使用并修改，集成SVN；
加密过的数据如果脱离加密客户端将无法打开；
五、实施预算
名称功能范围数量市场公开报价（元）1加密系统(支持任何后缀文件)支持任何后缀文件4节点1800元/节点
3安装实施现场安装服务1天免费
4软件升级售后服务第一年免费//
5年度维护费更新升级咨询/超过一年按总价15% 6北京办事处节点安装差旅费安装客户端22000
7合计(第一年实施)9200
注：年度维护费用：是指热线服务，电话咨询；软件产品的升级服务，客户可从网上下载或可通过邮寄得到软件介质
以上预算为市场公开报价所得，不是最终报价。